1.一種計(jì)算機(jī)病毒自動(dòng)防護(hù)方法，其特征是以人體免疫系統(tǒng)為模型，構(gòu)建防護(hù)程序安裝于計(jì)算機(jī)中，所述防護(hù)程序通過(guò)監(jiān)視新程序、工程逆向、判斷擴(kuò)散性復(fù)制語(yǔ)句并獲取復(fù)制目標(biāo)路徑、自動(dòng)創(chuàng)建高權(quán)限抗體文件夾，模擬人體免疫系統(tǒng)中的BCR同源判斷、MHC?II提呈肽段、B細(xì)胞釋放抗體的過(guò)程，實(shí)現(xiàn)計(jì)算機(jī)對(duì)病毒程序的免疫，所述防護(hù)程序的運(yùn)行環(huán)境為單機(jī)，操作系統(tǒng)為Windows2000及之后版本的所有Windows系統(tǒng)，包括以下步驟：

1)監(jiān)視新程序：防護(hù)程序?qū)ψ?cè)表進(jìn)行設(shè)置，將任何COM、EXE程序以所述防護(hù)程序作為打開(kāi)方式，打開(kāi)COM、EXE程序時(shí)即激活防護(hù)程序，通過(guò)Command啟動(dòng)參數(shù)獲知所打開(kāi)程序的文件路徑名稱(chēng)，保存于變量filepath中，隨后防護(hù)程序通過(guò)調(diào)用Windows系統(tǒng)自帶的Wintrust.dll判斷新運(yùn)行的COM、EXE程序是否擁有合法的、未被篡改的、未過(guò)期的數(shù)字簽名，若通過(guò)則釋放運(yùn)行；若不通過(guò)則暫時(shí)滯留程序，作為可疑程序不允許該COM、EXE程序運(yùn)行，隨后將該掛起的COM、EXE程序的程序路徑通過(guò)DDE消息在防護(hù)程序內(nèi)部傳遞，進(jìn)入下一處理流程；

2)工程逆向：設(shè)置脫殼程序供防護(hù)程序調(diào)用，防護(hù)程序?qū)⒔邮盏膄ilepath作為啟動(dòng)參數(shù)，調(diào)用外部脫殼程序，脫殼程序返回可疑程序被解殼另存的地址至防護(hù)程序，所述地址保存于變量UnpackedPath中，防護(hù)程序?qū)⒆兞縐npackedPath記載的可疑程序的OPCODE碼與對(duì)應(yīng)的匯編碼進(jìn)行轉(zhuǎn)換，實(shí)現(xiàn)對(duì)可疑程序的反匯編，反匯編結(jié)果自動(dòng)臨時(shí)存儲(chǔ)，防護(hù)程序在反匯編結(jié)果中自動(dòng)搜索所有的“CALL?DWORD?PTR[XXXXXXX]”語(yǔ)句，即搜索被脫殼的可疑程序的反匯編代碼中所有的調(diào)用子過(guò)程語(yǔ)句，其中[XXXXXXX]表示匯編代碼，每搜索到一處“CALL?DWORD?PTR[XXXXXXX]”語(yǔ)句，自動(dòng)在這一句匯編指令上方直到上一句“CALL?DWORD?PTR[XXXXXXX]”區(qū)間中尋找“Push”語(yǔ)句，若在兩個(gè)調(diào)用子過(guò)程語(yǔ)句區(qū)間內(nèi)，發(fā)現(xiàn)連續(xù)兩次的Push語(yǔ)句，則確定所發(fā)現(xiàn)的兩個(gè)Push語(yǔ)句和第一個(gè)搜索到的“CALL?DWORD?PTR[XXXXXXX]”語(yǔ)句共同組成復(fù)制語(yǔ)句；防護(hù)程序?qū)λ鰞蓚€(gè)push語(yǔ)句的地址分別進(jìn)行記錄，將這兩條Push語(yǔ)句分別進(jìn)行Push目標(biāo)地址定位，隨后根據(jù)push目標(biāo)地址確定與地址對(duì)應(yīng)的可疑程序的16進(jìn)制編碼數(shù)據(jù)，并將16進(jìn)制數(shù)據(jù)轉(zhuǎn)換為Unicode碼的明文形式，獲取所述Unicode碼并將其按照在可疑程序中的順序依次保存在數(shù)組push(n)中；

