CN106709341B - 一种针对文件包的病毒处理方法及装置 - Google Patents
一种针对文件包的病毒处理方法及装置 Download PDFInfo
- Publication number
- CN106709341B CN106709341B CN201610513150.1A CN201610513150A CN106709341B CN 106709341 B CN106709341 B CN 106709341B CN 201610513150 A CN201610513150 A CN 201610513150A CN 106709341 B CN106709341 B CN 106709341B
- Authority
- CN
- China
- Prior art keywords
- file
- virus
- destination
- file destination
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种针对文件包的病毒处理方法及装置,其中,所述方法包括:调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征,所述文件特征至少包括:所述目标文件的文件路径和/或所述目标文件的完整性标识;根据所述终端中预置的病毒库中的特征信息对所述确定的文件路径和/或完整性标识进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件;按照病毒查杀规则对确定的所述病毒文件进行查杀处理。采用本发明,可以简便、快捷完成文件包的病毒查杀成功率,提升了变种样本查杀率,降低了误报。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种针对文件包的病毒处理方法及装置。
背景技术
传统的病毒查杀方式主要对某个目标文件中的恶意代码相关的特征进行检测比对,与恶意代码无关特征不进行处理。
现有技术需要确定文件的指定代码,实现方式较为复杂。并且,当指定代码发生变化时,则不能够实现文件的匹配查找,例如,在病毒产生变种,恶意代码产生变异时,则无法实现对这类病毒的查杀。
发明内容
本发明实施例提供一种针对文件包的病毒处理方法及装置,可简单、快捷地完成文件包中关于目标文件的病毒查杀处理。
一方面,本发明实施例提供了一种针对文件包的病毒处理方法,包括:调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征;根据所述终端中预置的病毒库中的特征信息对所述确定的文件路径和/或完整性标识进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件;按照病毒查杀规则对确定的所述病毒文件进行查杀处理;其中,对所述确定的文件特征进行检测比对至少包括:对所述文件特征中包括的所述目标文件的文件路径和/或所述目标文件的完整性标识进行检测比对。
另一方面,本发明实施例相应地提供了一种针对文件包的病毒处理装置,包括:扫描模块,用于调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征;确定模块,用于根据所述终端中预置的病毒库中的特征信息对所述确定的文件路径和/或完整性标识进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件;处理模块,用于按照病毒查杀规则对确定的所述病毒文件进行查杀处理;其中,所述确定模块在用于对所述确定的文件特征进行检测比对时,具体用于对所述文件特征中包括的所述目标文件的文件路径和/或所述目标文件的完整性标识进行检测比对。
本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为匹配查找的文件特征来进行查找匹配,当满足条件时,即可认为该目标文件为病毒文件,即可进行后续的对该目标文件的病毒查杀等处理,实现方式简便、快捷,可在一定程度上提升病毒的查杀率,并提升了变种样本查杀率,较好地降低了病毒误报。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种针对文件包的病毒处理方法的流程示意图;
图2是本发明实施例的另一种针对文件包的病毒处理方法的流程示意图;
图3是本发明实施例的关于是否满足匹配条件的判断方法流程示意图;
图4是本发明实施例的一种针对文件包的病毒处理装置的结构组成示意图;
图5是本发明实施例的一种智能终端的结构组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在对APK(AndroidPackage,安卓安装包)等文件包进行病毒查杀的场景中,需要在该APK包中进行检测比对以确定该APK包中是否存在病毒文件。在本发明实施例中,具体可以基于目标文件的文件路径和/或诸如SHA1(Secure Hash Algorithm,安全哈希算法)等完整性标识来对文件包中的目标文件进行匹配确定,以便于根据匹配确定的结果完成对终端中某个文件包的病毒查杀处理。
本发明实施例中,在对文件包中的某个目标文件进行匹配时,具体的匹配检测方式至少包括:判断目标文件的文件特征是否满足预置的匹配条件,具体可以为:判断文件包中目标文件的文件路径是否与病毒库中记录的路径信息相同或相对应;或者判断所述目标文件的完整性标识与病毒库中记录的完整性特征信息是否相同。
可以同时或者先后对目标文件的文件路径、目标文件的完整性标识进行匹配,只有当所述目标文件的文件路径和完整性标识都与病毒库中的相关信息之间的关系满足匹配条件后,才认为所述目标文件为病毒文件。在本发明实施例的基于文件路径、完整性标识进行的文件匹配的基础上,还可以增加其他的特征匹配方式,例如目标文件的消息摘要标识如MD5等特征进行匹配。其中,所述完整性标识可以为所述目标文件的SHA1值。
具体的请参见图1,是本发明实施例的一种针对文件包的病毒处理方法的流程示意图,本发明实施例的所述方法可以应用在智能手机、平板电脑、智能可穿戴设备等智能终端中,具体可以由终端中的处理器来执行。本发明实施例的所述方法包括如下步骤。
S101:调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征。所述终端中存储的文件包包括用户下载的应用安装包,例如,文件包为在安卓系统中的APK包。所述目标文件的文件特征至少包括该目标文件在文件包中记录的文件路径等特征。
对于终端中存储的文件包,可以先将该文件包解压缩到内存当中,然后根据文件包中各个具体文件在内存中的存储位置确定出各个具体文件的文件路径等特征。例如,针对APK包,在进行特征扫描的过程中,可以首先识别该文件包的格式是否为指定的文件格式,例如是否为APK文件格式,在确定为APK文件格式的文件包后,将APK包内的所有文件解压到内存当中,并将其中的每一个文件作为目标文件,根据该文件包中每个目标文件在内存中的路径来确定目标文件的文件路径。
另外,在其他实施例中,文件包中还可以预先配置一个目录文件用于记录该文件包中各个目标文件的文件路径,当然,该目录文件还可以用于保存例如SHA1等文件特征。例如,在APK包中,预先配置有META-INF(在安卓系统中的一个信息包)目录,会保存着MANIFEST.MF(在安卓系统中的一个文件清单列表)文件,在此文件中,会保存此APK文件包内所有文件的文件路径,并保存了SHA1值。因此,只需要解析MANIFEST.MF文件,即可确定出APK文件包中目标文件的文件特征。
S102:根据所述终端中预置的病毒库中的特征信息对所述确定的文件特征进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件。在本发明实施例中,对所述确定的文件特征进行检测比对至少包括:对所述文件特征中包括的所述目标文件的文件路径和/或所述目标文件的完整性标识进行检测比对。
预先在杀毒应用中设置一个病毒库,该病毒库中配置了各种已知病毒文件的特征信息,病毒库中的特征信息为已知病毒文件的文件路径、和/或完整性标识等信息。可以预先收集各种已知病毒文件的路径特征、SHA1等信息并存储到所述病毒库中,以便于在所述S102中进行检测比对。
当确定的所述文件特征包括所述目标文件的文件路径时,对所述文件特征中包括的所述目标文件的文件路径进行检测比对,包括:检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配;若匹配,则检测比对的结果为所述文件特征满足匹配条件;其中,所述检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配,包括:判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否相同;或者,判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
进一步具体地,所述文件特征中可以包括所述目标文件的多个子文件的文件路径,所述对文件特征中包括的所述目标文件的文件路径进行检测比对,具体包括:分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的路径信息相同;或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。例如,某个已知的病毒文件中包括了几个子文件(包括图片JPG文件和超文本标记语言XML文件),其文件路径如下:
res/drawable/wormhole.jpg;
res/drawable/abc.xml;
res/layout/abc_action_menu_layout.xml;
在所述病毒库中进行路径信息的添加(可以由人工添加的方式添加到病毒库中)时,可以任意选其中1条或N条作为特征(N=2或3),具体可以同时将各个子文件的上述路径即:res/drawable/wormhole.jpg;res/drawable/abc.xml;res/layout/abc_action_menu_layout.xml均作为路径信息添加到病毒库中。那么后续在进行比对时,如果进行病毒查杀处理的所述文件包中某个目标文件的多个子文件的文件路径与病毒库中添加的上述三个路径信息均相同,则可以认为所述目标文件为病毒文件。
而当确定的所述文件特征包括所述目标文件的完整性标识时,对所述文件特征中包括的所述目标文件的完整性标识进行检测比对,包括:检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同;若相同,则检测比对的结果为所述文件特征满足匹配条件。
S103:按照病毒查杀规则对确定的所述病毒文件进行查杀处理。
具体的,在病毒库中保存了各种已知病毒文件在文件包中记录的路径信息、以及SHA1等文件特征。在对终端中下载的APK包进行查杀时,搜索引擎对该APK包进行扫描,将该APK包中的各个文件分别作为目标文件,扫描得到各目标文件的文件路径和SHA1值。并判断在所述病毒库中已经保存的病毒文件的文件路径和SHA1值等是否与某个目标文件的文件路径和SHA1值等对应相同,若是,则确定所述目标文件为病毒文件,该病毒文件需要进行查杀处理。查杀处理包括删除APK包中的该病毒文件,并向用户发出存在病毒的提示;或者提示用户是否进行查杀删除等处理。
本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为匹配查找的文件特征来进行查找匹配,当满足条件时,即可认为该目标文件为病毒文件,即可进行后续的对该目标文件的病毒查杀等处理,实现方式简便、快捷,可在一定程度上提升病毒的查杀率,并提升了变种样本查杀率,较好地降低了病毒误报。
请参见图2,是本发明实施例的另一种针对文件包的病毒处理方法的流程示意图,本发明实施例的所述方法可以应用在智能手机、平板电脑、智能可穿戴设备等智能终端中,具体可以由终端中的处理器来执行。本发明实施例的所述方法包括如下步骤。
S201:获取所述文件包中目标文件的消息摘要标识,并将所述消息摘要标识发送给云服务器。所述的消息摘要标识主要包括目标文件的MD5码,所述云服务器主要是指能够进行消息摘要标识比对并得出比对结果的服务器,例如,杀毒应用服务器。
云服务器根据终端上的病毒应用上传的消息摘要标识,在预设的消息摘要标识数据库(例如包括大量已知病毒文件的消息摘要标识的病毒库)中进行标识查找。所述消息摘要标识数据库中可以包括第一数据库,用于记录各种已知病毒文件的消息摘要标识。所述消息摘要标识数据库中还包括第二数据库,用于记录各种已知的普通文件的消息摘要标识,例如各种已知的不是病毒文件的XML(ExteileMarkuLaguage,一种扩展性标识语言)文件的消息摘要标识。
在本发明实施例中,如果云服务器在所述第一数据库中找到与该上传的消息摘要标识一致的标识,则检测结果为满足摘要匹配条件,返回满足摘要匹配条件的检测结果。如果云服务器在第二数据库中找到与该上传的消息摘要标识一致的标识,则检测结果为不满足摘要匹配条件,则向上传消息摘要标识的终端返回不满足摘要匹配条件的检测结果,不满足摘要匹配条件表明:该上传的消息摘要对应的目标文件为普通文件,普通文件是指该文件不是病毒文件。
如果云服务器在整个消息摘要标识数据库中均未找到与该上传的消息摘要标识一致的标识,则不确定该上传的消息摘要标识是否满足摘要匹配条件,可以向终端返回无法确定是否为病毒文件的检测结果。
S202:如果所述云服务器返回的检测结果为满足摘要匹配条件,则确定所述目标文件为病毒文件。后续可以通过直接查杀的方式或者提示给用户选择的方式对所述目标文件进行处理。
S203:如果所述云服务器返回的检测结果为不满足摘要匹配条件,则确定所述目标文件为普通文件。确定所述目标文件为普通文件具体可以是指:该目标文件为安全的文件,不是病毒,在本发明实施例中,后续可以不需要针对该普通文件做任何处理。
S204:如果所述云服务器根据对所述消息摘要标识进行检测后返回的检测结果为无法确定是否为病毒文件,则触发执行所述调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征。如果云服务器返回的结果为无法确定,则需要进一步地调用终端中的杀毒应用以便于进行基于上述的文件路径、完整性标识等文件特征来对文件包中的目标文件进行检测比对以及相关处理。具体的,基于文件特征来确定文件包中的病毒文件请参见下述关于图3的实施例的详细描述。
下面针对文件路径、SHA1值来确定APK等文件包中的目标文件是否为病毒文件来进行详细说明。
请参见图3,是本发明实施例的关于是否满足匹配条件的判断方法流程示意图,本发明实施例的所述方法可以对应于上述的图1所对应实施例中的S102。具体的,所述方法包括如下步骤。
S301:调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征。在本发明实施例中,需要同时获取所述目标文件的文件路径和完整性标识,本发明实施例中完整性标识为SHA1值。如上述,在安卓系统中可以从该文件包的MANIFEST.MF文件中获取该文件包中所有文件的文件路径和SHA1值。
S302:检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配。检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配具体可以包括:判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否相同;或者,判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。其中的通配符可以通过符号“*”来表示,在本发明实施例中,所述通配符是一种特殊语句,用来实现模糊匹配查找以及检测比对,在目标文件的文件路径与病毒库中的路径信息进行比对时,可以使用该通配符来代替一个或多个真正字符,例如,在病毒库中记录了一个包括通配符“*”的文件路径为:assets/the*/a.dat,那么,文件包中的目标文件的路径特征只要包括了assets/the/a.dat,即可认为文件路径与所述病毒库中记录的包括通配符的路径信息相对应,该文件路径满足匹配条件,例如,文件路径为assets/theone/a.dat的目标文件与所述病毒库中记录的包括通配符的路径信息相对应,两者相匹配满足匹配条件。
另外,在文件包中的目标文件下,还可能存在多个子文件,为了确保对该目标文件进行是否为病毒文件的确认的准确性,可以将该目标文件中所有的子文件的文件路径均与病毒库中记录的路径信息进行匹配,如果都匹配上(例如:每一个子文件的文件路径在病毒库中都存在对应的路径信息与之相同,或者每一个子文件的文件路径在病毒库中都存在对应的包括通配符的路径信息与之对应),才会确认所述目标文件的路径信息与所述病毒库中记录的路径信息匹配。也就是说,具体的,所述文件特征中包括所述目标文件的多个子文件的文件路径,所述对文件特征中包括的所述目标文件的文件路径进行检测比对,具体包括:分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的路径信息相同;或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
S303:若检测结果为匹配,则进一步检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同。完整性标识具体为SHA1值,所述S303具体在病毒库中查找是否与所述SHA1值相同的完整性特征信息(也是一个已知的SHA1值),若是,则检测结果为相同。
S304:若检测结果为相同,则确定所述目标文件的文件特征满足匹配条件,确定所述目标文件为病毒文件。
本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为匹配查找的文件特征来进行查找匹配,实现方式简便、快捷,并且结合了云服务器进行MD5码等消息摘要标识并且引入了通配符进行匹配,更好地提升了病毒查杀的成功率,更好地提升了变种样本查杀率,降低了误报。
下面对本发明实施例的针对文件包的病毒处理装置以及智能终端进行详细描述。
请参见图4,是本发明实施例的一种针对文件包的病毒处理装置的结构组成示意图,本发明实施例的所述装置可以设置在智能手机、平板电脑、智能可穿戴设备等智能终端中,所述装置具体可以包括以下模块。
扫描模块401,用于调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征;
确定模块402,用于根据所述终端中预置的病毒库中的特征信息对所述确定的文件特征进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件;
处理模块403,用于按照病毒查杀规则对确定的所述病毒文件进行查杀处理;
其中,所述确定模块402在用于对所述确定的文件特征进行检测比对时,具体用于对所述文件特征中包括的所述目标文件的文件路径和/或所述目标文件的完整性标识进行检测比对。
进一步可选地,本发明实施例的所述确定模块402包括:
检测单元4021,用于在确定的所述文件特征包括所述目标文件的文件路径时,检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配;
确定单元4022,用于在所述检测单元4021的检测比对结果为相匹配时,则所述文件特征满足匹配条件,确定所述目标文件为病毒文件;
所述检测单元4021,在用于检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配时,具体用于判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否相同;或者,判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
进一步可选地,所述文件特征中包括所述目标文件的多个子文件的文件路径,在此情况下,所述检测单元4021,具体用于分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的路径信息相同;或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
进一步可选地,所述确定模块402的所述检测单元4021,还用在确定的所述文件特征包括所述目标文件的完整性标识时,检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同。所述确定模块4022,还用于在所述检测单元的检测比对结果为相同时,则所述文件特征满足匹配条件,确定所述目标文件为病毒文件。
进一步可选地,本发明实施例的所述装置的处理模块403,还用于获取所述文件包中目标文件的消息摘要标识,并将所述消息摘要标识发送给云服务器;如果所述云服务器根据对所述消息摘要标识进行检测后返回的检测结果为无法确定是否为病毒文件,则通知所述扫描模块401。
进一步可选地,所述处理模块403,还用于如果所述云服务器返回的检测结果为满足摘要匹配条件,则确定所述目标文件为病毒文件;如果所述云服务器返回的检测结果为不满足摘要匹配条件,则确定所述目标文件为普通文件。
本发明实施例中所述装置的各个模块的具体实现方式可参考图1至图3所对应的方法实施例中相关步骤的描述,在此不赘述。
本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为匹配查找的文件特征来进行查找匹配,实现方式简便、快捷,并且结合了云服务器进行MD5码等消息摘要标识并且引入了通配符进行匹配,更好地提升了病毒查杀的成功率,更好地提升了变种样本查杀率,降低了误报。
再请参见图5,是本发明实施例的一种智能终端的结构组成示意图,本发明实施例的所述智能终端可以是智能手机、平板电脑、智能可穿戴设备,该智能终端包括电源、通信接口、外壳等结构,还包括:处理器501、用户接口502、存储器503,所述处理器501、用户接口502以及存储器503之间通过总线504相连。
所述总线504可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述存储器503可以包括易失性存储器503(volatile memory),例如,随机存取存储器(random-access memory,RAM);存储器503也可以包括非易失性存储器(non-volatilememory),例如,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器503还可以包括上述种类的存储器的组合。
所述处理器501可以是中央处理器(central processing unit,CPU)。所述存储器503还用于存储操作系统以及针对文件包的病毒处理的应用。所述处理器501可以调用所述针对文件包的病毒处理的应用的程序指令,实现如本申请图1至3对应实施例中所示的针对文件包的病毒处理方法。
所述用户接口502包括触摸屏、物理按键等,用户可以通过用户接口502发起文件匹配查找或者病毒查杀的操作,以便于触发所述处理器执行本发明实施例的针对文件包的病毒处理方法。当然,所述处理器501也可以定期自动执行本发明实施例的所述针对文件包的病毒处理方法,或者所述处理器501也可以在接收到新的文件包时,例如用户新下载的APK包时,自动执行本发明实施例的所述针对文件包的病毒处理方法。
具体可选地,所述处理器501调用所述存储器503中的指令,用于调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征;根据所述终端中预置的病毒库中的特征信息对所述确定的文件特征进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件;按照病毒查杀规则对确定的所述病毒文件进行查杀处理;其中,对所述确定的文件特征进行检测比对至少包括:对所述文件特征中包括的所述目标文件的文件路径和/或所述目标文件的完整性标识进行检测比对。
具体可选地,所述处理器501,具体用于在确定的所述文件特征包括所述目标文件的文件路径时,检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配;在检测比对结果为相匹配时,则所述文件特征满足匹配条件,确定所述目标文件为病毒文件。
具体可选地,所述处理器501,在用于检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配时,具体用于判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否相同;或者,判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
具体可选地,所述文件特征中包括所述目标文件的多个子文件的文件路径,所述处理器501,具体用于分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的路径信息相同;或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
具体可选地,所述处理器501,具体用于在确定的所述文件特征包括所述目标文件的完整性标识时,检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同,在检测比对结果为相同时,则所述文件特征满足匹配条件,确定所述目标文件为病毒文件。
具体可选地,所述处理器501,还用于获取所述文件包中目标文件的消息摘要标识,并将所述消息摘要标识发送给云服务器;如果所述云服务器根据对所述消息摘要标识进行检测后返回的检测结果为无法确定是否为病毒文件,则触发执行所述对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征。
具体可选地,所述处理器501,还用于如果所述云服务器返回的检测结果为满足摘要匹配条件,则确定所述目标文件为病毒文件;如果所述云服务器返回的检测结果为不满足摘要匹配条件,则确定所述目标文件为普通文件。
本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为匹配查找的文件特征来进行查找匹配,实现方式简便、快捷,并且结合了云服务器进行MD5码等消息摘要标识并且引入了通配符进行匹配,更好地提升了病毒查杀的成功率,更好地提升了变种样本查杀率,降低了误报。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (10)
1.一种针对文件包的病毒处理方法,其特征在于,包括:
获取所述文件包中目标文件的消息摘要标识,并将所述消息摘要标识发送给云服务器;
如果所述云服务器根据对所述消息摘要标识进行检测后返回的检测结果为无法确定是否为病毒文件,则调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征,所述文件特征至少包括:所述目标文件的文件路径和所述目标文件的完整性标识,或者所述文件特征至少包括:所述目标文件的完整性标识;其中,所述文件包包括下载的应用安装包,所述目标文件的完整性标识保存在所述下载的应用安装包中的目录文件中,所述目录文件为预先配置在所述应用安装包中;
根据所述终端中预置的病毒库中的特征信息对所述文件特征进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件,所述对文件特征进行检测比对包括对所述确定的文件路径和完整性标识、或者对所述确定的完整性标识进行检测比对;
按照病毒查杀规则对确定的所述病毒文件进行查杀处理;
如果所述云服务器返回的检测结果为满足摘要匹配条件,则确定所述目标文件为病毒文件。
2.如权利要求1所述的方法,其特征在于,当确定的所述文件特征包括所述目标文件的文件路径时,对所述文件特征中包括的所述目标文件的文件路径进行检测比对,包括:
检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配;
若检测结果为匹配,则所述文件特征满足匹配条件;
其中,所述检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配,包括:
判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否相同;或者,判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
3.如权利要求2所述的方法,其特征在于,所述文件特征中包括所述目标文件的多个子文件的文件路径,所述对文件特征中包括的所述目标文件的文件路径进行检测比对,具体包括:
分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的路径信息相同;或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
4.如权利要求1所述的方法,其特征在于,当确定的所述文件特征包括所述目标文件的完整性标识时,对所述文件特征中包括的所述目标文件的完整性标识进行检测比对,包括:
检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同;
若相同,则所述文件特征满足匹配条件。
5.如权利要求1-4任一项所述的方法,其特征在于,还包括:
如果所述云服务器返回的检测结果为不满足摘要匹配条件,则确定所述目标文件为普通文件。
6.一种针对文件包的病毒处理装置,其特征在于,包括:
扫描模块,用于调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描,确定所述文件包中目标文件的文件特征,所述文件特征至少包括:所述目标文件的文件路径和所述目标文件的完整性标识,或者所述文件特征至少包括:所述目标文件的完整性标识;其中,所述文件包包括下载的应用安装包,所述目标文件的完整性标识保存在所述下载的应用安装包中的目录文件中,所述目录文件为预先配置在所述应用安装包中;
确定模块,用于根据所述终端中预置的病毒库中的特征信息对所述文件特征进行检测比对,在检测比对的结果为所述文件特征满足匹配条件时,则确定所述目标文件为病毒文件,所述对文件特征进行检测比对包括对所述确定的文件路径和完整性标识、或者对所述确定的完整性标识进行检测比对;
处理模块,用于按照病毒查杀规则对确定的所述病毒文件进行查杀处理;
所述处理模块,还用于获取所述文件包中目标文件的消息摘要标识,将所述消息摘要标识发送给云服务器;如果所述云服务器根据对所述消息摘要标识进行检测后返回的检测结果为无法确定是否为病毒文件,则通知所述扫描模块;
所述处理模块,还用于如果所述云服务器返回的检测结果为满足摘要匹配条件,则确定所述目标文件为病毒文件。
7.如权利要求6所述的装置,其特征在于,所述确定模块包括:
检测单元,用于在确定的所述文件特征包括所述目标文件的文件路径时,检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配;
确定单元,用于在所述检测单元的检测结果为相匹配时,则所述文件特征满足匹配条件,确定所述目标文件为病毒文件;
所述检测单元,在用于检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配时,具体用于判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否相同;或者,判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
8.如权利要求7所述的装置,其特征在于,所述文件特征中包括所述目标文件的多个子文件的文件路径,所述检测单元,具体用于分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的路径信息相同;或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
9.如权利要求6所述的装置,其特征在于,所述确定模块包括:
检测单元,用于在确定的所述文件特征包括所述目标文件的完整性标识时,检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同;
确定单元,用于在所述检测单元的检测结果为相同时,则所述文件特征满足匹配条件,确定所述目标文件为病毒文件。
10.如权利要求6-9任一项所述的装置,其特征在于,
所述处理模块,还用于如果所述云服务器返回的检测结果为不满足摘要匹配条件,则确定所述目标文件为普通文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610513150.1A CN106709341B (zh) | 2016-06-30 | 2016-06-30 | 一种针对文件包的病毒处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610513150.1A CN106709341B (zh) | 2016-06-30 | 2016-06-30 | 一种针对文件包的病毒处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106709341A CN106709341A (zh) | 2017-05-24 |
| CN106709341B true CN106709341B (zh) | 2019-01-29 |
Family
ID=58939751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610513150.1A Active CN106709341B (zh) | 2016-06-30 | 2016-06-30 | 一种针对文件包的病毒处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106709341B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109033831A (zh) * | 2018-06-22 | 2018-12-18 | 珠海市君天电子科技有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN108920949A (zh) * | 2018-06-27 | 2018-11-30 | 北京奇虎科技有限公司 | 一种自动查杀文件的方法及终端设备 |
| CN112100618B (zh) * | 2019-06-18 | 2023-12-29 | 深信服科技股份有限公司 | 一种病毒文件检测方法、系统、设备及计算机存储介质 |
| CN110826069B (zh) * | 2019-11-05 | 2022-09-30 | 深信服科技股份有限公司 | 一种病毒处理方法、装置、设备及存储介质 |
| CN110851832A (zh) * | 2019-11-12 | 2020-02-28 | 广东明创软件科技有限公司 | 病毒防误报方法、装置、终端设备以及存储介质 |
| CN111723372B (zh) * | 2020-06-22 | 2024-02-23 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置及计算机可读存储介质 |
| CN112272212B (zh) * | 2020-09-30 | 2022-07-12 | 新华三信息安全技术有限公司 | 一种文件传输方法及装置 |
| CN113032784B (zh) * | 2021-03-26 | 2023-07-21 | 安天科技集团股份有限公司 | 一种威胁处置方法、威胁处置工具和计算机可读介质 |
| CN113378161A (zh) * | 2021-06-23 | 2021-09-10 | 深信服科技股份有限公司 | 一种安全检测方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101359353A (zh) * | 2008-09-05 | 2009-02-04 | 成都市华为赛门铁克科技有限公司 | 一种文件保护方法及装置 |
| CN104715199A (zh) * | 2012-03-21 | 2015-06-17 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
| CN102999726B (zh) * | 2012-12-14 | 2015-07-01 | 北京奇虎科技有限公司 | 文件宏病毒免疫方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103514404A (zh) * | 2012-06-29 | 2014-01-15 | 网秦无限(北京)科技有限公司 | 安全检测方法和安全检测装置 |
-
2016
- 2016-06-30 CN CN201610513150.1A patent/CN106709341B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101359353A (zh) * | 2008-09-05 | 2009-02-04 | 成都市华为赛门铁克科技有限公司 | 一种文件保护方法及装置 |
| CN104715199A (zh) * | 2012-03-21 | 2015-06-17 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
| CN102999726B (zh) * | 2012-12-14 | 2015-07-01 | 北京奇虎科技有限公司 | 文件宏病毒免疫方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106709341A (zh) | 2017-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106709341B (zh) | 一种针对文件包的病毒处理方法及装置 | |
| EP2680624B1 (en) | Method, system and device for improving security of terminal when surfing internet | |
| US9824212B2 (en) | Method and system for recognizing advertisement plug-ins | |
| US20160241589A1 (en) | Method and apparatus for identifying malicious website | |
| CN102945348B (zh) | 文件信息收集方法与装置 | |
| CN112422484B (zh) | 确定用于处理安全事件的剧本的方法、装置及存储介质 | |
| CN104484599A (zh) | 一种基于应用程序的行为处理方法和装置 | |
| CN105988836B (zh) | 一种应用推荐方法及装置 | |
| CN102945349B (zh) | 未知文件处理方法与装置 | |
| US8892682B2 (en) | Download system, information processing terminal, management device, and method and program used therefor | |
| CN108319662A (zh) | 页面处理方法、装置、电子设备及可读存储介质 | |
| KR20130129184A (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
| CN111563015B (zh) | 数据监控方法及装置、计算机可读介质及终端设备 | |
| CN102970272A (zh) | 用于病毒检测的方法、装置和云服务器 | |
| KR102095853B1 (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
| KR101908944B1 (ko) | 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법 | |
| EP2998902B1 (en) | Method and apparatus for processing file | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| CN108182360B (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
| US9348999B2 (en) | User terminal, reliability management server, and method and program for preventing unauthorized remote operation | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| US9686310B2 (en) | Method and apparatus for repairing a file | |
| CN108667768A (zh) | 一种网络应用指纹的识别方法及装置 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| JP4227333B2 (ja) | 移動通信端末、情報送信システム及び情報受信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |