[发明专利]一种扫描检测广义未知病毒的方法无效
| 申请号: | 200710030109.X | 申请日: | 2007-09-05 |
| 公开(公告)号: | CN101382984A | 公开(公告)日: | 2009-03-11 |
| 发明(设计)人: | 江启煜 | 申请(专利权)人: | 江启煜 |
| 主分类号: | G06F21/22 | 分类号: | G06F21/22 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 510405广东省广州市白云区*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种扫描检测广义未知病毒的方法,即通过计算机病毒发生病毒行为而导致系统产生的相对特异性变化构建出病毒表面行为特征数据库,扫描出可疑病毒,同时通过对大量的正常程序测试,构建出伪病毒表面行为特征数据库对可疑病毒文件进行二次判断,以便排除正常程序。并且自动提取已经扫描出的可疑病毒的文件表面特征与文件内容特征,形成一个临时的特征码数据库,对系统进行全面的扫描检测,以便清除其残留的病毒体。对检测出的可疑病毒文件进行相应处理。本发明能够检测出大部分的已知病毒与广义未知病毒,不依赖于特征码数据库,数据库升级频率低,扫描检测速度快,占用资源少,与现有扫描检测技术相比,有明显的优势。 | ||
| 搜索关键词: | 一种 扫描 检测 广义 未知 病毒 方法 | ||
【主权项】:
1. 一种扫描检测广义未知病毒的方法,其特征在于:根据计算机病毒表面行为特征构造出病毒表面行为特征数据库,同时构造出伪病毒表面行为特征数据库,在扫描检测系统的病毒时,进行双方向判断,既根据病毒表面行为特征数据库判断是否一个病毒,也根据伪病毒表面行为特征数据库判断是否一个正常程序;上述方法能够扫描检测出系统中已经激活或者具有潜在激活可能性的大部分已知病毒与广义未知病毒;根据上述方法扫描检测出的可疑病毒文件,自动提取其表面文件特征与文件内容特征,并且形成一个临时的特征码数据库,对计算机系统进行全面的扫描检测,能够扫描检测出可疑病毒文件在系统中的所有同类病毒,包括不具有潜在激活可能性的同类病毒;对检测出的可疑病毒文件进行相应的处理;在本发明中,广义上的未知病毒包括一切传统意义上的病毒,木马,蠕虫,间谍程序,恶意程序,流氓程序;在本发明中,计算机病毒的表面行为特征是指计算机病毒发生病毒行为而导致系统产生的变化,正常程序很少会导致这种变化的发生,这些系统变化的特征集合称为病毒表面行为特征。少数正常程序使系统发生的这种变化称为正常程序的伪病毒表面行为特征;在本发明中,已经激活的病毒是指已经加载到内存中的病毒,具有潜在激活可能性的病毒是指能够自动随系统或某些程序而运行的病毒,也指在系统某种特定环境下自动运行的病毒。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于江启煜,未经江启煜许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200710030109.X/,转载请声明来源钻瓜专利网。
