CN112580037B - 病毒文件数据的修复方法、装置及设备 - Google Patents
病毒文件数据的修复方法、装置及设备 Download PDFInfo
- Publication number
- CN112580037B CN112580037B CN201910943744.XA CN201910943744A CN112580037B CN 112580037 B CN112580037 B CN 112580037B CN 201910943744 A CN201910943744 A CN 201910943744A CN 112580037 B CN112580037 B CN 112580037B
- Authority
- CN
- China
- Prior art keywords
- file
- type
- repair
- infection
- difference
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 65
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000008439 repair process Effects 0.000 claims abstract description 193
- 208000015181 infectious disease Diseases 0.000 claims abstract description 152
- 230000008859 change Effects 0.000 claims abstract description 78
- 230000002458 infectious effect Effects 0.000 claims abstract description 42
- 230000009385 viral infection Effects 0.000 claims abstract description 11
- 238000012217 deletion Methods 0.000 claims description 39
- 230000037430 deletion Effects 0.000 claims description 39
- 238000001514 detection method Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 230000009467 reduction Effects 0.000 claims description 6
- 238000010835 comparative analysis Methods 0.000 claims description 3
- 230000001524 infective effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 102100029469 WD repeat and HMG-box DNA-binding protein 1 Human genes 0.000 description 1
- 101710097421 WD repeat and HMG-box DNA-binding protein 1 Proteins 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种病毒文件数据的修复方法、装置及设备,涉及网络安全技术领域。其中方法包括:首先根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,其中,所述诱饵文件集合中保存有未被感染的样本文件;然后依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息;接收待修复感染型文件的修复请求,利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理。本申请适用于病毒文件数据的修复处理。通过应用本申请方案可针对不同类型的感染型样本文件进行有效修复,通用性较好,并且可节省人力成本。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种病毒文件数据的修复方法、装置及设备。
背景技术
感染型病毒是以感染其他文件为主要传播手段的一种恶意程序类型,被感染后的文件会再次感染其他文件。反病毒引擎针对该类样本通常的处理手段是删除被感染文件,以便减少该类病毒的传播。
除了删除被感染文件以外,还可以对被感染文件进行修复。目前,对于被感染文件的修复方式,通常需要技术人员耗费大量时间分析该被感染文件样本,同时编写修复逻辑,进而会造成人力成本较高。尤其在待修复的被感染文件数量较多时,不但会耗费大量人工成本,而且还会影响被感染文件的修复效率。
发明内容
有鉴于此,本申请提供了一种病毒文件数据的修复方法、装置及设备,主要目的在于解决目前现有技术中对于被感染文件的修复,会造成人力成本较高的技术问题。
根据本申请的一个方面,提供了一种病毒文件数据的修复方法,该方法包括:
根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,其中,所述诱饵文件集合中保存有未被感染的样本文件;
依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息;
接收待修复感染型文件的修复请求,利用与所述待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理。
可选的,所述根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,具体包括:
创建分析环境,使得创建得到的所述分析环境包含被感染前的诱饵文件集合;
将具有感染能力的病毒文件在所述分析环境中运行,待所述病毒文件感染完毕后,获取被感染后的诱饵文件集合;
将所述被感染后的诱饵文件集合与所述被感染前的诱饵文件集合进行文件特征对比,获取所述文件特征变化信息。
可选的,所述依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息,具体包括:
按照被感染文件的文件类型,将所述文件特征变化信息进行归类;
将同一类型的所述文件特征变化信息进行对比分析,以便创建不同类型的感染型样本文件分别对应的修复策略描述信息。
可选的,所述将同一类型的所述文件特征变化信息进行对比分析,以便创建不同类型的感染型样本文件分别对应的修复策略描述信息,具体包括:
将目标类型的所述文件特征变化信息进行对比分析,提取目标类型的所述文件特征变化信息中的差异数据;
依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息;
利用所述修复规则信息,编辑所述目标类型的感染型样本文件对应的修复策略描述信息。
可选的,若所述目标类型为目标文件类型的新增类型,则所述依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息,具体包括:
提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串对应的差异位置;
将新增类型的感染型样本文件按照所述差异位置删除所述最大相似差异串匹配的数据,以此作为所述新增类型的感染型样本文件的修复规则信息。
可选的,若所述目标类型为目标文件类型的更新类型,则所述依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息,具体包括:
提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串所在的差异位置;
依据所述最大相似差异串和所述差异位置分析差异变化,得到还原策略信息;
利用所述还原策略信息生成所述更新类型的感染型样本文件的修复规则信息。
可选的,若所述目标类型为目标文件类型的删除类型,则所述依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息,具体包括:
若所述差异数据中的删除数据均一致,则提取删除一致的差异串,以及记录与所述删除一致的差异串所在的差异位置;
将删除类型的感染型样本文件按照所述差异位置新增所述删除一致的差异串,以此作为所述删除类型的感染型样本文件的修复规则信息。
可选的,所述利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理,具体包括:
对与所述待修复感染型文件的类型所对应的修复策略描述信息进行解析,得到修复策略的待执行指令;
执行所述待执行指令,以便按照修复策略描述信息中描述的修复规则信息,对所述待修复感染型文件进行修复处理。
可选的,在所述利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理之后,所述方法还包括:
利用所述文件特征变化信息,对修复处理后的所述待修复感染型文件进行病毒检测;
若未发现病毒,则返回修复成功的所述待修复感染型文件。
根据本申请的另一方面,提供了一种病毒文件数据的修复装置,该装置包括:
分析模块,用于根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,其中,所述诱饵文件集合中保存有未被感染的样本文件;
创建模块,用于依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息;
处理模块,用于接收待修复感染型文件的修复请求,利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理。
可选的,所述分析模块,具体用于创建分析环境,使得创建得到的所述分析环境包含被感染前的诱饵文件集合;
将具有感染能力的病毒文件在所述分析环境中运行,待所述病毒文件感染完毕后,获取被感染后的诱饵文件集合;
将所述被感染后的诱饵文件集合与所述被感染前的诱饵文件集合进行文件特征对比,获取所述文件特征变化信息。
可选的,所述创建模块,具体用于按照被感染文件的文件类型,将所述文件特征变化信息进行归类;
将同一类型的所述文件特征变化信息进行对比分析,以便创建不同类型的感染型样本文件分别对应的修复策略描述信息。
可选的,所述创建模块,具体还用于将目标类型的所述文件特征变化信息进行对比分析,提取目标类型的所述文件特征变化信息中的差异数据;
依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息;
利用所述修复规则信息,编辑所述目标类型的感染型样本文件对应的修复策略描述信息。
可选的,所述创建模块,具体还用于若所述目标类型为目标文件类型的新增类型,则提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串对应的差异位置;
将新增类型的感染型样本文件按照所述差异位置删除所述最大相似差异串匹配的数据,以此作为所述新增类型的感染型样本文件的修复规则信息。
可选的,所述创建模块,具体还用于若所述目标类型为目标文件类型的更新类型,则提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串所在的差异位置;
依据所述最大相似差异串和所述差异位置分析差异变化,得到还原策略信息;
利用所述还原策略信息生成所述更新类型的感染型样本文件的修复规则信息。
可选的,所述创建模块,具体还用于若所述目标类型为目标文件类型的删除类型,则在所述差异数据中的删除数据均一致时,提取删除一致的差异串,以及记录与所述删除一致的差异串所在的差异位置;
将删除类型的感染型样本文件按照所述差异位置新增所述删除一致的差异串,以此作为所述删除类型的感染型样本文件的修复规则信息。
可选的,所述处理模块,具体用于对与所述待修复感染型文件的类型所对应的修复策略描述信息进行解析,得到修复策略的待执行指令;
执行所述待执行指令,以便按照修复策略描述信息中描述的修复规则信息,对所述待修复感染型文件进行修复处理。
可选的,所述装置还包括:
检测模块,用于利用所述文件特征变化信息,对修复处理后的所述待修复感染型文件进行病毒检测;
发送模块,用于若通过所述检测模块未发现病毒,则返回修复成功的所述待修复感染型文件。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述病毒文件数据的修复方法。
依据本申请再一个方面,提供了一种病毒文件数据修复的实体设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述病毒文件数据的修复方法。
借由上述技术方案,本申请提供的一种病毒文件数据的修复方法、装置及设备,可预先根据未被感染的诱饵文件集合进行病毒感染分析,得到诱饵文件集合被感染后的文件特征变化信息。进而依据这些文件特征变化信息,预先创建不同类型的感染型样本文件分别对应的修复策略描述信息,相当于集成了多种类型感染型样本文件的修复策略,从而可以针对不同类型的感染型样本文件进行有效修复,通用性较好。与目前现有技术相比,本申请在接收到待修复感染型文件的修复请求时,可利用与待修复感染型文件的类型所对应的修复策略描述信息,对待修复感染型文件进行修复处理。不需要技术人员耗费大量时间去分析该待修复感染型文件,同时编写修复逻辑,可直接调用待修复感染型文件相应类型的修复策略描述信息,直接进行文件修复,降低了人力成本耗费,并且在待修复的被感染文件数量较多时,通过本申请提供的方式可提高被感染文件的修复效率。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种病毒文件数据的修复方法的流程示意图;
图2示出了本申请实施例提供的另一种病毒文件数据的修复方法的流程示意图;
图3示出了本申请实施例提供的一种病毒文件数据的修复装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
目前通常需要技术人员耗费大量时间分析被感染文件样本,同时编写修复逻辑,来实现对被感染文件的修复,进而会造成人力成本较高的技术问题。本实施例提供了一种病毒文件数据的修复方法,如图1所示,该方法包括:
101、根据诱饵文件集合进行病毒感染分析,得到诱饵文件集合被感染后的文件特征变化信息。
其中,诱饵文件集合中保存有未被感染的样本文件,即未被感染的正常文件,诱饵文件集合里除了这些正常文件以外,没有其他异常文件。文件特征变化信息中保存有被感染前的诱饵文件集合与被感染后的诱饵文件集合之间的文件变化差异情况。具体可在诱饵文件集合被感染后,统计该集合中的每个样本文件都发生了哪些特征变化,如新增内容、删除内容、更新内容等,并且在文件中哪个位置处发生变化,以及变化后的文件大小改变等。
对于本实施例的执行主体可为病毒文件数据修复的装置或设备,可配置在服务端侧,或者客户端本地。用于对病毒文件数据进行修复,使其还原为非病毒文件。
102、依据分析得到的文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息。
其中,修复策略描述信息描述有针对特定类型的感染型样本文件的修复规则信息,即根据被感染后产生的文件特征变化,如何修复能够将变化的文件特征进行还原,使得该类型的感染型样本文件重新变成非病毒文件。
对于本实施例,在创建得到这些修复策略描述信息之后,可按照感染型样本文件的类型进行映射存储。
103、接收待修复感染型文件的修复请求,利用与待修复感染型文件的类型所对应的修复策略描述信息,对待修复感染型文件进行修复处理。
例如,如果本执行主体在服务端侧,在接收到客户端发送的待修复感染型文件的修复请求时,可从预先映射存储的结果中查询该类型对应的修复策略描述信息,然后对该修复策略描述信息进行解析,获取修复策略执行指令并进行执行,以便对该感染型文件进行修复,修复成功后返回给客户端。而如果本执行主体在客户端侧,在接收到本地发起的待修复感染型文件的修复请求时,从查询获取该类型对应的修复策略描述信息执行修复逻辑,在修复成功后可输出相应的非病毒文件。
通过应用本实施例提供的病毒文件数据的修复方法,可预先根据未被感染的诱饵文件集合进行病毒感染分析,得到诱饵文件集合被感染后的文件特征变化信息。进而依据这些文件特征变化信息,预先创建不同类型的感染型样本文件分别对应的修复策略描述信息,相当于集成了多种类型感染型样本文件的修复策略,从而可以针对不同类型的感染型样本文件进行有效修复,通用性较好。与目前现有技术相比,本实施例在接收到待修复感染型文件的修复请求时,可利用与待修复感染型文件的类型所对应的修复策略描述信息,对待修复感染型文件进行修复处理。不需要技术人员耗费大量时间去分析该待修复感染型文件,同时编写修复逻辑,可直接调用待修复感染型文件相应类型的修复策略描述信息,直接进行文件修复,降低了人力成本耗费,并且在待修复的被感染文件数量较多时,通过本实施例提供的方式可提高被感染文件的修复效率。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的实施过程,提供了另一种病毒文件数据的修复方法,如图2所示,该方法包括:
201、创建分析环境,使得创建得到的分析环境包含被感染前的诱饵文件集合。
在本实施例中,可预先准备一个诱饵文件集合,均为未被感染的正常文件,来源方式可以为手工编码,或从任意程序中提取的模块等。其中,该诱饵文件集合中可包含多个不同文件类型的文件,如EXE文件、HTM文件等。
对于本实施例,可利用虚拟机创建分析环境,该分析环境中不包含任何能够影响到分析结果的异常文件。
202、将具有感染能力的病毒文件在分析环境中运行,待病毒文件感染完毕后,获取被感染后的诱饵文件集合。
例如,在准备一个分析环境以后,运行某类型的具备感染能力的病毒,待病毒感染完毕,此时获得被感染后的诱饵文件集合。
203、将被感染后的诱饵文件集合与被感染前的诱饵文件集合进行文件特征对比,获取文件特征变化信息。
例如,通过对比被感染前的诱饵文件集合与被感染后的诱饵文件集合,可以找出发生变化的差异集合。然后根据文件类型的不同,提取差异项,这些差异类型可如下所示:
(a)新增内容,如:文件尾部新增了数据,文件大小变大;
(b)删除内容,如:文件某处数据被删除,文件大小变小;
(c)更新内容,如:文件的某处数据被替换,文件大小一般不变。
然后汇总上述这些差异内容,包括差异数据起始位置,差异数据大小,具体差异数据内容等,进而获取到文件特征变化信息。
204、按照被感染文件的文件类型,将获取到的文件特征变化信息进行归类。
例如,按照EXE文件类型、或者HTM文件类型等,将获取到的文件特征变化信息进行归类,如可得到EXE类型各个被感染文件的文件特征变化信息。
205、将同一类型的文件特征变化信息进行对比分析,以便创建不同类型的感染型样本文件分别对应的修复策略描述信息。
可选的,步骤205具体可包括:首先将目标类型的文件特征变化信息进行对比分析,提取目标类型的文件特征变化信息中的差异数据;然后依据提取到的差异数据,分析目标类型的感染型样本文件的修复规则信息;最后利用该修复规则信息,编辑目标类型的感染型样本文件对应的修复策略描述信息。通过这种可选方式,可准确创建得到不同类型的感染型样本文件分别对应的修复策略描述信息,该修复策略描述信息可针对相应类型的被感染文件进行有效修复。
为了进一步说明上述分析修复规则信息的过程,给出如下几个可选方式:
作为一种可选方式,若目标类型为目标文件类型的新增类型,则上述依据提取到的差异数据,分析目标类型的感染型样本文件的修复规则信息,具体可包括:提取差异数据中的最大相似差异串,以及记录与该最大相似差异串对应的差异位置;然后将新增类型的感染型样本文件按照该差异位置删除最大相似差异串匹配的数据,以此作为新增类型的感染型样本文件的修复规则信息。
其中,对于差异位置的确定方式,可如下三种形式:
(1)头部位置,即从文件开始的一段范围[0,X];
(2)中间位置,从文件内开始的一段范围,[X,Y];
(3)尾部位置,从文件内开始到结束[X,-1],其中,0表示文件开始,X和Y代表文件中的位置,-1表示文件结束。
例如,如果同一类型的各个被感染文件中的新增数据都是完全相同的,那么将这些文件中按照该新增数据的位置,将这些文件中都出现的这些相同新增数据进行删除。如果同一类型的各个被感染文件中的新增数据不是完全相同,那么提取最大相似模式串,如串1:AABBCCDDEEFF,串2:AABBCCDD00FF;得到AABBCCDD??FF作为最大相似模式串,其中,字符“?”表示匹配时忽略该字符实际数据。然后将这些文件中按照差异位置,将这些文件中都出现的与该最大相似模式串匹配的新增数据进行删除。以此来分析得到新增类型的感染型样本文件的修复规则信息。
作为另一种可选方式,若目标类型为目标文件类型的更新类型,则依据提取到的差异数据,分析目标类型的感染型样本文件的修复规则信息,具体可包括:首先提取差异数据中的最大相似差异串,以及记录与该最大相似差异串所在的差异位置;然后依据最大相似差异串和差异位置分析差异变化,得到还原策略信息;最后利用该还原策略信息生成更新类型的感染型样本文件的修复规则信息。
其中,记录差异位置和确定最大相似差异串的方式可如上述实例所示,在此不再赘述。
例如,针对同一类型的各个被感染文件中的更新数据,为了准确指定出能够有效还原被感染文件的策略,需要根据这些文件中更新相同的内容或者最大相似差异串,结合存在差异的位置,分析差异变化,梳理并列出还原策略,使得该策略可对被感染文件进行有效修复。
作为又一种可选方式,若目标类型为目标文件类型的删除类型,则上述依据提取到的差异数据,分析目标类型的感染型样本文件的修复规则信息,具体可包括:若差异数据中的删除数据均一致,则提取删除一致的差异串,以及记录与删除一致的差异串所在的差异位置;然后将删除类型的感染型样本文件按照该差异位置新增删除一致的差异串,以此作为删除类型的感染型样本文件的修复规则信息。
例如,如果同一类型的各个被感染文件中的删除数据均一致,则在修复时,按照这些文件中都删除的相同数据进行新增,即将原来删除的内容再新增回去,进而实现对该类感染型样本文件的有效修复。
需要说明的是,上述几种可选方式可进一步进行组合,即针对某类型的被感染文件,同时存在上述新增类型、和/或更新类型、和/或删除类型的组合修复规则,以便满足具体的病毒修复需求,进而能够对此类被感染文件进行有效修复。
206、接收待修复感染型文件的修复请求,利用与待修复感染型文件的类型所对应的修复策略描述信息,对待修复感染型文件进行修复处理。
可选的,利用与待修复感染型文件的类型所对应的修复策略描述信息,对待修复感染型文件进行修复处理,具体可包括:对与待修复感染型文件的类型所对应的修复策略描述信息进行解析,得到修复策略的待执行指令;然后执行所述待执行指令,以便按照修复策略描述信息中描述的修复规则信息,对待修复感染型文件进行修复处理。
具体可采用脚本解析的方式,读取与修复策略描述信息对应的脚本文件中的修复规则信息。如定位文件中需要修复数据的位置,然后按照修复规则中的新增字段、和/或删除字段、和/或替换字段等修复方式在该位置处进行数据修复。通过这种可选方式可准确对待修复感染型文件进行修复处理。
207、利用与待修复感染型文件同类型的被感染文件的文件特征变化信息,对修复处理后的该待修复感染型文件进行病毒检测。
例如,可获取步骤204得到的与待修复感染型文件同类型的被感染文件的文件特征变化信息,然后利用这些文件特征变化信息对修复处理后的该待修复感染型文件进行病毒检测,如果确定不存在这些文件特征变化信息,说明未发现病毒,即修复成功。通过这种方式可准确鉴定被感染文件是否修复成功,给出正常的未被感染的文件,避免已修复样本再次进行修复的逻辑。
208、若通过病毒检测未发现病毒,则返回修复成功的待修复感染型文件。
例如,如果本执行主体在服务端侧,可返回给客户端修复成功的待修复感染型文件;如果本执行主体在客户端侧,可直接输出修复结果,以及该修复成功的待修复感染型文件。
通过应用上述本实施例方案,相当于将被感染文件修复的过程定义为感染分析阶段、识别感染过程阶段、感染修复阶段、验证修复结果阶段。对文件修复进行了明确的阶段划分,通过本实施例方法可以为技术人员提供了详细的分析数据,从而降低人工耗费。
进一步的,作为图1、图2所示方法的具体实现,本实施例提供了一种病毒文件数据的修复装置,如图3所示,该装置包括:分析模块31、创建模块32、处理模块33。
分析模块31,可用于根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,其中,所述诱饵文件集合中保存有未被感染的样本文件;
创建模块32,可用于依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息;
处理模块33,可用于接收待修复感染型文件的修复请求,利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理。
在具体的应用场景中,所述分析模块31,具体可用于创建分析环境,使得创建得到的所述分析环境包含被感染前的诱饵文件集合;将具有感染能力的病毒文件在所述分析环境中运行,待所述病毒文件感染完毕后,获取被感染后的诱饵文件集合;将所述被感染后的诱饵文件集合与所述被感染前的诱饵文件集合进行文件特征对比,获取所述文件特征变化信息。
在具体的应用场景中,所述创建模块32,具体可用于按照被感染文件的文件类型,将所述文件特征变化信息进行归类;将同一类型的所述文件特征变化信息进行对比分析,以便创建不同类型的感染型样本文件分别对应的修复策略描述信息。
在具体的应用场景中,所述创建模块32,具体还可用于将目标类型的所述文件特征变化信息进行对比分析,提取目标类型的所述文件特征变化信息中的差异数据;依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息;利用所述修复规则信息,编辑所述目标类型的感染型样本文件对应的修复策略描述信息。
在具体的应用场景中,所述创建模块32,具体还可用于若所述目标类型为目标文件类型的新增类型,则提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串对应的差异位置;将新增类型的感染型样本文件按照所述差异位置删除所述最大相似差异串匹配的数据,以此作为所述新增类型的感染型样本文件的修复规则信息。
在具体的应用场景中,所述创建模块32,具体还可用于若所述目标类型为目标文件类型的更新类型,则提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串所在的差异位置;依据所述最大相似差异串和所述差异位置分析差异变化,得到还原策略信息;利用所述还原策略信息生成所述更新类型的感染型样本文件的修复规则信息。
在具体的应用场景中,所述创建模块32,具体还可用于若所述目标类型为目标文件类型的删除类型,则在所述差异数据中的删除数据均一致时,提取删除一致的差异串,以及记录与所述删除一致的差异串所在的差异位置;将删除类型的感染型样本文件按照所述差异位置新增所述删除一致的差异串,以此作为所述删除类型的感染型样本文件的修复规则信息。
在具体的应用场景中,所述处理模块33,具体可用于对与所述待修复感染型文件的类型所对应的修复策略描述信息进行解析,得到修复策略的待执行指令;执行所述待执行指令,以便按照修复策略描述信息中描述的修复规则信息,对所述待修复感染型文件进行修复处理。
在具体的应用场景中,本装置还包括:检测模块和发送模块;
检测模块,可用于利用所述文件特征变化信息,对修复处理后的所述待修复感染型文件进行病毒检测;
发送模块,可用于若通过所述检测模块未发现病毒,则返回修复成功的所述待修复感染型文件。
需要说明的是,本实施例提供的一种病毒文件数据的修复装置所涉及各功能单元的其它相应描述,可以参考图1、图2中的对应描述,在此不再赘述。
基于上述如图1、图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1、图2所示的病毒文件数据的修复方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该待识别软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3所示的虚拟装置实施例,为了实现上述目的,本实施例还提供了一种病毒文件数据修复的实体设备,具体可以为个人计算机、服务器、智能手机、平板电脑、或者其它网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1、图2所示的方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种病毒文件数据修复的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述实体设备硬件和待识别软件资源的程序,支持信息处理程序以及其它待识别软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,相当于集成了多种类型感染型样本文件的修复策略,从而可以针对不同类型的感染型样本文件进行有效修复,通用性较好。与目前现有技术相比,本实施例在接收到待修复感染型文件的修复请求时,可利用与待修复感染型文件的类型所对应的修复策略描述信息,对待修复感染型文件进行修复处理。不需要技术人员耗费大量时间去分析该待修复感染型文件,同时编写修复逻辑,可直接调用待修复感染型文件相应类型的修复策略描述信息,直接进行文件修复,降低了人力成本耗费,并且在待修复的被感染文件数量较多时,通过本实施例提供的方式可提高被感染文件的修复效率。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (18)
1.一种病毒文件数据的修复方法,其特征在于,包括:
根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,其中,所述诱饵文件集合中保存有未被感染的样本文件;
依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息;
所述依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息,具体包括:
按照被感染文件的文件类型,将所述文件特征变化信息进行归类;
将同一文件类型对应的目标类型的所述文件特征变化信息进行对比分析,以创建得到不同类型的感染型样本文件分别对应的修复策略描述信息,所述类型包括:新增类型、更新类型以及删除类型中的任意一种;
接收待修复感染型文件的修复请求,利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理。
2.根据权利要求1所述的方法,其特征在于,所述根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,具体包括:
创建分析环境,使得创建得到的所述分析环境包含被感染前的诱饵文件集合;
将具有感染能力的病毒文件在所述分析环境中运行,待所述病毒文件感染完毕后,获取被感染后的诱饵文件集合;
将所述被感染后的诱饵文件集合与所述被感染前的诱饵文件集合进行文件特征对比,获取所述文件特征变化信息。
3.根据权利要求1所述的方法,其特征在于,所述将同一类型的所述文件特征变化信息进行对比分析,以便创建不同类型的感染型样本文件分别对应的修复策略描述信息,具体包括:
将目标类型的所述文件特征变化信息进行对比分析,提取目标类型的所述文件特征变化信息中的差异数据;
依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息;
利用所述修复规则信息,编辑所述目标类型的感染型样本文件对应的修复策略描述信息。
4.根据权利要求3所述的方法,其特征在于,若所述目标类型为目标文件类型的新增类型,则所述依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息,具体包括:
提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串对应的差异位置;
将新增类型的感染型样本文件按照所述差异位置删除所述最大相似差异串匹配的数据,以此作为所述新增类型的感染型样本文件的修复规则信息。
5.根据权利要求3所述的方法,其特征在于,若所述目标类型为目标文件类型的更新类型,则所述依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息,具体包括:
提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串所在的差异位置;
依据所述最大相似差异串和所述差异位置分析差异变化,得到还原策略信息;
利用所述还原策略信息生成所述更新类型的感染型样本文件的修复规则信息。
6.根据权利要求3所述的方法,其特征在于,若所述目标类型为目标文件类型的删除类型,则所述依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息,具体包括:
若所述差异数据中的删除数据均一致,则提取删除一致的差异串,以及记录与所述删除一致的差异串所在的差异位置;
将删除类型的感染型样本文件按照所述差异位置新增所述删除一致的差异串,以此作为所述删除类型的感染型样本文件的修复规则信息。
7.根据权利要求1所述的方法,其特征在于,所述利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理,具体包括:
对与所述待修复感染型文件的类型所对应的修复策略描述信息进行解析,得到修复策略的待执行指令;
执行所述待执行指令,以便按照修复策略描述信息中描述的修复规则信息,对所述待修复感染型文件进行修复处理。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理之后,所述方法还包括:
利用所述文件特征变化信息,对修复处理后的所述待修复感染型文件进行病毒检测;
若未发现病毒,则返回修复成功的所述待修复感染型文件。
9.一种病毒文件数据的修复装置,其特征在于,包括:
分析模块,用于根据诱饵文件集合进行病毒感染分析,得到所述诱饵文件集合被感染后的文件特征变化信息,其中,所述诱饵文件集合中保存有未被感染的样本文件;
创建模块,用于依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息;所述依据所述文件特征变化信息,创建不同类型的感染型样本文件分别对应的修复策略描述信息,具体包括:按照被感染文件的文件类型,将所述文件特征变化信息进行归类;将同一文件类型对应的目标类型的所述文件特征变化信息进行对比分析,以创建得到不同类型的感染型样本文件分别对应的修复策略描述信息,所述目标类型为新增类型、更新类型以及删除类型中的任意一种;
处理模块,用于接收待修复感染型文件的修复请求,利用与待修复感染型文件的类型所对应的修复策略描述信息,对所述待修复感染型文件进行修复处理。
10.根据权利要求9所述的装置,其特征在于,
所述分析模块,具体用于创建分析环境,使得创建得到的所述分析环境包含被感染前的诱饵文件集合;
将具有感染能力的病毒文件在所述分析环境中运行,待所述病毒文件感染完毕后,获取被感染后的诱饵文件集合;
将所述被感染后的诱饵文件集合与所述被感染前的诱饵文件集合进行文件特征对比,获取所述文件特征变化信息。
11.根据权利要求9所述的装置,其特征在于,
所述创建模块,具体还用于将目标类型的所述文件特征变化信息进行对比分析,提取目标类型的所述文件特征变化信息中的差异数据;
依据所述差异数据,分析目标类型的感染型样本文件的修复规则信息;
利用所述修复规则信息,编辑所述目标类型的感染型样本文件对应的修复策略描述信息。
12.根据权利要求11所述的装置,其特征在于,
所述创建模块,具体还用于若所述目标类型为目标文件类型的新增类型,则提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串对应的差异位置;
将新增类型的感染型样本文件按照所述差异位置删除所述最大相似差异串匹配的数据,以此作为所述新增类型的感染型样本文件的修复规则信息。
13.根据权利要求11所述的装置,其特征在于,
所述创建模块,具体还用于若所述目标类型为目标文件类型的更新类型,则提取所述差异数据中的最大相似差异串,以及记录与所述最大相似差异串所在的差异位置;
依据所述最大相似差异串和所述差异位置分析差异变化,得到还原策略信息;
利用所述还原策略信息生成所述更新类型的感染型样本文件的修复规则信息。
14.根据权利要求11所述的装置,其特征在于,
所述创建模块,具体还用于若所述目标类型为目标文件类型的删除类型,则在所述差异数据中的删除数据均一致时,提取删除一致的差异串,以及记录与所述删除一致的差异串所在的差异位置;
将删除类型的感染型样本文件按照所述差异位置新增所述删除一致的差异串,以此作为所述删除类型的感染型样本文件的修复规则信息。
15.根据权利要求9所述的装置,其特征在于,
所述处理模块,具体用于对与所述待修复感染型文件的类型所对应的修复策略描述信息进行解析,得到修复策略的待执行指令;
执行所述待执行指令,以便按照修复策略描述信息中描述的修复规则信息,对所述待修复感染型文件进行修复处理。
16.根据权利要求9至15中任一项所述的装置,其特征在于,所述装置还包括:
检测模块,用于利用所述文件特征变化信息,对修复处理后的所述待修复感染型文件进行病毒检测;
发送模块,用于若通过所述检测模块未发现病毒,则返回修复成功的所述待修复感染型文件。
17.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至8中任一项所述的病毒文件数据的修复方法。
18.一种病毒文件数据的修复设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8中任一项所述的病毒文件数据的修复方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910943744.XA CN112580037B (zh) | 2019-09-30 | 2019-09-30 | 病毒文件数据的修复方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910943744.XA CN112580037B (zh) | 2019-09-30 | 2019-09-30 | 病毒文件数据的修复方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112580037A CN112580037A (zh) | 2021-03-30 |
| CN112580037B true CN112580037B (zh) | 2023-12-12 |
Family
ID=75116855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910943744.XA Active CN112580037B (zh) | 2019-09-30 | 2019-09-30 | 病毒文件数据的修复方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112580037B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997029425A2 (en) * | 1996-02-09 | 1997-08-14 | Symantec Corporation | Emulation repair system |
| CN1700180A (zh) * | 2005-04-14 | 2005-11-23 | 上海交通大学 | 数据文件修复及密码破解系统 |
| CN103310154A (zh) * | 2013-06-04 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 信息安全处理的方法、设备和系统 |
| CN103366117A (zh) * | 2012-03-31 | 2013-10-23 | 深圳市腾讯计算机系统有限公司 | 一种感染型病毒修复方法及系统 |
| WO2014000613A1 (zh) * | 2012-06-25 | 2014-01-03 | 腾讯科技(深圳)有限公司 | 系统修复方法、装置及存储介质 |
| WO2014015790A1 (en) * | 2012-07-25 | 2014-01-30 | Tencent Technology (Shenzhen) Company Limited | Method and system for file scanning |
| WO2014040458A1 (en) * | 2012-09-17 | 2014-03-20 | Tencent Technology (Shenzhen) Company Limited | Systems and methods for repairing system files |
| WO2014059854A1 (en) * | 2012-10-17 | 2014-04-24 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for repairing files |
| CN103761156A (zh) * | 2013-12-13 | 2014-04-30 | 北京同有飞骥科技股份有限公司 | 一种针对文件系统的在线修复方法 |
| CN104077527A (zh) * | 2014-06-20 | 2014-10-01 | 珠海市君天电子科技有限公司 | 病毒检测机的生成方法和装置及病毒检测方法和装置 |
| CN104239790A (zh) * | 2013-06-09 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 病毒处理方法及装置 |
| CN104317672A (zh) * | 2014-10-24 | 2015-01-28 | 北京奇虎科技有限公司 | 一种系统文件修复的方法、装置及系统 |
| CN105528263A (zh) * | 2015-12-10 | 2016-04-27 | 北京金山安全管理系统技术有限公司 | 一种文档修复方法和装置 |
-
2019
- 2019-09-30 CN CN201910943744.XA patent/CN112580037B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6067410A (en) * | 1996-02-09 | 2000-05-23 | Symantec Corporation | Emulation repair system |
| WO1997029425A2 (en) * | 1996-02-09 | 1997-08-14 | Symantec Corporation | Emulation repair system |
| CN1700180A (zh) * | 2005-04-14 | 2005-11-23 | 上海交通大学 | 数据文件修复及密码破解系统 |
| CN103366117A (zh) * | 2012-03-31 | 2013-10-23 | 深圳市腾讯计算机系统有限公司 | 一种感染型病毒修复方法及系统 |
| WO2014000613A1 (zh) * | 2012-06-25 | 2014-01-03 | 腾讯科技(深圳)有限公司 | 系统修复方法、装置及存储介质 |
| WO2014015790A1 (en) * | 2012-07-25 | 2014-01-30 | Tencent Technology (Shenzhen) Company Limited | Method and system for file scanning |
| CN103678032A (zh) * | 2012-09-17 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 系统文件的修复方法及装置 |
| WO2014040458A1 (en) * | 2012-09-17 | 2014-03-20 | Tencent Technology (Shenzhen) Company Limited | Systems and methods for repairing system files |
| WO2014059854A1 (en) * | 2012-10-17 | 2014-04-24 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for repairing files |
| CN103310154A (zh) * | 2013-06-04 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 信息安全处理的方法、设备和系统 |
| CN104239790A (zh) * | 2013-06-09 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 病毒处理方法及装置 |
| CN103761156A (zh) * | 2013-12-13 | 2014-04-30 | 北京同有飞骥科技股份有限公司 | 一种针对文件系统的在线修复方法 |
| CN104077527A (zh) * | 2014-06-20 | 2014-10-01 | 珠海市君天电子科技有限公司 | 病毒检测机的生成方法和装置及病毒检测方法和装置 |
| CN104317672A (zh) * | 2014-10-24 | 2015-01-28 | 北京奇虎科技有限公司 | 一种系统文件修复的方法、装置及系统 |
| CN105528263A (zh) * | 2015-12-10 | 2016-04-27 | 北京金山安全管理系统技术有限公司 | 一种文档修复方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 基于PE文件的病毒防治技术研究;胡丽平;江泽涛;李克伟;刘勇;;南昌航空工业学院学报(自然科学版)(第04期);全文 * |
| 网络防病毒系统在科研型企业中的应用;朱志刚;热力发电(第11期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112580037A (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2955658B1 (en) | System and methods for detecting harmful files of different formats | |
| RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
| RU2454714C1 (ru) | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов | |
| US6952776B1 (en) | Method and apparatus for increasing virus detection speed using a database | |
| JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
| US11019096B2 (en) | Combining apparatus, combining method, and combining program | |
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| EP2998902B1 (en) | Method and apparatus for processing file | |
| WO2016058403A1 (zh) | 一种病毒文件的处理方法、系统及设备 | |
| US10747879B2 (en) | System, method, and computer program product for identifying a file used to automatically launch content as unwanted | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| EP3079091A1 (en) | Method and device for virus identification, nonvolatile storage medium, and device | |
| CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| CN108229168B (zh) | 一种嵌套类文件的启发式检测方法、系统及存储介质 | |
| CN112580037B (zh) | 病毒文件数据的修复方法、装置及设备 | |
| KR102415494B1 (ko) | 에뮬레이션 기반의 임베디드 기기 취약점 점검 및 검증 방법 | |
| KR101895876B1 (ko) | 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| WO2020065778A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
| JPWO2019049478A1 (ja) | コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム | |
| CN112580033B (zh) | 恶意程序的对抗方法及装置、存储介质、计算机设备 | |
| CN113032783B (zh) | 一种基于非代码特征的病毒检测方法和系统 | |
| KR102286451B1 (ko) | 자연어 처리 기반 난독화된 식별자 인식 방법, 이를 수행하기 위한 기록 매체 및 장치 | |
| CN112580042B (zh) | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |