CN111625841B - 一种病毒处理方法、装置及设备 - Google Patents

一种病毒处理方法、装置及设备 Download PDF

Info

Publication number
CN111625841B
CN111625841B CN202010741782.XA CN202010741782A CN111625841B CN 111625841 B CN111625841 B CN 111625841B CN 202010741782 A CN202010741782 A CN 202010741782A CN 111625841 B CN111625841 B CN 111625841B
Authority
CN
China
Prior art keywords
virus
target
file
equipment
removal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010741782.XA
Other languages
English (en)
Other versions
CN111625841A (zh
Inventor
王滨
王睿尧
王璐
万里
李俊
王冲华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202010741782.XA priority Critical patent/CN111625841B/zh
Publication of CN111625841A publication Critical patent/CN111625841A/zh
Application granted granted Critical
Publication of CN111625841B publication Critical patent/CN111625841B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种病毒处理方法、装置及设备,该方法包括:向待检测设备发送安全漏洞扫描指令;若接收到待检测设备针对安全漏洞扫描指令返回的响应指令,则将待检测设备确定为存在安全漏洞的目标设备;确定目标设备是否存在与目标病毒匹配的病毒文件;如果是,则获取与病毒文件匹配的病毒清除脚本文件;病毒清除脚本文件包括用于对病毒文件进行删除的清除策略;向目标设备发送病毒清除脚本文件,以利用目标设备存在的安全漏洞,使目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对目标设备的所述病毒文件进行清除。通过本申请的技术方案,病毒文件的清除操作由控制服务器执行,不需要在目标设备安装杀毒软件客户端。

Description

一种病毒处理方法、装置及设备
技术领域
本申请涉及网络安全技术领域,尤其是一种病毒处理方法、装置及设备。
背景技术
计算机病毒是攻击者在程序中插入的破坏计算机功能或数据的代码,能够影响计算机的正常使用,是自我复制的一组计算机指令或程序代码。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。
为了对计算机病毒进行清除,需要在计算机安装杀毒软件客户端(也可以称为杀毒软件,反病毒软件或者防毒软件),杀毒软件客户端是用于对计算机病毒进行清除的程序工具。杀毒软件客户端通常具有监控识别、病毒扫描和清除、自动升级、主动防御等功能,是计算机防御系统的重要组成部分。
杀毒软件客户端对计算机病毒进行清除的过程中,需要依次扫描计算机上的每个文件,分析每个文件是否是病毒文件,如果是,则对病毒文件进行清除。随着计算机上文件数量的增多,依次扫描计算机的每个文件时,需要消耗计算机的大量资源,导致计算机的可用资源减少,影响计算机的正常运行。在依次扫描计算机上的每个文件时,每个文件的扫描时间会很长,需要消耗大量时间。
发明内容
本申请提供一种病毒处理方法,应用于控制服务器,所述方法包括:
针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;
若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定所述目标设备是否存在与目标病毒匹配的病毒文件;
如果是,则获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
向所述目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
所述向所述待检测设备发送安全漏洞扫描指令之前,还包括:
针对所述控制服务器管理的每个设备,检测所述设备是否在线;
若所述设备在线,则检测所述设备是否存在目标端口服务;
如果是,则将所述设备确定为待检测设备。
所述确定所述目标设备是否存在与目标病毒匹配的病毒文件,包括:
获取与所述目标病毒对应的目标路径和目标文件标识;若所述目标设备存在与所述目标路径匹配的目标文件夹,且所述目标文件夹存在与所述目标文件标识匹配的目标文件,则确定所述目标设备存在所述病毒文件;或者,
获取与所述目标病毒对应的目标路径;若所述目标设备存在与所述目标路径匹配的目标文件夹,则确定所述目标设备存在所述病毒文件。
所述向所述目标设备发送所述病毒清除脚本文件之后,还包括:
若接收到所述目标设备发送的响应消息,则为所述目标设备设置定时器;其中,所述响应消息表示所述病毒文件已清除;
在所述定时器超时后,从所述目标设备删除所述病毒清除脚本文件。
所述病毒清除脚本文件还包括如下清除策略中的至少一种:
用于对病毒创建的计划任务进行删除的清除策略;
用于对病毒创建的进程进行删除的清除策略;
用于对病毒创建的服务进行删除的清除策略;
用于对病毒创建的路径下的文件进行删除的清除策略;
用于对注册表中的病毒创建的内容进行删除的清除策略;
用于对病毒创建的端口开放规则进行删除的清除策略;
用于对病毒创建的端口转发配置进行删除的清除策略。
所述向所述目标设备发送所述病毒清除脚本文件之后,所述方法还包括:
获取用于对所述安全漏洞进行修复操作的漏洞修复文件;
向所述目标设备发送所述漏洞修复文件,以通过所述漏洞修复文件对所述目标设备的安全漏洞进行修复操作。
所述安全漏洞包括远程代码执行的安全漏洞。
本申请提供一种病毒处理装置,应用于控制服务器,所述装置包括:
检测模块,用于针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定模块,用于确定目标设备是否存在与目标病毒匹配的病毒文件;
获取模块,用于当所述目标设备存在与所述目标病毒匹配的病毒文件时,获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
发送模块,用于向目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
所述确定模块确定目标设备是否存在与目标病毒匹配的病毒文件时具体用于:获取与所述目标病毒对应的目标路径和目标文件标识;若所述目标设备存在与所述目标路径匹配的目标文件夹,且所述目标文件夹存在与所述目标文件标识匹配的目标文件,则确定所述目标设备存在所述病毒文件;或者,
获取与所述目标病毒对应的目标路径;若所述目标设备存在与所述目标路径匹配的目标文件夹,则确定所述目标设备存在所述病毒文件。
本申请提供一种控制服务器,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现如下的步骤:
针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;
若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定所述目标设备是否存在与目标病毒匹配的病毒文件;
如果是,则获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
向所述目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
由以上技术方案可见,本申请实施例中,由控制服务器检测出存在安全漏洞的目标设备,对目标设备的病毒文件进行清除,即病毒文件的清除操作由控制服务器执行,从而不需要在目标设备安装杀毒软件客户端,打破了基于杀毒软件客户端进行清除操作的限制,避免杀毒软件客户端消耗目标设备的大量资源,避免由于资源占用导致的业务应用异常情况,使得目标设备正常运行,不影响目标设备的现有环境。控制服务器对目标设备的病毒文件进行清除时,不需要依次扫描目标设备的每个文件,而是对特定路径的文件进行扫描,从而避免扫描大量文件,节约控制服务器的资源,避免占用控制服务器的大量资源。针对目标设备的已中毒的现场环境,也可以由控制服务器实现病毒文件的清除。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是本申请一种实施方式中的系统结构示意图;
图2是本申请一种实施方式中的病毒处理方法的流程图;
图3是本申请一种实施方式中的控制服务器的功能模块示意图;
图4A是本申请一种实施方式中的漏洞扫描模块的处理流程示意图;
图4B是本申请一种实施方式中的远程杀毒模块的处理流程示意图;
图4C是本申请一种实施方式中的漏洞加固模块的处理流程示意图;
图5是本申请一种实施方式中的病毒处理装置的结构图;
图6是本申请一种实施方式中的控制服务器的结构图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1所示,为本申请实施例的系统结构示意图,该系统结构可以包括但不限于控制服务器11和多个设备12(如终端设备等),可以将这些设备分别记为设备12-1,设备12-2,…,设备12-n。该控制服务器是用于对设备12的病毒文件进行清除操作的服务器,可以理解为杀毒控制端的服务器。各设备12可以是个人计算机,笔记本电脑,业务服务器等,对此不做限制。
本申请实施例中,由控制服务器11对设备12的病毒文件进行清除操作,即,病毒文件的清除操作由控制服务器11执行,从而不需要在设备12安装杀毒软件客户端,打破了基于杀毒软件客户端进行清除操作的限制。
需要说明的是,本文中指出的“不需要在设备12安装杀毒软件客户端”是指:可以由控制服务器11直接对设备12的病毒文件进行清除操作,在清除过程中,不需要杀毒软件客户端的参与,即使设备12未安装杀毒软件客户端,控制服务器11也能够实现对设备12的病毒文件的清除操作。
关于设备12是否安装杀毒软件客户端,由用户自身决定,可以在设备12安装杀毒软件客户端,也可以不安装杀毒软件客户端,对此不做限制。在设备12安装杀毒软件客户端时,可以通过杀毒软件客户端对设备12的病毒文件进行清除操作,或,也可以不通过杀毒软件客户端对设备12的病毒文件进行清除操作,无论采用哪种方式,均不影响由控制服务器11对设备12的病毒文件进行清除操作,本实施例中,不涉及杀毒软件客户端的操作方式。
基于上述系统结构,本申请实施例中提出一种病毒处理方法,可以应用于控制服务器,参见图2所示,为病毒处理方法的流程示意图,该方法包括:
步骤201,检测出存在安全漏洞的目标设备,比如说,针对每个待检测设备,向待检测设备发送安全漏洞扫描指令;若接收到待检测设备针对该安全漏洞扫描指令返回的响应指令,则将该待检测设备确定为存在安全漏洞的目标设备。
在一种可能的实施方式中,针对每个待检测设备来说,该待检测设备可能存在安全漏洞,也可能不存在安全漏洞。攻击者可以向待检测设备发送攻击指令,对于存在安全漏洞的待检测设备来说,在接收到该攻击指令后,执行该攻击指令,向攻击者返回针对该攻击指令的响应。对于不存在安全漏洞的待检测设备来说,在接收到该攻击指令后,不会执行该攻击指令。
基于上述原理,本实施例中,控制服务器可以向待检测设备发送安全漏洞扫描指令,该安全漏洞扫描指令是模拟攻击指令产生的安全指令,即安全漏洞扫描指令不具有攻击性,不会对待检测设备的正常运行产生影响。
同样的,对于存在安全漏洞的待检测设备来说,待检测设备在接收到该安全漏洞扫描指令后,执行该安全漏洞扫描指令,向控制服务器返回针对该安全漏洞扫描指令的响应指令。对于不存在安全漏洞的待检测设备来说,待检测设备在接收到该安全漏洞扫描指令后,不会执行该安全漏洞扫描指令。
综上所述,控制服务器向待检测设备发送安全漏洞扫描指令之后,若接收到待检测设备针对该安全漏洞扫描指令返回的响应指令(表示待检测设备执行该安全漏洞扫描指令),则将待检测设备确定为存在安全漏洞的目标设备。若未接收到待检测设备针对该安全漏洞扫描指令返回的响应指令(表示待检测设备未执行该安全漏洞扫描指令),则说明待检测设备不存在安全漏洞。
在一种可能的实施方式中,上述安全漏洞包括但不限于远程代码执行的安全漏洞,对此安全漏洞的类型不做限制,以远程代码执行的安全漏洞为例。示例性的,在待检测设备不存在远程代码执行的安全漏洞时,不会执行远程代码执行指令,在待检测设备存在远程代码执行的安全漏洞时,会执行远程代码执行指令。基于上述发现,上述安全漏洞扫描指令可以是远程代码执行指令。
综上所述,控制服务器可以向每个待检测设备发送远程代码执行指令。
若待检测设备存在远程代码执行的安全漏洞,则待检测设备会执行该远程代码执行指令,并向控制服务器返回响应指令。控制服务器在接收到该响应指令后,确定该待检测设备存在远程代码执行的安全漏洞,并将该待检测设备确定为存在远程代码执行的安全漏洞的目标设备。若待检测设备不存在远程代码执行的安全漏洞,则待检测设备不会执行该远程代码执行指令,控制服务器不会接收到响应指令,并确定该待检测设备不存在远程代码执行的安全漏洞。
示例性的,远程代码执行的安全漏洞还可以简称为RCE(Remote Code ExecutionVulnerability,远程代码执行漏洞),对此不做限制。
示例性的,上述方式只是从待检测设备中确定出目标设备的示例,对此不做限制,还可以采用其它方式确定出存在安全漏洞的目标设备。
在一种可能的实施方式中,控制服务器会管理大量设备,即由控制服务器对这些设备的病毒文件进行清除操作,如设备12-1,设备12-2,…,设备12-n等。在每个检测周期,控制服务器会从自身管理的所有设备中筛选出待检测设备,如采用如下方式筛选出待检测设备:针对控制服务器管理的每个设备,控制服务器检测该设备是否在线。若该设备在线,则检测该设备是否存在目标端口服务,如果该设备存在目标端口服务,则将该设备确定为待检测设备。
若该设备不在线,则在当前检测周期,控制服务器不将该设备确定为待检测设备。若该设备在线,但是该设备不存在目标端口服务,则在当前检测周期,控制服务器不将该设备确定为待检测设备。
示例性的,控制服务器可以维护每个设备的IP地址,并基于该IP地址向设备发送检测报文(如PING报文等),若接收到设备针对该检测报文返回的响应报文,则控制服务器确定该设备在线。若未接收到设备针对该检测报文返回的响应报文,则控制服务器确定该设备不在线。针对已在线的设备,控制服务器可以向该设备发送针对目标端口(即可能存在安全漏洞的端口)的服务请求,若控制服务器接收到设备针对该服务请求返回的服务响应,则控制服务器可以确定该设备存在目标端口服务。若控制服务器未接收到设备针对该服务请求返回的服务响应,则控制服务器可以确定该设备不存在目标端口服务。
步骤202,确定目标设备是否存在与目标病毒匹配的病毒文件。
示例性的,若目标设备存在与目标病毒匹配的病毒文件,执行步骤203,若目标设备不存在与目标病毒匹配的病毒文件,结束病毒处理过程。
在一种可能的实施方式中,可以获取与目标病毒对应的目标路径和目标文件标识。若目标设备存在与该目标路径匹配的目标文件夹,且目标文件夹存在与该目标文件标识匹配的目标文件,则确定目标设备存在与目标病毒匹配的病毒文件。若目标设备不存在与该目标路径匹配的目标文件夹,则确定目标设备不存在与目标病毒匹配的病毒文件。若目标设备存在与该目标路径匹配的目标文件夹,但是目标文件夹不存在与该目标文件标识匹配的目标文件,则确定目标设备不存在与目标病毒匹配的病毒文件。
在另一种可能的实施方式中,可以获取与目标病毒对应的目标路径。若目标设备存在与该目标路径匹配的目标文件夹,则确定目标设备存在与目标病毒匹配的病毒文件。若目标设备不存在与该目标路径匹配的目标文件夹,则确定目标设备不存在与目标病毒匹配的病毒文件。
示例性的,控制服务器可以维护病毒库,该病毒库可以包括病毒的特征信息,该特征信息用于表示与病毒有关的特征,如特征信息可以是路径和文件标识等属性,当然,特征信息还可以是病毒的其它属性,对此不做限制。
比如说,在设备存在病毒A时,设备通常会创建文件夹A1,且文件夹A1会存在病毒文件a1,基于此,病毒库可以包括病毒A的特征信息,且病毒A的特征信息包括病毒文件a1的路径和病毒文件a1的文件标识a1。病毒文件a1的路径表示病毒文件a1所在的位置,通过病毒文件a1的路径可以找到病毒文件a1所在的文件夹A1,即病毒文件a1就存储在这个文件夹A1中。
示例性的,当需要检测目标设备是否存在病毒库中的病毒(可以是病毒库中部分或者全部病毒,对此不做限制,后续以病毒A为例)时,将病毒A称为目标病毒,将病毒文件a1的路径称为目标路径,将病毒文件a1的文件标识a1称为目标文件标识。在此基础上,控制服务器可以从病毒库中获取病毒A的特征信息,该特征信息包括病毒文件a1的路径和病毒文件a1的文件标识a1。
基于此,控制服务器可以向目标设备发送查询指令,该查询指令包括病毒文件a1的路径和病毒文件a1的文件标识a1,或者,该查询指令包括病毒文件a1的路径。以查询指令包括病毒文件a1的路径为例,查询指令包括病毒文件a1的路径和病毒文件a1的文件标识a1的实现方式类似,后续不再赘述。
目标设备接收到查询指令后,若基于病毒文件a1的路径,未查询到病毒文件a1所在的文件夹A1(目标文件夹),则表示目标设备不存在与病毒A匹配的病毒文件a1。若基于病毒文件a1的路径,查询到病毒文件a1所在的文件夹A1,则表示目标设备存在与病毒A匹配的病毒文件a1。
若目标设备存在与病毒A匹配的病毒文件a1,则目标设备向控制服务器返回本设备存在病毒文件a1的信息,以使控制服务器获知目标设备存在与病毒A匹配的病毒文件a1。若目标设备不存在与病毒A匹配的病毒文件a1,则目标设备向控制服务器返回本设备不存在病毒文件a1的信息,以使控制服务器获知目标设备不存在与病毒A匹配的病毒文件a1。
步骤203,获取与该病毒文件匹配的病毒清除脚本文件,该病毒清除脚本文件可以包括但不限于:用于对该病毒文件进行删除的清除策略。
示例性的,针对病毒库中的目标病毒(如病毒A),控制服务器可以预先配置与病毒A的病毒文件a1匹配的病毒清除脚本文件b1,对此配置过程不做限制,只要控制服务器存在病毒清除脚本文件b1即可。病毒清除脚本文件b1包括用于对病毒文件a1进行删除的清除策略,即基于该清除策略,能够从目标设备删除病毒文件a1。比如说,该清除策略可以包括病毒文件a1的路径和病毒文件a1的文件标识a1,目标设备基于病毒文件a1的路径和病毒文件a1的文件标识a1,可以查找到病毒文件a1,并从本设备删除病毒文件a1。
在一种可能的实施方式中,除了包括用于对该病毒文件进行删除的清除策略,该病毒清除脚本文件还可以包括但不限于如下清除策略中的至少一种:
清除策略1、用于对病毒创建的计划任务进行删除的清除策略。控制服务器可以获知与病毒文件a1有关的计划任务,与病毒文件a1有关的计划任务就是病毒创建的计划任务,病毒清除脚本文件b1包括用于对病毒创建的计划任务进行删除的清除策略,即基于该清除策略,能够从目标设备删除病毒创建的计划任务。比如说,该清除策略包括病毒创建的计划任务的任务名称,目标设备基于该任务名称查找到病毒创建的计划任务,并从本设备删除病毒创建的计划任务。
计划任务是指将脚本、程序或文档安排在某个方便的时间来运行的任务。
清除策略2、用于对病毒创建的进程进行删除的清除策略。控制服务器可以获知与病毒文件a1有关的进程,与病毒文件a1有关的进程就是病毒创建的进程,病毒清除脚本文件b1包括用于对病毒创建的进程进行删除的清除策略,即基于该清除策略,能够从目标设备删除病毒创建的进程。比如说,该清除策略可以包括病毒创建的进程的进程信息(如进程名称和/或进程描述),目标设备基于该进程信息查找到病毒创建的进程,从本设备删除病毒创建的进程。示例性的,病毒创建的进程可以是单个进程,也可以是进程树(由父进程和子进程组成)。
清除策略3、用于对病毒创建的服务进行删除的清除策略。控制服务器可以获知与病毒文件a1有关的服务(也可以称为服务项),与病毒文件a1有关的服务就是病毒创建的服务,病毒清除脚本文件b1可以包括用于对病毒创建的服务进行删除的清除策略,即基于该清除策略,能够从目标设备删除病毒创建的服务。比如说,该清除策略可以包括病毒创建的服务的服务名称,目标设备基于该服务名称查找到病毒创建的服务,并从本设备删除病毒创建的服务。
清除策略4、用于对病毒创建的路径下的文件进行删除的清除策略。控制服务器可以获知与病毒文件a1存在关联的文件(对此文件不做限制,如与病毒文件a1创建时间相同的随机字母名称文件),并确定该文件的路径,该路径就是病毒创建的路径,病毒清除脚本文件b1包括用于对病毒创建的路径下的文件进行删除的清除策略,即基于该清除策略,从目标设备删除该路径下的文件。比如说,该清除策略包括该路径和关联文件的文件标识,目标设备基于该路径和文件标识查找到该路径下的文件,并从本设备删除该文件。
清除策略5、用于对注册表中的病毒创建的内容进行删除的清除策略。控制服务器获知与病毒文件a1有关的注册表内容,与病毒文件a1有关的注册表内容就是病毒创建的内容,病毒清除脚本文件b1包括用于对注册表中的病毒创建的内容进行删除的清除策略,即基于该清除策略,从目标设备的注册表中删除病毒创建的内容。比如,清除策略包括病毒创建的内容的表项名称,目标设备基于该表项名称从注册表查找到病毒创建的内容,从注册表删除病毒创建的内容。
清除策略6、用于对病毒创建的端口开放规则进行删除的清除策略。控制服务器获知与病毒文件a1有关的端口开放规则,与病毒文件a1有关的端口开放规则就是病毒创建的端口开放规则,病毒清除脚本文件b1包括用于对病毒创建的端口开放规则进行删除的清除策略,即基于该清除策略,能够从目标设备删除病毒创建的端口开放规则。比如说,该清除策略可以包括病毒创建的端口开放规则的入站规则名称和端口标识,目标设备基于该入站规则名称和该端口标识查找到病毒创建的端口开放规则,并从本设备删除病毒创建的端口开放规则。
清除策略7、用于对病毒创建的端口转发配置进行删除的清除策略。控制服务器可以获知与病毒文件a1有关的端口转发配置(即由病毒A设置的端口转发配置),与病毒文件a1有关的端口转发配置就是病毒创建的端口转发配置,病毒清除脚本文件b1可以包括用于对病毒创建的端口转发配置进行删除的清除策略,即基于该清除策略,能够从目标设备删除病毒创建的端口转发配置。比如说,该清除策略包括病毒创建的端口转发配置的命令行,目标设备基于该命令行查找到病毒创建的端口转发配置,并从本设备删除病毒创建的端口转发配置。
步骤204,向目标设备发送病毒清除脚本文件,以利用目标设备存在的安全漏洞,使目标设备执行该病毒清除脚本文件中的清除策略,并根据该清除策略对目标设备的病毒文件进行清除。示例性的,控制服务器可以向目标设备发送病毒清除脚本文件,由于目标设备是存在安全漏洞的设备,因此,目标设备在接收到该病毒清除脚本文件后,会执行该病毒清除脚本文件中的清除策略,即,目标设备可以根据该清除策略对目标设备的病毒文件进行清除。
示例性的,在病毒清除脚本文件包括用于对病毒文件进行删除的清除策略时,目标设备基于该清除策略从本设备删除病毒文件。在病毒清除脚本文件包括用于对病毒创建的计划任务进行删除的清除策略时,目标设备基于该清除策略从本设备删除病毒创建的计划任务。在病毒清除脚本文件包括用于对病毒创建的进程进行删除的清除策略时,目标设备基于该清除策略从本设备删除病毒创建的进程,以此类推,具体删除操作与步骤203的各清除策略相关。
在一种可能的实施方式中,控制服务器向目标设备发送病毒清除脚本文件之后,若接收到目标设备发送的响应消息,则为目标设备设置定时器,该响应消息表示病毒文件已清除,即,目标设备从本设备删除病毒文件后,可以向控制服务器发送表示病毒文件已清除的响应消息。
基于此,在该定时器超时后,控制服务器可以从目标设备删除该病毒清除脚本文件,即,不会将病毒清除脚本文件保留在目标设备,尽可能保证目标设备的环境(即不存在病毒清除脚本文件),不对目标设备造成影响。
在一种可能的实施方式中,控制服务器向目标设备发送病毒清除脚本文件之后,可以获取用于对安全漏洞进行修复操作的漏洞修复文件(如漏洞补丁文件或者漏洞加固执行脚本文件等),并向目标设备发送该漏洞修复文件,以通过该漏洞修复文件对目标设备的安全漏洞进行修复操作。
示例性的,控制服务器配置每种安全漏洞的漏洞修复文件,在获知目标设备存在安全漏洞时,获取该安全漏洞的漏洞修复文件。目标设备接收到漏洞修复文件后,由于漏洞修复文件用于对安全漏洞进行修复,因此,目标设备该运行漏洞修复文件,通过漏洞修复文件对本设备的安全漏洞进行修复。
示例性的,针对已感染目标病毒的目标设备(即目标设备存在与目标病毒匹配的病毒文件)来说,由于已经对目标设备的安全漏洞进行修复,因此,目标设备不会再次感染目标病毒,防止目标病毒的二次感染。
示例性的,针对未感染目标病毒的目标设备(即目标设备不存在与目标病毒匹配的病毒文件)来说,由于已经对目标设备的安全漏洞进行修复,因此,目标设备不会感染目标病毒,防止目标病毒的首次感染。
在一种可能的实施方式中,步骤201-204的执行时机,可以采用如下方式:
方式1、在每个检测周期,执行步骤201-204,即,控制服务器会检测是否有存在安全漏洞的设备,如果是,则能够检测出存在安全漏洞的目标设备,并针对目标设备执行步骤202-204,在此不再重复赘述。
比如说,设置一个检测周期,对此检测周期的时长不做限制,如1个小时等,那么,每隔1个小时,就会检测是否有存在安全漏洞的设备。
方式2、在业务低峰时间区间(目标设备在业务低峰时间区间内的业务量小于预设业务量阈值,即业务量很少),执行步骤201-204,即,控制服务器会在业务低峰时间区间,检测是否有存在安全漏洞的设备,如果是,则能够检测出存在安全漏洞的目标设备,并针对目标设备执行步骤202-204。
比如说,控制服务器可以确定业务低峰时间区间,如0-6点,大多数设备在业务低峰时间区间的业务量较少,在从多个设备中确定出目标设备后,目标设备在业务低峰时间区间的业务量也较少(小于预设业务量阈值,该阈值可以根据经验配置),即目标设备有充足的处理资源,在对目标设备设备执行步骤202-204时,不会对目标设备的正常使用造成影响。
由以上技术方案可见,本申请实施例中,由控制服务器检测出存在安全漏洞的目标设备,对目标设备的病毒文件进行清除,即病毒文件的清除操作由控制服务器执行,从而不需要在目标设备安装杀毒软件客户端,打破了基于杀毒软件客户端进行清除操作的限制,避免杀毒软件客户端消耗目标设备的大量资源,避免由于资源占用导致的业务应用异常情况,使得目标设备正常运行,不影响目标设备的现有环境。控制服务器对目标设备的病毒文件进行清除时,不需要依次扫描目标设备的每个文件,而是对特定路径的文件进行扫描,从而避免扫描大量文件,节约控制服务器的资源,避免占用控制服务器的大量资源。针对目标设备的已中毒的现场环境,也可以由控制服务器实现病毒文件的清除。
以下结合具体应用场景,对本申请实施例的上述技术方案进行说明:
参见图3所示,控制服务器可以包括但不限于:漏洞扫描模块、远程杀毒模块、漏洞加固模块、定时任务模块、工具库扩展模块、定期巡检模块。
参见图4A所示,为漏洞扫描模块的处理流程示意图,可以包括:
步骤411,漏洞扫描模块检测出存在安全漏洞的目标设备。
示例性的,针对每个待检测设备,漏洞扫描模块向该待检测设备发送远程代码执行指令,该远程代码执行指令是用于检测待检测设备是否存在远程代码执行漏洞的指令,对此远程代码执行指令的内容和类型不做限制,如采用POC(Proof of Concept,概念证明)测试指令作为远程代码执行指令。
待检测设备在接收到远程代码执行指令后,若自身不存在远程代码执行漏洞,则不执行远程代码执行指令,因此,漏洞扫描模块不会接收到针对该远程代码执行指令的响应指令,确定待检测设备不存在远程代码执行漏洞。
待检测设备接收到远程代码执行指令后,若自身存在远程代码执行漏洞,则执行远程代码执行指令,并向控制服务器返回针对远程代码执行指令的响应指令,因此,漏洞扫描模块接收到针对该远程代码执行指令的响应指令,确定该检测设备存在远程代码执行漏洞,即该检测设备是存在安全漏洞的目标设备。
示例性的,目标设备执行远程代码执行指令时,远程代码执行指令还可以在目标设备创建维持进程,这个维持进程的功能是,维持目标设备与控制服务器之间的连接,保证目标设备与控制服务器正常通信,且维持进程具有目标设备的操作权限,可以对目标设备执行操作,具体操作参见后续实施例。
步骤412,针对存在安全漏洞的每个目标设备,漏洞扫描模块确定该目标设备是否存在与目标病毒匹配的病毒文件。若目标设备存在与目标病毒匹配的病毒文件,则表明目标设备已感染目标病毒,若目标设备未存在与目标病毒匹配的病毒文件,则表明目标设备未感染目标病毒。
示例性的,漏洞扫描模块可以将目标病毒对应的目标路径发送给目标设备。目标设备的维持进程执行以下操作:查询目标设备是否存在与该目标路径匹配的目标文件夹;如果否,则可以向控制服务器返回不存在病毒文件的信息;如果是,则可以向控制服务器返回存在病毒文件的信息。
若接收到不存在病毒文件的信息,则漏洞扫描模块可以确定目标设备不存在与目标病毒匹配的病毒文件。若接收到存在病毒文件的信息,则漏洞扫描模块可以确定目标设备存在与目标病毒匹配的病毒文件。
参见图4B所示,为远程杀毒模块的处理流程示意图,可以包括:
步骤413,若目标设备存在与目标病毒匹配的病毒文件,则远程杀毒模块可以向目标设备发送与该病毒文件匹配的病毒清除脚本文件。
示例性的,病毒清除脚本文件可以包括但不限于:用于对病毒文件进行删除的清除策略;用于对病毒创建的计划任务(如任务名称为DnsScan或Ddrivers的计划任务)进行删除的清除策略;用于对病毒创建的进程(如进程名称为wmiex.exe的进程,或进程描述为Windows服务主进程的svchost进程)进行删除的清除策略;用于对病毒创建的服务(如服务名称为Ddriver或WebServers的服务项,或,存在4个随机字母,且描述信息为空的服务)进行删除的清除策略;用于对病毒创建的路径下的文件进行删除的清除策略;用于对注册表中的病毒创建的内容进行删除的清除策略;用于对病毒创建的端口开放规则(如入站规则名为UDP,开放65532端口的规则)进行删除的清除策略;用于对病毒创建的端口转发配置进行删除的清除策略。当然,上述只是几个示例。
步骤414,目标设备在接收到病毒清除脚本文件后,利用病毒清除脚本文件对目标设备的病毒文件进行清除。在清除完成后,目标设备将病毒文件的清除记录返回给控制服务器,使得远程杀毒模块获知该清除记录。
示例性的,由于目标设备是存在安全漏洞的设备,因此,目标设备在接收到该病毒清除脚本文件后,会执行该病毒清除脚本文件中的清除策略,即,目标设备可以根据该清除策略对目标设备的病毒文件进行清除。
示例性的,在接收到病毒清除脚本文件后,目标设备的维持进程执行以下操作:基于病毒清除脚本文件中的各清除策略,对目标设备的病毒文件进行删除;对目标设备的病毒创建的计划任务进行删除;对目标设备的病毒创建的进程进行删除;对目标设备的病毒创建的服务进行删除;对目标设备的病毒创建的路径下的文件进行删除;对目标设备的注册表中的病毒创建的内容进行删除;对目标设备的病毒创建的端口开放规则进行删除;对目标设备的病毒创建的端口转发配置进行删除。当然,上述只是示例,对此删除操作不做限制。在完成上述删除操作后,维持进程还可以将病毒文件的清除记录返回给控制服务器。
示例性的,在完成病毒文件的清除操作后,维持进程还可以在目标设备中添加病毒文件的清除记录,如在目标设备的日志中添加病毒文件的清除记录,或者,新建一个文件,在新建文件中添加病毒文件的清除记录。
参见图4C所示,为漏洞加固模块的处理流程示意图,可以包括:
步骤415,漏洞加固模块向目标设备发送漏洞修复文件(漏洞补丁文件或漏洞加固执行脚本文件),漏洞修复文件用于对远程代码执行漏洞进行修复。
步骤416,目标设备接收到漏洞修复文件后,运行漏洞修复文件,通过漏洞修复文件对本目标设备的远程代码执行漏洞进行修复。
示例性的,关于目标设备运行漏洞修复文件的过程,本文不做限制,可以由用户在目标设备运行漏洞修复文件,并执行重启等操作。
示例性的,目标设备通过漏洞修复文件对本目标设备的远程代码执行漏洞进行修复后,还可以将修复记录返回给控制服务器。
定时任务模块:维持进程将病毒文件的清除记录返回给控制服务器后,定时任务模块为目标设备设置定时器。在定时器超时后,定时任务模块从目标设备删除病毒清除脚本文件(如指示维持进程从目标设备删除病毒清除脚本文件)。或者,维持进程将病毒文件的清除记录返回给控制服务器,且维持进程将修复记录返回给控制服务器后,定时任务模块为目标设备设置定时器。在定时器超时后,定时任务模块从目标设备删除病毒清除脚本文件(如指示维持进程从目标设备删除病毒清除脚本文件),并从目标设备删除漏洞修复文件(如指示维持进程从目标设备删除漏洞修复文件)。
在病毒清除脚本文件被删除后,定时任务模块还可以关闭维持进程,即在目标设备中关闭维持进程,完成目标设备的杀毒操作。或者,在病毒清除脚本文件和漏洞修复文件被删除后,定时任务模块还可以关闭维持进程,即在目标设备中关闭维持进程,完成目标设备的杀毒操作。
工具库扩展模块:工具库扩展模块能够获取远程代码执行指令,将远程代码执行指令提供给漏洞扫描模块。工具库扩展模块能够获取病毒清除脚本文件,将病毒清除脚本文件提供给远程杀毒模块。工具库扩展模块能够获取漏洞修复文件,将漏洞修复文件提供给漏洞加固模块。关于远程代码执行指令,病毒清除脚本文件,漏洞修复文件的获取方式,本实施例中不做限制。
定期巡检模块:定期巡检模块用于在每个检测周期,从控制服务器管理的所有设备(如设备12-1,…,设备12-n等)中筛选出待检测设备,并将待检测设备的信息提供给漏洞扫描模块。
基于与上述方法同样的申请构思,本申请实施例还提出一种病毒处理装置,应用于控制服务器,如图5所示,为所述装置的结构图,所述装置包括:
检测模块51,用于针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定模块52,用于确定目标设备是否存在与目标病毒匹配的病毒文件;
获取模块53,用于当所述目标设备存在与所述目标病毒匹配的病毒文件时,获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
发送模块54,用于向目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
所述检测模块51还用于:针对所述控制服务器管理的每个设备,检测所述设备是否在线;若所述设备在线,则检测所述设备是否存在目标端口服务;如果是,则将所述设备确定为待检测设备。
所述确定模块52确定目标设备是否存在与目标病毒匹配的病毒文件时具体用于:获取与所述目标病毒对应的目标路径和目标文件标识;若所述目标设备存在与所述目标路径匹配的目标文件夹,且所述目标文件夹存在与所述目标文件标识匹配的目标文件,则确定所述目标设备存在所述病毒文件;或者,获取与所述目标病毒对应的目标路径;若所述目标设备存在与所述目标路径匹配的目标文件夹,则确定所述目标设备存在所述病毒文件。
所述病毒处理装置还包括(在图中未示出):
处理模块,用于在向目标设备发送所述病毒清除脚本文件之后,若接收到所述目标设备发送的响应消息,则为所述目标设备设置定时器;其中,所述响应消息表示所述病毒文件已清除;
在所述定时器超时后,从所述目标设备删除所述病毒清除脚本文件。
示例性的,所述病毒清除脚本文件还包括如下清除策略中的至少一种:
用于对病毒创建的计划任务进行删除的清除策略;
用于对病毒创建的进程进行删除的清除策略;
用于对病毒创建的服务进行删除的清除策略;
用于对病毒创建的路径下的文件进行删除的清除策略;
用于对注册表中的病毒创建的内容进行删除的清除策略;
用于对病毒创建的端口开放规则进行删除的清除策略;
用于对病毒创建的端口转发配置进行删除的清除策略。
所述获取模块53还用于:获取用于对所述安全漏洞进行修复操作的漏洞修复文件;所述发送模块54还用于:向所述目标设备发送所述漏洞修复文件,以通过所述漏洞修复文件对所述目标设备的安全漏洞进行修复操作。
基于与上述方法同样的申请构思,本申请实施例中还提出一种控制服务器,本申请实施例中提供的控制服务器,从硬件层面而言,该控制服务器的硬件架构示意图可以参见图6所示。控制服务器可以包括:处理器61和机器可读存储介质62,所述机器可读存储介质62存储有能够被所述处理器61执行的机器可执行指令;所述处理器61用于执行机器可执行指令,以实现本申请上述示例公开的方法。例如,处理器61用于执行机器可执行指令,以实现如下步骤:
针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;
若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定所述目标设备是否存在与目标病毒匹配的病毒文件;
如果是,则获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
向所述目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,其中,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
例如,所述计算机指令被处理器执行时,能够实现如下步骤:
针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;
若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定所述目标设备是否存在与目标病毒匹配的病毒文件;
如果是,则获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
向所述目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种病毒处理方法,其特征在于,应用于控制服务器,所述方法包括:
针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;其中,所述安全漏洞扫描指令是模拟攻击指令产生的安全指令;
若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定所述目标设备是否存在与目标病毒匹配的病毒文件;
如果是,则获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
向所述目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
2.根据权利要求1所述的方法,其特征在于,
所述向所述待检测设备发送安全漏洞扫描指令之前,还包括:
针对所述控制服务器管理的每个设备,检测所述设备是否在线;
若所述设备在线,则检测所述设备是否存在目标端口服务;
如果是,则将所述设备确定为待检测设备。
3.根据权利要求1所述的方法,其特征在于,
所述确定所述目标设备是否存在与目标病毒匹配的病毒文件,包括:
获取与所述目标病毒对应的目标路径和目标文件标识;若所述目标设备存在与所述目标路径匹配的目标文件夹,且所述目标文件夹存在与所述目标文件标识匹配的目标文件,则确定所述目标设备存在所述病毒文件;或者,
获取与所述目标病毒对应的目标路径;若所述目标设备存在与所述目标路径匹配的目标文件夹,则确定所述目标设备存在所述病毒文件。
4.根据权利要求1所述的方法,其特征在于,
所述向所述目标设备发送所述病毒清除脚本文件之后,还包括:
若接收到所述目标设备发送的响应消息,则为所述目标设备设置定时器;其中,所述响应消息表示所述病毒文件已清除;
在所述定时器超时后,从所述目标设备删除所述病毒清除脚本文件。
5.根据权利要求1-4任一项所述的方法,其特征在于,
所述病毒清除脚本文件还包括如下清除策略中的至少一种:
用于对病毒创建的计划任务进行删除的清除策略;
用于对病毒创建的进程进行删除的清除策略;
用于对病毒创建的服务进行删除的清除策略;
用于对病毒创建的路径下的文件进行删除的清除策略;
用于对注册表中的病毒创建的内容进行删除的清除策略;
用于对病毒创建的端口开放规则进行删除的清除策略;
用于对病毒创建的端口转发配置进行删除的清除策略。
6.根据权利要求1-4任一项所述的方法,其特征在于,
所述向所述目标设备发送所述病毒清除脚本文件之后,所述方法还包括:
获取用于对所述安全漏洞进行修复操作的漏洞修复文件;
向所述目标设备发送所述漏洞修复文件,以通过所述漏洞修复文件对所述目标设备的安全漏洞进行修复操作。
7.根据权利要求1-4任一项所述的方法,其特征在于,
所述安全漏洞包括远程代码执行的安全漏洞。
8.一种病毒处理装置,其特征在于,应用于控制服务器,所述装置包括:
检测模块,用于针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;其中,所述安全漏洞扫描指令是模拟攻击指令产生的安全指令;
若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定模块,用于确定目标设备是否存在与目标病毒匹配的病毒文件;
获取模块,用于当所述目标设备存在与所述目标病毒匹配的病毒文件时,获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
发送模块,用于向目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
9.根据权利要求8所述的装置,其特征在于,所述确定模块确定目标设备是否存在与目标病毒匹配的病毒文件时具体用于:
获取与所述目标病毒对应的目标路径和目标文件标识;若所述目标设备存在与所述目标路径匹配的目标文件夹,且所述目标文件夹存在与所述目标文件标识匹配的目标文件,则确定所述目标设备存在所述病毒文件;或者,
获取与所述目标病毒对应的目标路径;若所述目标设备存在与所述目标路径匹配的目标文件夹,则确定所述目标设备存在所述病毒文件。
10.一种控制服务器,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现如下的步骤:
针对每个待检测设备,向所述待检测设备发送安全漏洞扫描指令;其中,所述安全漏洞扫描指令是模拟攻击指令产生的安全指令;
若接收到所述待检测设备针对所述安全漏洞扫描指令返回的响应指令,则将所述待检测设备确定为存在安全漏洞的目标设备;
确定所述目标设备是否存在与目标病毒匹配的病毒文件;
如果是,则获取与所述病毒文件匹配的病毒清除脚本文件;其中,所述病毒清除脚本文件包括用于对所述病毒文件进行删除的清除策略;
向所述目标设备发送所述病毒清除脚本文件,以利用所述目标设备存在的安全漏洞,使所述目标设备执行所述病毒清除脚本文件中的清除策略,并根据所述清除策略对所述目标设备的所述病毒文件进行清除。
CN202010741782.XA 2020-07-29 2020-07-29 一种病毒处理方法、装置及设备 Active CN111625841B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010741782.XA CN111625841B (zh) 2020-07-29 2020-07-29 一种病毒处理方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010741782.XA CN111625841B (zh) 2020-07-29 2020-07-29 一种病毒处理方法、装置及设备

Publications (2)

Publication Number Publication Date
CN111625841A CN111625841A (zh) 2020-09-04
CN111625841B true CN111625841B (zh) 2020-10-30

Family

ID=72271523

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010741782.XA Active CN111625841B (zh) 2020-07-29 2020-07-29 一种病毒处理方法、装置及设备

Country Status (1)

Country Link
CN (1) CN111625841B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113722705B (zh) * 2021-11-02 2022-02-08 北京微步在线科技有限公司 一种恶意程序清除方法及装置
CN113722714A (zh) * 2021-11-03 2021-11-30 北京微步在线科技有限公司 一种网络威胁处理方法及装置
CN114692151B (zh) * 2022-04-08 2023-07-18 成都理工大学 一种u盘病毒的发现方法及其应用工具
CN116956295B (zh) * 2023-09-19 2024-01-05 杭州海康威视数字技术股份有限公司 基于文件图谱拟合的安全检测方法、装置及设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104008340A (zh) * 2014-06-09 2014-08-27 北京奇虎科技有限公司 病毒查杀方法及装置
CN106934287A (zh) * 2015-12-31 2017-07-07 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
CN107888601A (zh) * 2017-11-21 2018-04-06 国云科技股份有限公司 一种云平台服务器智能检测病毒入侵系统及其方法
CN110321710A (zh) * 2019-07-05 2019-10-11 深信服科技股份有限公司 一种终端漏洞修复方法、系统及相关组件
CN110532780A (zh) * 2019-07-25 2019-12-03 安徽永顺信息科技有限公司 一种基于漏洞数据库的漏洞扫描系统及其运行方法
CN111259403A (zh) * 2020-01-09 2020-06-09 深圳壹账通智能科技有限公司 渗透测试方法、装置、计算机设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104008340A (zh) * 2014-06-09 2014-08-27 北京奇虎科技有限公司 病毒查杀方法及装置
CN106934287A (zh) * 2015-12-31 2017-07-07 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
CN107888601A (zh) * 2017-11-21 2018-04-06 国云科技股份有限公司 一种云平台服务器智能检测病毒入侵系统及其方法
CN110321710A (zh) * 2019-07-05 2019-10-11 深信服科技股份有限公司 一种终端漏洞修复方法、系统及相关组件
CN110532780A (zh) * 2019-07-25 2019-12-03 安徽永顺信息科技有限公司 一种基于漏洞数据库的漏洞扫描系统及其运行方法
CN111259403A (zh) * 2020-01-09 2020-06-09 深圳壹账通智能科技有限公司 渗透测试方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN111625841A (zh) 2020-09-04

Similar Documents

Publication Publication Date Title
CN111625841B (zh) 一种病毒处理方法、装置及设备
CN109347827B (zh) 网络攻击行为预测的方法、装置、设备及存储介质
RU2551820C2 (ru) Способ и устройство для проверки файловой системы на наличие вирусов
US10291630B2 (en) Monitoring apparatus and method
CN101558384B (zh) 软件漏洞利用防护
US7752671B2 (en) Method and device for questioning a plurality of computerized devices
CN102970272B (zh) 用于病毒检测的方法、装置和云服务器
CN110313147B (zh) 数据处理方法、装置和系统
US8561179B2 (en) Method for identifying undesirable features among computing nodes
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN105743732B (zh) 一种记录局域网文件传输路径和分布情况的方法及系统
CN108449349B (zh) 防止恶意域名攻击的方法及装置
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN111026581A (zh) 应用程序的修复方法及装置、系统、存储介质、电子装置
CN112118249A (zh) 基于日志和防火墙的安全防护方法及装置
WO2018019010A1 (zh) 动态行为分析方法、装置、系统及设备
CN113680074B (zh) 业务信息的推送方法、装置、电子设备及可读介质
CN114301659A (zh) 网络攻击预警方法、系统、设备及存储介质
CN113965406A (zh) 网络阻断方法、装置、电子装置和存储介质
CN111342986A (zh) 分布式节点管理方法及装置、分布式系统、存储介质
CN113935438B (zh) 基于设备角色的物联网设备异常检测方法、系统及装置
CN116070210A (zh) 异常进程的确定方法、装置及病毒查杀方法
CN108259214B (zh) 一种配置命令管理方法、装置和机器可读存储介质
CN113225356B (zh) 一种基于ttp的网络安全威胁狩猎方法及网络设备
CN111541675B (zh) 一种基于白名单的网络安全防护方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant