[发明专利]用于保护计算机系统免遭恶意对象活动侵害的系统和方法

权利要求书

1.一种用于计算机恶意软件防护的方法，所述方法包括：

对计算机上一个或多个进程的执行事件进行监控；

识别所述被监控事件之中的可核查事件，其中所述可核查事件至少包括文件的创建、更改或者删除事件，系统注册表的参数和值的创建、更改或者删除事件，以及由在计算机上所执行的进程进行的网络访问事件；

在单独的文件、注册表以及网络事件日志中记录所述识别出的可核查事件；

对计算机上的一个或多个软件对象执行恶意软件检查；

如果确定了对象是恶意的，那么从所述文件、注册表和网络事件日志中识别一个或多个与所述恶意对象相关联的文件、注册表以及网络事件；

对与所述恶意对象相关联的一个或多个文件事件执行回退操作；

对与所述恶意对象相关联的一个或多个注册表事件执行回退操作；

终止与所述恶意对象相关联的一个或多个网络连接。

2.根据权利要求1的方法，其中执行文件事件的回退操作包括：

基于所述识别出的与所述恶意对象相关联的文件事件，识别由所述恶意对象所创建、更改或者删除的一个或多个文件；

删除所述识别出的由所述恶意对象所创建的新文件；以及

从可信的备份中恢复至少部分的所述被更改和删除的文件。

3.根据权利要求1的方法，其中执行注册表事件的回退操作包括：

基于所述识别出的与所述恶意对象相关联的注册表事件，识别由所述恶意对象所创建、更改或者删除的一个或多个注册表参数和值；

删除由所述恶意对象所创建的新的注册表参数和值；以及

从可信的备份中恢复被更改或者删除的注册表参数和值。

4.根据权利要求1的方法，其中对所述计算机上一个或多个进程的执行事件进行监控更进一步地包括：

识别被监控的父和子进程以及由所述被监控的进程所生成的执行线程之间的关系；

从所述文件、注册表和网络事件日志中识别与一个或多个相关的父和子进程以及由所述恶意对象所生成的执行线程相关联的一个或多个文件、注册表和网络事件。

5.根据权利要求4的方法，更进一步的包括：

识别一个或多个被所述父和子进程以及由所述恶意对象所生成的执行线程所创建、更改或者删除的系统和非系统文件；

从可信的备份中恢复至少部分的所述被更改的系统和非系统文件或者被删除的系统和非系统文件；

删除所有识别出的被所述父和子进程以及由所述恶意对象所生成的执行线程所创建的新的非系统文件。

6.根据权利要求4的方法，更进一步的包括：

识别一个或多个被所述父和子进程以及由所述恶意对象所生成的执行线程所创建、更改或者删除的注册表参数和值；

删除一个或多个识别出的被所述父和子进程以及由所述恶意对象所生成的执行线程所创建的新的注册表参数和值；以及

从可信的备份中恢复被更改或者删除的注册表参数和值。

7.根据权利要求4的方法，更进一步的包括：

识别一个或多个被所述父和子进程以及由所述恶意对象所生成的执行线程所建立的网络连接；

终止一个或多个识别出的被所述父和子进程以及由所述恶意对象所生成的执行线程所建立的网络连接。