发明名称 |
一种利用代理技术实现计算机病毒防治的方法 |
摘要 |
本发明涉及一种利用代理技术实现计算机病毒防治的方法,具体步骤:1)分成管理器和代理两个软件成分,正常安装软件时向管理器登记,由管理器将安装的所有可执行文件的文件名、文件长度等特征作为一个记录存入管理器中的一个数据库中;2)每当有新进程创建时就向管理器发出事件报告;3)管理器接收到进程创建报告后以获得的文件名为键值查询数据库,3.1)如查不到原始记录就说明发现了非正常安装的软件。3.2)如果查到原始记录,则向代理获取其文件长度并与原始记录比对,如不相符就说明有可能已感染病毒。本发明优点是:利用代理技术实现,简单有效、不依靠病毒库、无需扫描比对病毒特征串、能对非正常代码的执行即时发出警告。 |
申请公布号 |
CN100353277C |
申请公布日期 |
2007.12.05 |
申请号 |
CN200510060205.X |
申请日期 |
2005.07.27 |
申请人 |
毛德操 |
发明人 |
毛德操 |
分类号 |
G06F1/00(2006.01) |
主分类号 |
G06F1/00(2006.01) |
代理机构 |
杭州九洲专利事务所有限公司 |
代理人 |
陈继亮 |
主权项 |
1、一种利用代理技术实现计算机病毒防治的方法,其特征在于:由以下措施和步骤实现计算机病毒防治:1)、分成管理器和代理两个软件成分,代理采用存在于每一台受到监视/管理的主机上的微软WMI,正常安装软件时都要向管理器登记,由管理器将安装的所有可执行文件的文件名、文件长度等特征作为一个记录存入管理器中的一个数据库中;2)、管理器要求所有代理监视进程的创建,创建了新进程时就向管理器发出事件报告,事件报告中至少包括新进程的进程号;2.1)根据进程号,管理器可以向代理查询该进程所执行文件的路径和文件名;2.2)也可以在事件报告中直接包括可执行文件的文件名;3)、管理器接收到进程创建报告后以获得的文件名为键值查询数据库,3.1)如查不到原始记录就说明发现了非正常安装的软件、很有可能是恶意代码;3.2)如果查到原始记录,则管理器进一步向代理获取其文件长度并与原始记录比对,如不相符就说明发现了受到篡改的软件、更有可能已感染病毒;4)、管理器要求所有代理监视可执行模块的装入,每当装入可执行模块时就向管理器发出事件报告,事件报告中包括该模块的路径与文件名;5)、管理器接收到模块装入报告后以获得的文件名为键值查询数据库,5.1)如查不到原始记录就说明发现了非正常安装的软件模块、很有可能是恶意代码;5.2)如果查到原始记录,则管理器进一步向代理获取其文件长度并与原始记录比对,如不相符就说明发现了受到篡改的软件模块、更有可能已感染病毒;6)、对于非正常安装的软件和可能已感染病毒的软件,管理器通过代理终结该进程的运行。 |
地址 |
310007浙江省杭州市黄龙洞世贸中心写字楼C12浙大网新科技有限公司 |