技術(shù)領(lǐng)域

本發(fā)明涉及一種計(jì)算機(jī)安全防護(hù)方法及計(jì)算機(jī)安全防護(hù)工具，特別是一種針對(duì)惡意程序的通用計(jì)算機(jī)安全防護(hù)方法及通用計(jì)算機(jī)安全防護(hù)工具，屬于計(jì)算機(jī)安全技術(shù)領(lǐng)域。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，在各種應(yīng)用軟件不斷對(duì)陳出新的同時(shí)，包括文件病毒、蠕蟲、腳本病毒、木馬以及黑客程序等以攻擊和破壞計(jì)算機(jī)正常操作為目的惡意程序也層出不窮；根據(jù)最新的網(wǎng)絡(luò)安全報(bào)告顯示，最近一兩年對(duì)計(jì)算機(jī)產(chǎn)生安全成脅的惡意程序中，相對(duì)于傳統(tǒng)的普通病毒、蠕蟲和垃圾郵件，間諜軟件、廣告軟件、黑客軟件以及網(wǎng)絡(luò)釣魚軟件(Phishing)等新型的惡意程序更具攻擊性和破壞力，已經(jīng)毫無爭(zhēng)議的成為計(jì)算機(jī)安全的首要威脅。而且，由于現(xiàn)代社會(huì)信息處理對(duì)計(jì)算機(jī)技術(shù)的依賴日益加深，因此惡意程序的攻擊所產(chǎn)生的危害性也越來越大，比如，在過去的幾年中，每年都會(huì)爆發(fā)大規(guī)模的病毒和蠕蟲的攻擊，使得全球幾千萬臺(tái)計(jì)算機(jī)受到破壞，導(dǎo)致難以估計(jì)的經(jīng)濟(jì)損失。

為了將惡意軟件的危害性降低到最低程度，人們研制了眾多的計(jì)算機(jī)安全防護(hù)工具來保護(hù)計(jì)算機(jī)免受惡意程序的攻擊和破壞，目前比較流行的計(jì)算機(jī)安全防護(hù)工具可以分為兩種類型：

一類是通過實(shí)時(shí)的安全防護(hù)，對(duì)入侵的惡意程序進(jìn)行隔離的計(jì)算機(jī)安全防護(hù)工具，比如具有實(shí)時(shí)防護(hù)功能病毒防護(hù)工具，能夠?qū)崟r(shí)的對(duì)當(dāng)前活躍的程序和文件進(jìn)行病毒分析和檢測(cè)，從而在病毒入侵和駐留之前將其清除；再比如防火墻，通過對(duì)通訊端口和通訊協(xié)議等進(jìn)行限制來阻止惡意程序的入侵；

一類是對(duì)可能形成威脅的感染文件進(jìn)行搜索和檢測(cè)的計(jì)算機(jī)安全防護(hù)工具，例如現(xiàn)有的殺毒軟件和木馬檢測(cè)軟件，利用已知的病毒和木馬代碼特征，通過掃描發(fā)現(xiàn)并清除有害的惡意程序以及其感染的文件。

隨著計(jì)算機(jī)安全防護(hù)工具技術(shù)水平的提高，不僅能夠通過惡意程序的特征碼對(duì)已知的惡意程序進(jìn)行有效和可靠的識(shí)別，而且，還有一些比較優(yōu)秀的安全防護(hù)工具能夠根據(jù)表現(xiàn)出來的破壞性行為特征來識(shí)別一些未知的惡意程序。也就是說，現(xiàn)有的安全防護(hù)工具在技術(shù)上已經(jīng)能夠很好的識(shí)別和發(fā)現(xiàn)已知和未知的惡意程序。

但問題是在現(xiàn)有技術(shù)中，計(jì)算機(jī)安全防護(hù)工具面向惡意程序?qū)剐蕴幚矶际侵塾趩蝹€(gè)的惡意程序，通過移除或者隔離的方式隨時(shí)發(fā)現(xiàn)隨時(shí)清理，這就給大量采用了防移除技術(shù)的已知和未知惡意程序帶來了可乘之機(jī)，實(shí)現(xiàn)對(duì)計(jì)算機(jī)安全防護(hù)工具的對(duì)抗。例如，通過直接注入到計(jì)算機(jī)操作系統(tǒng)的關(guān)鍵程序，甚至是計(jì)算機(jī)操作系統(tǒng)的內(nèi)核程序中，阻止計(jì)算機(jī)安全防護(hù)工具的發(fā)現(xiàn)以及進(jìn)一步刪除；或者，惡意程序通過特殊的恢復(fù)技術(shù)來保護(hù)自己不被安全防護(hù)軟件清除，即使安全防護(hù)軟件刪除了部分惡意程序的進(jìn)程，惡意進(jìn)程也可能通過自身的恢復(fù)技術(shù)重新駐留到計(jì)算機(jī)系統(tǒng)之中；甚至，惡意進(jìn)程同時(shí)具有隱性進(jìn)程和顯性進(jìn)程，只有在安全防護(hù)工具實(shí)時(shí)清除或者檢索清除惡意程序的顯性進(jìn)程時(shí)，才突然觸發(fā)隱藏的隱性攻擊進(jìn)程，而導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)的崩潰。顯然，在現(xiàn)有技術(shù)中，僅能做到對(duì)惡意程序特征碼和行為特征的發(fā)現(xiàn)和識(shí)別是不夠的，必須提供能夠克服防移除程序的技術(shù)方案來保證計(jì)算機(jī)系統(tǒng)的安全。

發(fā)明內(nèi)容

本發(fā)明的目的是解決現(xiàn)有技術(shù)中無法徹底清除計(jì)算機(jī)系統(tǒng)的惡意程序，特別是頑固型惡意程序，進(jìn)而難以有效保證計(jì)算機(jī)系統(tǒng)安全的技術(shù)問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種計(jì)算機(jī)安全防護(hù)方法，包括以下步驟：

啟動(dòng)對(duì)計(jì)算機(jī)系統(tǒng)的安全檢測(cè)；對(duì)于未檢測(cè)到惡意程序的情況，進(jìn)行計(jì)算機(jī)系統(tǒng)狀態(tài)保存；對(duì)于檢測(cè)到惡意程序的情況，還原已保存的系統(tǒng)狀態(tài)。

較佳的技術(shù)方案是對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全檢測(cè)之前，還包括：

實(shí)時(shí)監(jiān)控并暫停對(duì)計(jì)算機(jī)系統(tǒng)磁盤分區(qū)的任一修改；提取所述磁盤分區(qū)被修改地址的原有數(shù)據(jù)并寫入當(dāng)前磁盤數(shù)據(jù)保護(hù)區(qū)，并在與當(dāng)前磁盤數(shù)據(jù)保護(hù)區(qū)對(duì)應(yīng)的磁盤狀態(tài)修改日志中記錄磁盤分區(qū)修改信息；對(duì)所述磁盤分區(qū)執(zhí)行所述修改。

則進(jìn)行計(jì)算機(jī)系統(tǒng)狀態(tài)保存具體為：

停止實(shí)時(shí)監(jiān)控；清空當(dāng)前磁盤數(shù)據(jù)保護(hù)區(qū)中的數(shù)據(jù)和對(duì)應(yīng)的磁盤狀態(tài)修改日志的記錄；啟動(dòng)實(shí)時(shí)監(jiān)控。

或者，停止實(shí)時(shí)監(jiān)控；新建空的磁盤狀態(tài)修改日志和磁盤數(shù)據(jù)保護(hù)區(qū)，并設(shè)置為當(dāng)前磁盤數(shù)據(jù)保護(hù)區(qū)和對(duì)應(yīng)的磁盤狀態(tài)修改日志；啟動(dòng)實(shí)時(shí)監(jiān)控。

還原已保存的系統(tǒng)狀態(tài)具體為：

停止實(shí)時(shí)監(jiān)控；根據(jù)磁盤狀態(tài)修改日志，將當(dāng)前磁盤數(shù)據(jù)保護(hù)區(qū)中的數(shù)據(jù)逐一覆蓋到磁盤分區(qū)的對(duì)應(yīng)地址；啟動(dòng)實(shí)時(shí)監(jiān)控。

或者，停止實(shí)時(shí)監(jiān)控；進(jìn)行磁盤數(shù)據(jù)保護(hù)區(qū)的選擇；根據(jù)對(duì)應(yīng)的磁盤狀態(tài)修改日志，將所選擇的磁盤數(shù)據(jù)保護(hù)區(qū)中的數(shù)據(jù)逐一覆蓋到磁盤分區(qū)的對(duì)應(yīng)地址；啟動(dòng)實(shí)時(shí)監(jiān)控。