技術領域

本發明涉及防病毒保護領域，尤其是一種用于清除阻止計算機運行的惡意軟件的方法。

背景技術

現有防惡意軟件保護系統可以用兩種方法進行檢測：

·通過先前從惡意文件內容中所獲得的特征數據(簽名、圖案和校驗和等)；

·通過惡意軟件行為(啟發式和行為分析器)。

這兩個是經典的有效抵御已知惡意軟件的方法。然而不幸地是它們對最近新的惡意軟件不起作用。首要原因是它們的特征數據(簽名和校驗和)還沒有進入反病毒軟件的病毒庫。其次在于啟發式和行為分析器并沒有發現任何危險，因為惡意軟件是黑客為了不引起反病毒程序行為分析器的懷疑而改變其行為專門開發出來的。因此這款對反病毒程序來說仍然不熟悉的惡意軟件在用戶運行被感染了的電腦時就會暴露出來。勒索軟件就是這樣阻止電腦運行和啟動的，例如，通過顯示信息，由用戶來執行它們的刑事勒索(通常以某種方式進行支付)。因此，很顯然用戶的電腦感染了病毒(因為惡意程序要求用戶進行一定操作)，電腦運行被阻止，用戶不能正常工作，甚至不能啟動程序來殺毒。此外，防病毒系統不檢測、也不清除病毒感染，因為它既不能通過典型的跡象也不能通過惡意行為來確定任何新的威脅。

發明內容

本發明的目的是提供一種直接由個人計算機用戶執行的活動性感染清除程序，用戶可以檢測感染并且通過可連接到電腦上的外部激活設備與被感染系統共同運行的防病毒復合體相互作用而進行殺毒。此外，這個程序可以分析操作系統內部數據的現有狀態(活動性感染)，并選擇一種特定方法阻止活動性惡意軟件。活動性惡意軟件以下簡稱為指惡意軟件，它通過被感染的個人計算機在特定的時間內運行，并以某種方式暴露自己。

因此，因為防病毒系統既不能通過典型的跡象也不能通過惡意行為來確定任何新的威脅，所以當它們不檢測及清除病毒感染時，使用這種方法可以解決上述常規防病毒系統問題。這是通過用戶向殺毒軟件反映計算機病毒感染情況，并提前啟動搜索和惡意軟件清除程序來實現的，但只適用于活動性感染階段。因此這種方法的特征在于：

·當惡意程序已禁止或限制使用個人電腦上常規輸入設備時，如鍵盤和鼠標(這是典型勒索軟件行為的例子)，使用獨立的外圍設備可以激活清除程序；

·可以進行惡意軟件清除及隨后的解除限制步驟而無需重啟電腦，也不會丟失當前未保存的用戶數據；

·由于用戶啟動清除程序之后檢測到病毒感染，可以檢測并刪除或禁用先前并不存在于反病毒程序病毒庫中的惡意軟件，并進一步自動分析感染時操作系統的當前狀態；

·作為評估一個特定程序被病毒感染的嚴重程度的主要標準之一,檢測行為分析器未能根據其行為識別的惡意軟件不僅僅是通過軟件的正式行為呈現的，而且通過用戶信號接受(通過正在使用的激活設備)以及軟件特征(時空和情景)來實現的；

·可以簡化防病毒復合體和用戶之間的互動，其中對于激活惡意軟件清除程序，用戶只需要插入設備，然后按下按鈕，而不需要其他多余的操作，但要求是計算機安全領域的高學歷人士。

本發明的技術效果是在不丟失數據及重啟電腦的情況下提供解除電腦限制的可能性，提升防病毒系統運行的效率，從而提高電腦系統的安全性。

本發明提供一種清除阻止電腦運行的惡意軟件的方法，這種方法通過專門針對計算機用戶運行的反病毒軟件程序激活而開發的獨立的反病毒激活設備來操作的，反病毒激活設備由連接到控制總線的連接器、通過控制總線提供設備運行軟硬件的邏輯電路和通信的控制器以及激活裝置組成。上述方法包括：

1.連接防病毒激活設備和計算機。

2.從激活裝置發送激活信號。

3.通過激活設備啟動解除限制和惡意軟件清除程序。

因此，所述解除限制和惡意軟件清除程序包括：檢查操作系統的圖形子系統狀態，搜索所有創建的窗口及用戶看過的桌面；分析感染時計算機執行的所有流程；在所收集的數據基礎上創建從每一個所述窗口和桌面到特定流程和/或流程層次結構的綁定；分析流程中的數據并識別運行流程中涉及的每個流程的加載模塊；搜索操作系統啟動過程中自動運行的軟件；編譯認為惡意的軟件列表；隔離每個惡意軟件，且從操作系統配置文件中刪除其鏈接，然后終止該軟件生成的惡意程序。

附圖說明

圖1所示為一種防病毒激活設備概念實施例的示意圖。

圖2所示為以勒索軟件為例，闡述清除惡意軟件的基本步驟。

圖3所示為解除限制和惡意軟件清除程序的流程圖。

具體實施方式