WO2017114341A1

WO2017114341A1 - 一种root病毒清理方法、装置及电子设备

Info

Publication number: WO2017114341A1
Application number: PCT/CN2016/112036
Authority: WO
Inventors: 袁国庆
Original assignee: 北京金山安全软件有限公司
Priority date: 2015-12-31
Filing date: 2016-12-26
Publication date: 2017-07-06
Also published as: CN106934288B; CN106934288A; US10878094B2; US20190018963A1

Abstract

本申请实施例公开了一种root病毒清理方法、装置及电子设备，方法包括：根据预设的病毒库，检测智能设备中是否有具有root权限病毒特征的文件；当检测到具有root权限病毒特征的文件时，获取系统root权限；关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；将系统启动项恢复为具有root权限病毒入侵前的状态；删除所述检测到的所有具有root权限病毒特征的文件。相对现有技术，本申请实施例对具有root权限病毒进行的查杀更彻底。

Description

一种root病毒清理方法、装置及电子设备

本申请要求于2015年12月31日提交中国专利局、申请号为201511031245.1、发明名称为“一种root病毒清理方法、装置及电子设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及系统安全领域，特别涉及一种root病毒清理方法、装置及电子设备。

背景技术

随着计算机病毒的不断升级换代，出现了具有系统超级用户root权限的病毒，此类病毒会使用系统的root权限，更改系统设置和自身的属性，使得病毒自身很难被彻底清除。

现有技术中，若要对具有root权限病毒进行查杀，需要杀毒软件先获取所述root权限，再对系统中存在的具有root权限病毒的安装文件进行查杀。但对于并没有对第三方软件开放root权限的智能设备，对其root权限的获取比较困难；病毒会通过释放特定的进程阻止杀毒软件对病毒的删除，还会修改系统的自启动项使病毒自身具有自启动能力，以至于现有技术无法彻底对具有root权限病毒进行彻底的查杀。

发明内容

本申请实施例公开了一种root病毒清理方法、装置及电子设备，使得对具有超级用户权限病毒进行的清理更彻底。

为达到上述目的，本申请实施例公开了一种root病毒清理方法，应用于智能设备，所述方法包括步骤：

根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件；

当检测到具有root权限病毒特征的文件时，获取系统root权限；

关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；

将系统启动项恢复为具有root权限病毒入侵前的状态；

删除所述检测到的所有具有root权限病毒特征的文件。

较佳的，所述获取系统root权限，包括：

向系统请求所述系统root权限，或者

运行预设的用于获取root权限的程序，获取系统root权限，或者

下载并运行预设的用于获取root权限的程序，获取系统root权限。

较佳的，所述获取系统root权限，包括：

从预设病毒库中获得所述具有root权限病毒的入侵特征文件的存储路径信息；

根据获得的所述入侵特征文件的存储路径信息，查找到智能设备中的所述入侵特征文件；

根据查找到的入侵特征文件，获得具有系统root权限的进程。

较佳的，所述根据查找到的入侵特征文件，获得具有系统root权限的进程，包括：

若所述入侵特征文件为记录有获取root权限的方案可执行文件，则执行所述入侵特征文件，得到获取root权限的方案，根据所述获取root权限的方案，获得具有root权限的进程；若所述入侵特征文件为切换超级用户文件，则执行所述切换超级用户文件，获得具有root权限的进程。

较佳的，所述执行所述入侵特征文件，得到获取root权限的方案，根据所述获取root权限的方案，获得具有root权限的清理进程，包括：

执行所述入侵特征文件，得到入侵进程，以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞，利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零，得到具有root权限的进程；

所述执行所述切换超级用户文件，获得具有root权限的清理进程，包括：

执行所述入侵特征文件，生成具有root权限的切换超级用户进程，以使使用当前智能设备的用户具有与所述具有root权限病毒相同的root权限。

较佳的，所述关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程，包括：

根据所述检测到的具有root权限病毒特征的文件的文件名，确定每个所述具有root权限病毒特征的文件所对应的进程标识；

调用进程关闭指令，关闭每个所述进程标识所对应的进程。

较佳的，所述将系统启动项恢复为具有root权限病毒入侵前的状态，包括：

确定所述所有具有root权限病毒特征的文件的存储路径，并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒特征的文件的存储路径信息，若是，则调用预设的路径删除指令，将所述具有root权限病毒特征的文件的存储路径信息从所述恢复安装列表中删除，或者

判断系统中的每个系统启动时默认执行的可执行文件中，是否有具有root权限病毒特征的文件，若有，则删除该文件，并恢复与被删除文件对应的原始文件。

较佳的，所述删除所述检测到的所有具有root权限病毒特征的文件，包括：

在所述具有root权限病毒特征的文件的属性信息表中查找到拒绝删除的属性信息，并删除所述属性信息；

调用文件删除指令，删除所述具有root权限病毒特征的文件。

本申请实施例还公开了一种root病毒清理装置，应用于智能设备，所述装置包括：

文件判断模块，用于根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件；

权限获取模块，用于当所述文件判断模块检测到具有root权限病毒特征的文件时，获取系统root权限；

进程关闭模块，用于关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；

启动恢复模块，用于将系统启动项恢复为具有root权限病毒入侵前的状态；

删除模块，用于删除所述检测到的所有具有root权限病毒特征的文件。

较佳的，所述权限获取模块，具体用于：

向系统请求所述系统root权限，或者

较佳的，所述权限获取模块，包括：

路径获取子模块，用于从预设病毒库中获得所述具有root权限病毒的入侵特征文件的存储路径信息；

查找子模块，用于根据获得的所述入侵特征文件的存储路径信息，查找到智能设备中的所述入侵特征文件；

获取子模块，用于根据查找到的入侵特征文件，获得具有系统root权限的进程。

较佳的，所述获取子模块，具体用于：

若所述入侵特征文件为记录有所述具有root权限病毒获取root权限的方案的可执行文件，则执行所述入侵特征文件，得到获取root权限的方案，根据所述获取root权限的方案，获得具有root权限的进程；若所述入侵特征文件为切换超级用户文件，则执行所述切换超级用户文件，获得具有root权限的进程。

较佳的，所述获取子模块，具体用于：

执行所述入侵特征文件，得到入侵进程，以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞，利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零，得到具有root权限的进程；或者

较佳的，所述进程关闭模块，包括：

标识确定子模块，用于根据所述具有root权限病毒的特征量的文件的文件名，确定每个所述具有root权限病毒的特征量的文件所对应的进程标识；

指令调用子模块，用于调用进程关闭指令，关闭每个所述进程标识所对应的进程。

较佳的，所述启动恢复模块，包括：

路径删除子模块，用于确定所述所有具有root权限病毒的特征量的文件的存储路径，并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒的特征量的文件的存储路径信息，若是，则调用预设的路径删除指令，将所述具有root权限病毒的特征量的文件的存储路径信息从所述恢复安装列表中删除；

启动项删除子模块，用于判断系统中的每个系统启动时默认执行的可执行文件中，是否有具有root权限病毒的特征量的文件，若有，则删除该文件，并恢复与被删除文件对应的原始文件。

较佳的，所述删除模块，包括：

属性删除子模块，用于在所述具有root权限病毒的特征量的文件的属性信息表中查找到拒绝删除的属性信息，并删除所述属性信息；

文件删除子模块，用于调用文件删除指令，删除所述具有root权限病毒的特征量的文件。

本申请实施例还公开了一种电子设备，所述电子设备包括：

处理器、存储器、通信接口和总线；

所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信；

所述存储器存储可执行程序代码；

所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于：

根据预设的病毒库，检测智能设备中是否有具有root权限病毒特征的文件；

将系统启动项恢复为具有root权限病毒入侵前的状态；

删除所述检测到的所有具有root权限病毒特征的文件。

为达到上述目的，本申请实施例还公开了一种应用程序，所述应用程序用于在运行时执行上述的root病毒清理方法。

为达到上述目的，本申请实施例还公开了一种存储介质，所述存储介质用于存储应用程序，所述应用程序用于在运行时执行上述的root病毒清理方法。

由上述的技术方案可见，本申请实施例提供了一种root病毒清理方法，方法包括：根据预设的病毒库，检测智能设备中是否有具有root权限病毒特征的文件；当检测到具有root权限病毒特征的文件时，获取系统root权限；关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；将系统启动项恢复为具有root权限病毒入侵前的状态；删除所述检测到的所有具有root权限病毒特征的文件。由于本申请实施例中，智能设备对具有root权限病毒的特征量的文件启动的进程进行关闭，去除了所述具有root权限病毒的特征量的文件的自启动能力，因此，相对现有技术，本申请实施例对具有root权限病毒进行的查杀更彻底。

附图说明

为了更清楚地说明本申请实施例和现有技术的技术方案，下面对实施例和现有技术中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例一提供的一种root病毒清理方法的流程示意图；

图2为本申请实施例二提供的一种root病毒清理方法的流程示意图；

图3为本申请实施例三提供的一种root病毒清理方法的流程示意图；

图4为本申请实施例一提供的一种root病毒清理装置的结构示意图；

图5为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案、及优点更加清楚明白，以下参照附图并举实施例，对本申请进一步详细说明。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面通过具体实施例，对本申请进行详细说明。

图1为本申请实施例一提供的一种root病毒清理方法的流程示意图，所述方法应用于智能设备，该方法可以包括步骤：

S101：根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件。

根据在预设的病毒库中保存的具有root权限病毒的特征的特征量，遍历所述智能设备所有文件，确定所有所述具有root权限病毒的特征的特征量的文件，所述文件包含所述具有root权限病毒的可执行文件。

所述具有root权限病毒的特征的特征量可以是一段特定的文件名中的字符串或文件代码中的字符串，所述智能设备可以遍历本地所有位置或关键位置的所有文件，所述文件包含所述具有root权限病毒的可执行文件。则将所查找到的具有所述字符串的文件确定为所述具有root权限病毒的文件。可以通过启发式病毒检测方法，根据所述字符串遍历本地所有位置或关键位置的所有文件，查找到具有所述字符串的文件。启发式病毒检测方法为现有技术，本申请不再赘述。

S102：当检测到具有root权限病毒特征的文件时，获取系统root权限。

所述智能设备首先检测是否能够直接获取系统root权限，若能，则直接向系统请求所述系统root权限，具体获得的方式可以与现有技术完全相同，这里不再赘述。若不能获取，则可以运行预设的用于获取root权限的程序，获取系统root权限，或者下载并运行预设的用于获取root权限的程序，获取系统root权限。

S103：关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程。

具有root权限病毒的特征的特征量的文件所启动的进程具有保护该病毒的作用，所以还应该将该进程关闭。具体的，可以根据所述具有root权限病毒的特征的特征量的文件的文件名，确定每个所述具有root权限病毒的特征的特征量的文件所对应的进程标识。

例如，根据指令ps|grep filename，获得所述具有root权限病毒的特征的特征量的文件所对应的进程标识。

调用进程关闭指令，关闭每个所述进程标识所对应的进程。

例如，调用指令kill-9pid，关闭每个所述进程标识所对应的进程，其中pid为所述进程标识。

S104：将系统启动项恢复为具有root权限病毒入侵前的状态。

具有root权限病毒的特征的特征量的文件可能通过修改系统启动项而具有开机重启的能力，所述应该将该具有root权限病毒的特征的特征量的文件的开机重启能力去除，以防止病毒文件复活。具体的，可以确定所述所有具有root权限病毒的特征的特征量的文件的存储路径，并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒的特征的特征量的文件的存储路径信息，若是，则调用预设的路径删除指令，将所述具有root权限病毒的特征的特征量的文件的存储路径信息从所述恢复安装列表中删除。

所述恢复安装列表是现有技术中记载有开机启动项的列表，一般在所述恢复安装列表中记录的地址下的文件，都会在系统重启时自启动，所以在该表中删除了所述具有root权限病毒的特征的特征量的文件的地址，就能够阻止该文件的开机自启动。

之后，还应判断系统中的每个系统启动时默认执行的可执行文件中，是否有具有所述具有root权限病毒的特征的特征量的文件，若有，则删除该文件，并恢复与被删除文件对应的原始文件。

系统在每次启动时会默认启动一些可执行文件，病毒会将自身释放的具有root权限病毒的特征的特征量的文件伪装成所述系统默认启动的可执行文件，如路径/system/bin/下的文件debuggerd是系统在每次启动时会默认启动的可执行文件，则病毒会将自身释放的某具有root权限病毒的特征的特征量的文件的也命名为debuggerd，并也存储在路径/system/bin/下，而该病毒将所述路径下的原始的文件debuggerd更名为debuggerd_xxx，当系统启动时，系统仍然会默认启动路径/system/bin/下名称为debuggerd的文件，即默认启动了该具有root权限病毒的特征的特征量的文件。对于相同的病毒，其更改默认执行的可执行文件文件名的规则是特定的，例如，在默认执行的可执行文件文件名后添加后缀“_xxx”。

为了应对具有root权限病毒的特征的特征量的文件的这个自启策略，可以判断系统中的每个系统启动时默认执行的文件中是否有具有所述具有root权限病毒的特征的特征量的文件，若有，则将该文件删除，并根据病毒更改默认执行文件的文件名规则，恢复与被删除文件对应的原始文件，进而排除了病毒开机启动的一种途径。

S105：删除所述检测到的所有具有root权限病毒特征的文件。

由于本申请实施例中，所述智能设备对具有root权限病毒的特征的特征量的文件启动的进程进行关闭，并且去除了所述具有root权限病毒的特征的特征量的文件的自启动能力，对具有root权限病毒进行的查杀更彻底。

所述具有root权限病毒的特征的特征量的文件中可能有拒绝自身文件被删除的属性，针对这种情况，可以调用预设的获取文件属性表的指令，获得该文件的文件属性表，并检查该文件属性表中是否存在拒绝自身文件被删除的属性信息，若存在，则调用预设的属性删除指令删除该属性信息。基于图1所示的方法，步骤S105可以包括：

在所述具有root权限病毒的特征的特征量的文件的属性信息表中查找到拒绝删除的属性信息，并删除所述属性信息；

调用文件删除指令，删除所述具有root权限病毒的特征的特征量的文件。

图2为本申请实施例二提供的一种root病毒清理方法的流程示意图，所述方法应用于智能设备，该方法可以包括步骤：

S201：根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件。

S202：当检测到具有root权限病毒特征的文件时，获取系统root权限。

S203：关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程。

S204：将系统启动项恢复为具有root权限病毒入侵前的状态。

S205：在所述具有root权限病毒的特征的特征量的文件的属性信息表中查找到拒绝删除的属性信息，并删除所述属性信息。

例如：对得到的具有root权限病毒的特征的特征量的文件使用指令lsattr filename获得该文件属性信息表，检查所述属性信息表中的每条所述属性信息中是否包含“-ia”字段，若包含，则说明该可执行文件不可以被删除，则可以使用chattr–ia filename指令删除该条属性信息，进而使得所述具有root权限病毒的特征的特征量的文件能够被删除。

S206：调用文件删除指令，删除所述具有root权限病毒的特征的特征量的文件。

当所述具有root权限病毒的特征的特征量的文件中的拒绝自身文件被删除的属性被删除之后，就可以使用现有技术的文件删除指令，对该文件进行删除，也可以对该文件所在的目录进行删除。例如使用rm filename[文件名]对该文件进行删除，使用rm–rf dir[文件所在的目录]对该文件所在的目录进行删除。

本申请实施例中，所述智能设备在所述具有root权限病毒的特征的特征量的文件的属性信息表中查找到拒绝删除的属性信息，并删除该属性信息，使得所述智能设备可以调用文件删除指令，删除所述具有root权限病毒的特征的特征量的文件。

在本申请提供的另一种实施例中，可以利用所述具有root权限病毒获取系统root权限的方法，获取系统root权限，基于图1所示的方法，步骤S102可以包括：

当检测到具有root权限病毒特征的文件时，从预设病毒库中获得所述具有root权限病毒的入侵特征文件的存储路径信息；

根据查找到的入侵特征文件，获得具有系统root权限的进程。

图3为本申请实施例三提供的一种root病毒清理方法的流程示意图，所述方法应用于智能设备，该方法可以包括步骤：

S301：根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件。

S302：当检测到具有root权限病毒特征的文件时，从预设病毒库中获得所述具有root权限病毒的入侵特征文件的存储路径信息。

S303：根据获得的所述入侵特征文件的存储路径信息，查找到智能设备中的所述入侵特征文件。

S304：根据查找到的入侵特征文件，获得具有系统root权限的进程。

所述入侵特征文件可能有两种，第一种为保存了所述超级用户权限病毒获取当前智能设备超级用户root权限方案的可执行文件，其中记载着该病毒是如何获取当前智能设备超级用户root权限方案；第二种为所述具有root权限病毒生成的切换用户(Switch User，SU)文件。

因此，本步骤可以有两种实现方式：

若所述入侵特征文件为保存了所述超级用户权限病毒获取当前智能设备超级用户权限方案的可执行文件，则执行该文件，这相当于执行了一个预先编辑好的脚本文件，能够重复之前该病毒获取root权限的步骤，得到入侵进程，所述入侵进程可以按照所述具有root权限病毒获取root权限的方法，自动触发该具有root权限病毒对应的系统漏洞，利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识GIU和UID进行置零，GIU和UID被置零的进程在计算机操作系统中就是具有了root权限的进程。

若所述入侵特征文件为所述具有root权限病毒生成的SU文件，则执行所述SU文件，得到具有root权限的清理进程。

在现有技术中，SU文件的作用为：任何执行SU文件的用户都可以拥有生成该SU文件的用户的权限，这是因为执行SU文件时，会生成具有生成所述SU文件的用户的权限的进程，执行所述SU文件的用户可通过该进程执行生成所述SU文件的用户才有权限执行的命令，即可以认为执行所述SU文件的用户拥有了生成该SU文件的用户的权限。SU文件的生成和SU文件作用的实施都为现有技术，本申请不再赘述。

S305：关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程。

S306：将系统启动项恢复为具有root权限病毒入侵前的状态。

S307：删除所述检测到的所有具有root权限病毒特征的文件。

在本申请实施例利用所述具有root权限病毒获取系统root权限的方法，获取系统root权限，提高了获取root权限的速度和成功率。

本申请实施例提供了一种root病毒清理方法，应用于智能设备，所述智能设备根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件；当检测到具有root权限病毒特征的文件时，获取系统root权限；关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；将系统启动项恢复为具有root权限病毒入侵前的状态；删除所述检测到的所有具有root权限病毒特征的文件。由于本申请实施例中，所述智能设备对具有root权限病毒的特征的特征量的文件启动的进程进行关闭，去除了所述具有root权限病毒的特征的特征量的文件的自启动能力，因此，相对现有技术，本申请实施例对具有root权限病毒进行的查杀更彻底。

图4为本申请实施例一提供的一种root病毒清理装置的结构示意图，应用于智能设备，该装置可以包括：

文件判断模块401，用于根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件；

权限获取模块402，用于当所述文件判断模块401检测到具有root权限病毒特征的文件时，获取系统root权限；

进程关闭模块403，用于关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；

启动恢复模块404，用于将系统启动项恢复为具有root权限病毒入侵前的状态；

删除模块405，用于删除所述检测到的所有具有root权限病毒特征的文件。

进一步地，所述权限获取模块402，具体用于：

向系统请求所述系统root权限，或者

进一步地，所述权限获取模块402，可以包括：

路径获取子模块(图中未示出)，用于从预设病毒库中获得所述具有root权限病毒的入侵特征文件的存储路径信息；

查找子模块(图中未示出)，用于根据获得的所述入侵特征文件的存储路径信息，查找到智能设备中的所述入侵特征文件；

获取子模块(图中未示出)，用于根据查找到的入侵特征文件，获得具有系统root权限的进程。

进一步地，所述获取子模块，具体用于：

进一步地，所述进程关闭模块403，可以包括：

标识确定子模块(图中未示出)，用于根据所述具有root权限病毒的特征的特征量的文件的文件名，确定每个所述具有root权限病毒的特征的特征量的文件所对应的进程的进程标识；

指令调用子模块(图中未示出)，用于调用进程关闭指令，关闭每个所述进程标识所对应的进程。

进一步地，所述启动恢复模块404，包括：

路径删除子模块(图中未示出)，用于确定所述所有具有root权限病毒的特征的特征量的文件的存储路径，并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒的特征的特征量的文件的存储路径信息，若是，则调用预设的路径删除指令，将所述具有root权限病毒的特征的特征量的文件的存储路径信息从所述恢复安装列表中删除；

启动项删除子模块(图中未示出)，用于判断系统中的每个系统启动时默认执行的可执行文件中，是否有具有root权限病毒的特征的特征量的文件，若有，则删除该文件，并恢复与被删除文件对应的原始文件。

进一步地，所述删除模块405，可以包括：

属性删除子模块(图中未示出)，用于在所述具有root权限病毒的特征的特征量的文件的属性信息表中查找到拒绝删除的属性信息，并删除所述属性信息；

文件删除子模块(图中未示出)，用于调用文件删除指令，删除所述具有root权限病毒的特征的特征量的文件。

图5为本申请实施例提供的一种电子设备的结构示意图，所述电子设备可以包括：

处理器501、存储器502、通信接口503和总线；

所述处理器501、所述存储器502和所述通信接口503通过所述总线连接并完成相互间的通信；

所述存储器502存储可执行程序代码；

所述处理器501通过读取所述存储器502中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于：

将系统启动项恢复为具有root权限病毒入侵前的状态；

删除所述检测到的所有具有root权限病毒特征的文件。

本申请实施例提供了一种root病毒清理方法、装置及电子设备，方法包括：智能设备根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件；当检测到具有root权限病毒特征的文件时，获取系统root权限；关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；将系统启动项恢复为具有root权限病毒入侵前的状态；删除所述检测到的所有具有root权限病毒特征的文件。由于本申请实施例中，智能设备对具有root权限病毒的特征的特征量的文件启动的进程进行关闭，去除了所述具有root权限病毒的特征的特征量的文件的自启动能力，因此，相对现有技术，本申请实施例对具有root权限病毒进行的查杀更彻底。

本申请实施例还提供了一种应用程序，所述应用程序用于在运行时执行所述root病毒清理方法，方法包括：

将系统启动项恢复为具有root权限病毒入侵前的状态；

删除所述检测到的所有具有root权限病毒特征的文件。

由于本申请实施例中，智能设备对具有root权限病毒的特征的特征量的文件启动的进程进行关闭，去除了所述具有root权限病毒的特征的特征量的文件的自启动能力，因此，相对现有技术，本申请实施例对具有root权限病毒进行的查杀更彻底。

本申请实施例还提供了一种存储介质，所述存储介质用于存储应用程序，所述应用程序用于在运行时执行所述root病毒清理方法，方法包括：

将系统启动项恢复为具有root权限病毒入侵前的状态；

删除所述检测到的所有具有root权限病毒特征的文件。

对于系统/装置/设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如：ROM/RAM、磁碟、光盘等。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

一种root病毒清理方法，其特征在于，应用于智能设备，所述方法包括步骤：

根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件；

当检测到具有root权限病毒特征的文件时，获取系统root权限；

关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；

将系统启动项恢复为具有root权限病毒入侵前的状态；

删除所述检测到的所有具有root权限病毒特征的文件。
根据权利要求1所述的方法，其特征在于，所述获取系统root权限，包括：

向系统请求所述系统root权限，或者

运行预设的用于获取root权限的程序，获取系统root权限，或者

下载并运行预设的用于获取root权限的程序，获取系统root权限。
根据权利要求1所述的方法，其特征在于，所述获取系统root权限，包括：

从预设病毒库中获得所述具有root权限病毒的入侵特征文件的存储路径信息；

根据获得的所述入侵特征文件的存储路径信息，查找到智能设备中的所述入侵特征文件；

根据查找到的入侵特征文件，获得具有系统root权限的进程。
根据权利要求3所述的方法，其特征在于，所述根据查找到的入侵特征文件，获得具有系统root权限的进程，包括：

若所述入侵特征文件为记录有获取root权限的方案可执行文件，则执行所述入侵特征文件，得到获取root权限的方案，根据所述获取root权限的方案，获得具有root权限的进程；若所述入侵特征文件为切换超级用户文件，则执行所述切换超级用户文件，获得具有root权限的进程。
根据权利要求4所述的方法，其特征在于，所述执行所述入侵特征文件，得到获取root权限的方案，根据所述获取root权限的方案，获得具有root权限的清理进程，包括：

执行所述入侵特征文件，得到入侵进程，以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞，利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零，得到具有root权限的进程；

所述执行所述切换超级用户文件，获得具有root权限的清理进程，包括：

执行所述入侵特征文件，生成具有root权限的切换超级用户进程，以使使用当前智能设备的用户具有与所述具有root权限病毒相同的root权限。
根据权利要求1所述的方法，其特征在于，所述关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程，包括：

根据所述检测到的具有root权限病毒特征的文件的文件名，确定每个所述具有root权限病毒特征的文件所对应的进程标识；

调用进程关闭指令，关闭每个所述进程标识所对应的进程。
根据权利要求1所述的方法，其特征在于，所述将系统启动项恢复为具有root权限病毒入侵前的状态，包括：

确定所述所有具有root权限病毒特征的文件的存储路径，并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒特征的文件的存储路径信息，若是，则调用预设的路径删除指令，将所述具有root权限病毒特征的文件的存储路径信息从所述恢复安装列表中删除，或者

判断系统中的每个系统启动时默认执行的可执行文件中，是否有具有root权限病毒特征的文件，若有，则删除该文件，并恢复与被删除文件对应的原始文件。
根据权利要求1所述的方法，其特征在于，所述删除所述检测到的所有具有root权限病毒特征的文件，包括：

在所述具有root权限病毒特征的文件的属性信息表中查找到拒绝删除的属性信息，并删除所述属性信息；

调用文件删除指令，删除所述具有root权限病毒特征的文件。
一种root病毒清理装置，其特征在于，应用于智能设备，所述装置包括：

文件判断模块，用于根据预设的病毒库，检测所述智能设备中是否有具有root权限病毒特征的文件；

权限获取模块，用于当所述文件判断模块检测到具有root权限病毒特征的文件时，获取系统root权限；

进程关闭模块，用于关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；

启动恢复模块，用于将系统启动项恢复为具有root权限病毒入侵前的状态；

删除模块，用于删除所述检测到的所有具有root权限病毒特征的文件。
根据权利要求9所述的装置，其特征在于，所述权限获取模块，具体用于：

向系统请求所述系统root权限，或者

运行预设的用于获取root权限的程序，获取系统root权限，或者

下载并运行预设的用于获取root权限的程序，获取系统root权限。
根据权利要求9所述的装置，其特征在于，所述权限获取模块，包括：

路径获取子模块，用于从预设病毒库中获得所述具有root权限病毒的入侵特征文件的存储路径信息；

查找子模块，用于根据获得的所述入侵特征文件的存储路径信息，查找到智能设备中的所述入侵特征文件；

获取子模块，用于根据查找到的入侵特征文件，获得具有系统root权限的进程。
根据权利要求11所述的装置，其特征在于，所述获取子模块，具体用于：

若所述入侵特征文件为记录有所述具有root权限病毒获取root权限的方案的可执行文件，则执行所述入侵特征文件，得到获取root权限的方案，根据所述获取root权限的方案，获得具有root权限的进程；若所述入侵特征文件为切换超级用户文件，则执行所述切换超级用户文件，获得具有root权限的进程。
根据权利要求12所述的装置，其特征在于，所述获取子模块，具体用于：

执行所述入侵特征文件，得到入侵进程，以使所述入侵进程自动触发与所述具有root权限病毒对应的系统漏洞，利用所述系统漏洞将所述入侵进程在系统内核中的进程用户身份标识位置零，得到具有root权限的进程；或者执行所述入侵特征文件，生成具有root权限的切换超级用户进程，以使使用当前智能设备的用户具有与所述具有root权限病毒相同的root权限。
根据权利要求9所述的装置，其特征在于，所述进程关闭模块，包括：

标识确定子模块，用于根据所述具有root权限病毒的特征的文件的文件名，确定每个所述具有root权限病毒的特征的文件所对应的进程标识；

指令调用子模块，用于调用进程关闭指令，关闭每个所述进程标识所对应的进程。
根据权利要求9所述的装置，其特征在于，所述启动恢复模块，包括：

路径删除子模块，用于确定所述所有具有root权限病毒的特征的文件的存储路径，并在系统中的恢复安装列表文件中查找是否存在所述具有root权限病毒的特征的文件的存储路径信息，若是，则调用预设的路径删除指令，将所述具有root权限病毒的特征的文件的存储路径信息从所述恢复安装列表中删除；

启动项删除子模块，用于判断系统中的每个系统启动时默认执行的可执行文件中，是否有具有root权限病毒的特征的文件，若有，则删除该文件，并恢复与被删除文件对应的原始文件。
根据权利要求9所述的装置，其特征在于，所述删除模块，包括：

属性删除子模块，用于在所述具有root权限病毒的特征的文件的属性信息表中查找到拒绝删除的属性信息，并删除所述属性信息；

文件删除子模块，用于调用文件删除指令，删除所述具有root权限病毒的特征的文件。
一种电子设备，其特征在于，所述电子设备包括：

处理器、存储器、通信接口和总线；

所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信；

所述存储器存储可执行程序代码；

所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于：

根据预设的病毒库，检测智能设备中是否有具有root权限病毒特征的文件；

当检测到具有root权限病毒特征的文件时，获取系统root权限；

关闭所有检测到的具有root权限病毒特征的文件所对应的所有进程；

将系统启动项恢复为具有root权限病毒入侵前的状态；

删除所述检测到的所有具有root权限病毒特征的文件。
一种应用程序，其特征在于，所述应用程序用于在运行时执行权利要求1-8任一项所述的root病毒清理方法。
一种存储介质，其特征在于，所述存储介质用于存储应用程序，所述应用程序用于在运行时执行权利要求1-8任一项所述的root病毒清理方法。