本發(fā)明專利技術(shù)公開(kāi)了一種用于檢測(cè)和清除計(jì)算機(jī)病毒的方法和裝置。所述方法包括:檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng),在存在病毒的情況下對(duì)其進(jìn)行清除處理;和/或檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄,在存在病毒的情況下恢復(fù)默認(rèn)的主引導(dǎo)記錄;和/或檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層,在存在病毒的情況下禁止加載感染病毒的驅(qū)動(dòng);和檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層,在存在病毒的情況下對(duì)其進(jìn)行清除處理。根據(jù)本發(fā)明專利技術(shù)的實(shí)施例,采用多層檢測(cè)和清除方式,從底層開(kāi)始對(duì)病毒進(jìn)行檢測(cè)和清除處理,可以確保徹底清除存在于各層中的病毒,極大地提高了檢測(cè)和清除計(jì)算機(jī)病毒的能力,保證了計(jì)算機(jī)系統(tǒng)的安全。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及計(jì)算機(jī)安全,具體涉及一種用于檢測(cè)和清除計(jì)算機(jī)病毒的方法和裝置。
技術(shù)介紹
計(jì)算機(jī)病毒是一個(gè)概括性的術(shù)語(yǔ),指任何故意創(chuàng)建用來(lái)執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。感染性病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒(batch, windows shell, java等)、木馬、犯罪軟件、間謀軟件和廣 告軟件等等,都是一些可以稱之為計(jì)算機(jī)病毒的例子。在傳統(tǒng)的計(jì)算機(jī)病毒查殺技術(shù)中,在應(yīng)用層(Ring 3)枚舉所有文件和注冊(cè)表,然后與云端的病毒數(shù)據(jù)庫(kù)進(jìn)行對(duì)比,對(duì)存在問(wèn)題的文件和注冊(cè)表進(jìn)行清除處理。隨著Rootkit技術(shù)的發(fā)展,出現(xiàn)了針對(duì)內(nèi)核驅(qū)動(dòng)層(Ring O)的計(jì)算機(jī)病毒查殺技術(shù),包括內(nèi)核驅(qū)動(dòng)的穿越技術(shù)和防回寫技術(shù)。但隨著木馬技術(shù)的發(fā)展,這些傳統(tǒng)的計(jì)算機(jī)病毒查殺技術(shù)已經(jīng)顯得黔驢技窮。Rootkit是一種特殊的病毒(惡意軟件),它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息,比較多見(jiàn)到的是Rootkit —般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過(guò)加載特殊的驅(qū)動(dòng),修改系統(tǒng)內(nèi)核,進(jìn)而達(dá)到隱藏信息的目的。Bootkit是更高級(jí)的Rootkit,該概念最早于2005年被eEye Digital公司在他們的“BootRoot項(xiàng)目中提及,該項(xiàng)目通過(guò)感染MBR (Master Boot Record,(硬盤的)主引導(dǎo)記錄)的方式,實(shí)現(xiàn)繞過(guò)內(nèi)核檢查和啟動(dòng)隱身。可以認(rèn)為,所有在開(kāi)機(jī)時(shí)比Windows內(nèi)核更早加載,實(shí)現(xiàn)內(nèi)核劫持的技術(shù),都可以稱之為Bootkit,例如后來(lái)的BIOS Rootkit, VBootkit,SMM Rootkit等。隨著B(niǎo)ootkit技術(shù)的發(fā)展,目前包括木馬的計(jì)算機(jī)病毒已經(jīng)朝著無(wú)文件、無(wú)注冊(cè)表、無(wú)模塊的方向發(fā)展,只存在于計(jì)算機(jī)操作系統(tǒng)之外的扇區(qū)和Shellcode (填充數(shù)據(jù)沖,使傳統(tǒng)的病毒查殺技術(shù)無(wú)的放矢,這樣的病毒例如鬼影系列(1、2、3)、TLD4、以及BMWBIOS木馬。因此,即使查殺了木馬文件,但由于根源沒(méi)有清除,導(dǎo)致重啟后木馬又復(fù)活,反復(fù)查殺,仍舊無(wú)法清除該木馬。同時(shí),MBR內(nèi)的木馬還會(huì)釋放出惡意驅(qū)動(dòng),干擾查殺,甚至導(dǎo)致查殺程序無(wú)法啟動(dòng)。
技術(shù)實(shí)現(xiàn)思路
鑒于上述問(wèn)題,提出了本專利技術(shù),以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的用于檢測(cè)和清除計(jì)算機(jī)病毒的方法以及相應(yīng)的裝置。依據(jù)本專利技術(shù)的一個(gè)方面,提供了一種用于檢測(cè)和清除計(jì)算機(jī)病毒的方法,包括檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng),在存在病毒的情況下對(duì)其進(jìn)行清除處理;和/或檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄,在存在病毒的情況下恢復(fù)默認(rèn)的主引導(dǎo)記錄;和/或檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層,在存在病毒的情況下禁止加載感染病毒的驅(qū)動(dòng);和檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層,在存在病毒的情況下對(duì)其進(jìn)行清除處理。在本專利技術(shù)的實(shí)施例中,在所述檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng)的步驟中,基于包含計(jì)算機(jī)基本輸入輸出系統(tǒng)的病毒的特征碼的預(yù)先定義的第一病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng)中是否存在病毒。在本專利技術(shù)的實(shí)施例中,在所述檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄的步驟中,基于包含計(jì)算機(jī)硬盤的主引導(dǎo)記錄的病毒的特征碼的預(yù)先定義的第二病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒。在本專利技術(shù)的實(shí)施例中,在所述檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層的步驟中,基于包含計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層的病毒的特征碼的預(yù)先定義的第三病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層中是否存在Rootkit病毒。 在本專利技術(shù)的實(shí)施例中,在所述檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層的步驟中,基于包含計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層的病毒的特征碼的預(yù)先定義的第四病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層中是否存在病毒。在本專利技術(shù)的實(shí)施例中,檢測(cè)是否存在病毒的步驟包括基于病毒的特征碼,對(duì)待檢測(cè)的文件進(jìn)行定位處理和匹配處理,在待檢測(cè)的文件與病毒的特征碼匹配的情況下,判定該待檢測(cè)的文件感染了該病毒。在本專利技術(shù)的實(shí)施例中,所述基于包含計(jì)算機(jī)硬盤的主引導(dǎo)記錄的病毒的特征碼的預(yù)先定義的第二病毒數(shù)據(jù)庫(kù)、檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒的步驟包括基于所述預(yù)先定義的第二病毒數(shù)據(jù)庫(kù),利用啟發(fā)式檢測(cè)來(lái)檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒。在本專利技術(shù)的實(shí)施例中,所述預(yù)先定義的第一病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第二病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第三病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第四病毒數(shù)據(jù)庫(kù)存儲(chǔ)于所述計(jì)算機(jī)本地,并且/或者存儲(chǔ)于遠(yuǎn)程的服務(wù)器。在本專利技術(shù)的實(shí)施例中,所述在存在病毒的情況下恢復(fù)默認(rèn)的主引導(dǎo)記錄步驟中,利用存儲(chǔ)于所述計(jì)算機(jī)本地或者遠(yuǎn)程的服務(wù)器的默認(rèn)的主引導(dǎo)記錄替換感染病毒的主引導(dǎo)記錄。根據(jù)本專利技術(shù)的另一方面,提供了一種用于檢測(cè)和清除計(jì)算機(jī)病毒的裝置,包括第一檢測(cè)和清除模塊,用于檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng),在存在病毒的情況下對(duì)其進(jìn)行清除處理;和/或第二檢測(cè)和清除模塊,用于檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄,在存在病毒的情況下恢復(fù)默認(rèn)的主引導(dǎo)記錄;和/或第三檢測(cè)和清除模塊,用于檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層,在存在病毒的情況下禁止加載感染病毒的驅(qū)動(dòng);和第四檢測(cè)和清除模塊,用于檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層,在存在病毒的情況下對(duì)其進(jìn)行清除處理。在本專利技術(shù)的實(shí)施例中,所述第一檢測(cè)和清除模塊基于包含計(jì)算機(jī)基本輸入輸出系統(tǒng)的病毒的特征碼的預(yù)先定義的第一病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng)中是否存在病毒。在本專利技術(shù)的實(shí)施例中,所述第二檢測(cè)和清除模塊基于包含計(jì)算機(jī)硬盤的主引導(dǎo)記錄的病毒的特征碼的預(yù)先定義的第二病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒。在本專利技術(shù)的實(shí)施例中,所述第三檢測(cè)和清除模塊基于包含計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層的病毒的特征碼的預(yù)先定義的第三病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層中是否存在Rootkit病毒。在本專利技術(shù)的實(shí)施例中,所述第四檢測(cè)和清除模塊基于包含計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層的病毒的特征碼的預(yù)先定義的第四病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層中是否存在病毒。在本專利技術(shù)的實(shí)施例中,所述第一檢測(cè)和清除模塊、所述第二檢測(cè)和清除模塊、所述第三檢測(cè)和清除模塊、以及所述第四檢測(cè)和清除模塊基于病毒的特征碼,對(duì)待檢測(cè)的文件進(jìn)行定位處理和匹配處理,在待檢測(cè)的文件與病毒的特征碼匹配的情況下,判定該待檢測(cè)·的文件感染了該病毒。在本專利技術(shù)的實(shí)施例中,所述第二檢測(cè)和清除模塊基于所述預(yù)先定義的第二病毒數(shù)據(jù)庫(kù),利用啟發(fā)式檢測(cè)來(lái)檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒。在本專利技術(shù)的實(shí)施例中,所述預(yù)先定義的第一病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第二病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第三病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第四病毒數(shù)據(jù)庫(kù)存儲(chǔ)于所述計(jì)算機(jī)本地,并且/或者存儲(chǔ)于遠(yuǎn)程的服務(wù)器。在本專利技術(shù)的實(shí)施例中,所述第二檢測(cè)和清除模塊利用存儲(chǔ)于所述計(jì)算機(jī)本地或者遠(yuǎn)程的服務(wù)器的默認(rèn)的主引導(dǎo)記錄替換感染病毒的主引導(dǎo)記錄。根據(jù)本專利技術(shù)的又一方面,還提供了一種用于檢測(cè)和清除計(jì)算機(jī)病毒的系統(tǒng),包括上述用于檢測(cè)和清除計(jì)算機(jī)病毒的裝置、以及存儲(chǔ)于所述計(jì)算機(jī)本地并且/或者存儲(chǔ)于遠(yuǎn)程的服務(wù)器中的預(yù)先定義的病毒數(shù)據(jù)庫(kù),所述預(yù)先定義的病毒數(shù)據(jù)庫(kù)包括上述預(yù)先定義的第一病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第二病毒數(shù)據(jù)庫(kù)、以及預(yù)先定義的第三病毒數(shù)據(jù)庫(kù)中的一個(gè)或者多個(gè),并且包括上述預(yù)先定義的第四病毒本文檔來(lái)自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種用于檢測(cè)和清除計(jì)算機(jī)病毒的方法,包括:檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng),在存在病毒的情況下對(duì)其進(jìn)行清除處理;和/或檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄,在存在病毒的情況下恢復(fù)默認(rèn)的主引導(dǎo)記錄;和/或檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層,在存在病毒的情況下禁止加載感染病毒的驅(qū)動(dòng);和檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層,在存在病毒的情況下對(duì)其進(jìn)行清除處理。
【技術(shù)特征摘要】
1.一種用于檢測(cè)和清除計(jì)算機(jī)病毒的方法,包括 檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng),在存在病毒的情況下對(duì)其進(jìn)行清除處理;和/或 檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄,在存在病毒的情況下恢復(fù)默認(rèn)的主引導(dǎo)記錄;和/或 檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層,在存在病毒的情況下禁止加載感染病毒的驅(qū)動(dòng);和 檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層,在存在病毒的情況下對(duì)其進(jìn)行清除處理。2.如權(quán)利要求I所述的方法,其中在所述檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng)的步驟中,基于包含計(jì)算機(jī)基本輸入輸出系統(tǒng)的病毒的特征碼的預(yù)先定義的第一病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng)中是否存在病毒。3.如權(quán)利要求I所述的方法,其中在所述檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄的步驟中,基于包含計(jì)算機(jī)硬盤的主引導(dǎo)記錄的病毒的特征碼的預(yù)先定義的第二病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒。4.如權(quán)利要求I所述的方法,其中在所述檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層的步驟中,基于包含計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層的病毒的特征碼的預(yù)先定義的第三病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)操作系統(tǒng)的驅(qū)動(dòng)層中是否存在Rootkit病毒。5.如權(quán)利要求I所述的方法,其中在所述檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層的步驟中,基于包含計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層的病毒的特征碼的預(yù)先定義的第四病毒數(shù)據(jù)庫(kù),檢測(cè)計(jì)算機(jī)操作系統(tǒng)的應(yīng)用層中是否存在病毒。6.如權(quán)利要求2-5中的任一項(xiàng)所述的方法,其中檢測(cè)是否存在病毒的步驟包括基于病毒的特征碼,對(duì)待檢測(cè)的文件進(jìn)行定位處理和匹配處理,在待檢測(cè)的文件與病毒的特征碼匹配的情況下,判定該待檢測(cè)的文件感染了該病毒。7.如權(quán)利要求3所述的方法,其中所述基于包含計(jì)算機(jī)硬盤的主引導(dǎo)記錄的病毒的特征碼的預(yù)先定義的第二病毒數(shù)據(jù)庫(kù)、檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒的步驟包括基于所述預(yù)先定義的第二病毒數(shù)據(jù)庫(kù),利用啟發(fā)式檢測(cè)來(lái)檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄中是否存在Bootkit病毒。8.如權(quán)利要求1-5中的任一項(xiàng)所述的方法,其中所述預(yù)先定義的第一病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第二病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第三病毒數(shù)據(jù)庫(kù)、預(yù)先定義的第四病毒數(shù)據(jù)庫(kù)存儲(chǔ)于所述計(jì)算機(jī)本地,并且/或者存儲(chǔ)于遠(yuǎn)程的服務(wù)器。9.如權(quán)利要求I所述的方法,其中所述在存在病毒的情況下恢復(fù)默認(rèn)的主引導(dǎo)記錄步驟中,利用存儲(chǔ)于所述計(jì)算機(jī)本地或者遠(yuǎn)程的服務(wù)器的默認(rèn)的主引導(dǎo)記錄替換感染病毒的主引導(dǎo)記錄。10.一種用于檢測(cè)和清除計(jì)算機(jī)病毒的裝置(200),包括 第一檢測(cè)和清除模塊(201),用于檢測(cè)計(jì)算機(jī)基本輸入輸出系統(tǒng),在存在病毒的情況下對(duì)其進(jìn)行清除處理;和/或 第二檢測(cè)和清除模塊(203),用于檢測(cè)計(jì)算機(jī)硬盤的主引導(dǎo)記錄,在存在病毒的情況...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:邵堅(jiān)磊,姚彤,馬貞輝,
申請(qǐng)(專利權(quán))人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發(fā)明
國(guó)別省市:
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。