防護(hù)程序進(jìn)行判斷，若返回的數(shù)組push(n)均為標(biāo)準(zhǔn)的程序文件路徑格式，則判定搜索到的復(fù)制語(yǔ)句是在進(jìn)行程序文件復(fù)制；在進(jìn)行上述截取疑似復(fù)制命令的調(diào)用子過(guò)程調(diào)用語(yǔ)句-轉(zhuǎn)換目標(biāo)地址為16進(jìn)制并進(jìn)一步轉(zhuǎn)換為Unicode碼-判斷是否為復(fù)制語(yǔ)句的過(guò)程中，遍歷檢索可疑程序的反匯編代碼，總結(jié)出所有遇到的復(fù)制語(yǔ)句；保存push(n)，進(jìn)行下一步處理；

3)擴(kuò)散性復(fù)制判斷：定義一個(gè)初始值為0的分?jǐn)?shù)變量Count，push(n)數(shù)組中，每?jī)蓚€(gè)Push目標(biāo)地址的字符，前一個(gè)為原始路徑，后一個(gè)為復(fù)制的目標(biāo)路徑；每出現(xiàn)一次原始路徑為可疑程序的自我路徑，Count+10，每出現(xiàn)一次目標(biāo)路徑為可移動(dòng)設(shè)備或局域網(wǎng)存儲(chǔ)，屬于明顯擴(kuò)散傳播復(fù)制，Count+40；每出現(xiàn)一次目標(biāo)路徑為Windows系統(tǒng)目錄，屬于系統(tǒng)內(nèi)部駐留，Count+5；

若Count高于100，按100分計(jì)算；

設(shè)置擴(kuò)散性復(fù)制的閾值，閾值與防護(hù)程序的安全級(jí)別對(duì)應(yīng)，閾值越小則防護(hù)的安全級(jí)別越高，若Count高于閾值小于100，則判為有擴(kuò)散性復(fù)制；反之，Count小于閾值則為無(wú)擴(kuò)散性復(fù)制，解除對(duì)所涉及的可疑程序的凍結(jié)，允許其運(yùn)行；

被判為有擴(kuò)散性復(fù)制的程序隨即進(jìn)入下一步處理；

4)同名高權(quán)限文件夾創(chuàng)建：防護(hù)程序進(jìn)行創(chuàng)建文件夾操作，在該具備擴(kuò)散性復(fù)制的程序的所有擴(kuò)散性復(fù)制目標(biāo)路徑創(chuàng)建文件夾，所述文件夾與可疑程序的復(fù)制目標(biāo)路徑的文件同名，通過(guò)VB中修改文件屬性的方法設(shè)置文件夾為隱藏，并通過(guò)advapi32和Kernel32的API調(diào)用，臨時(shí)建立計(jì)算機(jī)的系統(tǒng)權(quán)限用戶(hù)“SysUser”，將剛剛建立的隱藏文件夾設(shè)置為“SysUser”權(quán)限，即系統(tǒng)用戶(hù)權(quán)限；

5)病毒出錯(cuò)退出：執(zhí)行完步驟4)，解除對(duì)滯留可疑程序的凍結(jié)，允許其運(yùn)行，則具有擴(kuò)散性復(fù)制的可疑程序進(jìn)行執(zhí)行到文件復(fù)制指令時(shí)，便遇上步驟4)創(chuàng)建的同名文件夾，也就是高權(quán)限抗體文件夾，出現(xiàn)RuntimeError錯(cuò)誤，彈出各類(lèi)出錯(cuò)對(duì)話(huà)框，在彈出出錯(cuò)對(duì)話(huà)框后，可疑程序由于微軟操作系統(tǒng)的特性，出錯(cuò)并被操作系統(tǒng)結(jié)束；

經(jīng)過(guò)以上步驟，實(shí)現(xiàn)計(jì)算機(jī)對(duì)病毒程序的自動(dòng)防護(hù)。