防禦未知病毒程序的方法

2023-07-31 20:56:31

專利名稱：防禦未知病毒程序的方法
技術領域：
本發明涉及一種防禦未知病毒程序的方法，特別是涉及一種針對未知病毒程序防禦的方法。
背景技術：
隨著計算機應用技術的發展，病毒也加速的發展，原有的特徵碼技術已經無法單獨應對 現在流行的計算機病毒。近兩年採用依據程序行為判斷一個程序是否是病毒的技術也被廣泛 的應用。這種技術的原理就是先探測被監控程序的行為，然後依據這個程序的行為和預先設 置的程序有害行為資料庫中存儲的比較，從而判斷被監控的程序是否為病毒。例如申請號為200510007682.X的中國發明專利公開了一種基於程序行為分析的計算機防 護方法。該方法是指設置一個程序行為知識庫和一個攻擊識別規則庫，所述程序行為知識 庫存放有已知程序的正常行為數據，例如作業系統內的某一個正常的程序或者某一個第三方 的應用程式的正常行為數據；所述攻擊識別規則庫存放有病毒的攻擊行為數據；在具體的應 用中對於已知的程序，先監控該已知程序的行為，然後將該已知程序的行為和上述的程序行 為知識庫進行比較，判斷該已知程序是否受到了非法攻擊。在具體應用中對於未知的程序， 監控該未知程序的行為，將該行為與上述攻擊識別規則庫進行比較，判定是否為有害程序。 該方法監控程序的方法僅僅是採用勾掛程序系統API調用的行為來監控一個程序是否為病毒 程序或者受到病毒感染，因此程序行為數據的比較僅限於系統API調用，由於許多的正常的 應用程式也難免涉及到上述攻擊識別規則庫裡存放的API調用數據，例如，如果將採用中斷 寫磁碟某個特定區域的操作作為病毒行為，則一個採用這種操作的正常程序也會被視為病毒 。因此，僅僅依靠將待檢測程序的行為數據與某種規則資料庫或者某種危害行為資料庫進行 判斷待檢測程序是否為病毒程序，這樣容易把正常程序也誤判斷成為病毒程序。從另一個角度來說，申請號為200510007682.X的中國發明專利所涉及到的攻擊識別規則 庫，依照此發明專利的說明書記載，其中存儲的都是病毒程序的攻擊破壞性行為，都是直接 對系統具有攻擊性的危害的行為。可是在現實中，有許多程序的指令或者這些程序的指令集 合雖然不具有直接的攻擊性行為，但是仍然給系統帶來危害性。例如程序的一段死循環指 令。還有一些程序雖然本身沒有攻擊性指令行為，但是通過調用其他的指令組合達到了直接 的攻擊效果，例如某一個程序調用已知的或者未知的系統漏洞或者系統後門進行有針對性的操作，就會產生直接的攻擊效果。程序的調用，即是很常見的也是很正常的技術手段，而 正常的程序很難免要使用程序的調用，如果將程序的調用行為存儲到所述攻擊識別規則庫中 ，將造成大面積的正常程序誤判斷成為病毒程序。如果將程序的調用行為不存儲到所述攻擊 識別規則庫中，可能會造成對病毒程序的漏判斷。現實中，有人提出可以採用病毒行為感染實驗的方法診斷一個待檢測程序是否為病毒程 序。該方法首先運行待檢測程序，再運行一些確切知道不帶毒的正常程序，然後觀察這些正 常程序的長度和校驗和是否發生變化，如果發現不帶毒的正常程序出現程序增長、縮短，或 者校驗和發生變化，就可判斷處該待檢測程序為病毒程序。現實中，還有人提出對於加密、變形等採用了加殼技術的病毒體先對其進行解密，還原 病毒體到原始狀態，即病毒體採用了加殼技術以前的狀態，這樣的做法會增大對病毒識別的 難度，並且增加了許多對病毒體解密失敗的事件，另外額外的增加了系統的負擔。發明內容鑑於上述問題，本發明要解決的技術問題是提供一種減少誤判斷和漏判斷的防禦未知病 毒程序的方法。為了解決上述的問題，本發明的目的是通過以下技術方案實現的 一種防禦未知病毒程序的方法，包括獲取待檢測程序的運行特徵數據；根據獲得的所述待檢測程序的運行特徵數據或運行特 徵數據集合，結合預置的病毒程序的病毒運行特徵數據或病毒運行特徵數據集合，判斷所述 待檢測程序是否為病毒程序。進一步，所述方法還可以包括獲取待檢測程序的行為數據或行為數據集合；根據獲得的所述待檢測程序的行為數據或 行為數據集合，結合預置的病毒程序的行為數據或者行為數據集合，判斷所述待檢測程序是 否為病毒程序。所述方法還可以包括建立程序行為經驗庫，用於存儲病毒程序的行為數據或者行為數據的集合，以及存儲病 毒程序從行為數據到結果數據的過程表達式，所述過程表達式包括行為數據和結果數據以及 從行為到結果的對應關係數據；以及，將獲得的所述待檢測程序的行為數據或行為數據集合與所述程序行為經驗庫中的行為數據進行比較，獲得所述過程表達式，通過所述過程表達式 判斷所述待檢測程序是否為病毒程序。所述方法還可以包括，按照下列步驟建立病毒程序運行特徵經驗庫獲得已知病毒程序運行過程中的內存數據；記錄已知病毒程序運行過程中相同或相似部 分的內存數據或內存數據的集合以及按序排列所述相同或相似部分的內存數據片段，將所述 排列後的內存數據片段存儲並形成病毒程序運行特徵經驗庫；以及，將對系統進行惡意操作 的指令或指令集在被執行過程中的內存數據存儲到所述病毒程序運行特徵經驗庫中，利用所 述特徵經驗庫中的數據判斷所述待檢測程序是否為病毒程序。所述方法還可以包括，按照下列步驟建立原則庫將已知病毒程序的破壞性操作行為與該破壞性操作行為對應的運行結果，以及病毒程序 運行特徵經驗庫中存儲的數據形成對應關係表達式，將所述對應關係表達式儲存到原則庫中 ;把對系統進行惡意操作的指令或指令集與對應的指令或指令集執行後的結果，以及該指令 或指令集被執行過程中的內存數據形成對應關係表達式，將所述對應關係表達式儲存到原則庫中；利用所述原則庫中的數據判斷所述待檢測程序是否為病毒程序。 