專利名稱：識別訪問網(wǎng)絡(luò)的模塊的方法及裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種用于識別訪問網(wǎng)絡(luò)的進(jìn)程的方法，特別涉及一種能夠具體識別出進(jìn)程中訪問網(wǎng)絡(luò)的模塊的方法和裝置，以及采用這種裝置的計(jì)算機(jī)系統(tǒng)。
背景技術(shù)：
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全問題逐步成為人們關(guān)注的焦點(diǎn)。目前，不僅形形色色的病毒威脅著用戶計(jì)算機(jī)系統(tǒng)的安全，那些能夠通過訪問網(wǎng)絡(luò)盜取用戶信息、復(fù)制用戶文件，甚至破壞用戶計(jì)算機(jī)系統(tǒng)的“木馬”程序更讓廣大計(jì)算機(jī)用戶感到防不勝防。
這種攻擊性極強(qiáng)的“木馬”程序?qū)嵸|(zhì)上是一種按客戶/服務(wù)模式運(yùn)行的遠(yuǎn)程控制工具，它可以在用戶的計(jì)算機(jī)中自動(dòng)裝載服務(wù)端程序，并根據(jù)遠(yuǎn)程控制端(客戶端)程序的請求在用戶不知情的情況下自動(dòng)運(yùn)行相應(yīng)的程序，例如在用戶的計(jì)算機(jī)上上傳、下載文件，偷窺用戶的私人文件，竊取各種密碼及口令信息等等。
“木馬”程序之所以難以防范是因?yàn)樗ǔ２捎脴O其狡猾的手段來隱蔽自己，使普通用戶在中了“木馬”后難以發(fā)覺。例如，“木馬”程序可以通過修改文件屬性、文件名或修改端口等方法藏匿起來。此外例如JavaScript、VBScript、ActiveX、XLM等等也都可以成為“木馬”程序的傳播介質(zhì)?，F(xiàn)今，針對“木馬”程序的這些常規(guī)的隱身手段，現(xiàn)有的殺毒軟件采用了相應(yīng)的應(yīng)對方法，從而可在一定程度上清除“木馬”程序。
然而，隨著病毒技術(shù)的更新，除了這些常用的隱身技術(shù)外，近期又出現(xiàn)了一種更新、更隱蔽的“木馬”程序加載方法。這種新的“木馬”程序通過鉤子或者遠(yuǎn)程線程注入等方式將其自身的模塊注入到某一正常程序的內(nèi)存模塊組中，變成該程序的內(nèi)存模塊的組成部分。甚至，有些“木馬”程序還用自身的模塊替換正常程序的模塊，從而實(shí)現(xiàn)加載。
這種新的“木馬”隱身技術(shù)使得“木馬”程序在加載后不增加任何新的文件，不需要打開新的端口，不啟動(dòng)新的進(jìn)程。也就是說，在正常運(yùn)行時(shí)“木馬”程序幾乎沒有任何表征癥狀，因而使用常規(guī)的查尋“木馬”程序的方法根本監(jiān)測不到它。但是，一旦“木馬”程序的控制端向服務(wù)端發(fā)出特定的信息后，隱藏的程序就立即開始運(yùn)行，從而侵襲用戶的計(jì)算機(jī)系統(tǒng)。
因此，目前需要提出一種新的防范“木馬”侵襲的方法，以確保能夠及時(shí)發(fā)現(xiàn)“木馬”程序，特別是能夠發(fā)現(xiàn)采用這種新的隱身技術(shù)的“木馬”程序，從而避免其破壞或者控制用戶的計(jì)算機(jī)系統(tǒng)。

發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的在于提供一種能夠智能地識別出訪問網(wǎng)絡(luò)的模塊是否為“木馬”程序注入模塊的方法，從而為用戶及時(shí)發(fā)現(xiàn)“木馬”程序提供可能。
