技術領域

本發明屬于計算機技術領域，涉及計算機病毒防護，采用人體免疫系統對細菌和病毒的免疫方法模型實現計算機對病毒程序的自我防護，為一種計算機病毒自動防護方法。

背景技術

目前全球范圍內殺毒軟件大多使用“特征碼”殺毒技術。“特征碼”殺毒技術在病毒不斷增多的當今網絡環境中，缺點顯露：病毒庫不斷膨脹；需要定期聯網更新；始終滯后于病毒；用戶時常感染新病毒。

現有的多種殺毒軟件的技術及缺陷如下：

可見目前大多數殺毒軟件都需要進行計算機系統的掃描，需要病毒庫作為掃描判斷的基礎，對計算機系統的掃描通常都會占用大量系統資源，而病毒庫必須定期升級才能有效工作，日益龐大的病毒庫占用大量存儲空間。

發明內容

本發明要解決的問題是：現有殺毒技術大多依賴病毒庫對病毒進行查殺，占用計算機系統資源，且病毒庫必須定期升級，計算機系統對病毒程序的防護是被動的，對新生病毒在第一時間沒有抵御能力。

本發明的技術方案為：一種計算機病毒自動防護方法，以人體免疫系統為模型，構建防護程序安裝于計算機中，所述防護程序通過監視新程序、工程逆向、判斷擴散性復制語句并獲取復制目標路徑、自動創建高權限抗體文件夾，模擬人體免疫系統中的BCR同源判斷、MHC?II提呈肽段、B細胞釋放抗體的過程，實現計算機對病毒程序的免疫，所述防護程序的運行環境為單機，操作系統為Windows2000及之后版本的所有Windows系統，包括以下步驟：

1)監視新程序：防護程序對注冊表進行設置，將任何COM、EXE程序以所述防護程序作為打開方式，打開COM、EXE程序時即激活防護程序，通過Command啟動參數獲知所打開程序的文件路徑名稱，保存于變量filepath中，隨后防護程序通過調用Windows系統自帶的Wintrust.dll判斷新運行的COM、EXE程序是否擁有合法的、未被篡改的、未過期的數字簽名，若通過則釋放運行；若不通過則暫時滯留程序，作為可疑程序不允許該COM、EXE程序運行，隨后將該掛起的COM、EXE程序的程序路徑通過DDE消息在防護程序內部傳遞，進入下一處理流程；

2)工程逆向：設置脫殼程序供防護程序調用，防護程序將接收的filepath作為啟動參數，調用外部脫殼程序，脫殼程序返回可疑程序被解殼另存的地址至防護程序，所述地址保存于變量UnpackedPath中，防護程序將變量UnpackedPath記載的可疑程序的OPCODE碼與對應的匯編碼進行轉換，實現對可疑程序的反匯編，反匯編結果自動臨時存儲，防護程序在反匯編結果中自動搜索所有的“CALL?DWORD?PTR[XXXXXXX]”語句，即搜索被脫殼的可疑程序的反匯編代碼中所有的調用子過程語句，其中[XXXXXXX]表示匯編代碼，每搜索到一處“CALL?DWORD?PTR[XXXXXXX]”語句，自動在這一句匯編指令上方直到上一句“CALL?DWORD?PTR[XXXXXXX]”區間中尋找“Push”語句，若在兩個調用子過程語句區間內，發現連續兩次的Push語句，則確定所發現的兩個Push語句和第一個搜索到的“CALL?DWORD?PTR[XXXXXXX]”語句共同組成復制語句；防護程序對所述兩個push語句的地址分別進行記錄，將這兩條Push語句分別進行Push目標地址定位，隨后根據push目標地址確定與地址對應的可疑程序的16進制編碼數據，并將16進制數據轉換為Unicode碼的明文形式，獲取所述Unicode碼并將其按照在可疑程序中的順序依次保存在數組push(n)中；

防護程序進行判斷，若返回的數組push(n)均為標準的程序文件路徑格式，則判定搜索到的復制語句是在進行程序文件復制；在進行上述截取疑似復制命令的調用子過程調用語句-轉換目標地址為16進制并進一步轉換為Unicode碼-判斷是否為復制語句的過程中，遍歷檢索可疑程序的反匯編代碼，總結出所有遇到的復制語句；保存push(n)，進行下一步處理；

3)擴散性復制判斷：定義一個初始值為0的分數變量Count，push(n)數組中，每兩個Push目標地址的字符，前一個為原始路徑，后一個為復制的目標路徑；每出現一次原始路徑為可疑程序的自我路徑，Count+10，每出現一次目標路徑為可移動設備或局域網存儲，屬于明顯擴散傳播復制，Count+40；每出現一次目標路徑為Windows系統目錄，屬于系統內部駐留，Count+5；

若Count高于100，按100分計算；