[发明专利]一种智能电子设备操作系统的动态恢复方法及其装置

说明书

技术领域

本发明属于智能电子设备领域，特别涉及一种智能电子设备操作系统的 动态恢复方法及其装置。

背景技术

随着智能电子设备的普及性增强，人们对电子设备的依赖性也逐步增强， 越来越多的工作和个人隐私等方面的重要资料都存储在电子设备上，供用户 对这些重要资料进行操作。

但是这些电子设备智能执行用户的使用命令，并不能记录它所执行的行 为，以及行为之间的关联性，无法准确记录操作系统的操作过程。因此，现 有技术中，人们会将电子设备某一状态下的数据进行备份，是一种静态备份， 如将电子设备的出厂状态的数据进行备份，当存在恶意代码或间谍软件侵犯 电子设备的操作系统，影响操作系统智能的正常工作时，现有技术中人们只 能利用备份的系统文件恢复操作系统，被动地将操作系统恢复至某一原始状 态，且电子设备只能恢复至静态备份状态，使得静态备份状态之后存储在电 子设备中的许多重要数据丢失，并无法恢复。

发明内容

本发明的一个目的是解决至少上述问题或缺陷，并提供至少后面将说明 的优点。

本发明的一个目的是记录电子设备中的所有操作行为，将智能电子设备 的操作行为进行备份，实现动态备份，完整记录每个行为发生的时间、行为 的内容和完成的结果，以及各个行为之间的相互作用关系。

本发明还有一个目的是记录智能电子设备中的所有行为，并查找所有行 为中是否存在恶意行为，当存在恶意行为时，则通过撤销该恶意行为相关的 所有行为，使得智能电子设备恢复至恶意行为侵犯前的状态。

本发明还有一个目的是记录智能电子设备中的所有行为，并将具有关联 性的行为作为一事件绑定存储，当确定恶意行为时，则提取与该恶意行为相 关的事件，进一步通过该事件确定并撤销与该恶意行为相关的所有行为，从 而有效防止引发该恶意行为的恶意代码的潜伏，彻底智能电子设备中的所有 恶意危害。

为了实现根据本发明的这些目的和其它优点，提供了一种智能电子设备 操作系统的动态恢复方法，包括：

步骤一、记录智能电子设备运行过程中的所有行为，将具有关联性的所 述行为绑定存储作为一事件；监控并记录系统的状态变迁，文件的增加删除， 邮件的收发，系统服务的增加和减少、内核模块的增加和减少，系统配置信 息的更新等行为，每一个行为记一条记录，包括该行为的发生时间、发生事 件的PID，这样描述一个完整的系统变化轨迹，供后继分析和恢复还原。

步骤二、遍历所有行为检测该操作系统中是否存在恶意行为；若存在恶 意行为时，查找该恶意行为关联的事件，并撤销该事件相关联的所有行为。

通过电脑、智能手机等智能电子设备的内核驱动，监控整个操作系统中 所有线程、进程、文件、注册表、网络、内存变迁、文件传输、关键函数调 用等一系列运行细节，生成详细的、连续的、完整的描述智能电子设备运行 行为的纪录。同时，根据记录的行为联系性，对记录的行为进行分析、归纳， 抽取得到多个行为关联的事件，所述事件包括程序启动、线程注入、模块加 载、APIHook等。遍历系统中记录的所有行为。通过全面监控和描述整个系 统的运行轨迹，将隐藏在系统进程中的模块的行为从系统进程中区分开来， 准确描述具体每个木马文件(DLL或脚本)的行为，从而精确描述木马样本 释放文件的过程，以及它的每个文件的运行细节和过程，实现一个木马运行 的详细分析报告和它的每个文件的运行分析报告。当行为中存在影响操作系 统工作的恶意行为时，则通过该恶意行为所关联的事件确定该事件的所有行 为，并通过撤销该事件的所有行为将控制系统恢复至恶意行为影响之间的状 态。