WO2015081836A1

WO2015081836A1 - 病毒的识别方法、设备、非易失性存储介质及设备

Info

Publication number: WO2015081836A1
Application number: PCT/CN2014/092758
Authority: WO
Inventors: 郭明强; 陈高和; 董志强
Original assignee: 百度国际科技（深圳）有限公司
Priority date: 2013-12-02
Filing date: 2014-12-02
Publication date: 2015-06-11
Also published as: CN103699838A; CN103699838B

Abstract

提供一种病毒的识别方法、设备、非易失性存储介质及设备。通过监控进程的行为（101），进而根据所述进程的行为，获得与所述进程对应的可执行文件的文件名（102），以及确定与所述可执行文件的文件名相同或相近似的文件名（103），使得能够根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒（104），无需依赖文件夹病毒的病毒特征信息，操作简单，且不容易出错，从而提高了病毒识别的效率和可靠性。

Description

病毒的识别方法、设备、非易失性存储介质及设备

本申请要求了申请日为2013年12月02日，申请号为201310637279.X，发明名称为“病毒的识别方法及设备”的中国专利申请的优先权。

技术领域

本发明涉及计算机技术，尤其涉及一种病毒的识别方法、设备、非易失性存储介质及设备。

背景技术

文件夹病毒，是一种利用文件夹图标迷惑用户，双击打开进行复制的病毒。文件夹病毒会遍历移动存储设备的根目录下的文件夹，复制自身到移动存储设备的根目录下，更名为检测到的文件夹的文件名，修改该文件夹的属性为不可见，使用户在使用移动存储设备打开其文件夹时运行病毒，以达到复制的目的。现有技术中，利用病毒数据库，对扫描的文件进行特征匹配，若所述匹配成功，识别所述文件为文件夹病毒。原始的病毒数据库需要由操作人员逐一获取每个文件夹病毒，对每个文件夹病毒文件进行人工识别和特征提取，以建立病毒数据库。

然而，现有建立病毒数据库的操作复杂，且容易出错，从而导致了病毒识别的效率和可靠性的降低。

发明内容

本发明的多个方面提供一种病毒的识别方法、设备、非易失性存储介质及设备，用以提高病毒识别的效率和可靠性。

本发明的一方面，提供一种病毒的识别方法，包括：

监控进程的行为；

根据所述进程的行为，获得与所述进程对应的可执行文件的文件名；

确定与所述可执行文件的文件名相同或相近似的文件名；

根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，包括：

若所述进程的行为为进程启动，获得所述进程所访问的可执行文件的文件名。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，包括：

若所述进程的行为为打开所述文件夹，且所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。

若所述进程的行为为创建所述可执行文件，获得所述可执行文件的文件名。

若所述进程的行为为设置所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒之后，还包括：

根据所述识别的所述文件夹病毒，获得所述文件夹病毒的病毒特征信息；

将所述病毒特征信息加入到病毒数据库中，以供利用所述病毒数据库，对扫描的文件进行特征匹配，若所述匹配成功，识别所述文件为文件夹病毒。

本发明的另一方面，提供一种病毒的识别设备，包括：

监控单元，用于监控进程的行为；

获得单元，用于根据所述进程的行为，获得与所述进程对应的可执行文件的文件名；

确定单元，用于确定与所述可执行文件的文件名相同或相近似的文件名；

识别单元，用于根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述获得单元，具体用于

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述识别单元，具体用于

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述设备还包括更新单元，用于

根据所述识别的所述文件夹病毒，获得所述文件夹病毒的病毒特征信息；以及

本发明的另一方面，提供一种非易失性存储介质，所述非易失性存储介质包括计算机程序，所述计算机程序在被一个或多个计算机执行时使得所述一个或多个计算机执行如下操作：

监控进程的行为；

确定与所述可执行文件的文件名相同或相近似的文件名；

本发明的另一方面，提供一种设备，包括至少一个处理器、存储器以及至少一个计算机程序；所述至少一个计算机程序存储于所述存储器并被所述至少一个处理器执行；所述计算机程序包括执行以下操作的指令：

监控进程的行为；

确定与所述可执行文件的文件名相同或相近似的文件名；

由上述技术方案可知，本发明实施例通过监控进程的行为，进而根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，以及确定与所述可执行文件的文件名相同或相近似的文件名，使得能够根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，无需依赖文件夹病毒的病毒特征信息，操作简单，且不容易出错，从而提高了病毒识别的效率和可靠性。

另外，采用本发明提供的技术方案，能够在进程启动时，准确识别出文件夹病毒，能够有效提高病毒识别的效率，能够有效提高系统的安全性能。

另外，采用本发明提供的技术方案，能够在进程尝试复制文件夹病毒时，准确识别出该进程对应的可执行文件为文件夹病毒，能够有效提高病毒识别的效率，能够有效阻止系统中文件夹病毒的复制，从而进一步提高了系统的安全性能。

另外，采用本发明提供的技术方案，能够自动建立病毒数据库，无需操作人员逐一获取每个文件夹病毒，对每个文件夹病毒文件进行人工识别和特征提取，实时性好，且正确率高，能够有效提高病毒识别的效率和可靠性，从而进一步提高了系统的安全性能。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的病毒的识别方法的流程示意图；

图2为本发明另一实施例提供的病毒的识别设备的结构示意图；

图3为本发明另一实施例提供的病毒的识别设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

图1为本发明一实施例提供的病毒的识别方法的流程示意图，如图1所示。

101、监控进程的行为。

102、根据所述进程的行为，获得与所述进程对应的可执行文件的文件名。

可执行文件(executable file)，是可移植可执行(PE)文件格式的文件，它可以加载到内存中，并由操作系统加载程序执行。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr，等。

103、确定与所述可执行文件的文件名相同或相近似的文件名。

104、根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。

其中，病毒，又称为计算机病毒，可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits。

需要说明的是，101～104的执行主体可以是杀毒引擎，可以位于本地的客户端中，以进行离线操作来清除病毒，或者还可以位于网络侧的服务器中，以进行在线操作来清除病毒，本实施例对此不进行限定。

可以理解的是，所述客户端可以是安装在终端上的应用程序，或者还可以是浏览器的一个网页，只要能够实现病毒的清除，以提供安全的系统环境的客观存在形式都可以，本实施例对此不进行限定。

这样，通过监控进程的行为，进而根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，以及确定与所述可执行文件的文件名相同或相近似的文件名，使得能够根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，无需依赖文件夹病毒的病毒特征信息，操作简单，且不容易出错，从而提高了病毒识别的效率和可靠性。

一般来说，文件的完整命名包括文件名和扩展名。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr，等。文件夹则没有扩展名。在102中，所获得的可执行文件的文件名就是将扩展名截断之后，获得的。

一般来说，文件夹病毒会遍历移动存储设备的根目录下的文件夹，复制自身到移动存储设备的根目录下，更名为检测到的文件夹的文件名，修改该文件夹的属性为不可见，使用户在使用移动存储设备打开其文件夹时运行病毒，以达到复制的目的。但是，有些文件夹病毒，复制自身到移动存储设备的根目录下之后，不是直接更名为检测到的文件夹的文件名，而是在检测到的文件夹的文件名中增加一些不可见或较难发现的符号。因此，需要确定与所述可执行文件的文件名相同或相近似的文件名，才能准确识别出文件夹病毒可能复制的文件夹的文件名。

可选地，在本实施例的一个可能的实现方式中，在103中，具体可以通过计算文件名的相近似度，以确定与所述可执行文件的文件名相同或相近似的文件名。例如，相似度大于或等于预先设置的阈值，则可以确定两个文件名相同或相近似。具体地，可以利用现有技术中的文本相近似度算法，计算文件名的相近似度，详细描述可以参见现有技术中的相关描述，此处不再赘述。

可选地，在本实施例的一个可能的实现方式中，在102中，若所述进程的行为为进程启动，获得所述进程所访问的可执行文件的文件名。具体地，可以利用快照方法，遍历系统中的进程，以获得每个进程的进程信息。例如，进程的映像名称、进程的状态和进程的行为，等；然后，根据行为为进程启动的进程，获得进程的映像名称，进而删除映像名称的扩展名，以获得可执行文件的文件名。

相应地，在这种可能的实现方式中，在104中，若所述进程的行为为打开所述文件夹，且所述文件夹的属性为不可见，可以识别所述可执行文件为文件夹病毒。具体地，可以判断是否存在文件名与可执行文件相同或相近似的文件夹，如果不存在文件名与可执行文件相同或相近似的文件夹，则可以结束操作，说明该可执行文件不是文件夹病毒。如果存在文件名与可执行文件相同或相近似的文件夹，则可以继续判断所述文件夹的属性。例如，可以对文件夹执行取属性操作，判断返回值是否包含FILE_ATTRIBUTE_DIRECTORY位，如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位，则可以结束操作，说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位，说明为文件夹，则进一步判断返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位，如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位，则可以结束操作，说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位，说明所述文件夹的属性为不可见，则进入事件等待状态。在事件等待状态中，等待事件通知。该事件通知用以通知启动的进程对所述文件夹执行打开操作，以打开所述文件夹。若接收到事件通知，则可以识别所述可执行文件为文件夹病毒。进一步地，还可以执行病毒告警操作、病毒清除操作，等。病毒清除操作，可以为修改所述文件夹的属性为可见，并删除所识别出的文件夹病毒即所述可执行文件。

这样，采用本发明提供的技术方案，能够在进程启动时，准确识别出文件夹病毒，能够有效提高病毒识别的效率，能够有效提高系统的安全性能。

可选地，在本实施例的一个可能的实现方式中，在102中，若所述进程的行为为创建所述可执行文件，获得所述可执行文件的文件名。具体地，可以利用快照方法，遍历系统中的进程，以获得每个进程的进程信息。例如，进程的映像名称、进程的状态和进程的行为，等；然后，根据行为为创建可执行文件的进程，获得进程的映像名称，进而获得所创建的可执行文件的文件名。

相应地，在这种可能的实现方式中，在104中，若所述进程的行为为设置所述文件夹的属性为不可见，可以识别所述可执行文件为文件夹病毒。进一步地，还可以执行病毒告警操作、病毒清除操作，等。病毒清除操作，可以为修改所述文件夹的属性为可见，并删除所识别出的文件夹病毒即所述可执行文件。

这样，采用本发明提供的技术方案，能够在进程尝试复制文件夹病毒时，准确识别出该进程对应的可执行文件为文件夹病毒，能够有效提高病毒识别的效率，能够有效阻止系统中文件夹病毒的复制，从而进一步提高了系统的安全性能。

可选地，在本实施例的一个可能的实现方式中，在104之后，还可以进一步根据所述识别的所述文件夹病毒，获得所述文件夹病毒的病毒特征信息。病毒特征信息的获得方法可以参见现有技术中的微特征计算方法，详细描述可以参见现有技术中的相关内容，此处不再赘述。然后，将所述病毒特征信息加入到病毒数据库中，以供利用所述病毒数据库，对扫描的文件进行特征匹配，若所述匹配成功，识别所述文件为文件夹病毒。

其中，所述特征信息可以包括动态特征和/或静态特征。动态特征可以理解为基于病毒行为作为病毒的判断依据，静态特征可以理解为基于病毒的特征码作为判断病毒的依据。

具体地，所述病毒特征库中存储了与病毒特征信息的相关信息，包括但不限于病毒长度信息、病毒特征信息、病毒特征信息的标识(ID)，本发明对此不进行特别限定。

这样，采用本发明提供的技术方案，能够自动建立病毒数据库，无需操作人员逐一获取每个文件夹病毒，对每个文件夹病毒文件进行人工识别和特征提取，实时性好，且正确率高，能够有效提高病毒识别的效率和可靠性，从而进一步提高了系统的安全性能。

本实施例中，通过监控进程的行为，进而根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，以及确定与所述可执行文件的文件名相同或相近似的文件名，使得能够根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，无需依赖文件夹病毒的病毒特征信息，操作简单，且不容易出错，从而提高了病毒识别的效率和可靠性。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

图2为本发明另一实施例提供的病毒的识别设备的结构示意图，如图2所示。本实施例的病毒的识别设备可以包括监控单元21、获得单元22、确定单元23和识别单元24。其中，监控单元21，用于监控进程的行为；获得单元22，用于根据所述进程的行为，获得与所述进程对应的可执行文件的文件名；确定单元23，用于确定与所述可执行文件的文件名相同或相近似的文件名；识别单元24，用于根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。

需要说明的是，本实施例提供的病毒的识别设备可以是杀毒引擎，可以位于本地的客户端中，以进行离线操作来清除病毒，或者还可以位于网络侧的服务器中，以进行在线操作来清除病毒，本实施例对此不进行限定。

这样，通过监控单元监控进程的行为，进而由获得单元根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，以及由确定单元确定与所述可执行文件的文件名相同或相近似的文件名，使得识别单元能够根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，无需依赖文件夹病毒的病毒特征信息，操作简单，且不容易出错，从而提高了病毒识别的效率和可靠性。

一般来说，文件的完整命名包括文件名和扩展名。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr，等。文件夹则没有扩展名。所述获得单元22所获得的可执行文件的文件名就是将扩展名截断之后，获得的。

一般来说，文件夹病毒会遍历移动存储设备的根目录下的文件夹，复制自身到移动存储设备的根目录下，更名为检测到的文件夹的文件名，修改该文件夹的属性为不可见，使用户在使用移动存储设备打开其文件夹时运行病毒，以达到复制的目的。但是，有些文件夹病毒，复制自身到移动存储设备的根目录下之后，不是直接更名为检测到的文件夹的文件名，而是在检测到的文件夹的文件名中增加一些不可见或较难发现的符号。因此，需要所述确定单元23确定与所述可执行文件的文件名相同或相近似的文件名，才能准确识别出文件夹病毒可能复制的文件夹的文件名。

可选地，在本实施例的一个可能的实现方式中，所述确定单元23具体可以通过计算文件名的相近似度，以确定与所述可执行文件的文件名相同或相近似的文件名。例如，相似度大于或等于预先设置的阈值，所述确定单元23则可以确定两个文件名相同或相近似。具体地，所述确定单元23可以利用现有技术中的文本相近似度算法，计算文件名的相近似度，详细描述可以参见现有技术中的相关描述，此处不再赘述。

可选地，在本实施例的一个可能的实现方式中，所述获得单元22，具体可以用于若所述进程的行为为进程启动，获得所述进程所访问的可执行文件的文件名。具体地，所述获得单元22可以利用快照方法，遍历系统中的进程，以获得每个进程的进程信息。例如，进程的映像名称、进程的状态和进程的行为，等；然后，所述获得单元22则可以根据行为为进程启动的进程，获得进程的映像名称，进而删除映像名称的扩展名，以获得可执行文件的文件名。

相应地，在这种可能的实现方式中，所述识别单元24，具体可以用于若所述进程的行为为打开所述文件夹，且所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。具体地，所述识别单元24可以判断是否存在文件名与可执行文件相同或相近似的文件夹，如果不存在文件名与可执行文件相同或相近似的文件夹，所述识别单元24则可以结束操作，说明该可执行文件不是文件夹病毒。如果存在文件名与可执行文件相同或相近似的文件夹，所述识别单元24则可以继续判断所述文件夹的属性。例如，所述识别单元24可以对文件夹执行取属性操作，判断返回值是否包含FILE_ATTRIBUTE_DIRECTORY位，如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位，所述识别单元24则可以结束操作，说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位，说明为文件夹，所述识别单元24则进一步判断返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位，如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位，所述识别单元24则可以结束操作，说明该可执行文件不是文件夹病毒。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位，说明所述文件夹的属性为不可见，所述识别单元24则进入事件等待状态。所述识别单元24在事件等待状态中，等待事件通知。该事件通知用以通知启动的进程对所述文件夹执行打开操作，以打开所述文件夹。所述识别单元24若接收到事件通知，则可以识别所述可执行文件为文件夹病毒。进一步地，所述识别单元24 还可以执行病毒告警操作、病毒清除操作，等。病毒清除操作，可以为修改所述文件夹的属性为可见，并删除所识别出的文件夹病毒即所述可执行文件。

可选地，在本实施例的一个可能的实现方式中，所述获得单元22，具体可以用于若所述进程的行为为创建所述可执行文件，获得所述可执行文件的文件名。具体地，所述获得单元22可以利用快照方法，遍历系统中的进程，以获得每个进程的进程信息。例如，进程的映像名称、进程的状态和进程的行为，等；然后，所述获得单元22则可以根据行为为创建可执行文件的进程，获得进程的映像名称，进而获得所创建的可执行文件的文件名。

相应地，在这种可能的实现方式中，所述识别单元24，具体可以用于若所述进程的行为为设置所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。进一步地，所述识别单元24还可以执行病毒告警操作、病毒清除操作，等。病毒清除操作，可以为修改所述文件夹的属性为可见，并删除所识别出的文件夹病毒即所述可执行文件。

可选地，在本实施例的一个可能的实现方式中，如图3所示，本实施例提供的病毒的识别设备还可以进一步包括更新单元31，用于根据所述识别的所述文件夹病毒，获得所述文件夹病毒的病毒特征信息；以及将所述病毒特征信息加入到病毒数据库中，以供利用所述病毒数据库，对扫描的文件进行特征匹配，若所述匹配成功，识别所述文件为文件夹病毒。

其中，所述更新单元31获得病毒特征信息的方法可以参见现有技术中的微特征计算方法，详细描述可以参见现有技术中的相关内容，此处不再赘述。

本实施例中，通过监控单元监控进程的行为，进而由获得单元根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，以及由确定单元确定与所述可执行文件的文件名相同或相近似的文件名，使得识别单元能够根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，无需依赖文件夹病毒的病毒特征信息，操作简单，且不容易出错，从而提高了病毒识别的效率和可靠性。

可以理解的是，本发明提供的技术方案，可以应用在存储设备中，尤其是移动存储设备中。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，设备和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

一种病毒的识别方法，其特征在于，包括：

监控进程的行为；

根据所述进程的行为，获得与所述进程对应的可执行文件的文件名；

确定与所述可执行文件的文件名相同或相近似的文件名；

根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。
根据权利要求1所述的方法，其特征在于，所述根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，包括：

若所述进程的行为为进程启动，获得所述进程所访问的可执行文件的文件名。
根据权利要求2所述的方法，其特征在于，所述根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，包括：

若所述进程的行为为打开所述文件夹，且所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。
根据权利要求1～3任一权利要求所述的方法，其特征在于，所述根据所述进程的行为，获得与所述进程对应的可执行文件的文件名，包括：

若所述进程的行为为创建所述可执行文件，获得所述可执行文件的文件名。
根据权利要求4所述的方法，其特征在于，所述根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒，包括：

若所述进程的行为为设置所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。
根据权利要求1～5任一权利要求所述的方法，其特征在于，所述根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒之后，还包括：

根据所述识别的所述文件夹病毒，获得所述文件夹病毒的病毒特征信息；

将所述病毒特征信息加入到病毒数据库中，以供利用所述病毒数据库，对扫描的文件进行特征匹配，若所述匹配成功，识别所述文件为文件夹病毒。
一种病毒的识别设备，其特征在于，包括：

监控单元，用于监控进程的行为；

获得单元，用于根据所述进程的行为，获得与所述进程对应的可执行文件的文件名；

确定单元，用于确定与所述可执行文件的文件名相同或相近似的文件名；

识别单元，用于根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。
根据权利要求7所述的设备，其特征在于，所述获得单元，具体用于

若所述进程的行为为进程启动，获得所述进程所访问的可执行文件的文件名。
根据权利要求8所述的设备，其特征在于，所述识别单元，具体用于

若所述进程的行为为打开所述文件夹，且所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。
根据权利要求7～9任一权利要求所述的设备，其特征在于，所述获得单元，具体用于

若所述进程的行为为创建所述可执行文件，获得所述可执行文件的文件名。
根据权利要求10所述的设备，其特征在于，所述识别单元，具体用于

若所述进程的行为为设置所述文件夹的属性为不可见，识别所述可执行文件为文件夹病毒。
根据权利要求7～11任一权利要求所述的设备，其特征在于，所述设备还包括更新单元，用于

根据所述识别的所述文件夹病毒，获得所述文件夹病毒的病毒特征信息；以及

将所述病毒特征信息加入到病毒数据库中，以供利用所述病毒数据库，对扫描的文件进行特征匹配，若所述匹配成功，识别所述文件为文件夹病毒。
一种非易失性存储介质，所述非易失性存储介质包括计算机程序，其特征在于，所述计算机程序在被一个或多个计算机执行时使得所述一个或多个计算机执行如下操作：

监控进程的行为；

根据所述进程的行为，获得与所述进程对应的可执行文件的文件名；

确定与所述可执行文件的文件名相同或相近似的文件名；

根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。
一种设备，包括至少一个处理器、存储器以及至少一个计算机程序；所述至少一个计算机程序存储于所述存储器并被所述至少一个处理器执行；其特征在于，所述计算机程序包括执行以下操作的指令：

监控进程的行为；

根据所述进程的行为，获得与所述进程对应的可执行文件的文件名；

确定与所述可执行文件的文件名相同或相近似的文件名；

根据所述进程的行为和根据所述相同或相近似的文件名所对应的文件夹的属性，识别所述可执行文件为文件夹病毒。