[发明专利]一种扫描检测广义未知病毒的方法

权利要求书

1.一种扫描检测广义未知病毒的方法，其特征在于：

根据计算机病毒表面行为特征构造出病毒表面行为特征数据库，同时构造出伪病毒表面行为特征数据库，在扫描检测系统的病毒时，进行双方向判断，既根据病毒表面行为特征数据库判断是否一个病毒，也根据伪病毒表面行为特征数据库判断是否一个正常程序；上述方法能够扫描检测出系统中已经激活或者具有潜在激活可能性的大部分已知病毒与广义未知病毒；根据上述方法扫描检测出的可疑病毒文件，自动提取其表面文件特征与文件内容特征，并且形成一个临时的特征码数据库，对计算机系统进行全面的扫描检测，能够扫描检测出可疑病毒文件在系统中的所有同类病毒，包括不具有潜在激活可能性的同类病毒；对检测出的可疑病毒文件进行相应的处理；

在本发明中，广义上的未知病毒包括一切传统意义上的病毒，木马，蠕虫，间谍程序，恶意程序，流氓程序；

在本发明中，计算机病毒的表面行为特征是指计算机病毒发生病毒行为而导致系统产生的变化，正常程序很少会导致这种变化的发生，这些系统变化的特征集合称为病毒表面行为特征。少数正常程序使系统发生的这种变化称为正常程序的伪病毒表面行为特征；

在本发明中，已经激活的病毒是指已经加载到内存中的病毒，具有潜在激活可能性的病毒是指能够自动随系统或某些程序而运行的病毒，也指在系统某种特定环境下自动运行的病毒。

2.按照权利要求1所述，扫描检测广义未知病毒的方法，其特征在于，产生病毒表面行为特征的变化包括：系统注册表变化，内存变化，系统特殊区域变化，网络端口变化。

3.按照权利要求2所述，系统注册表变化，其特征在于，系统注册表变化包括常规启动项变化，非常规启动项变化，系统服务项变化，其病毒表面行为特征主要包括：

1)修改了正常值，部分项本身正常值为空，只要增加了值即为可疑病毒；

2)冒充系统文件；

3)在特殊文件夹内，例如在Local Settings或TEMP或DRIVERS或InternetExplorer文件夹；

4)没有版本信息，而且在WINDOWS文件夹内；

5)具有隐藏属性；

6)扩展名或文件名异常。

4.按照权利要求2所述，内存变化，其特征在于，系统内存变化包括进程模块文件特征变化，关键API(WINDOWS应用程序公共接口)入口变化，远程线程变化；

进程模块文件特征变化的病毒表面行为特征包括：

1)冒充系统文件；

2)具有隐藏属性；

3)具有多个大小相同但文件名不相同的进程或模块；

关键API(WINDOWS应用程序公共接口)入口变化的病毒表面行为特征包括：

1)用户态API内部挂钩(USER MODE INLINE HOOK)；

2)内核态API内部挂钩(KERNEL MODE INLINE HOOK)；

3)内核态系统表格挂钩(SSDT HOOK)；

4)内核态底层文件系统例程挂钩(FSD HOOK)；

5)内核态底层文件系统例程内部挂钩(FSD INLINE HOOK)；

远程线程变化的病毒表面行为特征包括：

1)出现额外的远程线程。

5.按照权利要求2所述，系统特殊区域变化，其特征在于，系统特殊区域变化包括启动文件夹变化，系统卷根目录变化，系统关键文件夹变化；

启动文件夹变化的病毒表面行为特征包括：

1)文件夹中存在没有版权信息的可执行文件；

2)启动文件夹中存在具有隐藏属性的可执行文件；

系统卷根目录变化的病毒表面行为特征包括：

1)系统卷根目录存在AUTORUN配置文件，在文件中存在自动运行信息：open＝，shell/open/Command＝，shell/explore/Command＝，shell/find/Command＝，这些尝试自动运行的程序为可疑病毒文件；

系统关键文件夹变化的病毒表面行为特征包括：

1)在WINDOWS或SYSTEM32或SYSTEM文件夹内冒充系统文件。