專利名稱：一種基于數(shù)據(jù)流的計(jì)算機(jī)病毒查殺方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)應(yīng)用領(lǐng)域，尤其涉及一種計(jì)算機(jī)病毒的查殺方法。
背景技術(shù)：
近年來(lái)，計(jì)算機(jī)在各個(gè)領(lǐng)域內(nèi)獲得了廣泛的應(yīng)用，但隨之而來(lái)的計(jì)算機(jī)病毒卻對(duì)它的實(shí)際應(yīng)用帶來(lái)了威脅。再加上計(jì)算機(jī)病毒的潛伏性、傳染性、破壞性，使病毒的防范工作更加復(fù)雜。當(dāng)今的計(jì)算機(jī)病毒通常具有自動(dòng)更新功能，病毒作者習(xí)慣使用加殼、重編譯、病毒工程小范圍修改的方法迅速放出病毒變種，以及采用多種共用的病毒模塊重新組合的方式制作新病毒，從而使殺毒軟件查殺不到變化后的病毒。目前的計(jì)算機(jī)病毒查殺方法一般使用入口加偏移的方法來(lái)定位病毒特征碼，如果病毒采用上述變化后，就完全改變了病毒特征碼，導(dǎo)致不能查殺?，F(xiàn)階段的病毒查殺方法只能通過及時(shí)升級(jí)特征的方法來(lái)查殺此類病毒。

發(fā)明內(nèi)容
本發(fā)明克服了現(xiàn)有技術(shù)中的缺點(diǎn)，提供一種在不升級(jí)或少升級(jí)病毒庫(kù)的情況下完成已知病毒變種或部分新病毒的識(shí)別。
為了解決上述技術(shù)問題，通過以下技術(shù)方案實(shí)現(xiàn)一種基于數(shù)據(jù)流的計(jì)算機(jī)病毒查殺方法，通過病毒特征庫(kù)的特征與需要查殺的數(shù)據(jù)流(由內(nèi)存模塊或文件成生數(shù)據(jù)流)進(jìn)行匹配來(lái)查殺病毒，包括內(nèi)存查殺病毒方法和文件查殺病毒方法，所述病毒特征是病毒的二進(jìn)制代碼。
所述內(nèi)存查殺毒方法包括如下過程A、對(duì)已有病毒提取病毒共性特征，制作成特征庫(kù)；B、遍歷內(nèi)存所有的進(jìn)程模塊，將每個(gè)進(jìn)程模塊作為數(shù)據(jù)流，并過濾特征庫(kù)；C、判斷進(jìn)程模塊是否是病毒文件；D、對(duì)是病毒的模塊所對(duì)應(yīng)的文件自動(dòng)提取特征；E、遍歷磁盤完整查殺所有病毒副本。
所述文件查殺毒方法包括如下過程A、對(duì)已有病毒提取病毒特征，制作成特征庫(kù)；B、遍歷需要查殺毒的文件，并對(duì)文件進(jìn)行預(yù)處理，生成數(shù)據(jù)流，并過濾特征庫(kù)；C、判斷該文件是否是病毒文件；D、對(duì)是病毒的文件進(jìn)行查殺病毒。
與現(xiàn)有技術(shù)相比，本發(fā)明提供一種在不升級(jí)或少升級(jí)病毒庫(kù)的情況下完成已知病毒的新變種或部分新病毒的識(shí)別。本發(fā)明通過對(duì)已知病毒的分析提取共性二進(jìn)制代碼做為病毒特征查找病毒的新變種或新病毒的內(nèi)存模塊或文件，而后對(duì)該文件(若是內(nèi)存模塊則為內(nèi)存模塊所對(duì)應(yīng)的文件)進(jìn)行自動(dòng)特征提取，生成新的文件病毒特征，病毒數(shù)據(jù)庫(kù)自動(dòng)更新。以查殺已知病毒的新變種和部分新病毒及其所有的副本，完成病毒查殺。


圖1是本發(fā)明的內(nèi)存查殺病毒方法流程圖；圖2是本發(fā)明的文件查殺病毒方法流程圖。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。
一種基于數(shù)據(jù)流的計(jì)算機(jī)病毒查殺方法，通過病毒特征庫(kù)的特征與需要查殺的(由內(nèi)存模塊或文件生成的)數(shù)據(jù)流進(jìn)行匹配來(lái)查殺病毒，包括內(nèi)存查殺病毒方法和文件查殺病毒方法，所述病毒特征數(shù)據(jù)庫(kù)可以自動(dòng)更新。
請(qǐng)參閱圖1所示，內(nèi)存查殺毒方法包括如下過程A、對(duì)已有病毒提取病毒的共性特征；B、建庫(kù)程序，將所有的特征集合起來(lái)，制作成病毒特征庫(kù)；C、遍歷內(nèi)存所有的進(jìn)程模塊，將每個(gè)進(jìn)程模塊看作一塊數(shù)據(jù)流；D、判斷是否有尚未被過濾的數(shù)據(jù)流，如果有則繼續(xù)通過特征庫(kù)匹配數(shù)據(jù)流，否則查殺毒完成，退出程序；E、如果某進(jìn)程模塊被特征庫(kù)匹配成功，則認(rèn)為該進(jìn)程模塊空間為病毒空間，該進(jìn)程模塊所對(duì)應(yīng)的文件為病毒文件，轉(zhuǎn)向步驟F，否則判斷該進(jìn)程模塊不是病毒，轉(zhuǎn)向步驟D；F、掃描模塊自動(dòng)提取對(duì)該病毒文件提取一個(gè)文件特征作為病毒特征，所述文件特征是該文件的二進(jìn)制代碼數(shù)據(jù)；G、遍歷全磁盤，用以查殺該病毒的所有副本；H、完成查殺該病毒，轉(zhuǎn)向步驟D。
請(qǐng)參閱圖2所示，文件查殺毒方法包括如下過程A、對(duì)已有病毒提取病毒的共性特征；B、建庫(kù)程序，將所有的特征集合起來(lái)，制作成病毒特征庫(kù)；C、遍歷需要查殺毒的文件；D、對(duì)文件進(jìn)行預(yù)處理，生成數(shù)據(jù)流；E、判斷是否有尚未被過濾的數(shù)據(jù)流，如果有則繼續(xù)通過特征庫(kù)配置數(shù)據(jù)流，否則查殺毒完成，退出程序；F、如果數(shù)據(jù)流被特征庫(kù)匹配成功，則認(rèn)為該文件為病毒文件，轉(zhuǎn)向步驟G，否則判斷該進(jìn)程模塊不是病毒，轉(zhuǎn)向步驟E；G、對(duì)本文件進(jìn)行查殺病毒，轉(zhuǎn)向步驟E。
所述進(jìn)程模塊指單一程序進(jìn)入內(nèi)存后的數(shù)據(jù)空間，通常只對(duì)應(yīng)一個(gè)文件，所述病毒副本是指沒有執(zhí)行的病毒文件副本及進(jìn)程模塊所對(duì)應(yīng)的文件。
下面通過實(shí)例介紹本發(fā)明查殺病毒的方法Mytob與Mydoom是性質(zhì)相似的不同病毒，Mytob是Mydoom的變種，它們都利用了相同的病毒代碼，如發(fā)信引擎、漏洞攻擊代碼。但由于其它功能組合的方式、編譯的方式原因，二者在二進(jìn)制特征上沒有重合的地方，使現(xiàn)有的反病毒軟件已有的病毒特征失效，在已知Mydoom病毒的情況下無(wú)法查出Mytob病毒。而根據(jù)本發(fā)明提供的查殺病毒方法，首先提取該類病毒的共性特征病毒代碼(發(fā)信引擎、漏洞攻擊代碼)，并將該類特征集合起來(lái)，制作成病毒特征庫(kù)，供掃描模塊使用。掃描模塊進(jìn)行查毒時(shí)，通過病毒特征庫(kù)配置每個(gè)(由內(nèi)存模塊或文件生成的)數(shù)據(jù)流，如果某數(shù)據(jù)流被特征庫(kù)匹配成功，則認(rèn)為該文件(若是內(nèi)存模塊則為內(nèi)存模塊所對(duì)應(yīng)的文件)為病毒文件。對(duì)于內(nèi)存查殺毒，掃描模塊會(huì)自動(dòng)對(duì)該病毒文件提取一個(gè)文件特征，并遍歷全磁盤，用以查殺沒有執(zhí)行的該Mytob病毒副本，最終完成查殺毒。同樣，Troj.QQmsgBook，該病毒具有自動(dòng)更新功能，病毒作者利用互聯(lián)網(wǎng)可讓病毒每天進(jìn)行升級(jí)更新，其采用的方法多為重加殼、多層加殼和病毒變種。接近反病毒軟件的病毒庫(kù)升級(jí)速度。其目的在于改變自己的二進(jìn)制特征，使反病毒軟件已有的病毒特征失效。而通過本發(fā)明方法找到該類病毒的共性特征，也可以實(shí)現(xiàn)查殺其重加殼、多層加殼和變種后的病毒。
本發(fā)明通過對(duì)已知病毒的分析提取共性二進(jìn)制代碼做為病毒特征查找病毒的新變種或新病毒的內(nèi)存模塊或文件，而后對(duì)該文件(若是內(nèi)存模塊側(cè)為內(nèi)存模塊所對(duì)應(yīng)的文件)進(jìn)行自動(dòng)特征提取，生成新的文件病毒特征，病毒數(shù)據(jù)庫(kù)自動(dòng)更新。以查殺已知病毒的新變種和部分新病毒及其所有的副本，完成病毒查殺。
以上步驟僅用以說(shuō)明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種基于數(shù)據(jù)流的計(jì)算機(jī)病毒查殺方法，通過病毒特征庫(kù)的特征與需要查殺的數(shù)據(jù)流進(jìn)行匹配來(lái)查殺病毒，包括內(nèi)存查殺病毒方法和文件查殺病毒方法，其特征在于，所述病毒特征是病毒的二進(jìn)制代碼。
2.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)病毒查殺方法，其特征在于，所述數(shù)據(jù)流由內(nèi)存模塊或文件生成。
3.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)病毒查殺方法，其特征在于，所述內(nèi)存查殺毒方法包括如下過程A、對(duì)已有病毒提取病毒共性特征；B、建庫(kù)程序，將所有的特征集合起來(lái)，制作成病毒特征庫(kù)；C、遍歷內(nèi)存所有的進(jìn)程模塊，將每個(gè)進(jìn)程模塊看作一塊數(shù)據(jù)流；D、判斷是否有尚未被過濾的數(shù)據(jù)流，如果有則繼續(xù)通過特征庫(kù)配置數(shù)據(jù)流，否則查殺毒完成，退出程序；E、如果某進(jìn)程模塊被特征庫(kù)匹配成功，則認(rèn)為該進(jìn)程模塊空間為病毒空間，該進(jìn)程模塊所對(duì)應(yīng)的文件為病毒文件，轉(zhuǎn)向步驟F，否則判斷該進(jìn)程模塊不是病毒，轉(zhuǎn)向步驟D；F、對(duì)該病毒文件提取一個(gè)文件特征；G、遍歷全磁盤，用以查殺該病毒副本；H、完成查殺該病毒，轉(zhuǎn)向步驟D。
4.根據(jù)權(quán)利要求3所述的計(jì)算機(jī)病毒查殺方法，其特征在于，所述進(jìn)程模塊只對(duì)應(yīng)一個(gè)文件。
5.根據(jù)權(quán)利要求3或4所述的計(jì)算機(jī)病毒查殺方法，其特征在于，步驟F中提取文件特征由掃描模塊自動(dòng)提取。
6.根據(jù)權(quán)利要求3或4所述的計(jì)算機(jī)病毒查殺方法，其特征在于，所述病毒副本是指所有已經(jīng)執(zhí)行和沒有執(zhí)行的病毒文件副本。
7.根據(jù)權(quán)利要求3或4所述的計(jì)算機(jī)病毒查殺方法，其特征在于，所述文件特征是該文件的二進(jìn)制代碼特征。
8.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)病毒查殺方法，其特征在于，所述文件查殺毒方法包括如下過程A、對(duì)已有病毒提取病毒特征；B、建庫(kù)程序，將所有的特征集合起來(lái)，制作成病毒特征庫(kù)；C、遍歷需要查殺毒的文件；D、對(duì)文件進(jìn)行預(yù)處理，生成數(shù)據(jù)流；E、判斷是否有尚未被過濾的數(shù)據(jù)流，如果有則繼續(xù)通過特征庫(kù)配置數(shù)據(jù)流，否則查殺毒完成，退出程序；F、如果數(shù)據(jù)流被特征庫(kù)匹配成功，則認(rèn)為該文件為病毒文件，轉(zhuǎn)向步驟G，否則判斷該進(jìn)程模塊不是病毒，轉(zhuǎn)向步驟E；G、對(duì)本文件進(jìn)行查殺病毒，轉(zhuǎn)向步驟E。
全文摘要
本發(fā)明涉及計(jì)算機(jī)應(yīng)用領(lǐng)域，尤其涉及一種計(jì)算機(jī)病毒的查殺方法。一種基于數(shù)據(jù)流的計(jì)算機(jī)病毒查殺方法，通過病毒特征庫(kù)的特征與需要查殺的數(shù)據(jù)流(由內(nèi)存模塊或文件成生數(shù)據(jù)流)進(jìn)行匹配來(lái)查殺病毒，包括內(nèi)存查殺病毒方法和文件查殺病毒方法。與現(xiàn)有技術(shù)相比，本發(fā)明提供一種在不升級(jí)或少升級(jí)病毒庫(kù)的情況下完成已知病毒的新變種或部分新病毒的識(shí)別。本發(fā)明通過對(duì)已知病毒的分析提取共性二進(jìn)制代碼做為病毒特征查找病毒的新變種或新病毒的內(nèi)存模塊或文件，而后對(duì)該文件(若是內(nèi)存模塊則為內(nèi)存模塊所對(duì)應(yīng)的文件)進(jìn)行自動(dòng)特征提取，生成新的文件病毒特征，病毒數(shù)據(jù)庫(kù)自動(dòng)更新。以查殺已知病毒的新變種和部分新病毒及其所有的副本，完成病毒查殺。
文檔編號(hào)G06F1/00GK1801033SQ200510101378
公開日2006年7月12日 申請(qǐng)日期2005年11月17日 優(yōu)先權(quán)日2005年11月17日
發(fā)明者戴光劍, 趙閩, 王陳, 姚輝, 蔡山楓 申請(qǐng)人:珠海金山軟件股份有限公司