CN110826069A - 一种病毒处理方法、装置、设备及存储介质 - Google Patents
一种病毒处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110826069A CN110826069A CN201911071411.9A CN201911071411A CN110826069A CN 110826069 A CN110826069 A CN 110826069A CN 201911071411 A CN201911071411 A CN 201911071411A CN 110826069 A CN110826069 A CN 110826069A
- Authority
- CN
- China
- Prior art keywords
- virus
- configuration file
- target
- processing
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种病毒处理方法,该方法包括:对目标病毒的病毒样本进行分析,获得病毒样本的恶意行为;确定针对目标病毒的处理规则;生成目标病毒对应的配置文件,以基于目标病毒对应的配置文件,执行病毒处理脚本。利用目标病毒对应的配置文件可以及时检测到目标病毒,并实现对目标病毒的彻底清除。本发明还公开了一种病毒处理方法,该方法包括:在管理文件中添加目标病毒对应的配置文件的标识;将目标病毒对应的配置文件和更新后的管理文件分发给各终端,以使各终端基于待使用的配置文件执行病毒处理脚本。使得各终端快速获得新型病毒的查杀能力,快速进行病毒清除。本发明还公开了一种病毒处理装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本发明涉及计算机应用技术领域,特别是涉及一种病毒处理方法、装置、设备及存储介质。
背景技术
随着计算机技术的快速发展,计算机网络在各行业的应用越来越广泛,计算机病毒逐渐增多。常见的如计算机流行病毒(Computer epidemic virus,CEV),这是一种难以彻底清除且容易在终端大量感染的病毒。终端感染流行病毒后,不仅病毒文件会写入到磁盘,还可能创建一系列计划任务、注册表等。对于写入到磁盘的病毒文件,安全软件通过文件扫描等方式可以检测到进而可以对其进行清除处理,但是如果该病毒在终端中创建计划任务,定时下载并执行病毒文件,则检测引擎在再次查杀时仍然能够检测到病毒文件,导致该病毒无法被彻底清除。
综上,如何进行病毒处理,实现对病毒的彻底清除,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种病毒处理方法、装置、设备及存储介质,以实现对病毒的彻底清除。
为解决上述技术问题,本发明提供如下技术方案:
一种病毒处理方法,包括:
获得目标病毒对应的配置文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的;
在管理文件中添加所述目标病毒对应的配置文件的标识;
将所述目标病毒对应的配置文件和更新后的所述管理文件分发给各终端,以使各所述终端根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于所述待使用的配置文件执行病毒处理脚本。
在本发明的一种具体实施方式中,通过以下步骤确定针对所述目标病毒的处理规则:
获得目标病毒的病毒样本;
对所述病毒样本进行分析,获得所述病毒样本的恶意行为;
基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则。
在本发明的一种具体实施方式中,所述处理规则包括检测规则,所述基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则,包括:
在所述病毒样本的恶意行为中,提取所述病毒样本的关键行为;
基于所述病毒样本的关键行为,确定所述目标病毒的所述检测规则;所述检测规则为:如果监测到待检测文件的动态行为包括所述病毒样本的关键行为,则确定所述待检测文件为所述目标病毒的病毒文件。
在本发明的一种具体实施方式中,所述处理规则还包括处置规则,在所述获得所述病毒样本的恶意行为之后,还包括:
确定针对所述病毒样本的每个恶意行为的处置方式;
基于确定的处置方式,确定所述目标病毒的所述处置规则,所述处置规则为:在检测到所述目标病毒后,针对所述目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
在本发明的一种具体实施方式中,还包括:
确定所述病毒处理脚本被执行时所需的应用程序编程接口;
将所述应用程序编程接口分发给各所述终端,以使各所述终端在执行所述病毒处理脚本时调用。
一种病毒处理方法,包括:
获得目标病毒对应的配置文件和更新后的管理文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的,更新后的所述管理文件中包含所述目标病毒对应的配置文件的标识;
根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件;
基于所述待使用的配置文件,执行病毒处理脚本。
在本发明的一种具体实施方式中,所述基于所述待使用的配置文件,执行病毒处理脚本,包括:
针对确定的待使用的每个配置文件,基于该配置文件,执行病毒处理脚本包括的检测脚本,确定是否检测到该配置文件对应的病毒;
如果检测到,则根据该配置文件,执行所述病毒处理脚本包括的处置脚本,对该配置文件对应的病毒的每个恶意行为进行处置。
一种病毒处理方法,包括:
获得目标病毒的病毒样本;
对所述病毒样本进行分析,获得所述病毒样本的恶意行为;
基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则;
根据所述处理规则生成所述目标病毒对应的配置文件,以基于所述目标病毒对应的配置文件,执行病毒处理脚本。
在本发明的一种具体实施方式中,所述处理规则包括检测规则,所述基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则,包括:
在所述病毒样本的恶意行为中,提取所述病毒样本的关键行为;
基于所述病毒样本的关键行为,确定所述目标病毒的所述检测规则;所述检测规则为:如果监测到待检测文件的动态行为包括所述病毒样本的关键行为,则确定所述待检测文件为所述目标病毒的病毒文件。
在本发明的一种具体实施方式中,所述处理规则还包括处置规则,在所述获得所述病毒样本的恶意行为之后,还包括:
确定针对所述病毒样本的每个恶意行为的处置方式;
基于确定的处置方式,确定所述目标病毒的所述处置规则,所述处置规则为:在检测到所述目标病毒后,针对所述目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
一种病毒处理装置,包括:
配置文件获得模块,用于获得目标病毒对应的配置文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的;
管理文件更新模块,用于在管理文件中添加所述目标病毒对应的配置文件的标识;
文件分发模块,用于将所述目标病毒对应的配置文件和更新后的所述管理文件分发给各终端,以使各所述终端根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于所述待使用的配置文件执行病毒处理脚本。
一种病毒处理装置,包括:
文件获得模块,用于获得目标病毒对应的配置文件和更新后的管理文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的,更新后的所述管理文件中包含所述目标病毒对应的配置文件的标识;
配置文件确定模块,用于根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件;
病毒处理脚本执行模块,用于基于所述待使用的配置文件,执行病毒处理脚本。
一种病毒处理装置,包括:
病毒样本获得模块,用于获得目标病毒的病毒样本;
恶意行为获得模块,用于对所述病毒样本进行分析,获得所述病毒样本的恶意行为;
处理规则确定模块,用于基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则;
配置文件生成模块,用于根据所述处理规则生成所述目标病毒对应的配置文件,以基于所述目标病毒对应的配置文件,执行病毒处理脚本。
一种病毒处理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述病毒处理方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述病毒处理方法的步骤。
应用本发明实施例所提供的技术方案,获得目标病毒的病毒样本之后,对病毒样本进行分析,获得病毒样本的恶意行为,基于病毒样本的恶意行为,确定针对目标病毒的处理规则,根据处理规则生成目标病毒对应的配置文件,以基于目标病毒对应的配置文件,执行病毒处理脚本。对目标病毒的处理规则是基于病毒样本的恶意行为确定的,根据这样的处理规则生成目标病毒对应的配置文件,从而利用目标病毒对应的配置文件可以及时检测到目标病毒,并实现对目标病毒的彻底清除。
另外,获得目标病毒对应的配置文件,在管理文件中添加目标病毒对应的配置文件的标识后,将目标病毒对应的配置文件和更新后的管理文件分发给各终端,这样可以使得各终端根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件执行病毒处理脚本,在自身对病毒进行检测、处置等处理。在新增某种病毒的查杀能力时,只需要增加该病毒对应的配置文件,更新管理文件即可,新增的配置文件和更新后的管理文件分发给终端,终端升级后即可根据更新后的管理文件中包含的配置文件的标识,基于待使用的配置文件执行病毒处理脚本进行病毒处理。这样可以使得各终端快速获得新型病毒的查杀能力,快速进行病毒清除。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中一种流行病毒的感染模型的示意图;
图2为本发明实施例中一种病毒处理方法的实施流程图;
图3为本发明实施例中另一种病毒处理方法的实施流程图;
图4为本发明实施例中另一种病毒处理方法的实施流程图;
图5为本发明实施例中一种病毒管理系统的结构示意图;
图6为本发明实施例中病毒处理方法的一种具体工作流程图;
图7为本发明实施例中一种病毒处理装置的结构示意图;
图8为本发明实施例中另一种病毒处理装置的结构示意图;
图9为本发明实施例中另一种病毒处理装置的结构示意图;
图10为本发明实施例中一种病毒处理设备的结构示意图。
具体实施方式
目前,对于计算机病毒的处理的关注程度越来越高,有些计算机病毒,如一些流行病毒,终端感染后,不仅病毒文件会写入磁盘,还可能会创建一系列计划任务、注册表等。如图1所示,为一种流行病毒的感染模型的示意图。该流行病毒的病毒母体DTLUpg主要有五种行为:第一种,自我复制,进行病毒克隆,在磁盘中写入病毒文件\driver\scvhost.exe;第二种,内网攻击,释放传播模块\temp\scvhost.exe,执行内网攻击,如永恒之蓝、SQL(Structured Query Language,结构化查询语言)攻击、SMB(Server Message Block,服务器信息块)爆破等;第三种,创建注册表和计划任务,释放潜伏模块\system32\wmiex.exe,创建注册表和计划任务,如WebServers、Ddrivers、DnsScan&CurrentVersion/run/Ddriver;第四种,清理某些系统进程,释放清理模块Cmd.exe,运行WMIC(扩展WMI(WindowsManagement Instrumentation,Windows管理工具)),清理进程,如Svchost.exe、Taskmgk.exe、Explorer.exe、Spoolsv.exe、Conhost.exe、Csrss.exe、Msdtc.exe等;第五种,挖矿,释放挖矿模块Taskmgr.exe,执行挖矿操作Http://donate.v2.xmrig.com。其他流行病毒的感染原理可参照此图理解,具体行为可能有所差异。对于写入到磁盘的病毒文件,安全软件可以检测到,但是因为该流行病毒的计划任务中包含了恶意的powerShell(Windows系统的命令行执行窗口)代码,会定时下载并执行该病毒文件,安全软件再次查杀依然会发现病毒文件,导致病毒无法彻底清除。
基于此,本发明实施例提供了一种病毒处理方法,在获得目标病毒的病毒样本之后,对病毒样本进行分析,获得病毒样本的恶意行为,基于病毒样本的恶意行为,确定针对目标病毒的处理规则,并根据处理规则生成目标病毒对应的配置文件,以基于目标病毒对应的配置文件,对目标病毒进行处理。通过对目标病毒的病毒样本进行分析,得到病毒样本的恶意行为,并确定针对目标病毒的处理规则,从而可以有针对性地对目标病毒进行相应处理,实现对目标病毒的彻底清除。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图2所示,为本发明实施例所提供的一种病毒处理方法的实施流程图,该方法可以包括以下步骤:
S210:获得目标病毒的病毒样本。
目标病毒为当前已被发现的病毒。通过数据采集等方式可以获得目标病毒的病毒样本。
S220:对病毒样本进行分析,获得病毒样本的恶意行为。
获得目标病毒的病毒样本后,可以对病毒样本进行分析,具体的,可以通过对病毒样本进行逆向分析,解析病毒样本的导入导出函数,发现病毒样本可能存在的一些静态行为,并通过运行病毒样本,监视得到病毒样本在运行过程中产生的一些动态行为。
对病毒样本进行分析,得到病毒样本的静态行为和动态行为后,可以将病毒样本的静态行为和动态行为均确定为恶意行为,或者将静态行为和动态行为中符合预设的恶意特征的行为确定为恶意行为。病毒样本的恶意行为可以包括创建服务、创建进程、创建注册表、创建文件、连接恶意网络等行为。
在实际应用中,在获得目标病毒的病毒样本之后、在对病毒样本进行分析之前,可以先判断病毒样本是否加壳,如果加壳则可以先进行脱壳操作,以便后续能够顺利进行病毒样本的分析。具体的判断加壳与否及进行脱壳处理可使用现有技术中的相关工具进行,不再赘述。
S230:基于病毒样本的恶意行为,确定针对目标病毒的处理规则。
在本发明实施例中,处理规则可以包括检测规则,还可以包括处置规则。
在获得病毒样本的恶意行为之后,可以对病毒样本的恶意行为进行分析。确定采取怎样的检测手段可以检测到这些恶意行为,从而确定是否感染目标病毒,另外,针对病毒样本的每个恶意行为,可以确定可采取怎样的处置方式对该恶意行为进行处置。具体的,可以基于先前经验或者历史数据等确定。这些检测手段、处置方式等构成针对目标病毒的处理规则。
S240:根据处理规则生成目标病毒对应的配置文件,以基于目标病毒对应的配置文件,执行病毒处理脚本。
在确定针对目标病毒的处理规则之后,可以根据处理规则生成目标病毒对应的配置文件,生成的目标病毒对应的配置文件中可以包含针对目标病毒需要采取的检测手段信息、针对目标病毒的每个恶意行为需要采取的处置方式信息等。
这样,将目标病毒对应的配置文件放入终端中,终端的安全软件可基于目标病毒对应的配置文件,执行病毒处理脚本,对目标病毒进行检测及处置等处理。
应用本发明实施例所提供的方法,获得目标病毒的病毒样本之后,对病毒样本进行分析,获得病毒样本的恶意行为,基于病毒样本的恶意行为,确定针对目标病毒的处理规则,根据处理规则生成目标病毒对应的配置文件,以基于目标病毒对应的配置文件,执行病毒处理脚本。对目标病毒的处理规则是基于病毒样本的恶意行为确定的,根据这样的处理规则生成目标病毒对应的配置文件,从而利用目标病毒对应的配置文件可以及时检测到目标病毒,并实现对目标病毒的彻底清除。
在本发明的一个实施例中,处理规则包括检测规则,步骤S230可以包括以下步骤:
步骤一:在病毒样本的恶意行为中,提取病毒样本的关键行为;
步骤二:基于病毒样本的关键行为,确定目标病毒的检测规则;检测规则为:如果监测到待检测文件的动态行为包括病毒样本的关键行为,则确定待检测文件为目标病毒的病毒文件。
为便于描述,将上述两个步骤结合起来进行说明。
在本发明实施例中,针对目标病毒的处理规则可以包括检测规则。可以基于先前经验或者历史处理数据等确定一个病毒的哪些恶意行为属于关键行为。
在分析得到病毒样本的恶意行为后,可以在病毒样本的恶意行为中,提取出几个关键行为,由关键行为的行为特征构成检测集合,关键行为包括创建某个服务、创建某个进程、创建某个文件、创建某个注册表及创建某个计划任务等。比如可以将检测集合表示为α={a1,b1,c1,d1,e1},其中,α表示检测集合,a1表示创建服务1的行为特征,b1表示创建进程1的行为特征,c1表示创建文件1的行为特征,d1表示创建注册表1的行为特征,e1表示创建计划任务1的行为特征。
值得注意的是,该病毒文件的恶意行为还可能包括创建其他服务、创建其他进程、创建其他文件、创建其他注册表、创建其他计划任务等。比如所有恶意行为的行为特征构成的行为集合β={a1,a2,b1,b2,b3,c1,c2,d1,d2,d3,e1,e2},a1表示创建服务1的行为特征,a2表示创建服务2的行为特征,b1表示创建进程1的行为特征,b2表示创建进程2的行为特征,b3表示创建进程3的行为特征,c1表示创建文件1的行为特征,c2表示创建文件2的行为特征,d1表示创建注册表1的行为特征,d2表示创建注册表2的行为特征,d3表示创建注册表3的行为特征,e1表示创建计划任务1的行为特征,e2表示创建计划任务2的行为特征。
当然,上述仅为示例,在实际应用中,目标病毒的恶意行为可以包含更多种行为。
基于病毒样本的关键行为,确定的目标病毒的检测规则为:如果监测到待检测文件的动态行为包括病毒样本的关键行为,如包含检测集合α中的关键行为,则可以确定该待检测文件为目标病毒的病毒文件。仅基于目标病毒的恶意行为中的关键行为对目标病毒进行检测,可以提高检测速度,及时、准确地检测到目标病毒。
在本发明的一个实施例中,处理规则还可以包括处置规则,在获得病毒样本的恶意行为之后,该方法还可以包括以下步骤:
第一个步骤:确定针对病毒样本的每个恶意行为的处置方式;
第二个步骤:基于确定的处置方式,确定目标病毒的处置规则,处置规则为:在检测到目标病毒后,针对目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
为便于描述,将上述两个步骤结合起来进行说明。
在本发明实施例中,针对目标病毒的处理规则还可以包括处置规则。在分析得到病毒样本的恶意行为后,可以基于先前经验或者历史处理数据等,确定针对病毒样本的每个恶意行为的处置方式,如是需要清除还是需要停止。可以在所有恶意行为构成的行为集合中进行相应的处置方式的标注。
基于确定的处置方式,确定的目标病毒的处置规则为:在检测到目标病毒后,针对目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。即对于检测到的目标病毒,对其发起的所有恶意行为均进行相应处置,以彻底清除目标病毒。
参见图3所示,为本发明实施例所提供的另一种病毒处理方法的实施流程图,该方法可以包括以下步骤:
S310:获得目标病毒对应的配置文件。
目标病毒对应的配置文件为基于目标病毒的处理规则生成的。
在本发明实施例中,目标病毒是指目前已被发现的病毒。通过数据采集等方式可以获得目标病毒的病毒样本。通过对目标病毒的病毒样本进行分析,可以确定针对目标病毒的处理规则。该处理规则可以包括检测规则,还可以包括处置规则。
基于目标病毒的处理规则,可以生成目标病毒对应的配置文件。生成的目标病毒对应的配置文件中可以包含针对目标病毒需要采取的检测手段信息、针对目标病毒的每个恶意行为需要采取的处置方式信息等。目标病毒对应的配置文件具体可以为.cfg文件。每种类型的病毒都可有其对应的一个配置文件。目标病毒的配置文件中的配置项对应于相应的检测规则和处置规则。
值得注意的是,在本发明实施例中,可以参照图2所示病毒处理方法中的配置文件的生成方法生成目标病毒的配置文件。
S320:在管理文件中添加目标病毒对应的配置文件的标识。
在本发明实施例中,可以通过管理文件实现各病毒的使能管理。管理文件具体可以为.xml文件。在管理文件中添加目标病毒对应的配置文件的标识,即表明在进行病毒检测、处置等处理时需要根据目标病毒对应的配置文件的配置项进行。也就是说,管理文件中添加有哪些配置文件的标识,即需要利用哪些配置文件进行相应病毒的检测、处置等处理。
相应的,随着时间推移,某类型病毒可能已经不再存在,可以在管理文件中删除该病毒对应的配置文件的标识。当实际基于管理文件进行病毒检测、处置等处理时,将不再对该病毒进行相应的检测、处置等处理,以避免在不需要进行检测、处置等处理的病毒上花费较长时间,提高对于当前存在的病毒的处理效率。
S330:将目标病毒对应的配置文件和更新后的管理文件分发给各终端,以使各终端根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件执行病毒处理脚本。
获得目标病毒对应的配置文件,并在管理文件中添加目标病毒对应的配置文件的标识,对管理文件进行更新后,可以将目标病毒对应的配置文件和更新后的管理文件分发给各终端。这样,各终端即可获得目标配置文件和更新后的管理文件。各终端中可能存在包含目标病毒对应的配置文件在内的多个配置文件,更新后的管理文件中可能包含多个标识,每个标识对应一个配置文件。各终端可以基于更新后的管理文件中包含的配置文件的标识,确定当前待使用的配置文件,然后基于待使用的配置文件,执行病毒处理脚本,在自身进行病毒处理。
在本发明实施例中,可以预先编写病毒处理脚本,该病毒处理脚本为通用脚本,具体可以为.lua脚本,在执行病毒处理脚本时,可以根据配置文件的配置项可以对病毒进行检测、处置等处理。可以预先将病毒处理脚本分发给各终端,当各终端获得配置文件和管理文件后,可以调用该病毒处理脚本查找管理文件,根据管理文件中包含的标识,确定待使用的配置文件,从而基于待使用的配置文件对病毒进行检测、处置等处理。
应用本发明实施例所提供的方法,获得目标病毒对应的配置文件,在管理文件中添加目标病毒对应的配置文件的标识后,将目标病毒对应的配置文件和更新后的管理文件分发给各终端,这样可以使得各终端根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件执行病毒处理脚本,在自身对病毒进行检测、处置等处理。在新增某种病毒的查杀能力时,只需要增加该病毒对应的配置文件,更新管理文件即可,新增的配置文件和更新后的管理文件分发给终端,终端升级后即可根据更新后的管理文件中包含的配置文件的标识,基于待使用的配置文件执行病毒处理脚本进行病毒处理。这样可以使得各终端快速获得新型病毒的查杀能力,快速进行病毒清除。
在本发明的一种具体实施方式中,可以通过以下步骤确定针对目标病毒的处理规则:
步骤一:获得目标病毒的病毒样本;
步骤二:对病毒样本进行分析,获得病毒样本的恶意行为;
步骤三:基于病毒样本的恶意行为,确定针对目标病毒的处理规则。
为方便描述,将上述三个步骤结合起来进行说明。
通过数据采集等方式可以获得目标病毒的病毒样本。
对病毒样本进行分析,具体的,可以通过对病毒样本进行逆向分析,解析病毒样本的导入导出函数,发现病毒样本可能存在的一些静态行为,并通过运行病毒样本,监视得到病毒样本在运行过程中产生的一些动态行为。
对病毒样本进行分析,得到病毒样本的静态行为和动态行为后,可以将病毒样本的静态行为和动态行为均确定为恶意行为,或者将静态行为和动态行为中符合预设的恶意特征的行为确定为恶意行为。病毒样本的恶意行为可以包括创建服务、创建进程、创建注册表、创建文件、连接恶意网络等行为。
在获得病毒样本的恶意行为之后,可以对病毒样本的恶意行为进行分析。确定采取怎样的检测手段可以检测到这些恶意行为,从而确定是否感染目标病毒,另外,针对病毒样本的每个恶意行为,可以确定可采取怎样的处置方式对该恶意行为进行处置。具体的,可以基于先前经验或者历史数据等确定。这些检测手段、处置方式等构成针对目标病毒的处理规则。
在本发明的一种具体实施方式中,处理规则包括检测规则,基于病毒样本的恶意行为,确定针对目标病毒的处理规则,包括:
在病毒样本的恶意行为中,提取病毒样本的关键行为;
基于病毒样本的关键行为,确定目标病毒的检测规则;检测规则为:如果监测到待检测文件的动态行为包括病毒样本的关键行为,则确定待检测文件为目标病毒的病毒文件。
在本发明实施例中,针对目标病毒的处理规则可以包括检测规则。可以基于先前经验或者历史处理数据等确定一个病毒的哪些恶意行为属于关键行为。
在分析得到病毒样本的恶意行为后,可以在病毒样本的恶意行为中,提取出几个关键行为,由关键行为的行为特征构成检测集合,关键行为包括创建某个服务、创建某个进程、创建某个文件、创建某个注册表及创建某个计划任务等。比如可以将检测集合表示为α={a1,b1,c1,d1,e1},其中,α表示检测集合,a1表示创建服务1的行为特征,b1表示创建进程1的行为特征,c1表示创建文件1的行为特征,d1表示创建注册表1的行为特征,e1表示创建计划任务1的行为特征。
值得注意的是,该病毒文件的恶意行为还可能包括创建其他服务、创建其他进程、创建其他文件、创建其他注册表、创建其他计划任务等。比如所有恶意行为的行为特征构成的行为集合β={a1,a2,b1,b2,b3,c1,c2,d1,d2,d3,e1,e2},a1表示创建服务1的行为特征,a2表示创建服务2的行为特征,b1表示创建进程1的行为特征,b2表示创建进程2的行为特征,b3表示创建进程3的行为特征,c1表示创建文件1的行为特征,c2表示创建文件2的行为特征,d1表示创建注册表1的行为特征,d2表示创建注册表2的行为特征,d3表示创建注册表3的行为特征,e1表示创建计划任务1的行为特征,e2表示创建计划任务2的行为特征。
当然,上述仅为示例,在实际应用中,目标病毒的恶意行为可以包含更多种行为。
基于病毒样本的关键行为,确定的目标病毒的检测规则为:如果监测到待检测文件的动态行为包括病毒样本的关键行为,如包含检测集合α中的关键行为,则可以确定该待检测文件为目标病毒的病毒文件。仅基于目标病毒的恶意行为中的关键行为对目标病毒进行检测,可以提高检测速度,及时、准确地检测到目标病毒。
在本发明的一种具体实施方式中,处理规则还包括处置规则,在获得病毒样本的恶意行为之后,还包括:
确定针对病毒样本的每个恶意行为的处置方式;
基于确定的处置方式,确定目标病毒的处置规则,处置规则为:在检测到目标病毒后,针对目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
在本发明实施例中,针对目标病毒的处理规则还可以包括处置规则。在分析得到病毒样本的恶意行为后,可以基于先前经验或者历史处理数据等,确定针对病毒样本的每个恶意行为的处置方式,如是需要清除还是需要停止。可以在所有恶意行为构成的行为集合中进行相应的处置方式的标注。
基于确定的处置方式,确定的目标病毒的处置规则为:在检测到目标病毒后,针对目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。即对于检测到的目标病毒,对其发起的所有恶意行为均进行相应处置,以彻底清除目标病毒。
在本发明的一个实施例中,还可以确定病毒处理脚本被执行时所需的应用程序编程接口,将应用程序编程接口分发给各终端,以使各终端在执行病毒处理脚本时调用。
在实际应用中,终端中的有些操作,如停服务、查注册表等操作,病毒处理脚本无法直接完成,需提供一套API(Application Programming Interface,应用程序编程接口)供其调用。应用程序编程接口,是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。可以确定病毒处理脚本被执行时所需的应用程序编程接口,将应用程序编程接口分发给各终端,各终端在执行病毒处理脚本时即可调用,这样可以提高病毒处理成功率。
参见图4所示,为本发明实施例所提供的另一种病毒处理方法的实施流程图,可以包括以下步骤:
S410:获得目标病毒对应的配置文件和更新后的管理文件。
目标病毒对应的配置文件为基于目标病毒的处理规则生成的,更新后的管理文件中包含目标病毒对应的配置文件的标识。
在本发明实施例中,可以通过对目标病毒的病毒样本的分析,确定针对目标病毒的处理规则,可以基于目标病毒的处理规则生成目标病毒对应的配置文件,在管理文件中添加目标病毒对应的配置文件的标识,使得更新后的管理文件中包含目标病毒对应的配置文件的标识。
终端获得目标病毒对应的配置文件和更新后的管理文件,在自身中可能存在包含目标病毒对应的配置文件在内的多个配置文件,更新后的管理文件中可能包含多个标识,每个标识对应一个配置文件。
S420:根据管理文件中包含的配置文件的标识,确定待使用的配置文件。
在本发明实施例中,可以通过管理文件实现各病毒的使能管理。在管理文件中添加目标病毒对应的配置文件的标识,即表明在进行病毒检测、处置等处理时需要根据目标病毒对应的配置文件的配置项进行。也就是说,管理文件中添加有哪些配置文件的标识,即需要利用哪些配置文件进行相应病毒的检测、处置等处理。
相应的,随着时间推移,某类型病毒可能已经不再存在,可以在管理文件中删除该病毒对应的配置文件的标识。当实际基于管理文件进行病毒检测、处置等处理时,将不再对该病毒进行相应的检测、处置等处理,以避免在不需要进行检测、处置等处理的病毒上花费较长时间,提高对于当前存在的病毒的处理效率。
终端获得目标病毒对应的配置文件和更新后的管理文件后,可以基于更新后的管理文件中包含的配置文件的标识,确定当前待使用的配置文件。
S430:基于待使用的配置文件,执行病毒处理脚本。
在本发明实施例中,可以预先编写病毒处理脚本,该病毒处理脚本为通用脚本,在执行病毒处理脚本时,可以根据配置文件的配置项可以对病毒进行检测、处置等处理。可以预先将病毒处理脚本分发给各终端,当各终端获得配置文件和管理文件后,可以调用该病毒处理脚本查找管理文件,根据管理文件中包含的标识,确定待使用的配置文件,从而基于待使用的配置文件对病毒进行检测、处置等处理。
终端中还可以存储有执行病毒处理脚本时所需的应用程序编程接口,以供终端在执行病毒处理脚本时调用。
在实际应用中,可以根据实际情况进行病毒处理触发条件的设定,如在达到设定的时间间隔时,认为达到了病毒处理触发条件,或者,在接收到管理平台分发的配置文件和更新的管理文件时,认为达到了病毒处理触发条件,再或者,在接收到处理指令时,认为达到了病毒处理触发条件。
终端在达到设定的病毒处理触发条件时,可以根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件,执行病毒处理脚本,在自身进行病毒处理。
应用本发明实施例所提供的方法,在获得目标病毒对应的配置文件和更新后的管理文件后,根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件,执行病毒处理脚本,在自身进行病毒处理。在新增某种病毒的查杀能力时,只需要增加该病毒对应的配置文件,更新管理文件即可,终端升级后即可根据更新后的管理文件中包含的配置文件的标识,基于待使用的配置文件执行病毒处理脚本进行病毒处理。这样使得终端可以快速获得新型病毒的查杀能力,快速进行病毒清除。
在本发明的一种具体实施方式中,基于待使用的配置文件,执行病毒处理脚本,包括:
针对确定的待使用的每个配置文件,基于该配置文件,执行病毒处理脚本包括的检测脚本,确定是否检测到该配置文件对应的病毒;
如果检测到,则根据该配置文件,执行病毒处理脚本包括的处置脚本,对该配置文件对应的病毒的每个恶意行为进行处置。
在本发明实施例中,确定待使用的配置文件后,针对确定的待使用的每个配置文件,基于该配置文件,可以执行病毒处理脚本包括的检测脚本,确定是否能够检测到该配置文件对应的病毒。进一步可以输出检测结果。
在检测到该配置文件对应的病毒时,可以根据该配置文件,执行病毒处理脚本包括的处置脚本,对该配置文件对应的病毒的每个恶意行为进行处置。进一步可以输出处置结果。
以对于目标病毒的处理为例,终端获得目标病毒对应的配置文件和更新的管理文件后,可以在自身存储目标病毒对应的配置文件和管理文件。管理文件中包含有目标病毒对应的配置文件的标识。终端确定目标病毒对应的配置文件即为待使用的配置文件,执行病毒处理脚本包括的检测脚本,将该配置文件中的检测规则作为输入,命中规则则输出检测结果,确定检测到目标病毒。在检测结果的基础上,执行病毒处理脚本包括的处置脚本,将该配置文件中的处置规则作为输入,输出处置结果。
在本发明的一种具体实施方式中,终端一方面可以基于更新后的管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件,执行病毒处理脚本,另一方面,可以同时使用文件枚举方式进行其他病毒的处理。使得终端能够处理的病毒类型更为全面,提高病毒处理能力。
本发明实施例所提供的病毒处理方法,可以解决业界对于某些病毒,如某些流行病毒无法检出、无法彻底清除、以及响应速度慢的问题。针对新型病毒,通过对病毒样本进行静态分析和动态分析,可以确定包括检测规则和处置规则的处理规则,并生成配置文件,更新管理文件,各终端得到配置文件和更新后的管理文件后,调用病毒处理脚本,根据配置文件的配置项可以进行全面检测和处置,使得终端能够快速具备查杀新型病毒的能力。
在实际应用中,可以通过管理平台、虚拟机、终端等执行本发明实施例所提供的技术方案,管理平台、虚拟机、终端构成病毒处理系统。如图5所示,管理平台510分别与虚拟机520和终端530(终端1、终端2、终端3、……、终端N)连接。
可以预先构建一个虚拟机,创建虚拟环境,在虚拟机中依托于虚拟环境运行目标病毒的病毒样本,对目标病毒的病毒样本进行分析,确定针对目标病毒的处理规则。在虚拟机中的操作完成后,可以重建虚拟机,继续其他病毒的病毒样本的分析工作。以为每个病毒的病毒样本的运行提供基础环境。
对于目标病毒对应的配置文件的生成可以在虚拟机中进行,还可以在管理平台中进行,管理平台在虚拟机中获得目标病毒的处理规则之后,可以基于该处理规则生成目标病毒对应的配置文件,在管理文件中添加目标病毒对应的配置文件的标识,然后将目标病毒对应的配置文件和更新后的管理文件发送给终端。
终端根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件执行病毒处理脚本。
在初始部署阶段,可以在管理平台中设定处理规则库,这一处理规则库可以包括:通用的病毒处理脚本、每种病毒的配置文件、用于管理配置文件的管理文件、供病毒处理脚本调用的应用程序编程接口。在管理平台中设定该处理规则库后,与管理平台的连接的各终端可以自动静默升级,获得处理规则库,终端升级完成后便具备了相应病毒的检测、处置等处理能力。以后新增某种病毒的查杀能力,只需要增加相应的配置文件、修改管理文件即可。这样各终端可快速具备新型病毒的处理能力。
如图6所示,为本发明实施例所提供的病毒处理方法的具体工作流程示意图。首先在虚拟机对目标病毒的病毒样本进行脱壳处理,解析病毒样本的导入导出函数,发现病毒样本可能存在的一些静态行为,并通过运行病毒样本,监视得到病毒样本在运行过程中产生的一些动态行为,基于静态行为和动态行为,确定病毒样本的恶意行为,根据病毒样本的恶意行为,确定针对目标病毒的处理规则。管理平台得到针对目标病毒的处理规则,根据该处理规则,生成目标病毒对应的配置文件,加入到管理平台中设定的处理规则库中,处理规则库包括通用的.lua病毒处理脚本、每种病毒对应的.cfg配置文件、用于管理配置文件的.xml管理文件、供病毒处理脚本调用的应用程序编程接口api。终端与管理平台通信,可以获得处理规则库,从而在现有的通过文件枚举、检测引擎、处置引擎进行病毒处理的基础上,可以增加目标病毒的检测、处置等处理过程,进而输出处理结果。
需要说明的是,图2、图3、图4所示病毒处理方法的各个实施例之间重点说明的是与其他实施例的不同之处,各个实施例之间相同或者相似部分互相参见即可。
相应于图2所示方法实施例,本发明实施例还提供了一种病毒处理装置,下文描述的病毒处理装置与上文描述的病毒处理方法可相互对应参照。
如图7所示,该装置包括:
病毒样本获得模块710,用于获得目标病毒的病毒样本;
恶意行为获得模块720,用于对病毒样本进行分析,获得病毒样本的恶意行为;
处理规则确定模块730,用于基于病毒样本的恶意行为,确定针对目标病毒的处理规则;
配置文件生成模块740,用于根据处理规则生成目标病毒对应的配置文件,以基于目标病毒对应的配置文件,执行病毒处理脚本。
应用本发明实施例所提供的装置,获得目标病毒的病毒样本之后,对病毒样本进行分析,获得病毒样本的恶意行为,基于病毒样本的恶意行为,确定针对目标病毒的处理规则,根据处理规则生成目标病毒对应的配置文件,以基于目标病毒对应的配置文件,执行病毒处理脚本。对目标病毒的处理规则是基于病毒样本的恶意行为确定的,根据这样的处理规则生成目标病毒对应的配置文件,从而利用目标病毒对应的配置文件可以及时检测到目标病毒,并实现对目标病毒的彻底清除。
在本发明的一种具体实施方式中,处理规则包括检测规则,处理规则确定模块730,具体用于:
在病毒样本的恶意行为中,提取病毒样本的关键行为;
基于病毒样本的关键行为,确定目标病毒的检测规则;检测规则为:如果监测到待检测文件的动态行为包括病毒样本的关键行为,则确定待检测文件为目标病毒的病毒文件。
在本发明的一种具体实施方式中,处理规则还包括处置规则,处理规则确定模块730,还用于:
在获得病毒样本的恶意行为之后,确定针对病毒样本的每个恶意行为的处置方式;
基于确定的处置方式,确定目标病毒的处置规则,处置规则为:在检测到目标病毒后,针对目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
相应于图3所示方法实施例,本发明实施例还提供了一种病毒处理装置,下文描述的病毒处理装置与上文描述的病毒处理方法可相互对应参照。
如图8所示,该装置包括:
配置文件获得模块810,用于获得目标病毒对应的配置文件,目标病毒对应的配置文件为基于目标病毒的处理规则生成的;
管理文件更新模块820,用于在管理文件中添加目标病毒对应的配置文件的标识;
文件分发模块830,用于将目标病毒对应的配置文件和更新后的管理文件分发给各终端,以使各终端根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件执行病毒处理脚本。
应用本发明实施例所提供的装置,获得目标病毒对应的配置文件,在管理文件中添加目标病毒对应的配置文件的标识后,将目标病毒对应的配置文件和更新后的管理文件分发给各终端,这样可以使得各终端根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件执行病毒处理脚本,在自身对病毒进行检测、处置等处理。在新增某种病毒的查杀能力时,只需要增加该病毒对应的配置文件,更新管理文件即可,新增的配置文件和更新后的管理文件分发给终端,终端升级后即可根据更新后的管理文件中包含的配置文件的标识,基于待使用的配置文件执行病毒处理脚本进行病毒处理。这样可以使得各终端快速获得新型病毒的查杀能力,快速进行病毒清除。
在本发明的一种具体实施方式中,其特征在于,还包括处理规则确定模块,用于通过以下步骤确定针对目标病毒的处理规则:
获得目标病毒的病毒样本;
对病毒样本进行分析,获得病毒样本的恶意行为;
基于病毒样本的恶意行为,确定针对目标病毒的处理规则。
在本发明的一种具体实施方式中,处理规则包括检测规则,处理规则确定模块,具体用于:
在病毒样本的恶意行为中,提取病毒样本的关键行为;
基于病毒样本的关键行为,确定目标病毒的检测规则;检测规则为:如果监测到待检测文件的动态行为包括病毒样本的关键行为,则确定待检测文件为目标病毒的病毒文件。
在本发明的一种具体实施方式中,处理规则还包括处置规则,处理规则确定模块,还用于:
在获得病毒样本的恶意行为之后,确定针对病毒样本的每个恶意行为的处置方式;
基于确定的处置方式,确定目标病毒的处置规则,处置规则为:在检测到目标病毒后,针对目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
在本发明的一种具体实施方式中,还包括接口分发模块,用于:
确定病毒处理脚本被执行时所需的应用程序编程接口;
将应用程序编程接口分发给各终端,以使各终端在执行病毒处理脚本时调用。
相应于图4所示方法实施例,本发明实施例还提供了一种病毒处理装置,下文描述的病毒处理装置与上文描述的病毒处理方法可相互对应参照。
如图9所示,该装置包括:
文件获得模块910,用于获得目标病毒对应的配置文件和更新后的管理文件,目标病毒对应的配置文件为基于目标病毒的处理规则生成的,更新后的管理文件中包含目标病毒对应的配置文件的标识;
配置文件确定模块920,用于根据管理文件中包含的配置文件的标识,确定待使用的配置文件;
病毒处理脚本执行模块930,用于基于待使用的配置文件,执行病毒处理脚本。
应用本发明实施例所提供的装置,在获得目标病毒对应的配置文件和更新后的管理文件后,根据管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于待使用的配置文件,执行病毒处理脚本,在自身进行病毒处理。在新增某种病毒的查杀能力时,只需要增加该病毒对应的配置文件,更新管理文件即可,终端升级后即可根据更新后的管理文件中包含的配置文件的标识,基于待使用的配置文件执行病毒处理脚本进行病毒处理。这样使得终端可以快速获得新型病毒的查杀能力,快速进行病毒清除。
在本发明的一种具体实施方式中,病毒处理脚本执行模块930,具体用于:
针对确定的待使用的每个配置文件,基于该配置文件,执行病毒处理脚本包括的检测脚本,确定是否检测到该配置文件对应的病毒;
如果检测到,则根据该配置文件,执行病毒处理脚本包括的处置脚本,对该配置文件对应的病毒的每个恶意行为进行处置。
相应于上面的方法实施例,本发明实施例还提供了一种病毒处理设备,如图10所示,包括:
存储器1010,用于存储计算机程序;
处理器1020,用于执行计算机程序时实现上述病毒处理方法的步骤。
相应于上面的方法实施例,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述病毒处理方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (15)
1.一种病毒处理方法,其特征在于,包括:
获得目标病毒对应的配置文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的;
在管理文件中添加所述目标病毒对应的配置文件的标识;
将所述目标病毒对应的配置文件和更新后的所述管理文件分发给各终端,以使各所述终端根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于所述待使用的配置文件执行病毒处理脚本。
2.根据权利要求1所述的方法,其特征在于,通过以下步骤确定针对所述目标病毒的处理规则:
获得目标病毒的病毒样本;
对所述病毒样本进行分析,获得所述病毒样本的恶意行为;
基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则。
3.根据权利要求2所述的方法,其特征在于,所述处理规则包括检测规则,所述基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则,包括:
在所述病毒样本的恶意行为中,提取所述病毒样本的关键行为;
基于所述病毒样本的关键行为,确定所述目标病毒的所述检测规则;所述检测规则为:如果监测到待检测文件的动态行为包括所述病毒样本的关键行为,则确定所述待检测文件为所述目标病毒的病毒文件。
4.根据权利要求3所述的方法,其特征在于,所述处理规则还包括处置规则,在所述获得所述病毒样本的恶意行为之后,还包括:
确定针对所述病毒样本的每个恶意行为的处置方式;
基于确定的处置方式,确定所述目标病毒的所述处置规则,所述处置规则为:在检测到所述目标病毒后,针对所述目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
5.根据权利要求1至4之中任一项所述的方法,其特征在于,还包括:
确定所述病毒处理脚本被执行时所需的应用程序编程接口;
将所述应用程序编程接口分发给各所述终端,以使各所述终端在执行所述病毒处理脚本时调用。
6.一种病毒处理方法,其特征在于,包括:
获得目标病毒对应的配置文件和更新后的管理文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的,更新后的所述管理文件中包含所述目标病毒对应的配置文件的标识;
根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件;
基于所述待使用的配置文件,执行病毒处理脚本。
7.根据权利要求6所述的方法,其特征在于,所述基于所述待使用的配置文件,执行病毒处理脚本,包括:
针对确定的待使用的每个配置文件,基于该配置文件,执行病毒处理脚本包括的检测脚本,确定是否检测到该配置文件对应的病毒;
如果检测到,则根据该配置文件,执行所述病毒处理脚本包括的处置脚本,对该配置文件对应的病毒的每个恶意行为进行处置。
8.一种病毒处理方法,其特征在于,包括:
获得目标病毒的病毒样本;
对所述病毒样本进行分析,获得所述病毒样本的恶意行为;
基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则;
根据所述处理规则生成所述目标病毒对应的配置文件,以基于所述目标病毒对应的配置文件,执行病毒处理脚本。
9.根据权利要求8所述的方法,其特征在于,所述处理规则包括检测规则,所述基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则,包括:
在所述病毒样本的恶意行为中,提取所述病毒样本的关键行为;
基于所述病毒样本的关键行为,确定所述目标病毒的所述检测规则;所述检测规则为:如果监测到待检测文件的动态行为包括所述病毒样本的关键行为,则确定所述待检测文件为所述目标病毒的病毒文件。
10.根据权利要求9所述的方法,其特征在于,所述处理规则还包括处置规则,在所述获得所述病毒样本的恶意行为之后,还包括:
确定针对所述病毒样本的每个恶意行为的处置方式;
基于确定的处置方式,确定所述目标病毒的所述处置规则,所述处置规则为:在检测到所述目标病毒后,针对所述目标病毒发起的每个恶意行为,使用该恶意行为对应的处置方式进行处置。
11.一种病毒处理装置,其特征在于,包括:
配置文件获得模块,用于获得目标病毒对应的配置文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的;
管理文件更新模块,用于在管理文件中添加所述目标病毒对应的配置文件的标识;
文件分发模块,用于将所述目标病毒对应的配置文件和更新后的所述管理文件分发给各终端,以使各所述终端根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件,并基于所述待使用的配置文件执行病毒处理脚本。
12.一种病毒处理装置,其特征在于,包括:
文件获得模块,用于获得目标病毒对应的配置文件和更新后的管理文件,所述目标病毒对应的配置文件为基于所述目标病毒的处理规则生成的,更新后的所述管理文件中包含所述目标病毒对应的配置文件的标识;
配置文件确定模块,用于根据所述管理文件中包含的配置文件的标识,确定待使用的配置文件;
病毒处理脚本执行模块,用于基于所述待使用的配置文件,执行病毒处理脚本。
13.一种病毒处理装置,其特征在于,包括:
病毒样本获得模块,用于获得目标病毒的病毒样本;
恶意行为获得模块,用于对所述病毒样本进行分析,获得所述病毒样本的恶意行为;
处理规则确定模块,用于基于所述病毒样本的恶意行为,确定针对所述目标病毒的处理规则;
配置文件生成模块,用于根据所述处理规则生成所述目标病毒对应的配置文件,以基于所述目标病毒对应的配置文件,执行病毒处理脚本。
14.一种病毒处理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至10任一项所述病毒处理方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至10任一项所述病毒处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911071411.9A CN110826069B (zh) | 2019-11-05 | 2019-11-05 | 一种病毒处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911071411.9A CN110826069B (zh) | 2019-11-05 | 2019-11-05 | 一种病毒处理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110826069A true CN110826069A (zh) | 2020-02-21 |
| CN110826069B CN110826069B (zh) | 2022-09-30 |
Family
ID=69552452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911071411.9A Active CN110826069B (zh) | 2019-11-05 | 2019-11-05 | 一种病毒处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110826069B (zh) |
Citations (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070171921A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and systems for interacting, via a hypermedium page, with a virtual machine executing in a terminal services session |
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN103049695A (zh) * | 2012-12-11 | 2013-04-17 | 北京奇虎科技有限公司 | 一种计算机病毒的监控方法和装置 |
| CN103268446A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种基于sd卡驱动的手机恶意代码检测方法及系统 |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN103812850A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 控制病毒访问网络的方法及装置 |
| CN104239790A (zh) * | 2013-06-09 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 病毒处理方法及装置 |
| CN104506639A (zh) * | 2014-12-29 | 2015-04-08 | 北京奇虎科技有限公司 | 一种获取Root权限的方法及装置 |
| CN105262722A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN105512557A (zh) * | 2015-12-22 | 2016-04-20 | 北京奇虎科技有限公司 | 病毒处理方法、装置、系统及移动终端 |
| CN106529294A (zh) * | 2016-11-15 | 2017-03-22 | 广东华仝九方科技有限公司 | 一种用于手机病毒判定与过滤的方法 |
| CN106570400A (zh) * | 2016-10-11 | 2017-04-19 | 杭州安恒信息技术有限公司 | 一种云环境下通过自学习防攻击的系统及方法 |
| CN106603557A (zh) * | 2016-12-30 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于配置信息结构的木马检测方法及系统 |
| CN106709341A (zh) * | 2016-06-30 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种针对文件包的病毒处理方法及装置 |
| CN107196916A (zh) * | 2017-04-25 | 2017-09-22 | 中移互联网有限公司 | 一种病毒文件检测的方法、网络侧设备和终端 |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及系统 |
| CN108234453A (zh) * | 2017-12-12 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于规则的Java的web安全防御方法 |
| CN108280347A (zh) * | 2017-12-25 | 2018-07-13 | 北京奇安信科技有限公司 | 一种病毒扫描的方法及装置 |
| CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
| CN108958729A (zh) * | 2017-05-19 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置及存储介质 |
| CN109002721A (zh) * | 2018-07-12 | 2018-12-14 | 南方电网科学研究院有限责任公司 | 一种信息安全漏洞的挖掘分析方法 |
| CN109388963A (zh) * | 2017-08-08 | 2019-02-26 | 武汉安天信息技术有限责任公司 | 一种移动终端用户隐私数据防护方法和装置 |
| CN109600362A (zh) * | 2018-11-26 | 2019-04-09 | 平安科技(深圳)有限公司 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
| CN109783509A (zh) * | 2019-01-04 | 2019-05-21 | 中国银行股份有限公司 | Sql脚本生成方法及装置 |
| CN109829301A (zh) * | 2018-12-27 | 2019-05-31 | 江苏博智软件科技股份有限公司 | 一种基于动态行为监测的恶意程序检测方法 |
| CN110119619A (zh) * | 2018-02-06 | 2019-08-13 | 卡巴斯基实验室股份制公司 | 创建防病毒记录的系统和方法 |
| CN110399720A (zh) * | 2018-12-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种文件检测的方法以及相关装置 |
| CN110674171A (zh) * | 2019-09-12 | 2020-01-10 | 苏州浪潮智能科技有限公司 | 一种脚本生成方法、装置及数据处理方法、装置 |
-
2019
- 2019-11-05 CN CN201911071411.9A patent/CN110826069B/zh active Active
Patent Citations (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070171921A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and systems for interacting, via a hypermedium page, with a virtual machine executing in a terminal services session |
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN103812850A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 控制病毒访问网络的方法及装置 |
| CN103049695A (zh) * | 2012-12-11 | 2013-04-17 | 北京奇虎科技有限公司 | 一种计算机病毒的监控方法和装置 |
| CN103268446A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种基于sd卡驱动的手机恶意代码检测方法及系统 |
| CN104239790A (zh) * | 2013-06-09 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 病毒处理方法及装置 |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN104506639A (zh) * | 2014-12-29 | 2015-04-08 | 北京奇虎科技有限公司 | 一种获取Root权限的方法及装置 |
| CN105262722A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN105512557A (zh) * | 2015-12-22 | 2016-04-20 | 北京奇虎科技有限公司 | 病毒处理方法、装置、系统及移动终端 |
| CN106709341A (zh) * | 2016-06-30 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种针对文件包的病毒处理方法及装置 |
| CN106570400A (zh) * | 2016-10-11 | 2017-04-19 | 杭州安恒信息技术有限公司 | 一种云环境下通过自学习防攻击的系统及方法 |
| CN106529294A (zh) * | 2016-11-15 | 2017-03-22 | 广东华仝九方科技有限公司 | 一种用于手机病毒判定与过滤的方法 |
| CN106603557A (zh) * | 2016-12-30 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于配置信息结构的木马检测方法及系统 |
| CN107196916A (zh) * | 2017-04-25 | 2017-09-22 | 中移互联网有限公司 | 一种病毒文件检测的方法、网络侧设备和终端 |
| CN108958729A (zh) * | 2017-05-19 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置及存储介质 |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及系统 |
| CN109388963A (zh) * | 2017-08-08 | 2019-02-26 | 武汉安天信息技术有限责任公司 | 一种移动终端用户隐私数据防护方法和装置 |
| CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
| CN108234453A (zh) * | 2017-12-12 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于规则的Java的web安全防御方法 |
| CN108280347A (zh) * | 2017-12-25 | 2018-07-13 | 北京奇安信科技有限公司 | 一种病毒扫描的方法及装置 |
| CN110119619A (zh) * | 2018-02-06 | 2019-08-13 | 卡巴斯基实验室股份制公司 | 创建防病毒记录的系统和方法 |
| CN109002721A (zh) * | 2018-07-12 | 2018-12-14 | 南方电网科学研究院有限责任公司 | 一种信息安全漏洞的挖掘分析方法 |
| CN109600362A (zh) * | 2018-11-26 | 2019-04-09 | 平安科技(深圳)有限公司 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
| CN110399720A (zh) * | 2018-12-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种文件检测的方法以及相关装置 |
| CN109829301A (zh) * | 2018-12-27 | 2019-05-31 | 江苏博智软件科技股份有限公司 | 一种基于动态行为监测的恶意程序检测方法 |
| CN109783509A (zh) * | 2019-01-04 | 2019-05-21 | 中国银行股份有限公司 | Sql脚本生成方法及装置 |
| CN110674171A (zh) * | 2019-09-12 | 2020-01-10 | 苏州浪潮智能科技有限公司 | 一种脚本生成方法、装置及数据处理方法、装置 |
Non-Patent Citations (5)
| Title |
|---|
| WUHAUNG: ""驱动人生"升级通道传木马,技术分析报告来了", 《HTTPS://BLOG.CSDN.NET/CPONGO2PPP1/ARTICLE/DETAILS/90172505》 * |
| 张冲等: "基于攻击树的脚本病毒样本分析方法", 《计算机应用研究》 * |
| 曹嘉: "【安全报告】WANNACRY勒索事件处置手册", 《BLOG.NSFOCUS.NET/WANNACRY-BLACKMAIL-EVENT-DISPOSAL-HANDBOOK/》 * |
| 曾新洲等: "面向安全检测的SMTP透明代理服务器", 《计算机工程》 * |
| 王有富: "基于行为监控的病毒程序自动化鉴定平台设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110826069B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10110619B2 (en) | Method and product for providing a predictive security product and evaluating existing security products | |
| US7234167B2 (en) | Automatic builder of detection and cleaning routines for computer viruses | |
| KR102415971B1 (ko) | 악성 모바일 앱 감지 장치 및 방법 | |
| CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
| CN110826064A (zh) | 一种恶意文件的处理方法、装置、电子设备以及存储介质 | |
| CN111818068B (zh) | 微场景案例的编排验证方法、装置、介质及计算机设备 | |
| CN111177729B (zh) | 一种程序漏洞的测试方法以及相关装置 | |
| US20190121976A1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| CN108268773B (zh) | Android应用升级包本地存储安全性检测方法 | |
| CN112422581B (zh) | JVM中的Webshell网页检测方法、装置及设备 | |
| De Andrade et al. | Malware automatic analysis | |
| CN113946825B (zh) | 一种内存马处理方法及系统 | |
| CN115859274B (zh) | 一种监控Windows进程清空系统事件日志行为的方法及系统 | |
| CN111565198B (zh) | 一种漏洞检测方法及相关设备 | |
| CN113079151A (zh) | 一种异常处理方法、装置、电子设备及可读存储介质 | |
| CN111177665A (zh) | 一种新生成可执行文件的安全追溯方法 | |
| CN105205398A (zh) | 一种基于apk加壳软件动态行为的查壳方法 | |
| CN109472135B (zh) | 一种检测进程注入的方法、装置及存储介质 | |
| KR101557455B1 (ko) | 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법 | |
| JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
| CN113868088A (zh) | 挖矿行为的检测方法、系统及计算机可读存储介质 | |
| CN110826069B (zh) | 一种病毒处理方法、装置、设备及存储介质 | |
| EP4160455A1 (en) | Behavior analysis based on finite-state machine for malware detection | |
| CN112560030A (zh) | 文件监控方法、装置、电子设备和计算机可读存储介质 | |
| CN113569240B (zh) | 恶意软件的检测方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |