CN106934287A - 一种root病毒清理方法、装置及电子设备 - Google Patents

一种root病毒清理方法、装置及电子设备 Download PDF

Info

Publication number
CN106934287A
CN106934287A CN201511030949.7A CN201511030949A CN106934287A CN 106934287 A CN106934287 A CN 106934287A CN 201511030949 A CN201511030949 A CN 201511030949A CN 106934287 A CN106934287 A CN 106934287A
Authority
CN
China
Prior art keywords
virus
root authority
file
root
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201511030949.7A
Other languages
English (en)
Other versions
CN106934287B (zh
Inventor
袁国庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Internet Security Software Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201511030949.7A priority Critical patent/CN106934287B/zh
Priority to PCT/CN2016/112044 priority patent/WO2017114344A1/zh
Priority to US16/063,685 priority patent/US10783249B2/en
Publication of CN106934287A publication Critical patent/CN106934287A/zh
Application granted granted Critical
Publication of CN106934287B publication Critical patent/CN106934287B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种root病毒清理方法、装置及电子设备,应用于智能设备,所述智能设备从预设病毒库中获得符合特征的具有root权限病毒的病毒文件的存储路径信息;根据获得的所述病毒文件的存储路径信息,查找智能设备中是否存有所述病毒文件;根据查找到的病毒文件,获得具有root权限的进程;根据所述具有root权限的进程,按照预设的处置策略,清除所述具有root权限病毒。本发明实施例能够提高所述智能设备获取root权限的速度,进而提高了对具有root权限病毒的查杀速度。

Description

一种root病毒清理方法、装置及电子设备
技术领域
本发明涉及系统安全领域,特别涉及一种root病毒清理方法、装置及电子设备。
背景技术
Unix系统和类UNIX系统(如Linux系统、IOS系统)中,具有超级用户权限(即root权限)的超级用户,所述超级用户具有系统中所有的权限,如启动或停止一个进程,删除或增加用户,增加或者禁用硬件等等。随着病毒的发展,出现了具有root权限病毒。对于这类病毒,用户必须获取系统的root权限,才可以对具有root权限病毒进行查杀。
现有技术中,若要对具有root权限病毒进行查杀,智能设备会先检查是否能够直接获取系统的root权限,若能,则获取所述root权限。实际上,系统中设置有具有root权限的进程,获得到具有root权限的进程,就是获得了系统root权限。
若智能设备不能直接获取系统的root权限,则寻找系统可能存在的漏洞,联网获取针对该漏洞的获取系统root权限解决方案,下载并执行该解决方案,获取系统root权限,之后利用所获得的root权限对所述具有root权限病毒进行杀除。
可见,现有技术中,若智能设备不能够直接获取系统的root权限,则需要遍历各种可能的系统漏洞,进行对应获取root权限解决方案的尝试,导致获取系统root权限的速度较慢,进而对具有root权限病毒的查杀速度也较慢。
发明内容
本发明实施例的目的在于提供一种root病毒清理方法、装置及电子设备,以提高获取系统root权限的速度,进而提高对具有root权限病毒的查杀速度。
为达到上述目的,本发明实施例公开了一种root病毒清理方法,应用于智能设备,所述方法包括步骤:
扫描智能设备,查找智能设备中具有root权限的病毒文件;
根据所述病毒文件,获得具有root权限的清理进程;
根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
较佳的,所述扫描智能设备,查找智能设备中具有root权限的病毒文件,包括:
从预设病毒库中获得所述具有root权限病毒的病毒文件的存储路径信息;
根据获得的所述病毒文件的存储路径信息,查找到智能设备中具有root权限的病毒文件。
较佳的,所述根据所述病毒文件,获得具有root权限的清理进程,包括:
若所述病毒文件为记录有获取root权限的方案可执行文件,则执行所述病毒文件,得到获取root权限的方案,根据所述获取root权限的方案,获得具有root权限的清理进程;若所述病毒文件为切换超级用户文件,则执行所述切换超级用户文件,获得具有root权限的清理进程。
较佳的,所述执行所述病毒文件,得到获取root权限的方案,根据所述获取root权限的方案,获得具有root权限的进程,包括:
执行所述病毒文件,得到入侵进程,以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞,利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零,得到具有root权限的进程;
所述执行所述切换超级用户文件,获得具有root权限的进程,包括:
执行所述病毒文件,生成具有root权限的切换超级用户进程,以使使用当前智能设备的用户具有与所述具有root权限病毒相同的root权限。
较佳的,所述按照预设的处置策略,清除所述具有root权限病毒,包括:
根据在预设的病毒库中保存的具有root权限病毒特征,遍历所述智能设备所有文件,确定所有具有root权限病毒特征的文件;
关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程;
将系统启动项恢复为具有root权限病毒入侵前的状态;
删除所述检测到的所有具有root权限病毒特征的文件。
较佳的,所述关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程,包括:
根据所述检测到的具有root权限病毒特征的文件的文件名,确定每个所述具有root权限病毒特征的文件所对应的进程标识;
调用进程关闭指令,关闭每个所述进程标识所对应的进程。
较佳的,所述将系统启动项恢复为具有root权限病毒入侵前的状态,包括:
确定所述所有具有root权限病毒特征的文件的存储路径,并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒特征的文件的存储路径信息,若是,则调用预设的路径删除指令,将所述具有root权限病毒特征的文件的存储路径信息从所述恢复安装列表中删除,或者
判断系统中的每个系统启动时默认执行的可执行文件中,是否有具有root权限病毒特征的文件,若有,则删除该文件,并恢复与被删除文件对应的原始文件。
较佳的,所述删除所述检测到的所有具有root权限病毒特征的文件,包括:
在所述具有root权限病毒特征的文件的属性信息表中查找到拒绝删除的属性信息,并删除所述属性信息;
调用文件删除指令,删除所述具有root权限病毒特征的文件。
较佳的,所述方法还包括:
关闭所述具有root权限的清理进程。
本发明实施例开公开了一种root病毒清理装置,应用于智能设备,所述装置包括:
扫描模块,用于扫描智能设备,查找智能设备中具有root权限的病毒文件;
清理进程获取模块,用于根据所述病毒文件,获得具有root权限的清理进程;
清除病毒模块,用于根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
较佳的,所述扫描模块,包括:
路径获取子模块,用于从预设病毒库中获得所述具有root权限病毒的病毒文件的存储路径信息;
病毒查找子模块,用于根据获得的所述病毒文件的存储路径信息,查找到智能设备中具有root权限的病毒文件。
较佳的,所述清理进程获取模块,具体用于:
若所述病毒文件为记录有获取root权限的方案可执行文件,则执行所述病毒文件,得到获取root权限的方案,根据所述获取root权限的方案,获得具有root权限的清理进程;若所述病毒文件为切换超级用户文件,则执行所述切换超级用户文件,获得具有root权限的清理进程。
较佳的,所述清理进程获取模块,具体用于:
执行所述病毒文件,得到入侵进程,以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞,利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零,得到具有root权限的进程;或者
执行所述病毒文件,生成具有root权限的切换超级用户进程,以使使用当前智能设备的用户具有与所述具有root权限病毒相同的root权限。
较佳的,所述清除病毒模块,包括:
病毒确定子模块,用于根据在预设的病毒库中保存的具有root权限病毒特征,遍历所述智能设备所有文件,确定所有具有root权限病毒特征的文件;
进程关闭子模块,用于关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程;
启动项恢复子模块,用于将系统启动项恢复为具有root权限病毒入侵前的状态;
文件删除子模块,用于删除所述检测到的所有具有root权限病毒特征的文件。
较佳的,所述进程关闭子模块,具体用于:
根据所述检测到的具有root权限病毒特征的文件的文件名,确定每个所述具有root权限病毒特征的文件所对应的进程标识;
调用进程关闭指令,关闭每个所述进程标识所对应的进程。
较佳的,所述启动项恢复子模块,具体用于:
确定所述所有具有root权限病毒特征的文件的存储路径,并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒特征的文件的存储路径信息,若是,则调用预设的路径删除指令,将所述具有root权限病毒特征的文件的存储路径信息从所述恢复安装列表中删除,或者
判断系统中的每个系统启动时默认执行的可执行文件中,是否有具有root权限病毒特征的文件,若有,则删除该文件,并恢复与被删除文件对应的原始文件。
较佳的,所述文件删除子模块,具体用于:
在所述具有root权限病毒特征的文件的属性信息表中查找到拒绝删除的属性信息,并删除所述属性信息;
调用文件删除指令,删除所述具有root权限病毒特征的文件。
较佳的,所述装置还包括:
关闭root进程模块,用于关闭所述具有root权限的清理进程。
本发明实施例还开公开了一种电子设备,所述电子设备包括:
处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于:
扫描智能设备,查找智能设备中具有root权限的病毒文件;
根据所述病毒文件,获得具有root权限的清理进程;
根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
由上述的技术方案可见,本发明实施例提供了一种root病毒清理方法、装置及电子设备,应用于智能设备,所述智能设备扫描智能设备,查找智能设备中具有root权限的病毒文件;根据所述病毒文件,获得具有root权限的清理进程;根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。本发明实施例中获取root权限的方法,是利用了具有root权限病毒获取root权限的方法来获取root权限的。由于本发明实施例是根据查找到的病毒文件直接获得具有root权限的进程,因此能够提高所述智能设备获取root权限的速度,进而提高了对具有root权限病毒的查杀速度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种root病毒清理方法的流程示意图;
图2为本发明实施例二提供的一种root病毒清理方法的流程示意图;
图3为本发明实施例三提供的一种root病毒清理方法的流程示意图;
图4为本发明实施提供的一种root病毒清理装置的结构示意图;
图5为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面通过具体实施例,对本发明进行详细说明。
图1为本发明实施例一提供的一种root病毒清理方法的流程示意图,所述方法应用于智能设备,该方法可以包括步骤:
S101:扫描智能设备,查找智能设备中具有root权限的病毒文件。
所述智能设备中保存有具有root权限的病毒文件的存储路径信息。实际上对于某个具有root权限的病毒文件,其存储路径在任何智能设备中是一样的。实际应用中,所述具有root权限的病毒文件可以是该病毒的病毒文件,本步骤可以从预设病毒库中获得所述具有root权限病毒的病毒文件的存储路径信息;根据获得的所述病毒文件的存储路径信息,查找到智能设备中具有root权限的病毒文件。从存储在本地的预设病毒库中获得所述存储路径信息。也可以从保存有预设病毒库的服务器中下载获得所述存储路径信息。
S102:根据所述病毒文件,获得具有root权限的清理进程。
实际中,所述病毒文件可能有两种,第一种为记录有获取root权限的方案可执行文件,其中记载着该病毒获取当前智能设备root权限方案(该方案可以写在脚本文件中);第二种为所述具有root权限病毒生成的切换用户(Switch User,SU)文件。
因此,本步骤可以有两种实现方式:
若所述病毒文件为记录有获取root权限的方案可执行文件,则执行该文件。这相当于执行了一个预先编辑好的脚本文件,能够重复之前该病毒获取root权限的步骤,得到入侵进程,所述入侵进程可以按照所述具有root权限病毒获取root权限的方法,触发对应的系统漏洞,利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识GIU和UID进行置零,GIU和UID被置零的进程在计算机操作系统中就是具有了root权限的进程。
若所述病毒文件为所述具有root权限病毒生成的SU文件,则执行所述SU文件,得到具有root权限的进程。
在现有技术中,SU文件的作用为:任何执行SU文件的用户都可以拥有生成该SU文件的用户的权限,这是因为执行SU文件时,会生成具有生成所述SU文件的用户的权限的进程,执行所述SU文件的用户可通过该进程执行生成所述SU文件的用户才有权限执行的命令,即可以认为执行所述SU文件的用户拥有了生成该SU文件的用户的权限。SU文件的生成和SU文件作用的实施都为现有技术,本发明不再赘述。
S103:根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
由于本发明实施例利用了具有root权限病毒获取root权限的方法,直接获得了具有root权限的进程,因此,提高了智能设备获取root权限的速度,进而提高了对具有root权限病毒的查杀速度。
当所述智能设备获得了所述清理进程之后,为了彻底对所述具有root权限病毒进行删除,还需确定所有具有root权限病毒的特征量的文件,关闭所述具有root权限病毒的特征量的文件所开启的进程,去除所述具有root权限病毒的特征量的文件的自启动能力,删除具有所述具有root权限病毒的特征量的文件,基于图1所示的方法,步骤S103中所述按照预设处置策略,清除所述具有root权限的病毒文件,可以包括:
根据在预设的病毒库中保存的具有root权限病毒的特征量,遍历所述智能设备所有文件,确定所有具有root权限病毒的特征量的文件;
关闭所述具有root权限病毒的特征量的文件所开启的进程;
修改系统启动项,去除所述具有root权限病毒的特征量的文件的自启动能力;
删除具有root权限病毒的特征量的文件。
图2为本发明实施例二提供的一种root病毒清理方法的流程示意图,应用于智能设备,该方法可以包括如下步骤:
S201:扫描智能设备,查找智能设备中具有root权限的病毒文件。
S202:根据所述病毒文件,获得具有root权限的清理进程。
S203:根据在预设的病毒库中保存的具有root权限病毒特征,遍历所述智能设备所有文件,确定所有具有root权限病毒特征的文件。
根据在预设的病毒库中保存的具有root权限病毒的特征量,遍历所述智能设备所有文件,确定所有具有所述具有root权限病毒的特征量的文件,例如某具有root权限病毒所释放的文件,其文件名都会有一个特定的后缀,则预设的病毒库中可以保存该特定的后缀作为该病毒的特征量,则所述智能设备可以遍历自身所有文件,将具有所述特定后缀的文件作为具有root权限病毒的特征量的文件。
S204:关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程。
根据所述所有具有root权限病毒的特征量的文件的文件名,确定每个所述具有root权限病毒的特征量的文件所对应的进程标识;
调用进程关闭指令,关闭每个所述进程标识所对应的进程。
例如,根据指令ps|grep filename,获得所述具有root权限病毒的特征量的文件所对应的进程标识;再调用进程关闭指令,关闭每个所述进程标识所对应的进程,例如,调用指令kill-9pid,关闭每个所述进程标识所对应的进程,其中pid为所述进程标识。
S205:将系统启动项恢复为具有root权限病毒入侵前的状态。
可以确定所述所有具有root权限病毒的特征量的文件的存储路径,并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒的特征量的文件的存储路径信息,若是,则调用预设的路径删除指令,将所述具有root权限病毒的特征量的文件的存储路径信息从所述恢复安装列表中删除。
所述恢复安装列表是现有技术中记载有开机启动项的列表,凡是在所述恢复安装列表中记录的地址下的可执行文件,都会在系统重启时自启动,所以在该表中删除了所述具有root权限病毒的特征量的文件的地址,就能够阻止该病毒的开机自启动。
判断系统中的每个系统启动时默认执行的可执行文件中,是否有具有所述具有root权限病毒的特征量的文件,若有,则删除该文件,并恢复与被删除文件对应的原始文件。
系统在每次启动时会默认启动一些可执行文件,病毒会将具有root权限病毒的特征量的文件伪装成所述系统默认启动的可执行文件,如路径/system/bin/下的文件debuggerd是系统在每次启动时会默认启动的可执行文件,则病毒会将具有root权限病毒的特征量的文件也命名为debuggerd,并也存储在路径/system/bin/下,而该病毒将所述路径下的原始的文件debuggerd更名为debuggerd_xxx,当系统启动时,系统仍然会默认启动路径/system/bin/下名称为debuggerd的文件,即默认启动了具有root权限病毒的特征量的文件。对于相同的病毒,其更改默认执行的可执行文件文件名的规则是特定的,例如,在默认执行的可执行文件文件名后添加后缀“_xxx”。
为了应对病毒的这个自启策略,可以判断系统中的每个系统启动时默认执行的可执行文件中是否有具有root权限病毒的特征量的文件,若有,则将该文件删除,并根据病毒更改默认执行的可执行文件文件名的规则,恢复与被删除文件对应的原始文件,进而排除了病毒开机启动的一种途径。
S206:删除所述检测到的所有具有root权限病毒特征的文件。
在所述具有root权限病毒的特征量的文件的属性信息表中查找到拒绝删除的属性信息,并删除所述属性信息。可以调用预设的获取文件属性表的指令,获得该具有root权限病毒的特征量的文件的文件属性表,并检查该文件属性表中是否存在拒绝自身文件被删除的属性信息,若存在,则调用预设的属性删除指令删除该属性信息。
例如:对得到的具有root权限病毒的特征量的文件使用指令lsattr filename,获得该文件属性信息表,检查所述属性信息表中的每条所述属性信息中是否包含“-ia”字段,若包含,则说明该文件不可以被删除,则可以使用chattr–ia filename指令删除该条属性信息,进而使得所述具有root权限病毒的特征量的文件能够被删除。
调用文件删除指令,删除所述具有root权限病毒的特征量的文件。
当所述具有root权限病毒的特征量的文件中的拒绝自身文件被删除的属性被删除之后,就可以使用现有技术的文件删除指令,对该文件进行删除,也可以对所述具有root权限病毒的特征量的文件所在的目录进行删除。例如使用rmfilename[文件名]对所述具有root权限病毒的特征量的文件进行删除,使用rm–rfdir[文件所在的目录]对所述具有root权限病毒的特征量的文件所在的目录进行删除。
本发明实施例关闭所述具有root权限病毒的特征量的文件所开启的进程,去除所述具有root权限病毒的特征量的文件的自启动能力,删除具有所述具有root权限病毒的特征量的文件,能够对所述具有root权限病毒的特征量的文件进行彻底删除。
由于其它程序也有可能使用所述具有root权限的清理进程对所述智能设备进行root权限的操作,使所述智能设备处于易被入侵的状态,为了消除这种情况,在杀除所述具有root权限病毒之后,还可以关闭所述具有root权限的清理进程。基于图1所示的方法,该方法还可以包括:
关闭所述具有root权限的进程。
图3为本发明实施例三提供的一种root病毒清理方法的流程示意图,应用于智能设备,该方法可以包括如下步骤:
S301:扫描智能设备,查找智能设备中具有root权限的病毒文件。
S302:根据所述病毒文件,获得具有root权限的清理进程。
S303:根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件;
S304:关闭所述具有root权限的清理进程。
图4为本发明实施例一提供的一种获取超级用户root权限装置的结构示意图,应用于智能设备,所述装置可以包括:
扫描模块401,用于扫描智能设备,查找智能设备中具有root权限的病毒文件;
清理进程获取模块402,用于根据所述病毒文件,获得具有root权限的清理进程;
清除病毒模块403,用于根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
进一步地,所述扫描模块401,可以包括:
路径获取子模块(图中未示出),用于从预设病毒库中获得所述具有root权限病毒的病毒文件的存储路径信息;
病毒查找子模块(图中未示出),用于根据获得的所述病毒文件的存储路径信息,查找到智能设备中具有root权限的病毒文件。
进一步地,所述清理进程获取模块402,具体用于:
若所述病毒文件为记录有获取root权限的方案可执行文件,则执行所述病毒文件,得到获取root权限的方案,根据所述获取root权限的方案,获得具有root权限的清理进程;若所述病毒文件为切换超级用户文件,则执行所述切换超级用户文件,获得具有root权限的清理进程。
进一步地,所述清理进程获取模块402,具体用于:
执行所述病毒文件,得到入侵进程,以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞,利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零,得到具有root权限的进程;或者
执行所述病毒文件,生成具有root权限的切换超级用户进程,以使使用当前智能设备的用户具有与所述具有root权限病毒相同的root权限。
进一步地,所述清除病毒模块403,包括:
病毒确定子模块(图中未示出),用于根据在预设的病毒库中保存的具有root权限病毒特征,遍历所述智能设备所有文件,确定所有具有root权限病毒特征的文件;
进程关闭子模块(图中未示出),用于关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程;
启动项恢复子模块(图中未示出),用于将系统启动项恢复为具有root权限病毒入侵前的状态;
文件删除子模块(图中未示出),用于删除所述检测到的所有具有root权限病毒特征的文件。
进一步地,所述进程关闭子模块,具体用于:
根据所述检测到的具有root权限病毒特征的文件的文件名,确定每个所述具有root权限病毒特征的文件所对应的进程标识;
调用进程关闭指令,关闭每个所述进程标识所对应的进程。
进一步地,所述启动项恢复子模块,具体用于:
确定所述所有具有root权限病毒特征的文件的存储路径,并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒特征的文件的存储路径信息,若是,则调用预设的路径删除指令,将所述具有root权限病毒特征的文件的存储路径信息从所述恢复安装列表中删除,或者
判断系统中的每个系统启动时默认执行的可执行文件中,是否有具有root权限病毒特征的文件,若有,则删除该文件,并恢复与被删除文件对应的原始文件。
进一步地,所述文件删除子模块,具体用于:
在所述具有root权限病毒特征的文件的属性信息表中查找到拒绝删除的属性信息,并删除所述属性信息;
调用文件删除指令,删除所述具有root权限病毒特征的文件。
进一步地,所述装置还包括:
关闭root进程模块(图中未示出),用于关闭所述具有root权限的清理进程。
本发明实施例提供了一种root病毒清理方法及装置,应用于智能设备,所述智能设备扫描智能设备,查找智能设备中具有root权限的病毒文件;根据所述病毒文件,获得具有root权限的清理进程;根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。本发明实施例中获取root权限的方法,是利用了具有root权限病毒获取root权限的方法来获取root权限的。由于本发明实施例是根据查找到的病毒文件直接获得具有root权限的进程,因此能够提高所述智能设备获取root权限的速度,进而提高了对具有root权限病毒的查杀速度。
图5为本发明实施例提供的一种电子设备结构示意图,所述电子设备包括:
处理器501、存储器502、通信接口503和总线;
所述处理器501、所述存储器502和所述通信接口503通过所述总线连接并完成相互间的通信;
所述存储器502存储可执行程序代码;
所述处理器501通过读取所述存储器502中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于:
扫描智能设备,查找智能设备中具有root权限的病毒文件;
根据所述病毒文件,获得具有root权限的清理进程;
根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种root病毒清理方法,其特征在于,应用于智能设备,所述方法包括步骤:
扫描智能设备,查找智能设备中具有root权限的病毒文件;
根据所述病毒文件,获得具有root权限的清理进程;
根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
2.根据权利要求1所述的方法,其特征在于,所述扫描智能设备,查找智能设备中具有root权限的病毒文件,包括:
从预设病毒库中获得所述具有root权限病毒的病毒文件的存储路径信息;
根据获得的所述病毒文件的存储路径信息,查找到智能设备中具有root权限的病毒文件。
3.根据权利要求1所述的方法,其特征在于,所述根据所述病毒文件,获得具有root权限的清理进程,包括:
若所述病毒文件为记录有获取root权限的方案可执行文件,则执行所述病毒文件,得到获取root权限的方案,根据所述获取root权限的方案,获得具有root权限的清理进程;若所述病毒文件为切换超级用户文件,则执行所述切换超级用户文件,获得具有root权限的清理进程。
4.根据权利要求3所述的方法,其特征在于,所述执行所述病毒文件,得到获取root权限的方案,根据所述获取root权限的方案,获得具有root权限的进程,包括:
执行所述病毒文件,得到入侵进程,以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞,利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零,得到具有root权限的进程;
所述执行所述切换超级用户文件,获得具有root权限的进程,包括:
执行所述病毒文件,生成具有root权限的切换超级用户进程,以使使用当前智能设备的用户具有与所述具有root权限病毒相同的root权限。
5.根据权利要求1所述的方法,其特征在于,所述按照预设的处置策略,清除所述具有root权限病毒,包括:
根据在预设的病毒库中保存的具有root权限病毒特征,遍历所述智能设备所有文件,确定所有具有root权限病毒特征的文件;
关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程;
将系统启动项恢复为具有root权限病毒入侵前的状态;
删除所述检测到的所有具有root权限病毒特征的文件。
6.根据权利要求5所述的方法,其特征在于,所述关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程,包括:
根据所述检测到的具有root权限病毒特征的文件的文件名,确定每个所述具有root权限病毒特征的文件所对应的进程标识;
调用进程关闭指令,关闭每个所述进程标识所对应的进程。
7.根据权利要求5所述的方法,其特征在于,所述将系统启动项恢复为具有root权限病毒入侵前的状态,包括:
确定所述所有具有root权限病毒特征的文件的存储路径,并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒特征的文件的存储路径信息,若是,则调用预设的路径删除指令,将所述具有root权限病毒特征的文件的存储路径信息从所述恢复安装列表中删除,或者
判断系统中的每个系统启动时默认执行的可执行文件中,是否有具有root权限病毒特征的文件,若有,则删除该文件,并恢复与被删除文件对应的原始文件。
8.根据权利要求5所述的方法,其特征在于,所述删除所述检测到的所有具有root权限病毒特征的文件,包括:
在所述具有root权限病毒特征的文件的属性信息表中查找到拒绝删除的属性信息,并删除所述属性信息;
调用文件删除指令,删除所述具有root权限病毒特征的文件。
9.一种root病毒清理装置,其特征在于,应用于智能设备,所述装置包括:
扫描模块,用于扫描智能设备,查找智能设备中具有root权限的病毒文件;
清理进程获取模块,用于根据所述病毒文件,获得具有root权限的清理进程;
清除病毒模块,用于根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
10.一种电子设备,其特征在于,所述电子设备包括:
处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于:
扫描智能设备,查找智能设备中具有root权限的病毒文件;
根据所述病毒文件,获得具有root权限的清理进程;
根据所述具有root权限的清理进程,按照预设处置策略,清除所述具有root权限的病毒文件。
CN201511030949.7A 2015-12-31 2015-12-31 一种root病毒清理方法、装置及电子设备 Active CN106934287B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201511030949.7A CN106934287B (zh) 2015-12-31 2015-12-31 一种root病毒清理方法、装置及电子设备
PCT/CN2016/112044 WO2017114344A1 (zh) 2015-12-31 2016-12-26 一种root病毒清理方法、装置及电子设备
US16/063,685 US10783249B2 (en) 2015-12-31 2016-12-26 Root virus removal method and apparatus, and electronic device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511030949.7A CN106934287B (zh) 2015-12-31 2015-12-31 一种root病毒清理方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN106934287A true CN106934287A (zh) 2017-07-07
CN106934287B CN106934287B (zh) 2020-02-11

Family

ID=59225909

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511030949.7A Active CN106934287B (zh) 2015-12-31 2015-12-31 一种root病毒清理方法、装置及电子设备

Country Status (3)

Country Link
US (1) US10783249B2 (zh)
CN (1) CN106934287B (zh)
WO (1) WO2017114344A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111625841A (zh) * 2020-07-29 2020-09-04 杭州海康威视数字技术股份有限公司 一种病毒处理方法、装置及设备
CN114692151A (zh) * 2022-04-08 2022-07-01 成都理工大学 一种u盘病毒的发现方法及其应用工具

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110047618A1 (en) * 2006-10-18 2011-02-24 University Of Virginia Patent Foundation Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
CN102663286A (zh) * 2012-03-21 2012-09-12 奇智软件(北京)有限公司 一种病毒apk的识别方法及装置
CN102694801A (zh) * 2012-05-21 2012-09-26 华为技术有限公司 病毒检测方法、装置以及防火墙设备
CN104008340A (zh) * 2014-06-09 2014-08-27 北京奇虎科技有限公司 病毒查杀方法及装置
CN105095764A (zh) * 2015-09-17 2015-11-25 百度在线网络技术(北京)有限公司 病毒的查杀方法及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7841006B2 (en) * 2005-10-05 2010-11-23 Computer Associates Think, Inc. Discovery of kernel rootkits by detecting hidden information
US7814140B2 (en) * 2008-06-19 2010-10-12 Unisys Corporation Method of monitoring and administrating distributed applications using access large information checking engine (ALICE)
CN102799801A (zh) 2011-05-27 2012-11-28 网秦无限(北京)科技有限公司 利用移动存储器查杀移动设备病毒的方法和系统
US9736121B2 (en) 2012-07-16 2017-08-15 Owl Cyber Defense Solutions, Llc File manifest filter for unidirectional transfer of files
WO2014087597A1 (ja) * 2012-12-07 2014-06-12 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
CN104424403B (zh) 2013-08-30 2018-07-03 联想(北京)有限公司 一种信息处理方法及电子设备
US9323929B2 (en) * 2013-11-26 2016-04-26 Qualcomm Incorporated Pre-identifying probable malicious rootkit behavior using behavioral contracts
CN104809403A (zh) 2014-01-24 2015-07-29 红板凳科技股份有限公司 一种防Root的白屏方法
CN104376256B (zh) 2014-12-02 2017-04-05 北京奇虎科技有限公司 应用程序进程孵化控制方法及装置
CN104573515A (zh) * 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110047618A1 (en) * 2006-10-18 2011-02-24 University Of Virginia Patent Foundation Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
CN102663286A (zh) * 2012-03-21 2012-09-12 奇智软件(北京)有限公司 一种病毒apk的识别方法及装置
CN102694801A (zh) * 2012-05-21 2012-09-26 华为技术有限公司 病毒检测方法、装置以及防火墙设备
CN104008340A (zh) * 2014-06-09 2014-08-27 北京奇虎科技有限公司 病毒查杀方法及装置
CN105095764A (zh) * 2015-09-17 2015-11-25 百度在线网络技术(北京)有限公司 病毒的查杀方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111625841A (zh) * 2020-07-29 2020-09-04 杭州海康威视数字技术股份有限公司 一种病毒处理方法、装置及设备
CN111625841B (zh) * 2020-07-29 2020-10-30 杭州海康威视数字技术股份有限公司 一种病毒处理方法、装置及设备
CN114692151A (zh) * 2022-04-08 2022-07-01 成都理工大学 一种u盘病毒的发现方法及其应用工具

Also Published As

Publication number Publication date
US10783249B2 (en) 2020-09-22
WO2017114344A1 (zh) 2017-07-06
CN106934287B (zh) 2020-02-11
US20190266329A1 (en) 2019-08-29

Similar Documents

Publication Publication Date Title
CN109583193B (zh) 目标攻击的云检测、调查以及消除的系统和方法
CN109684832B (zh) 检测恶意文件的系统和方法
US8479276B1 (en) Malware detection using risk analysis based on file system and network activity
US20070244877A1 (en) Tracking methods for computer-readable files
CN105956468B (zh) 一种基于文件访问动态监控的Android恶意应用检测方法及系统
Qbeitah et al. Dynamic malware analysis of phishing emails
Shan et al. Safe side effects commitment for OS-level virtualization
Kaur et al. Automatic attack signature generation systems: A review
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
Agrawal et al. A survey on android malware and their detection techniques
WO2018017498A1 (en) Inferential exploit attempt detection
CN106934287A (zh) 一种root病毒清理方法、装置及电子设备
CN106934288A (zh) 一种root病毒清理方法、装置及电子设备
Galib et al. A systematic review on hybrid analysis using machine learning for Android malware detection
Yin et al. Privacy-breaching behavior analysis
KR102446645B1 (ko) 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 장치
Hreirati et al. An adaptive dataset for the evaluation of android malware detection techniques
Dewanjee Intrusion Filtration System (IFS)-mapping network security in new way
Salazar et al. Classification and update proposal for modern computer worms, based on obfuscation
Agrawal A comparative analysis of open source automated malware tools
Chen et al. Research on Digital Forensics Framework for Malicious Behavior in Cloud
Painter et al. Comparative analysis of android malware detection techniques
Jha et al. Understanding The Terminology Used In Malware Analysis
Wael et al. Malware incident handling and analysis workflow
Liu et al. NAS Honeypot Technology Based on Attack Chain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant