CN110851831B - 病毒处理方法、装置、计算机设备及计算机可读存储介质 - Google Patents
病毒处理方法、装置、计算机设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110851831B CN110851831B CN201911099296.6A CN201911099296A CN110851831B CN 110851831 B CN110851831 B CN 110851831B CN 201911099296 A CN201911099296 A CN 201911099296A CN 110851831 B CN110851831 B CN 110851831B
- Authority
- CN
- China
- Prior art keywords
- virus
- target
- registry
- information
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本公开提供了一种病毒处理方法、装置、计算机设备及计算机可读存储介质,属于计算机技术领域。所述方法包括:在接收到对目标病毒的目标处理指令时,在操作系统中注册用于在操作系统重启过程中对病毒进行处理的开机清洁驱动,并根据记录的目标病毒的病毒信息,在操作系统重启过程中系统内核加载完成后,加载开机清洁驱动,对目标病毒进行处理。本公开通过加载系统内核后,加载在关机前注册的开机清洁驱动,对病毒进行处理,由于此时病毒尚未进入内核,处于病毒保护的真空期,便于实现对病毒的删除或阻断病毒加载,处理成功率大幅提升,此外,本公开无需对病毒的隐藏原理进行分析,即可以实现对病毒的及时处理,保护计算机系统和计算机数据。
Description
技术领域
本公开涉及计算机技术领域,特别涉及一种病毒处理方法、装置、计算机设备及计算机可读存储介质。
背景技术
随着计算机技术的不断发展,网络安全问题逐渐受到大家的重视。计算机病毒的种类越来越多,带来的危害也越来越大,可能会破坏计算机数据信息、占用磁盘空间、抢占系统资源、影响计算机兼容性和运行速度,甚至可能带来不可预估的危害,而对于顽固病毒来说,其隐藏能力更强,可以在安装目标上隐藏自身及指定的文件、进程、注册表和网络链接等信息,危害更大,清理起来更加困难。因此,亟需一种病毒处理方法来实现对顽固病毒的清理。
目前对隐藏在系统内核中的最高权限工具箱(Rootkit)病毒等顽固病毒进行处理时,可以先通过病毒分析人员对顽固病毒在系统中的隐藏原理进行分析再开发相应的专杀工具,在扫描和处理前,先尝试通过在内核中摘除病毒钩子(Hook)点、修改病毒Hook代码等方案,将顽固病毒还原成无对抗性病毒,以解除病毒保护,再使用常规技术进行处理,例如,可以通过系统公开的应用程序接口(Application Program Interface,API)的删除文件(DeleteFile)命令直接删除注册文件,或者调用删除注册键值表(RegDeleteKey)命令删除注册表。
当病毒经过变异后,专用杀毒工具无法立即识别出病毒,需要重新对病毒的隐藏原理进行分析,病毒处理不及时,威胁计算机系统和数据,此外,在内核中摘除Hook点或修改病毒Hook代码,一旦代码有误,可能导致系统兼容性问题,直接出现系统蓝屏,导致计算机数据丢失,损害计算机系统。
发明内容
本公开实施例提供了一种病毒处理方法、装置、计算机设备及计算机可读存储介质,可以解决相关技术中常规病毒处理方法病毒处理不及时,可能导致计算机数据丢失,损害计算机系统的问题。所述技术方案如下:
一方面,提供了一种病毒处理方法,该方法包括:
若接收到对目标病毒的目标处理指令,在操作系统中注册开机清洁驱动,该开机清洁驱动用于在该操作系统重启过程中启动对病毒的处理;
当接收到关机退出消息时,记录该目标病毒的病毒信息;
在该操作系统重新启动过程中,在加载该操作系统的系统内核后,加载该开机清洁驱动,通过该开机清洁驱动按照该病毒信息,对该目标病毒进行处理。
在一种可能的实现方式中,所述通过该开机清洁驱动按照该病毒信息,对该目标病毒进行处理之后,该方法还包括:
根据所记录的该目标病毒的病毒信息,对该目标病毒进行检测;
当未检测到该目标病毒时,确定处理成功,否则,确定处理失败。
在一种可能的实现方式中,所述当未检测到该目标病毒时,确定处理成功,否则,处理失败之后,该方法还包括:
将检测结果上传至目标服务器。
一方面,提供了一种病毒处理装置,该装置包括:
驱动注册模块,用于若接收到对目标病毒的目标处理指令,在操作系统中注册开机清洁驱动,该开机清洁驱动用于在该操作系统重启过程中启动对病毒的处理;
记录模块,用于当接收到关机退出消息时,记录该目标病毒的病毒信息;
加载模块,用于在该操作系统重新启动过程中,在加载该操作系统的系统内核后,加载该开机清洁驱动;
处理模块,用于通过该开机清洁驱动按照该病毒信息,对该目标病毒进行处理。
在一种可能的实现方式中,该装置还包括:
添加模块,用于在该操作系统的系统注册表中位于系统内核的下一表项中添加该开机清洁驱动的注册表项。
在一种可能的实现方式中,该装置还包括:
删除模块,用于在该系统注册表中,删除该开机清洁驱动的注册表项。
在一种可能的实现方式中,该装置还包括:
接口注册模块,用于若接收到对目标病毒的目标处理指令,为目标驱动在操作系统中注册关机回调接口,该目标驱动为处于运行状态的驱动;
该处理模块,还用于通过该目标驱动调用该关机回调接口,按照该病毒信息,对该目标病毒进行处理。
在一种可能的实现方式中,该装置还包括:
读取模块,用于从数据库文件中读取加密后的病毒信息;
解码模块,用于对该加密后的病毒信息进行解密;
该记录模块,还用于将解密得到的病毒信息记录在初始化格式文件中。
在一种可能的实现方式中,该装置还包括:
加密模块,用于对该目标病毒的病毒信息进行加密;
该记录模块,还用于将加密后的病毒信息记录在该数据库文件中。
在一种可能的实现方式中,该装置还包括:
删除模块,用于通过该目标驱动调用该关机回调接口,按照该文件路径信息,删除该目标病毒的文件,按照该注册表信息,在系统注册表中删除该目标病毒的注册表;
该删除模块,还用于当无法找到该目标病毒的注册表时,按照该文件路径信息,删除该目标病毒的文件;
设置模块,用于当该目标病毒具有用于对文件进行删除的代码时,在该系统注册表中,将该目标病毒的注册表设置为禁用状态;
该设置模块,还用于当目标病毒的检测过程有误报风险时,在该系统注册表中,将该目标病毒的注册表设置为禁用状态。
在一种可能的实现方式中,该装置还包括:
检测模块,用于根据所记录的该目标病毒的病毒信息,对该目标病毒进行检测;
确定模块,用于当未检测到该目标病毒时,确定处理成功,否则,确定处理失败。
在一种可能的实现方式中,该装置还包括:
上传模块,用于将检测结果上传至目标服务器。
一方面,提供了一种计算机设备,该计算机设备包括一个或多个处理器和一个或多个存储器,该一个或多个存储器中存储有至少一条程序代码,该程序代码由该一个或多个处理器加载并执行以实现该病毒处理方法所执行的操作。
一方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有至少一条程序代码,该程序代码由处理器加载并执行以实现该病毒处理方法所执行的操作。
通过在接收到对目标病毒的目标处理指令时,在操作系统中注册用于在操作系统重启过程中对病毒进行处理的开机清洁驱动,并根据记录的目标病毒的病毒信息,在操作系统重启过程中,在系统内核加载完成后,加载在关机前所注册的开机清洁驱动,利用该开机清洁驱动对目标病毒进行处理,此时病毒尚未进入内核,处于病毒保护的真空期,便于实现对病毒的删除或阻断病毒加载,处理成功率大幅提升,此外,本公开提供的病毒处理方法,无需对病毒的隐藏原理进行分析,即可以实现对病毒的及时处理,保护计算机系统和计算机数据。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种病毒处理方法的实施环境示意图;
图2是本公开实施例提供的一种病毒处理方法的流程图;
图3是本公开实施例提供的一种病毒处理方法的技术方案流程图;
图4是本公开实施例提供的一种病毒处理方法的流程图;
图5是本公开实施例提供的一种Rootkit病毒的相关信息示意图;
图6是本公开实施例提供的一种检测到风险的界面示意图;
图7是本公开实施例提供的一种用户选择病毒处理时机的界面示意图;
图8是本公开实施例提供的一种开机清洁驱动插入系统注册表中的位置示意图;
图9是本公开实施例提供的一种病毒处理对抗成功率曲线图;
图10是本公开实施例提供的一种病毒处理装置示意图;
图11是本公开实施例提供的一种计算机设备的结构示意图;
图12是本公开实施例提供的一种服务器的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合附图对本公开实施方式作进一步地详细描述。
顽固病毒:本公开中处理的病毒可以为顽固病毒,例如,Rootkit类病毒,该病毒是一种具备很强隐藏能力的恶意驱动程序,可以在安装目标上隐藏自身及指定的文件、进程、注册表和网络链接等信息。
关机(Shutdown)回调:视窗操作(Windows)系统提供的系统关机回调,驱动程序加载后可以通过注册Shutdown回调,在系统关机时获取指定代码执行机会。
Windows服务/驱动启动顺序:Windows系统将服务/驱动划分为不同组别,启动组的顺序由控制计算机启动项的注册表信息(HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder)的注册表项内容决定。
穿透驱动:杀毒软件为了考虑病毒可能存在的对抗行为,在检出和处理病毒时不能仅使用系统传统API进行文件/注册表/进程等读写、删除操作,会开发一种负责基础读写功能的驱动进入内核,该驱动利用系统未公开的底层函数向杀毒软件应用层提供核心能力,相当于“穿透”了常规调用流程上各类函数节点。
文件过滤驱动:一种可以获取到当前系统中所有文件变化消息的驱动,杀毒软件可以注册文件过滤驱动监控病毒文件产生并提示;病毒如果成功进入系统内核,也可以注册文件过滤驱动保护自身文件不被杀软发现和处理。
特权级别(Ring0):因特尔(Intel)的x86处理器是通过Ring级别来进行访问控制的,工作在Ring0层的程序拥有最高的权限,可以访问所有层的数据。内核驱动加载后运行在Ring0层。
图1是本公开实施例提供的一种病毒处理方法的实施环境示意图,参见图1,该实施环境包括:计算机设备101和服务器102。
计算机设备101可以是智能手机、游戏主机、台式计算机、平板电脑、电子书阅读器、MP3播放器、MP4播放器和膝上型便携计算机中的至少一种等设备中的至少一种。计算机设备101中可以安装并运行有杀毒软件,用于对计算机设备中存在的病毒进行检测及处理。可选地,计算机设备101可以自行对系统进行检测,以判断系统中是否存在病毒,还可以根据用户在可视化界面的触发操作,实现对病毒的检测。
计算机设备101可以泛指多个计算机设备中的一个,本实施例仅以计算机设备101来举例说明。本领域技术人员可以知晓,上述计算机设备的数量可以更多或更少。比如上述计算机设备可以仅为几个,或者上述计算机设备为几十个或几百个,或者更多数量,本公开实施例对计算机设备的数量和设备类型不加以限定。
服务器102可以为多台服务器、云计算平台和虚拟化中心中的至少一种,服务器102可以根据计算机设备上传的检测结果,结合病毒处理次数,对病毒的处理成功率进行判定。可选地,上述各个服务器的数量可以更多或更少,本公开实施例对此不加以限定。当然,服务器102还可以包括其他功能服务器,以便提供更全面且多样化的服务。可选地,服务器102还可以维护有至少一种病毒信息数据库,例如病毒类型数据库、病毒行为数据库等,用于存储病毒的相关信息。
图2是本公开实施例提供的一种病毒处理方法的流程图,参见图2,该方法包括:
201、若接收到对目标病毒的目标处理指令,计算机设备在操作系统中注册开机清洁驱动,该开机清洁驱动用于在该操作系统重启过程中启动对病毒的处理。
其中,该开机清洁驱动的名称可以由计算机设备随机进行设置,使病毒难以识别和摘除,例如,计算机设备可以将该开机清洁驱动命名为BootClean驱动。
在一种可能的实现方式中,计算机设备在接收到对目标病毒的目标处理指令后,可以通过在系统注册表中添加注册开机清洁驱动的注册表项,来实现对开机清洁驱动的注册。
需要说明的是,计算机设备注册开机清洁驱动后,还可以为该开机清洁驱动注册新组别,该组别名称也可以由计算机设备随机进行设置,使病毒难以识别和摘除,例如,计算机设备可以将该开机清洁驱动组别命名为BootClean Group。计算机设备可以通过调整开机清洁驱动组别在系统注册表中的位置,来提升开机清洁驱动的启动顺序。计算机设备可以将该开机清洁驱动组别作为排序第二的组别插入操作系统的系统注册表,即将开机清洁驱动组别插入在系统注册表中系统内核(System Reserved)组别之后、EMS(ExpandedMemory Specification,扩展磁盘操作系统内存方式)组别之前的位置,以获取在重新启动后优先被执行的机会。
202、当接收到关机退出消息时,计算机设备记录该目标病毒的病毒信息。
在一种可能的实现方式中,计算机设备可以在获取到目标病毒的病毒信息后,对该目标病毒的病毒信息进行加密,将加密后的病毒信息记录在数据库文件中,在接收到关机退出消息时,计算机设备从数据库文件中读取加密后的病毒信息,对加密后的病毒信息进行解密,将解密得到的病毒信息记录在初始化格式文件中。
其中,该目标病毒可以为顽固病毒,例如,Rootkit病毒,此类病毒隐藏能力很强,难以处理,参见图5,图5是本公开实施例提供的一种Rootkit病毒的相关信息示意图,该图5中的msiffxdr.sys是一种加载到内核后保护自身源文件的Rootkit病毒,当使用反最高权限工具箱(AntiRootkit)类系统工具对系统注册表进行查看时,AntiRootkit类系统工具发现该文件读写异常,将其标记为红色。当用户手动删除该文件时,系统会提示无法删除。
需要说明的是,该病毒信息可以包括文件路径信息和注册表信息,可选地,该病毒信息还可以包括病毒文件大小、病毒文件类型等信息。对记录有病毒信息的数据库文件进行加密,可以防止病毒的文件路径信息和注册表信息的被其他文件任意读取。该记录病毒信息的数据库文件可以为病毒清洗数据库文件(Virusclean.db),可选地,该数据库文件还可以为其他种类的数据库文件,本公开实施例对具体采用哪种数据库文件不加以限定。计算机设备通过将加密后的病毒信息记录在数据库文件中,可以实现对病毒信息的隔离处理。
其中,该初始化(Initialization,ini)格式文件容易被目标驱动读取,因此,计算机设备可以将解密后的病毒信息记录在ini格式文件中。可选地,该解密后的病毒信息也可以存储为计算机设备的其他文件类型,本公开实施例对具体采用那种文件类型不加以限定。
203、在该操作系统重新启动过程中,计算机设备在加载该操作系统的系统内核后,加载该开机清洁驱动,通过该开机清洁驱动按照该病毒信息,对该目标病毒进行处理。
需要说明的是,由于注册开机清洁驱动时,计算机设备已经将开机清洁驱动作为排序第二的组别插入到了操作系统的系统注册表中,因此,再次启动操作系统的过程中,计算机设备按照插入开机清洁驱动后的系统注册表进行加载,也即是,开机清洁驱动可以作为排序第二的组别获取优先执行机会,计算机设备可以通过该开机清洁驱动对目标病毒进行处理,由于此时病毒尚未加载,无需考虑病毒诱导删除正常文件的情况,因此可以采用将病毒的文件和注册表全部删除的方式对病毒进行处理,以实现对病毒的彻底清理。
上述方法在接收到对目标病毒的目标处理指令时,在操作系统中注册用于在操作系统重启过程中对病毒进行处理的开机清洁驱动,并根据记录的目标病毒的病毒信息,在操作系统重启过程中系统内核加载完成后,加载开机清洁驱动,对目标病毒进行处理。本公开通过加载系统内核后,加载在关机前注册的开机清洁驱动,对病毒进行处理,由于此时病毒尚未进入内核,处于病毒保护的真空期,便于实现对病毒的删除或阻断病毒加载,处理成功率大幅提升,此外,本公开无需对病毒的隐藏原理进行分析,即可以实现对病毒的及时处理,保护计算机系统和计算机数据。
图3是本公开实施例提供的一种病毒处理方法的技术方案流程图,该图可以简要展示出本公开实施例提供的病毒处理方法,参见图3,计算机设备开始查杀任务,对系统中的文件进行检测,当确定有需要处理的顽固病毒时,计算机设备注册关机回调接口和开机清洁驱动,并为该开机清洁驱动注册新组别,提升该组别的启动顺序,随后,提示用户重启操作系统,当操作系统接收到用户触发的关机/重启消息时,在计算机系统断电前触发关机回调驱动,关机清洁驱动根据记录好的需要处理的注册表/文件信息,执行清理任务清理,清理完成后,系统断电,操作系统重启,根据系统注册表加载内核驱动,随后加载开机清洁驱动,开机清洁驱动执行清理任务,开机完毕后,病毒处理完成。
上述图3所示为本公开实施例的基本流程,下面基于一种具体实施流程对本公开的技术方案进行介绍,图4是本公开实施例提供的一种病毒处理方法的流程图,参见图4,该方法包括:
401、计算机设备获取目标病毒的病毒信息,该病毒信息包括文件路径信息和注册表信息。
其中,该目标病毒可以为顽固病毒,例如,Rootkit病毒,此类病毒隐藏能力很强,难以处理,参见图5,图5是本公开实施例提供的一种Rootkit病毒的相关信息示意图,该图5中的msiffxdr.sys是一种加载到内核后保护自身源文件的Rootkit病毒,当使用反最高权限工具箱(AntiRootkit)类系统工具对系统注册表进行查看时,AntiRootkit类系统工具发现该文件读写异常,将其标记为红色。当用户手动删除该文件时,系统会提示无法删除。
需要说明的是,该病毒信息可以包括文件路径信息和注册表信息,可选地,该病毒信息还可以包括病毒文件大小、病毒文件类型等信息。
在一种可能的实现方式中,计算机设备对已存储或者缓存的文件进行检测,确认被检测的文件中是否存在需要处理的目标病毒,若存在,则计算机设备根据检测到病毒文件的位置,获取病毒的文件路径信息,根据病毒文件在系统注册表中的信息,获取病毒的注册表信息。
需要说明的是,计算机设备可以周期性地对文件进行检测,还可以在计算机设备开机时或待机时进行检测,或者,在计算机设备接收到用户的触发操作时进行检测,例如,计算机设备可以根据用户在可视化界面触发的“全面体检”或“闪电杀毒”等操作,来对其中的文件进行检测,参见图6,图6是本公开实施例提供的一种检测到风险的界面示意图。
402、计算机设备对该目标病毒的病毒信息进行加密,将加密后的病毒信息记录在数据库文件中。
需要说明的是,对记录有病毒信息的数据库文件进行加密,可以防止病毒的文件路径信息和注册表信息的被其他文件任意读取。该记录病毒信息的数据库文件可以为病毒清洗数据库文件(Virusclean.db),可选地,该数据库文件还可以为其他种类的数据库文件,本公开实施例对具体采用哪种数据库文件不加以限定。计算机设备通过将加密后的病毒信息记录在数据库文件中,可以实现对病毒信息的隔离处理。
403、当接收到对目标病毒的目标处理指令时,计算机设备为目标驱动在操作系统中注册关机回调接口,该目标驱动为处于运行状态的驱动。
需要说明的是,该目标处理指令可以为计算机设备在检测到风险后,根据用户在可视化界面触发的操作生成的指令,例如,该用户在可视化界面触发的操作可以为关机操作或重启操作等,参见图7,图7是本公开实施例提供的一种用户选择病毒处理时机的界面示意图,用户可以通过触发图7中的“稍后手动重启”按钮,暂时不对病毒进行处理,而在后续自行对计算机设备进行重启或关机及开机时对病毒进行处理;用户还可以通过触发图7中的“立即重启”按钮,对计算机设备进行重启,并在计算机重启过程中对病毒进行处理。该关机回调接口用于在接收到关机退出指令时,调用目标驱动,来对目标病毒进行处理,例如,该关机回调接口可以为Shutdown回调接口。该目标驱动可以为已经在用户侧设备中处于运行状态的驱动。
在一种可能的实现方式中,为目标驱动在操作系统中注册关机回调接口的具体实现可以包括:计算机设备在目标驱动中添加目标代码,该目标代码用于调用操作系统中的关机回调接口。
需要说明的是,在为目标驱动注册关机回调接口后,计算机设备可以每隔预设时长检测该目标驱动中的目标代码是否还存在,以确定关机回调接口是否被病毒摘除回调,如被摘除可再次对关机回调接口进行注册,避免病毒恶意干扰。
404、计算机设备在操作系统中注册开机清洁驱动,该开机清洁驱动用于在该操作系统重启过程中启动对病毒的处理。
其中,该开机清洁驱动的名称可以由计算机设备随机进行设置,使病毒难以识别和摘除,例如,计算机设备可以将该开机清洁驱动命名为BootClean驱动。
在一种可能的实现方式中,计算机设备可以通过在系统注册表中添加注册开机清洁驱动的注册表项,来实现对开机清洁驱动的注册。
需要说明的是,计算机设备注册开机清洁驱动后,还可以为该开机清洁驱动注册新组别,该组别名称也可以由计算机设备随机进行设置,使病毒难以识别和摘除,例如,计算机设备可以将该开机清洁驱动组别命名为BootClean Group。
405、计算机设备在操作系统的系统注册表中位于系统内核的下一表项中添加开机清洁驱动的注册表项。
需要说明的是,计算机设备可以通过调整开机清洁驱动组别在系统注册表中的位置,来提升开机清洁驱动的启动顺序。
在一种可能的实现方式中,计算机设备可以将该开机清洁驱动组别作为排序第二的组别插入操作系统的系统注册表,即将开机清洁驱动组别插入在系统注册表中系统内核(System Reserved)组别之后、EMS(Expanded Memory Specification,扩展磁盘操作系统内存方式)组别之前的位置,以获取在重新启动后优先被执行的机会。图8是本公开实施例提供的一种开机清洁驱动插入系统注册表中的位置示意图,参见该图8,可以看出,开机清洁驱动位于系统注册表中排序第二的位置处,以便重新启动过程中系统内核加载完成后,对开机清洁驱动进行加载,使其获取到优先执行机会,保证该开机清洁驱动的加载顺序早于病毒。
406、当接收到关机退出消息时,计算机设备从数据库文件中读取加密后的病毒信息。
在一种可能的实现方式中,当计算机设备应用层的进程接收到关机退出消息时,计算机设备从记录病毒信息的数据库文件中读取加密后的病毒信息,例如,步骤402将病毒信息记录在Virusclean.db文件中,则计算机设备可以从Virusclean.db文件中进行病毒信息的读取。
需要说明的是,该关机退出消息可以由计算机设备根据用户在图7中触发“稍后手动重启”按钮后,在后续任意时刻自行对计算机设备进行重启或关机时生成,也可以由计算机设备根据用户在图7中触发“立即重启”按钮而对计算机设备进行重启时生成,本公开实施例对关机退出消息在何种时机产生不加以限定。
407、计算机设备对该加密后的病毒信息进行解密。
需要说明的是,本公开实施例对病毒信息进行加密及解密可以采用任一种算法,本公开实施例对此不加以限定。
408、计算机设备将解密得到的病毒信息记录在初始化格式文件中。
需要说明的是,该初始化(Initialization,ini)格式文件容易被目标驱动读取,因此,计算机设备可以将解密后的病毒信息记录在ini格式文件中。记录的内容格式大致如下,其中,文件信息可以为:
[filecount=2]
file1=“c:\virus1.sys”
file2=“c:\virus2.sys”
注册表信息可以为:
[regcount=2]
Reg1=Delete,“HKLM\SYSTEM\CurrentControlSet\services\Virus1Key”
Reg2=Disable,“HKLM\SYSTEM\CurrentControlSet\services\Virus2Key”
其中,删除(Delete)和禁用(Disable)为病毒注册表项的两个类型,Delete类别为需要直接删除的病毒注册表项,Disable类别为需要禁止加载的病毒注册表项。
可选地,该解密后的病毒信息也可以存储为计算机设备的其他文件类型,本公开实施例对具体采用那种文件类型不加以限定。
409、计算机设备通过该目标驱动调用该关机回调接口,按照初始化格式文件中记录的病毒信息,对该目标病毒进行处理。
需要说明的是,目标驱动通过关机回调接口获取到执行机会后,根据步骤408中的病毒注册表项的类别,对目标病毒的注册表项的处理可以有两种方式:删除和禁用。该两种对注册表项的方式可以结合对病毒文件的处理方式,可以有下述三种文件与注册表结合的方式来对病毒进行处理:
(1)处理文件和注册表:目标驱动可以根据目标病毒的文件路径信息和注册表信息,将病毒的文件和注册表全部删除,以实现对病毒的彻底清理;
(2)只处理文件:目标驱动可以根据病毒的文件路径信息,删除病毒文件,而不处理病毒注册表,上述只处理文件的方式通常在目标驱动无法找到病毒的注册表时使用;
(3)只处理注册表:目标驱动可以不删除病毒文件,而只将目标病毒的注册表设置为禁用状态,禁止目标病毒的注册表启动,上述只处理注册表的方式通常在病毒具有用于对文件进行删除的代码,或病毒的检测过程有误报风险时使用。病毒注册表禁用成功后,计算机设备可以在无对抗的环境下正确判别病毒文件,并对其进行处理。
410、计算机设备响应于关机退出消息,进行重启。
在一种可能的实现方式中,目标驱动对病毒的处理完成后,计算机设备通过先断电再上电,实现对计算机设备的重启。
411、在该操作系统重新启动过程中,计算机设备在加载该操作系统的系统内核后,加载该开机清洁驱动,通过该开机清洁驱动按照初始化格式文件中记录的病毒信息,对该目标病毒进行处理。
需要说明的是,由于注册开机清洁驱动时,计算机设备已经将开机清洁驱动作为排序第二的组别插入到了操作系统的系统注册表中,因此,再次启动操作系统的过程中,计算机设备按照插入开机清洁驱动后的系统注册表进行加载,也即是,按照如图8所示的系统注册表进行加载,System Reserved组别加载完成后,开机清洁驱动即可以作为排序第二的组别获取优先执行机会,计算机设备可以通过该开机清洁驱动对目标病毒进行进一步处理。
其中,在系统重新启动的过程中,由于开机清洁驱动作为排序第二的组别运行时,病毒尚未加载,无需考虑病毒诱导删除正常文件的情况,因此,计算机设备通过开机清洁驱动对病毒进行处理时,例如,可以采用步骤409中第(1)种情况下,将病毒的文件和注册表全部删除的方式对病毒进行处理,以实现对病毒的彻底清理。
412、目标病毒处理完成后,计算机设备在该系统注册表中,删除该开机清洁驱动的注册表项。
其中,计算机设备为开机清洁驱动注册新的组别后,可以在病毒处理完成后将该开机清洁驱动组别删除,进而保证系统的启动效率。可选地,计算机设备也可以不对该开机清洁驱动组别进行删除,本公开实施例对此不做具体限定。
413、计算机设备根据所记录的该目标病毒的病毒信息,对该目标病毒进行检测。
在一种可能的实现方式中,计算机设备开机完成后,计算机设备应用层进程启动,触发对计算机系统中文件和注册表的检测,根据目标病毒的文件路径信息,在计算机系统中对该病毒文件进行检测,确定该病毒文件是否已删除,根据目标病毒的注册表信息,在系统注册表中对病毒注册表进行检测,确定该病毒注册表是否已删除,或者该病毒注册表是否已经被禁用,来检测目标病毒的处理是否成功。
414、当未检测到该目标病毒时,计算机设备确定目标病毒处理成功,否则,确定处理失败。
需要说明的是,当未检测到目标病毒的注册表,或者检测到目标病毒的注册表为禁用状态,且未检测到目标病毒的文件时,可以确定目标病毒处理成功,否则,处理失败。
415、计算机设备将检测结果至目标服务器,由目标服务器确定病毒处理的成功率信息。
需要说明的是,对病毒处理情况进行检测,并根据检测结果判定处理成功率,有利于对本公开实施例提供的病毒处理方法的处理效果进行分析。
需要说明的是,本公开实施例可以在用户使用杀毒软件等产品检测到风险,并选择对风险进行处理时使用,也可以在其他情况下使用,本公开实施例对此不加以限定。此外,本公开实施例提供的方案中关机时对病毒进行处理和开机时对病毒进行处理的方法可以灵活运用,针对不同类别的病毒,可以在关机时对其进行处理,也可以在开机时对其进行处理,还可以采用两种处理方法结合的方式对其进行处理,本公开实施例对此不加以限定。
本公开实施例提供的方案,不再局限于传统的对抗式病毒处理方式,而是通过在接收到对目标病毒的目标处理指令时,注册关机回调接口和开机清洁驱动,并根据记录的目标病毒的病毒信息,在操作系统关机的过程中,利用处于运行状态的驱动,通过关机回调接口,对目标病毒进行处理,在操作系统重启过程中,在系统内核加载完成后,加载开机清洁驱动,利用该开机清洁驱动对目标病毒进行进一步处理,可以利用系统开关机的病毒保护真空期,在系统关机的最后阶段,完整记录和处理目标病毒的文件和注册表等,在系统开机的最早阶段,此时病毒尚未进入内核,处于病毒保护的真空期,便于实现对病毒的删除或阻断病毒加载,处理成功率大幅提升,而且无需对病毒的隐藏原理进行分析,即可以实现对病毒的及时处理,保证开机完成后清理干净病毒或至少阻断病毒加载,进而可以在无对抗的环境下利用常规手段对病毒进行处理,保护计算机系统和计算机数据。此外,本公开实施例提供的方案,无需跟随病毒的更新,对杀毒软件进行更新,减少了研发投入,并且病毒处理效果也与专用杀毒工具的处理效果相近,技术上利用系统各稳定接口,减小了处理风险。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
利用本公开实施例提供的方案对各种类型的病毒Rootkit进行处理,并将处理情况与利用常规方法进行处理的处理情况进行对比,对比结果如下表1所示:
表1
由表1可以看出,对于表1中的各种类型的Rootkit病毒,本公开实施例提供的方法处理成功情况优于常规处理方法,表1中Rootkit病毒通过本公开实施例提供的处理方法进行处理,均可以处理成功,而常规处理方法仅可以对6789主页劫持Rootkit病毒进行处理。
需要说明的是,在针对全体Rootkit病毒的处理中,超过50000的机器在检测到Rootkit病毒后,使用本公开实施例提供的方案,系统重启后处理成功率超过96%,具体数据如表2所示:
表2
扫描项 | 成功率波动 | 成功率 | 机器数 | 机器变化 | 机器变化率 |
可疑驱动(最新2) | -0.21% | 96.21% | 59264 | -5573 | -8.6% |
可疑驱动(最新2) | -0.1% | 96.12% | 54894 | -4370 | -7.38% |
可疑驱动(最新2) | -0.01% | 96.11% | 51897 | -2997 | -5.46% |
可疑驱动(最新2) | -0.45% | 95.67% | 49037 | -2860 | -5.52% |
可疑驱动(最新2) | 0.14% | 95.81% | 49155 | 118 | 0.24% |
可疑驱动(最新2) | 0.04% | 95.86% | 51640 | 2485 | 5.05% |
可疑驱动(最新2) | 0.31% | 96.18% | 53670 | 2030 | 3.93% |
可疑驱动(最新2) | -0.35% | 95.83% | 48610 | -5060 | -9.43% |
可疑驱动(最新2) | 0.44% | 96.28% | 45169 | -3441 | -7.08% |
其中,在Rootkit病毒长期与杀毒软件对抗的浏览器主页锁定类功能上,通过提升处理效果,帮助浏览器主页锁定类功能成功率从81.7%提高到88.04%(最高89.56%),具体的成功率曲线图可以参见图9所示的曲线图,图9是本公开实施例提供的一种病毒处理对抗成功率曲线图,本公开实施例提供的方案带来的商业收益贡献超过1200万。
图10是本公开实施例提供的一种病毒处理装置示意图,参见图10,该装置包括:
驱动注册模块1001,用于若接收到对目标病毒的目标处理指令,在操作系统中注册开机清洁驱动,该开机清洁驱动用于在该操作系统重启过程中启动对病毒的处理;
记录模块1002,用于当接收到关机退出消息时,记录该目标病毒的病毒信息;
加载模块1003,用于在该操作系统重新启动过程中,在加载该操作系统的系统内核后,加载该开机清洁驱动;
处理模块1004,用于通过该开机清洁驱动按照该病毒信息,对该目标病毒进行处理。
在一种可能的实现方式中,该装置还包括:
添加模块,用于在该操作系统的系统注册表中位于系统内核的下一表项中添加该开机清洁驱动的注册表项。
在一种可能的实现方式中,该装置还包括:
删除模块,用于在该系统注册表中,删除该开机清洁驱动的注册表项。
在一种可能的实现方式中,该装置还包括:
接口注册模块,用于若接收到对目标病毒的目标处理指令,为目标驱动在操作系统中注册关机回调接口,该目标驱动为处于运行状态的驱动;
该处理模块1004,还用于通过该目标驱动调用该关机回调接口,按照该病毒信息,对该目标病毒进行处理。
在一种可能的实现方式中,该装置还包括:
读取模块,用于从数据库文件中读取加密后的病毒信息;
解码模块,用于对该加密后的病毒信息进行解密;
该记录模块1002,还用于将解密得到的病毒信息记录在初始化格式文件中。
在一种可能的实现方式中,该装置还包括:
加密模块,用于对该目标病毒的病毒信息进行加密;
该记录模块1002,还用于将加密后的病毒信息记录在该数据库文件中。
在一种可能的实现方式中,该装置还包括:
删除模块,用于通过该目标驱动调用该关机回调接口,按照该文件路径信息,删除该目标病毒的文件,按照该注册表信息,在系统注册表中删除该目标病毒的注册表;
该删除模块,还用于当无法找到该目标病毒的注册表时,按照该文件路径信息,删除该目标病毒的文件;
设置模块,用于当该目标病毒具有用于对文件进行删除的代码时,在该系统注册表中,将该目标病毒的注册表设置为禁用状态;
该设置模块,还用于当目标病毒的检测过程有误报风险时,在该系统注册表中,将该目标病毒的注册表设置为禁用状态。
在一种可能的实现方式中,该装置还包括:
检测模块,用于根据所记录的该目标病毒的病毒信息,对该目标病毒进行检测;
确定模块,用于当未检测到该目标病毒时,确定处理成功,否则,确定处理失败。
在一种可能的实现方式中,该装置还包括:
上传模块,用于将检测结果上传至目标服务器。
上述装置通过在接收到对目标病毒的目标处理指令时,在操作系统中注册用于在操作系统重启过程中对病毒进行处理的开机清洁驱动,并根据记录的目标病毒的病毒信息,在操作系统重启过程中,在系统内核加载完成后,加载开机清洁驱动,利用该开机清洁驱动对目标病毒进行处理,此时病毒尚未进入内核,处于病毒保护的真空期,便于实现对病毒的删除或阻断病毒加载,处理成功率大幅提升,此外,本公开提供的病毒处理装置,无需对病毒的隐藏原理进行分析,即可以实现对病毒的及时处理,保护计算机系统和计算机数据。
需要说明的是:上述实施例提供的病毒处理装置在进行病毒处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的病毒处理装置与病毒处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图11是本公开实施例提供的一种计算机设备的结构示意图。该计算机设备1100可以是:智能手机、平板电脑、MP3播放器(Moving Picture Experts Group Audio LayerIII,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group AudioLayer IV,动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。计算机设备1100还可能被称为用户设备、便携式计算机设备、膝上型计算机设备、台式计算机设备等其他名称。
通常,计算机设备1100包括有:一个或多个处理器1101和一个或多个存储器1102。
处理器1101可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器1101可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1101也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器1101可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器1101还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1102可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器1102还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器1102中的非暂态的计算机可读存储介质用于存储至少一个程序代码,该至少一个程序代码用于被处理器1101所执行以实现本公开中方法实施例提供的病毒处理方法。
在一些实施例中,计算机设备1100还可选包括有:外围设备接口1103和至少一个外围设备。处理器1101、存储器1102和外围设备接口1103之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口1103相连。具体地,外围设备包括:射频电路1104、显示屏1105、摄像头1106、音频电路1107、定位组件1108和电源1109中的至少一种。
外围设备接口1103可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器1101和存储器1102。在一些实施例中,处理器1101、存储器1102和外围设备接口1103被集成在同一芯片或电路板上;在一些其他实施例中,处理器1101、存储器1102和外围设备接口1103中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路1104用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路1104通过电磁信号与通信网络以及其他通信设备进行通信。射频电路1104将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路1104包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路1104可以通过至少一种无线通信协议来与其它计算机设备进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路1104还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本公开对此不加以限定。
显示屏1105用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏1105是触摸显示屏时,显示屏1105还具有采集在显示屏1105的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器1101进行处理。此时,显示屏1105还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏1105可以为一个,设置计算机设备1100的前面板;在另一些实施例中,显示屏1105可以为至少两个,分别设置在计算机设备1100的不同表面或呈折叠设计;在再一些实施例中,显示屏1105可以是柔性显示屏,设置在计算机设备1100的弯曲表面上或折叠面上。甚至,显示屏1105还可以设置成非矩形的不规则图形,也即异形屏。显示屏1105可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(OrganicLight-Emitting Diode,有机发光二极管)等材质制备。
摄像头组件1106用于采集图像或视频。可选地,摄像头组件1106包括前置摄像头和后置摄像头。通常,前置摄像头设置在计算机设备的前面板,后置摄像头设置在计算机设备的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件1106还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路1107可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器1101进行处理,或者输入至射频电路1104以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在计算机设备1100的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器1101或射频电路1104的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路1107还可以包括耳机插孔。
定位组件1108用于定位计算机设备1100的当前地理位置,以实现导航或LBS(Location Based Service,基于位置的服务)。定位组件1108可以是基于美国的GPS(Global Positioning System,全球定位系统)、中国的北斗系统、俄罗斯的格雷纳斯系统或欧盟的伽利略系统的定位组件。
电源1109用于为计算机设备1100中的各个组件进行供电。电源1109可以是交流电、直流电、一次性电池或可充电电池。当电源1109包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
在一些实施例中,计算机设备1100还包括有一个或多个传感器1110。该一个或多个传感器1110包括但不限于:加速度传感器1111、陀螺仪传感器1112、压力传感器1113、指纹传感器1114、光学传感器1115以及接近传感器1116。
加速度传感器1111可以检测以计算机设备1100建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器1111可以用于检测重力加速度在三个坐标轴上的分量。处理器1101可以根据加速度传感器1111采集的重力加速度信号,控制显示屏1105以横向视图或纵向视图进行用户界面的显示。加速度传感器1111还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器1112可以检测计算机设备1100的机体方向及转动角度,陀螺仪传感器1112可以与加速度传感器1111协同采集用户对计算机设备1100的3D动作。处理器1101根据陀螺仪传感器1112采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变UI)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器1113可以设置在计算机设备1100的侧边框和/或显示屏1105的下层。当压力传感器1113设置在计算机设备1100的侧边框时,可以检测用户对计算机设备1100的握持信号,由处理器1101根据压力传感器1113采集的握持信号进行左右手识别或快捷操作。当压力传感器1113设置在显示屏1105的下层时,由处理器1101根据用户对显示屏1105的压力操作,实现对UI界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器1114用于采集用户的指纹,由处理器1101根据指纹传感器1114采集到的指纹识别用户的身份,或者,由指纹传感器1114根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器1101授权该用户执行相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器1114可以被设置计算机设备1100的正面、背面或侧面。当计算机设备1100上设置有物理按键或厂商Logo时,指纹传感器1114可以与物理按键或厂商Logo集成在一起。
光学传感器1115用于采集环境光强度。在一个实施例中,处理器1101可以根据光学传感器1115采集的环境光强度,控制显示屏1105的显示亮度。具体地,当环境光强度较高时,调高显示屏1105的显示亮度;当环境光强度较低时,调低显示屏1105的显示亮度。在另一个实施例中,处理器1101还可以根据光学传感器1115采集的环境光强度,动态调整摄像头组件1106的拍摄参数。
接近传感器1116,也称距离传感器,通常设置在计算机设备1100的前面板。接近传感器1116用于采集用户与计算机设备1100的正面之间的距离。在一个实施例中,当接近传感器1116检测到用户与计算机设备1100的正面之间的距离逐渐变小时,由处理器1101控制显示屏1105从亮屏状态切换为息屏状态;当接近传感器1116检测到用户与计算机设备1100的正面之间的距离逐渐变大时,由处理器1101控制显示屏1105从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图11中示出的结构并不构成对计算机设备1100的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
图12是本公开实施例提供的一种服务器的结构示意图,该服务器1200可因配置或性能不同而产生比较大的差异,可以包括一个或多个处理器(central processing units,CPU)1201和一个或多个的存储器1202,其中,该一个或多个存储器1202中存储有至少一条程序代码,该至少一条程序代码由该一个或多个处理器1201加载并执行以实现上述各个方法实施例提供的方法。当然,该服务器1200还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该服务器1200还可以包括其他用于实现设备功能的部件,在此不做赘述。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括程序代码的存储器,上述程序代码可由处理器执行以完成上述实施例中的病毒处理方法。例如,该计算机可读存储介质可以是只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)、磁带、软盘和光数据存储设备等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来程序代码相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
上述仅为本公开的可选实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (12)
1.一种病毒处理方法,其特征在于,所述方法包括:
若接收到对目标病毒的目标处理指令,在操作系统的系统注册表中位于系统内核的下一表项中添加开机清洁驱动的注册表项,为目标驱动在所述操作系统中注册关机回调接口,所述开机清洁驱动用于在所述操作系统重启过程中启动对病毒的处理,所述目标驱动为处于运行状态的驱动;
每隔预设时长确定所述关机回调接口是否被所述目标病毒摘除回调,如被摘除则再次对所述关机回调接口进行注册;
当接收到关机退出消息时,记录所述目标病毒的病毒信息,通过所述目标驱动调用所述关机回调接口,按照所述病毒信息,对所述目标病毒进行处理;
在所述操作系统重新启动过程中,在加载所述操作系统的系统内核后,加载所述开机清洁驱动,通过所述开机清洁驱动按照所述病毒信息,对所述目标病毒进行处理;
在所述系统注册表中,删除所述开机清洁驱动的注册表项。
2.根据权利要求1所述的方法,其特征在于,所述当接收到关机退出消息时,记录所述目标病毒的病毒信息包括:
从数据库文件中读取加密后的病毒信息;
对所述加密后的病毒信息进行解密;
将解密得到的病毒信息记录在初始化格式文件中。
3.根据权利要求2所述的方法,其特征在于,所述从数据库文件中读取加密后的病毒信息之前,所述方法还包括:
对所述目标病毒的病毒信息进行加密,将加密后的病毒信息记录在所述数据库文件中。
4.根据权利要求1所述的方法,其特征在于,所述通过所述目标驱动调用所述关机回调接口,按照所述病毒信息,对所述目标病毒进行处理包括下述任一种情况:
通过所述目标驱动调用所述关机回调接口,按照文件路径信息,删除所述目标病毒的文件,按照注册表信息,在所述系统注册表中删除所述目标病毒的注册表;
当无法找到所述目标病毒的注册表时,按照所述文件路径信息,删除所述目标病毒的文件;
当所述目标病毒具有用于对文件进行删除的代码时,在所述系统注册表中,将所述目标病毒的注册表设置为禁用状态;
当目标病毒的检测过程有误报风险时,在所述系统注册表中,将所述目标病毒的注册表设置为禁用状态。
5.一种病毒处理装置,其特征在于,所述装置包括:
添加模块,用于若接收到对目标病毒的目标处理指令,在操作系统的系统注册表中位于系统内核的下一表项中添加开机清洁驱动的注册表项,所述开机清洁驱动用于在所述操作系统重启过程中启动对病毒的处理;
接口注册模块,用于为目标驱动在所述操作系统中注册关机回调接口,所述目标驱动为处于运行状态的驱动;
所述接口注册模块,还用于每隔预设时长确定所述关机回调接口是否被病毒摘除回调,如被摘除则再次对所述关机回调接口进行注册;
记录模块,用于当接收到关机退出消息时,记录所述目标病毒的病毒信息;
处理模块,用于通过所述目标驱动调用所述关机回调接口,按照所述病毒信息,对所述目标病毒进行处理;
加载模块,用于在所述操作系统重新启动过程中,在加载所述操作系统的系统内核后,加载所述开机清洁驱动;
所述处理模块,还用于通过所述开机清洁驱动按照所述病毒信息,对所述目标病毒进行处理;
删除模块,用于在所述系统注册表中,删除所述开机清洁驱动的注册表项。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
读取模块,用于从数据库文件中读取加密后的病毒信息;
解码模块,用于对所述加密后的病毒信息进行解密;
所述记录模块,还用于将解密得到的病毒信息记录在初始化格式文件中。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
加密模块,用于对所述目标病毒的病毒信息进行加密,将加密后的病毒信息记录在所述数据库文件中。
8.根据权利要求5所述的装置,其特征在于,所述删除模块,还用于通过所述目标驱动调用所述关机回调接口,按照文件路径信息,删除所述目标病毒的文件,按照注册表信息,在所述系统注册表中删除所述目标病毒的注册表;
所述删除模块,还用于当无法找到所述目标病毒的注册表时,按照所述文件路径信息,删除所述目标病毒的文件;
所述装置还包括:
设置模块,用于当所述目标病毒具有用于对文件进行删除的代码时,在所述系统注册表中,将所述目标病毒的注册表设置为禁用状态;
所述设置模块,还用于当目标病毒的检测过程有误报风险时,在所述系统注册表中,将所述目标病毒的注册表设置为禁用状态。
9.根据权利要求5所述的装置,其特征在于,所述装置还包括:
检测模块,用于根据所记录的所述目标病毒的病毒信息,对所述目标病毒进行检测;
确定模块,用于当未检测到所述目标病毒时,确定处理成功,否则,确定处理失败。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
上传模块,用于将检测结果上传至目标服务器。
11.一种计算机设备,其特征在于,所述计算机设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述程序代码由所述一个或多个处理器加载并执行以实现如权利要求1至权利要求4任一项所述的病毒处理方法所执行的操作。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条程序代码,所述程序代码由处理器加载并执行以实现如权利要求1至权利要求4任一项所述的病毒处理方法所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911099296.6A CN110851831B (zh) | 2019-11-12 | 2019-11-12 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911099296.6A CN110851831B (zh) | 2019-11-12 | 2019-11-12 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110851831A CN110851831A (zh) | 2020-02-28 |
CN110851831B true CN110851831B (zh) | 2023-04-28 |
Family
ID=69600044
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911099296.6A Active CN110851831B (zh) | 2019-11-12 | 2019-11-12 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110851831B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112487424A (zh) * | 2020-11-18 | 2021-03-12 | 重庆第二师范学院 | 一种计算机处理系统及计算机处理方法 |
CN113051550A (zh) * | 2021-03-30 | 2021-06-29 | 深信服科技股份有限公司 | 一种终端设备及其防护方法、装置和可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
CN104573511A (zh) * | 2013-10-15 | 2015-04-29 | 联想(北京)有限公司 | 一种查杀内核型病毒的方法及系统 |
RU2015125973A (ru) * | 2015-06-30 | 2017-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ антивирусной проверки компьютерной системы |
CN109214186A (zh) * | 2018-08-29 | 2019-01-15 | 厦门快快网络科技有限公司 | 一种基于内核层的拦截木马病毒系统及方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020116639A1 (en) * | 2001-02-21 | 2002-08-22 | International Business Machines Corporation | Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses |
US8234710B2 (en) * | 2006-07-05 | 2012-07-31 | BB4 Solutions, Inc. | Malware automated removal system and method using a diagnostic operating system |
US8099785B1 (en) * | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
US9342694B2 (en) * | 2011-07-06 | 2016-05-17 | F-Secure Corporation | Security method and apparatus |
US8640242B2 (en) * | 2011-12-01 | 2014-01-28 | Mcafee, Inc. | Preventing and detecting print-provider startup malware |
CN102722680B (zh) * | 2012-06-07 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 清除恶意程序的方法和系统 |
RU2639666C2 (ru) * | 2016-04-25 | 2017-12-21 | Акционерное общество "Лаборатория Касперского" | Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве |
-
2019
- 2019-11-12 CN CN201911099296.6A patent/CN110851831B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
CN104573511A (zh) * | 2013-10-15 | 2015-04-29 | 联想(北京)有限公司 | 一种查杀内核型病毒的方法及系统 |
RU2015125973A (ru) * | 2015-06-30 | 2017-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ антивирусной проверки компьютерной системы |
CN109214186A (zh) * | 2018-08-29 | 2019-01-15 | 厦门快快网络科技有限公司 | 一种基于内核层的拦截木马病毒系统及方法 |
Non-Patent Citations (2)
Title |
---|
于佳耕,王全民,赵彤,韩红英.永久型Windows Rootkit检测技术.计算机工程.2008,第34卷(第18期),70-74. * |
重剑 ; .病毒播报.电脑爱好者.2017,(第21期),51. * |
Also Published As
Publication number | Publication date |
---|---|
CN110851831A (zh) | 2020-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111444528B (zh) | 数据安全保护方法、装置及存储介质 | |
KR102593824B1 (ko) | 카메라를 제어하기 위한 방법 및 그 전자 장치 | |
EP3073379B1 (en) | Firmware recovery method, device and terminal | |
CN108491526B (zh) | 日志数据处理方法、装置、电子设备及存储介质 | |
US9870490B2 (en) | Apparatus and method for an antitheft secure operating system module | |
US11176228B2 (en) | Application interface display method, apparatus, and terminal, and storage medium | |
US20200104320A1 (en) | Method, apparatus and computer device for searching audio, and storage medium | |
CN110457935B (zh) | 一种权限配置方法及终端设备 | |
CN110851831B (zh) | 病毒处理方法、装置、计算机设备及计算机可读存储介质 | |
CN108804915B (zh) | 病毒程序清理方法、存储设备及电子终端 | |
CN108229171B (zh) | 驱动程序处理方法、装置及存储介质 | |
CN111062323A (zh) | 人脸图像传输方法、数值转移方法、装置及电子设备 | |
CN111193724B (zh) | 鉴权方法、装置、服务器及存储介质 | |
CN111191227A (zh) | 阻止恶意代码执行的方法和装置 | |
CN107832191B (zh) | 黑屏检测方法、移动终端及计算机可读存储介质 | |
CN108319432A (zh) | 一种应用运行方法及终端 | |
CN108984259B (zh) | 界面显示方法、装置及终端 | |
CN112528311B (zh) | 数据管理方法、装置及终端 | |
CN111158780B (zh) | 存储应用数据的方法、装置、电子设备及介质 | |
CN114124405B (zh) | 业务处理方法、系统、计算机设备及计算机可读存储介质 | |
CN110417931B (zh) | 域名解析记录获取方法、装置、计算机设备及存储介质 | |
CN110941458B (zh) | 启动应用程序的方法、装置、设备及存储介质 | |
CN112764824B (zh) | 触发应用程序中身份验证的方法、装置、设备及存储介质 | |
CN108959938B (zh) | 检测漏洞利用的方法、装置、存储介质及设备 | |
CN112732282A (zh) | 安装包的下载方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |