CN105303106B - 恶意代码处理方法、装置及系统 - Google Patents
恶意代码处理方法、装置及系统 Download PDFInfo
- Publication number
- CN105303106B CN105303106B CN201410250179.6A CN201410250179A CN105303106B CN 105303106 B CN105303106 B CN 105303106B CN 201410250179 A CN201410250179 A CN 201410250179A CN 105303106 B CN105303106 B CN 105303106B
- Authority
- CN
- China
- Prior art keywords
- malicious code
- code processing
- download
- download instruction
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种恶意代码处理方法,包括:服务器在检测到新的恶意代码处理程序时,获取该恶意代码处理程序,将该恶意代码处理程序集成在恶意代码处理集程序中;服务器分析该恶意代码处理程序对应的恶意代码的风险等级,根据风险等级,生成对应的下载指令,并将下载指令发送给用户终端;以及用户终端接收服务器发送的下载指令;用户终端按照下载指令对应的下载方式,下载恶意代码处理集程序。此外,本发明还提供一种恶意代码处理装置及系统。上述恶意代码处理方法、装置及系统可提高处理恶意代码的效率。
Description
技术领域
本发明涉及计算机技术,尤其涉及一种恶意代码处理方法、装置及系统。
背景技术
随着计算机技术的发展,各种程序不断被开发并被广泛应用,然而这些程序并不安全,部分程序有可能被嵌入恶意代码,恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码,例如:计算机病毒、特洛伊木马等等。这些恶意代码会进行匿名广告推送、静默下载软件,甚至偷偷扣费等行为,给广大用户造成了很大的困扰,有些严重的还会给用户带来不可挽回的经济损失。鉴于某些顽固恶意代码,采用通用查杀引擎无法根除,防病毒软件公司一般会不时推出恶意代码处理程序进行针对性的查杀。然而,由于这些防病毒软件公司在推出恶意代码处理程序时,并没有较好的途径及时通知用户,往往导致用户还是使用通用查杀引擎来处理恶意代码,因此无法及时对顽固恶意代码进行处理。并且,恶意代码处理程序只是针对单个顽固恶意代码查杀,随着时间推移,恶意代码处理程序也越来越多,用户需要逐一下载安装,操作繁琐。因此,现有的恶意代码处理系统缺乏效率。
发明内容
有鉴于此,本发明提供一种恶意代码处理方法、装置及系统,上述恶意代码处理方法、装置及系统可提高处理恶意代码的效率。
本发明实施例提供的一种恶意代码处理方法,包括:服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;所述服务器分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端;以及所述用户终端接收所述服务器发送的所述下载指令;所述用户终端按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序。
本发明实施例提供的又一种恶意代码处理方法,包括:服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;所述服务器分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端。
本发明实施例提供的另一种恶意代码处理方法,包括:用户终端接收服务器发送的下载指令;以及所述用户终端按照所述下载指令对应的下载方式,下载恶意代码处理集程序。
本发明实施例提供的一种恶意代码处理装置,运行于服务器,包括:集成模块,用于在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及发送模块,用于分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端。
本发明实施例提供的一种恶意代码处理装置,运行于用户终端,包括:接收模块,用于接收服务器发送的下载指令;以及下载模块,用于按照所述下载指令对应的下载方式,下载恶意代码处理集程序。
本发明实施例提供的一种恶意代码处理系统,包括:服务器以及用户终端;其中,所述服务器包括:集成模块,用于在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及发送模块,用于分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给所述用户终端;所述用户终端包括:接收模块,用于接收服务器发送的下载指令;以及下载模块,用于按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序。
本发明实施例提供的上述恶意代码处理方法、装置及系统,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过服务器在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,然后由用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
图1示出了本发明实施例提供的恶意代码处理方法、装置及系统应用环境图。
图2示出了一种用户终端的结构框图。
图3示出了一种服务器的结构框图。
图4为本发明第一实施例提供的恶意代码处理方法的流程图。
图5为本发明第二实施例提供的恶意代码处理方法的时序图。
图6为本发明第二实施例提供的恶意代码处理方法中部分步骤的流程图。
图7为本发明第二实施例提供的恶意代码处理方法中部分步骤的流程图。
图8为本发明第二实施例提供的恶意代码处理方法中部分步骤的流程图。
图9为本发明第二实施例提供的恶意代码处理方法中部分步骤的流程图。
图10为本发明第三实施例提供的恶意代码处理方法的流程图。
图11为本发明第四实施例提供的恶意代码处理方法的流程图。
图12为本发明第五实施例提供的恶意代码处理方法的流程图。
图13为本发明第六实施例提供的恶意代码处理方法的流程图。
图14为本发明第七实施例提供的恶意代码处理装置的结构示意图。
图15为图14的装置的存储环境示意图。
图16为本发明第八实施例提供的恶意代码处理装置的结构示意图。
图17为本发明第九实施例提供的恶意代码处理装置的结构示意图。
图18为图17的装置的存储环境示意图。
图19为本发明第十实施例提供的恶意代码处理装置的结构示意图。
图20为本发明第十一实施例提供的恶意代码处理系统的结构示意图。
具体实施方式
为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明的具体实施方式、结构、特征及其功效,详细说明如后。
本发明实施例所提供的恶意代码处理方法可应用于如图1所示的应用环境中,实现对恶意代码的处理。如图1所示,用户终端100以及服务器200位于无线网络或有线网络中,通过该无线网络或有线网络,用户终端100以及服务器200进行数据交互。
其中,用户终端可以包括:智能手机、平板电脑、电子书阅读器、MP3播放器(MovingPicture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机、台式计算机、车载电脑、一体机、智能电视机、数码相机等等。
图2示出了一种用户终端的结构框图。如图2所示,用户终端100包括存储器102、存储控制器104,一个或多个(图中仅示出一个)处理器106、外设接口108、射频模块110、定位模块112、摄像模块114、音频模块116、屏幕118以及按键模块120。这些组件通过一条或多条通讯总线/信号线122相互通讯。
可以理解,图2所示的结构仅为示意,用户终端100还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。
存储器102可用于存储软件程序以及模块,如本发明实施例中的恶意代码处理方法、装置及系统对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的恶意代码处理方法。
存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器102可进一步包括相对于处理器106远程设置的存储器,这些远程存储器可以通过网络连接至用户终端100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。
处理器106运行存储器102内的各种软件、指令以执行用户终端100的各种功能以及进行数据处理。
外设接口108用于将各种外部设备耦合至CPU以及存储器102。
在一些实施例中,存储控制器104、处理器106以及外设接口108可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
射频模块110用于接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。射频模块110可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(SIM)卡、存储器等等。射频模块110可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。上述的无线网络可以使用各种通信标准、协议及技术,包括但并不限于全球移动通信系统(Global System for Mobile Communication,GSM)、增强型移动通信技术(Enhanced Data GSM Environment,EDGE),宽带码分多址技术(wideband code divisionmultiple access,W-CDMA),码分多址技术(Code division access,CDMA)、时分多址技术(time division multiple access,TDMA),蓝牙,无线保真技术(Wireless,Fidelity,WiFi)(如美国电气和电子工程师协会标准IEEE802.11a,IEEE802.11b,IEEE802.11g和/或IEEE802.11n)、网络电话(Voice over internet protocol,VoIP)、全球微波互联接入(Worldwide Interoperability for Microwave Access,Wi-Max)、其他用于邮件、即时通讯及短消息的协议,以及任何其他合适的通讯协议,甚至可包括那些当前仍未被开发出来的协议。
定位模块112用于获取用户终端100的当前位置。定位模块112的实例包括但不限于全球卫星定位系统(GPS)、基于无线局域网或者移动通信网的定位技术。
摄像模块114用于拍摄照片或者视频。拍摄的照片或者视频可以存储至存储器102内,并可通过射频模块110发送。
音频模块116向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。音频电路从外设接口108处接收声音数据,将声音数据转换为电信息,将电信息传输至扬声器。扬声器将电信息转换为人耳能听到的声波。音频电路还从麦克风处接收电信息,将电信号转换为声音数据,并将声音数据传输至外设接口108中以进行进一步的处理。音频数据可以从存储器102处或者通过射频模块110获取。此外,音频数据也可以存储至存储器102中或者通过射频模块110进行发送。在一些实例中,音频模块116还可包括一个耳机播孔,用于向耳机或者其他设备提供音频接口。
屏幕118在用户终端100与用户之间提供一个输出界面,向用户显示视频输出,这些视频输出的内容可包括文字、图形、视频、及其任意组合。一些输出结果是对应于一些用户界面对象。可以理解的,屏幕118还可以在用户终端100与用户之间同时提供一个输出及输入界面。具体地,除了向用户显示视频输出之外,屏幕118还接收用户的输入,例如用户的点击、滑动等手势操作,以便用户界面对象对这些用户的输入做出响应。检测用户输入的技术可以是基于电阻式、电容式或者其他任意可能的触控检测技术。屏幕118显示单元的具体实例包括但并不限于液晶显示器或发光聚合物显示器。
按键模块120同样提供用户向用户终端100进行输入的接口,用户可以通过按下不同的按键以使用户终端100执行不同的功能。
图3示出了一种服务器的结构框图。如图3所示,服务器200包括:存储器201、处理器202以及网络模块203。
可以理解,图3所示的结构仅为示意,服务器200还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。另外,本发明实施例中的服务器还可以包括多个具体不同功能的服务器。
存储器201可用于存储软件程序以及模块,如本发明实施例中的恶意代码的处理方法、装置及系统对应的程序指令/模块,处理器202通过运行存储在存储器201内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现本发明实施例中的恶意代码处理方法。存储器201可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器201可进一步包括相对于处理器202远程设置的存储器,这些远程存储器可以通过网络连接至服务器200。进一步地,上述软件程序以及模块还可包括:操作系统221以及服务模块222。其中操作系统221,例如可为LINUX、UNIX、WINDOWS,其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动,并可与各种硬件或软件组件相互通讯,从而提供其他软件组件的运行环境。服务模块222运行在操作系统221的基础上,并通过操作系统221的网络服务监听来自网络的请求,根据请求完成相应的数据处理,并返回处理结果给客户端。也就是说,服务模块222用于向客户端提供网络服务。
网络模块203用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。在一个实例中,上述网络信号为有线网络信号。此时,网络模块203可包括处理器、随机存储器、转换器、晶体振荡器等元件。
第一实施例
图4为本发明第一实施例提供的恶意代码处理方法的流程图。本实施例是基于用户终端100与服务器200进行数据交互的角度,对恶意代码处理方法的说明,如图4所示,本实施例提供的恶意代码处理方法包括以下步骤:
步骤S11,服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;
恶意代码可以包括:恶意特征码、木马代码等等。恶意代码处理程序,是各防病毒软件公司专门针对某一类顽固恶意代码而开发的查杀工具程序,例如:木马专杀工具、宏病毒专杀工具、鬼影专杀工具等等。恶意代码处理集程序是恶意代码处理程序的集合,其以模块的方式将多个恶意代码处理程序集成在一起,从而可对多种类型的顽固恶意代码进行查杀。
服务器200可定期收集网络服务器上的恶意代码处理程序的信息,恶意代码处理程序的信息可包括:恶意代码处理程序的身份标识及版本信息。服务器200将收集到的恶意代码处理程序的身份标识及版本信息,与恶意代码处理集程序中集成的恶意代码处理程序的身份标识及版本信息进行比较,其中,身份标识可包括恶意代码处理程序的名称、查杀对象等。当收集的恶意代码处理程序的身份标识与恶意代码处理集程序中集成的恶意代码处理程序的身份标识不一致,或虽然一致但收集的恶意代码处理程序的版本信息显示收集的恶意代码处理程序的版本更高时,可确认检测到新的恶意代码处理程序,服务器200将收集的恶意代码处理程序作为新的恶意代码处理程序,获取该恶意代码处理程序,将该恶意代码处理程序集成在恶意代码处理集程序中,并删除恶意代码处理集程序中集成的对应的版本较低的恶意代码处理程序。
步骤S12,所述服务器分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端;以及
服务器200可根据恶意代码处理程序可查杀的恶意代码的危害性及影响范围,分析该恶意代码的风险等级,并根据该风险等级,生成对应的下载指令,并将该下载指令发送给用户终端。下载指令用于指示用户终端按照对应的下载方式,下载恶意代码处理集程序。可以理解的,服务器200可预设危害性越大或影响范围越广的恶意代码,对应的风险等级越高,下载方式也就越具有及时性。
步骤S13,所述用户终端接收所述服务器发送的所述下载指令;
步骤S14,所述用户终端按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序。
本发明实施例提供的恶意代码处理方法,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过服务器在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,然后由用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第二实施例
图5为本发明第二实施例提供的恶意代码处理方法的时序图。本实施例是基于用户终端100与服务器200进行数据交互的角度,对恶意代码处理方法的说明,如图5所示,本实施例提供的恶意代码处理方法包括以下步骤:
步骤S21,服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;
本步骤具体可参考第一实施例的相关内容,此处不再赘述。
步骤S22,所述服务器获取所述恶意代码的分析样本,根据所述分析样本的数量,分析所述恶意代码的风险等级;
于本实施例一具体实施方式中,分析样本可包括服务器200通过网络收集的安装包程序,安装包程序可用于安装各种应用程序。如图6所示,本步骤中根据所述分析样本的数量,分析所述恶意代码的风险等级的步骤,具体可包括以下步骤:
步骤S221,所述服务器获取所述恶意代码的恶意特征码;
恶意特征码相当于恶意代码的指纹,是恶意代码中的一小段独一无二而且足以表示这个恶意代码的代码片段或其他可以识别的程序特征(如程序名、版本号、文件大小等)。
步骤S222,根据所述恶意特征码,统计携带有所述恶意特征码的所述安装包程序的数量;
服务器200根据获取的恶意代码中的恶意特征码,对获取的分析样本进行扫描,统计分析样本中携带有该恶意特征码的安装包程序的数量。
步骤S223,当所述数量大于预置的第一数值时,确定所述恶意代码的风险等级为第一风险等级;以及
当携带有该恶意特征码的安装包程序的数量大于预置的第一数值时,可确定该恶意代码的风险等级为第一风险等级,也就是说网络中存在大量的携带有该恶意代码的安装包程序,该恶意代码的危害性较大,应当通知用户终端100及时下载恶意代码处理集程序。
步骤S224,当所述数量小于或等于所述第一数值时,确定所述恶意代码的风险等级为第二风险等级。
当携带有该恶意特征码的安装包程序的数量小于或等于预置的第一数值时,可确定该恶意代码的风险等级为第二风险等级,也就是说该恶意代码的危害性较小,用户终端100可不必立即下载恶意代码处理集程序。
于本实施例其他具体实施方式中,分析样本还可包括:上报过已查杀所述恶意代码的用户终端。如图7所示,本步骤中的根据所述分析样本的数量,分析所述恶意代码的风险等级的步骤,具体还可包括以下步骤:
步骤S225,统计所述用户终端的数量。
步骤S226,当所述用户终端的数量大于预置的第二数值时,确定所述恶意代码的风险等级为第一风险等级;以及
当上报过已查杀所述恶意代码的用户终端的数量大于预置的第二数值时,可确定该恶意代码的风险等级为第一风险等级,也就是说已经有较多的用户受到了该恶意代码的危害,该恶意代码的影响范围较广,应当通知用户终端100及时下载恶意代码处理集程序。
步骤S227,当所述用户终端的数量小于或等于所述第二数值时,确定所述恶意代码的风险等级为第二风险等级。
当上报过已查杀所述恶意代码的用户终端的数量小于或等于预置的第二数值时,可确定该恶意代码的风险等级为第二风险等级,也就是说该恶意代码的影响范围较小,用户终端100可不必立即下载恶意代码处理集程序。
步骤S23,当所述风险等级为第一风险等级时,所述服务器生成第一下载指令;
第一下载指令中可包含:该恶意代码处理集程序的身份标识及版本信息。第一下载指令可用于指示用户终端100按照与第一下载指令对应的下载方式,下载恶意代码处理集程序。
步骤S24,所述服务器将所述第一下载指令发送给所述用户终端;
步骤S25,所述用户终端接收所述第一下载指令,按照所述第一下载指令对应的下载方式,下载所述恶意代码处理集程序;
如图8所示,本步骤具体可包括以下步骤:
步骤S251,所述用户终端接收所述第一下载指令;
步骤S252,根据所述第一下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;
具体地,用户终端100可获取系统中的已安装的程序的身份标识,将第一下载指令中包含的恶意代码处理集程序的身份标识,与系统中已安装的程序的身份标识进行匹配,判断系统中已安装的程序中是否有身份标识与恶意代码处理集程序的身份标识相匹配的程序,若有,则可确定用户终端100中已安装该恶意代码处理集程序,否则,可确定用户终端100中未安装该恶意代码处理集程序。
若未安装,则执行步骤S254:生成第一下载提示消息;
第一下载提示消息用于提示用户下载该恶意代码处理程序。
若已安装,则执行步骤S253:根据所述第一下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新;
具体地,用户终端100可获取系统中已安装的恶意代码处理集程序的版本信息,将该已安装的恶意代码处理集程序的版本信息与第一下载指令中的版本信息进行比较,若第一下载指令中的版本信息显示第一下载指令指示的恶意代码处理集程序的版本高于已安装的恶意代码处理集程序的版本时,确定已安装的恶意代码处理集程序需要更新,否则,确定已安装的恶意代码处理集程序不需要更新。
若判断结果为需要更新,则执行步骤S254;若判断结果为不需要更新,则执行步骤S251;
步骤S255,将所述第一下载提示消息通过预置的强提示方式显示;以及
用户终端100可调用预置的后台程序将第一下载提示消息以预置的强提示方式实时推送给用户,以强引导用户下载或更新恶意代码处理集程序。其中预置的强提示方式可包括:通知栏方式、桌面弹窗方式等等。通过预置的强提示方式推送第一下载提示消息,可提高恶意代码处理的及时性,进而提高处理恶意代码的效率。
步骤S256,根据所述用户针对所述第一下载提示消息所触发的第一确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
具体地,用户终端100接收用户针对第一下载提示消息所触发的第一确定下载指令,向服务器200发送下载恶意代码处理集程序的请求,服务器200根据该请求,将恶意代码处理集程序返回给用户终端100。
可以理解的,用户终端100也可以根据预设下载规则,在接收到服务器200发送的第一下载指令时,若检测到用户终端100中未安装该恶意代码处理集程序,或虽然已经安装了该恶意代码处理集程序但需要更新,则直接从服务器200下载该恶意代码处理集程序。
步骤S26,当所述风险等级为第二风险等级时,所述服务器生成第二下载指令;
第二下载指令中可包含:恶意代码处理集程序的身份标识及版本信息。第二下载指令可用于指示用户终端100按照与第二下载指令对应的下载方式,下载恶意代码处理集程序。
步骤S27,所述服务器将所述第二下载指令发送给所述用户终端。
步骤S28,所述用户终端接收所述第二下载指令,按照所述第二下载指令对应的下载方式,下载所述恶意代码处理集程序;
如图9所示,本步骤具体可包括以下步骤:
步骤S281,所述用户终端接收所述第二下载指令;
步骤S282,所述用户终端根据所述第二下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;
本步骤具体可参考步骤S252相关内容,此处不再赘述。
若未安装,则执行步骤S284:保存所述第二下载指令;
若已安装,则执行步骤S283,根据所述第二下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新;
本步骤具体可参考步骤S253的相关内容,此处不再赘述。
若判断结果为需要更新,则执行步骤S284;若判断结果为不需要更新,则执行步骤S281;
步骤S285,当检测到预置的通用恶意代码搜索引擎结束恶意代码扫描时,获取扫描结果,根据所述扫描结果与所述第二下载指令生成第二下载提示消息并显示;以及
具体地,于本实施例一具体实施方式中,用户终端200通过病毒查杀模块调用预置的通用恶意代码搜索引擎扫描用户终端200中的恶意代码,当检测到该扫描结束时,获取扫描结果日志,当扫描结果日志显示扫描结果为该通用恶意代码搜索引擎未扫描出恶意代码时,用户终端200根据第二下载指令生成第二下载提示消息并显示,以引导用户下载最新的恶意代码处理集程序对恶意代码进行程序扫描。其中,通用恶意代码搜索引擎是一套判断特定程序行为是否为包含恶意代码的可疑程序所作出的技术机制,可以用于检测和发现常见地、非顽固性的恶意代码。
于本实施其他具体实施方式中,当扫描结果为通用恶意代码搜索引擎扫描出恶意代码,但无法彻底杀除恶意代码时,也即需要通过恶意代码处理集程序才能彻底清除所述恶意代码时,用户终端100根据第二下载指令生成第二下载提示消息并显示。
可以理解的,不限于在接收到第二下载指令之后,用户终端100也可以在包括接收到第一下载指令在内的任何时候,当检测到通用恶意代码搜索引擎结束恶意代码扫描,且扫描结果为该通用恶意代码搜索引擎未扫描出恶意代码,或虽然扫描出恶意代码但需要通过恶意代码处理集程序才能彻底清除所述恶意代码时,生成第二下载提示消息并显示。
步骤S286,根据所述用户针对所述第二下载提示消息所触发的第二确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
本步骤具体可参考步骤S256的相关内容,此处不再赘述。
像这样,服务器200根据恶意代码的危害性及影响范围的大小分别生成对应的下载指令并发送给用户终端100,然后,用户终端100根据不同的下载指令,通过不同的途径通知用户下载恶意代码处理集程序,既可以在恶意代码的危害性较大或影响范围较广时,及时引导用户下载恶意代码处理集程序对其进行查杀,又可以防止用户受到不必要的提示消息的骚扰,从而可提高处理恶意代码的效率。
步骤S29,所述用户终端安装并启动所述恶意代码处理集程序查杀所述恶意代码。
具体地,用户终端100可在完成恶意代码处理集程序的下载后,生成安装提示信息并显示给用户,然后根据用户针对该安装提示信息所触发的安装指令,安装该恶意代码处理集程序,并在安装成功后根据用户所触发的查杀指令,启动该恶意代码处理集程序查杀恶意代码。可以理解的,用户终端100也可根据预设的查杀规则,在下载恶意代码处理集程序后,直接安装并启动该恶意代码处理集程序进行恶意代码的查杀。
本发明实施例提供的恶意代码处理方法,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过服务器在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,然后由用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第三实施例
图10为本发明第三实施例提供的恶意代码处理方法的流程图。本实施例是基于服务器200的角度,对恶意代码处理方法的说明,如图10所示,本实施例提供的恶意代码处理方法包括以下步骤:
步骤S31,服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及
恶意代码处理程序,是各防病毒软件公司专门针对某一类顽固恶意代码而开发的查杀工具程序,例如:木马专杀工具、宏病毒专杀工具、鬼影专杀工具等等。恶意代码处理集程序是恶意代码处理程序的集合,其以模块的方式将多个恶意代码处理程序集成在一起,从而可对多种类型的顽固恶意代码进行查杀。
服务器200可定期收集网络服务器上的恶意代码处理程序的信息,恶意代码处理程序的信息可包括:恶意代码处理程序的身份标识及版本信息。服务器200将收集到的恶意代码处理程序的身份标识及版本信息,与恶意代码处理集程序中集成的恶意代码处理程序的身份标识及版本信息进行比较,其中,身份标识可包括恶意代码处理程序的名称、查杀对象等。当收集的恶意代码处理程序的身份标识与恶意代码处理集程序中集成的恶意代码处理程序的身份标识不一致,或虽然一致但收集的恶意代码处理程序的版本信息显示收集的恶意代码处理程序的版本更高时,可确认检测到新的恶意代码处理程序,服务器200将收集的恶意代码处理程序作为新的恶意代码处理程序,获取该恶意代码处理程序,将该恶意代码处理程序集成在恶意代码处理集程序中,并删除恶意代码处理集程序中集成的对应的版本较低的恶意代码处理程序。
步骤S32,所述服务器分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端。
服务器200可根据恶意代码处理程序可查杀的恶意代码的危害性及影响范围,分析该恶意代码的风险等级,并根据该风险等级,生成对应的下载指令,并将该下载指令发送给用户终端。下载指令用于指示用户终端按照对应的下载方式,下载恶意代码处理集程序。可以理解的,服务器200可预设危害性越大或影响范围越广的恶意代码,对应的风险等级越高,下载方式也就越具有及时性。
本发明实施例提供的恶意代码处理方法,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过服务器在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,以使用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第四实施例
图11为本发明第四实施例提供的恶意代码处理方法的流程图。本实施例是基于服务器200的角度,对恶意代码处理方法的说明,如图11所示,本实施例提供的恶意代码处理方法包括以下步骤:
步骤S41,服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;
本步骤具体可参考第三实施例的相关内容,此处不再赘述。
步骤S42,所述服务器获取所述恶意代码的分析样本,根据所述分析样本的数量,分析所述恶意代码的风险等级;
于本实施例一具体实施方式中,分析样本包括:服务器200通过网络收集的安装包程序。服务器200获取恶意代码的恶意特征码;根据该恶意特征码,统计携带有该恶意特征码的该安装包程序的数量;当该数量大于预置的第一数值时,确定该恶意代码的风险等级为第一风险等级;当该数量小于或等于该第一数值时,确定该恶意代码的风险等级为第二风险等级。
于本实施例其他实施方式中,分析样本包括:上报过已查杀所述恶意代码的用户终端。服务器200统计所述用户终端的数量,当所述用户终端的数量大于预置的第二数值时,确定所述恶意代码的风险等级为第一风险等级;当所述用户终端的数量小于或等于所述第二数值时,确定所述恶意代码的风险等级为第二风险等级。
步骤S43,当所述风险等级为第一风险等级时,所述服务器生成第一下载指令,将所述第一下载指令发送给所述用户终端,然后执行步骤S45;
第一下载指令中可包含:该恶意代码处理集程序的身份标识及版本信息。第一下载指令可用于指示用户终端100按照与第一下载指令对应的下载方式,下载恶意代码处理集程序。
步骤S44,当所述风险等级为第二风险等级时,所述服务器生成第二下载指令,将所述第二下载指令发送给所述用户终端;
第二下载指令中可包含:恶意代码处理集程序的身份标识及版本信息。第二下载指令可用于指示用户终端100按照与第二下载指令对应的下载方式,下载恶意代码处理集程序。
步骤S45,接收并响应所述用户终端发送的下载所述恶意代码处理集程序的请求,将所述恶意代码处理集程序发送给所述用户终端,以使所述用户终端安装并启动所述恶意代码处理集程序查杀所述恶意代码。
本发明实施例提供的恶意代码处理方法,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过服务器在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,使得用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第五实施例
图12为本发明第五实施例提供的恶意代码处理方法的流程图。本实施例是基于用户终端100的角度,对恶意代码处理方法的说明,如图12所示,本实施例提供的恶意代码处理方法包括以下步骤:
步骤S51,用户终端接收服务器发送的下载指令;以及
步骤S52,所述用户终端按照所述下载指令对应的下载方式,下载恶意代码处理集程序。
步骤S51与步骤S52具体可参考第一实施例的相关内容,此处不再赘述。
本发明实施例提供的恶意代码处理方法,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,用户终端根据服务器在检测到新的恶意代码处理程序时发送的下载指令,按照对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第六实施例
图13为本发明第六实施例提供的恶意代码处理方法的流程图。本实施例是基于用户终端100的角度,对恶意代码处理方法的说明,如图13所示,本实施例提供的恶意代码处理方法包括以下步骤:
步骤S61,用户终端接收服务器发送的下载指令;
步骤S62,当所述下载指令为第一下载指令时,按照对应的下载方式,下载所述恶意代码处理集程序,并执行步骤S64;
具体地,当该下载指令为第一下载指令时,用户终端100根据该第一下载指令中的该身份标识,判断用户终端100中是否已安装该恶意代码处理集程序;若未安装,则生成第一下载提示消息;若已安装,则根据该第一下载指令中的该版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行该生成第一下载提示消息的步骤;然后,将该第一下载提示消息通过预置的强提示方式显示;之后,根据该用户针对该第一下载提示消息所触发的第一确定下载指令,向该服务器发送下载该恶意代码处理集程序的请求,从该服务器下载该恶意代码处理集程序。
步骤S63,当所述下载指令为第二下载指令时,按照对应的下载方式,下载所述恶意代码处理集程序;
具体地,当该下载指令为第二下载指令时,该用户终端100根据该第二下载指令中的该身份标识,判断该用户终端100中是否已安装该恶意代码处理集程序;若未安装,则保存该第二下载指令;若已安装,则根据该第二下载指令中的该版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行该保存该第二下载指令的步骤;当检测到预置的通用恶意代码搜索引擎结束恶意代码扫描时,获取扫描结果,根据该扫描结果与该第二下载指令生成第二下载提示消息并显示;然后根据该用户针对该第二下载提示消息所触发的第二确定下载指令,向该服务器发送下载该恶意代码处理集程序的请求,从该服务器下载该恶意代码处理集程序。
其中,于本实施例一具体实施方式中,根据该扫描结果与该第二下载指令生成第二下载提示消息并显示可包括:当该扫描结果为该通用恶意代码搜索引擎未扫描出恶意代码时,该用户终端100根据该第二下载指令生成第二下载提示消息并显示。
于本实施例其他具体实施方式中,根据该扫描结果与该第二下载指令生成第二下载提示消息并显示可包括:当该扫描结果为该通用恶意代码搜索引擎扫描出恶意代码,但无法彻底杀除该恶意代码时,该用户终端100根据该第二下载指令生成第二下载提示消息并显示。
步骤S64,安装并启动所述恶意代码处理集程序,查杀所述恶意代码。
步骤S61至步骤S64具体可参考第二实施例的相关内容,此处不再赘述。
本发明实施例提供的恶意代码处理方法,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,用户终端根据服务器在检测到新的恶意代码处理程序时发送的下载指令,按照对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第七实施例
图14为本发明第七实施例提供的恶意代码处理装置的结构示意图。本实施例提供的恶意代码处理装置可以用于上述实施例中的恶意代码处理方法。如图14所示,恶意代码处理装置70包括:集成模块71以及发送模块72。
其中,集成模块71,用于在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及
发送模块72,用于分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端。
以上各模块可以是由软件代码实现,此时,上述的各模块可存储于存储器201内,如图15所示。以上各模块同样可以由硬件例如集成电路芯片实现。
本实施例对恶意代码处理装置70的各功能模块实现各自功能的具体过程,请参见上述图1至图13所示实施例中描述的具体内容,此处不再赘述。
本发明实施例提供的恶意代码处理装置,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,以使用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第八实施例
图16为本发明第八实施例提供的恶意代码处理装置的结构示意图。本实施例提供的恶意代码处理装置可以用于上述实施例中的恶意代码处理方法。如图16所示,恶意代码处理装置80包括:集成模块81以及发送模块82。
其中,集成模块81,用于在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及
发送模块82,用于分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端。
优选地,所述发送模块82包括:分析单元821。分析单元821,用于获取所述恶意代码的分析样本,根据所述分析样本的数量,分析所述恶意代码的风险等级。
其中,优选地,所述分析样本包括所述服务器通过网络收集的安装包程序,所述分析单元821,包括:恶意特征码获取单元8211、第一统计单元8212、第一确定单元8213以及第二确定单元8214。其中,恶意特征码获取单元8211,用于获取所述恶意代码的恶意特征码;第一统计单元8212,用于根据所述恶意特征码,统计携带有所述恶意特征码的所述安装包程序的数量;第一确定单元8213,用于当所述数量大于预置的第一数值时,确定所述恶意代码的风险等级为第一风险等级;以及第二确定单元8214,用于当所述数量小于或等于所述第一数值时,确定所述恶意代码的风险等级为第二风险等级。
优选地,所述分析样本包括上报过已查杀所述恶意代码的用户终端,所述分析单元821,还包括:第二统计单元8215、第三确定单元8216以及第四确定单元8217。其中,第二统计单元8215,用于统计所述用户终端的数量;第三确定单元8216,用于当所述用户终端的数量大于预置的第二数值时,确定所述恶意代码的风险等级为第一风险等级;以及第四确定单元8217,用于当所述用户终端的数量小于或等于所述第二数值时,确定所述恶意代码的风险等级为第二风险等级。
优选地,所述发送模块82,还包括:第一下载指令生成单元822。第一下载指令生成单元822,用于当所述风险等级为第一风险等级时,生成第一下载指令,所述第一下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
优选地,所述发送模块82,还包括:第二下载指令生成单元823。第二下载指令生成单元823,用于当所述风险等级为第二风险等级时,生成第二下载指令,所述第二下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
本发明实施例提供的恶意代码处理装置,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,以使用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第九实施例
图17为本发明第九实施例提供的恶意代码处理装置的结构示意图。本实施例提供的恶意代码处理装置可以用于上述实施例中的恶意代码处理方法。如图17所示,恶意代码处理装置90包括:接收模块91以及下载模块92。
其中,接收模块91,用于接收服务器发送的下载指令;以及
下载模块92,用于按照所述下载指令对应的下载方式,下载恶意代码处理集程序。
以上各模块可以是由软件代码实现,此时,上述的各模块可存储于存储器102内,如图18所示。以上各模块同样可以由硬件例如集成电路芯片实现。
本实施例对恶意代码处理装置80的各功能模块实现各自功能的具体过程,请参见上述图1至图13所示实施例中描述的具体内容,此处不再赘述。
本发明实施例提供的恶意代码处理装置,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,根据服务器在检测到新的恶意代码处理程序时发送的下载指令,按照对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第十实施例
图19为本发明第十实施例提供的恶意代码处理装置的结构示意图。本实施例提供的恶意代码处理装置可以用于上述实施例中的恶意代码处理方法。如图19所示,恶意代码处理装置10包括:接收模块11、下载模块12、以及查杀模块13。
其中,接收模块11,用于接收服务器发送的下载指令;以及
下载模块12,用于按照所述下载指令对应的下载方式,下载恶意代码处理集程序;
查杀模块13,用于安装并启动所述恶意代码处理集程序查杀所述恶意代码。
优选地,所述下载模块12包括:第一判断单元1201、第一下载提示消息生成单元1202、第二判断单元1203、第一下载提示消息显示单元1204以及第一下载单元1205。其中,第一判断单元1201,用于当所述下载指令为第一下载指令时,根据所述第一下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;第一下载提示消息生成单元1202,用于若未安装,则生成第一下载提示消息;第二判断单元1203,用于若已安装,则根据所述第一下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述生成第一下载提示消息的步骤;第一下载提示消息显示单元1204,用于将所述第一下载提示消息通过预置的强提示方式显示;以及第一下载单元1205,用于根据所述用户针对所述第一下载提示消息所触发的第一确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
优选地,所述下载模块12,还包括:第三判断单元1206、保存单元1207、第三判断单元1208、第二下载提示消息生成与显示单元1209以及第二下载单元1210。其中,第三判断单元1206,用于当所述下载指令为第二下载指令时,根据所述第二下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;保存单元1207,用于若未安装,则保存所述第二下载指令;第三判断单元1208,用于若已安装,则根据所述第二下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述保存所述第二下载指令的步骤;第二下载提示消息生成与显示单元1209,用于当检测到预置的通用恶意代码搜索引擎结束恶意代码扫描时,获取扫描结果,根据所述扫描结果与所述第二下载指令生成第二下载提示消息并显示;以及第二下载单元1210,用于根据所述用户针对所述第二下载提示消息所触发的第二确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
优选地,所述第二下载提示消息生成与显示单元1209,还用于当所述扫描结果为所述通用恶意代码搜索引擎未扫描出恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
优选地,所述第二下载提示消息生成与显示单元1209,还用于当所述扫描结果为所述通用恶意代码搜索引擎扫描出恶意代码,但无法彻底杀除所述恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
本发明实施例提供的恶意代码处理装置,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,根据服务器在检测到新的恶意代码处理程序时发送的下载指令,按照对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
第十一实施例
图20为本发明第十一实施例提供的恶意代码处理系统的结构示意图。如图20所示,恶意代码处理系统20包括:服务器21以及用户终端22;
其中,所述服务器21包括:
集成模块211,用于在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及
发送模块212,用于分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给所述用户终端22;
所述用户终端22包括:
接收模块221,用于接收服务器发送的下载指令;以及
下载模块222,用于按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序。
优选地,所述发送模块212包括:分析单元,用于获取所述恶意代码的分析样本,根据所述分析样本的数量,分析所述恶意代码的风险等级。
优选地,所述分析样本包括所述服务器通过网络收集的安装包程序,所述分析单元,包括:恶意特征码获取单元,用于获取所述恶意代码的恶意特征码;第一统计单元,用于根据所述恶意特征码,统计携带有所述恶意特征码的所述安装包程序的数量;第一确定单元,用于当所述数量大于预置的第一数值时,确定所述恶意代码的风险等级为第一风险等级;以及第二确定单元,用于当所述数量小于或等于所述第一数值时,确定所述恶意代码的风险等级为第二风险等级。
优选地,所述分析样本包括上报过已查杀所述恶意代码的用户终端,所述分析单元,还包括:第二统计单元,用于统计所述用户终端的数量;第三确定单元,用于当所述用户终端的数量大于预置的第二数值时,确定所述恶意代码的风险等级为第一风险等级;以及第四确定单元,用于当所述用户终端的数量小于或等于所述第二数值时,确定所述恶意代码的风险等级为第二风险等级。
优选地,所述发送模块212,还包括:第一下载指令生成单元,用于当所述风险等级为第一风险等级时,生成第一下载指令,所述第一下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
优选地,所述发送模块212,还包括:第二下载指令生成单元,用于当所述风险等级为第二风险等级时,生成第二下载指令,所述第二下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
优选地,所述下载模块222包括:第一判断单元,用于当所述下载指令为第一下载指令时,根据所述第一下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;第一下载提示消息生成单元,用于若未安装,则生成第一下载提示消息;第二判断单元,用于若已安装,则根据所述第一下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述生成第一下载提示消息的步骤;第一下载提示消息显示单元,用于将所述第一下载提示消息通过预置的强提示方式显示;以及第一下载单元,用于根据所述用户针对所述第一下载提示消息所触发的第一确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
优选地,所述下载模块222,还包括:第三判断单元,用于当所述下载指令为第二下载指令时,根据所述第二下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;保存单元,用于若未安装,则保存所述第二下载指令;第三判断单元,用于若已安装,则根据所述第二下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述保存所述第二下载指令的步骤;第二下载提示消息生成与显示单元,用于当检测到预置的通用恶意代码搜索引擎结束恶意代码扫描时,获取扫描结果,根据所述扫描结果与所述第二下载指令生成第二下载提示消息并显示;以及第二下载单元,用于根据所述用户针对所述第二下载提示消息所触发的第二确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
优选地,所述第二下载提示消息生成与显示单元,还用于当所述扫描结果为所述通用恶意代码搜索引擎未扫描出恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
优选地,所述第二下载提示消息生成与显示单元,还用于当所述扫描结果为所述通用恶意代码搜索引擎扫描出恶意代码,但无法彻底杀除所述恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
优选地,所述用户终端22还包括:查杀模块,用于安装并启动所述恶意代码处理集程序查杀所述恶意代码。
本实施例中恶意代码处理系统中的服务器21与用户终端22实现功能的具体过程请参阅图1至图13对应实施例的方法,以及图14图至图19对应实施例的装置,此处不再赘述。
本发明实施例提供的恶意代码处理系统,通过将恶意代码处理程序集成在恶意代码处理集程序中,因此可免除用户逐一下载安装的操作,从而可提高处理恶意代码的便捷性,同时,通过服务器在检测到新的恶意代码处理程序时,根据该恶意代码处理程序对应的恶意代码的风险等级,生成对应的下载指令,并将下载指令发送给用户终端,然后由用户终端按照该下载指令对应的下载方式下载该恶意代码处理集程序,可使得用户可及时通过最新的恶意代码处理集程序对恶意代码进行处理,从而可提高处理恶意代码的效率。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (26)
1.一种恶意代码处理方法,其特征在于,包括:
服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;
所述服务器分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端;以及
所述用户终端接收所述服务器发送的所述下载指令;
所述用户终端按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序。
2.根据权利要求1所述的方法,其特征在于,所述分析所述恶意代码处理程序对应的恶意代码的风险等级的步骤,包括:
所述服务器获取所述恶意代码的分析样本,根据所述分析样本的数量,分析所述恶意代码的风险等级。
3.根据权利要求2所述的方法,其特征在于,所述分析样本包括所述服务器通过网络收集的安装包程序,所述根据所述分析样本的数量,分析所述恶意代码的风险等级的步骤,包括:
所述服务器获取所述恶意代码的恶意特征码;
根据所述恶意特征码,统计携带有所述恶意特征码的所述安装包程序的数量;
当所述数量大于预置的第一数值时,确定所述恶意代码的风险等级为第一风险等级;以及
当所述数量小于或等于所述第一数值时,确定所述恶意代码的风险等级为第二风险等级。
4.根据权利要求2所述的方法,其特征在于,所述分析样本包括上报过已查杀所述恶意代码的用户终端,所述根据所述分析样本的数量,分析所述恶意代码的风险等级的步骤,还包括:
统计所述用户终端的数量,当所述用户终端的数量大于预置的第二数值时,确定所述恶意代码的风险等级为第一风险等级;以及
当所述用户终端的数量小于或等于所述第二数值时,确定所述恶意代码的风险等级为第二风险等级。
5.根据权利要求1所述的方法,其特征在于,所述根据所述风险等级,生成对应的下载指令的步骤,包括:
当所述风险等级为第一风险等级时,所述服务器生成第一下载指令,所述第一下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
6.根据权利要求5所述的方法,其特征在于,所述用户终端按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序的步骤,包括:
所述用户终端根据所述第一下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;
若未安装,则生成第一下载提示消息;
若已安装,则根据所述第一下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述生成第一下载提示消息的步骤;
将所述第一下载提示消息通过预置的强提示方式显示,所述强提示方式包括通知栏方式、桌面弹窗方式;以及
根据所述用户终端的用户针对所述第一下载提示消息所触发的第一确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
7.根据权利要求1所述的方法,其特征在于,所述根据所述风险等级,生成对应的下载指令的步骤,还包括:
当所述风险等级为第二风险等级时,所述服务器生成第二下载指令,所述第二下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
8.根据权利要求7所述的方法,其特征在于,所述用户终端按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序的步骤,还包括:
所述用户终端根据所述第二下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;
若未安装,则保存所述第二下载指令;
若已安装,则根据所述第二下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述保存所述第二下载指令的步骤;
当检测到预置的通用恶意代码搜索引擎结束恶意代码扫描时,获取扫描结果,根据所述扫描结果与所述第二下载指令生成第二下载提示消息并显示;以及
根据所述用户终端的用户针对所述第二下载提示消息所触发的第二确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
9.根据权利要求8所述的方法,其特征在于,所述根据所述扫描结果与所述第二下载指令生成第二下载提示消息并显示的步骤,包括:
当所述扫描结果为所述通用恶意代码搜索引擎未扫描出恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
10.根据权利要求8所述的方法,其特征在于,所述根据所述扫描结果与所述第二下载指令生成第二下载提示消息并显示的步骤,还包括:
当所述扫描结果为所述通用恶意代码搜索引擎扫描出恶意代码,但无法彻底杀除所述恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
11.根据权利要求1至10的任一项所述的方法,其特征在于,所述方法还包括:
所述用户终端安装并启动所述恶意代码处理集程序查杀所述恶意代码。
12.一种恶意代码处理方法,其特征在于,包括:
服务器在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;
所述服务器分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端;以使得所述用户终端按照所述下载指令对应的下载方式下载所述恶意代码处理集程序。
13.一种恶意代码处理方法,其特征在于,包括:
用户终端接收服务器发送的下载指令;所述下载指令为,服务器在检测到新的恶意代码处理程序时,分析所述恶意代码处理程序对应恶意代码的风险等级而生成的下载指令;以及
所述用户终端按照所述下载指令对应的下载方式,下载恶意代码处理集程序;所述恶意代码处理集程序是由服务器检测到的新的恶意代码处理程序集成而得到。
14.一种恶意代码处理装置,运行于服务器,其特征在于,包括:
集成模块,用于在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及
发送模块,用于分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端;以使得所述用户终端按照所述下载指令对应的下载方式下载所述恶意代码处理集程序。
15.一种恶意代码处理装置,运行于用户终端,其特征在于,包括:
接收模块,用于接收服务器发送的下载指令;所述下载指令为,服务器在检测到新的恶意代码处理程序时,分析所述恶意代码处理程序对应恶意代码的风险等级而生成的下载指令;以及
下载模块,用于按照所述下载指令对应的下载方式,下载恶意代码处理集程序;所述恶意代码处理集程序是由服务器检测到的新的恶意代码处理程序集成而得到。
16.一种恶意代码处理系统,其特征在于,包括:服务器以及用户终端;
其中,所述服务器包括:
集成模块,用于在检测到新的恶意代码处理程序时,获取所述恶意代码处理程序,将所述恶意代码处理程序集成在恶意代码处理集程序中;以及
发送模块,用于分析所述恶意代码处理程序对应的恶意代码的风险等级,根据所述风险等级,生成对应的下载指令,并将所述下载指令发送给用户终端;
所述用户终端包括:
接收模块,用于接收所述服务器发送的下载指令;以及
下载模块,用于按照所述下载指令对应的下载方式,下载所述恶意代码处理集程序。
17.根据权利要求16所述的系统,其特征在于,所述发送模块包括:
分析单元,用于获取所述恶意代码的分析样本,根据所述分析样本的数量,分析所述恶意代码的风险等级。
18.根据权利要求17所述的系统,其特征在于,所述分析样本包括所述服务器通过网络收集的安装包程序,所述分析单元,包括:
恶意特征码获取单元,用于获取所述恶意代码的恶意特征码;
第一统计单元,用于根据所述恶意特征码,统计携带有所述恶意特征码的所述安装包程序的数量;
第一确定单元,用于当所述数量大于预置的第一数值时,确定所述恶意代码的风险等级为第一风险等级;以及
第二确定单元,用于当所述数量小于或等于所述第一数值时,确定所述恶意代码的风险等级为第二风险等级。
19.根据权利要求17所述的系统,其特征在于,所述分析样本包括上报过已查杀所述恶意代码的用户终端,所述分析单元,还包括:
第二统计单元,用于统计所述用户终端的数量;
第三确定单元,用于当所述用户终端的数量大于预置的第二数值时,确定所述恶意代码的风险等级为第一风险等级;以及
第四确定单元,用于当所述用户终端的数量小于或等于所述第二数值时,确定所述恶意代码的风险等级为第二风险等级。
20.根据权利要求16所述的系统,其特征在于,所述发送模块,还包括:
第一下载指令生成单元,用于当所述风险等级为第一风险等级时,生成第一下载指令,所述第一下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
21.根据权利要求16所述的系统,其特征在于,所述发送模块,还包括:
第二下载指令生成单元,用于当所述风险等级为第二风险等级时,生成第二下载指令,所述第二下载指令中包含所述恶意代码处理集程序的身份标识及版本信息。
22.根据权利要求20所述的系统,其特征在于,所述下载模块包括:
第一判断单元,用于当所述下载指令为第一下载指令时,根据所述第一下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;
第一下载提示消息生成单元,用于若未安装,则生成第一下载提示消息;
第二判断单元,用于若已安装,则根据所述第一下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述生成第一下载提示消息的步骤;
第一下载提示消息显示单元,用于将所述第一下载提示消息通过预置的强提示方式显示,所述强提示方式包括通知栏方式、桌面弹窗方式;以及
第一下载单元,用于根据所述用户终端的用户针对所述第一下载提示消息所触发的第一确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
23.根据权利要求21所述的系统,其特征在于,所述下载模块,还包括:
第三判断单元,用于当所述下载指令为第二下载指令时,根据所述第二下载指令中的所述身份标识,判断所述用户终端中是否已安装所述恶意代码处理集程序;
保存单元,用于若未安装,则保存所述第二下载指令;
第三判断单元,用于若已安装,则根据所述第二下载指令中的所述版本信息,判断已安装的恶意代码处理集程序是否需要更新,并当判断结果为需要更新时,执行所述保存所述第二下载指令的步骤;
第二下载提示消息生成与显示单元,用于当检测到预置的通用恶意代码搜索引擎结束恶意代码扫描时,获取扫描结果,根据所述扫描结果与所述第二下载指令生成第二下载提示消息并显示;以及
第二下载单元,用于根据所述用户终端的用户针对所述第二下载提示消息所触发的第二确定下载指令,向所述服务器发送下载所述恶意代码处理集程序的请求,从所述服务器下载所述恶意代码处理集程序。
24.根据权利要求23所述的系统,其特征在于,所述第二下载提示消息生成与显示单元,还用于当所述扫描结果为所述通用恶意代码搜索引擎未扫描出恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
25.根据权利要求23所述的系统,其特征在于,所述第二下载提示消息生成与显示单元,还用于当所述扫描结果为所述通用恶意代码搜索引擎扫描出恶意代码,但无法彻底杀除所述恶意代码时,所述用户终端根据所述第二下载指令生成第二下载提示消息并显示。
26.根据权利要求16至25的任一项所述的系统,其特征在于,所述用户终端还包括:
查杀模块,用于安装并启动所述恶意代码处理集程序查杀所述恶意代码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410250179.6A CN105303106B (zh) | 2014-06-06 | 2014-06-06 | 恶意代码处理方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410250179.6A CN105303106B (zh) | 2014-06-06 | 2014-06-06 | 恶意代码处理方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105303106A CN105303106A (zh) | 2016-02-03 |
CN105303106B true CN105303106B (zh) | 2019-06-25 |
Family
ID=55200362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410250179.6A Active CN105303106B (zh) | 2014-06-06 | 2014-06-06 | 恶意代码处理方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105303106B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106203104A (zh) * | 2016-06-27 | 2016-12-07 | 北京金山安全软件有限公司 | 一种恶意代码查杀方法、装置及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1584865A (zh) * | 2003-08-21 | 2005-02-23 | 珠海金山软件股份有限公司 | 计算机软件升级的方法 |
CN101408846A (zh) * | 2008-11-24 | 2009-04-15 | 深圳华为通信技术有限公司 | 一种杀毒软件升级的方法及相应的终端和系统 |
CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7254811B2 (en) * | 2003-04-17 | 2007-08-07 | Ntt Docomo, Inc. | Update system and method for updating a scanning subsystem in a mobile communication framework |
-
2014
- 2014-06-06 CN CN201410250179.6A patent/CN105303106B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1584865A (zh) * | 2003-08-21 | 2005-02-23 | 珠海金山软件股份有限公司 | 计算机软件升级的方法 |
CN101408846A (zh) * | 2008-11-24 | 2009-04-15 | 深圳华为通信技术有限公司 | 一种杀毒软件升级的方法及相应的终端和系统 |
CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105303106A (zh) | 2016-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106126562B (zh) | 一种弹窗拦截方法及终端 | |
US9064112B2 (en) | Malware detection for SMS/MMS based attacks | |
CN103400076B (zh) | 一种移动终端上的恶意软件检测方法、装置和系统 | |
US9330257B2 (en) | Adaptive observation of behavioral features on a mobile device | |
CN104135501B (zh) | 页面分享方法、装置及系统 | |
CN1663156B (zh) | 共享频带的管理系统和方法 | |
US8331904B2 (en) | Apparatus and a security node for use in determining security attacks | |
US20120222120A1 (en) | Malware detection method and mobile terminal realizing the same | |
CN104426919B (zh) | 页面分享方法、装置及系统 | |
CN105205388B (zh) | 一种应用程序的权限管理方法及系统 | |
CN106134117A (zh) | 未授权的无线通信设备的检测 | |
CN107852410A (zh) | 剖析欺骗接入点 | |
CN105263142A (zh) | 一种伪基站的识别方法及装置 | |
CN106657690A (zh) | 一种防止电话诈骗的方法、装置及移动终端 | |
CN106412311B (zh) | 一种数据传输方法及终端设备 | |
CN106095456A (zh) | 引导用户下载应用程序的方法、装置及移动终端 | |
EP2605174A1 (en) | Apparatus and method for analyzing malware in data analysis system | |
TW201543860A (zh) | 對行動設備上的驅動程式和硬體級行爲特徵的自我調整觀測 | |
CN105320885A (zh) | 恶意网站检测方法及装置 | |
CN106648460B (zh) | 计步数据过滤方法及智能终端 | |
CN104113620A (zh) | 通讯录更新方法、更新装置及用户终端 | |
CN104426685A (zh) | 信息管理方法及装置 | |
CN105303106B (zh) | 恶意代码处理方法、装置及系统 | |
CN102905236B (zh) | 一种垃圾短消息监控方法、装置及系统 | |
Barbera et al. | Cdroid: Towards a cloud-integrated mobile operating system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |