一种利用代理技术实现计算机病毒防治的方法

摘要

本发明涉及一种利用代理技术实现计算机病毒防治的方法，具体步骤：1)分成管理器和代理两个软件成分，正常安装软件时向管理器登记，由管理器将安装的所有可执行文件的文件名、文件长度等特征作为一个记录存入管理器中的一个数据库中；2)每当有新进程创建时就向管理器发出事件报告；3)管理器接收到进程创建报告后以获得的文件名为键值查询数据库，3.1)如查不到原始记录就说明发现了非正常安装的软件。3.2)如果查到原始记录，则向代理获取其文件长度并与原始记录比对，如不相符就说明有可能已感染病毒。本发明优点是：利用代理技术实现，简单有效、不依靠病毒库、无需扫描比对病毒特征串、能对非正常代码的执行即时发出警告。

主权项

1、一种利用代理技术实现计算机病毒防治的方法，其特征在于：由以下措施和步骤实现计算机病毒防治：1)、分成管理器和代理两个软件成分，代理存在于每一台受到监视/管理的主机上，正常安装软件时都要向管理器登记，由管理器将安装的所有可执行文件的文件名、文件长度等特征作为一个记录存入管理器中的一个数据库中；2)、管理器要求所有代理监视进程的创建，每当有新进程创建时就向管理器发出事件报告，事件报告中至少包括新进程的进程号；2.1)根据进程号，管理器可以向代理查询该进程所执行文件的路径和文件名；2.2)也可以在事件报告中直接包括可执行文件的文件名；3)、管理器接收到进程创建报告后以获得的文件名为键值查询数据库，3.1)如查不到原始记录就说明发现了非正常安装的软件、很有可能是恶意代码；3.2)如果查到原始记录，则管理器进一步向代理获取其文件长度并与原始记录比对，如不相符就说明发现了受到篡改的软件、更有可能已感染病毒；4)、管理器要求所有代理监视可执行模块的装入，每当装入可执行模块时就向管理器发出事件报告，事件报告中包括该模块的路径与文件名；5)、管理器接收到模块装入报告后以获得的文件名为键值查询数据库，5.1)如查不到原始记录就说明发现了非正常安装的软件模块、很有可能是恶意代码；5.2)如果查到原始记录，则管理器进一步向代理获取其文件长度并与原始记录比对，如不相符就说明发现了受到篡改的软件模块、更有可能已感染病毒。