著录项信息
专利名称 | 一种防止计算机病毒的方法及装置 |
申请号 | CN03143793.1 | 申请日期 | 2003-08-06 |
法律状态 | 权利终止 | 申报国家 | 中国 |
公开/公告日 | 2005-02-16 | 公开/公告号 | CN1581088 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | G06F11/00 | IPC分类号 | G;0;6;F;1;1;/;0;0;;;G;0;6;F;1;1;/;0;8查看分类表>
|
申请人 | 华为技术有限公司 | 申请人地址 | 广东省深圳市龙岗区坂田华为总部办公楼
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 华为技术有限公司 | 当前权利人 | 华为技术有限公司 |
发明人 | 李刚;夏泉源 |
代理机构 | 北京凯特来知识产权代理有限公司 | 代理人 | 郑立明 |
摘要
本发明提供了一种防止计算机病毒的方法,该方法包括步骤:建立包含未感染病毒的应用程序文件信息的原始信息文件;当应用程序文件请求运行时,提取该应用程序文件的信息生成新的信息文件;比较新旧信息文件,并根据比较结果控制该应用程序文件运行。本发明还提供了一种实现上述方法的装置,该装置包括:控制装置、检测装置和信息生成装置,当有应用程序文件请求运行时,由控制装置控制检测装置调动信息生成装置完成对该程序文件是否已被改变的检测,并根据检测结果控制该应用程序文件的运行。利用本发明,可以有效地控制通过感染计算机应用程序的程序文件进行传播的病毒,无须频繁升级,尤其是对还未发现的新病毒起到了很好的防护作用,简单有效。
1、一种防止计算机病毒的方法,其特征在于,所述方法包括步骤:
建立包含未感染病毒的应用程序文件信息的原始信息文件;
当所述应用程序文件请求运行时,提取所述应用程序文件的信息, 以生成新的信息文件;
判断所述新的信息文件和所述原始信息文件是否相同;
如果相同,则表明所述应用程序文件正常,正常启动所述应用程序 文件;
如果不相同,则表明所述应用程序文件有可能感染病毒,禁止启动 所述应用程序文件运行。
2、如权利要求1所述的防止计算机病毒的方法,其特征在于,所述 建立包含未感染病毒的应用程序文件信息的原始信息文件的步骤包括:使 用预定的算法为所述未感染病毒的应用程序文件生成一个校验和文件,作 为该应用程序文件的原始信息文件。
3、如权利要求2所述的防止计算机病毒的方法,其特征在于,所述 当所述应用程序文件请求运行时,提取所述应用程序文件的信息,以生成 新的信息文件的步骤包括步骤:
向系统登记需要获取所述应用程序文件运行的通知;
当所述应用程序文件请求运行时,获取所述应用程序文件运行的通 知;
根据所述通知建立所述应用程序文件的新的信息文件。
4、如权利要求3所述的防止计算机病毒的方法,其特征在于,所述 根据所述通知建立所述应用程序文件的新的信息文件的步骤包括步骤:
判断是否存在对应于所述应用程序文件的原始信息文件;
如果存在所述应用程序文件的原始信息文件,则建立所述应用程序 文件的新的信息文件;
如果不存在所述应用程序文件的原始信息文件,则向所述系统返回 错误信息。
5、如权利要求4所述的防止计算机病毒的方法,其特征在于,所述 如果存在所述应用程序文件的原始信息文件,则建立所述应用程序文件的 新的信息文件的步骤包括:使用与建立所述应用程序文件的原始信息文件 相同的算法为所述应用程序文件生成一个新的校验和文件,作为该应用程 序文件的新的信息文件。
6、如权利要求4所述的防止计算机病毒的方法,其特征在于,所述 如果不存在所述应用程序文件的原始信息文件,则向所述系统返回错误信 息的步骤包括:所述系统收到所述错误信息后,禁止启动所述应用程序文 件。
7、一种防止计算机病毒的装置,其特征在于,所述装置包括:
信息生成装置,用于读取所述应用程序文件,并按预定的算法生成包 含所述应用程序文件信息的原始信息文件,当所述应用程序文件申请运行 时,生成包含该应用程序文件信息的新的信息文件;
检测装置,用于根据所述信息生成装置中生成的所述信息文件检测 所述应用程序文件是否被改变;
控制装置,用于接收所述检测装置对需要检测的所述应用程序文件 的登记和撤消;并且当所述应用程序文件请求运行时,通知所述检测装置 对所述应用程序文件进行检测,并根据所述检测装置的检测结果控制所述 应用程序文件的运行。
8、如权利要求7所述的防止计算机病毒的装置,其特征在于,所述 信息生成装置进一步包括:信息生成控制装置,用于根据系统需要,按照 预定的算法控制生成所述信息文件的内容。
9、如权利要求7所述的防止计算机病毒的装置,其特征在于,所述 检测装置进一步包括:
登记/撤消装置,用于在所述系统启动时向所述控制装置登记所述应 用程序文件的原始信息文件,以使所述控制装置在有应用程序文件请求运 行时发送通知给所述检测装置,在所述系统停止运行时向所述控制装置撤 消该登记;
消息交互/处理装置,用于与所述控制装置进行消息交互并根据所述 控制装置的消息完成对所述信息生成装置的控制;
校验装置,用于在应用程序文件请求运行时,比较所述信息生成装 置生成的所述应用程序文件的新的信息文件和对应于所述应用程序文件的 原始信息文件。
10、如权利要求9所述的防止计算机病毒的装置,其特征在于,所述 消息交互/处理装置包括:
通知处理装置,用于在所述检测装置收到所述控制装置的应用程序 文件运行通知后控制所述信息生成装置调用所述信息生成控制装置生成所 述应用程序文件的新的信息文件;
校验结果传送装置,用于将所述校验装置的校验结果传送给所述控 制装置。
技术领域\n本发明涉及计算机病毒防治技术,具体涉及一种防止计算机病毒的方 法及装置。\n背景技术\n随着计算机技术的发展,计算机病毒的种类及危害也越来越多,它造 成硬件损坏、数据丢失,或不能正常使用等,已经给计算机用户带来很大 影响和损失。计算机病毒具有很强的传播性和感染性,主要通过网络传播 或是通过感染计算机中的可执行程序进行传播。目前对计算机病毒多采用 防病毒软件进行查杀,防病毒软件一般由病毒检查引擎(Scan Engine) 和病毒特征库(Virus Definition)组成。病毒检查引擎对计算机文件按 照病毒特征库中的病毒特征码对计算机协调中的文件进行检查,如果发现 有对应的特征码存在,则表明该文件被特定的病毒感染,防病毒软件采用 相关措施对病毒进行清除。利用防病毒软件进行计算机病毒的防治,需要 频繁更新病毒特征库,因为每种新的计算机病毒都会有不同于已知病毒的 特征码,在新的病毒产生后,通过对其分析,才能找出它的特征码,将其 添加到原有病毒特征库中,不断地升级防病毒软件才能查杀新的病毒。由 此可见,这种方法总是滞后于新病毒的出现,对于潜伏在正常的程序或数 据文件中还未发作的新病毒则无法查找到,无法做到对新病毒的预防,一 旦新的病毒达到发作条件,就会对计算机系统造成破坏,轻则影响系统的 正常运行,重则导致系统瘫痪,甚至破坏系统硬件部分,造成严重的经济 损失。\n发明内容\n本发明的目的在于克服上述现有技术的缺点,提供一种防止计算机 病毒的方法和装置,禁止被感染计算机病毒的应用程序运行,从而切断病 毒通过感染应用程序的程序文件而进行的传播。\n本发明提供了一种防止计算机病毒的方法,所述方法包括步骤:\n建立包含未感染病毒的应用程序文件信息的原始信息文件;\n当所述应用程序文件请求运行时,提取所述应用程序文件的信息, 以生成新的信息文件;\n判断所述新的信息文件和所述原始信息文件是否相同;\n如果相同,则表明所述应用程序文件正常,正常启动所述应用程序 文件;\n如果不相同,则表明所述应用程序文件有可能感染病毒,禁止启动 所述应用程序文件运行。\n优选地,所述建立包含未感染病毒的应用程序文件信息的原始信息 文件的步骤包括:使用预定的算法为所述未感染病毒的应用程序文件生成 一个校验和文件,作为该应用程序文件的原始信息文件。\n优选地,所述当所述应用程序文件请求运行时,提取所述应用程序 文件的信息,以生成新的信息文件的步骤包括步骤:\n向系统登记需要获取所述应用程序文件运行的通知;\n当所述应用程序文件请求运行时,获取所述应用程序文件运行的通 知;\n根据所述通知建立所述应用程序文件的新的信息文件。\n进一步地,所述根据所述通知建立所述应用程序文件的新的信息文 件的步骤包括步骤:\n判断是否存在对应于所述应用程序文件的原始信息文件;\n如果存在所述应用程序文件的原始信息文件,则建立所述应用程序 文件的新的信息文件;\n如果不存在所述应用程序文件的原始信息文件,则向所述系统返回 错误信息。\n优选地,所述如果存在所述应用程序文件的原始信息文件,则建立 所述应用程序文件的新的信息文件的步骤包括:使用与建立所述应用程序 文件的原始信息文件相同的算法为所述应用程序文件生成一个新的校验和 文件,作为该应用程序文件的新的信息文件。\n优选地,所述如果不存在所述应用程序文件的原始信息文件,则向 所述系统返回错误信息的步骤包括:所述系统收到所述错误信息后,禁止 启动所述应用程序文件。\n本发明还提供了一种实现上述方法的装置,所述装置包括:\n信息生成装置,用于读取所述应用程序文件,并按预定的算法生成包 含所述应用程序文件信息的原始信息文件,当所述应用程序文件申请运行 时,生成包含该应用程序文件信息的新的信息文件;\n检测装置,用于根据所述信息生成装置中生成的所述信息文件检测 所述应用程序文件是否被改变;\n控制装置,用于接收所述检测装置对需要检测的所述应用程序文件 的登记和撤消;并且当所述应用程序文件请求运行时,通知所述检测装置 对所述应用程序文件进行检测,并根据所述检测装置的检测结果控制所述 应用程序文件的运行。\n其中,所述信息生成装置进一步包括:信息生成控制装置,用于根 据系统需要,按照预定的算法控制生成所述信息文件的内容。\n优选地,所述检测装置进一步包括:\n登记/撤消装置,用于在所述系统启动时向所述控制装置登记所述应 用程序文件的原始信息文件,以使所述控制装置在有应用程序文件请求运 行时发送通知给所述检测装置,在所述系统停止运行时向所述控制装置撤 消该登记;\n消息交互/处理装置,用于与所述控制装置进行消息交互并根据所述 控制装置的消息完成对所述信息生成装置的控制;\n校验装置,用于在应用程序文件请求运行时,比较所述信息生成装 置生成的所述应用程序文件的新的信息文件和对应于所述应用程序文件的 原始信息文件。\n优选地,所述消息交互/处理装置包括:\n通知处理装置,用于在所述检测装置收到所述控制装置的应用程序 文件运行通知后控制所述信息生成装置调用所述信息生成控制装置生成所 述应用程序文件的新的信息文件;\n校验结果传送装置,用于将所述校验装置的校验结果传送给所述控 制装置。\n利用本发明,可以有效地控制通过感染计算机应用程序的程序文件进 行传播的病毒,无须频繁升级,尤其是对还未发现的新病毒起到了很好的 防护作用,简单有效。\n附图说明\n图1是本发明的优选实施例防止计算机病毒的方法的步骤的流程图;\n图2是本发明防止计算机病毒的装置的组成方框图。\n具体实施方式\n为了使本技术领域的人员更好地理解本发明,下面结合附图和实施 方式对本发明作进一步的详细说明:\n由于通过感染可执行程序进行传播的病毒必须将自己寄生在可执行程 序的程序文件中,因此通过对未感染病毒前的可执行程序文件生成对应的 校验和文件,在程序执行时再校验、比较,则可发现其是否受到病毒感 染,从而控制阻止了病毒的发作。\n参照图1,图1描绘了本发明的优选实施例防止计算机病毒的方法的步 骤的流程:\n首先,在步骤10,在系统运行前,使用预定的算法为需要执行的应用 程序的程序文件生成一个校验和文件,此时的应用程序文件为未感染病毒 的文件;\n进到步骤11,向系统登记需要获取该应用程序文件运行的通知;\n然后,到步骤12,等待获取该应用程序文件运行的通知;\n进到步骤13,当所述应用程序文件请求运行时,收到该应用程序文件 运行的通知;\n收到该应用程序文件运行的通知后,首先需要进到步骤14,搜索该应 用程序文件对应的校验和文件是否存在;\n如果该应用程序文件对应的校验和文件不存在,则进到步骤18,向操 作系统返回失败消息,操作系统收到此消息后,禁止该应用程序文件,防 止其中可能存在的病毒发作,从而防止计算机资源遭受破坏;\n然后,返回步骤12,等待下一个程序运行通知;\n如果该应用程序文件对应的校验和文件存在,则进到步骤15,获取该 应用程序文件,按照既定的算法计算该应用程序文件的新的校验和;\n然后,进到步骤16,比较计算后的该应用程序文件的新的校验和与该 应用程序文件对应的校验和文件中保存的校验和是否一致;\n如果一致,则表明该应用程序文件没有变化,进到步骤17,向操作系 统返回成功消息,允许应用程序正常启动运行;\n如果不一致,则表明该应用程序文件已经改变,可能被病毒感染,进 到步骤18,向操作系统返回失败消息,操作系统收到此消息后,禁止该应 用程序文件,防止其中可能存在的病毒发作,从而防止计算机资源遭受破 坏。\n本发明还提供了一种实现防止计算机病毒的方法相应的装置,下面参 照图2做详细描述。\n图2是本发明防止计算机病毒的装置的组成方框图:\n该装置由三部分组成,分别是控制装置10、检测装置20和信息生成装 置30。其中,检测装置20包括:登记/撤消装置201、通知处理装置202、 校验结果传送装置203和校验装置204,在本发明中,通知处理装置202和 校验结果传送装置203集成为消息交互/处理装置;信息生成装置30包括: 信息生成控制装置301。下面分别介绍各组成部分的技术特征:\n控制装置10,用于在系统启动时接受检测装置20中的登记/撤消装置 201对包含应用程序文件原始信息的原始信息文件的登记及系统停止运行 后对该登记的撤消;并且当有应用程序文件请求运行时,通知检测装置20 对该应用程序文件进行检测,并根据检测装置20中的校验结果传送装置 203传送的检测结果控制所述应用程序文件的运行。\n信息生成装置30,用于读取应用程序文件,并按预定的算法生成包含 该应用程序文件信息的信息文件;并且当有应用程序文件申请运行时,生 成包含该应用程序文件信息的新的信息文件。其中,信息生成控制装置 301用于根据系统需要,按照预定的算法控制生成所述信息文件的内容。\n检测装置20,用于根据信息生成装置30中生成的信息文件检测请求运 行的应用程序文件是否已被改变。其中包括:\n登记/撤消装置201,耦合到控制装置10,用于在系统启动时向控制装 置10登记应用程序文件的原始信息文件,以使控制装置10在有应用程序文 件请求运行时发送通知给检测装置20,在系统停止运行时向控制装置10撤 消该登记;\n通知处理装置202,耦合到控制装置10,用于在检测装置20收到控制 装置10的应用程序文件运行通知后控制信息生成装置30调用信息生成控制 装置301生成该应用程序文件的新的信息文件;\n校验装置204,耦合到信息生成装置30,用于在应用程序文件请求运 行时,比较信息生成装置10生成的所述应用程序文件的新的信息文件和对 应于所述应用程序文件的原始信息文件;\n校验结果传送装置203,用于传送校验装置204的比较结果给控制装置 10。\n下面通过一个实例详细说明本发明装置的详细工作过程:\n首先,使用信息生成装置30为未感染病毒的可执行程序文件 mspaint.exe由信息生成控制装置301提供的CRC32算法计算生成校验和文 件mspaint.CRC32,并由登记/撤消装置201向控制装置10登记该文件;\n当启动被感染的mspaint.exe文件时,由控制装置10通知检测装置 20,检测装置20收到通知后,查找是否存在mspaint.CRC32文件,如果不 存在,则发送查找失败消息给控制装置10,控制装置10收到此消息后,禁 止mspaint.exe文件运行;如果mspaint.CRC32文件存在,则由通知处理装 置203控制信息生成装置30读取文件mspaint.exe的内容,并调用信息生成 控制装置301提供的CRC32算法对该文件内容进行CRC32校验计算,将计算 得出校验和传送给校验装置204,由校验装置204将该校验和与保存在 mspaint.CRC32中的校验和进行比较。如果比较结果不一致,则发送失败 消息给控制装置10,控制装置10收到此消息后,通知操作系统禁止 mspaint.exe运行;如果比较结果一致,则发送成功消息给控制装置10, 控制装置10收到此消息后,允许mspaint.exe正常运行。该装置退出时, 调用登记/撤消模块向操作系统取消登记。\n该装置可以检测Kziz(圣诞CIH)、I-Worm.Klez.E蠕虫等感染可执行 程序文件的病毒,他们在感染可执行程序文件时都将改写文件的内容,该 装置不区别具体是哪种病毒感染,安装该装置后,系统中需要执行的应用 程序文件必须在未感染病毒前使用该装置中的信息生成装置生成包含该应 用程序文件信息的原始信息文件,每个应用程序文件对应一个唯一的原始 信息文件,例如,上例中mspaint.exe文件对应的信息文件为 mspaint.CRC32,并将这些原始信息文件保存在系统中。当有应用程序文 件需要运行时,由该装置中的信息生成装置生成该请求运行的应用程序文 件的新的信息文件时所采用的算法由信息生成装置中的信息生成控制装置 提供,并且与生成该应用程序文件的原始信息文件时采用的算法保持一 致。这样,通过对该应用程序文件的新旧信息的比较,可以获知该应用程 序文件是否已被修改,从而控制该应用程序文件是否运行。有效地避免了 一些计算机病毒通过感染应用程序而进行的传播,以及病毒发作给系统造 成的破坏。\n虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有 许多变形和变化而不脱离本发明的精神,例如,在本发明中由信息生成装 置生成应用程序的信息文件时可以有各种不同的方法,同样,信息生成控 制装置所提供的算法也可以有多种形式,希望所附的权利要求包括这些变 形和变化而不脱离本发明的精神。
法律信息
- 2021-07-16
未缴年费专利权终止
IPC(主分类): G06F 11/00
专利号: ZL 03143793.1
申请日: 2003.08.06
授权公告日: 2007.08.01
- 2007-08-01
- 2006-03-22
- 2005-02-16
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2003-04-09
|
2001-09-14
| | |
2
| |
1996-07-31
|
1995-01-24
| | |
3
| | 暂无 |
1992-08-31
| | |
4
| | 暂无 |
1994-11-21
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |