[发明专利]防御未知病毒程序的方法

权利要求书

1. 一种防御未知病毒程序的方法，其特征在于，包括：

获取待检测程序的运行特征数据；

根据获得的所述待检测程序的运行特征数据或运行特征数据集合，结合预置的病毒程序的病毒运行特征数据或病毒运行特征数据集合，判断所述待检测程序是否为病毒程序。

2. 根据权力要求1所述的防御未知病毒程序的方法，其特征在于，还包括：

获取待检测程序的行为数据或行为数据集合；

根据获得的所述待检测程序的行为数据或行为数据集合，结合预置的病毒程序的行为数据或者行为数据集合，判断所述待检测程序是否为病毒程序。

3. 如权利要求2所述的防御未知病毒程序的方法，其特征在于，还包括：

建立程序行为经验库，用于存储病毒程序的行为数据或者行为数据的集合，以及存储病毒程序从行为数据到结果数据的过程表达式，所述过程表达式包括行为数据和结果数据以及从行为到结果的对应关系数据；以及，将获得的所述待检测程序的行为数据或行为数据集合与所述程序行为经验库中的行为数据进行比较，获得所述过程表达式，通过所述过程表达式判断所述待检测程序是否为病毒程序。

4. 如权利要求2或3所述的防御未知病毒程序的方法，其特征在于，按照下列步骤建立病毒程序运行特征经验库：

获得已知病毒程序运行过程中的内存数据；

记录已知病毒程序运行过程中相同或相似部分的内存数据或内存数据的集合以及按序排列所述相同或相似部分的内存数据片段，将所述排列后的内存数据片段存储并形成病毒程序运行特征经验库；以及，将对系统进行恶意操作的指令或指令集在被执行过程中的内存数据存储到所述病毒程序运行特征经验库中，利用所述特征经验库中的数据判断所述待检测程序是否为病毒程序。

5. 如权利要求4所述的防御未知病毒程序的方法，其特征在于，按照下列步骤建立原则库：

将已知病毒程序的破坏性操作行为与该破坏性操作行为对应的运行结果，以及病毒程序运行特征经验库中存储的数据形成对应关系表达式，将所述对应关系表达式储存到原则库中；

把对系统进行恶意操作的指令或指令集与对应的指令或指令集执行后的结果，以及该指令或指令集被执行过程中的内存数据形成对应关系表达式，将所述对应关系表达式储存到原则库中；

利用所述原则库中的数据判断所述待检测程序是否为病毒程序。

6. 如权利要求5所述的防御未知病毒程序的方法，其特征在于，按照下述步骤获取待检测程序的行为数据：

获得已知病毒程序的破坏性行为数据；

根据所述破坏性行为数据设置对应的控制处理程序；

使控制处理程序获得对所述破坏性行为数据操作的控制权；

待检测程序的破坏性行为数据调用相应的控制处理程序，由所述控制处理程序记录所述待检测程序的行为数据。

7. 如权利要求4所述的防御未知病毒程序的方法，其特征在于，还包括：

建立虚拟装置，将待检测程序放入所述虚拟装置中运行，获取待检测程序运行过程中的特征数据。

8. 如权利要求4所述的防御未知病毒程序的方法，其特征在于，还包括：

获得已知病毒程序的破坏性行为数据，将待检测程序的行为数据与建立的所述程序行为经验库中存储的数据进行比较，判断所述待检测程序是否为病毒程序；

建立虚拟装置，将待检测程序放入所述虚拟装置中运行，获取待检测程序运行过程中的特征数据，将获取的所述待检测程序运行过程中的特征数据与建立的病毒程序运行特征经验库中存储的数据进行比较，判断所述待检测程序是否为病毒程序。

9. 如权利要求4所述的防御未知病毒程序的方法，其特征在于，还包括：

获得已知病毒程序的破坏性行为数据，将待检测程序的行为数据与建立的所述程序行为经验库中存储的数据进行比较，判断所述程序行为经验库中是否存储有与待检测程序的行为数据符合度大于指定的阀值；

根据上述比较的结果，按照预置的判定规则，判断待检测程序是否为病毒程序。