[发明专利]计算机安全防护方法及计算机安全防护工具

说明书

技术领域

本发明涉及一种计算机安全防护方法及计算机安全防护工具，特别是一种针对恶意程序的通用计算机安全防护方法及通用计算机安全防护工具，属于计算机安全技术领域。

背景技术

随着计算机技术的发展，在各种应用软件不断对陈出新的同时，包括文件病毒、蠕虫、脚本病毒、木马以及黑客程序等以攻击和破坏计算机正常操作为目的恶意程序也层出不穷；根据最新的网络安全报告显示，最近一两年对计算机产生安全成胁的恶意程序中，相对于传统的普通病毒、蠕虫和垃圾邮件，间谍软件、广告软件、黑客软件以及网络钓鱼软件(Phishing)等新型的恶意程序更具攻击性和破坏力，已经毫无争议的成为计算机安全的首要威胁。而且，由于现代社会信息处理对计算机技术的依赖日益加深，因此恶意程序的攻击所产生的危害性也越来越大，比如，在过去的几年中，每年都会爆发大规模的病毒和蠕虫的攻击，使得全球几千万台计算机受到破坏，导致难以估计的经济损失。

为了将恶意软件的危害性降低到最低程度，人们研制了众多的计算机安全防护工具来保护计算机免受恶意程序的攻击和破坏，目前比较流行的计算机安全防护工具可以分为两种类型：

一类是通过实时的安全防护，对入侵的恶意程序进行隔离的计算机安全防护工具，比如具有实时防护功能病毒防护工具，能够实时的对当前活跃的程序和文件进行病毒分析和检测，从而在病毒入侵和驻留之前将其清除；再比如防火墙，通过对通讯端口和通讯协议等进行限制来阻止恶意程序的入侵；

一类是对可能形成威胁的感染文件进行搜索和检测的计算机安全防护工具，例如现有的杀毒软件和木马检测软件，利用已知的病毒和木马代码特征，通过扫描发现并清除有害的恶意程序以及其感染的文件。

随着计算机安全防护工具技术水平的提高，不仅能够通过恶意程序的特征码对已知的恶意程序进行有效和可靠的识别，而且，还有一些比较优秀的安全防护工具能够根据表现出来的破坏性行为特征来识别一些未知的恶意程序。也就是说，现有的安全防护工具在技术上已经能够很好的识别和发现已知和未知的恶意程序。

但问题是在现有技术中，计算机安全防护工具面向恶意程序对抗性处理都是着眼于单个的恶意程序，通过移除或者隔离的方式随时发现随时清理，这就给大量采用了防移除技术的已知和未知恶意程序带来了可乘之机，实现对计算机安全防护工具的对抗。例如，通过直接注入到计算机操作系统的关键程序，甚至是计算机操作系统的内核程序中，阻止计算机安全防护工具的发现以及进一步删除；或者，恶意程序通过特殊的恢复技术来保护自己不被安全防护软件清除，即使安全防护软件删除了部分恶意程序的进程，恶意进程也可能通过自身的恢复技术重新驻留到计算机系统之中；甚至，恶意进程同时具有隐性进程和显性进程，只有在安全防护工具实时清除或者检索清除恶意程序的显性进程时，才突然触发隐藏的隐性攻击进程，而导致整个计算机系统的崩溃。显然，在现有技术中，仅能做到对恶意程序特征码和行为特征的发现和识别是不够的，必须提供能够克服防移除程序的技术方案来保证计算机系统的安全。

发明内容

本发明的目的是解决现有技术中无法彻底清除计算机系统的恶意程序，特别是顽固型恶意程序，进而难以有效保证计算机系统安全的技术问题。

为实现上述目的，本发明提供了一种计算机安全防护方法，包括以下步骤：

启动对计算机系统的安全检测；对于未检测到恶意程序的情况，进行计算机系统状态保存；对于检测到恶意程序的情况，还原已保存的系统状态。

较佳的技术方案是对计算机系统进行安全检测之前，还包括：

实时监控并暂停对计算机系统磁盘分区的任一修改；提取所述磁盘分区被修改地址的原有数据并写入当前磁盘数据保护区，并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息；对所述磁盘分区执行所述修改。

则进行计算机系统状态保存具体为：

停止实时监控；清空当前磁盘数据保护区中的数据和对应的磁盘状态修改日志的记录；启动实时监控。

或者，停止实时监控；新建空的磁盘状态修改日志和磁盘数据保护区，并设置为当前磁盘数据保护区和对应的磁盘状态修改日志；启动实时监控。

还原已保存的系统状态具体为：

停止实时监控；根据磁盘状态修改日志，将当前磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址；启动实时监控。

或者，停止实时监控；进行磁盘数据保护区的选择；根据对应的磁盘状态修改日志，将所选择的磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址；启动实时监控。