CN1900940A - 计算机安全启动的方法 - Google Patents
计算机安全启动的方法 Download PDFInfo
- Publication number
- CN1900940A CN1900940A CN 200610061765 CN200610061765A CN1900940A CN 1900940 A CN1900940 A CN 1900940A CN 200610061765 CN200610061765 CN 200610061765 CN 200610061765 A CN200610061765 A CN 200610061765A CN 1900940 A CN1900940 A CN 1900940A
- Authority
- CN
- China
- Prior art keywords
- computer
- program
- driven unit
- main interface
- security procedure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 182
- 230000003068 static effect Effects 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims description 90
- 230000003993 interaction Effects 0.000 claims description 6
- 238000004883 computer application Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 20
- 241000700605 Viruses Species 0.000 description 14
- 230000006399 behavior Effects 0.000 description 9
- 108091029480 NONCODE Proteins 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000035772 mutation Effects 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000010835 comparative analysis Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000010977 unit operation Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种计算机安全启动的方法,要解决的技术问题是识别恶意程序和防止恶意程序的运行,本发明的方法包括以下步骤:在计算机的应用层和驱动层分别安装主界面组件和驱动组件,驱动组件记录计算机启动过程中运行的进程,主界面组件对驱动组件记录下来的已运行进程进行扫描分析,确定安全进程,启动计算机时驱动组件被优先加载运行,恶意程序被驱动组件拦截,本发明与现有技术相比,驱动组件被优先加载运行,在计算机启动过程中拦截恶意程序,主界面组件采用数字签名验证、安全程序签名库验证和静态行为特征码分析判断方法判断程序是否为恶意程序,保证了计算机***的正常工作,又可以有效地清除计算机***启动中自动运行的恶意程序。
Description
技术领域
本发明涉及一种计算机安全启动的方法,特别是一种在计算机Windows***上安全启动的方法。
背景技术
目前,计算机病毒泛滥,一些人为了获取非法利益,在别人的计算机里非法安装各种恶意程序,包括木马后门、病毒、间谍软件等。这些非法的恶意程序在计算机启动的时候自动运行,监控计算机的操作,窃取计算机用户的私隐、银行卡密码和执行其它各种有害的操作,给计算机用户的工作和生活带来了麻烦。由于计算机软件存在大量的漏洞,导致计算机很容易被感染上各种恶意程序,给用户在使用计算机时造成了不便和损失。人们想尽了各种办法来查找自动运行的恶意程序,至今仍然没有一个有效的方法。另一方面,判断一个程序是否为恶意程序的方法也存在很多问题,传统的杀毒软件判断病毒的方法采用二进制的特征码识别,这种识别方法已经不能有效的对付新出现的恶意程序。因为现在的病毒,传播速度快、变种多,杀毒软件厂商都是通过收集病毒样本提取特征码的方法来查杀病毒,扮演着事后修补的角色。而类似木马后门的病毒变种多、针对性强、样本难以获取,依赖样本特征码的杀毒软件往往无法有效查杀这一类的病毒。
发明内容
本发明的目的是提供一种计算机安全启动的方法,要解决的技术问题是识别恶意程序和防止恶意程序的运行。
本发明采用以下技术方案:一种计算机安全启动的方法,包括以下步骤:一、在计算机的应用层和驱动层分别安装主界面组件和驱动组件;二、驱动组件记录有计算机启动过程中运行的所有进程的名称,主界面组件对驱动组件记录下来的已运行进程进行扫描分析,确定安全进程;三、启动计算机时,驱动组件被计算机的CPU优先加载运行,不列在安全进程中的程序被判断为恶意程序,被驱动组件拦截,不执行运行。
本发明的方法在计算机第一次启动时,驱动组件记录下计算机启动过程中运行的所有进程的名称,并存储;计算机启动完成后,主界面组件对驱动组件记录下来的已运行进程进行扫描分析,确定安全进程。
本发明的主界面组件对驱动组件记录下来的已运行程序使用数字签名验证、安全程序签名库验证和静态行为特征码分析的方法进行扫描分析。
本发明的驱动组件记录下计算机启动过程中运行的所有进程的名称时,以名称列表方式,存储到硬盘中的已运行进程列表中。
本发明的方法在扫描分析时,使用打分的方法表示危险值,每个扫描分析步骤都得到一个危险分数值,主界面组件把等于0分的进程记录到安全程序列表中。
本发明的驱动组件通过返回值拦截恶意程序。
本发明的主界面组件具有:人机交互模块、发送消息给驱动组件进行通信的模块、扫描分析识别恶意程序模块。
本发明的驱动组件拦截是通过创建进程处理来代替计算机中原有的创建进程处理实现的。
本发明的安全程序签名库验证采用扫描分析识别恶意程序模块把待分析程序的特征码与安全程序签名库里的特征码逐一比较,如果有相同的特征码,就把该待分析程序名称记录到安全程序列表,肯定该程序是正常程序。
本发明的静态行为特征码分析采用分析整个待验证程序文件的大小、资源及创建日期、验证文件的可移植的执行体信息、版本信息、可移植的执行体结构的导入表信息、区段信息、进程信息和文件名称,经比较给出危险值,然后把危险值累加,把最终危险值为0的程序名称记录到安全程序列表。
本发明与现有技术相比,驱动组件被计算机的CPU优先加载运行,在计算机启动过程中拦截恶意程序,对正常的程序并不拦截,主界面组件对驱动组件记录下来的已运行程序采用数字签名验证、安全程序签名库验证和静态行为特征码分析判断方法判断一个程序是否为恶意程序,保证了计算机***的正常工作,又可以有效地清除计算机***启动过程中自动运行的恶意程序。
附图说明
图1是本发明实施例的流程图。
图2是本发明实施例计算机启动流程图。
图3是本发明实施例计算机重启动流程图。
图4是本发明实施例扫描识别恶意程序流程图。
图5是本发明实施例编辑流程图。
图6是本发明实施例计算机启动过程中拦截处理流程图。
图7是本发明进程拦截流程图。
图8是本发明实施例重新启动计算机的界面图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细说明。名词定义,进程:为一个正在运行的程序的实例。恶意程序:对计算机***有害的程序,包括了病毒程序、木马后门和间谍程序等。驱动组件:是一个驱动程序,驱动程序运行在***的底层,对***有很高的控制权限,可以看作是操作***的一部分。主界面组件:为主界面程序,主要用来处理人机交互,在Windows***中,主界面组件一般是以窗口的形式与用户交互,使用者可以用鼠标和键盘操作,完成所需的任务。
本发明的计算机安全启动的方法,使用计算机配置为CPU奔腾400MHz或者更高,内存64MB以上,显示卡SVGA16位色以上的显示模式,硬盘300MB以上,操作***为:Windows 2000/Windows XP/Windows2003,首先在计算机的应用层和驱动层分别安装主界面组件和驱动组件。主界面组件包括:(1)人机交互模块部分,如图8所示,采用Windows的窗口,通过窗口内的一个按钮与用户交互;(2)与驱动组件相互通信的模块部分,主界面组件与驱动组件建立消息通道,以发送消息给驱动组件的方式控制驱动组件完成记录进程信息和拦截进程启动的的功能;(3)扫描分析识别恶意程序模块部分,通过扫描判断一个程序是否为恶意程序,具体的扫描方法包括了顺序进行的数字签名验证、安全程序签名库验证和静态行为特征码分析,扫描过程中使用分数表示危险值,把每一项扫描得到的分数累加,扫描完成后,根据最终的分数判断被扫描程序的危险度。
驱动组件用于拦截所有程序的运行,并记录所运行进程的名称到设置在硬盘的已运行进程的列表记录中,拦截程序运行是通过创建进程处理来代替计算机中原有的创建进程处理的功能实现的。
如图1所示,本发明的计算机安全启动的方法,包括以下步骤:一、在计算机的应用层和驱动层分别安装主界面组件和驱动组件;二、启动计算机时,驱动组件以名称列表方式记录下计算机启动过程中运行的所有进程的名称,存储到硬盘中的已运行进程列表中;三、计算机启动完成后,主界面组件对驱动组件记录下来的已运行程序列表顺序使用数字签名验证、安全程序签名库验证和静态行为特征码分析的方法进行扫描分析,使用打分的方法表示危险值,每个扫描分析步骤都得到一个危险分数值,主界面组件把等于0分的程序记录到安全程序列表中;四、重新启动计算机,不在安全程序的列表中被判断为恶意程序,被驱动组件通过返回值拦截,不执行运行。
本发明的计算机安全启动的方法由于在计算机的驱动层中安装了驱动组件,在计算机启动过程中,驱动组件被计算机的CPU优先加载运行,运行之后,通过替换监控所有新的进程创建。如图2所示,计算机启动的时候,驱动组件运行,驱动组件使用自身的创建进程处理代替计算机原有的进程,计算机创建各个新的进程时,驱动组件记录下各个被创建的进程名称,以列表的方式存储在已运行进程列表记录里。如图3所示,计算机重新启动的时候,驱动组件根据硬盘中保存在安全程序列表里的进程名称对新创建的进程名称作字符串比较,不在启动列表中的程序都直接终止该进程,通过返回值来不允许创建该进程,只有进程名称在安全程序列表中的程序才允许创建进程。计算机***启动完成后,主界面组件发送停止拦截的命令给驱动组件,驱动组件停止阻止创建进程的运行,计算机***的控制权通过放过被阻止的进程来交给用户。计算机的驱动层安装驱动组件之后,每次启动计算机,驱动组件会记录下运行的程序名称到已运行进程列表记录,完成了安全启动的第一次启动,这样可以省略掉第一次启动计算机的过程,仅仅需要执行第二次的启动,简化了用户使用安全启动的步骤。
主界面组件扫描识别恶意程序使用的扫描方法包括了数字签名验证、安全程序签名库验证和静态行为特征码分析。这样做的目的是:首先排除设置在计算机操作***中认为正常的程序,扫描分析模块的扫描功能,再根据静态行为特征码对比分析该程序,得到一个危险值,危险值是以分数来计算,分数越大,该程序的危险度就越高,然后把危险值为0的程序名称存储在注册表的安全程序列表中。如图4所示,主界面组件扫描分析恶意程序的流程是先分析数字签名,再分析安全程序签名库,最后分析静态行为特征码。
计算机的中央处理器读取待扫描文件,通过读取方式进行比较,首先验证恶意程序列表,恶意程序列表为人工收集提取的特征码的集合,保存在硬盘中,通过读取硬盘中的数据来进行比较,如果中央处理器读取待扫描文件的特征码在恶意程序列表里面,说明该程序已经是恶意程序,危险值给100分,表示比较危险,没有必要再往下扫描,扫描结束。
数字签名是Windows操作***提供的验证某个文件是否含有唯一确定签名的一项功能。Windows操作***里面的每一个程序的数据上都有微软的数字签名,数字签名的值是唯一的,它可以证明该程序是正常的安全程序。如果待分析程序含有微软的数字签名,就把该程序名称记录到安全程序列表里面,扫描结束,如没有数字签名,进行安全程序签名库验证。
安全程序签名库是由人工通过收集的安全程序的特征码集合,以列表的方式存储在安全程序签名库文件里,中央处理器把常用的软件用文本收集起来,通过分析验证过是正常程序之后,提取这些正常程序的文件的特征码,集合在一起。主界面组件的扫描分析识别恶意程序模块把待分析程序的特征码与安全程序签名库里的特征码逐一比较,如果有相同的特征码,就把该待分析程序名称记录到安全程序列表,肯定该程序是正常程序,扫描结束。
扫描恶意程序方法中的静态行为特征码分析采用下面的规则顺序,通过比较来给出危险值,然后把危险值累加,把最终危险值为0的程序名称记录到安全程序列表,然后扫描结束。
1、计算机的中央处理器判断分析整个待验证文件的大小,给出打分值并保存在内存中,然后累加,当分值超过100时判断为恶意程序,扫描结束。一个正常的程序,或者一些大型的软件,一般都不会太小,而只有病毒或木马为了传输的方便,一般会比较小。
1.1、待验证文件小于1KB时,加20分,记入并保存在内存中;
1.2、待验证文件小于50KB时,加15分;
1.3、待验证文件小于100KB时,加10分;
1.4、待验证文件小于200KB时,加5分;
1.5、待验证文件大于500KB时,减5分;
1.6、待验证文件大于1024KB时,减20分。
2、计算机的中央处理器判断分析待验证文件的资源和创建日期,给出打分值记入并存储在内存中,然后累加,当分值超过100时判断为恶意程序,扫描结束。一般的病毒程序都不会有窗体、图标和声音等资源,就算有,也是很少,所以在这里对资源和创建日期比较敏感的信息进行分析。
2.1、中央处理器判断分析待验证文件的资源数,将结果记入并存储在内存中,资源数少于等于5,则加5分;
2.2、中央处理器判断分析字符串,当文件小于500K时,减10分;
2.3、中央处理器判断分析待验证文件的创建日期为一天以内,加5分。
3、中央处理器判断分析待验证文件的可移植的执行体PE信息,以确定待验证文件是否被加壳,若加壳危险值加50分,记入并存储在内存中。
3.1、中央处理器判断待验证程序入口点所在的段,是不是标准的段。正常程序的代码段入口点,都在code,.code名字的代码段中,如果不是的话,认为都是加壳;
3.2、中央处理器判断待验证程序进口点的代码是否与壳特征码相同。计算机的编译器编译后生成的入口点的代码都是相同的,加壳工具也是如此,因此根据一个程序的入口点代码与特征码库中的壳特征进行比较,就能判断是否被加壳的程序;
3.3、中央处理器分析待验证程序的导入函数,并确定待验证文件是否被加壳。如:分析待验证程序敏感的四个API函数,当导入表内容中只有两个以上,六个以下的API函数,并且与六个api函数相符合,表明待验证程序被加壳。常见的五个敏感的API函数:“VirtualAlloc”、“VirtualFree”、“LoadLibraryA”、“LoadLibraryW”和“GetProcAddress”,这五个API函数是加壳常用的,VirtualAlloc和VirtualFree:用于进行内存的分配和释放,LoadLibraryA和LoadLibraryW:用于加载DLL动态链接库,GetProcAddress:用于从LoadLibray加载的DLL动态链接库中,获取函数的入口点指针。
4、计算机的中央处理器分析待验证程序文件版本信息,给出打分值。一般正常的程序都会有开发商的版本信息,如公司名、版本号、版权信息和描述字符,大部分的病毒程序都不会有这些信息,仅仅有小部分病毒会伪造版本信息,中央处理器将分析判断结果记入并存储在内存中,然后继续扫描。
4.1、待验证程序文件中没有版本信息,加8分;
4.2、待验证程序文件中没有公司名称的加2分;
4.3、待验证程序文件中没有版权信息加2分;
4.4、待验证程序文件中没有描述信息,或描述字符少于5个,加2分;
4.5、文件公司名称为微软件的,并且该文件被加壳,加10分。
5、计算机的中央处理器分析待验证程序文件的可移植的执行体PE结构的导入表信息,对动态连接库DLL和其导入函数进行比较识别,然后将分析判断结果记入并存储在内存中,然后继续扫描,给出打分值。
5.1、导入表不完整,如果中央处理器读取文件头或是导入表出错,通过中央处理器判断,直接给该程序加50分;
5.2、中央处理器分析DLL信息,是否存在少于或者等于2个以上非微软DLL导入表中加载的非微软模,块超过2个,每个减去20分;
5.3、导入表中存在与网络相关的模块,加10分,中央处理器分析待验证程序文件中是否存在网络相关的DLL,如WPCAP,一个用于拦截数据包的开发包的DLL,加5分;
5.4、中央处理器分析待验证程序文件中是否存在文件相关的应用程序编程接口API,如CreateFile,加5分;如果程序被加壳,就不分析API导入表中含有危险接口,即写文件、创建进程和网络访问的接口调用,每个加5分;
5.5、如果待验证程序文件是VB(Visual Basic)程序,中央处理器分析判断是否含有文件操作,而且使用网络控件,加10分。
6、计算机的中央处理器分析待验证程序文件的区段信息,给出打分值。正常的程序非代码段的大小大约是代码段的10倍以内,如果超过10倍的话,有可能是一些打包了病毒,或是被病毒感染的程序,中央处理器把除了代码段之外的所有段都加起来,再比较大小,即它们与代码段的大小相差多少,这样中央处理器将分析判断结果记入并存储在内存中,然后继续扫描。
6.1、段表不完整,加10分;
6.2、非代码段是代码段的100倍以上,加10分;
6.3、非代码段是代码段的80倍以上,加8分;
6.4、非代码段是代码段的60倍以上,加6分;
6.5、非代码段是代码段的40倍以上,加4分;
6.6、非代码段是代码段的20倍以上,加2分;
6.7、非代码段是代码段的10倍以上,加1分。
7、计算机的中央处理器分析进程信息,将分析判断结果记入并存储在内存中,然后继续扫描,给出打分值。
7.1、待验证进程名称如果是:“svchost.exe”,“lsass.exe”,“winlogon.exe”,“services.exe”,“Msimn.exe”,“msnmsgr.exe”这六个进程中的其中一个,加5分;
7.2、待验证程序文件在操作***的安装目录下,加10分;
7.3、待验证程序文件在%system%目录下,加10分;
7.4、待验证程序文件的路径是网络路径,加5分;
7.5、中央处理器分析待验证进程与如下关键进程的名字的相似度,达到80%,加10分:“conime”,“svchost”,“services”,“winlogon”,“explorer”,“lsass”,“internat”,“smss”;
7.6、分析创建的进程名称的后缀是否是“DLL”,如果是,加20分。
8、计算机的中央处理器分析待验证程序文件的文件名称,给出打分值。名,对于正常的程序,一般文件名都不会超过32个,并且其中一般也不会超有2个以上的空格,也不会有中文或是#、$、@和%这些特殊字符,如果符合了下面这些条件的话,那就说明这个程序有可能是有问题的程序,中央处理器将分析判断结果记入并存储在内存中,然后继续扫描。
8.1、文件名超长,对大于32个字符,加5分;
8.2、文件名中含有3个以上的空格,加5分;
8.3、文件名中含有特殊字符,如中文符号,每个字符加1分;
8.4、文件名分析分数高于10分,则设为10分。
如图5所示,根据计算机扫描的结果,使用者可以编辑修改主界面程序扫描的结果,使用者手动设置扫描结果列表中的某个的程序为恶意程序或者正常程序。
如图6所示,在计算机启动过程中,首先加载驱动组件,先给该程序创建进程,然后调度该进程,使进程运行起来。驱动组件替换计算机中原有的创建进程处理功能为驱动组件本身的处理。在计算机创建进程的时候,驱动组件会先对被创建的进程作以下处理:1、启动进程是否为操作***进程,操作***进程是计算机启动必须运行的进程,绝对不能拦截,否则会使得计算机***不能正常工作,所以要允许操作***程序的进程运行;2、判断是否为正常程序列表里面的程序,如果是正常程序列表里面的程序,就允许创建进程;3、禁止其它所有进程的直接创建。
在正常情况下,计算机***启动完成后,驱动组件停止自动拦截,但是考虑到有可能会出现各种问题,导致驱动组件一直处于拦截状态,这样就会造成计算机无法正常使用,所以在驱动组件要有一个停止自动拦截的方法:如果主界面程序已经运行,或者驱动组件自身运行之后定时检测,如果驱动组件检测到自身运行超过5分钟,驱动组件就停止拦截,使计算机可以正常运行。
如图7所示,本发明驱动组件实现进程拦截的方法是使用创建进程处理代替计算机中原有的创建进程处理。首先驱动组件在初始化的时候,计算机的中央处理器获取原有处理函数的ID号,找到ID号对应的函数内存地址,然后采用修改地址属性的方法,把函数地址设为可写,修改函数地址,改写该地址为驱动组件里面的处理函数地址,进行替换。驱动组件的处理函数开始做出判断,决定阻止还是允许该进程的运行,计算机启动完成后恢复函数地址的不可写。要实现进程拦截可以有多种方法,本发明采用的方法是替换ZwCreateProcess、ZwCreateProcessEx、ZwCreateThread、ZwResumeThread这四个创建进程使用的内核处理函数。
Claims (10)
1.一种计算机安全启动的方法,包括以下步骤:一、在计算机的应用层和驱动层分别安装主界面组件和驱动组件;二、驱动组件记录有计算机启动过程中运行的所有进程的名称,主界面组件对驱动组件记录下来的已运行进程进行扫描分析,确定安全进程;三、启动计算机时,驱动组件被计算机的CPU优先加载运行,不列在安全进程中的程序被判断为恶意程序,被驱动组件拦截,不执行运行。
2.根据权利要求1所述的计算机安全启动的方法,其特征在于:所述计算机第一次启动时,驱动组件记录下计算机启动过程中运行的所有进程的名称,并存储;计算机启动完成后,主界面组件对驱动组件记录下来的已运行进程进行扫描分析,确定安全进程。
3.根据权利要求2所述的计算机安全启动的方法,其特征在于:所述主界面组件对驱动组件记录下来的已运行程序使用数字签名验证、安全程序签名库验证和静态行为特征码分析的方法进行扫描分析。
4.根据权利要求3所述的计算机安全启动的方法,其特征在于:所述驱动组件记录下计算机启动过程中运行的所有进程的名称时,以名称列表方式,存储到硬盘中的已运行进程列表中。
5.根据权利要求4所述的计算机安全启动的方法,其特征在于:所述扫描分析时,使用打分的方法表示危险值,每个扫描分析步骤都得到一个危险分数值,主界面组件把等于0分的进程记录到安全程序列表中。
6.根据权利要求5所述的计算机安全启动的方法,其特征在于:所述驱动组件通过返回值拦截恶意程序。
7.根据权利要求6所述的计算机安全启动的方法,其特征在于:所述主界面组件具有:人机交互模块、发送消息给驱动组件进行通信的模块、扫描分析识别恶意程序模块。
8.根据权利要求7所述的计算机安全启动的方法,其特征在于:所述驱动组件拦截是通过创建进程处理来代替计算机中原有的创建进程处理实现的。
9.根据权利要求8所述的计算机安全启动的方法,其特征在于:所述安全程序签名库验证采用扫描分析识别恶意程序模块把待分析程序的特征码与安全程序签名库里的特征码逐一比较,如果有相同的特征码,就把该待分析程序名称记录到安全程序列表,肯定该程序是正常程序。
10.根据权利要求9所述的计算机安全启动的方法,其特征在于:所述静态行为特征码分析采用分析整个待验证程序文件的大小、资源及创建日期、验证文件的可移植的执行体信息、版本信息、可移植的执行体结构的导入表信息、区段信息、进程信息和文件名称,经比较给出危险值,然后把危险值累加,把最终危险值为0的程序名称记录到安全程序列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610061765 CN100481101C (zh) | 2006-07-19 | 2006-07-19 | 计算机安全启动的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610061765 CN100481101C (zh) | 2006-07-19 | 2006-07-19 | 计算机安全启动的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1900940A true CN1900940A (zh) | 2007-01-24 |
| CN100481101C CN100481101C (zh) | 2009-04-22 |
Family
ID=37656827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610061765 Expired - Fee Related CN100481101C (zh) | 2006-07-19 | 2006-07-19 | 计算机安全启动的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100481101C (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101950339A (zh) * | 2010-09-14 | 2011-01-19 | 上海置水软件技术有限公司 | 一种电脑安全防护方法和*** |
| CN102034047A (zh) * | 2010-12-21 | 2011-04-27 | 姚志浩 | 一种计算机病毒自动防护方法 |
| CN102081720A (zh) * | 2010-11-18 | 2011-06-01 | 腾讯科技(深圳)有限公司 | 一种实时防护中检测进程创建的方法及*** |
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN101685483B (zh) * | 2008-09-22 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种病毒特征码提取的方法和装置 |
| CN102890641A (zh) * | 2012-08-30 | 2013-01-23 | 北京奇虎科技有限公司 | 一种进程行为控制的方法和装置 |
| CN102902910A (zh) * | 2011-07-28 | 2013-01-30 | 腾讯科技(深圳)有限公司 | 驱动保护方法及*** |
| CN103019778A (zh) * | 2012-11-30 | 2013-04-03 | 北京奇虎科技有限公司 | 开机启动项的清理方法和装置 |
| CN103514411A (zh) * | 2012-06-25 | 2014-01-15 | 联想(北京)有限公司 | 启动电子设备的方法及电子设备安全*** |
| CN103763686A (zh) * | 2013-12-23 | 2014-04-30 | 北京奇虎科技有限公司 | 短消息的处理方法和装置 |
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及*** |
| CN104598806A (zh) * | 2014-11-24 | 2015-05-06 | 北京奇虎科技有限公司 | 一种进行登录检测的方法和装置 |
| CN103902883B (zh) * | 2013-09-24 | 2017-01-11 | 北京安天电子设备有限公司 | 一种基于驱动级程序的apt预防方法及*** |
| CN103713920B (zh) * | 2011-06-20 | 2017-11-14 | 北京奇虎科技有限公司 | 便携设备操作***启动保护方法和装置 |
| CN107430663A (zh) * | 2014-12-23 | 2017-12-01 | 迈克菲有限责任公司 | 确定用于进程的信誉 |
| CN112199679A (zh) * | 2020-09-29 | 2021-01-08 | 珠海豹好玩科技有限公司 | 一种Linux***下的病毒查杀方法及装置 |
-
2006
- 2006-07-19 CN CN 200610061765 patent/CN100481101C/zh not_active Expired - Fee Related
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101685483B (zh) * | 2008-09-22 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种病毒特征码提取的方法和装置 |
| CN101950339A (zh) * | 2010-09-14 | 2011-01-19 | 上海置水软件技术有限公司 | 一种电脑安全防护方法和*** |
| CN102081720A (zh) * | 2010-11-18 | 2011-06-01 | 腾讯科技(深圳)有限公司 | 一种实时防护中检测进程创建的方法及*** |
| CN102081720B (zh) * | 2010-11-18 | 2013-01-02 | 腾讯科技(深圳)有限公司 | 一种实时防护中检测进程创建的方法及*** |
| CN102034047A (zh) * | 2010-12-21 | 2011-04-27 | 姚志浩 | 一种计算机病毒自动防护方法 |
| CN102034047B (zh) * | 2010-12-21 | 2012-10-17 | 姚志浩 | 一种计算机病毒自动防护方法 |
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN102110220B (zh) * | 2011-02-14 | 2013-01-23 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN103713920B (zh) * | 2011-06-20 | 2017-11-14 | 北京奇虎科技有限公司 | 便携设备操作***启动保护方法和装置 |
| CN102902910A (zh) * | 2011-07-28 | 2013-01-30 | 腾讯科技(深圳)有限公司 | 驱动保护方法及*** |
| US9317707B2 (en) | 2011-07-28 | 2016-04-19 | Tencent Technology (Shenzhen) Company Limited | Method and system for protecting a driver |
| CN102902910B (zh) * | 2011-07-28 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 驱动保护方法及*** |
| CN103514411A (zh) * | 2012-06-25 | 2014-01-15 | 联想(北京)有限公司 | 启动电子设备的方法及电子设备安全*** |
| CN102890641B (zh) * | 2012-08-30 | 2015-02-11 | 北京奇虎科技有限公司 | 一种进程行为控制的方法和装置 |
| CN102890641A (zh) * | 2012-08-30 | 2013-01-23 | 北京奇虎科技有限公司 | 一种进程行为控制的方法和装置 |
| CN103019778A (zh) * | 2012-11-30 | 2013-04-03 | 北京奇虎科技有限公司 | 开机启动项的清理方法和装置 |
| CN103019778B (zh) * | 2012-11-30 | 2016-05-25 | 北京奇虎科技有限公司 | 开机启动项的清理方法和装置 |
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及*** |
| CN103902901B (zh) * | 2013-09-17 | 2017-10-31 | 北京安天网络安全技术有限公司 | 一种基于编译器识别的apt检测方法及*** |
| CN103902883B (zh) * | 2013-09-24 | 2017-01-11 | 北京安天电子设备有限公司 | 一种基于驱动级程序的apt预防方法及*** |
| CN103763686A (zh) * | 2013-12-23 | 2014-04-30 | 北京奇虎科技有限公司 | 短消息的处理方法和装置 |
| CN104598806A (zh) * | 2014-11-24 | 2015-05-06 | 北京奇虎科技有限公司 | 一种进行登录检测的方法和装置 |
| CN107430663A (zh) * | 2014-12-23 | 2017-12-01 | 迈克菲有限责任公司 | 确定用于进程的信誉 |
| CN112199679A (zh) * | 2020-09-29 | 2021-01-08 | 珠海豹好玩科技有限公司 | 一种Linux***下的病毒查杀方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100481101C (zh) | 2009-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100481101C (zh) | 计算机安全启动的方法 | |
| Li et al. | Understanding android app piggybacking: A systematic study of malicious code grafting | |
| TWI401582B (zh) | 用於一硬體之監控裝置、監控方法及其電腦程式產品 | |
| US7627898B2 (en) | Method and system for detecting infection of an operating system | |
| CN101359355B (zh) | Windows***下受限帐户提升用户权限的方法 | |
| KR101201118B1 (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
| US10162965B2 (en) | Portable media system with virus blocker and method of operation thereof | |
| US20100122313A1 (en) | Method and system for restricting file access in a computer system | |
| US12001543B2 (en) | System and method for container assessment using sandboxing | |
| EP2750067B1 (en) | System and method for selecting synchronous or asynchronous file access method during antivirus analysis | |
| CN1702590A (zh) | 一种建立计算机中可信任运行环境的方法 | |
| CN101458754B (zh) | 一种监控应用程序行为的方法及装置 | |
| CN1550950A (zh) | 防护计算机***使之免受恶意软件破坏的方法和*** | |
| CN1795439A (zh) | 计算机操作***的安全***与方法 | |
| US10262139B2 (en) | System and method for detection and prevention of data breach and ransomware attacks | |
| CN102024113B (zh) | 快速检测恶意代码的方法和*** | |
| RU2427890C2 (ru) | Система и способ сравнения файлов на основе шаблонов функциональности | |
| CN101382984A (zh) | 一种扫描检测广义未知病毒的方法 | |
| KR100991807B1 (ko) | 마이크로소프트 윈도우 운영체제를 사용하는 컴퓨터시스템에서의 악성코드 탐지 및 처리 시스템 및 방법 | |
| KR101819322B1 (ko) | 악성코드 분석모듈 및 그 악성코드 분석방법 | |
| Aslan | Performance comparison of static malware analysis tools versus antivirus scanners to detect malware | |
| CN101046836A (zh) | 一种清除rootkit的***及方法 | |
| CN1677302A (zh) | 用于获取资源使用日志的方法和***以及计算机产品 | |
| CN1920786A (zh) | 实现操作***安全控制的***及方法 | |
| RU2583712C2 (ru) | Система и способ обнаружения вредоносных файлов определенного типа |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SHENZHEN CITY ANLUO TECHNOLOGY CO., LTD Free format text: FORMER OWNER: XIE ZHAOXIA Effective date: 20100329 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518020 BUILDING 3, PETROLEM CHEMISTRY SHUIBEI INDUSTRY DISTRICT, CUIZHU NORTH ROAD, LUOHU DISTRICT, SHENZHEN CITY, GUANGDONG PROVINCE TO: 518020 FLOOR 8, EAST SIDE, BUILDING 3, PETROLEM CHEMISTRY SHUIBEI INDUSTRY DISTRICT, CUIZHU NORTH ROAD, LUOHU DISTRICT, SHENZHEN CITY, GUANGDONG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20100329 Address after: 518020 Guangdong city of Shenzhen province Luohu District Cuizhu North Petrochemical Water Bay Industrial Zone 3 East 8 floor Patentee after: Shenzhen Anluo Technology Co., Ltd. Address before: 518020 Guangdong city of Shenzhen province Luohu District Cuizhu north petrochemical industrial zone 3 East Bay water Patentee before: Xie Chaoxia |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090422 Termination date: 20100719 |