[发明专利]一种对非法程序的免疫方法、系统及装置

权利要求书

1.一种对非法程序的免疫方法，其特征在于，该方法包括：

服务器获取计算机网络中的非法程序；

服务器分析所获取的非法程序，获取非法程序的弱点信息；

服务器确定对应非法程序的弱点信息的免疫规则；

服务器将所确定的免疫规则发送给客户端，使得客户端进行系统的阻止设置。

2.如权利要求1所述的方法，其特征在于，所述获取计算机网络中的非法程序为：

设置排名规则，根据排名规则，从计算机网络中筛选出设定个数的非法程序。

3.如权利要求1所述的方法，其特征在于，所述分析采用非法程序的二进制代码静态分析，获取非法程序的弱点信息中的非法程序的链接地址信息、非法程序的文件信息或/和非法程序的感染标记信息；

所述分析采用运行所获取的非法程序方式，获取非法程序的弱点信息中的非法程序的依赖系统已有模块信息。

4.如权利要求1所述的方法，其特征在于，所述确定对应非法程序的弱点信息的免疫规则为：

非法程序的弱点信息为非法程序的依赖系统已有模块信息，免疫规则为非法程序的依赖系统已有模块对应的注册表阻止设置；非法程序的弱点信息为非法程序的文件信息时，免疫规则为对应的文件进行权限设置，阻止非法程序被写入、修改、替换或删除到对应文件中；非法程序的弱点信息为非法程序的感染标记信息时，免疫规则为在用户使用的客户端上增加该感染标记。

5.如权利要求1所述的方法，其特征在于，所述方法在设定的时间间隔重复执行。

6.一种对非法程序的免疫方法，其特征在于，该方法包括：

客户端从服务器接收到服务器发送的免疫规则；

客户端根据免疫规则进行系统的阻止设置；

非法程序进入客户端，该非法程序检测到客户端系统中的阻止设置后，不运行。

7.如权利要求6所述的免疫方法，其特征在于，

所述免疫规则为非法程序的依赖系统已有模块对应的注册表阻止设置时，所述阻止设置为注册表阻止设置；所述免疫规则为对文件的权限设置，所述阻止设置为对文件的权限设置；所述免疫规则为增加感染标记时，所述阻止设置为增加感应标记。

8.一种对非法程序的免疫装置，其特征在于，该装置包括：排名模块、分析模块和免疫规则库，其中，

排名模块，用于获取计算机网络中的非法程序；

分析模块，用于对所获取的非法程序进行分析，获取非法程序的弱点信息；

免疫规则库，用于确定对应非法程序的弱点信息的免疫规则，通过计算机网络发送给客户端，使得客户端进行系统的阻止设置。

9.如权利要求8所述的装置，其特征在于，所述排名模块，还用于设置排名规则，获取计算机网络中的非法程序是根据排名规则获取的。

10.如权利要求8所述的装置，其特征在于，所述分析模块包括二进制静态分析子模块和动态行为分析子模块，其中，

二进制静态分析子模块，用于对所获取的非法程序中的二进制代码进行静态分析，获取非法程序的弱点信息中的非法程序的链接地址信息、非法程序的文件信息和/或非法程序的感染标记信息；

动态行为分析子模块，用于对所获取的非法程序运行，获取非法程序的弱点信息中的非法程序的依赖系统已有模块信息。

11.一种对非法程序的免疫装置，其特征在于，该装置包括：免疫模块、系统模块和运行模块，其中，

免疫模块，用于接收到服务器发送的免疫规则，根据免疫规则进行系统模块中的系统的阻止设置；

系统模块，用于在免疫模块的指示下进行系统的阻止设置；

运行模块，用于非法程序的进入，该非法程序检测到系统模块中的系统的阻止设置后，不运行。

12.如权利要求11所述的免疫装置，其特征在于，所述免疫模块包括注册表免疫子模块、文件免疫子模块和网络免疫子模块，其中，

注册表免疫子模块，用于根据免疫规则对非法程序的依赖系统已有模块对应的注册表阻止设置；

文件免疫子模块，用于根据免疫规则对非法程序的对应的文件进行权限设置，阻止非法程序被写入、修改、替换或删除到对应文件中；根据免疫规则在客户端上增加该感染标记；

网络免疫子模块，用于根据免疫规则阻止非法程序的链接地址的链接。

13.一种对非法程序的免疫系统，其特征在于，该系统包括：服务器和客户端，其中，

服务器，用于获取计算机网络中的非法程序；对所获取的非法程序进行分析，获取非法程序的弱点信息；确定对应非法程序的弱点信息的免疫规则，通过计算机网络发送给客户端，使得客户端进行系统的阻止设置；

客户端，用于接收到服务器发送的免疫规则，根据免疫规则进行系统的阻止设置；进入非法程序，该非法程序检测到系统模块中的系统的阻止设置后，不运行。