所述方法還可以包括獲得已知病毒程序的破壞性行為數據，將待檢測程序的行為數據與建立的所述程序行為 經驗庫中存儲的數據進行比較，判斷所述程序行為經驗庫中是否存儲有與待檢測程序的行為數據符合度大於指定的閥值；根據上述比較的結果，按照預置的判定規則，判斷待檢測程序 是否為病毒程序。所述方法還可以包括獲取待檢測程序運行過程中的特徵數據，將獲取的所述待檢測程序運行過程中的特徵數 據與建立的病毒程序運行特徵經驗庫中存儲的數據進行比較，判斷病毒程序運行特徵經驗庫中是否存儲有與待檢測程序運行過程中的特徵數據符合度大於指定的閥值；根據上述比較的 結果，按照預置的判定規則，判斷待檢測程序是否為病毒程序。所述方法還可以包括，按照下列條件定義所述預置的判定規則獲取待檢測程序的相應數據分別與所述程序行為經驗庫中存儲的數據和所述病毒程序運 行特徵經驗庫中存儲的數據進行比較，根據比較後的結果，確定是否需要再與建立的原則庫 進行比較，判斷待檢測程序是否為病毒程序。與現有技術相比，本發明至少具有以下的優點本實施例所述防禦未知病毒程序的方法通過技術人員分析已知病毒程序的破壞方式，按 照不同的破壞方式進行不同種類的劃分，將採用相同或者相似破壞方式的病毒程序歸納到同 一種類。然後技術人員按照病毒程序種類的劃分，分析每一種類病毒程序在運行過程中的相 同或相似之處。例如，技術人員分析每一種類病毒程序運行過程中的內存數據，將這些內存數據具有相同或相似的部分提取出來並且進行存儲，形成病毒程序運行特徵經驗庫。設置一 個虛擬環境或者可以採用任何的公知技術將待檢測程序運行過程中的內存數據或者待檢測程 序運行過程中具有唯一特徵的指紋特徵提取出來，並且與所述病毒程序運行特徵經驗庫進行 比較。技術人員通過分析已知病毒程序的行為特徵，將這些行為特徵進行存儲，形成程序行為 經驗庫。建立原則庫，將已知病毒程序的破壞性操作行為與該破壞性操作行為對應的運行結 果，以及病毒程序運行特徵經驗庫中存儲的數據形成對應關係表達式，將所述對應關係表達 式儲存到原則庫中；把對系統進行惡意操作的指令或指令集與對應的指令或指令集執行後的 結果，以及該指令或指令集被執行過程中的內存數據形成對應關係表達式，將所述對應關係 表達式儲存到原則庫中。技術人員通過獲取待檢測程序的行為數據或行為數據集合，並且與所述程序行為經驗庫 進行比較。根據以上兩次比較的結果，確定所述待檢測程序是否為病毒程序。如果兩次比較 的結果不一致，根據獲得的待檢測程序的相應數據與建立的原則庫進行比較，從而更進一步 確定待檢測程序是否為病毒程序。將獲得的待檢測程序的行為數據與建立的原則庫中的對應 關係表達式相應部分進行比較，對比較成功的次數進行計數；將獲得的待檢測程序的運行過 程中的特徵數據或者指紋特徵與建立的原則庫中的對應關係表達式相應部分進行比較，對比 較成功的次數進行計數；任意一次對比較成功的次數等於或者超過設定的閥值時，判定所述 待檢測程序為病毒程序。根據以上的技術過程，不但可以極大的降低將正常程序誤判斷為病毒程序，從而還可以 極大的提高對未知病毒的識別率，去除了現有技術單項比對的不足同時解決了現有的提升對 病毒的識別率就要增大誤判斷率的技術問題。另外，任何的採用了加殼技術藏匿其病毒體的 病毒程序在內存中運行的時候都要還原到採用加殼技術前病毒體的原始的狀態，所以本發明 能夠直接檢測待檢測程序運行過程中的內存數據，不需要對加密病毒、變形病毒等採用了加 殼技術的病毒體進行解密、脫殼或還原操作。


下面結合附圖和具體實施方式
對本發明作進一步詳細的說明。 圖1是本發明防禦未知病毒程序的方法的步驟流程圖； 圖2是本發明虛擬運行環境獲取待檢測程序相關數據的圖示； 圖3是本發明中斷操作示意圖；圖4是本發明預置的判定規則另一實施方式示意圖；圖5是本發明原則庫示意圖。
具體實施方式
本發明的核心思想獲取待檢測程序的運行特徵數據，將獲得的待檢測程序的運行特徵 數據與已經提取出的已知病毒程序運行過程中具有典型特徵的運行特徵數據或病毒運行特徵 數據集合進行比較，判斷所述待檢測程序是否為病毒程序。參照圖l，是本發明防禦未知病毒程序的方法的步驟流程圖，包括以下步驟步驟S1，獲取待檢測程序的運行特徵數據。技術人員可以利用現有公知技術或者現有的 自動化工具(如勇芳內存數據分析編輯器)，將待檢測程序的內存數據列印出來。如圖2 所示，技術人員還可以利用現有的技術設置一個虛擬環境，將待檢測程序放入虛擬環境中運 行，讀取在虛擬環境中運行的待檢測程序的內存數據。此過程還可以使用虛擬工具來完成。在單獨的實施中，技術人員還可以按照下列方法獲取待檢測程序的內存數據，以windows系統為例進行說明(本例中涉及到的句柄、進程id、進程和內存快照等詞彙均屬於本領域內公知通用的技術名詞，其具體的含義在本領域內教科書以及相關圖書資料中均有詳細說明，在此不再贅述。) 例l:獲取待檢測程序a. exe運行過程中的內存數據；Al步，使用函數createtoolhelp32snapshot 創建內存快照；A2步，將返回的句柄傳遞給函數process32first ，函數process32next 來遍歷 內存中的所有進程，當遇到待檢測程序a. exe的進程，就將其進程id保存下來；A3步，使用函數openprocess 打開a. exe的進程，從而獲得該進程的進程句柄； A4步，使用函類ji;readprocessmemory 讀耳又a. exe進禾呈的句柄； A5步，獲得了待檢測程序a. exe運行過程中的內存數據。例1說明了實際中獲取待檢測程序運行過程中的內存數據，本領域內的一般技術人員可 以採用熟悉的或自動化工具進行實施，例l的說明只是用於幫助理解本發明，對於本領域內 的一般技術人員在具體實施方式
和具體應用範圍上均會有所改變之處，本例的內容不應理解 為對本發明的限制。步驟S2，結合預置的病毒程序運行特徵數據，判斷所述待檢測程序是否為病毒程序。 〈1 〉建立病毒程序運行特徵經驗庫技術人員可以將已知病毒程序根據其不同的破壞方式進行不同的分類(如蠕蟲型病毒 程序、木馬型病毒程序)，將同一分類的已知病毒程序採用步驟S1介紹的方法列印出此類病毒程序的內存數據，然後再比較已經列印出已知病毒程序的內存數據，將這些已知病毒程序 的內存數據相互間具有相同或相似的部分提取出來。如下例所說明。 例2:假設，有以下具有相同或相似破壞方式的已知病毒程序vl、 v2、 v3、 v4; Bl步，vl、 v2、 v3、 v4為某一類病毒程序，B2步，按照步驟S1介紹的方法，列印出上述病毒程序運行過程中的內存數據， 病毒程序vl的內存數據00， 01， hl， 44， bl， al， 33， cl， bw， 0i， 22， 8i， 11， 2s， yy; 病毒程序v2的內存數據00， cc， ae， 44， bl， q3， 33， cl， kh， al， 22， 8i， 11， s3， yy; 病毒程序v3的內存數據00， 2c， 3e， 44， bl， w3， 33， cl， nh， a0， 22， 8i， 11， 13， yy; 病毒程序v4的內存數據00， 24， 3o， 44， bl， wl， 33， cl， 0h， ui， 22， 8i， 11， 4n， yy; B3步，將這些已知病毒程序的內存數據相互間具有相同或相似的部分提取出來， 其中，該類病毒程序運行過程中的內存數據相互間具有相同的部分是 00\44， bl\33， cl\22， 8i\，該相同部分的有序排列表示為 ■#44， bl#33， cl#22， 8i#;其中，該類病毒程序運行過程中的內存數據相互間具有相似的部分是病毒程序vl的內存數據末尾部分(11，2s，yy)相似於病毒程序v2的內存數據末尾部分( 11，s3，yy)相似於病毒程序v3的內存數據末尾部分(11，13，yy)相似於病毒程序v4的內存數 據末尾部分(11，4n，yy)，該相似部分可用ttl 1， **， yytt表示。本例中符號代表相同內 存數據以外的內存數據，符號"*"代表相似內存數據中的不同部分(用來標示相似部分的 內存數據的不同部分類似於這樣的設定方式能夠快速並精準的在一長串內存數據中檢索出病 毒程序運行特徵數據)；B4步，將tt00糾4， bl#33， cl#22， 8itt存儲進資料庫；將ttll，林，yytt存儲進資料庫；技術人員可以將例2中提取出來的已知病毒程序運行過程中的內存數據相互間具有相同 或相似的部分存儲進資料庫，形成病毒程序運行特徵經驗庫，另外病毒程序的運行特徵數據 是將已知病毒程序運行過程中的內存數據相互間具有相同或相似的部分提取出來，並且按序 排列，被提取出來的部分不一定存在邏輯上的關聯或聯繫。〈2〉將待檢測數據與所述建立病毒程序運行特徵經驗庫進行比較，判定所述待檢測程序 是否為病毒程序，具體以下例子進行詳細說明例3:Cl步，假設待檢測程序ca. exe、 cb. exe禾口cc. exe，獲取ca. exe、 cb. exe禾口cc. exe的運行 特徵數據，貝U，ca. exe的運行特徵數據是:a0， qo， 9i， 80， 5h， 3h， jg， pq， ci， cl， 8k， 00， 0k， ab， c3， ck;cb. exe的運行特徵數據是la， 2b， c3， 4d， f5， 6h， 7k， j8， 9k， 10， 11， 22， 33， 44， 55， 6i;cc. exe的運行特徵數據是:3h， jg， pq， ci， 80， 5h， ab， c3， ck， ab， 70， cd， ef， gh， 53， 00; C2步，其中的i， 80， 5htt和tt8k， OOtt是病毒程序運行特徵經驗庫中存儲的數據； 其中ttab， **， c他也是病毒程序運行特徵經驗庫中存儲的數據；C3步，將待檢測程序的運行特徵數據與病毒程序運行特徵經驗庫比較，ca. exe的運行特徵數據:a0， qo， 9i， 80， 5h， 3h， jg， pq， ci， cl， 8k， 00， 0k， ab， c3， ck與病毒 程序運行特徵經驗庫進行比較，通過檢索病毒程序運行特徵經驗庫，發現ca. exe的運行特徵 數據中包含有與所述病毒程序運行特徵經驗庫中存儲的某類病毒程序的運行特徵數據相同的 數據，S口的i， 80， 5htt和tt8k， 00#;cb. exe的運行特徵數據:la， 2b， c3， 4d， f5， 6h， 7k， j8， 9k， 10， 11， 22， 33， 44， 55， 6i與病毒 程序運行特徵經驗庫進行比較，通過檢索病毒程序運行特徵經驗庫，沒有發現cb. exe的運行 特徵數據中包含有所述病毒程序運行特徵經驗庫中存儲的任何病毒程序的運行特徵數據；cc. exe的運行特徵數據:3h， jg， pq， ci， 80， 5h， ab， c3， ck， ab， 70， cd， ef， gh， 53， OO與病毒 程序運行特徵經驗庫進行比較，通過檢索病毒程序運行特徵經驗庫，發現cc. exe的運行特徵 數據中包含有與所述病毒程序運行特徵經驗庫中存儲的某類病毒程序的運行特徵數據相似的 數據，艮口 ttab，林，c他;C4步，判斷ca. exe與cc. exe是病毒程序，cb. exe不是病毒程序。技術人員在實際的實施過程中，還可能利用將已知的虛擬地址獲取其對應的物理地址。 例如A1，使用函數GetPhyAddr 進行實施 paddr = GetPhyAddr(pvoid vaddr)// paddr的值是物理地址(paddr = physical address)〃 vaddr的值是虛擬地址或線性地址(vaddr = virtual address)技術人員在實際的實施過程中，仍然還可以使用DEBUG等自動化工具獲得內存數據的內容例如A2，使用DEBUG的D命令査看內存中的內容假定將範圍限定在0000:OOOOH-FFFF:FFFFH中的任何一個單元的內存，如果想知道內存 10000H處的內容，可以用〃d段地址偏移地址〃的格式來査看，輸入-d 1000:0;使用d 1000:9査看1000:9處的內容； 使用d 1000:0 9査看1000:0-1000:9的內容。具體實施過程中，技術人員可以根據實際的需要獲取對應的值並得到相應的運行特徵數 據，另外技術人員還可以通過其他的方式或技術手段得到同樣的技術效果，在此不再贅述。通常的，獲取待檢測程序的運行特徵數據和獲取已知病毒程序的運行特徵數據，本文以 上的例子都是以獲取待檢測程序和已知病毒程序運行過程中的內存數據，但是無論是待檢測 程序或是病毒程序的運行特徵數據不僅僅只限於運行過程中的內存數據，如某個程序被 CPU (中央處理器)執行過程中的獨有的運行特徵數據，包括寄存器中的某個地址指向到內 存中某個位置的數據特徵、進行對中斷操作的運行特徵以及程序在被CPU執行時由內存調入 到高速緩存中的數據內容等。具體的，再一個例子中的說明例4， CIH類型的病毒利用中斷操作，從系統的用戶層(也稱作用戶態，S卩RING 3)強 行到系統的內核層(S卩RING 0)，進行對計算機主板上的BIOS晶片進行破壞。因為CIH類型的病毒用到是從系統的用戶層轉到系統的內核層，因此在CPU內的高速緩存 中存在從系統的用戶層到系統的內核層的一些區別於運行其他的程序的跡象(即正常的程 序被執行的時候高速緩存順序的從內存調取數據並且一般情況下應用程式工作在系統的用戶 層〈RING 3>， CIH類型的病毒程序利用Intel處理器的中斷操作從系統的用戶層〈RING 3>強行 轉到系統的內核層〈RING 0>)，因此在高速緩存中存在一些從系統的用戶層轉到系統的內核 層跳轉的數據(但是並非存在從系統的用戶層轉到系統的內核層跳轉的數據都是病毒程序， 因為個別的正常程序也會用到此方式，注意的是我們本例中並不是說明CIH類型病毒的行為 過程，而是想通過對CIH類型病毒程序的運行原理說明其固有的運行特徵)，假設獲取其跳 轉到的內存相應的數據，並且提取出CIH類型病毒對於這部分數據所共有的部分，如下彙編指令out 70h，al; in al， 71h; xor ax， 926h;抑ttjmp 2000:003; add al， bl機器碼9i 7u 16 14 5h a7 3t ■ " el " 6c 00 d8〃假設"tt抑"左邊部分是利用中斷操作從系統的用戶層強行轉到系統的內核層〃假設右邊部分是對BIOS晶片的破壞操作假定待檢測程序A的運行特徵，如下彙編指令mov ax， 1016h 機器碼b8 31 2e彙編指令out 70h， al 機器碼0e 21彙編指令in al， 71h 機器碼4d 8h彙編指令xchg ah， al 機器碼63 5h彙編指令:out70h， al機器碼:9i7u〃與病毒運行特徵相同;鄰分彙編指令:inal， 71h機器碼:1614〃與病毒運行特徵相同;鄰分彙編指令:xorax， 926h機器碼:5ha73t〃與病毒運行特徵相同;鄰分彙編指令:jnzdo—not—trigger 機器碼007c 2d彙編指令:movax， 4E20H機器碼:b8204e彙編指令:addbx， 1416H機器碼:051614彙編指令:addal， 9CH機器碼:049c彙編指令:movah， 0機器碼:b400彙編指令:jmp2000:003機器碼:77el77 6c〃與病毒運行特徵相同;鄰分彙編指令:addal， bl機器碼:00d8〃與病毒運行特徵相同;鄰分待檢測程序A的運行特徵，機器碼b8 31 2e 0e 21 4d 8h 63 5h 9i 7u 16 14 5h a7 3t 00 7c 2d b8 20 4e 05 16 14 04 9c b4 00 77 el 77 6c 00 d8其中，機器碼"9i 7u 16 14 5h a7 3t"是利用中斷操作從系統的用戶層強行轉到系統 的內核層；其中，機器碼"77 el 77 6c 00 d8"是對BIOS晶片的破壞操作；待檢測程序B的運行特徵，機器碼9i 02 11 6h 8i u8 e3 9i 7u 16 14 5h a7 3t b8 31 2e 0e 21 4d 8h 63 7c 2d b8 20 9c b4雖然待檢測程序B的機器碼中也存在"9i 7u 16 14 5h a7 3t"，也同樣利用中斷操作 從系統的用戶層強行轉到系統的內核層，但是檢測程序B的機器碼中不存在對BIOS晶片進行 破壞的數據。通過以上分析，待檢測程序A被執行過程中，CPU內寄存器存在明顯的非正常尋址以及其 CPU內高速緩存中跳轉調取的破壞BIOS晶片的數據，可以確定待檢測程序A是CIH類型的病毒 程序；雖然待檢測程序B也用到了從系統的用戶層轉到系統的內核層跳轉的方式，但是其被 執行過程中無論是內存、高速緩存都不存在CIH病毒程序的完整運行特徵數據，所以其不是 CIH類型的病毒程序。在本例中(例4)，並不是說明CIH類型病毒存在著哪些行為或者行為 過程，而是想通過對CIH類型病毒程序的運行原理說明其固有的運行特徵，關於病毒程序的 行為或者行為過程，將在後續的部分詳細說明。從以上的所有實例中可以看出通過檢測待檢測程序的運行特徵數據判定是否為病毒程序 的過程中，選取的已知病毒程序的運行特徵是很關鍵的，因為選取的已知病毒程序的運行特 徵直接關係到對病毒程序識別的準確度。技術人員按照步驟S2的方法，在獲取某類型已知病 毒程序運行過程中的特徵數據時，將該類型的病毒程序共有的並且是必要的運行特徵進行提取，提取的已知病毒程序運行過程中的運行特徵數據經常是同一類型的病毒程序在運行過程 中相同或相似部分的內存數據或者是按照順序排列所述相同或相似部分的內存數據片段，這 些內存數據或者是按照順序排列的內存數據片段相互之間不一定存在邏輯上的關聯或聯繫， 如下例所示，例5:某一後門類型的病毒程序，該類型病毒程序的特點是調用一個名為E的系統漏洞。 假設該類型病毒程序運行的關鍵過程是運行過程l: if (drO == 0x474E4159) goto has—in—memory 〃獲取駐留內存的設定， 其中drO是個變量，用來判斷程序體是否駐留進了內存； 運行過程2: CALL E 〃調用系統漏洞；假設提取該類型病毒程序運行過程中的運行特徵數據，其中運行過程l的內存片段為17 9i 8b el 3d 5h 0k其中運行過程2的內存片段為3c fh 7i 9c 3t 5k運行過程1的內存片段與運行過程2的內存片段，按照順序進行排列，並且運行過程l的 內存片段與運行過程2的內存片段不存在邏輯上的關聯或聯繫。根據步驟S2，提取該類型病 毒程序的運行特徵數據為#17， 9i， 8b， el， 3d， 5h， 0k#3c， fh， 7i， 9c， 3t， 5ktt如果待檢測程序運行過程中的內存數據按照順序包含17 9i 8b el 3d 5h 0k和3c fh 7i 9c 3t 5k，則該待檢測程序是此類型的病毒程序；假設，待檢測程序運行過程中的內存數據是00 3c fh 7i 9c 3t 5k林17 9i 8b el 3d 5h 0k 22，雖然包含3c fh 7i 9c 3t 5k和17 9i 8b el 3d 5h 0k，但是內存片段的順序與該類型病毒程序的運行特徵數據的內存片段順序不一致，所以該 待檢測程序不是此類型的病毒程序。技術人員可以使用DEBUG等工具獲取某個程序被CPU (中央處理器)執行過程中在寄存器 中的獨有的運行特徵數據，技術人員還可以設置一個虛擬環境或採用虛擬機等工具模擬出 CPU，並將程序在模擬出的CPU中執行，獲取待檢測程序在被執行過程中的CPU內部的運行特 徵數據，如圖2所示。由於獲取程序在被執行過程中的CPU內部數據的現有方法很多也有不少 的工具，因此技術人員在具體實施過程中根據需要可以任意的選用達到此技術效果的途徑， 只要是通過獲取待檢測程序的運行過程中的特徵數據從而識別出病毒的方式，就屬於本發明 的構思，在此不再贅述。步驟S3，獲取待檢測程序的行為數據或行為數據集合。所述待檢測程序的行為數據，其實質就是一系列能夠完成特定功能或結果的原始碼序列 塊，即能夠完成特定功能或結果的程序操作指令或以及程序操作指令和操作參數或具體的程 序操作指令的集合或程序操作指令以及操作參數的集合。所述的序列塊可以由反病毒技術人 員人工和藉助輔助程序分析得出，採用一般分析病毒程序的方式對該待檢測程序進行分析即 可。所述分析過程除了反病毒技術人員之外，還需要DEBUG、 PROVIEW等分析用工具程序和專 用的試驗用計算機。因為所述待檢測程序為病毒程序，有可能在被分析階段繼續傳染甚至發 作，把存儲介質內的數據完全破壞，這就要求分析操作必須在專門設立的試驗用PC機上進行 ， 一面帶來不必要的損失。通常的分析病毒程序的步驟可以分為動態和靜態兩種。所述動態分析則是指利用DEBUG 等程序調試工具在內存加載病毒程序的情況下，對病毒程序做動態跟蹤，觀察病毒程序的具 體工作過程，以理解病毒程序工作的原理。在病毒程序編碼比較簡單時，動態分析不是必須 的。但當病毒程序採用了較多的技術手段時，則必須使用動、靜態相結合的分析方法才能完 成整個分析過程。例如F—lip病毒程序採用隨機加密的手段，利用對病毒程序解密程序的動 態分析才能完成解密工作，從而進行下一步的靜態分析。所述靜態分析是指利用DEBUG等反 彙編程序將病毒程序代碼形成反彙編後的程序清單進行分析，看病毒程序可以分為哪些模塊 ，使用了哪些系統調用功能程序，採用了哪些技巧，如何將病毒程序感染文件的過程轉化為 清除病毒程序、修復文件的過程，哪些代碼可被用做特徵碼以及如何防禦這種病毒程序導致 的破壞等。現有技術中，如果進行上述分析，能夠獲得病毒程序的特徵碼，存入病毒程序特徵碼庫 中，以後即可根據特徵碼實現病毒程序的識別。由於特徵碼識別法只能識別已知的病毒程序 ，因此，為識別出未知病毒程序，在本實施方式中需要分析得出所述待檢測程序的行為操作 數據，即一系列完成特定功能或結果的原始碼序列塊，根據所述原始碼序列塊判斷所述待檢 測程序是否為病毒程序。當然，所述獲取待檢測程序行為數據的步驟也可以由計算機自行完 成，該部分的實施例在後面進行詳述。步驟S4，結合預置的病毒程序的行為數據或行為數據集合，判斷所述待檢測程序是否為 病毒程序。〈1〉建立程序行為經驗庫程序行為經驗庫，用於存儲病毒程序的行為數據或者行為數據的集合，以及存儲病毒程 序從行為數據到結果數據的過程表達式，所述過程表達式包括行為數據和結果數據以及從行 為到結果的對應關係數據。技術人員通過對病毒多年的觀察、研究，發現病毒有一些行為，是病毒的共同行為，而 且比較特殊。所述已知病毒程序的破壞性操作行為的分解和獲取可以通過人工完成也可以通 過計算機實現。所述的破壞性操作行為一般包括對計算機系統的非常規操作或者造成惡性結 果的操作。例如非常規讀寫操作、刪除某系統文件、導致內存衝突、破壞硬碟分區表等等 。下面列舉一些可以用於監測病毒的行為1、 佔用INT13H(作業系統13H中斷)所有的引導型病毒都攻擊B00T (引導)扇區或主引導扇區。系統啟動時，當B00T扇區或 主引導扇區中的主控程序獲得執行控制權時，系統就開始工作。 一般引導型病毒都會佔用 INT 13H中斷操作，系統引導時其它系統功能調用函數還未設置好，無法利用。引導型病毒 佔據INT 13H中斷的系統功能操作，在其中放置病毒程序的代碼，即用病毒程序的代碼獲得 或替換INT 13H中斷的程序代碼的控制權。2、 修改系統數據區的內存總量或覆蓋區的地址範圍，例如D0S系統。病毒常駐內存後， 為了防止系統將其覆蓋，必須修改內存總量。3、 對COM和EXE文件做寫入動作。病毒要感染，而使病毒代碼寫入或嵌入COM和EXE文件 的操作。4、 病毒程序與宿主程序的切換。染毒程序運行時，先運行病毒，而後執行宿主程序； 在兩者切換時，有一些典型的特徵行為。除了上述較為明顯的破壞性操作行為，病毒程序一般還會包括較為正常的操作行為，如 果這些操作行為單獨或者組合起來有可能產生破壞數據的危險操作，則也屬於本發明的範圍 內。例如程序的一段死循環指令。還有一些程序雖然本身沒有攻擊性指令行為，但是通過 調用其他的指令組合達到了直接的攻擊效果，例如某一個程序調用已知的或者未知的系統 漏洞或者系統後門，從而達到直接的攻擊效果。程序的調用，即是很常見的也是很正常的技 術手段，正常的程序很難免要使用程序的調用，如果將程序的調用行為存儲到所述攻擊識別 規則庫中，將造成大面積的正常程序誤判斷成為病毒程序。如果將程序的調用行為不存儲到 所述攻擊識別規則庫中，可能會造成對病毒程序的漏判斷。具體的，以下例子進行說明例6，某CIH類型的病毒利用中斷操作，從系統的用戶層(也稱作用戶態，S卩RING 3) 強行到系統的內核層(即RING 0)，進行對計算機主板上的BIOS晶片進行破壞。該病毒的 行為是行為l，通過中斷操作，從RING3轉到RING0操作；行為2，調用V麗功能—MapPhysToLinear將物理地址映射到虛擬地址(線性地址)並進行修改；行為3，向BIOS晶片的Input/Output操作地址輸入數據；該病毒的完整行為表達式行為l+行為2 +行為3其中，行為l導致了結果l:獲得了系統內核級的操作權限；行為2導致了結果2:直接對虛擬地址進行了操作，建立了讀寫BIOS晶片的邏輯通道； 行為3導致了結果3:成功的向BIOS晶片寫入了數據；該病毒程序從行為到結果的邏輯表達式行為1 —結果l，行為2 —結果2，行為3—結果3;(行為1+行為2 +行為3)—(結果1 +結果2 +結果3)=病毒程序運行後的最終結果，將以 上的該病毒的完整行為表達式存儲到所述的程序行為經驗庫中，根據需要也可以將該病毒程 序從行為到結果的邏輯表達式存儲到所述的程序行為經驗庫中。從本例中可以得知每一個行為之間都是存在著邏輯上的關聯或聯繫，同樣每一個行為之 間都是按照順序進行排列的，在上述的行為邏輯表達式中任何一個行為的預設都是不成立的 ，都會對識別病毒程序有著極大的影響。通常， 一個病毒程序的破壞行為可以由一系列的執行破壞性操作的指令或指令集構成的 ，而且，每一個所述的指令或指令集至少產生一個獨立的破壞性操作行為。因此，分解現有 病毒程序的破壞性操作行為，即是將已經存在的病毒程序中包含的獨立的破壞性操作行為涉 及的指令或指令集提取出來。例如，如圖3所示，假設13H中斷的03H或05H號功能調用涉及可 能的破壞數據的危險操作，則13H中斷的03H或05H號功能調用對應的指令就可以被看作是產 生一個獨立的破壞性操作行為的指令。假設，1 OH中斷的02H號功能調用和11H的06H號功能調 用組合在一起涉及可能的破壞數據的危險操作，貝U10H中斷的02H號功能調用和11H的06H號功 能調用對應的指令集合就可以被看作是產生一個獨立的破壞性操作行為的指令集。如果一個 被檢測的程序具有這樣的指令代碼，就可以得知該被檢測程序存在一個可能破壞性其他程序 或數據的可疑操作行為，將這些行為收集起來，就可以通過程序的行為集合判斷一個程序是 否為病毒程序以及如何最大限度地恢復相應的病毒程序破壞的數據。獲取已知病毒程序的破壞性操作行為，也可以通過計算機輔助完成。例如採用申請號為 01117726.8、名稱為"檢測和清除已知及未知計算機病毒的方法、系統和介質"的中國發明 專利介紹的，以提供用於誘發病毒感染的感染對象來檢測病毒的方法，就可以獲得已知和未 知病毒程序的破壞性操作行為。由於申請號為01117726.8的發明已經公開，在此不在贅述。〈2〉結合建立的程序行為經驗庫，判斷待檢測程序是否為病毒程序。例7，在例6中假定有個待檢測程序f.exe，通過獲取該待檢測程序的行為是行為l，通過査找指令搜索系統內的進程；行為2，在系統中通過創建進程指令，創建f.exe的進程；行為3， f. exe通過中斷操作，從RING3轉到RING0操作；行為4，調用V麗功能—MapPhysToLinear將物理地址映射到虛擬地址(線性地址)並進行 修改；行為5，向BIOS晶片的Input/Output操作地址輸入數據； 行為6，結束自身病毒程序創建的f.exe進程； 行為7，刪除自身病毒體f.exe;f. exe的完整行為表達式行為l+行為2 +行為3 +行為4 +行為5 +行為6 +行為7 將f. exe與建立的程序行為經驗庫中的數據進行比較，其中程序行為經驗庫中存儲的某 一數據是行為33 +行為44 +行為55，行為33是，通過中斷操作，從RING3轉到RING0操作；行為44是，調用V麗功能—MapPhysToLinear將物理地址映射到虛擬地址(線性地址)並 進行修改；行為55是，向BIOS晶片的Input/Output操作地址輸入數據； 該完整行為表達式行為33 +行為44 +行為55;f. exe的完整行為表達式包含行為3 +行為4 +行為5二行為33 +行為44 +行為55; 判斷f. exe是CIH類型的病毒。技術人員在進行實施過程中，將獲得的所述待檢測程序的行為數據按照一定的順序進行 排列如〈(行為A)與(行為B)....與(行為N) >，並與所述經驗庫中存儲的行為信息進 行比較。所述待檢測程序的行為數據按照一定的順序進行排列後，即可以得到一系列的行為 序列，依次與所述經驗庫中的行為數據進行比較。如果，所述經驗庫中存在相匹配的行為數 據；如果，所述經驗庫中不存在任何相匹配的行為信息，則可以判定所述待檢測程序為合法 程序。另外技術人員在具體的實施過程中，可以根據需要進行安排比較的過程以及比較的數 據。步驟S5，第一部分，獲取待檢測程序的相應數據與所述程序行為經驗庫中存儲的數據進 行比較，確定待檢測程序與病毒程序的符合度(相近度或相似度)，按照預置的判定規則， 判斷待檢測程序是否為病毒程序。具體的以下實施例詳細說明，例8:〈1〉將獲得的待檢測程序的行為數據與建立的所述程序行為經驗庫中存儲的數據進行比較，判斷所述程序行為經驗庫中是否存儲有與所述待檢測程序的行為數據符合度大於指定的 閥值。待檢測程序hl. exe與待檢測程序h2. exe，分別獲取hl. exe與h2. exe的行為數據； 獲得的hl.exe的行為數據是行為hll+行為hl2 +行為hl3 +行為hl4 +行為hl5 +行為hl6 +行為hl7 +行為h18 獲得的h2.exe的行為數據是行為h21+行為h22 +行為h23 +行為h24 +行為h25 +行為h26 +行為h27 +行為h28 某病毒程序v的行為數據存儲在程序行為經驗庫中，v的行為數據是 行為v3 +行為v4 +行為v5 +行為v6 +行為v7 假定，行為v3—於為hl3二行為h23，行為v4—於為hl4二行為h24，行為v5—於為hl5二行為h25， 行為v6—亍為h16，行為v7—亍為hl7;如果將所設定的閥值，令其值等於4，貝収=4; hl. exe的行為數據有5項行為與v的行為相符，則yl二5; h2. exe的行為數據有3項行為與v的行為相符，則y2二3; 根據以上過程，yl〉k， y2<k。〈2〉如果大於指定的閥值，按照預置的判定規則判斷待檢測程序是否為病毒程序。 技術人員在實施過程中可以依照經驗並且根據需要設置所述判定規則，如技術人員可 以直接依照上述的yl〉k和y2〈k直接判定上述的待檢測程序hl.exe是病毒程序，上述的待檢 測程序h2. exe不是病毒程序。技術人員還可以建立另外一套判定規則判斷待檢測程序是否為病毒程序。 如，例9:建立原則庫，獲取已知病毒程序的破壞性操作行為，將所述的破壞性操作行 為以及對應的結果形成病毒程序從行為到結果的邏輯表達式或者建立從行為到結果的對照關 系，存儲到原則庫中。將病毒程序從行為到結果的邏輯表達式存儲到所述的原則庫中將， (行為1+行為2 +行為3)—(結果1 +結果2 +結果3)=最終結果，存儲到所述的原則庫中，同 時在原則庫中標示出病毒程序的最終結果，所述的最終結果是技術人員依據多年的經驗總結 出來的病毒程序運行後對系統造成的惡性結果。將獲得的待檢測程序的行為數據與建立的原則庫中的對應關係表達式相應部分進行比較 ，對比較成功的次數進行計數，任意一次對比較成功的次數等於或者超過設定的閥值時，判 定所述待檢測程序為病毒程序。在本例中所述的閥值包含兩個意義的閥值，第一個意義的閥值指的是假定獲得的待檢測程序的行為數據共包含X項行為，其中有Y項行為都符合原則庫 中存儲的某項數據，貝収的值就是第一個意義的閥值，如獲得的待檢測程序行為數據是行為1+行為2 + ...行為X;原則庫中某項數據是行為11+行為22 + ...行為皿；假定，行為1=行為11，行為2 =行為22，貝収的值應該等於2。第二個意義的閥值指的是待檢測程序的行為數據或行為數據的集合與所述的最終結果 有關聯關係或者待檢測程序的行為數據或行為數據的集合能夠導致所述的最終結果，此為第 二個意義的閥值。如獲得的待檢測程序i. exe行為數據是行為il+行為i2 +行為i3;獲得的待檢測程序g. exe行為數據是行為gl+行為g2 +行為g3 +行為g4 +行為g5;原則庫中某項數據是(行為1+行為2 +行為3)—(結果1 +結果2 +結果3)=最終結果；其中，行為(gl+行為g2 +行為g3 +行為g4 +行為g5)二(行為l+行為2 +行為3)—(結果l +結 果2 +結果3)=最終結果；其中，(行為il+行為i2 +行為i3)^(行為l+行為2 +行為3);因此，待檢測程序i. exe判定為不是病毒程序，待檢測程序g. exe判定為病毒程序。步驟S5，第二部分，獲取待檢測程序的相應數據與所述病毒程序運行特徵經驗庫中存儲 的數據進行比較，確定待檢測程序與病毒程序的符合度(相近度或相似度)，按照預置的判 定規則，判斷待檢測程序是否為病毒程序。此過程與步驟S5，第一部分的過程相類似，唯獨 不同的是 一，獲取待檢測程序的相應數據指的是獲取待檢測程序的運行特徵數據。二，把 對系統進行惡意操作的指令或指令集與對應的指令或指令集執行後的結果，以及該指令或指 令集被執行過程中的內存數據形成對應關係表達式，包括已知病毒程序被執行過程中的內存 數據形成對應關係表達式，將所述對應關係表達式儲存到原則庫中。例10:根據以往的實施例，分別獲取待檢測程序l. exe與m. exe的運行特徵數據；1. exe的運行特徵數據是:a0， qo， 9i， 80， 5h， 3h， jg， pq， ci， cl， 8k， 00， 0k， ab， c3， ck;m. exe的運行特徵數據是la， 2b， c3， 4d， f5， 6h， 7k， j8， 9k， 10， 11， 22， 33， 44， 55， 6i;原則庫中某項數據是(ttqo， 9i， 80， **， 3h， jgtt)—病毒程序運行後對系統造成的惡性結果； 待檢測程序l. exe判定為病毒程序，m. exe判定為不是病毒程序。技術人員在實施的過程中可以根據具體的需求選擇實施的過程，對病毒判斷的準確度取 決於以上的所有實例中存儲病毒程序特性數據的資料庫，如程序行為經驗庫、原則庫、病 毒程序運行特徵經驗庫等。預置的判定規則也決定著識別病毒程序的準確性，如圖4所示， 技術人員還可以對待檢測程序進行綜合的分析，以達到較好的分析病毒的效果，原則庫中的 數據可參照圖5所示。以上對本發明所提供的一種防禦未知病毒程序的方法進行了詳細介紹，本文中應用了具 體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用於幫助理解本發明的方法及其核心思想；同時，對於本領域的一般技術人員，依據本發明的思想，在具體實施 方式及應用範圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。
權利要求
1. 一種防禦未知病毒程序的方法，其特徵在於，包括獲取待檢測程序的運行特徵數據；根據獲得的所述待檢測程序的運行特徵數據或運行特徵數據集合，結合預置的病毒程序的病毒運行特徵數據或病毒運行特徵數據集合，判斷所述待檢測程序是否為病毒程序。
5，如權利要求4所述的防禦未知病毒程序的方法，其特徵在於，按照 下列步驟建立原則庫將已知病毒程序的破壞性操作行為與該破壞性操作行為對應的運行結果，以及病毒程 序運行特徵經驗庫中存儲的數據形成對應關係表達式，將所述對應關係表達式儲存到原則庫中；把對系統進行惡意操作的指令或指令集與對應的指令或指令集執行後的結果，以及該 指令或指令集被執行過程中的內存數據形成對應關係表達式，將所述對應關係表達式儲存到 原則庫中；利用所述原則庫中的數據判斷所述待檢測程序是否為病毒程序。
6，如權利要求5所述的防禦未知病毒程序的方法，其特徵在於，按照 下述步驟獲取待檢測程序的行為數據獲得已知病毒程序的破壞性行為數據；根據所述破壞性行為數據設置對應的控制處理程序；使控制處理程序獲得對所述破壞性行為數據操作的控制權；待檢測程序的破壞性行為數據調用相應的控制處理程序，由所述控制處理程序記錄所 述待檢測程序的行為數據。
7，如權利要求4所述的防禦未知病毒程序的方法，其特徵在於，還包括建立虛擬裝置，將待檢測程序放入所述虛擬裝置中運行，獲取待檢測程序運行過程中 的特徵數據。
8，如權利要求4所述的防禦未知病毒程序的方法，其特徵在於，還包括獲得已知病毒程序的破壞性行為數據，將待檢測程序的行為數據與建立的所述程序行 為經驗庫中存儲的數據進行比較，判斷所述待檢測程序是否為病毒程序；建立虛擬裝置，將待檢測程序放入所述虛擬裝置中運行，獲取待檢測程序運行過程中 的特徵數據，將獲取的所述待檢測程序運行過程中的特徵數據與建立的病毒程序運行特徵經 驗庫中存儲的數據進行比較，判斷所述待檢測程序是否為病毒程序。
9，如權利要求4所述的防禦未知病毒程序的方法，其特徵在於，還包括獲得已知病毒程序的破壞性行為數據，將待檢測程序的行為數據與建立的所述程序行為經驗庫中存儲的數據進行比較，判斷所述程序行為經驗庫中是否存儲有與待檢測程序的行 為數據符合度大於指定的閥值；根據上述比較的結果，按照預置的判定規則，判斷待檢測程序是否為病毒程序。
10.權利要求IO如權利要求4所述的防禦未知病毒程序的方法，其特徵在於，還包括獲取待檢測程序運行過程中的特徵數據，將獲取的所述待檢測程序運行過程中的特徵 數據與建立的病毒程序運行特徵經驗庫中存儲的數據進行比較，判斷病毒程序運行特徵經驗 庫中是否存儲有與待檢測程序運行過程中的特徵數據符合度大於指定的閥值；根據上述比較的結果，按照預置的判定規則，判斷待檢測程序是否為病毒程序。
11.權利要求ll如權利要求9或10所述的防禦未知病毒程序的方法，其特徵在於 ，按照下列條件定義所述預置的判定規則獲取待檢測程序的相應數據分別與所述程序行為經驗庫中存儲的數據和所述病毒程序 運行特徵經驗庫中存儲的數據進行比較，根據比較後的結果，確定是否需要再與建立的原則 庫進行比較，判斷待檢測程序是否為病毒程序。
12.權利要求12如權利要求4所述的防禦未知病毒程序的方法，其特徵在於，還包括獲取待檢測程序的行為數據和運行過程中的特徵數據；將獲得的待檢測程序的行為數據與建立的原則庫中的對應關係表達式相應部分進行比 較，對比較成功的次數進行計數；將獲得的待檢測程序的運行過程中的特徵數據或者指紋特徵與建立的原則庫中的對應 關係表達式相應部分進行比較，對比較成功的次數進行計數；任意一次比較成功的次數等於或者超過設定的閥值時，判定所述待檢測程序為病毒程序。
全文摘要
本發明公開了一種防禦未知病毒程序的方法，包括獲取待檢測程序的運行特徵數據；根據獲得的所述待檢測程序的運行特徵數據或運行特徵數據集合，結合預置的病毒程序的病毒運行特徵數據或病毒運行特徵數據集合，判斷所述待檢測程序是否為病毒程序。本發明採用檢測程序行為數據和程序的運行特徵數據的方式識別未知病毒。
文檔編號G06F21/00GK101281571SQ20081030123
公開日2008年10月8日 申請日期2008年4月22日 優先權日2008年4月22日
發明者傑 白 申請人:白 傑;李 薇;魯徵宇