CN103679024B - 病毒的处理方法及设备 - Google Patents
病毒的处理方法及设备 Download PDFInfo
- Publication number
- CN103679024B CN103679024B CN201310583369.5A CN201310583369A CN103679024B CN 103679024 B CN103679024 B CN 103679024B CN 201310583369 A CN201310583369 A CN 201310583369A CN 103679024 B CN103679024 B CN 103679024B
- Authority
- CN
- China
- Prior art keywords
- virus
- thread
- file
- target process
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供一种病毒的处理方法及设备。本发明实施例通过对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
Description
【技术领域】
本发明涉及计算机技术,尤其涉及一种病毒的处理方法及设备。
【背景技术】
病毒是编制或者在应用程序中插入的破坏计算机功能的数据,其会影响应用程序的正常使用并且能够自我复制,通常以一组指令或者程序代码的形式呈现。病毒具有破坏性,复制性和传染性的特点。当系统中的文件被病毒感染时,需要通过杀毒引擎对系统进行扫描,以便清除这些病毒。由于病毒的复制性较强,因此运行后的病毒会尝试感染系统中的其它文件,导致杀毒软件难以彻底清除系统中的病毒。
【发明内容】
本发明的多个方面提供一种病毒的处理方法及设备,用以提高系统的安全性能。
本发明的一方面,提供一种病毒的处理方法,包括:
对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功;
若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息;
根据所述病毒类型信息,禁止执行进程创建操作。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,包括:
获得所述目标进程的名称和/或所述名称的哈希值;
获得所述目标进程所包括的线程的特征信息;
根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述病毒类型信息,禁止执行进程创建操作之后,还包括:
确定所述至少一个线程所对应的目标进程所运行的第一文件;
根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;
对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对所述第二文件进行复制操作,以生成第三文件之后,还包括:
指示系统执行重启操作;
删除所述第二文件。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述病毒类型信息,禁止执行进程创建操作,包括:
根据所述病毒类型信息,确定是否进入安全修复模式;
若确定进入安全修复模式,生成通知事件;
根据所述通知事件,禁止执行进程创建操作。
本发明的另一方面,提供一种病毒的处理设备,包括:
分析单元,用于对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功;
确定单元,用于若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息;
操作单元,用于根据所述病毒类型信息,禁止执行进程创建操作。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述确定单元,具体用于
获得所述目标进程的名称和/或所述名称的哈希值;
获得所述目标进程所包括的线程的特征信息;以及
根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述设备还包括修复单元,用于
确定所述至少一个线程所对应的目标进程所运行的第一文件;
根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;以及
对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述修复单元,还用于
指示系统执行重启操作;以及
删除所述第二文件。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述操作单元,具体用于
根据所述病毒类型信息,确定是否进入安全修复模式;
若确定进入安全修复模式,生成通知事件;以及
发送所述通知事件,以通知禁止执行进程创建操作。
由上述技术方案可知,本发明实施例通过对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
另外,采用本发明提供的技术方案,不再以文件为单位进行特征分析,而是以目标进程所包括的线程为单位进行特征分析,由于减小了特征分析的粒度,因此,能够进一步提高系统的安全性能。
【附图说明】
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的病毒的处理方法的流程示意图;
图2为本发明另一实施例提供的病毒的处理设备的结构示意图;
图3为本发明另一实施例提供的病毒的处理设备的结构示意图。
【具体实施方式】
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1为本发明一实施例提供的病毒的处理方法的流程示意图,如图1所示。
101、对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功。
其中,所述目标进程可以理解为系统中的所有进程。
102、若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息。
具体地,可以利用快照方法,遍历系统中的进程,以获得每个进程的进程信息。例如,进程的名称、线程的名称、线程的状态和线程的行为,等。
103、根据所述病毒类型信息,禁止执行进程创建操作。
其中,病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits。
需要说明的是,101~103的执行主体可以是杀毒引擎,可以位于本地的客户端中,以进行离线操作来清除病毒,或者还可以位于网络侧的服务器中,以进行在线操作来清除病毒,本实施例对此不进行限定。
可以理解的是,所述客户端可以是安装在终端上的应用程序,或者还可以是浏览器的一个网页,只要能够实现病毒的清除,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
这样,通过对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
可选地,在本实施例的一个可能的实现方式中,在101中,杀毒引擎具体可以获得所述目标进程的名称和/或所述名称的哈希值。然后,所述杀毒引擎获得所述目标进程所包括的线程的特征信息。接着,所述杀毒引擎则可以根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
其中,特征信息可以包括动态特征和/或静态特征。动态特征可以理解为基于病毒行为作为病毒的判断依据,静态特征可以理解为基于病毒的特征码作为判断病毒的依据。
具体地,所述病毒特征库中存储了与病毒特征信息的相关信息,包括但不限于进程的标识(例如,目标进程的名称和/或所述名称的哈希值)、线程的特征信息和病毒特征信息的标识(ID),本发明对此不进行特别限定。
例如,
杀毒引擎具体可以根据所述目标进程的名称和/或所述名称的哈希值,在病毒特征库中进行第一次匹配,以确定所述目标进程中是否存在至少一个目标进程与病毒特征库中所包括的进程的名称匹配成功。
如果匹配成功,所述杀毒引擎则可以进一步根据匹配成功的目标进程所包括的线程的特征信息,在病毒特征库中进行第二次匹配,以确定匹配成功的目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的该目标进程所对应的病毒特征信息匹配成功。如果不存在,所述杀毒引擎还可以进一步根据匹配成功的目标进程所包括的线程的特征信息,在病毒特征库中进行第三次匹配,以确定匹配成功的目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的除了该目标进程所对应的病毒特征信息之外的其他病毒特征信息匹配成功。
如果没有匹配成功,所述杀毒引擎则可以进一步根据所述目标进程所包括的线程的特征信息,在病毒特征库中进行第二次匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
进一步地,在102之后,所述杀毒引擎还可以进一步确定对所述至少一个线程执行操作,并指示进程管理单元,例如,挂起线程,或者再例如,停止线程,等。
可选地,本实施例中的杀毒引擎还可以进一步预先对所述病毒特征库进行初始化处理。具体地,所述杀毒引擎具体可以根据进程的启动顺序,对所述病毒特征库进行初始化处理。
可选地,在本实施例的一个可能的实现方式中,杀毒引擎具体可以采用掩码方式传递所述匹配成功的病毒特征信息。例如,
在101中,所述杀毒引擎在每个线程与病毒特征库中所包括的病毒特征信息匹配成功时,则可以记录一个病毒特征码,然后,所述杀毒引擎依次将所记录的病毒特征码进行或运算,以得到一个返回值。具体地,所述杀毒引擎具体可以将这个返回值保存到一个全局变量中。
具体地,所述病毒特征码可以为病毒代码中的一个4字节,可能包含两三条指令,或者还可以为病毒代码中的其他数目字节,本实施例对此不进行特别限定。
在102中,所述杀毒引擎根据在101中所获得的返回值,进行与运算,以得到病毒特征码。
可选地,在本实施例的一个可能的实现方式中,在103之后,杀毒引擎具体可以确定所述至少一个线程所对应的目标进程所运行的第一文件。然后,所述杀毒引擎则可以根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识。接着,所述杀毒引擎就可以对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
具体地,所述杀毒引擎具体可以根据所确定的病毒类型信息,加载对应的专杀引擎,根据所述病毒类型信息,对所述第一文件进行修复操作。由于所述第二文件,是所述第一文件修复之后所生成的文件,已经是没有感染病毒的文件了,如果仍然设置其文件名与第一文件的文件名相同,那么,专杀引擎则会反复对其进行扫描与杀毒,这样,就会使得专杀引擎出现死循环。采用本发明的技术方案,则能够有效防止专杀引擎出现死循环。
相应地,随后,所述杀毒引擎还可以进一步指示系统执行重启操作。然后,在系统重启过程中,或者系统重启之后,所述杀毒引擎则可以删除所述第二文件。例如,所述杀毒引擎可以设置一个延时删除标记位,当延时删除标记位为真时,所述杀毒引擎则可以指示系统执行重启操作,然后,根据修复标识,确定所述第二文件,并将其删除。当延时标记位为非真时,所述杀毒引擎则可以生成通知事件,并发送所述通知事件给驱动,以通知该驱动进入正常状态,即不再禁止执行进程创建操作。
可选地,在本实施例的一个可能的实现方式中,在103中,杀毒引擎具体可以根据所述病毒类型信息,确定是否进入安全修复模式。若确定进入安全修复模式,所述杀毒引擎则可以生成通知事件,并发送所述通知事件,以通知禁止执行进程创建操作。
具体地,若所述病毒类型信息所指示的病毒,具有单进程驻留的特性,所述杀毒引擎可以采用现有技术中的方法,直接挂起或停止相关的线程;若所述病毒类型信息所指示的病毒,具有多进程驻留的特性,所述杀毒引擎可以弹出一个对话框,以向用户询问是否进入安全修复模式。例如,弹出对话框的内容为“杀毒小提示:发现顽固的xxx病毒,请切换到安全修复模式进行彻底查杀,修复过程中您将无法操作其他应用程序”。
如果用户点击“确认”按钮,所述杀毒引擎则可以生成通知事件,并发送所述通知事件给驱动,以通知该驱动禁止执行进程创建操作;如果用户点击“取消”按钮,所述杀毒引擎可以采用现有技术中的方法,直接挂起或停止相关的线程。
本实施例中,通过对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
另外,采用本发明提供的技术方案,不再以文件为单位进行特征分析,而是以目标进程所包括的线程为单位进行特征分析,由于减小了特征分析的粒度,因此,能够进一步提高系统的安全性能。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
图2为本发明另一实施例提供的病毒的处理设备的结构示意图,如图2所示。本实施例的病毒的处理设备可以包括分析单元21、确定单元22和操作单元23。
其中,分析单元21,用于对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功。其中,所述目标进程可以理解为系统中的所有进程。
确定单元22,用于若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息。具体地,所述确定单元22具体可以利用快照方法,遍历系统中的进程,以获得每个进程的进程信息。例如,进程的名称、线程的名称、线程的状态和线程的行为,等。
操作单元23,用于根据所述病毒类型信息,禁止执行进程创建操作。其中,病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits。
需要说明的是,本实施例提供的病毒的处理设备可以是杀毒引擎,可以位于本地的客户端中,以进行离线操作来清除病毒,或者还可以位于网络侧的服务器中,以进行在线操作来清除病毒,本实施例对此不进行限定。
可以理解的是,所述客户端可以是安装在终端上的应用程序,或者还可以是浏览器的一个网页,只要能够实现病毒的清除,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
这样,通过分析单元对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,进而确定单元若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得操作单元能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
可选地,在本实施例的一个可能的实现方式中,所述确定单元22,具体可以用于获得所述目标进程的名称和/或所述名称的哈希值;获得所述目标进程所包括的线程的特征信息;以及根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
其中,特征信息可以包括动态特征和/或静态特征。动态特征可以理解为基于病毒行为作为病毒的判断依据,静态特征可以理解为基于病毒的特征码作为判断病毒的依据。
具体地,所述病毒特征库中存储了与病毒特征信息的相关信息,包括但不限于进程的标识(例如,目标进程的名称和/或所述名称的哈希值)、线程的特征信息和病毒特征信息的标识(ID),本发明对此不进行特别限定。
例如,
所述确定单元22具体可以根据所述目标进程的名称和/或所述名称的哈希值,在病毒特征库中进行第一次匹配,以确定所述目标进程中是否存在至少一个目标进程与病毒特征库中所包括的进程的名称匹配成功。
如果匹配成功,所述确定单元22则可以进一步根据匹配成功的目标进程所包括的线程的特征信息,在病毒特征库中进行第二次匹配,以确定匹配成功的目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的该目标进程所对应的病毒特征信息匹配成功。如果不存在,所述确定单元22还可以进一步根据匹配成功的目标进程所包括的线程的特征信息,在病毒特征库中进行第三次匹配,以确定匹配成功的目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的除了该目标进程所对应的病毒特征信息之外的其他病毒特征信息匹配成功。
如果没有匹配成功,所述确定单元22则可以进一步根据所述目标进程所包括的线程的特征信息,在病毒特征库中进行第二次匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
进一步地,在102之后,所述确定单元22还可以进一步确定对所述至少一个线程执行操作,并指示进程管理单元,例如,挂起线程,或者再例如,停止线程,等。
可选地,本实施例提供的设备还可以进一步用于预先对所述病毒特征库进行初始化处理。具体地,可以根据进程的启动顺序,对所述病毒特征库进行初始化处理。
可选地,在本实施例的一个可能的实现方式中,所提供的病毒的处理设备,例如,分析单元21、确定单元22和操作单元23等,具体可以采用掩码方式传递所述匹配成功的病毒特征信息。例如,
所述分析单元21,在每个线程与病毒特征库中所包括的病毒特征信息匹配成功时,则可以记录一个病毒特征码,然后,所述分析单元21依次将所记录的病毒特征码进行或运算,以得到一个返回值。具体地,所述分析单元21具体可以将这个返回值可以保存到一个全局变量中。
具体地,所述病毒特征码可以为病毒代码中的一个4字节,可能包含两三条指令,或者还可以为病毒代码中的其他数目字节,本实施例对此不进行特别限定。
所述确定单元22,根据所述分析单元21所获得的返回值,进行与运算,以得到病毒特征码。
可选地,在本实施例的一个可能的实现方式中,如图3所示,本实施例提供的病毒的处理设备,还可以进一步包括修复单元31,用于确定所述至少一个线程所对应的目标进程所运行的第一文件;根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;以及对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
具体地,所述修复单元31具体可以根据所述确定单元22所确定的病毒类型信息,加载对应的专杀引擎,根据所述病毒类型信息,对所述第一文件进行修复操作。由于所述第二文件,是所述第一文件修复之后所生成的文件,已经是没有感染病毒的文件了,如果仍然设置其文件名与第一文件的文件名相同,那么,专杀引擎则会反复对其进行扫描与杀毒,这样,就会使得专杀引擎出现死循环。采用本发明的技术方案,则能够有效防止专杀引擎出现死循环。
相应地,所述修复单元31,还可以进一步用于指示系统执行重启操作;以及删除所述第二文件。具体地,在系统重启过程中,或者系统重启之后,所述修复单元31则可以删除所述第二文件。例如,所述修复单元31可以设置一个延时删除标记位,当延时删除标记位为真时,所述修复单元31则可以指示系统执行重启操作,然后,根据修复标识,确定所述第二文件,并将其删除。当延时标记位为非真时,所述修复单元31则可以生成通知事件,并发送所述通知事件给驱动,以通知该驱动进入正常状态,即不再禁止执行进程创建操作。
可选地,在本实施例的一个可能的实现方式中,所述操作单元23,具体可以用于根据所述病毒类型信息,确定是否进入安全修复模式;若确定进入安全修复模式,生成通知事件;以及发送所述通知事件,以通知禁止执行进程创建操作。
具体地,若所述病毒类型信息所指示的病毒,具有单进程驻留的特性,所述操作单元23可以采用现有技术中的方法,直接挂起或停止相关的线程;若所述病毒类型信息所指示的病毒,具有多进程驻留的特性,所述操作单元23可以弹出一个对话框,以向用户询问是否进入安全修复模式。例如,弹出对话框的内容为“杀毒小提示:发现顽固的xxx病毒,请切换到安全修复模式进行彻底查杀,修复过程中您将无法操作其他应用程序”。
如果用户点击“确认”按钮,所述操作单元23则可以生成通知事件,并发送所述通知事件给驱动,以通知该驱动禁止执行进程创建操作;如果用户点击“取消”按钮,所述操作单元23可以采用现有技术中的方法,直接挂起或停止相关的线程。
本实施例中,通过分析单元对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,进而确定单元若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得操作单元能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
另外,采用本发明提供的技术方案,不再以文件为单位进行特征分析,而是以目标进程所包括的线程为单位进行特征分析,由于减小了特征分析的粒度,因此,能够进一步提高系统的安全性能。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种病毒的处理方法,其特征在于,包括:
对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功;
若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息;
根据所述病毒类型信息,禁止执行进程创建操作;其中,
所述根据所述病毒类型信息,禁止执行进程创建操作,包括:
若所述病毒类型信息所指示的病毒具有多进程驻留的特性,禁止执行进程创建操作,或者挂起或停止所述至少一个线程。
2.根据权利要求1所述的方法,其特征在于,所述对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,包括:
获得所述目标进程的名称和/或所述名称的哈希值;
获得所述目标进程所包括的线程的特征信息;
根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
3.根据权利要求1所述的方法,其特征在于,所述根据所述病毒类型信息,禁止执行进程创建操作之后,还包括:
确定所述至少一个线程所对应的目标进程所运行的第一文件;
根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;
对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
4.根据权利要求3所述的方法,其特征在于,所述对所述第二文件进行复制操作,以生成第三文件之后,还包括:
指示系统执行重启操作;
删除所述第二文件。
5.根据权利要求1~4任一权利要求所述的方法,其特征在于,所述根据所述病毒类型信息,禁止执行进程创建操作,包括:
根据所述病毒类型信息,确定是否进入安全修复模式;
若确定进入安全修复模式,生成通知事件;
根据所述通知事件,禁止执行进程创建操作。
6.一种病毒的处理设备,其特征在于,包括:
分析单元,用于对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功;
确定单元,用于若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息;
操作单元,用于根据所述病毒类型信息,禁止执行进程创建操作;其中,
所述操作单元,具体用于
若所述病毒类型信息所指示的病毒具有多进程驻留的特性,禁止执行进程创建操作,或者挂起或停止所述至少一个线程。
7.根据权利要求6所述的设备,其特征在于,所述确定单元,具体用于
获得所述目标进程的名称和/或所述名称的哈希值;
获得所述目标进程所包括的线程的特征信息;以及
根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
8.根据权利要求6所述的设备,其特征在于,所述设备还包括修复单元,用于
确定所述至少一个线程所对应的目标进程所运行的第一文件;
根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;以及
对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
9.根据权利要求8所述的设备,其特征在于,所述修复单元,还用于
指示系统执行重启操作;以及
删除所述第二文件。
10.根据权利要求6~9任一权利要求所述的设备,其特征在于,所述操作单元,具体用于
根据所述病毒类型信息,确定是否进入安全修复模式;
若确定进入安全修复模式,生成通知事件;以及
发送所述通知事件,以通知禁止执行进程创建操作。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310583369.5A CN103679024B (zh) | 2013-11-19 | 2013-11-19 | 病毒的处理方法及设备 |
| CN201510075309.1A CN104657664B (zh) | 2013-11-19 | 2013-11-19 | 病毒的处理方法及设备 |
| JP2014208092A JP5888386B2 (ja) | 2013-11-19 | 2014-10-09 | ウィルスの処理方法及び装置 |
| EP14189276.0A EP2874090B1 (en) | 2013-11-19 | 2014-10-16 | Virus processing method and apparatus |
| US14/533,062 US20150143523A1 (en) | 2013-11-19 | 2014-11-04 | Virus processing method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310583369.5A CN103679024B (zh) | 2013-11-19 | 2013-11-19 | 病毒的处理方法及设备 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510075309.1A Division CN104657664B (zh) | 2013-11-19 | 2013-11-19 | 病毒的处理方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103679024A CN103679024A (zh) | 2014-03-26 |
| CN103679024B true CN103679024B (zh) | 2015-03-25 |
Family
ID=50316534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310583369.5A Active CN103679024B (zh) | 2013-11-19 | 2013-11-19 | 病毒的处理方法及设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150143523A1 (zh) |
| EP (1) | EP2874090B1 (zh) |
| JP (1) | JP5888386B2 (zh) |
| CN (1) | CN103679024B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108470126B (zh) * | 2018-03-19 | 2020-05-01 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN109829304B (zh) * | 2018-12-29 | 2021-04-13 | 奇安信科技集团股份有限公司 | 一种病毒检测方法及装置 |
| CN110826067B (zh) * | 2019-10-31 | 2022-08-09 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN113873512B (zh) * | 2021-09-28 | 2024-04-30 | 中国电子科技集团公司信息科学研究院 | 一种物联网边缘网关安全架构系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101950336A (zh) * | 2010-08-18 | 2011-01-19 | 奇智软件(北京)有限公司 | 一种清除恶意程序的方法和装置 |
| CN101950339A (zh) * | 2010-09-14 | 2011-01-19 | 上海置水软件技术有限公司 | 一种电脑安全防护方法和系统 |
| CN102819697A (zh) * | 2011-12-26 | 2012-12-12 | 哈尔滨安天科技股份有限公司 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7114184B2 (en) * | 2001-03-30 | 2006-09-26 | Computer Associates Think, Inc. | System and method for restoring computer systems damaged by a malicious computer program |
| KR20050053401A (ko) * | 2003-12-02 | 2005-06-08 | 주식회사 하우리 | 컴퓨터 바이러스 방역방법과 그 프로그램을 기록한 기록매체 |
| US7523343B2 (en) * | 2004-04-30 | 2009-04-21 | Microsoft Corporation | Real-time file system repairs |
| US7721340B2 (en) * | 2004-06-12 | 2010-05-18 | Microsoft Corporation | Registry protection |
| CN101390077B (zh) * | 2006-02-28 | 2013-03-27 | 微软公司 | 线程截取和分析 |
| US7870387B1 (en) * | 2006-04-07 | 2011-01-11 | Mcafee, Inc. | Program-based authorization |
| US8528087B2 (en) * | 2006-04-27 | 2013-09-03 | Robot Genius, Inc. | Methods for combating malicious software |
| US7870612B2 (en) * | 2006-09-11 | 2011-01-11 | Fujian Eastern Micropoint Info-Tech Co., Ltd | Antivirus protection system and method for computers |
| US8127316B1 (en) * | 2006-11-30 | 2012-02-28 | Quest Software, Inc. | System and method for intercepting process creation events |
| US7814077B2 (en) * | 2007-04-03 | 2010-10-12 | International Business Machines Corporation | Restoring a source file referenced by multiple file names to a restore file |
| US8959639B2 (en) * | 2007-06-18 | 2015-02-17 | Symantec Corporation | Method of detecting and blocking malicious activity |
| US8387139B2 (en) * | 2008-02-04 | 2013-02-26 | Microsoft Corporation | Thread scanning and patching to disable injected malware threats |
| US8078909B1 (en) * | 2008-03-10 | 2011-12-13 | Symantec Corporation | Detecting file system layout discrepancies |
| US8370941B1 (en) * | 2008-05-06 | 2013-02-05 | Mcafee, Inc. | Rootkit scanning system, method, and computer program product |
| US8205257B1 (en) * | 2009-07-28 | 2012-06-19 | Symantec Corporation | Systems and methods for preventing threats originating from a non-process based component hosted by a trusted process |
| KR101671795B1 (ko) * | 2010-01-18 | 2016-11-03 | 삼성전자주식회사 | 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법 |
| KR101122650B1 (ko) * | 2010-04-28 | 2012-03-09 | 한국전자통신연구원 | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 |
| US9135443B2 (en) * | 2010-05-06 | 2015-09-15 | Mcafee, Inc. | Identifying malicious threads |
| US9235706B2 (en) * | 2011-12-02 | 2016-01-12 | Mcafee, Inc. | Preventing execution of task scheduled malware |
-
2013
- 2013-11-19 CN CN201310583369.5A patent/CN103679024B/zh active Active
-
2014
- 2014-10-09 JP JP2014208092A patent/JP5888386B2/ja active Active
- 2014-10-16 EP EP14189276.0A patent/EP2874090B1/en active Active
- 2014-11-04 US US14/533,062 patent/US20150143523A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101950336A (zh) * | 2010-08-18 | 2011-01-19 | 奇智软件(北京)有限公司 | 一种清除恶意程序的方法和装置 |
| CN101950339A (zh) * | 2010-09-14 | 2011-01-19 | 上海置水软件技术有限公司 | 一种电脑安全防护方法和系统 |
| CN102819697A (zh) * | 2011-12-26 | 2012-12-12 | 哈尔滨安天科技股份有限公司 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015099587A (ja) | 2015-05-28 |
| EP2874090A1 (en) | 2015-05-20 |
| US20150143523A1 (en) | 2015-05-21 |
| CN103679024A (zh) | 2014-03-26 |
| EP2874090B1 (en) | 2018-01-17 |
| JP5888386B2 (ja) | 2016-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11586730B2 (en) | Ransomware attack monitoring | |
| US11716348B2 (en) | Malicious script detection | |
| US10025931B1 (en) | Method and system for malware detection | |
| US9166997B1 (en) | Systems and methods for reducing false positives when using event-correlation graphs to detect attacks on computing systems | |
| US10140451B2 (en) | Detection of malicious scripting language code in a network environment | |
| US8443449B1 (en) | Silent detection of malware and feedback over a network | |
| KR102210627B1 (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| CN106557697B (zh) | 生成杀毒记录集合的系统和方法 | |
| US9239922B1 (en) | Document exploit detection using baseline comparison | |
| US20150082437A1 (en) | Method and apparatus for detecting irregularities on a device | |
| CN105103158A (zh) | 剖析代码执行 | |
| US11531748B2 (en) | Method and system for autonomous malware analysis | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN104217165B (zh) | 文件的处理方法及装置 | |
| CN103679024B (zh) | 病毒的处理方法及设备 | |
| CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
| CN104239795A (zh) | 文件的扫描方法及装置 | |
| Liu et al. | A system call analysis method with mapreduce for malware detection | |
| KR101998205B1 (ko) | 분산 가상환경을 이용한 악성 파일 분석 장치 및 방법 | |
| CN108256327B (zh) | 一种文件检测方法及装置 | |
| CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
| CN104657664A (zh) | 病毒的处理方法及设备 | |
| KR102458075B1 (ko) | 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법 | |
| CN104598821A (zh) | 一种用于计算机病毒、木马、黑客通用防控方法及装置 | |
| CN113343240B (zh) | 一种usb伪装入侵的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: BAIDU IN LINE NETWORK TECHNOLOGY CO LTD (BEOJING) Free format text: FORMER OWNER: BAIDU INERNATIONAL TECHNOLOGY (SHENZHEN) CO., LTD. Effective date: 20140225 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518057 SHENZHEN, GUANGDONG PROVINCE TO: 100085 HAIDIAN, BEIJING |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20140225 Address after: 100085 Beijing, Haidian District, No. ten on the street Baidu building, No. 10 Applicant after: BEIJING BAIDU NETCOM SCIENCE AND TECHNOLOGY Co.,Ltd. Address before: 518057 D unit, No. two, No. 5 productivity building, Nanshan District hi tech, Shenzhen, Guangdong 301, China, three Applicant before: BAIDU INTERNATIONAL TECHNOLOGY (SHENZHEN) Co.,Ltd. |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |