发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的后门文件的查杀方法及装置。
依据本发明的一个方面,提供一种后门文件的查杀方法,包括:
针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
按照所述查杀策略,对所述目标后门文件进行查杀。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
优选的,所述对后门待删除名单中的目标网页后门文件进行删除之前,还包括:
将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
仅针对进一步确定为后门文件的目标后门文件执行删除操作。
优选的,还包括:
在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
优选的,在所述将所述目标后门文件添加到后门白名单中之前,还包括:
通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
一种后门文件的查杀装置,包括:
后门被删除比例统计单元,用于针对目标后门文件,统计该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
查杀策略确定单元,用于根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
查杀执行单元,用于按照所述查杀策略,对所述目标后门文件进行查杀。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
优选的,还包括:
后门文件确认单元,用于将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
所述查杀执行单元,仅针对进一步确定为后门文件的目标后门文件执行删除操作。
优选的,还包括:
比例更新单元,用于在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
优选的,还包括:
非后门文件确认单元,用于通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
所述查杀执行单元,仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
可见,本发明中,引入了目标后门文件的历史被删除比例,并将该历史被删除比例作为一个影响因素,制定不同的查杀策略。这样做的好处在于,利用可疑后门文件的历史处理经验,指导后续用户针对该文件的处理策略,由此给用户更多的处理意见参考,方便用户快速、高效地对文件进行准确的处理。应用本发明,可提高后门文件的检出率,并可以提高一键查杀率;同时,通过提供后门文件的历史被删除比例,可帮助站长更好判断是否文件为后门文件。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参见图1,示出了根据本发明第一实施例的后门文件的查杀方法流程图。该方法包括如下步骤S101-S103。
S101:针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,目标后门文件的历史被删除比例是指在预置时间段内目标后门文件被删除的次数与目标后门文件被标记为可疑后门文件的次数之比。
所谓“目标后门文件”,包含两层含义,第一层含义是该文件是预先判断为可疑的文件,即该文件被怀疑是后门文件,第二层含义是该文件是本发明方法当前针对的待查杀(待操作)的文件。具体实现中,可以通过文件标识(例如md5值)唯一标识一个目标后门文件。
在针对目标后门文件进行确定历史被删除比例之前,首先需确定该目标后门文件,即,预先判断出该文件是可疑的后门文件(可疑的恶意文件)。具体判断出文件是否为可疑的后门文件有多种方式,例如,采用黑名单、白名单匹配的方式进行判断,例如,如果该文件匹配出黑名单中的后门文件,则可初步判断为可疑的后门文件,再如,如果该文件匹配出白名单的非后门文件,则可初步判断并不是可疑的后门文件。另外,还可以采取特征匹配的方式在预置的后门特征库中进行匹配,如果匹配出结果,则初步判断为可疑的后门文件。此外,还可以将文件在云端或服务器上通过深度扫描的方式进行判断,此处可采取目前或未来出现的检测算法或扫描算法,其核心也在于通过预置的特征库对文件进行匹配,从而确定文件是否为可疑的后门文件。
在确定文件是可疑的后门文件之后,即确定了目标后门文件之后,需要获取该目标后门文件的历史被删除比例。目标后门文件的历史被删除比例的含义是,在预置时间段内目标后门文件被删除的次数与目标后门文件被标记为可疑后门文件的次数之比。例如,在一个月之内,该目标后门文件被删除了5次,而该目标后门文件被标记为可疑后门文件的次数为100次,则该目标后门文件的历史被删除比例为5/100=0.05。
获取目标后门文件的历史被删除比例的前提是,每次在删除该目标后门文件以及每次标记该目标后门文件为可疑的后门文件时,都进行次数统计。具体的,可采取两个计数器:删除计数器和可疑标记计数器。每当目标后门文件被删除一次时,删除计数器的值加1,同理,每当目标后门文件被标记为可疑后门文件时,可疑标记计时器的值加1。那么,就可以通过读取删除计数器的值和可疑标记计数器的值,得到目标后门文件被删除的次数以及目标后门文件被标记为可疑后门文件的次数,将后者除以前者,即得到目标后门文件的历史被删除比例。当然,上述删除计数器以及可疑标记计数器的实现方式仅仅是举例说明,实际中并不一定限于此种方式,而且也不一定需要真正的计数器器件,可以通过软件方式实现该功能。
另外,需要说明的是,“目标后门文件的历史被删除比例”是动态变化的,因为该目标后门文件每被新标记一次或被新删除一次,都会引起该历史被删除比例的变化,因此,上述步骤S101中获取的历史被删除比例可以理解是当前的最新数值。
