CN109033831A - 一种病毒检测方法、装置、电子设备及存储介质 - Google Patents
一种病毒检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN109033831A CN109033831A CN201810649496.3A CN201810649496A CN109033831A CN 109033831 A CN109033831 A CN 109033831A CN 201810649496 A CN201810649496 A CN 201810649496A CN 109033831 A CN109033831 A CN 109033831A
- Authority
- CN
- China
- Prior art keywords
- macrodoce
- file destination
- file
- virus
- trust state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种病毒检测方法、装置、电子设备及介质,包括:首先当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;接着确定所述宏代码是否与病毒特征库中的病毒特征相匹配;其次当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;然后接收所述服务器发送的所述信任状态;最后根据所述信任状态,确定所述目标文件的安全性。采用本发明实施例,可以提高病毒检测的有效性、保护用户隐私。
Description
技术领域
本发明涉及计算机应用技术领域,尤其涉及一种病毒检测方法、装置、电子设备及存储介质。
背景技术
宏作为Office软件的一个重要扩展功能,可以帮助用户完成枯燥的、频繁的重复性工作,从而有效提升用户体验。然而,正因为宏所具备的强大功能,病毒常常以宏的形式寄生于文档中,在文档传阅的过程中,病毒得到运行的机会,病毒运行对用户的文档、用户终端(如电脑)的操作系统造成破坏。
目前,针对宏代码的病毒检测方法主要有本地特征库匹配,其中,首先抽取宏代码;然后将宏代码与本地特征库中的病毒特征进行匹配,当匹配到病毒特征时,确定该宏代码为病毒代码。然而,因为每增加一种新的宏病毒,特征库都需要通过制作新特征库、发布、客户端升级更新特征库以及重新加载新特征库等一系列流程,因此本地特征库匹配的方法存在明显的滞后性,无法快速响应新的病毒变种,导致病毒检测的有效性低。
发明内容
本发明实施例提供一种病毒检测方法、装置、电子设备及存储介质。可以提高病毒检测的有效性、保护用户隐私。
本发明第一方面提供了一种病毒检测方法,包括:
当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;
确定所述宏代码是否与病毒特征库中的病毒特征相匹配;
当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;
接收所述服务器发送的所述信任状态;
根据所述信任状态,确定所述目标文件的安全性。
其中,所述安全校验信息包括所述宏代码的信息摘要值。
其中,所述根据所述信任状态,确定所述目标文件的安全性包括:
当所述信任状态为病毒状态时,确定所述目标文件为病毒文件;或
当所述信任状态为安全状态时,确定所述目标文件为安全文件。
其中,所述根据所述信任状态,确定所述目标文件的安全性之后,还包括:
当所述目标文件为所述病毒文件时,将所述目标文件标记为标记文件,所述标记文件用于提示用户处理所述目标文件。
其中,所述确定所述目标文件为病毒文件之后,还包括:
显示提示信息,所述提示信息用于提示用户确认是否对所述目标文件进行杀毒处理;
接收用户针对所述提示信息输入的确认指令;
根据所述确认指令,对所述目标文件进行杀毒处理。
其中,所述获取所述目标文件中的宏代码之前,还包括:
确定所述目标文件的文件格式是否为预设文件格式;
当所述文件格式为所述预设文件格式时,执行所述获取所述目标文件中的宏代码的操作。
其中,所述获取所述目标文件中的宏代码包括:
获取所述目标文件中的宏代码标识;
根据所述宏代码标识,提取所述目标文件中的代码段作为所述宏代码。
相应地,本发明第二方面提供了一种病毒检测装置,包括:
获取模块,用于当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;
确定模块,用于确定所述宏代码是否与病毒特征库中的病毒特征相匹配;
发送模块,用于当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;
接收模块,用于接收所述服务器发送的所述信任状态;
所述确定模块,还用于根据所述信任状态,确定所述目标文件的安全性。
其中,所述安全校验信息包括所述宏代码的信息摘要值。
其中,所述确定模块还用于:
当所述信任状态为病毒状态时,确定所述目标文件为病毒文件;或
当所述信任状态为安全状态时,确定所述目标文件为安全文件。
其中,所述确定模块还用于:
当所述目标文件为所述病毒文件时,将所述目标文件标记为标记文件,所述标记文件用于提示用户处理所述目标文件。
其中,所述确定模块还用于:
当所述目标文件为所述病毒文件时,显示提示信息,所述提示信息用于提示用户确认是否对所述目标文件进行杀毒处理;
接收用户针对所述提示信息输入的确认指令;
根据所述确认指令,对所述目标文件进行杀毒处理。
其中,所述确定模块还用于:
确定所述目标文件的文件格式是否为预设文件格式;
当所述文件格式为所述预设文件格式时,执行所述获取所述目标文件中的宏代码的操作。
其中,所述获取模块还用于:
获取所述目标文件中的宏代码标识;
根据所述宏代码标识,提取所述目标文件中的代码段作为所述宏代码。
相应地,本发明实施例提供了一种存储介质,其中,所述存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例第一方面公开的一种病毒检测方法。
相应地,本发明实施例提供了一种应用程序,其中,所述应用程序用于在运行时执行本发明实施例第一方面公开的一种病毒检测方法。
实施本发明实施例,首先当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;接着确定所述宏代码是否与病毒特征库中的病毒特征相匹配;接着当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;其次接收所述服务器发送的所述信任状态;最后根据所述信任状态,确定所述目标文件的安全性。通过安全校验信息确定宏代码是否为病毒代码,不仅可以弥补病毒特征库匹配检测的滞后性、提高病毒检测的有效性,而且还可以保护用户隐私。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种病毒检测方法的流程示意图;
图2是本发明实施例提供的一种标记文件的示意图;
图3是本发明实施例提供的一种提示信息的示意图;
图4是本发明实施例提供的另一种病毒检测方法的流程示意图;
图5是本发明实施例提供的一种病毒检测装置的结构示意图;
图6是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1是本发明实施例提供的一种病毒检测方法的流程示意图。如图所示,本发明实施例中的方法包括:
S101,当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码。
具体实现中,为了实现批量处理一些重复性的编辑工作、提高文件编辑效率,在目标文件中经常出现除文件内容之外的功能性的代码段,该功能性的代码段就是宏代码。通常目标文件可以被划分成多个代码段,并且每个代码段具有各自的标识信息,该标识信息可以包括代码段的属性和所占的存储空间的大小等信息,其中,宏代码所在的代码段具有宏代码标识。因此,可以首先获取所述目标文件中的宏代码标识;然后根据所述宏代码标识,提取所述目标文件中的代码段作为所述宏代码,其中,可以首先在目标文件中搜索宏代码标识,确定该目标文件中是否包含宏代码,若搜索到标识信息与宏代码标识相同的代码段,则确定该目标文件中包含宏代码,并提取该标识信息与宏代码标识相同的代码段作为宏代码。
S102,确定所述宏代码是否与病毒特征库中的病毒特征相匹配。若否,则执行S103,若是,则确定目标文件为病毒文件,并不再执行下述操作步骤。
具体实现中,病毒特征库中包含至少一项病毒特征,病毒特征可以为病毒代码片段、包含病毒代码片段的代码块以及包含病毒代码片段的代码块的大小(如:10KB)中的至少一种。其中,可以将宏代码与病毒特征库中包含的病毒特征逐一进行匹配,确定所述宏代码是否与病毒特征库中的病毒特征相匹配。
例如:如表1所示,病毒特征库中包含三个病毒代码片段“5f00560042014011-3f152617”,“45d3d1000000f0f6a2004d16”和“220001010100003e776df890”。宏代码为“4a00450052004f0045d3d1000000f0f6a2004d1657006f00470002006d00”,则首先将“5f005600420140113f152617”与宏代码进行匹配,确定宏代码中不包含该病毒代码片段,从而确定“5f005600420140113f152617”与宏代码不匹配;接着将“45d3d1000000f0f6a2004d16”与宏代码进行匹配,确定宏代码中包含该病毒代码片段,从而确定“45d3d1000000f0f6a2004d16”与宏代码相匹配。
表1.病毒特征库
| 病毒代码片段 |
| 5f005600420140113f152617 |
| 45d3d1000000f0f6 a2004d16 |
| 220001010100003e776df890 |
S103,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于所述服务器确定所述宏代码的信任状态。
具体实现中,所述安全校验信息可以包括宏代码的信息摘要值,其中,信息摘要值可以为一个长度固定的字符串,针对某个文件可以计算出唯一的信息摘要值,并且当该文件的内容被修改后,修改后的文件的信息摘要值相比于原文件的信息摘要值也将发生变化。其中,可以首先利用信息摘要算法计算宏代码的信息摘要值,例如,利用信息摘要算法第五版(Message Digest Algorithm 5,MD5)计算宏代码的MD5值作为该宏代码的信息摘要值。此外,可以用于计算信息摘要值的算法还可以包括安全散列算法(Secure HashAlgorithm,SHA)、RACE原始完整性校验信息摘要算法(RACE Integrity PrimitivesEvaluation Message Digest,RIPEMD)以及Haval算法等等;然后向服务器发送宏代码的安全校验信息,服务器接收到该安全校验信息后,从映射表中查找与该安全校验信息对应的信任状态,并将该信任状态确定为宏代码的信任状态,其中,映射表中包括安全校验信息与信任状态的对应关系。
例如:首先利用MD5算法计算得到宏代码的MD5值为38b8c2c1093dd0fec3-83a9d9ac940515;接着将该MD5值发送给服务器;然后服务器从映射表中查找该MD5值对应的信任状态,如表2所示,映射表中包括4个MD5值,其中,d41d8cd98f00b204e9800998ecf8427e对应的信任状态为安全状态、d41d8cd98f-00b204e9800998ecf8427e对应的信任状态为安全状态、bg78gftreds456dre0987-vhy651mog67对应的信任状态为病毒状态、38b8c2c1093dd0fec383a9d9ac940515对应的信任状态为病毒状态以及koi89gudy67w21d609vhd7s8d7htr620的信任状态为安全状态,因此服务器从映射表中查找到该宏代码的MD5值对应的信任状态为病毒状态,从而确定该宏代码的信任状态为病毒状态。
表2.映射表
| MD5值 | 信任状态 |
| d41d8cd98f00b204e9800998ecf8427e | 安全 |
| bg78gftreds456dre0987vhy651mog67 | 病毒 |
| 38b8c2c1093dd0fec383a9d9ac940515 | 病毒 |
| koi89gudy67w21d609vhd7s8d7htr620 | 安全 |
需要说明的是,服务器可以捕获全网的包含宏代码的文件,并检测捕获到的每个文件中的宏代码是病毒代码还是正常代码,接着计算宏代码的信息摘要值,然后将确定为病毒代码的宏代码的信息摘要值对应的信任状态确定为病毒状态、将确定为正常代码的宏代码的信息摘要值对应的信任状态确定为安全状态,最后可以生成和表2类似的映射表以供查询。服务器可以将生成的映射表存储于云端,并实时或定时更新该映射表以克服病毒特征库匹配检测的滞后性、提高检测的有效性。其中,由于几乎不存在同一个信息摘要值对应两个不同的文件的情况,因此当服务器接收到的信息摘要值与映射表中的信息摘要值相同时,可以确定它们对应的是相同的宏代码,信息摘要值对应的信任状态必然相同。此外,上述检测过程仅提取了宏代码进行检测,并未涉及文件内容,从而有效保护了用户的隐私。
S104,接收所述服务器发送的所述信任状态。
S105,根据所述信任状态,确定所述目标文件的安全性。
具体实现中,可以当所述信任状态为病毒状态时,确定目标文件中的宏代码为病毒代码,从而确定所述目标文件为病毒文件;当所述信任状态为安全状态时,可以确定宏代码为正常代码,从而确定所述目标文件为安全文件。
可选的,当所述目标文件为病毒文件时,将所述病毒文件标记为标记文件,所述标记文件用于提示用户处理所述目标文件。
例如:如图2所示,电脑桌面上同时包括了4个doc格式的文件tes1.doc、test2.doc、test3.doc和test4.doc,当确定文件test2.doc为病毒文件后,将test2.doc进行标记,使test2.doc区别于的其他三个doc格式的文件,以便于用户迅速区分该病毒文件。
可选的,可以当所述目标文件为所述病毒文件时,首先显示提示信息,所述提示信息用于提示用户确认是否对所述目标文件进行杀毒处理;接着接收用户针对所述提示信息输入的确认指令;然后根据所述确认指令对所述目标文件进行杀毒处理。
例如:如图3所示,当确定文件test2.doc为病毒文件时,显示提示信息“是否对文件test2.doc进行杀毒处理?”,然后若检测到用户点击“确认”按键,则跳转到该用户终端中的杀毒软件中对test2.doc进行杀毒,若检测到用户点击“放弃”按键,则不执行针对test2.doc的杀毒操作。
在本发明实施例中,首先当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;接着确定所述宏代码是否与病毒特征库中的病毒特征相匹配;接着当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;其次接收所述服务器发送的所述信任状态;最后根据所述信任状态,确定所述目标文件的安全性。通过安全校验信息确定宏代码是否为病毒代码,不仅可以弥补病毒特征库匹配检测的滞后性、提高病毒检测的有效性,而且还可以保护用户隐私。
请参考图4,图4是本发明实施例提供的另一种病毒检测方法的流程示意图。如图所示,本发明实施例中的方法包括:
S401,当检测到针对目标文件的病毒检测指令时,确定所述目标文件的文件格式是否为预设文件格式。若是,则执行S402,若否,则终止于本步骤,并不再执行下述操作步骤。
具体实现中,预设文件格式可以包括一种或多种文件格式,比如:doc、ppt和xlsx等等。首先确定目标文件的文件格式,其中,可以通过目标文件的文件头确定该目标文件的文件格式,例如,doc格式的文件头为d0cf11e0a1b1a1e1;然后将该文件格式与每个预设文件格式进行匹配,当该文件格式与其中一个预设文件格式相同时,确定该文件格式为预设文件格式。
S402,当所述文件格式为所述预设文件格式时,获取所述目标文件中的宏代码。本步骤中获取宏代码的实现方式与上一实施例中的步骤S101相同,本步骤不再赘述。
S403,确定所述宏代码是否与病毒特征库中的病毒特征相匹配。若匹配,则确定目标文件为病毒文件;若不匹配,则执行S404。本步骤与上一实施例中的步骤S102相同,本步骤不再赘述。
S404,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态。本步骤与上一实施例中的步骤S013相同,本步骤不再赘述。
S405,接收所述服务器发送的所述信任状态。
S406,根据所述信任状态,确定所述目标文件的安全性。本步骤与上一实施例中的步骤S104相同,本步骤不再赘述。
在本发明实施例中,首先当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;接着确定所述宏代码是否与病毒特征库中的病毒特征相匹配;接着当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;其次接收所述服务器发送的所述信任状态;最后根据所述信任状态,确定所述目标文件的安全性。通过安全校验信息确定宏代码是否为病毒代码,不仅可以弥补病毒特征库匹配检测的滞后性、提高病毒检测的有效性,而且还可以保护用户隐私。
请参考图5,图5是本发明实施例提供的一种病毒检测装置的结构示意图。如图所示,本发明实施例包括:
获取模块501,用于当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码。
具体实现中,为了实现批量处理一些重复性的编辑工作、提高文件编辑效率,在目标文件中经常出现除文件内容之外的功能性的代码段,该功能性的代码段即是宏代码。通常目标文件可以被划分成多个代码段,并且每个代码段具有各自的标识信息,该标识信息可以包括代码段的属性和所占的存储空间的大小等信息,其中,宏代码所在的代码段具有宏代码标识。因此,可以首先获取所述目标文件中的宏代码标识;然后根据所述宏代码标识,提取所述目标文件中的代码段作为所述宏代码,其中,可以首先在目标文件中搜索宏代码标识,确定该目标文件中是否包含宏代码,若搜索到标识信息与宏代码标识相同的代码段,则确定该目标文件中包含宏代码,并提取该标识信息与宏代码标识相同的代码段作为宏代码。
确定模块502,用于确定所述宏代码是否与病毒特征库中的病毒特征相匹配。若否,则触发发送模块503的操作,若是,则确定目标文件为病毒文件,并不再执行下述操作步骤。
具体实现中,病毒特征库中包含一项或多项病毒特征,病毒特征可以为病毒代码片段、包含病毒代码片段的代码块以及包含病毒代码片段的代码块的大小(如:10KB)中的至少一种。其中,可以将宏代码与病毒特征库中包含的病毒特征逐一进行匹配,确定所述宏代码是否与病毒特征库中的病毒特征相匹配。
可选的,确定模块502还用于在获取目标文件中的宏代码之前,确定所述目标文件的文件格式是否为预设文件格式。若是,则执行获取目标文件中的宏代码的操作,若否,则终止于本步骤,并不再执行下述操作步骤。具体的,预设文件格式可以包括一种或多种文件格式,比如:doc、ppt和xlsx等等。首先确定目标文件的文件格式,其中,可以通过目标文件的文件头确定该目标文件的文件格式,例如,doc格式的文件头为d0cf11e0a1b1a1e1;然后将该文件格式与每个预设文件格式进行匹配,当该文件格式与其中一个预设文件格式相同时,确定该文件格式为预设文件格式。
发送模块503,用于向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于所述服务器确定所述宏代码的信任状态。
具体实现中,所述安全校验信息可以包括宏代码的信息摘要值,其中,信息摘要值可以为一个长度固定的字符串,针对某个文件可以计算出唯一的信息摘要值,并且当该文件的内容被修改后,修改后的文件的信息摘要值相比于原文件的信息摘要值也将发生变化。其中,可以首先利用信息摘要算法计算宏代码的信息摘要值,例如,利用信息摘要算法第五版(Message Digest Algorithm 5,MD5)计算宏代码的MD5值作为该宏代码的信息摘要值。此外,可以用于计算信息摘要值的算法还可以包括安全散列算法(Secure HashAlgorithm,SHA)、RACE原始完整性校验信息摘要算法(RACE Integrity PrimitivesEvaluation Message Digest,RIPEMD)以及Haval算法等等;然后向服务器发送宏代码的安全校验信息,服务器接收到该安全校验信息后,从映射表中查找与该安全校验信息对应的信任状态,并将该信任状态确定为宏代码的信任状态,其中,映射表中包括安全校验信息与信任状态的对应关系。
需要说明的是,服务器可以捕获全网的包含宏代码的文件,并检测捕获到的每个文件中的宏代码是病毒代码还是正常代码,接着计算宏代码的信息摘要值,然后将确定为病毒代码的宏代码的信息摘要值对应的信任状态确定为病毒状态、将确定为正常代码的宏代码的信息摘要值对应的信任状态确定为安全状态,最后可以生成如表2所述的映射表以供查询,服务器可以将生成的映射表存储于云端,并实时或定时更新该映射表以克服病毒特征库匹配检测的滞后性、提高检测的有效性。其中,由于几乎不存在同一个信息摘要值对应两个不同的文件的情况,因此当服务器接收到的信息摘要值与映射表中的信息摘要值相同时,可以确定它们对应的是相同的宏代码,信息摘要值对应的信任状态必然相同。此外,上述检测过程仅提取了宏代码进行检测,并未涉及文件内容,从而有效保护了用户的隐私。
接收模块504,用于接收所述服务器发送的所述信任状态。
可选的,确定模块502还用于根据所述信任状态,确定所述目标文件的安全性。
具体实现中,可以当所述信任状态为病毒状态时,确定目标文件中的宏代码为病毒代码,从而确定所述目标文件为病毒文件;当所述信任状态为安全状态时,可以确定宏代码不为病毒代码,从而确定所述目标文件为安全文件。
可选的,当所述目标文件为病毒文件时,将所述病毒文件标记为标记文件,所述标记文件用于提示用户处理所述目标文件。
例如:如图2所示,电脑桌面上同时包括了4个doc格式的文件tes1.doc、test2.doc、test3.doc和test4.doc,当确定文件test2.doc为病毒文件后,将test2.doc进行标记,使test2.doc区别于的其他三个doc格式的文件,以便于用户迅速区分该病毒文件。
可选的,可以当所述目标文件为所述病毒文件时,首先显示提示信息,所述提示信息用于提示用户确认是否对所述目标文件进行杀毒处理;接着接收用户针对所述提示信息输入的确认指令;然后根据所述确认指令对所述目标文件进行杀毒处理。
在本发明实施例中,首先当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;接着确定所述宏代码是否与病毒特征库中的病毒特征相匹配;接着当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;其次接收所述服务器发送的所述信任状态;最后根据所述信任状态,确定所述目标文件的安全性。通过安全校验信息确定宏代码是否为病毒代码,不仅可以弥补病毒特征库匹配检测的滞后性、提高病毒检测的有效性,而且还可以保护用户隐私。
请参考图6,图6是本发明实施例提出的一种电子设备的结构示意图。如图所示,该电子设备可以包括:至少一个处理器601,例如CPU,至少一个通信接口602,至少一个存储器603,至少一个总线604。其中,总线604用于实现这些组件之间的连接通信。其中,本发明实施例中电子设备的通信接口602是有线发送端口,也可以为无线设备,例如包括天线装置,用于与其他节点设备进行信令或数据的通信。存储器603可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器603可选的还可以是至少一个位于远离前述处理器601的存储装置。存储器603中存储一组程序代码,且处理器601用于调用存储器中存储的程序代码,用于执行以下操作:
当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;
确定所述宏代码是否与病毒特征库中的病毒特征相匹配;
当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;
接收所述服务器发送的所述信任状态;
根据所述信任状态,确定所述目标文件的安全性。
其中,处理器601还用于执行如下操作步骤:
当所述信任状态为病毒状态时,确定所述目标文件为病毒文件;或
当所述信任状态为安全状态时,确定所述目标文件为安全文件。
其中,处理器601还用于执行如下操作步骤:
当所述目标文件为所述病毒文件时,将所述目标文件标记为标记文件,所述标记文件用于提示用户处理所述目标文件。
其中,处理器601还用于执行如下操作步骤:
当所述目标文件为所述病毒文件时,显示提示信息,所述提示信息用于提示用户确认是否对所述目标文件进行杀毒处理;
接收用户针对所述提示信息输入的确认指令;
根据所述确认指令,对所述目标文件进行杀毒处理。
其中,处理器601还用于执行如下操作步骤:
确定所述目标文件的文件格式是否为预设文件格式;
当所述文件格式为所述预设文件格式时,执行所述获取所述目标文件中的宏代码的操作。
其中,处理器601还用于执行如下操作步骤:
获取所述目标文件中的宏代码标识;
根据所述宏代码标识,提取所述目标文件中的代码段作为所述宏代码。
需要说明的是,本发明实施例同时也提供了一种存储介质,该存储介质用于存储应用程序,该应用程序用于在运行时执行图1和图2所示的一种病毒检测方法中电子设备执行的操作。
需要说明的是,本发明实施例同时也提供了一种应用程序,该应用程序用于在运行时执行图1和图2所示的一种病毒检测方法中电子设备执行的操作。
需要说明的是,对于前述的各个方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某一些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取器(英文:Random Access Memory,简称:RAM)、磁盘或光盘等。
以上对本发明实施例所提供的内容下载方法及相关设备、系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种病毒检测方法,其特征在于,所述方法应用于电子设备,所述方法包括:
当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;
确定所述宏代码是否与病毒特征库中的病毒特征相匹配;
当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;
接收所述服务器发送的所述信任状态;
根据所述信任状态,确定所述目标文件的安全性。
2.如权利要求1所述的方法,其特征在于,所述安全校验信息包括所述宏代码的信息摘要值。
3.如权利要求1或2所述的方法,其特征在于,所述根据所述信任状态,确定所述目标文件的安全性包括:
当所述信任状态为病毒状态时,确定所述目标文件为病毒文件;或
当所述信任状态为安全状态时,确定所述目标文件为安全文件。
4.如权利要求3所述的方法,其特征在于,所述根据所述信任状态,确定所述目标文件的安全性之后,还包括:
当所述目标文件为所述病毒文件时,将所述目标文件标记为标记文件,所述标记文件用于提示用户处理所述目标文件。
5.如权利要求3所述的方法,其特征在于,所述根据所述信任状态,确定所述目标文件的安全性之后,还包括:
当所述目标文件为所述病毒文件时,显示提示信息,所述提示信息用于提示用户确认是否对所述目标文件进行杀毒处理;
接收用户针对所述提示信息输入的确认指令;
根据所述确认指令,对所述目标文件进行杀毒处理。
6.如权利要求1所述的方法,其特征在于,所述获取所述目标文件中的宏代码之前,还包括:
确定所述目标文件的文件格式是否为预设文件格式;
当所述文件格式为所述预设文件格式时,执行所述获取所述目标文件中的宏代码的操作。
7.如权利要求1-6任一项所述的方法,其特征在于,所述获取所述目标文件中的宏代码包括:
获取所述目标文件中的宏代码标识;
根据所述宏代码标识,提取所述目标文件中的代码段作为所述宏代码。
8.一种病毒检测装置,其特征在于,所述装置包括:
获取模块,用于当检测到针对目标文件的病毒检测指令时,获取所述目标文件中的宏代码;
确定模块,用于确定所述宏代码是否与病毒特征库中的病毒特征相匹配;
发送模块,用于当所述宏代码不与所述病毒特征相匹配时,向服务器发送所述宏代码的安全校验信息,所述安全校验信息用于指示所述服务器确定所述宏代码的信任状态;
接收模块,用于接收所述服务器发送的所述信任状态;
所述确定模块,还用于根据所述信任状态,确定所述目标文件的安全性。
9.一种电子设备,其特征在于,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行如权利要求1-7任一项所述的病毒检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于由处理器加载并执行如权利要求1-7任一项所述的病毒检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810649496.3A CN109033831A (zh) | 2018-06-22 | 2018-06-22 | 一种病毒检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810649496.3A CN109033831A (zh) | 2018-06-22 | 2018-06-22 | 一种病毒检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109033831A true CN109033831A (zh) | 2018-12-18 |
Family
ID=64610273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810649496.3A Pending CN109033831A (zh) | 2018-06-22 | 2018-06-22 | 一种病毒检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109033831A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110532768A (zh) * | 2019-08-21 | 2019-12-03 | 东软医疗系统股份有限公司 | 系统安全加固方法及装置 |
| CN112580045A (zh) * | 2020-12-11 | 2021-03-30 | 杭州安恒信息技术股份有限公司 | 一种基于宏加密的恶意文档的检测方法、装置和介质 |
| CN118378298A (zh) * | 2024-05-09 | 2024-07-23 | 广东烟草汕头市有限责任公司 | 一种基于大数据的档案文件安全可视化分析方法及系统 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6697950B1 (en) * | 1999-12-22 | 2004-02-24 | Networks Associates Technology, Inc. | Method and apparatus for detecting a macro computer virus using static analysis |
| US20080256636A1 (en) * | 2007-04-13 | 2008-10-16 | Computer Associates Think, Inc. | Method and System for Detecting Malware Using a Remote Server |
| CN102841999A (zh) * | 2012-07-16 | 2012-12-26 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
| CN102904874A (zh) * | 2012-08-23 | 2013-01-30 | 珠海市君天电子科技有限公司 | 一种跨服务器进行数据有效性校验的方法 |
| CN103150504A (zh) * | 2013-01-23 | 2013-06-12 | 北京奇虎科技有限公司 | 检测和清除计算机宏病毒的方法和装置 |
| CN103152356A (zh) * | 2013-03-20 | 2013-06-12 | 北京奇虎科技有限公司 | 检测文件样本安全性的方法、服务器和系统 |
| US8488488B1 (en) * | 2007-02-22 | 2013-07-16 | Cisco Technology, Inc. | Mitigating threats in a network |
| CN103246847A (zh) * | 2013-05-13 | 2013-08-14 | 腾讯科技(深圳)有限公司 | 一种宏病毒查杀的方法和装置 |
| CN103500309A (zh) * | 2013-09-26 | 2014-01-08 | 北京奇虎科技有限公司 | 一种宏病毒查杀的方法和装置 |
| CN103997490A (zh) * | 2014-05-12 | 2014-08-20 | 北京奇虎科技有限公司 | 未知文件样本安全性鉴定的方法及装置 |
| CN106709341A (zh) * | 2016-06-30 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种针对文件包的病毒处理方法及装置 |
| CN107025407A (zh) * | 2017-03-22 | 2017-08-08 | 国家计算机网络与信息安全管理中心 | 一种office文档文件的恶意代码检测方法及系统 |
-
2018
- 2018-06-22 CN CN201810649496.3A patent/CN109033831A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6697950B1 (en) * | 1999-12-22 | 2004-02-24 | Networks Associates Technology, Inc. | Method and apparatus for detecting a macro computer virus using static analysis |
| US8488488B1 (en) * | 2007-02-22 | 2013-07-16 | Cisco Technology, Inc. | Mitigating threats in a network |
| US20080256636A1 (en) * | 2007-04-13 | 2008-10-16 | Computer Associates Think, Inc. | Method and System for Detecting Malware Using a Remote Server |
| CN102841999A (zh) * | 2012-07-16 | 2012-12-26 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
| CN102904874A (zh) * | 2012-08-23 | 2013-01-30 | 珠海市君天电子科技有限公司 | 一种跨服务器进行数据有效性校验的方法 |
| CN103150504A (zh) * | 2013-01-23 | 2013-06-12 | 北京奇虎科技有限公司 | 检测和清除计算机宏病毒的方法和装置 |
| CN103152356A (zh) * | 2013-03-20 | 2013-06-12 | 北京奇虎科技有限公司 | 检测文件样本安全性的方法、服务器和系统 |
| CN103246847A (zh) * | 2013-05-13 | 2013-08-14 | 腾讯科技(深圳)有限公司 | 一种宏病毒查杀的方法和装置 |
| CN103500309A (zh) * | 2013-09-26 | 2014-01-08 | 北京奇虎科技有限公司 | 一种宏病毒查杀的方法和装置 |
| CN103997490A (zh) * | 2014-05-12 | 2014-08-20 | 北京奇虎科技有限公司 | 未知文件样本安全性鉴定的方法及装置 |
| CN106709341A (zh) * | 2016-06-30 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种针对文件包的病毒处理方法及装置 |
| CN107025407A (zh) * | 2017-03-22 | 2017-08-08 | 国家计算机网络与信息安全管理中心 | 一种office文档文件的恶意代码检测方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110532768A (zh) * | 2019-08-21 | 2019-12-03 | 东软医疗系统股份有限公司 | 系统安全加固方法及装置 |
| CN112580045A (zh) * | 2020-12-11 | 2021-03-30 | 杭州安恒信息技术股份有限公司 | 一种基于宏加密的恶意文档的检测方法、装置和介质 |
| CN118378298A (zh) * | 2024-05-09 | 2024-07-23 | 广东烟草汕头市有限责任公司 | 一种基于大数据的档案文件安全可视化分析方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
| US10789118B2 (en) | Information processing device and error detection method | |
| JP5572763B2 (ja) | ウェブサイトスキャン装置及びその方法 | |
| US20230342403A1 (en) | Method and system for document similarity analysis | |
| JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| US20120311709A1 (en) | Automatic management system for group and mutant information of malicious codes | |
| CN104680064A (zh) | 利用文件指纹来优化文件的病毒扫描的方法和系统 | |
| CN111506608B (zh) | 一种结构化文本的比较方法和装置 | |
| EP3079091B1 (en) | Method and device for virus identification, nonvolatile storage medium, and device | |
| CN111259282B (zh) | Url去重方法、装置、电子设备及计算机可读存储介质 | |
| CN106021085B (zh) | 一种性能测试方法、装置及数据服务器 | |
| CN109033831A (zh) | 一种病毒检测方法、装置、电子设备及存储介质 | |
| CN110704721A (zh) | 客户端数据处理方法、装置、终端设备及可读存储介质 | |
| JP6523799B2 (ja) | 情報分析システム、情報分析方法 | |
| CN109376553A (zh) | 网站后台图片资源完整性的验证方法和系统 | |
| JP5983333B2 (ja) | 検索処理方法、データ生成方法及び情報処理装置 | |
| US9398041B2 (en) | Identifying stored vulnerabilities in a web service | |
| US20210157802A1 (en) | Consistent structured data hash value generation across formats and platforms | |
| CN107251015B (zh) | 高效地检测用户证书 | |
| US20190377722A1 (en) | Array structures | |
| CN109347948A (zh) | 一种基于区块链技术的大数据防篡改方法及系统 | |
| WO2020194449A1 (ja) | 警告装置、制御方法、及びプログラム | |
| EP3506145B1 (en) | Data integrity protection method and device | |
| WO2020174565A1 (ja) | 情報処理装置、情報処理方法、及びコンピュータ可読媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191126 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181218 |
|
| RJ01 | Rejection of invention patent application after publication |