发明内容
有鉴于此,本发明实施例提供一种对非法程序的免疫方法,该方法能够有效避免非法程序运行在用户使用的客户端上。
本发明实施例还提供一种对非法程序的免疫***,该***能够有效避免非法程序运行在用户使用的客户端上。
本发明实施例还提供一种对非法程序的免疫装置,该装置能够有效避免非法程序运行在用户使用的客户端上。
根据上述目的,本发明实施例是这样实现的:
一种对非法程序的免疫方法,其特征在于,该方法包括:
服务器获取计算机网络中的非法程序;
服务器分析所获取的非法程序,获取非法程序的弱点信息;
服务器确定对应非法程序的弱点信息的免疫规则;
服务器将所确定的免疫规则发送给客户端,使得客户端进行***的阻止设置;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
一种对非法程序的免疫方法,该方法包括:
客户端从服务器接收到服务器发送的免疫规则;
客户端根据免疫规则进行***的阻止设置;
非法程序进入客户端,该非法程序检测到客户端***中的阻止设置后,不运行;
所述免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置时,所述阻止设置为注册表阻止设置;所述免疫规则为对文件的权限设置,所述阻止设置为对文件的权限设置;所述免疫规则为增加感染标记时,所述阻止设置为增加感应标记。
一种对非法程序的免疫装置,该装置包括:排名模块、分析模块和免疫规则库,其中,
排名模块,用于获取计算机网络中的非法程序;
分析模块,用于对所获取的非法程序进行分析,获取非法程序的弱点信息;
免疫规则库,用于确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
一种对非法程序的免疫装置,其特征在于,该装置包括:免疫模块、***模块和运行模块,其中,
免疫模块,用于接收到服务器发送的免疫规则,根据免疫规则进行***模块中的***的阻止设置;
***模块,用于在免疫模块的指示下进行***的阻止设置;
运行模块,用于非法程序的进入,该非法程序检测到***模块中的***的阻止设置后,不运行;所述免疫模块包括注册表免疫子模块、文件免疫子模块和网络免疫子模块,其中,
注册表免疫子模块,用于根据免疫规则对非法程序的依赖***已有模块对应的注册表阻止设置;
文件免疫子模块,用于根据免疫规则对非法程序的对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;根据免疫规则在客户端上增加感染标记;
网络免疫子模块,用于根据免疫规则阻止非法程序的链接地址的链接。
一种对非法程序的免疫***,该***包括:服务器和客户端,其中,
服务器,用于获取计算机网络中的非法程序;对所获取的非法程序进行分析,获取非法程序的弱点信息;确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
客户端,用于接收到服务器发送的免疫规则,根据免疫规则进行***的阻止设置;进入非法程序,该非法程序检测到***模块中的***的阻止设置后,不运行;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
从上述方案可以看出,本发明实施例中的服务器对计算机网络中的非法程序进行分析后,得到非法程序的弱点信息,所述弱点信息为非法程序运行时的必要信息,然后确定非法程序的弱点信息对应的免疫规则,将对应的免疫规则发送给用户使用的客户端,最后,用户使用的客户端根据接收的免疫规则进行***的注册表、文件或网络链接地址的阻止设置,从而避免非法程序在用户使用的客户端上的运行。由于本发明实施例并不是要扫描非法程序的特征来确定是否运行非法程序,而是在用户使用的客户端上直接进行***的阻止设置来主动阻止非法程序的运行,实现简单且有效。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
计算机网络中的非法程序要在用户使用的客户端运行时都会存在运行必要的弱点信息,主要包括:
非法程序的链接地址信息,非法程序的链接地址在设定的长时间内是不变的,诸如木马程序,木马程序在用户使用的客户端运行前的链接都是木马程序中的代码预先定义;
非法程序的依赖***已有模块信息,非法程序在运行时需要用户使用的客户端***中已有模块的支持,诸如计算机网络的网页承载的木马程序,其在用户使用的客户端运行时需要依赖用户使用的客户端***中已有模块的漏洞进行;
非法程序的文件信息,非法程序的文件信息包括释放非法程序到用户使用的客户端***上的文件名和文件路径,比如:C:\windows\system32,C:\ProgramData\Microsoft\Windows,C:\ProgramFiles\CommomFiles\System\等,这在非法程序中的代码中预先设定且不会更改;
非法程序的感染标记信息,同一家族的非法程序在进入用户使用的客户端后,为了在运行时不会因为自己反复感染导致用户使用的客户端***崩毁,会设置感染标记信息,同一家族的非法程序的感染标记信息相同,当非法程序进入用户使用的客户端时,就会检测用户使用的客户端***中是否有该感染标记信息,从而确定是否运行,例如名称为AV终结者病毒程序在进入用户使用的客户端后,就会检测***的注册表羡慕中是否有自身的感染标记信息,如果有,就会自动结束攻击行为。
本发明实施例针对非法程序的弱点信息,在服务器设置对应的免疫规则,即当非法程序的弱点信息为非法程序的链接地址信息时,设置的免疫规则为阻止非法程序的链接地址的链接;当非法程序的弱点信息为非法程序的依赖***已有模块信息,设置的免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;当非法程序的弱点信息为非法程序的文件信息时,设置的免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;当非法程序的弱点信息为非法程序的感染标记信息时,设置的免疫规则为在用户使用的客户端上增加该感染标记,防止非法程序的运行。
这样,本发明实施例中的服务器就对计算机网络中的非法程序进行分析后,得到非法程序的弱点信息,所述弱点信息为非法程序运行时的必要信息,然后确定非法程序的弱点信息对应的免疫规则,将对应的免疫规则发送给用户使用的客户端,最后,用户使用的客户端根据接收的免疫规则进行***的注册表、文件或网络链接地址的阻止设置,从而简单和有效地避免非法程序在用户使用的客户端上的运行。
图1为本发明实施例提供的对非法程序的免疫方法一流程图,其具体步骤为:
步骤101、服务器获取计算机网络中的非法程序;
在本步骤中,服务器设置排名规则,根据排名规则,在计算机网络中的所有非法程序中,筛选出最流行及危害最大的设定个数的非法程序并获取到;
在本步骤中,排名规则可以为根据计算机网络中报告下载、运行或查杀非法程序等统计数据,确定统计数据最多的设定个数的非法程序作为服务器获取的非法程序;
步骤102、服务器对所获取的非法程序进行分析,获取非法程序的弱点信息;
在本步骤中,根据不同的非法程序,其具有的弱点信息也不同,主要包括的弱点信息为:非法程序的链接地址信息、非法程序的依赖***已有模块信息、非法程序的文件信息或/和非法程序的感染标记信息;
在本步骤中,所述分析有两种方式,一种为非法程序的二进制代码静态分析,获取非法程序的链接地址信息、非法程序的文件信息或/和非法程序的感染标记信息;另一种为运行所获取的非法程序,获取非法程序的依赖***已有模块信息;
步骤103、服务器确定对应非法程序的弱点信息的免疫规则;
步骤104、服务器将所确定的免疫规则通过计算机网络发送给用户使用的客户端,使得用户使用的客户端进行***的阻止设置。
在图1的过程中,由于计算机网络中的非法程序有很多且是不断变化的,所以图1所述的过程在设定的时间间隔重复执行。
图2为本发明实施例提供的对非法程序的免疫方法二流程图,其具体步骤为:
步骤201、用户使用的客户端从服务器接收到服务器发送的免疫规则;
步骤202、用户使用的客户端根据免疫规则进行***的阻止设置;
步骤203、非法程序进入客户端,该非法程序检测到客户端***中的阻止设置后,不运行。
在图2中,用户使用的客户端可以主动或被动从服务器接收服务器发送的免疫规则,这里不限定。
图3为本发明实施例提供的对非法程序的免疫装置一结构示意图,该装置一为服务器,具体包括:排名模块、分析模块和免疫规则库,其中,
排名模块,用于获取计算机网络中的非法程序;
分析模块,用于对所获取的非法程序进行分析,获取非法程序的弱点信息;
免疫规则库,用于确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给用户使用的客户端,使得用户使用的客户端进行***的阻止设置。
在图3所述的装置中,所述排名模块设置排名规则,所述获取计算机网络中的非法程序为根据排名规则获取。
在图3所述的装置中,分析模块包括二进制静态分析子模块和动态行为分析子模块,其中,
二进制静态分析子模块,用于对所获取的非法程序中的二进制代码进行静态分析,获取非法程序的弱点信息中的非法程序的链接地址信息、非法程序的文件信息和/或非法程序的感染标记信息;
动态行为分析子模块,用于对所获取的非法程序运行,获取非法程序的弱点信息中的非法程序的依赖***已有模块信息。
在图3所述的装置中,免疫规则库中保存了各种针对非法程序的弱点信息对应的免疫规则,免疫规则中包括文件免疫操作、网络免疫操作、注册表免疫操作和规则使用***环境等。
举一个具体实施例说明一个免疫规则。
适用环境:windowxp用户
网络免疫操作:禁止访问域名hhuu.my-list-zong.info
文件免疫操作:在c:\ProgramFiles\CommonFiles\Services目录下创建一个名为svchost.exe文件夹;
设置svchost.exe的文件夹权限阻止访问、替换或删除。
图4为本发明实施例提供的对非法程序的免疫装置二结构示意图,包括:免疫模块、***模块和运行模块,其中,
免疫模块,用于接收到服务器发送的免疫规则,根据免疫规则进行***模块中的***的阻止设置;
***模块,用于在免疫模块的指示下进行***的阻止设置;
运行模块,用于非法程序的进入,该非法程序检测到***模块中的***的阻止设置后,不运行。
在图4中,免疫模块具体包括注册表免疫子模块、文件免疫子模块和网络免疫子模块,其中,
注册表免疫子模块,用于根据免疫规则对非法程序的依赖***已有模块对应的注册表阻止设置;
文件免疫子模块,用于根据免疫规则对非法程序的对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;根据免疫规则在用户使用的客户端上增加该感染标记;
网络免疫子模块,用于根据免疫规则阻止非法程序的链接地址的链接,比如禁用用户使用的客户端本地25端口等。
在注册表免疫子模块中,对用户使用的客户端***中的注册表进行创建、修改、删除或还原注册表项目或键值,比如进行如下注册表操作可以免疫网页承载木马程序利用Yahoo!Messenger组件存在的漏洞进入用户使用的客户端运行:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility的注册表中新建一个注册表项{24F3EAD6-8B87-4C1A-97DA-71C126BDA08F},在{24F3EAD6-8B87-4C1A-97DA-71C126BDA08F}项下新建一个名为CompatibilityFlags的键值,设置键值内容为00000400。
在文件免疫子模块中,比如进入文件的如下操作后就可以组织部分版本的机器狗木马程序在用户使用的客户端的运行:
在C:\WINDOW\system32\drivers目录下创建一个名称为phy.sys的文件夹,在phy.sys文件内创建一个名称为safe的文件夹用于存储机器狗木马程序,防止机器狗木马程序运行。
图5为本发明实施例提供的非法程序的免疫***结构示意图,包括服务器和用户使用的客户端,简称客户端,其中,
服务器,用于获取计算机网络中的非法程序;对所获取的非法程序进行分析,获取非法程序的弱点信息;确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
客户端,用于接收到服务器发送的免疫规则,根据免疫规则进行***的阻止设置;进入非法程序,该非法程序检测到***模块中的***的阻止设置后,不运行。
采用本发明实施例提供的方案,就可以对非法程序,比如病毒程序或恶意程序的运行进行阻止,即使非法程序快速变种或设置有屏蔽扫描功能,也可以对非法程序在用户使用的客户端运行的阻止。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。