S102:根据预定义规则,确定目标后门文件的历史被删除比例对应的查杀策略。
S103:按照查杀策略,对目标后门文件进行查杀。
具体的,可根据目标后门文件的历史被删除比例的大小,设置不同的查杀策略。
例如,第一种预定义规则是:如果目标后门文件的历史被删除比例大于预置的风险阈值,则将目标后门文件添加到后门待删除名单中;此时,查杀策略是:对后门待删除名单中的目标后门文件进行删除。这样处理的理由是,如果该目标后门文件被删除的比例较高,则可认为该文件最终被确定为后门文件的概率较大,为了节省用户(网站站长)的时间以及提高效率,可直接利用历史处理经验,来指导本次针对该目标后门文件的查杀处理方式。
其中,风险阈值是预先设定,并可动态调整的。可以理解,该风险阈值设置的越大,则符合该第一种预定义规则的概率就越小,也就是目标后门文件被判定为后门文件的概率就越小,也就是判定后门文件的标准越严格,反之,如果风险阈值设置的越小,判定为后门文件的概率就越大。如何掌握该风险阈值的合理范围,可根据经验进行设置及调整。
上述在确定目标后门文件的历史被删除比例大于风险阈值之后,即将目标后门文件添加到后门待删除名单中;此时对应的查杀策略是对后门待删除名单中的目标后门文件进行删除。这样做的好处在于较为简单且不容易漏杀,但是也容易造成误杀,即存在将不是后门文件进行了删除操作。因此,为了尽量避免该情况的发生,优选的,在对后门待删除名单中的目标网页后门文件进行删除之前,还可以执行如下步骤:进一步确定目标后门文件是否为后门文件;仅针对进一步确定为后门文件的目标后门文件执行删除操作。其中,“进一步确定目标后门文件是否为后门文件”的方式有多种,例如,可以采取将目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配的方式,或者采取将目标后门文件进行特征扫描的方式,当然,也可以通过网站站长进行文件查看的方式,在站长确定之后接收站长判断目标后门文件是否为后门文件的结果。
由于根据该第一种预定义规则,有可能对目标后门文件进行删除处理,因此,需要在目标后门文件被删除之后,更新目标后门文件的历史被删除比例。
再如,第二种预定义规则是:如果目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将目标后门文件的历史被删除比例进行显示;此时对应的查杀策略是:将目标后门文件的历史被删除比例进行显示,以供用户参考。
其中,风险阈值以及安全阈值是预先设定,并可动态调整的。可以理解,风险阈值大于安全阈值,且二者之间的差值越大,则满足该第二种预定义规则的概率就越大。如何掌握该风险阈值的合理范围,可根据经验进行设置及调整。
还如,第三种预定义规则是:如果目标后门文件的历史被删除比例小于预置的安全阈值,则将目标后门文件添加到后门白名单中;此时对应的查杀策略是:将目标后门文件添加到后门白名单中。
其中,安全阈值是预先设定,并可动态调整的。可以理解,该安全阈值设置的越大,则符合该第三种预定义规则的概率就越大,也就是目标后门文件被判定为非后门文件的概率就越大,反之,如果安全阈值设置的越小,判定为非后门文件的概率就越小。如何掌握该风险阈值的合理范围,可根据经验进行设置及调整。
上述在确定目标后门文件的历史被删除比例小于安全阈值之后,即将目标后门文件添加到后门白名单中。这样做的好处在于较为简单且不容易误杀,但是也容易造成漏杀,即存在将是后门文件进行了误操作。因此,为了尽量避免该情况的发生,优选的,在将目标后门文件添加到后门白名单中之前,还可执行以下步骤:进一步确定目标后门文件是否为非后门文件;仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。其中,“进一步确定目标后门文件是否为非后门文件”方式有多种,例如,可以采取将目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配的方式,或者采取将目标后门文件进行特征扫描的方式,当然,也可以通过网站站长进行文件查看的方式,在站长确定之后接收站长判断目标后门文件是否为非后门文件的结果。
可见,本发明中,引入了目标后门文件的历史被删除比例,并将该历史被删除比例作为一个影响因素,制定不同的查杀策略。这样做的好处在于,利用可疑后门文件的历史处理经验,指导后续用户针对该文件的处理策略,由此给用户更多的处理意见参考,方便用户快速、高效地对文件进行准确的处理。
本发明上述实施例的一个具体场景是,通过安全应用程序(App)执行,例如,采取360安全卫士进行目标后门文件的被删除统计、策略制定及执行。例如,本发明的一个具体例子为:1、按照现有技术后门文件的查杀流程,进行检测,将疑似的后门文件报出来;2、对于可疑后门文件,站长对文件进行判断并清理,后门文件清理就做一次记录,并将该记录回传给360安全卫士;3、360安全卫士根据一段时间回传的删除记录,做一个统计,每一个后门文件(会有md5唯一标识)站长进行删除的比例是多少;4、360安全卫士对删除比例特别低的文件进行查看,是否为误报的正常文件,若是则添加到文件白名单;对删除比例特别高的文件进行查看,是否整个文件都是后门,若是则添加直接清理规则;5、同时将删除比例在每一次站长扫描的结果中做展示,辅助站长判断文件是否为后门文件,是否要清理;6、定期重复步骤3-5,不断更新删除比例。
参见图2,示出了根据本发明第二实施例的后门文件的查杀方法流程图,包括如下步骤:
S201:安全App被用户启动;
S202:安全App进行目标后门文件的检测;
S203:展示检测结果,给出清理建议;
S204:一键清理后门文件,留下可疑后门文件;
S205:通过站长查看文件等方式判定可疑后门文件是否为后门文件;若是,执行S206分支,否则,执行S212;
S206:删除后门文件,例如可以由站长手动确定删除后门文件;
S207:删除操作数据上传;
S208:安全App统计单个后门文件的被删除比例;
S209:安全App针对被删除比例进行分析(匹配预定义规则);
S210:根据被删除比例匹配出的策略,修改相应的清理建议,然后转到S203;
S211:调整后门检测规则,增加可一键删除后门文件的标记然后转到S204;
S212:保留该文件或者增加到白名单中。
可见,通过第二实施例的方案,可提高后门文件的检出率,并可以提高一键查杀率;同时,通过提供后门文件的历史被删除比例,可帮助站长更好判断是否文件为后门文件。
与上述方法相对应,本发明还提供一种后门文件的查杀装置。该装置可以是硬件、软件或软硬件结合实现,优选的,该装置是指负责后门查杀的安全App。参见图3,为该后门文件的查杀装置的结构示意图。该装置包括:
后门被删除比例统计单元301,用于针对目标后门文件,统计该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
查杀策略确定单元302,用于根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
查杀执行单元303,用于按照所述查杀策略,对所述目标后门文件进行查杀。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
优选的,该装置还包括:
后门文件确认单元304,用于将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
所述查杀执行单元303,仅针对进一步确定为后门文件的目标后门文件执行删除操作。
优选的,该装置还包括:
比例更新单元305,用于在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
优选的,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
优选的,该装置还包括:
非后门文件确认单元306,用于通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
所述查杀执行单元303,仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的后门文件的查杀装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
可见,本发明提供至少如下方案:
A1、一种后门文件的查杀方法,包括:
针对目标后门文件,获取该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
按照所述查杀策略,对所述目标后门文件进行查杀。
A2、如A1所述的方法,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
A3、如A2所述的方法,所述对后门待删除名单中的目标网页后门文件进行删除之前,还包括:
将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
仅针对进一步确定为后门文件的目标后门文件执行删除操作。
A4、如A2所述的方法,还包括:
在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
A5、如A1所述的方法,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
A6、如A1所述的方法,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
A7、如A6所述的方法,在所述将所述目标后门文件添加到后门白名单中之前,还包括:
通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。
B8、一种后门文件的查杀装置,包括:
后门被删除比例统计单元,用于针对目标后门文件,统计该目标后门文件的历史被删除比例,其中,所述目标后门文件的历史被删除比例是指在预置时间段内所述目标后门文件被删除的次数与所述目标后门文件被标记为可疑后门文件的次数之比;
查杀策略确定单元,用于根据预定义规则,确定所述目标后门文件的历史被删除比例对应的查杀策略;
查杀执行单元,用于按照所述查杀策略,对所述目标后门文件进行查杀。
B9、如B8所述的装置,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的风险阈值,则将所述目标后门文件添加到后门待删除名单中;
所述查杀策略包括:对后门待删除名单中的目标后门文件进行删除。
B10、如B9所述的装置,还包括:
后门文件确认单元,用于将所述目标后门文件在预置的后门黑名单和/或后门白名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为后门文件;
所述查杀执行单元,仅针对进一步确定为后门文件的目标后门文件执行删除操作。
B11、如B9所述的装置,还包括:
比例更新单元,用于在所述目标后门文件被删除之后,更新所述目标后门文件的历史被删除比例。
B12、如B8所述的装置,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例大于预置的安全阈值且小于预置的风险阈值,则将所述目标后门文件的历史被删除比例进行显示;
所述查杀策略包括:将所述目标后门文件的历史被删除比例进行显示。
B13、如B8所述的装置,
所述预定义规则包括:如果所述目标后门文件的历史被删除比例小于预置的安全阈值,则将所述目标后门文件添加到后门白名单中;
所述查杀策略包括:将所述目标后门文件添加到后门白名单中。
B14、如B13所述的方法,还包括:
非后门文件确认单元,用于通过将所述目标后门文件在预置的后门黑名单和/或后门黑名单中进行匹配,或/和,将所述目标后门文件进行特征扫描,或/和,接收站长判断所述目标后门文件是否为后门文件的结果,进一步确定所述目标后门文件是否为非后门文件;
所述查杀执行单元,仅针对进一步确定为非后门文件的目标后门文件执行添加到后门白名单的操作。