CN115495737A - 恶意程序失效方法、装置、设备及存储介质 - Google Patents
恶意程序失效方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115495737A CN115495737A CN202110688472.0A CN202110688472A CN115495737A CN 115495737 A CN115495737 A CN 115495737A CN 202110688472 A CN202110688472 A CN 202110688472A CN 115495737 A CN115495737 A CN 115495737A
- Authority
- CN
- China
- Prior art keywords
- file
- program
- malicious program
- pop
- processed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000009434 installation Methods 0.000 claims abstract description 119
- 238000012545 processing Methods 0.000 claims description 57
- 230000002159 abnormal effect Effects 0.000 claims description 53
- 230000006399 behavior Effects 0.000 claims description 29
- 238000000605 extraction Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 abstract description 15
- 238000012544 monitoring process Methods 0.000 description 21
- 238000004891 communication Methods 0.000 description 8
- 238000012549 training Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004883 computer application Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/164—File meta data generation
- G06F16/166—File name conversion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种恶意程序失效方法、装置、设备及存储介质,所述方法包括:在监测到恶意程序运行时,获取恶意程序的应用安装信息;根据应用安装信息确定恶意程序的安装路径;获取安装路径下待处理可执行文件的文件名称和文件数量;在安装路径下创建文件数量对应的文本文档;根据文件名称对文本文档进行命名处理,获得目标可执行文件,并删除待处理可执行文件。相较于现有技术,用户手动关闭进程或卸载恶意程序,但无法破坏恶意程序的主程序和安装环境,而本发明中根据待处理可执行文件的文件名称对安装路径下创建的文本文档进行命名处理,删除待处理可执行文件,从而破坏了恶意程序的主程序和安装环境,进而防止了恶意程序的再次安装。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种恶意程序失效方法、装置、设备及存储介质。
背景技术
随着各种计算机应用程序的飞速发展,运行于计算机中的恶意程序也大量泛滥,并顽固地常驻于计算机中,对安全性造成了严重的危害。恶意程序为了常驻于计算机的操作系统中,通过各种各样的技术保护自己,使得传统的安全类软件无法对其进行有效处理。例如传统的安全类软件针对恶意程序的清除方式为获取恶意程序的运行进程以及该运行进程的关联进程,之后将他们一一关闭,最后卸载或删除恶意程序。但这种方式无法破坏恶意程序的主程序和安装环境,导致恶意程序还会再次安装,因此,如何防止恶意程序的再次安装是亟待解决的技术问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种恶意程序失效方法、装置、设备及存储介质,旨在解决如何防止恶意程序的再次安装的技术问题。
为实现上述目的,本发明提供了一种恶意程序失效方法,所述恶意程序失效方法包括:
在监测到恶意程序运行时,获取所述恶意程序的应用安装信息;
根据所述应用安装信息确定所述恶意程序的安装路径;
获取所述安装路径下待处理可执行文件的文件名称和文件数量;
在所述安装路径下创建所述文件数量对应的文本文档;
根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
可选地,所述在监测到恶意程序运行时,获取所述恶意程序的应用安装信息的步骤之前,还包括:
在监测到待监测程序的弹窗行为时,根据所述弹窗行为获取弹窗网页信息;
对所述弹窗网页信息进行特征提取,获得弹窗特征信息;
根据所述弹窗特征信息和所述待监测程序确定恶意程序。
可选地,所述根据所述弹窗特征信息和所述待监测程序确定恶意程序的步骤,包括:
判断所述弹窗特征信息是否符合预设安全条件;
在所述弹窗特征信息不符合所述预设安全条件时,对所述待监测程序进行数值标记,获得所述待监测程序的异常弹窗次数;
根据所述异常弹窗次数确定恶意程序。
可选地,所述根据所述异常弹窗次数确定恶意程序的步骤,包括:
判断所述异常弹窗次数是否大于预设弹窗阈值;
在所述异常弹窗次数大于所述预设弹窗阈值时,将所述待监测程序作为恶意程序。
可选地,所述根据所述应用安装信息确定所述恶意程序的安装路径的步骤,包括:
获取所述恶意程序的路径标识;
根据所述路径标识和所述应用安装信息确定所述恶意程序的安装路径。
可选地,所述获取所述安装路径下待处理可执行文件的文件名称和文件数量的步骤,包括:
获取所述安装路径下多个应用程序文件;
按照预设文件格式从所述多个应用程序文件中选取待处理可执行文件;
获取所述待处理可执行文件的文件名称和文件数量。
可选地,所述按照预设文件格式从所述多个应用程序文件中选取待处理可执行文件的步骤,包括:
按照预设文件格式从所述多个应用程序文件中选取多个待确认程序文件;
分别获取所述多个待确认程序文件对应的文件存储量;
根据所述文件存储量从所述多个待确认程序文件中确定待处理可执行文件。
可选地,所述根据所述文件存储量从所述多个待确认程序文件中确定待处理可执行文件的步骤,包括:
判断所述文件存储量是否满足预设存储条件;
在所述文件存储量满足所述预设存储条件时,将所述文件存储量对应的待确认程序文件作为待处理可执行文件。
可选地,所述判断所述文件存储量是否满足预设存储条件的步骤之后,还包括:
在所述文件存储量不满足所述预设存储条件时,将所述文件存储量对应的待确认程序文件作为初始程序文件;
根据所述多个待确认程序文件和所述初始程序文件确定待处理可执行文件。
可选地,所述根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件的步骤,包括:
根据所述文件名称对所述文本文档进行处理,获得目标文本文档;
确定所述目标文本文档的文件类型;
按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件。
可选地,所述根据所述文件名称对所述文本文档进行处理,获得目标文本文档的步骤,包括:
根据所述文件名称对所述文本文档进行命名,获得虚假文本文档;
获取所述虚假文本文档的文件属性信息;
根据所述文件属性信息对所述虚假文本文档进行只读标记,获得目标文本文档。
可选地,所述按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件的步骤之后,还包括:
获取所述目标可执行文件的目标可执行文件名称和目标可执行文件数量;
根据所述目标可执行文件名称和所述目标可执行文件数量生成目标可执行文件表;
根据所述待处理可执行文件的文件名称和文件数量生成待处理可执行文件表;
判断所述目标可执行文件表与所述待处理可执行文件表是否一致;
在所述目标可执行文件表与所述待处理可执行文件表一致时,执行所述删除所述待处理可执行文件的步骤。
此外,为实现上述目的,本发明还提出一种恶意程序失效装置,所述恶意程序失效装置包括:
获取模块,用于在监测到恶意程序运行时,获取所述恶意程序的应用安装信息;
确定模块,用于根据所述应用安装信息确定所述恶意程序的安装路径;
所述获取模块,还用于获取所述安装路径下待处理可执行文件的文件名称和文件数量;
创建模块,用于在所述安装路径下创建所述文件数量对应的文本文档;
处理模块,用于根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
可选地,所述处理模块,还用于根据所述文件名称对所述文本文档进行处理,获得目标文本文档;
所述处理模块,还用于确定所述目标文本文档的文件类型;
所述处理模块,还用于按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件。
可选地,所述处理模块,还用于根据所述文件名称对所述文本文档进行命名,获得虚假文本文档;
所述处理模块,还用于获取所述虚假文本文档的文件属性信息;
所述处理模块,还用于根据所述文件属性信息对所述虚假文本文档进行只读标记,获得目标文本文档。
可选地,所述处理模块,还用于获取所述目标可执行文件的目标可执行文件名称和目标可执行文件数量;
所述处理模块,还用于根据所述目标可执行文件名称和所述目标可执行文件数量生成目标可执行文件表;
所述处理模块,还用于根据所述待处理可执行文件的文件名称和文件数量生成待处理可执行文件表;
所述处理模块,还用于判断所述目标可执行文件表与所述待处理可执行文件表是否一致;
所述处理模块,还用于在所述目标可执行文件表与所述待处理可执行文件表一致时,执行所述删除所述待处理可执行文件的操作。
可选地,所述恶意程序失效装置还包括:
监测模块,用于在监测到待监测程序的弹窗行为时,根据所述弹窗行为获取弹窗网页信息;
所述监测模块,还用于对所述弹窗网页信息进行特征提取,获得弹窗特征信息;
所述监测模块,还用于根据所述弹窗特征信息和所述待监测程序确定恶意程序。
可选地,所述监测模块,还用于判断所述弹窗特征信息是否符合预设安全条件;
所述监测模块,还用于在所述弹窗特征信息不符合所述预设安全条件时,对所述待监测程序进行数值标记,获得所述待监测程序的异常弹窗次数;
所述监测模块,还用于根据所述异常弹窗次数确定恶意程序。
此外,为实现上述目的,本发明还提出一种恶意程序失效设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意程序失效程序,所述恶意程序失效程序配置为实现如上文所述的恶意程序失效方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有恶意程序失效程序,所述恶意程序失效程序被处理器执行时实现如上文所述的恶意程序失效方法的步骤。
本发明首先在监测到恶意程序运行时,获取恶意程序的应用安装信息,然后根据应用安装信息确定恶意程序的安装路径,并获取安装路径下待处理可执行文件的文件名称和文件数量,之后在安装路径下创建文件数量对应的文本文档,最后根据文件名称对文本文档进行命名处理,获得目标可执行文件,并删除待处理可执行文件。相较于现有技术,用户手动关闭进程或卸载恶意程序,但无法破坏恶意程序的主程序和安装环境,而本发明中根据待处理可执行文件的文件名称对安装路径下创建的文本文档进行命名处理,删除待处理可执行文件,从而破坏了恶意程序的主程序和安装环境,进而防止了恶意程序的再次安装。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的恶意程序失效设备的结构示意图;
图2为本发明恶意程序失效方法第一实施例的流程示意图;
图3为本发明恶意程序失效方法第二实施例的流程示意图;
图4为本发明恶意程序失效方法第三实施例的流程示意图;
图5为本发明恶意程序失效装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的恶意程序失效设备结构示意图。
如图1所示,该恶意程序失效设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIrele ss-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Ra ndomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Vol atile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对恶意程序失效设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及恶意程序失效程序。
在图1所示的恶意程序失效设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明恶意程序失效设备中的处理器1001、存储器1005可以设置在恶意程序失效设备中,所述恶意程序失效设备通过处理器1001调用存储器1005中存储的恶意程序失效程序,并执行本发明实施例提供的恶意程序失效方法。
本发明实施例提供了一种恶意程序失效方法,参照图2,图2为本发明恶意程序失效方法第一实施例的流程示意图。
本实施例中,所述恶意程序失效方法包括以下步骤:
步骤S10:在监测到恶意程序运行时,获取所述恶意程序的应用安装信息。
易于理解的是,本实施例的执行主体可以是具有图像处理、数据处理、网络通讯和程序运行等功能的通讯设备,该设备还能够对恶意程序进行失效处理,也可以为其他具有相似功能的计算机设备等,本实施例并不加以限制。
需要说明的是,恶意程序可以为流氓软件,流氓软件时介于病毒与正规软件之间的软件,流氓软件的存在会导致用户使用电脑上网时,有窗口不断跳出;还会使电脑浏览器被莫名修改增加了许多工作条;还会在用户打开网页时,网页会变成不相干的奇怪画面,甚至是广告等,应用安装信息包括程序名称、程序安装文件和程序安装路径等,其中程序安装文件包括可执行文件和文档等。
在监测到恶意程序运行时,获取恶意程序的应用安装信息的步骤之前,还需要认定恶意程序,认定恶意程序的方式为,在监测到待监测程序的弹窗行为时,根据弹窗行为获取弹窗网页信息,然后对弹窗网页信息进行特征提取,获得弹窗特征信息,之后根据弹窗特征信息和待监测程序确定恶意程序。
弹窗网页信息可以为待监测程序携带的娱乐网页信息,还可以为运动网页信息,还可以为广告网页信息等,弹窗特征信息可以为弹窗网页信息中的关键词等。假设弹窗网页信息为广告网页信息,其中广告网页信息中存在多个商品推荐和商品描述,则弹窗特征信息为商品名称和商品描述等。
根据弹窗特征信息和待监测程序确定恶意程序的步骤为,判断弹窗特征信息是否符合预设安全条件,在弹窗特征信息不符合预设安全条件时,对待监测程序进行数值标记,获得待监测程序的异常弹窗次数,最后根据异常弹窗次数确定恶意程序,预设安全条件可以为不存在敏感词汇等,其中敏感词汇可以为用户自定义设置,包括广告、商品或娱乐等。
根据异常弹窗次数确定恶意程序的步骤为,判断异常弹窗次数是否大于预设弹窗阈值,在异常弹窗次数大于预设弹窗阈值时,将待监测程序作为恶意程序,预设弹窗阈值为用户自定义设置,可以为3,还可以为4等,本实施例并不加以限制。
在具体实现中,假设待监测程序携带的弹窗网页信息为广告网页信息,对广告网页信息进行特征提取,获得弹窗特征信息,若弹窗特征信息为广告,则弹窗特征信息不符合预设安全条件,对待监测程序进行数值标记,待监测程序的异常弹窗次数为1,之后需要实时监测待监测程序是否还存在弹窗行为,在存在弹窗行为时,对弹窗网页信息进行分析,若弹窗特征信息不符合预设安全条件,则待监测程序的异常弹窗次数为1的基础上加1,待监测程序的异常弹窗次数为2等,若待监测程序的异常弹窗次数为3,预设弹窗阈值为2,则异常弹窗次数3大于预设弹窗阈值,将待监测程序作为恶意程度等。
步骤S20:根据所述应用安装信息确定所述恶意程序的安装路径。
安装路径为恶意程序的文件所存放的地址,可以为C:\Program Files即在C盘的Program Files文件里等,需要说明的是,应用安装信息中包括程序的安装路径。
根据应用安装信息确定恶意程序的安装路径的步骤还可以为,获取恶意程序的路径标识,根据路径标识和应用安装信息确定恶意程序的安全路径。路径标识可以为C:\,还可以为程序名称等,例如:C:\Program Files\Tencent\qq,路径标识可以为C:\,还可以为qq等。
步骤S30:获取所述安装路径下待处理可执行文件的文件名称和文件数量。
应理解的是,待处理可执行文件为后缀名.exe的文件,安装路径下存在多个文件,包括文本文档、SFX文件、RUN文件、ICO图片文件、OLD文件及可执行文件等。
获取安装路径下待处理可执行文件的文件名称和文件数量的步骤为,获取安装路径下多个应用程序文件,按照预设文件格式从多个应用程序文件中选取待处理可执行文件,获取待处理可执行文件的文件名称和文件数量,预设文件格式为后缀名.exe的文件格式等。
按照预设文件格式从多个应用程序文件中选取待处理可执行文件的步骤为,按照预设文件格式从多个应用程序文件中选取多个待确认程序文件,分别获取多个待确认程序文件对应的文件存储量,根据文件存储量从多个待确认程序文件中确定待处理可执行文件。文件存储量为文件存储大小,可以为295kb,还可以为1421kb等。
根据文件存储量从多个待确认程序文件中确定待处理可执行文件的步骤为,判断文件存储量是否满足预设存储条件,在文件存储量满足预设存储条件时,将文件存储量对应的待确认程序文件作为待处理可执行文件,预设存储条件为大于预设存储阈值,预设存储阈值可以为用户自定义设置,可以为0kb。
假设待处理可执行文件存在多个,分别为A文件、B文件及C文件,若A文件的存储量为0kb,B文件的存储量为492kb,C文件的存储量为1315kb,则B文件和C文件的存储量大于预设存储阈值0kb,B文件和C文件为待处理可执行文件等。
在文件存储量不满足预设存储条件时,将文件存储量对应的待确认程序文件作为初始程序文件,之后根据多个待确认程序文件和初始程序文件确认待处理可执行文件。
在具体实现中,假设待处理可执行文件分别为E文件、F文件及G文件,若E文件的存储量为564kb,F文件的存储量为492kb,G文件的存储量为0kb,则G文件为初始程序文件,E文件和F文件为待处理可执行文件,其中E和F为待处理可执行文件的文件名称,文件数量为2等。
步骤S40:在所述安装路径下创建所述文件数量对应的文本文档。
可选的,文本文档为后缀名.txt的文件等,假设待处理可执行文件为3件,需要在安装路径下创建3件新的文本文档等。
步骤S50:根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
根据文件名称对文本文档进行命名处理,获得目标可执行文件的步骤为,根据文件名称对文本文档进行处理,获得目标文本文档,之后确定目标文本文档的文件类型,按照预设属性规则对目标文本文档的文件类型进行调整,获得目标可执行文件,预设属性规则为将后缀名.txt修改为后缀名.exe等。
根据文件名称对文本文档进行处理,获得目标文本文档的步骤为,根据文件名称对文本文档进行命名,获得虚假文本文档,获取虚假文本文档的文件属性信息,之后根据文件属性信息对虚假文本文档进行只读标记,获得目标文本文档。
假设待处理可执行文件的文件名称分别为1.exe、2.exe、3.exe,文本文档的初始名称为新建文档1.txt、新建文档2.txt、新建文档3.txt,则根据文件名称对文本文档进行命名,获得虚假文本文档1.txt、2.txt、3.txt,之后根据文件属性信息对虚假文本文档进行只读标记,并按照预设属性规则对目标文本文档(只读标记后的文本文档)的文件类型.txt调整为.exe,获得目标可执行文件1.exe、2.exe、3.exe,最后删除待处理可执行文件1.exe、2.exe、3.exe,以使恶意程序失效。
为了保证目标可执行文件与待处理可执行文件保持一致,需要获取目标可执行文件的目标可执行文件名称和目标可执行文件数量,之后根据目标可执行文件名称和目标可执行文件数量生成目标可执行文件表,并根据待处理可执行文件的文件名称和文件数量生成待处理可执行文件表,判断目标可执行文件表与待处理可执行文件表是否一致,在目标可执行文件表与待处理可执行文件表一致时,删除待处理可执行文件。
在本实施例中,首先在监测到恶意程序运行时,获取恶意程序的应用安装信息,然后根据应用安装信息确定恶意程序的安装路径,并获取安装路径下待处理可执行文件的文件名称和文件数量,之后在安装路径下创建文件数量对应的文本文档,最后根据文件名称对文本文档进行命名处理,获得目标可执行文件,并删除待处理可执行文件。相较于现有技术,用户手动关闭进程或卸载恶意程序,但无法破坏恶意程序的主程序和安装环境,而本实施例中根据待处理可执行文件的文件名称对安装路径下创建的文本文档进行命名处理,删除待处理可执行文件,从而破坏了恶意程序的主程序和安装环境,进而防止了恶意程序的再次安装。
参考图3,图3为本发明恶意程序失效方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S10之前,还包括:
步骤S00:在监测到待监测程序的弹窗行为时,根据所述弹窗行为获取弹窗网页信息。
需要说明的是,弹窗是指打开网页、软件、手机APP等的时候自动弹出的窗口,弹出行为是快速进入网页的快捷途径等,通讯设备可以在后台实时监测待监测程序的弹窗行为,并在发现弹窗行为时,及时捕获弹窗网页信息等。
弹窗网页信息可以为待监测程序携带的娱乐网页信息,还可以为运动网页信息,还可以为广告网页信息等。
步骤S01:对所述弹窗网页信息进行特征提取,获得弹窗特征信息。
弹窗特征信息可以为弹窗网页信息中的关键词等。假设弹窗网页信息为广告网页信息,其中广告网页信息中存在多个商品推荐和商品描述,则弹窗特征信息为商品名称和商品描述等。
在具体实现中,假设弹窗网页信息为图像处理培训班名称、图像处理培训班的简介以及图形处理的用处等,则弹窗网页信息中存在频率较高的信息图像处理和培训班,则弹窗特征信息为图像处理、培训班及广告。
步骤S02:根据所述弹窗特征信息和所述待监测程序确定恶意程序。
根据弹窗特征信息和待监测程序确定恶意程序的步骤为,判断弹窗特征信息是否符合预设安全条件,在弹窗特征信息不符合预设安全条件时,对待监测程序进行数值标记,获得待监测程序的异常弹窗次数,最后根据异常弹窗次数确定恶意程序,预设安全条件可以为不存在敏感词汇等,其中敏感词汇可以为用户自定义设置,包括培训班、广告、商品或娱乐等。
根据异常弹窗次数确定恶意程序的步骤为,判断异常弹窗次数是否大于预设弹窗阈值,在异常弹窗次数大于预设弹窗阈值时,将待监测程序作为恶意程序,预设弹窗阈值为用户自定义设置,可以为3,还可以为4等,本实施例并不加以限制。
在具体实现中,假设待监测程序携带的弹窗网页信息为广告网页信息,对广告网页信息进行特征提取,获得弹窗特征信息,若弹窗特征信息为广告,则弹窗特征信息不符合预设安全条件,对待监测程序进行数值标记,待监测程序的异常弹窗次数为1,之后需要实时监测待监测程序是否还存在弹窗行为,在存在弹窗行为时,对弹窗网页信息进行分析,若弹窗特征信息不符合预设安全条件,则待监测程序的异常弹窗次数为1的基础上加1,待监测程序的异常弹窗次数为2等,若待监测程序的异常弹窗次数为3,预设弹窗阈值为2,则异常弹窗次数3大于预设弹窗阈值,将待监测程序作为恶意程度等。
在本实施例中,首先在监测到待监测程序的弹窗行为时,根据弹窗行为获取弹窗网页信息,然后对弹窗网页信息进行特征提取,获得弹窗特征信息,最后根据弹窗特征信息和待监测程序确定恶意程序,相较于现有技术中,需要用户预先将恶意程序进行登记,在监测到恶意程序时,直接对恶意程序进行拦截,而本实施例中对弹窗网页信息进行分析,获得弹窗特征信息,最后根据弹窗特征信息确定恶意程序,从而提高了恶意程序的检测效率,进而提高了用户体验。
参考图4,图4为本发明恶意程序失效方法第三实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S50,还包括:
步骤S501:根据所述文件名称对所述文本文档进行处理,获得目标文本文档。
根据文件名称对文本文档进行处理,获得目标文本文档的步骤为,根据文件名称对文本文档进行命名,获得虚假文本文档,获取虚假文本文档的文件属性信息,之后根据文件属性信息对虚假文本文档进行只读标记,获得目标文本文档。
假设待处理可执行文件的文件名称分别为1.exe、2.exe、3.exe,文本文档的初始名称为新建文档1.txt、新建文档2.txt、新建文档3.txt,则根据文件名称对文本文档进行命名,获得虚假文本文档1.txt、2.txt、3.txt,之后根据文件属性信息对虚假文本文档进行只读标记,获得目标文本文档。
步骤S502:确定所述目标文本文档的文件类型。
需要说明的是,可以根据文本文档的后缀名确定文本文档的文件类型,假设文本文档的命名为A.txt,则.txt为文本文档的后缀名即文件类型等。
步骤S503:按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
可选的,预设属性规则为将后缀名.txt修改为后缀名.exe等。假设待处理可执行文件的文件名称分别为A.exe、B.exe、C.exe,文本文档的初始名称为新建文档1.txt、新建文档2.txt、新建文档3.txt,则根据文件名称对文本文档进行命名,获得虚假文本文档A.txt、B.txt、C.txt,之后根据文件属性信息对虚假文本文档进行只读标记,并按照预设属性规则对目标文本文档(只读标记后的文本文档)的文件类型.txt调整为.exe,获得目标可执行文件A.exe、B.exe、C.exe,最后删除待处理可执行文件A.exe、B.exe、C.exe,以使恶意程序失效。
为了保证目标可执行文件与待处理可执行文件保持一致,需要获取目标可执行文件的目标可执行文件名称和目标可执行文件数量,之后根据目标可执行文件名称和目标可执行文件数量生成目标可执行文件表,并根据待处理可执行文件的文件名称和文件数量生成待处理可执行文件表,判断目标可执行文件表与待处理可执行文件表是否一致,在目标可执行文件表与待处理可执行文件表一致时,删除待处理可执行文件。
在本实施例中,首先根据文件名称对所述文本文档进行处理,获得目标文本文档,然后确定目标文本文档的文件类型,最后按照预设属性规则对目标文本文档的文件类型进行调整,获得目标可执行文件,并删除待处理可执行文件,以使恶意程序失效,相较于现有技术中,直接对待处理可执行文件进行删除,但这样并不能破坏恶意程序的主程序和安装环境,而本实施例中按照文件名称对文本文档进行命名处理和类型调整,获得目标可执行文件,之后删除待处理可执行文件,从根本上解决了恶意程序生存的土壤,从而防止恶意程序通过其他途径被再次安装。
参照图5,图5为本发明恶意程序失效装置第一实施例的结构框图。
如图5所示,本发明实施例提出的恶意程序失效装置包括:
获取模块5001,用于在监测到恶意程序运行时,获取所述恶意程序的应用安装信息。
需要说明的是,恶意程序可以为流氓软件,流氓软件时介于病毒与正规软件之间的软件,流氓软件的存在会导致用户使用电脑上网时,有窗口不断跳出;还会使电脑浏览器被莫名修改增加了许多工作条;还会在用户打开网页时,网页会变成不相干的奇怪画面,甚至是广告等,应用安装信息包括程序名称、程序安装文件和程序安装路径等,其中程序安装文件包括可执行文件和文档等。
在监测到恶意程序运行时,获取恶意程序的应用安装信息的步骤之前,还需要认定恶意程序,认定恶意程序的方式为,在监测到待监测程序的弹窗行为时,根据弹窗行为获取弹窗网页信息,然后对弹窗网页信息进行特征提取,获得弹窗特征信息,之后根据弹窗特征信息和待监测程序确定恶意程序。
弹窗网页信息可以为待监测程序携带的娱乐网页信息,还可以为运动网页信息,还可以为广告网页信息等,弹窗特征信息可以为弹窗网页信息中的关键词等。假设弹窗网页信息为广告网页信息,其中广告网页信息中存在多个商品推荐和商品描述,则弹窗特征信息为商品名称和商品描述等。
根据弹窗特征信息和待监测程序确定恶意程序的步骤为,判断弹窗特征信息是否符合预设安全条件,在弹窗特征信息不符合预设安全条件时,对待监测程序进行数值标记,获得待监测程序的异常弹窗次数,最后根据异常弹窗次数确定恶意程序,预设安全条件可以为不存在敏感词汇等,其中敏感词汇可以为用户自定义设置,包括广告、商品或娱乐等。
根据异常弹窗次数确定恶意程序的步骤为,判断异常弹窗次数是否大于预设弹窗阈值,在异常弹窗次数大于预设弹窗阈值时,将待监测程序作为恶意程序,预设弹窗阈值为用户自定义设置,可以为3,还可以为4等,本实施例并不加以限制。
在具体实现中,假设待监测程序携带的弹窗网页信息为广告网页信息,对广告网页信息进行特征提取,获得弹窗特征信息,若弹窗特征信息为广告,则弹窗特征信息不符合预设安全条件,对待监测程序进行数值标记,待监测程序的异常弹窗次数为1,之后需要实时监测待监测程序是否还存在弹窗行为,在存在弹窗行为时,对弹窗网页信息进行分析,若弹窗特征信息不符合预设安全条件,则待监测程序的异常弹窗次数为1的基础上加1,待监测程序的异常弹窗次数为2等,若待监测程序的异常弹窗次数为3,预设弹窗阈值为2,则异常弹窗次数3大于预设弹窗阈值,将待监测程序作为恶意程度等。
确定模块5002,用于根据所述应用安装信息确定所述恶意程序的安装路径。
安装路径为恶意程序的文件所存放的地址,可以为C:\Program Files即在C盘的Program Files文件里等,需要说明的是,应用安装信息中包括程序的安装路径。
根据应用安装信息确定恶意程序的安装路径的步骤还可以为,获取恶意程序的路径标识,根据路径标识和应用安装信息确定恶意程序的安全路径。路径标识可以为C:\,还可以为程序名称等,例如:C:\Program Files\Tencent\qq,路径标识可以为C:\,还可以为qq等。
所述获取模块5001,还用于获取所述安装路径下待处理可执行文件的文件名称和文件数量。
应理解的是,待处理可执行文件为后缀名.exe的文件,安装路径下存在多个文件,包括文本文档、SFX文件、RUN文件、ICO图片文件、OLD文件及可执行文件等。
获取安装路径下待处理可执行文件的文件名称和文件数量的步骤为,获取安装路径下多个应用程序文件,按照预设文件格式从多个应用程序文件中选取待处理可执行文件,获取待处理可执行文件的文件名称和文件数量,预设文件格式为后缀名.exe的文件格式等。
按照预设文件格式从多个应用程序文件中选取待处理可执行文件的步骤为,按照预设文件格式从多个应用程序文件中选取多个待确认程序文件,分别获取多个待确认程序文件对应的文件存储量,根据文件存储量从多个待确认程序文件中确定待处理可执行文件。文件存储量为文件存储大小,可以为295kb,还可以为1421kb等。
根据文件存储量从多个待确认程序文件中确定待处理可执行文件的步骤为,判断文件存储量是否满足预设存储条件,在文件存储量满足预设存储条件时,将文件存储量对应的待确认程序文件作为待处理可执行文件,预设存储条件为大于预设存储阈值,预设存储阈值可以为用户自定义设置,可以为0kb。
假设待处理可执行文件存在多个,分别为A文件、B文件及C文件,若A文件的存储量为0kb,B文件的存储量为492kb,C文件的存储量为1315kb,则B文件和C文件的存储量大于预设存储阈值0kb,B文件和C文件为待处理可执行文件等。
在文件存储量不满足预设存储条件时,将文件存储量对应的待确认程序文件作为初始程序文件,之后根据多个待确认程序文件和初始程序文件确认待处理可执行文件。
在具体实现中,假设待处理可执行文件分别为E文件、F文件及G文件,若E文件的存储量为564kb,F文件的存储量为492kb,G文件的存储量为0kb,则G文件为初始程序文件,E文件和F文件为待处理可执行文件,其中E和F为待处理可执行文件的文件名称,文件数量为2等。
创建模块5003,用于在所述安装路径下创建所述文件数量对应的文本文档。
可选的,文本文档为后缀名.txt的文件等,假设待处理可执行文件为3件,需要在安装路径下创建3件新的文本文档等。
处理模块5004,用于根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
根据文件名称对文本文档进行命名处理,获得目标可执行文件的步骤为,根据文件名称对文本文档进行处理,获得目标文本文档,之后确定目标文本文档的文件类型,按照预设属性规则对目标文本文档的文件类型进行调整,获得目标可执行文件,预设属性规则为将后缀名.txt修改为后缀名.exe等。
根据文件名称对文本文档进行处理,获得目标文本文档的步骤为,根据文件名称对文本文档进行命名,获得虚假文本文档,获取虚假文本文档的文件属性信息,之后根据文件属性信息对虚假文本文档进行只读标记,获得目标文本文档。
假设待处理可执行文件的文件名称分别为1.exe、2.exe、3.exe,文本文档的初始名称为新建文档1.txt、新建文档2.txt、新建文档3.txt,则根据文件名称对文本文档进行命名,获得虚假文本文档1.txt、2.txt、3.txt,之后根据文件属性信息对虚假文本文档进行只读标记,并按照预设属性规则对目标文本文档(只读标记后的文本文档)的文件类型.txt调整为.exe,获得目标可执行文件1.exe、2.exe、3.exe,最后删除待处理可执行文件1.exe、2.exe、3.exe,以使恶意程序失效。
为了保证目标可执行文件与待处理可执行文件保持一致,需要获取目标可执行文件的目标可执行文件名称和目标可执行文件数量,之后根据目标可执行文件名称和目标可执行文件数量生成目标可执行文件表,并根据待处理可执行文件的文件名称和文件数量生成待处理可执行文件表,判断目标可执行文件表与待处理可执行文件表是否一致,在目标可执行文件表与待处理可执行文件表一致时,删除待处理可执行文件。
在本实施例中,首先在监测到恶意程序运行时,获取恶意程序的应用安装信息,然后根据应用安装信息确定恶意程序的安装路径,并获取安装路径下待处理可执行文件的文件名称和文件数量,之后在安装路径下创建文件数量对应的文本文档,最后根据文件名称对文本文档进行命名处理,获得目标可执行文件,并删除待处理可执行文件。相较于现有技术,用户手动关闭进程或卸载恶意程序,但无法破坏恶意程序的主程序和安装环境,而本实施例中根据待处理可执行文件的文件名称对安装路径下创建的文本文档进行命名处理,删除待处理可执行文件,从而破坏了恶意程序的主程序和安装环境,进而防止了恶意程序的再次安装。
进一步地,所述恶意程序失效装置还包括:
监测模块,用于在监测到待监测程序的弹窗行为时,根据所述弹窗行为获取弹窗网页信息;
所述监测模块,还用于对所述弹窗网页信息进行特征提取,获得弹窗特征信息;
所述监测模块,还用于根据所述弹窗特征信息和所述待监测程序确定恶意程序。
进一步地,所述监测模块,还用于判断所述弹窗特征信息是否符合预设安全条件;
所述监测模块,还用于在所述弹窗特征信息不符合所述预设安全条件时,对所述待监测程序进行数值标记,获得所述待监测程序的异常弹窗次数;
所述监测模块,还用于根据所述异常弹窗次数确定恶意程序。
进一步地,所述监测模块,还用于判断所述异常弹窗次数是否大于预设弹窗阈值;
所述监测模块,还用于在所述异常弹窗次数大于所述预设弹窗阈值时,将所述待监测程序作为恶意程序。
进一步地,所述确定模块5002,还用于获取所述恶意程序的路径标识;
所述确定模块5002,还用于根据所述路径标识和所述应用安装信息确定所述恶意程序的安装路径。
进一步地,所述获取模块5001,还用于获取所述安装路径下多个应用程序文件;
所述获取模块5001,还用于按照预设文件格式从所述多个应用程序文件中选取待处理可执行文件;
所述获取模块5001,还用于获取所述待处理可执行文件的文件名称和文件数量。
进一步地,所述获取模块5001,还用于按照预设文件格式从所述多个应用程序文件中选取多个待确认程序文件;
所述获取模块5001,还用于分别获取所述多个待确认程序文件对应的文件存储量;
所述获取模块5001,还用于根据所述文件存储量从所述多个待确认程序文件中确定待处理可执行文件。
进一步地,所述获取模块5001,还用于判断所述文件存储量是否满足预设存储条件;
所述获取模块5001,还用于在所述文件存储量满足所述预设存储条件时,将所述文件存储量对应的待确认程序文件作为待处理可执行文件。
进一步地,所述获取模块5001,还用于在所述文件存储量不满足所述预设存储条件时,将所述文件存储量对应的待确认程序文件作为初始程序文件;
所述获取模块5001,还用于根据所述多个待确认程序文件和所述初始程序文件确定待处理可执行文件。
进一步地,所述处理模块5004,还用于根据所述文件名称对所述文本文档进行处理,获得目标文本文档;
所述处理模块5004,还用于确定所述目标文本文档的文件类型;
所述处理模块5004,还用于按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件。
进一步地,所述处理模块5004,还用于根据所述文件名称对所述文本文档进行命名,获得虚假文本文档;
所述处理模块5004,还用于获取所述虚假文本文档的文件属性信息;
所述处理模块5004,还用于根据所述文件属性信息对所述虚假文本文档进行只读标记,获得目标文本文档。
进一步地,所述处理模块5004,还用于获取所述目标可执行文件的目标可执行文件名称和目标可执行文件数量;
所述处理模块5004,还用于根据所述目标可执行文件名称和所述目标可执行文件数量生成目标可执行文件表;
所述处理模块5004,还用于根据所述待处理可执行文件的文件名称和文件数量生成待处理可执行文件表;
所述处理模块5004,还用于判断所述目标可执行文件表与所述待处理可执行文件表是否一致;
所述处理模块5004,还用于在所述目标可执行文件表与所述待处理可执行文件表一致时,执行所述删除所述待处理可执行文件的操作。
本发明恶意程序失效装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明还公开了A1、一种恶意程序失效方法,所述恶意程序失效的方法,包括:
在监测到恶意程序运行时,获取所述恶意程序的应用安装信息;
根据所述应用安装信息确定所述恶意程序的安装路径;
获取所述安装路径下待处理可执行文件的文件名称和文件数量;
在所述安装路径下创建所述文件数量对应的文本文档;
根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
A2、如权利要求A1所述的方法,所述在监测到恶意程序运行时,获取所述恶意程序的应用安装信息的步骤之前,还包括:
在监测到待监测程序的弹窗行为时,根据所述弹窗行为获取弹窗网页信息;
对所述弹窗网页信息进行特征提取,获得弹窗特征信息;
根据所述弹窗特征信息和所述待监测程序确定恶意程序。
A3、如权利要求A2所述的方法,所述根据所述弹窗特征信息和所述待监测程序确定恶意程序的步骤,包括:
判断所述弹窗特征信息是否符合预设安全条件;
在所述弹窗特征信息不符合所述预设安全条件时,对所述待监测程序进行数值标记,获得所述待监测程序的异常弹窗次数;
根据所述异常弹窗次数确定恶意程序。
A4、如权利要求A3所述的方法,所述根据所述异常弹窗次数确定恶意程序的步骤,包括:
判断所述异常弹窗次数是否大于预设弹窗阈值;
在所述异常弹窗次数大于所述预设弹窗阈值时,将所述待监测程序作为恶意程序。
A5、如权利要求A1-A4任一项所述的方法,所述根据所述应用安装信息确定所述恶意程序的安装路径的步骤,包括:
获取所述恶意程序的路径标识;
根据所述路径标识和所述应用安装信息确定所述恶意程序的安装路径。
A6、如权利要求A1-A4任一项所述的方法,所述获取所述安装路径下待处理可执行文件的文件名称和文件数量的步骤,包括:
获取所述安装路径下多个应用程序文件;
按照预设文件格式从所述多个应用程序文件中选取待处理可执行文件;
获取所述待处理可执行文件的文件名称和文件数量。
A7、如权利要求A6所述的方法,所述按照预设文件格式从所述多个应用程序文件中选取待处理可执行文件的步骤,包括:
按照预设文件格式从所述多个应用程序文件中选取多个待确认程序文件;
分别获取所述多个待确认程序文件对应的文件存储量;
根据所述文件存储量从所述多个待确认程序文件中确定待处理可执行文件。
A8、如权利要求A7所述的方法,所述根据所述文件存储量从所述多个待确认程序文件中确定待处理可执行文件的步骤,包括:
判断所述文件存储量是否满足预设存储条件;
在所述文件存储量满足所述预设存储条件时,将所述文件存储量对应的待确认程序文件作为待处理可执行文件。
A9、如权利要求A8所述的方法,所述判断所述文件存储量是否满足预设存储条件的步骤之后,还包括:
在所述文件存储量不满足所述预设存储条件时,将所述文件存储量对应的待确认程序文件作为初始程序文件;
根据所述多个待确认程序文件和所述初始程序文件确定待处理可执行文件。
A10、如权利要求A1-A4任一项所述的方法,所述根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件的步骤,包括:
根据所述文件名称对所述文本文档进行处理,获得目标文本文档;
确定所述目标文本文档的文件类型;
按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件。
A11、如权利要求A10所述的方法,所述根据所述文件名称对所述文本文档进行处理,获得目标文本文档的步骤,包括:
根据所述文件名称对所述文本文档进行命名,获得虚假文本文档;
获取所述虚假文本文档的文件属性信息;
根据所述文件属性信息对所述虚假文本文档进行只读标记,获得目标文本文档。
A12、如权利要求A11所述的方法,所述按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件的步骤之后,还包括:
获取所述目标可执行文件的目标可执行文件名称和目标可执行文件数量;
根据所述目标可执行文件名称和所述目标可执行文件数量生成目标可执行文件表;
根据所述待处理可执行文件的文件名称和文件数量生成待处理可执行文件表;
判断所述目标可执行文件表与所述待处理可执行文件表是否一致;
在所述目标可执行文件表与所述待处理可执行文件表一致时,执行所述删除所述待处理可执行文件的步骤。
本发明还公开了B13、一种恶意程序失效装置,所述恶意程序失效装置包括:
获取模块,用于在监测到恶意程序运行时,获取所述恶意程序的应用安装信息;
确定模块,用于根据所述应用安装信息确定所述恶意程序的安装路径;
所述获取模块,还用于获取所述安装路径下待处理可执行文件的文件名称和文件数量;
创建模块,用于在所述安装路径下创建所述文件数量对应的文本文档;
处理模块,用于根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
B14、如权利要求B13所述的装置,所述处理模块,还用于根据所述文件名称对所述文本文档进行处理,获得目标文本文档;
所述处理模块,还用于确定所述目标文本文档的文件类型;
所述处理模块,还用于按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件。
B15、如权利要求B14所述的装置,所述处理模块,还用于根据所述文件名称对所述文本文档进行命名,获得虚假文本文档;
所述处理模块,还用于获取所述虚假文本文档的文件属性信息;
所述处理模块,还用于根据所述文件属性信息对所述虚假文本文档进行只读标记,获得目标文本文档。
B16、如权利要求B15所述的装置,所述处理模块,还用于获取所述目标可执行文件的目标可执行文件名称和目标可执行文件数量;
所述处理模块,还用于根据所述目标可执行文件名称和所述目标可执行文件数量生成目标可执行文件表;
所述处理模块,还用于根据所述待处理可执行文件的文件名称和文件数量生成待处理可执行文件表;
所述处理模块,还用于判断所述目标可执行文件表与所述待处理可执行文件表是否一致;
所述处理模块,还用于在所述目标可执行文件表与所述待处理可执行文件表一致时,执行所述删除所述待处理可执行文件的操作。
B17、如权利要求B13所述的装置,所述恶意程序失效装置还包括:
监测模块,用于在监测到待监测程序的弹窗行为时,根据所述弹窗行为获取弹窗网页信息;
所述监测模块,还用于对所述弹窗网页信息进行特征提取,获得弹窗特征信息;
所述监测模块,还用于根据所述弹窗特征信息和所述待监测程序确定恶意程序。
B18、如权利要求B17所述的装置,所述监测模块,还用于判断所述弹窗特征信息是否符合预设安全条件;
所述监测模块,还用于在所述弹窗特征信息不符合所述预设安全条件时,对所述待监测程序进行数值标记,获得所述待监测程序的异常弹窗次数;
所述监测模块,还用于根据所述异常弹窗次数确定恶意程序。
本发明还公开了C19、一种恶意程序失效设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意程序失效程序,所述恶意程序失效程序配置为实现如上文所述的恶意程序失效方法的步骤。
本发明还公开了D20、一种存储介质,所述存储介质上存储有恶意程序失效程序,所述恶意程序失效程序被处理器执行时实现如上文所述的恶意程序失效方法的步骤。
Claims (10)
1.一种恶意程序失效方法,其特征在于,所述恶意程序失效的方法,包括:
在监测到恶意程序运行时,获取所述恶意程序的应用安装信息;
根据所述应用安装信息确定所述恶意程序的安装路径;
获取所述安装路径下待处理可执行文件的文件名称和文件数量;
在所述安装路径下创建所述文件数量对应的文本文档;
根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
2.如权利要求1所述的方法,其特征在于,所述在监测到恶意程序运行时,获取所述恶意程序的应用安装信息的步骤之前,还包括:
在监测到待监测程序的弹窗行为时,根据所述弹窗行为获取弹窗网页信息;
对所述弹窗网页信息进行特征提取,获得弹窗特征信息;
根据所述弹窗特征信息和所述待监测程序确定恶意程序。
3.如权利要求2所述的方法,其特征在于,所述根据所述弹窗特征信息和所述待监测程序确定恶意程序的步骤,包括:
判断所述弹窗特征信息是否符合预设安全条件;
在所述弹窗特征信息不符合所述预设安全条件时,对所述待监测程序进行数值标记,获得所述待监测程序的异常弹窗次数;
根据所述异常弹窗次数确定恶意程序。
4.如权利要求3所述的方法,其特征在于,所述根据所述异常弹窗次数确定恶意程序的步骤,包括:
判断所述异常弹窗次数是否大于预设弹窗阈值;
在所述异常弹窗次数大于所述预设弹窗阈值时,将所述待监测程序作为恶意程序。
5.如权利要求1-4任一项所述的方法,其特征在于,所述根据所述应用安装信息确定所述恶意程序的安装路径的步骤,包括:
获取所述恶意程序的路径标识;
根据所述路径标识和所述应用安装信息确定所述恶意程序的安装路径。
6.如权利要求1-4任一项所述的方法,其特征在于,所述获取所述安装路径下待处理可执行文件的文件名称和文件数量的步骤,包括:
获取所述安装路径下多个应用程序文件;
按照预设文件格式从所述多个应用程序文件中选取待处理可执行文件;
获取所述待处理可执行文件的文件名称和文件数量。
7.如权利要求1-4任一项所述的方法,其特征在于,所述根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件的步骤,包括:
根据所述文件名称对所述文本文档进行处理,获得目标文本文档;
确定所述目标文本文档的文件类型;
按照预设属性规则对所述目标文本文档的文件类型进行调整,获得目标可执行文件。
8.一种恶意程序失效装置,其特征在于,所述恶意程序失效装置包括:
获取模块,用于在监测到恶意程序运行时,获取所述恶意程序的应用安装信息;
确定模块,用于根据所述应用安装信息确定所述恶意程序的安装路径;
所述获取模块,还用于获取所述安装路径下待处理可执行文件的文件名称和文件数量;
创建模块,用于在所述安装路径下创建所述文件数量对应的文本文档;
处理模块,用于根据所述文件名称对所述文本文档进行命名处理,获得目标可执行文件,并删除所述待处理可执行文件,以使所述恶意程序失效。
9.一种恶意程序失效设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意程序失效程序,所述恶意程序失效程序配置为实现如权利要求1至7中任一项所述的恶意程序失效方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有恶意程序失效程序,所述恶意程序失效程序被处理器执行时实现如权利要求1至7任一项所述的恶意程序失效方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110688472.0A CN115495737A (zh) | 2021-06-18 | 2021-06-18 | 恶意程序失效方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110688472.0A CN115495737A (zh) | 2021-06-18 | 2021-06-18 | 恶意程序失效方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115495737A true CN115495737A (zh) | 2022-12-20 |
Family
ID=84464094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110688472.0A Pending CN115495737A (zh) | 2021-06-18 | 2021-06-18 | 恶意程序失效方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115495737A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115828227A (zh) * | 2023-01-05 | 2023-03-21 | 荣耀终端有限公司 | 识别广告弹窗的方法、电子设备及存储介质 |
-
2021
- 2021-06-18 CN CN202110688472.0A patent/CN115495737A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115828227A (zh) * | 2023-01-05 | 2023-03-21 | 荣耀终端有限公司 | 识别广告弹窗的方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240121266A1 (en) | Malicious script detection | |
| US20200193024A1 (en) | Detection Of Malware Using Feature Hashing | |
| US10462160B2 (en) | Method and system for identifying uncorrelated suspicious events during an attack | |
| KR102415971B1 (ko) | 악성 모바일 앱 감지 장치 및 방법 | |
| US9239922B1 (en) | Document exploit detection using baseline comparison | |
| US8732831B2 (en) | Detection of rogue software applications | |
| US8474040B2 (en) | Environmental imaging | |
| CN111737692B (zh) | 应用程序的风险检测方法及装置、设备、存储介质 | |
| US20090113548A1 (en) | Executable Download Tracking System | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| US10482240B2 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
| CN113486350A (zh) | 恶意软件的识别方法、装置、设备及存储介质 | |
| US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
| US8479289B1 (en) | Method and system for minimizing the effects of rogue security software | |
| US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
| US9177146B1 (en) | Layout scanner for application classification | |
| US9646157B1 (en) | Systems and methods for identifying repackaged files | |
| CN115495737A (zh) | 恶意程序失效方法、装置、设备及存储介质 | |
| CN113971284B (zh) | 基于JavaScript的恶意网页检测方法、设备及计算机可读存储介质 | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| WO2009097241A1 (en) | A method and system for assessing deployment and un-deployment of software installations | |
| JP2015132942A (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN105184162A (zh) | 程序监控方法和装置 | |
| US8291494B1 (en) | System, method, and computer program product for detecting unwanted activity associated with an object, based on an attribute associated with the object | |
| CN114491528A (zh) | 恶意软件的检测方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |