技術(shù)領(lǐng)域

本發(fā)明屬于智能電子設(shè)備領(lǐng)域，特別涉及一種智能電子設(shè)備操作系統(tǒng)的 動態(tài)恢復(fù)方法及其裝置。

背景技術(shù)

隨著智能電子設(shè)備的普及性增強，人們對電子設(shè)備的依賴性也逐步增強， 越來越多的工作和個人隱私等方面的重要資料都存儲在電子設(shè)備上，供用戶 對這些重要資料進(jìn)行操作。

但是這些電子設(shè)備智能執(zhí)行用戶的使用命令，并不能記錄它所執(zhí)行的行 為，以及行為之間的關(guān)聯(lián)性，無法準(zhǔn)確記錄操作系統(tǒng)的操作過程。因此，現(xiàn) 有技術(shù)中，人們會將電子設(shè)備某一狀態(tài)下的數(shù)據(jù)進(jìn)行備份，是一種靜態(tài)備份， 如將電子設(shè)備的出廠狀態(tài)的數(shù)據(jù)進(jìn)行備份，當(dāng)存在惡意代碼或間諜軟件侵犯 電子設(shè)備的操作系統(tǒng)，影響操作系統(tǒng)智能的正常工作時，現(xiàn)有技術(shù)中人們只 能利用備份的系統(tǒng)文件恢復(fù)操作系統(tǒng)，被動地將操作系統(tǒng)恢復(fù)至某一原始狀 態(tài)，且電子設(shè)備只能恢復(fù)至靜態(tài)備份狀態(tài)，使得靜態(tài)備份狀態(tài)之后存儲在電 子設(shè)備中的許多重要數(shù)據(jù)丟失，并無法恢復(fù)。

發(fā)明內(nèi)容

本發(fā)明的一個目的是解決至少上述問題或缺陷，并提供至少后面將說明 的優(yōu)點。

本發(fā)明的一個目的是記錄電子設(shè)備中的所有操作行為，將智能電子設(shè)備 的操作行為進(jìn)行備份，實現(xiàn)動態(tài)備份，完整記錄每個行為發(fā)生的時間、行為 的內(nèi)容和完成的結(jié)果，以及各個行為之間的相互作用關(guān)系。

本發(fā)明還有一個目的是記錄智能電子設(shè)備中的所有行為，并查找所有行 為中是否存在惡意行為，當(dāng)存在惡意行為時，則通過撤銷該惡意行為相關(guān)的 所有行為，使得智能電子設(shè)備恢復(fù)至惡意行為侵犯前的狀態(tài)。

本發(fā)明還有一個目的是記錄智能電子設(shè)備中的所有行為，并將具有關(guān)聯(lián) 性的行為作為一事件綁定存儲，當(dāng)確定惡意行為時，則提取與該惡意行為相 關(guān)的事件，進(jìn)一步通過該事件確定并撤銷與該惡意行為相關(guān)的所有行為，從 而有效防止引發(fā)該惡意行為的惡意代碼的潛伏，徹底智能電子設(shè)備中的所有 惡意危害。

為了實現(xiàn)根據(jù)本發(fā)明的這些目的和其它優(yōu)點，提供了一種智能電子設(shè)備 操作系統(tǒng)的動態(tài)恢復(fù)方法，包括：

步驟一、記錄智能電子設(shè)備運行過程中的所有行為，將具有關(guān)聯(lián)性的所 述行為綁定存儲作為一事件；監(jiān)控并記錄系統(tǒng)的狀態(tài)變遷，文件的增加刪除， 郵件的收發(fā)，系統(tǒng)服務(wù)的增加和減少、內(nèi)核模塊的增加和減少，系統(tǒng)配置信 息的更新等行為，每一個行為記一條記錄，包括該行為的發(fā)生時間、發(fā)生事 件的PID，這樣描述一個完整的系統(tǒng)變化軌跡，供后繼分析和恢復(fù)還原。

步驟二、遍歷所有行為檢測該操作系統(tǒng)中是否存在惡意行為；若存在惡 意行為時，查找該惡意行為關(guān)聯(lián)的事件，并撤銷該事件相關(guān)聯(lián)的所有行為。

通過電腦、智能手機等智能電子設(shè)備的內(nèi)核驅(qū)動，監(jiān)控整個操作系統(tǒng)中 所有線程、進(jìn)程、文件、注冊表、網(wǎng)絡(luò)、內(nèi)存變遷、文件傳輸、關(guān)鍵函數(shù)調(diào) 用等一系列運行細(xì)節(jié)，生成詳細(xì)的、連續(xù)的、完整的描述智能電子設(shè)備運行 行為的紀(jì)錄。同時，根據(jù)記錄的行為聯(lián)系性，對記錄的行為進(jìn)行分析、歸納， 抽取得到多個行為關(guān)聯(lián)的事件，所述事件包括程序啟動、線程注入、模塊加 載、APIHook等。遍歷系統(tǒng)中記錄的所有行為。通過全面監(jiān)控和描述整個系 統(tǒng)的運行軌跡，將隱藏在系統(tǒng)進(jìn)程中的模塊的行為從系統(tǒng)進(jìn)程中區(qū)分開來， 準(zhǔn)確描述具體每個木馬文件(DLL或腳本)的行為，從而精確描述木馬樣本 釋放文件的過程，以及它的每個文件的運行細(xì)節(jié)和過程，實現(xiàn)一個木馬運行 的詳細(xì)分析報告和它的每個文件的運行分析報告。當(dāng)行為中存在影響操作系 統(tǒng)工作的惡意行為時，則通過該惡意行為所關(guān)聯(lián)的事件確定該事件的所有行 為，并通過撤銷該事件的所有行為將控制系統(tǒng)恢復(fù)至惡意行為影響之間的狀 態(tài)。