CN102314571B - 处理计算机病毒的方法及装置 - Google Patents

处理计算机病毒的方法及装置 Download PDF

Info

Publication number
CN102314571B
CN102314571B CN201110301537.8A CN201110301537A CN102314571B CN 102314571 B CN102314571 B CN 102314571B CN 201110301537 A CN201110301537 A CN 201110301537A CN 102314571 B CN102314571 B CN 102314571B
Authority
CN
China
Prior art keywords
file
killing
compressed
compressed file
composite
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110301537.8A
Other languages
English (en)
Other versions
CN102314571A (zh
Inventor
谢重阳
邹贵强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing 360 Zhiling Technology Co ltd
Original Assignee
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qizhi Software Beijing Co Ltd filed Critical Qizhi Software Beijing Co Ltd
Priority to CN201110301537.8A priority Critical patent/CN102314571B/zh
Publication of CN102314571A publication Critical patent/CN102314571A/zh
Application granted granted Critical
Publication of CN102314571B publication Critical patent/CN102314571B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)

Abstract

本申请实施例公开了一种处理计算机病毒的方法及装置,包括:获取待查杀文件;对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。应用本申请实施例对计算机病毒进行扫描时,由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高系统的安全性;当系统中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了系统资源。

Description

处理计算机病毒的方法及装置
技术领域
本申请涉及计算机技术领域,特别是涉及一种处理计算机病毒的方法及装置。
背景技术
计算机病毒是编制或者在计算机程序中插入的破坏计算机功能的数据,其会影响计算机的正常使用并且能够自我复制,通常以一组计算机指令或者程序代码的形式呈现。而杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑程序)的技术机制。杀毒引擎是杀毒软件的主要部分,是检测和发现病毒的程序,而病毒库是已经发现的病毒的特征集合。在杀毒过程中,用病毒库中的特征去对照机器中的所有程序或文件,对于符合这些特征的程序或文件,判定为病毒。
现有技术中,一些恶意病毒为了避免被杀毒引擎解析和扫描,通常事先被加壳,这些经过加壳后的文件称为复合文件。由于杀毒引擎具有的查杀功能不同,当某个杀毒引擎不具备脱壳的功能时,则难以对这些复合病毒文件进行查杀,从而降低了系统的安全性;并且,当有多个杀毒引擎存在时,如果其中有至少两个杀毒引擎都具备脱壳的功能,则这些杀毒引擎需要分别对复合文件进行脱壳操作,从而浪费了系统资源。
发明内容
本申请实施例提供了一种处理计算机病毒的方法及装置,以解决现有杀毒引擎在查杀复合文件时,容易降低系统安全性且浪费系统资源的问题。
为了解决上述技术问题,本申请实施例公开了如下技术方案:
一种处理计算机病毒的方法,包括:
获取待查杀文件;
对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
还包括:预先保存对每一种复合文件进行解析的解析方式;
所述对所述待查杀文件中的复合文件进行解析包括:
识别所述待查杀文件是否为复合文件;
对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
所述复合文件包括:普通压缩文件和可移植执行体PE压缩文件;
所述普通压缩文件包括:扩展名为rar和扩展名为zip的压缩文件;
所述PE压缩文件包括:自解压的压缩文件和UPS加壳的压缩文件。
对所述待查杀文件中的普通压缩文件进行解析包括:
读取所述待查杀文件中的文件扩展名;
当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩。
对所述待查杀文件中的PE压缩文件进行解析包括:
读取所述待查杀文件中的资源信息;
当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎;
所述调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描包括:
调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
一种处理计算机病毒的装置,包括:
获取单元,用于获取待查杀文件;
解析单元,用于对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
还包括:
保存单元,用于预先保存对每一种符合文件进行解析的解析方式;
所述解析单元包括:
文件识别子单元,用于识别所述待查杀文件是否为复合文件;
调用解析子单元,用于对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
所述解析单元包括:
普通压缩文件解析单元,用于对所述待查杀文件中的普通压缩文件进行解析,所述普通压缩文件包括扩展名为rar和扩展名为zip的压缩文件;
PE压缩文件解析单元,用于对所述待查杀文件中的PE压缩文件进行解析,所述PE压缩文件包括自解压的压缩文件和UPS加壳的压缩文件。
所述普通压缩文件解析单元包括:
扩展名读取子单元,用于读取所述待查杀文件中的文件扩展名;
普通压缩文件确定子单元,用于当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
普通文件解压缩子单元,用于按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;
所述PE压缩文件解析单元包括:
资源信息读取子单元,用于读取所述待查杀文件中的资源信息;
PE压缩文件确定子单元,用于当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
PE文件解压缩子单元,用于按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎,所述扫描单元包括:
第一调用扫描子单元,用于调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
第二调用扫描子单元,用于调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
由上述实施例可以看出,本申请实施例获取待查杀文件,对待查杀文件中的复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件,调用预先设置的多个杀毒引擎对更新后的待查杀文件进行扫描,获得查杀结果。应用本申请实施例对计算机病毒进行扫描时,由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高系统的安全性;当系统中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了系统资源。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请处理计算机病毒的方法的第一实施例流程图;
图2为本申请处理计算机病毒的方法的第二实施例流程图;
图3为本申请处理计算机病毒的方法的第三实施例流程图;
图4为本申请处理计算机病毒的装置的第一实施例框图;
图5为本申请处理计算机病毒的装置的第二实施例框图。
具体实施方式
本发明如下实施例提供了一种处理计算机病毒的方法及装置。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图1,为本申请处理计算机病毒的方法的第一实施例流程图:
步骤101:获取待查杀文件。
步骤102:对待查杀文件中的复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件。
其中,复合文件包括普通压缩文件和PE(Portable Execute,可移植执行体)压缩文件;普通压缩文件可以具体包括:扩展名为rar和扩展名为zip的压缩文件;PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件。
对待查杀文件中的普通压缩文件进行解析时,读取待查杀文件中的文件扩展名,当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件,按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;对待查杀文件中的PE压缩文件进行解析时,读取待查杀文件中的资源信息,当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件,按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
步骤103:调用预先设置的多个杀毒引擎对更新后的待查杀文件进行扫描,获得查杀结果。
上述实施例由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高系统的安全性;当系统中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了系统资源。
参见图2,为本申请处理计算机病毒的方法的第二实施例流程图,该实施例以预先设置了第一杀毒引擎和第二杀毒引擎为例,示出了对待查杀文件统一解析后再杀毒的过程:
步骤201:预先保存对每一种复合文件进行解析的解析方式。
一些恶意病毒为了避免被杀毒引擎解析和扫描,通常事先被加壳,这些经过加壳后的文件称为复合文件。复合文件根据其类型的不同采用不同的解析方式进行解析,解析的过程就是脱壳的过程,解析的目的是为了获得未被加壳前的数据。
本申请实施例中,复合文件可以包括普通压缩文件和PE压缩文件;普通压缩文件可以具体包括:扩展名为rar和扩展名为zip的压缩文件;PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件,自解压的压缩文件指该文件的压缩包内包含解压缩文件,根据该解压缩文件可以对文件进行解压缩,UPS加壳的压缩文件指将程序指令进行压缩,并在文件头中加入解压缩信息,根据该解压信息可以对文件进行解压缩。
步骤202:获取待查杀文件。
步骤203:识别待查杀文件是否为复合文件。
根据步骤201中定义的复合文件可知,对于待查杀文件中的每一个文件,可以先识别其是否为普通压缩文件,如果不是,再识别其是否为PE压缩文件,如果不是,将该文件确定为非复合文件,即可以直接由杀毒引擎进行病毒扫描的文件。根据上述识别过程,可以识别出每个待查杀文件是普通压缩文件、PE压缩文件、或非复合文件。
步骤204:对识别为复合文件的待查杀文件,调用与该复合文件对应的解析方式对该复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件。
其中,对待查杀文件中的普通压缩文件进行解析时,读取待查杀文件中的文件扩展名,当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件,按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;对待查杀文件中的PE压缩文件进行解析时,读取待查杀文件中的资源信息,当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件,按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
步骤205:调用第一杀毒引擎,对更新后的待查杀文件进行扫描,获得第一扫描结果,该第一扫描结果中包括更新后的待查杀文件中的确定文件。
本申请实施例中,第一杀毒引擎和第二杀毒引擎可以具体为针对不同类型文件进行查杀的文件,第一杀毒引擎和第二杀毒引擎之间可以采用并行查杀的方式,即当第一杀毒引擎在查杀过程中,可以将已查杀过的文件中的未确定文件输入到第二杀毒引擎中进行查杀,而不必等到第一杀毒引擎查杀完所有待查杀文件,再由第二杀毒引擎进行查杀。更进一步,如果第一杀毒引擎至少有两个,则至少两个第一杀毒引擎之间的查杀过程也采用前述并行查杀的方式。
其中,第一杀毒引擎可以包括:用于查杀PE类型文件的云查杀引擎,和/或QVM(Qihoo Virtual Machine,人工智能引擎)引擎。
步骤206:调用第二杀毒引擎,对更新后的待查杀文件中除确定文件以外的其它文件进行扫描,获得第二扫描结果。
第二杀毒引擎主要指对除经过第一杀毒引擎查杀后的确定文件以外的其它文件进行扫描的杀毒引擎,需要说明的是,该第二杀毒引擎可以具有对所有类型文件进行查杀的能力,当本实施例通采用并行查杀的方式时,可以减少每一种杀毒引擎的查杀数量,从而提高查杀速度,以便有效利用系统资源。本实施例中第二杀毒引擎可以包括至少一个杀毒引擎,例如,该第二杀毒引擎可以为Bit Defender杀毒引擎,和/或小红伞杀毒引擎,和/或其它现有已存在的杀毒引擎等。
参见图3,为本申请处理计算机病毒的方法的第三实施例流程图,该实施例以复合文件为普通压缩和PE压缩文件为例,示出了对待查杀文件进行扫描的过程:
步骤301:预先保存对每一种复合文件进行解析的解析方式。
一些恶意病毒为了避免被杀毒引擎解析和扫描,通常事先被加壳,这些经过加壳后的文件称为复合文件。复合文件根据其类型的不同采用不同的解析方式进行解析,解析的过程就是脱壳的过程,解析的目的是为了获得未被加壳前的数据。
本申请实施例中,复合文件可以包括普通压缩文件和PE压缩文件;普通压缩文件可以具体包括:扩展名为rar和扩展名为zip的压缩文件;PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件,自解压的压缩文件指该文件的压缩包内包含解压缩文件,根据该解压缩文件可以对文件进行解压缩,UPS加壳的压缩文件指将程序指令进行压缩,并在文件头中加入解压缩信息,根据该解压信息可以对文件进行解压缩。
步骤302:顺序获取待查杀文件中的一个待查杀文件。
步骤303:读取该待查杀文件中的文件扩展名。
步骤304:判断读取的文件扩展名与普通压缩文件的文件扩展名类型是否匹配,若是,则执行步骤305;否则,执行步骤306。
本实施例中普通压缩文件的文件扩展名类型包括扩展名为rar或zip的文件,因此读取待查杀文件的文件扩展名后,判断该文件扩展名是否为rar或zip,如果是,则说明待查杀文件为普通压缩文件,如果不是,则进入步骤306进行进一步判断。
步骤305:确定所读取的文件扩展名对应的文件为普通压缩文件,按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩,执行步骤309。
步骤306:读取该待查杀文件中的资源信息。
在判断完待查杀文件非普通压缩文件后,进一步判断其是否为PE压缩文件,此时读取该待查杀文件中的资源信息,如果读取不到资源信息,则该待查杀文件为非复合文件,如果读取到资源文件,可以进入步骤307进行进一步判断。
步骤307:判断读取的资源信息与PE压缩文件的文件类型是否匹配,若是,则执行步骤308;否则,执行步骤309。
由于PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件,其中,自解压的压缩文件指该文件的压缩包内包含解压缩文件,根据该解压缩文件可以对文件进行解压缩,因此判断读取到的资源信息是否为解压缩文件;UPS加壳的压缩文件指将程序指令进行压缩,并在文件头中加入解压缩信息,根据该解压信息可以对文件进行解压缩,因此判断读取到的资源信息是否为头文件中的解压缩信息。
步骤308:确定所读取的资源信息对应的文件为PE压缩文件,按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩,执行步骤309。
步骤309:调用预先设置的多个杀毒引擎对解析后的待查杀文件,以及非复合文件进行扫描,获得查杀结果。
本实施中调用多个杀毒引擎对解析后的待查杀文件以及非复合文件进行扫描的过程与前述第二实施例一致,在此不再赘述。
步骤310:判断是否查杀完所有文件,若是,则结束流程;否则,返回步骤302。
与本申请处理计算机病毒的方法的实施例相对应,本申请还提供了处理计算机病毒的装置的实施例。
参见图4,为本申请处理计算机病毒的装置的第一实施例框图:
该装置包括:获取单元410、解析单元420和扫描单元430。
其中,获取单元410,用于获取待查杀文件;
解析单元420,用于对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元430,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
参见图5,为本申请处理计算机病毒的装置的第二实施例框图:
该装置包括:保存单元510、获取单元520、解析单元530和扫描单元540。
其中,保存单元510,用于预先保存对每一种符合文件进行解析的解析方式;
获取单元520,用于获取待查杀文件;
解析单元530,用于对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元540,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
其中,解析单元530可以包括(图5中未示出):
文件识别子单元,用于识别所述待查杀文件是否为复合文件;
调用解析子单元,用于对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
具体的,解析单元530可以包括(图5中未示出):普通压缩文件解析单元,用于对所述待查杀文件中的普通压缩文件进行解析,所述普通压缩文件包括扩展名为rar和扩展名为zip的压缩文件;PE压缩文件解析单元,用于对所述待查杀文件中的PE压缩文件进行解析,所述PE压缩文件包括自解压的压缩文件和UPS加壳的压缩文件。
其中,所述普通压缩文件解析单元可以包括:扩展名读取子单元,用于读取所述待查杀文件中的文件扩展名;普通压缩文件确定子单元,用于当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;普通文件解压缩子单元,用于按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩。
所述PE压缩文件解析单元包括:资源信息读取子单元,用于读取所述待查杀文件中的资源信息;PE压缩文件确定子单元,用于当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;PE文件解压缩子单元,用于按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
其中,预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎,该扫描单元540可以包括(图5中未示出):第一调用扫描子单元,用于调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;第二调用扫描子单元,用于调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
通过对以上实施方式的描述可知,本申请实施例获取待查杀文件,对待查杀文件中的复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件,调用预先设置的多个杀毒引擎对更新后的待查杀文件进行扫描,获得查杀结果。应用本申请实施例对计算机病毒进行扫描时,由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高系统的安全性;当系统中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了系统资源。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种处理计算机病毒的方法,其特征在于,包括:
预先保存对每一种复合文件进行解析的解析方式;
获取待查杀文件;
识别所述待查杀文件中的一个文件是否为普通压缩文件,如果否,识别所述待查杀文件中的该文件是否为可移植执行体PE压缩文件,如果否,则所述待查杀文件中的该文件是非复合文件,直到识别出待查杀文件中的每一个文件是普通压缩文件、PE压缩文件或非复合文件,所述普通压缩文件和所述可移植执行体PE压缩文件为复合文件;
对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析;
解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行并行查杀扫描,获得查杀结果。
2.根据权利要求1所述的方法,其特征在于,所述普通压缩文件包括:扩展名为rar和扩展名为zip的压缩文件;
所述PE压缩文件包括:自解压的压缩文件和UPS加壳的压缩文件。
3.根据权利要求2所述的方法,其特征在于,对所述待查杀文件中的普通压缩文件进行解析包括:
读取所述待查杀文件中的文件扩展名;
当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩。
4.根据权利要求2所述的方法,其特征在于,对所述待查杀文件中的PE压缩文件进行解析包括:
读取所述待查杀文件中的资源信息;
当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
5.根据权利要求1所述的方法,其特征在于,所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎;
所述调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描包括:
调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
6.一种处理计算机病毒的装置,其特征在于,包括:
保存单元,用于预先保存对每一种复合文件进行解析的解析方式;
获取单元,用于获取待查杀文件;
解析单元,用于识别所述待查杀文件中的一个文件是否为普通压缩文件,如果否,识别所述待查杀文件中的该文件是否为可移植执行体PE压缩文件,如果否,则所述待查杀文件中的该文件是非复合文件,直到识别出待查杀文件中的每一个文件是普通压缩文件、PE压缩文件或非复合文件,所述普通压缩文件和所述可移植执行体PE压缩文件为复合文件;对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析;将解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行并行查杀扫描,获得查杀结果。
7.根据权利要求6所述的装置,其特征在于,所述解析单元包括:
普通压缩文件解析单元,用于对所述待查杀文件中的普通压缩文件进行解析,所述普通压缩文件包括扩展名为rar和扩展名为zip的压缩文件;
PE压缩文件解析单元,用于对所述待查杀文件中的PE压缩文件进行解析,所述PE压缩文件包括自解压的压缩文件和UPS加壳的压缩文件。
8.根据权利要求7所述的装置,其特征在于,
所述普通压缩文件解析单元包括:
扩展名读取子单元,用于读取所述待查杀文件中的文件扩展名;
普通压缩文件确定子单元,用于当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
普通文件解压缩子单元,用于按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;
所述PE压缩文件解析单元包括:
资源信息读取子单元,用于读取所述待查杀文件中的资源信息;
PE压缩文件确定子单元,用于当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
PE文件解压缩子单元,用于按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
9.根据权利要求6所述的装置,其特征在于,所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎,所述扫描单元包括:
第一调用扫描子单元,用于调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
第二调用扫描子单元,用于调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
CN201110301537.8A 2011-09-27 2011-09-27 处理计算机病毒的方法及装置 Active CN102314571B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110301537.8A CN102314571B (zh) 2011-09-27 2011-09-27 处理计算机病毒的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110301537.8A CN102314571B (zh) 2011-09-27 2011-09-27 处理计算机病毒的方法及装置

Publications (2)

Publication Number Publication Date
CN102314571A CN102314571A (zh) 2012-01-11
CN102314571B true CN102314571B (zh) 2014-11-05

Family

ID=45427729

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110301537.8A Active CN102314571B (zh) 2011-09-27 2011-09-27 处理计算机病毒的方法及装置

Country Status (1)

Country Link
CN (1) CN102314571B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013041016A1 (zh) * 2011-09-19 2013-03-28 北京奇虎科技有限公司 处理计算机病毒的方法和装置
CN103067364B (zh) 2012-12-21 2015-11-25 华为技术有限公司 病毒检测方法及设备
CN103970766A (zh) * 2013-01-29 2014-08-06 腾讯科技(深圳)有限公司 一种数据文件处理的方法、装置及终端
CN103136477B (zh) * 2013-03-06 2015-09-02 北京奇虎科技有限公司 文件样本的扫描方法和系统
CN112580046A (zh) * 2020-12-10 2021-03-30 青岛海洋科学与技术国家实验室发展中心 多维集中式木马检查方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1375775A (zh) * 2001-03-16 2002-10-23 联想(北京)有限公司 网关级计算机网络病毒防范的方法及其装置
CN101685486A (zh) * 2008-09-23 2010-03-31 联想(北京)有限公司 多杀毒引擎的杀毒方法和系统
CN101930515A (zh) * 2010-08-27 2010-12-29 奇智软件(北京)有限公司 一种对压缩文件进行安全解压缩的系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101414328B (zh) * 2007-10-15 2012-07-18 北京瑞星信息技术有限公司 一种用于对文件进行脱壳的装置和方法
US8695094B2 (en) * 2008-06-24 2014-04-08 International Business Machines Corporation Detecting secondary infections in virus scanning
CN102024112B (zh) * 2010-12-17 2012-08-01 四川大学 基于静态特征的pe文件加壳检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1375775A (zh) * 2001-03-16 2002-10-23 联想(北京)有限公司 网关级计算机网络病毒防范的方法及其装置
CN101685486A (zh) * 2008-09-23 2010-03-31 联想(北京)有限公司 多杀毒引擎的杀毒方法和系统
CN101930515A (zh) * 2010-08-27 2010-12-29 奇智软件(北京)有限公司 一种对压缩文件进行安全解压缩的系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
反病毒引擎可扩展框架的研究与实现;王海峰等;《计算机应用研究》;20110430;第28卷(第4期);第1470-1473页 *
王海峰等.反病毒引擎可扩展框架的研究与实现.《计算机应用研究》.2011,第28卷(第4期),第1470-1473页. *

Also Published As

Publication number Publication date
CN102314571A (zh) 2012-01-11

Similar Documents

Publication Publication Date Title
US11256808B2 (en) Detecting malware via scanning for dynamically generated function pointers in memory
CN102279917B (zh) 多杀毒引擎并行杀毒方法及系统
Bayer et al. Scalable, behavior-based malware clustering.
CN102346827B (zh) 处理计算机病毒的方法及装置
Crussell et al. Scalable semantics-based detection of similar android applications
Crussell et al. Andarwin: Scalable detection of semantically similar android applications
Crussell et al. Andarwin: Scalable detection of android application clones based on semantics
US9348998B2 (en) System and methods for detecting harmful files of different formats in virtual environments
CN103761476B (zh) 特征提取的方法及装置
US10476900B2 (en) Safe sharing of sensitive data
CN102314571B (zh) 处理计算机病毒的方法及装置
CN108733379B (zh) 基于dex字节码抽离映射混淆的安卓应用加固方法
KR101740604B1 (ko) 멀웨어 검출을 위한 애플리케이션들의 제네릭 언패킹
US11522885B1 (en) System and method for information gain for malware detection
GB2502660A (en) Detecting malicious computer code in an executing program
CN103559447B (zh) 一种基于病毒样本特征的检测方法、检测装置及检测系统
CN104217165B (zh) 文件的处理方法及装置
CN106203105B (zh) 文件管理方法和装置
CN116204892B (zh) 漏洞处理方法、装置、设备以及存储介质
CN110147653A (zh) 应用程序安全加固方法及装置
CN103677746B (zh) 指令重组方法及装置
CN110147671B (zh) 一种程序内字符串提取方法及装置
CN104063662A (zh) 处理计算机病毒的方法及装置
RU94016U1 (ru) Система обнаружения обфусцированного кода вредоносного программного обеспечения
CN112035837A (zh) 基于拟态防御的恶意pdf文档检测系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20211202

Address after: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin

Patentee after: 3600 Technology Group Co.,Ltd.

Address before: 100016 East unit, 4th floor, Zhaowei building, 14 Jiuxianqiao Road, Chaoyang District, Beijing

Patentee before: Qizhi software (Beijing) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230627

Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: Beijing Hongxiang Technical Service Co.,Ltd.

Address before: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin

Patentee before: 3600 Technology Group Co.,Ltd.

TR01 Transfer of patent right
CP03 Change of name, title or address

Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: Beijing 360 Zhiling Technology Co.,Ltd.

Country or region after: China

Address before: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee before: Beijing Hongxiang Technical Service Co.,Ltd.

Country or region before: China