[发明专利]一种扫描检测广义未知病毒的方法

说明书

技术领域

本发明涉及一种扫描检测广义未知病毒的方法，与现有的反计算机病毒技术相比，本发明能够在不依赖特征码数据库的情况下扫描检测出大部分的已知病毒以及广义上的未知病毒。

背景技术

在当今信息技术高速发展的形势下，虽然出现了众多的反计算机病毒产品，它们在扫描检测已知计算机病毒的方面确实起了一定的作用，但它们并不能有效对抗未知病毒，未知病毒已经成为信息安全的重要威胁。

现有的计算机病毒扫描检测技术主要分为三种：启发式代码扫描技术，特征码扫描技术，辅助特征码扫描的技术。

(1)启发式代码扫描技术：以特定方式实现的动态高度防真或反编译器，通过对有关指令序列的反编译，有限的加权计算，判断是否达到病毒指令域值，逐步理解和确定其蕴藏的真正动机。仅对部分具有典型病毒指令序列的未知病毒有效，对于具有一定逻辑复杂程度的未知病毒无法识别。

(2)特征码扫描技术：主要包括广谱特征码扫描技术与非广谱特征码扫描技术。根据病毒特征库中的特征码对已知的计算机病毒进行扫描，不能扫描出未知病毒，反病毒能力取决于病毒库的大小与升级频率。

(3)辅助特征码扫描的技术：主要包括虚拟机脱壳技术与壳特征库扫描技术。它们都是对加了壳的执行体进行脱壳处理，再进行特征码扫描，只是特征码杀毒技术的辅助。只能够检测出已知病毒的部分未知变种，不能够扫描出新的未知病毒。

发明内容

本发明能够有效解决上述问题，能够在不依赖特征码数据库的情况下扫描检测出大部分的已知病毒以及广义上的未知病毒，弥补了当前计算机病毒扫描检测技术的缺陷，捍卫了计算机与用户的信息安全。

本发明涉及一种扫描检测广义未知病毒的方法，其特征在于：

根据计算机病毒表面行为特征构造出病毒表面行为特征数据库，同时构造出伪病毒表面行为特征数据库，在扫描检测系统的病毒时，进行双方向判断，既根据病毒表面行为特征数据库判断是否一个病毒，也根据伪病毒表面行为特征数据库判断是否一个正常程序。上述方法能够扫描检测出系统中已经激活或者具有潜在激活可能性的大部分已知病毒与广义未知病毒。根据上述方法扫描检测出的可疑病毒文件，自动提取其表面文件特征与文件内容特征，并且形成一个临时的特征码数据库，对计算机系统进行全面的扫描检测。该方法能够扫描检测出可疑病毒文件在系统中的所有同类病毒，包括不具有潜在激活可能性的同类病毒。

在本发明中，广义上的未知病毒包括一切传统意义上的病毒，木马，蠕虫，间谍程序，恶意程序，流氓程序。

在本发明中，计算机病毒的表面行为特征是指计算机病毒发生病毒行为而导致系统产生的变化，正常程序很少会导致这种变化的发生，这些系统变化的特征集合称为病毒表面行为特征。少数正常程序使系统发生的这种变化称为正常程序的伪病毒表面行为特征。病毒表面行为特征是计算机病毒的共性，在相当长的时间内相对固定，不会发生变化，因此病毒表面行为特征数据库的需要升级频率很低。

在本发明中，已经激活的病毒是指已经加载到内存中的病毒，具有潜在激活可能性的病毒是指能够自动随系统或某些程序而运行的病毒，也指在系统某种特定环境下自动运行的病毒。

本发明基于一种扫描检测广义未知病毒的方法，其特征在于，包括以下过程：

1.病毒表面行为特征数据库的构造

通过对大量的计算机病毒样本进行分析研究，采集它们对系统注册表，内存，系统特殊区域，网络端口所产生的变化，并与正常程序对这些区域产生的变化相比较，取出其中的计算机病毒产生的相对特异性变化，构建病毒表面行为特征数据库。

系统注册表变化包括常规启动项变化，非常规启动项变化，系统服务项变化，其病毒表面行为特征主要包括：

1)修改了正常值，部分项本身正常值为空，只要增加了值即为可疑病毒。

2)冒充系统文件。

3)在特殊文件夹内，例如在Local Settings或TEMP或DRIVERS或Internet Explorer文件夹。

4)没有版本信息，而且在WINDOWS文件夹内。

5)具有隐藏属性。

6)扩展名或文件名异常。

系统内存变化包括进程模块文件特征变化，关键API(WINDOWS应用程序公共接口)入口变化，远程线程变化。

进程模块文件特征变化的病毒表面行为特征包括：

1)冒充系统文件。

2)具有隐藏属性。

3)具有多个大小相同但文件名不相同的进程或模块。