為了實(shí)現(xiàn)上述目的，本發(fā)明提出了一種識別訪問網(wǎng)絡(luò)的模塊的方法，該方法包括以下步驟攔截一個(gè)進(jìn)程中的一個(gè)線程訪問網(wǎng)絡(luò)的動(dòng)作；通過根據(jù)所攔截的所述線程的堆棧信息追溯所述堆棧，獲取壓入所述堆棧的指令地址；根據(jù)所述指令地址，搜索與所述訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的模塊；根據(jù)搜索出的所述模塊的特征，判斷所述模塊是否可信。
此外，本發(fā)明還提出了用于實(shí)現(xiàn)上述方法的裝置，以及包括該裝置的計(jì)算機(jī)系統(tǒng)。
本發(fā)明提出的方法能夠查找出訪問網(wǎng)絡(luò)的動(dòng)作是由哪些模塊順序調(diào)用而啟動(dòng)的，并且可以識別出這些參與該訪問網(wǎng)絡(luò)動(dòng)作的模塊是可信的正常程序的模塊還是“木馬”程序的注入模塊，從而為及時(shí)發(fā)現(xiàn)并阻止“木馬”程序侵襲創(chuàng)造了可能。
通過以下結(jié)合附圖的說明及權(quán)利要求書的內(nèi)容，并且隨著對本發(fā)明的更全面了解，本發(fā)明的上述及其它目的和效果將變得更加清楚和易于理解。


以下將結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述，其中圖1示出本發(fā)明實(shí)施例中用于識別訪問網(wǎng)絡(luò)的模塊的方法的流程圖；圖2示出根據(jù)本發(fā)明一個(gè)實(shí)施例的用于實(shí)現(xiàn)本發(fā)明提出的方法的裝置的結(jié)構(gòu)框圖。
具體實(shí)施例方式
盡管“木馬”程序種類繁多且千差萬別，但所有“木馬”程序都具有一個(gè)共同的特點(diǎn)，那就是通過網(wǎng)絡(luò)向外(控制端)發(fā)送信息。鑒于這一特點(diǎn)，本發(fā)明提出在應(yīng)用程序訪問網(wǎng)絡(luò)的時(shí)候，攔截訪問網(wǎng)絡(luò)的動(dòng)作，以獲得所攔截的線程的堆棧；然后通過追溯堆棧搜索出該訪問網(wǎng)絡(luò)的動(dòng)作是由哪些模塊發(fā)出的；最后根據(jù)這些模塊的特征，判斷出這些模塊是可信的程序模塊還是“木馬”的注入模塊。這樣，按照本發(fā)明提出的方法，可在“木馬”程序通過網(wǎng)絡(luò)向外發(fā)送信息之前，發(fā)現(xiàn)“木馬”程序并阻止其侵害行為。
下面將結(jié)合附圖詳細(xì)描述本發(fā)明提出的上述思想的具體實(shí)施過程。
圖1是根據(jù)本發(fā)明實(shí)施例的用于識別訪問網(wǎng)絡(luò)的模塊的方法流程圖。如圖1所示，本發(fā)明提出的方法可包括攔截訪問網(wǎng)絡(luò)動(dòng)作，追溯堆棧并搜索訪問網(wǎng)絡(luò)的模塊，以及識別搜索出的模塊三大部分。以下將逐一詳細(xì)描述這三個(gè)部分的具體操作。
攔截訪問網(wǎng)絡(luò)的動(dòng)作如圖1所示，當(dāng)一個(gè)應(yīng)用程序的進(jìn)程要進(jìn)行某些網(wǎng)絡(luò)訪問活動(dòng)的時(shí)候，該進(jìn)程中的某一線程會(huì)發(fā)出訪問網(wǎng)絡(luò)的動(dòng)作(步驟S110)。根據(jù)不同的協(xié)議，該訪問網(wǎng)絡(luò)的動(dòng)作可以有多種可能，例如，按照傳輸控制協(xié)議(TCP)，該動(dòng)作為開始監(jiān)聽來自對方TCP端口的連接請求，即開始Listen；而按照用戶數(shù)據(jù)報(bào)協(xié)議(UDP)，該動(dòng)作則為開始創(chuàng)建地址對象等。
當(dāng)線程發(fā)出該訪問網(wǎng)絡(luò)的動(dòng)作時(shí)，防火墻軟件可以攔截到這些事件(步驟S120)。隨后，根據(jù)所攔截到的事件找到發(fā)出該訪問網(wǎng)絡(luò)動(dòng)作的線程，并由此獲得該線程的堆棧信息，如基址指針寄存器(EBP)的值等(步驟S130)。
當(dāng)然，還可以采用其他方式獲得堆棧信息，例如在驅(qū)動(dòng)中直接查找堆棧的位置等。這些方法對于本領(lǐng)域技術(shù)人員而言是顯而易見的，因而此處略去具體描述。
追溯堆棧由于每次函數(shù)調(diào)用時(shí)都會(huì)將當(dāng)前的寄存器EBP和EIP(指令指針，用于指向內(nèi)存中待執(zhí)行的指令地址)的值壓入堆棧，因而總可以由每次調(diào)用時(shí)壓入堆棧的當(dāng)前調(diào)用所使用的堆棧區(qū)的基地址(EBP)，追溯整個(gè)堆棧，從而獲得每次調(diào)用時(shí)壓入堆棧的指令地址——EIP(步驟S210)。
繼而，在步驟S220中，將追溯堆棧過程中獲得的每次調(diào)用的EIP值與進(jìn)程中每個(gè)模塊的開始地址和結(jié)束地址進(jìn)行比較。如果該EIP值在某個(gè)模塊的地址范圍內(nèi)，則表示找到了與該訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的模塊。否則，表示沒有找到相應(yīng)的模塊且不必再繼續(xù)尋找。如果在步驟S220中找到了對應(yīng)的模塊，則將搜索到的這個(gè)模塊加入到與該訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的模塊鏈表中(步驟S230)。隨后，繼續(xù)讀取堆棧(步驟S240)以得到前一次調(diào)用時(shí)的EBP和EIP(步驟S210)，并重復(fù)執(zhí)行步驟S220至S240，從而找到當(dāng)前線程中調(diào)用的所有模塊。
在所有與該訪問網(wǎng)絡(luò)動(dòng)作相關(guān)的模塊均已找到后，結(jié)束追溯堆棧。此時(shí)，流程轉(zhuǎn)至步驟S310，繼續(xù)判斷搜索出的模塊鏈表中的每個(gè)模塊是可信的程序模塊，還是“木馬”程序注入的模塊。
模塊識別如圖1所示，在追溯堆棧而找到參與這次訪問網(wǎng)絡(luò)動(dòng)作的所有模塊之后，根據(jù)模塊的特征，識別模塊鏈表中的模塊是否可信。在本發(fā)明中，模塊的特征識別可以根據(jù)模塊的不同屬性采用多種方式來實(shí)現(xiàn)，以下示例性地給出模塊識別的方法，但本發(fā)明并不限于此。
例如，可根據(jù)模塊的標(biāo)識信息，如公司名稱或公司簽名(數(shù)字簽名)來識別模塊是否可信。
通常，可信的模塊一般都在模塊中包含有公司名稱。如果某個(gè)模塊沒有公司名稱標(biāo)識，那么該模塊就可被認(rèn)定為一個(gè)不可信的模塊，換言之，其可能為“木馬”程序注入的模塊。
如果模塊有公司簽名(如數(shù)字簽名)，則可以根據(jù)該模塊的簽名和該應(yīng)用程序的簽名是不是為同一個(gè)公司的簽名來判斷該模塊是否可信。例如，對于微軟的系統(tǒng)模塊，一般會(huì)有微軟公司的簽名，這是公知的。如果模塊中的公司簽名和應(yīng)用程序的公司簽名不同，而這個(gè)模塊又沒有微軟的簽名，那么這個(gè)模塊就很可能是一個(gè)不可信的模塊。
另外，為了使用戶使用方便，本發(fā)明提出的方法還可包括建立一個(gè)具備自學(xué)習(xí)功能的知識庫。當(dāng)按照本發(fā)明而設(shè)計(jì)的程序在某一系統(tǒng)中第一次運(yùn)行時(shí)，該知識庫可自動(dòng)學(xué)習(xí)系統(tǒng)中正常的模塊，并將該模塊以及該模塊的標(biāo)識信息，如公司簽名等記錄到知識庫中，供以后的查詢使用。當(dāng)然，也可在運(yùn)行前預(yù)裝一個(gè)已知的知識庫，該知識庫包含了已知的可信模塊，以及已知公司的簽名等，例如包含微軟認(rèn)證的程序模塊等，以便于用戶使用。用戶在運(yùn)行按照本發(fā)明設(shè)計(jì)的程序時(shí)，程序的自學(xué)習(xí)功能可逐步向知識庫中加入可信的模塊信息。當(dāng)具有這樣一個(gè)知識庫后，在識別模塊是否可信的步驟中，將搜索出的模塊的標(biāo)識信息(如模塊名稱或公司簽名)與知識庫中的可信模塊的信息進(jìn)行比較，從而識別出該模塊是否可信。
此外，針對采用替換正常模塊的方式進(jìn)行注入的“木馬”程序，本發(fā)明還提出在所述知識庫的自學(xué)習(xí)過程中計(jì)算可信模塊的特征值，例如計(jì)算可信模塊的一段特征代碼或行為特征(如循環(huán)次數(shù)等)等。這樣，在下一次檢測到該可信模塊時(shí)，可將檢測到的模塊的特征值與知識庫中的該模塊的特征值進(jìn)行比較，如果比較結(jié)果表示這兩個(gè)模塊的特征值不同，則此模塊為不可信的模塊，否則表示該模塊可信。采用這種方法可以防止可信的模塊被“木馬”程序模塊替換。
按照以上方法可識別出訪問網(wǎng)絡(luò)的模塊是否可信。根據(jù)識別的結(jié)果，允許可信模塊訪問網(wǎng)絡(luò)(步驟S320)，而對于不可信的模塊，只要每檢測到一個(gè)不可信模塊，就向用戶發(fā)出警告(步驟S410)。具體警告方式如下在應(yīng)用程序訪問網(wǎng)絡(luò)的時(shí)候，防火墻提示用戶；同時(shí)，將參與網(wǎng)絡(luò)訪問的模塊列舉出來，對于不可信的模塊，使用紅色引起用戶注意，以防止“木馬”程序通過網(wǎng)絡(luò)向外傳播信息。如果用戶允許某個(gè)不可信模塊訪問網(wǎng)絡(luò)，則將該模塊信息記入知識庫中。這樣，采用本發(fā)明提出的方法，用戶就有可能在“木馬”程序?qū)嵤┣忠u前及時(shí)發(fā)現(xiàn)并阻止其運(yùn)行。
以上結(jié)合附圖描述了本發(fā)明提出的識別訪問網(wǎng)絡(luò)的模塊的方法。本發(fā)明所提出的方法可以由軟件來實(shí)現(xiàn)，也可以根據(jù)需要由硬件來實(shí)現(xiàn)，或者由軟硬件相結(jié)合的方式來實(shí)現(xiàn)。
下面將結(jié)合附圖2簡要描述一種用于識別訪問網(wǎng)絡(luò)的模塊的裝置的結(jié)構(gòu)。如圖2所示，本發(fā)明提出的識別訪問網(wǎng)絡(luò)的模塊的裝置100包括攔截單元110，追溯單元120和識別單元130，其中追溯單元120具體包括堆?；厮輪卧?21、指令地址獲取單元123以及搜索單元125。
在圖2中，攔截單元110用于攔截一個(gè)進(jìn)程中的一個(gè)線程訪問網(wǎng)絡(luò)的動(dòng)作，并獲得所攔截的線程的堆棧信息。在追溯單元120中，堆?；厮輪卧?21根據(jù)每次調(diào)用時(shí)壓入堆棧的當(dāng)前調(diào)用所使用的堆棧區(qū)的基地址追溯堆棧。指令獲取單元123用于獲得每次調(diào)用時(shí)壓入所述堆棧的EIP。繼而，搜索單元125將獲得的每次調(diào)用壓入堆棧的EIP與所述進(jìn)程中所有模塊的起始和終止地址進(jìn)行比較，以搜索出對應(yīng)的模塊。最后，識別單元130根據(jù)搜索出的所述模塊的特征，判斷所述模塊是否可信。
圖2僅僅示出了本發(fā)明提出的識別訪問網(wǎng)絡(luò)的模塊的裝置的一種可能結(jié)構(gòu)。然而，本領(lǐng)域技術(shù)人員應(yīng)該理解，本發(fā)明提出的用于實(shí)現(xiàn)本發(fā)明方法的具體結(jié)構(gòu)并不限于此，還可以采用多種其他結(jié)構(gòu)來實(shí)現(xiàn)。
有益效果以上結(jié)合附圖詳細(xì)描述了本發(fā)明。本發(fā)明提出的識別訪問網(wǎng)絡(luò)的模塊的方法，通過追溯堆棧而搜索到參與網(wǎng)絡(luò)訪問的所有模塊，從而能夠?qū)⒃L問網(wǎng)絡(luò)的動(dòng)作定位到模塊級。繼而，該方法通過對搜索出的所有模塊的可信性的判別，識別出這些訪問網(wǎng)絡(luò)的模塊是正常程序還是“木馬”程序。因而，本發(fā)明提出的方法可以攔截通過模塊注入方式隱身的“木馬”程序。
另外，由于本發(fā)明提出的方法首先是攔截訪問網(wǎng)絡(luò)的動(dòng)作并獲得參與網(wǎng)絡(luò)訪問的所有模塊，然后根據(jù)參與網(wǎng)絡(luò)訪問的模塊特征識別其是否可信，因而可以幫助用戶發(fā)現(xiàn)新的、未知的“木馬”程序。
此外，本發(fā)明提出的方法還包括建立具有自學(xué)習(xí)功能的知識庫，從而能夠自動(dòng)更新可信模塊的信息，便于用戶使用。
再者，本發(fā)明提出的方法還計(jì)算知識庫中可信模塊的特征值，包括特征代碼或行為特征，因而能夠根據(jù)模塊的特征值識別原可信模塊是否被“木馬”程序的模塊所替代。
因此，采用本發(fā)明提出的方法，用戶能夠及時(shí)發(fā)現(xiàn)注入正常進(jìn)程的已知或未知“木馬”程序的模塊，為用戶使用計(jì)算機(jī)系統(tǒng)增加了一道安全屏障。
本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，對上述本發(fā)明所公開的用于識別訪問網(wǎng)絡(luò)的模塊的方法和裝置，還可以在不脫離本發(fā)明內(nèi)容的基礎(chǔ)上做出各種改進(jìn)。因此，本發(fā)明的保護(hù)范圍應(yīng)當(dāng)由所附的權(quán)利要求書的內(nèi)容確定。
權(quán)利要求
1.一種用于識別訪問網(wǎng)絡(luò)的模塊的方法，包括a)攔截一個(gè)進(jìn)程中的一個(gè)線程訪問網(wǎng)絡(luò)的動(dòng)作，以獲得所攔截的線程的堆棧信息；b)根據(jù)所述線程的堆棧信息追溯所述堆棧，以根據(jù)壓入所述堆棧的指令地址，搜索與所述訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的模塊；c)根據(jù)搜索出的所述模塊的特征，判斷所述模塊是否可信。
2.如權(quán)利要求1所述的方法，其中所述步驟b還包括將壓入所述堆棧的所述指令地址與所述進(jìn)程中所有模塊的起始和終止地址進(jìn)行比較，若所述指令地址落入所述進(jìn)程中某個(gè)模塊的地址范圍，則該模塊為搜索出的與所述訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的所述模塊；否則表示已經(jīng)搜索出所有與所述訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的所述模塊。
3.如權(quán)利要求1或2中所述的方法，其中所述步驟c包括所述模塊的特征包括所述模塊的標(biāo)識特征。
4.如權(quán)利要求3所述的方法，其中所述模塊的標(biāo)識特征包括所述模塊的公司名稱，或所述模塊的公司簽名。
5.如權(quán)利要求3所述的方法，其中所述步驟c包括若搜索出的所述模塊的標(biāo)識特征不存在，或者所述標(biāo)識特征不是公知的標(biāo)識特征且所述模塊的標(biāo)識特征與所述進(jìn)程執(zhí)行的應(yīng)用程序的標(biāo)識特征不同，則判斷所述模塊不可信。
6.如權(quán)利要求3所述的方法，其中所述步驟c還包括建立一個(gè)包含可信模塊及其標(biāo)識特征的知識庫；且根據(jù)該知識庫中的可信模塊的標(biāo)識特征和搜索出的所述模塊的標(biāo)識特征，判斷搜索出的所述模塊是否可信。
7.如權(quán)利要求6所述的方法，其中所述知識庫是通過自學(xué)功能建立的。
8.如權(quán)利要求6所述的方法，其中所述知識庫還包括可信模塊的特征值，并根據(jù)搜索出的所述模塊的特征值與所述可信模塊的特征值，判斷搜索出的所述模塊是否可信，其中該特征值用于標(biāo)識可信模塊本身的屬性。
9.如權(quán)利要求6或8所述的方法，其中在用戶許可所述不可信模塊訪問網(wǎng)絡(luò)后，將所述不可信模塊特征作為可信模塊特征記錄在知識庫中。
10.一種用于識別訪問網(wǎng)絡(luò)的模塊的裝置，包括攔截單元，用于攔截一個(gè)進(jìn)程中的一個(gè)線程訪問網(wǎng)絡(luò)的動(dòng)作，并獲得所攔截的線程的堆棧信息；追溯單元，用于根據(jù)所述攔截單元獲得的所述線程的堆棧信息追溯所述堆棧，以根據(jù)壓入所述堆棧的指令地址，搜索與所述訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的模塊；識別單元，用于根據(jù)搜索出的所述模塊的特征，判斷所述模塊是否可信。
11.如權(quán)利要求10所述的裝置，其中所述追溯單元包括堆?；厮輪卧?，用于基于每次調(diào)用壓入堆棧的當(dāng)前調(diào)用所使用的堆棧區(qū)的基地址追溯所述堆棧；指令地址獲取單元，用于基于所述堆?；厮輪卧@得的堆棧區(qū)的基地址，獲得每次調(diào)用時(shí)壓入所述堆棧的所述指令地址。
12.如權(quán)利要求11所述的裝置，其中所述追溯單元還包括搜索單元，用于將所述指令地址與所述進(jìn)程中所有模塊的起始和終止地址進(jìn)行比較，若所述指令地址落入所述進(jìn)程中某個(gè)模塊的地址范圍，則該模塊為搜索出的與所述訪問網(wǎng)絡(luò)的動(dòng)作相關(guān)的所述模塊。
13.如權(quán)利要求10-12中任一所述的裝置，其中所述追溯單元還包括一個(gè)包含可信模塊及其標(biāo)識特征的知識庫；且所述識別單元，根據(jù)該知識庫中的可信模塊的標(biāo)識特征和搜索出的所述模塊的標(biāo)識特征，判斷搜索出的所述模塊是否可信。
14.如權(quán)利要求13所述的裝置，其中所述知識庫還包括可信模塊的特征值，其中該特征值用于標(biāo)識可信模塊本身的屬性，且所述識別單元根據(jù)搜索出的所述模塊的特征值與所述可信模塊的特征值，判斷搜索出的所述模塊是否可信。
15.一種計(jì)算機(jī)系統(tǒng)，包括如權(quán)利要求10-14中任一所述的用于識別訪問網(wǎng)絡(luò)的模塊的裝置。
全文摘要
本發(fā)明提出一種通過追溯堆棧來智能地確定進(jìn)程中訪問網(wǎng)絡(luò)時(shí)所調(diào)用的模塊序列的方法。該方法包括，當(dāng)應(yīng)用程序訪問網(wǎng)絡(luò)的時(shí)候，攔截訪問網(wǎng)絡(luò)的動(dòng)作，以獲得所攔截的線程的堆棧信息；根據(jù)該堆棧信息，追溯該堆棧，以根據(jù)壓入堆棧的指令地址查找出訪問網(wǎng)絡(luò)的動(dòng)作是由哪些模塊調(diào)用序列發(fā)出的，從而確定是哪些模塊要訪問網(wǎng)絡(luò)；然后根據(jù)模塊的特征自動(dòng)識別出不可信的模塊，以向用戶發(fā)出警告。
文檔編號H04L9/00GK1980237SQ20061010597
公開日2007年6月13日 申請日期2006年7月21日 優(yōu)先權(quán)日2005年12月9日
發(fā)明者羅學(xué)軍 申請人:北京瑞星國際軟件有限公司