CN102314571A - 处理计算机病毒的方法及装置 - Google Patents
处理计算机病毒的方法及装置 Download PDFInfo
- Publication number
- CN102314571A CN102314571A CN201110301537A CN201110301537A CN102314571A CN 102314571 A CN102314571 A CN 102314571A CN 201110301537 A CN201110301537 A CN 201110301537A CN 201110301537 A CN201110301537 A CN 201110301537A CN 102314571 A CN102314571 A CN 102314571A
- Authority
- CN
- China
- Prior art keywords
- file
- killing
- treating
- compressed
- compressed file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
Abstract
本申请实施例公开了一种处理计算机病毒的方法及装置,包括:获取待查杀文件;对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。应用本申请实施例对计算机病毒进行扫描时,由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高***的安全性;当***中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了***资源。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种处理计算机病毒的方法及装置。
背景技术
计算机病毒是编制或者在计算机程序中***的破坏计算机功能的数据,其会影响计算机的正常使用并且能够自我复制,通常以一组计算机指令或者程序代码的形式呈现。而杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑程序)的技术机制。杀毒引擎是杀毒软件的主要部分,是检测和发现病毒的程序,而病毒库是已经发现的病毒的特征集合。在杀毒过程中,用病毒库中的特征去对照机器中的所有程序或文件,对于符合这些特征的程序或文件,判定为病毒。
现有技术中,一些恶意病毒为了避免被杀毒引擎解析和扫描,通常事先被加壳,这些经过加壳后的文件称为复合文件。由于杀毒引擎具有的查杀功能不同,当某个杀毒引擎不具备脱壳的功能时,则难以对这些复合病毒文件进行查杀,从而降低了***的安全性;并且,当有多个杀毒引擎存在时,如果其中有至少两个杀毒引擎都具备脱壳的功能,则这些杀毒引擎需要分别对复合文件进行脱壳操作,从而浪费了***资源。
发明内容
本申请实施例提供了一种处理计算机病毒的方法及装置,以解决现有杀毒引擎在查杀复合文件时,容易降低***安全性且浪费***资源的问题。
为了解决上述技术问题,本申请实施例公开了如下技术方案:
一种处理计算机病毒的方法,包括:
获取待查杀文件;
对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
还包括:预先保存对每一种复合文件进行解析的解析方式;
所述对所述待查杀文件中的复合文件进行解析包括:
识别所述待查杀文件是否为复合文件;
对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
所述复合文件包括:普通压缩文件和可移植执行体PE压缩文件;
所述普通压缩文件包括:扩展名为rar和扩展名为zip的压缩文件;
所述PE压缩文件包括:自解压的压缩文件和UPS加壳的压缩文件。
对所述待查杀文件中的普通压缩文件进行解析包括:
读取所述待查杀文件中的文件扩展名;
当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩。
对所述待查杀文件中的PE压缩文件进行解析包括:
读取所述待查杀文件中的资源信息;
当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎;
所述调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描包括:
调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
一种处理计算机病毒的装置,包括:
获取单元,用于获取待查杀文件;
解析单元,用于对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
还包括:
保存单元,用于预先保存对每一种符合文件进行解析的解析方式;
所述解析单元包括:
文件识别子单元,用于识别所述待查杀文件是否为复合文件;
调用解析子单元,用于对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
所述解析单元包括:
普通压缩文件解析单元,用于对所述待查杀文件中的普通压缩文件进行解析,所述普通压缩文件包括扩展名为rar和扩展名为zip的压缩文件;
PE压缩文件解析单元,用于对所述待查杀文件中的PE压缩文件进行解析,所述PE压缩文件包括自解压的压缩文件和UPS加壳的压缩文件。
所述普通压缩文件解析单元包括:
扩展名读取子单元,用于读取所述待查杀文件中的文件扩展名;
普通压缩文件确定子单元,用于当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
普通文件解压缩子单元,用于按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;
所述PE压缩文件解析单元包括:
资源信息读取子单元,用于读取所述待查杀文件中的资源信息;
PE压缩文件确定子单元,用于当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
PE文件解压缩子单元,用于按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎,所述扫描单元包括:
第一调用扫描子单元,用于调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
第二调用扫描子单元,用于调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
由上述实施例可以看出,本申请实施例获取待查杀文件,对待查杀文件中的复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件,调用预先设置的多个杀毒引擎对更新后的待查杀文件进行扫描,获得查杀结果。应用本申请实施例对计算机病毒进行扫描时,由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高***的安全性;当***中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了***资源。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请处理计算机病毒的方法的第一实施例流程图;
图2为本申请处理计算机病毒的方法的第二实施例流程图;
图3为本申请处理计算机病毒的方法的第三实施例流程图;
图4为本申请处理计算机病毒的装置的第一实施例框图;
图5为本申请处理计算机病毒的装置的第二实施例框图。
具体实施方式
本发明如下实施例提供了一种处理计算机病毒的方法及装置。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图1,为本申请处理计算机病毒的方法的第一实施例流程图:
步骤101:获取待查杀文件。
步骤102:对待查杀文件中的复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件。
其中,复合文件包括普通压缩文件和PE(Portable Execute,可移植执行体)压缩文件;普通压缩文件可以具体包括:扩展名为rar和扩展名为zip的压缩文件;PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件。
对待查杀文件中的普通压缩文件进行解析时,读取待查杀文件中的文件扩展名,当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件,按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;对待查杀文件中的PE压缩文件进行解析时,读取待查杀文件中的资源信息,当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件,按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
步骤103:调用预先设置的多个杀毒引擎对更新后的待查杀文件进行扫描,获得查杀结果。
上述实施例由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高***的安全性;当***中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了***资源。
参见图2,为本申请处理计算机病毒的方法的第二实施例流程图,该实施例以预先设置了第一杀毒引擎和第二杀毒引擎为例,示出了对待查杀文件统一解析后再杀毒的过程:
步骤201:预先保存对每一种复合文件进行解析的解析方式。
一些恶意病毒为了避免被杀毒引擎解析和扫描,通常事先被加壳,这些经过加壳后的文件称为复合文件。复合文件根据其类型的不同采用不同的解析方式进行解析,解析的过程就是脱壳的过程,解析的目的是为了获得未被加壳前的数据。
本申请实施例中,复合文件可以包括普通压缩文件和PE压缩文件;普通压缩文件可以具体包括:扩展名为rar和扩展名为zip的压缩文件;PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件,自解压的压缩文件指该文件的压缩包内包含解压缩文件,根据该解压缩文件可以对文件进行解压缩,UPS加壳的压缩文件指将程序指令进行压缩,并在文件头中加入解压缩信息,根据该解压信息可以对文件进行解压缩。
步骤202:获取待查杀文件。
步骤203:识别待查杀文件是否为复合文件。
根据步骤201中定义的复合文件可知,对于待查杀文件中的每一个文件,可以先识别其是否为普通压缩文件,如果不是,再识别其是否为PE压缩文件,如果不是,将该文件确定为非复合文件,即可以直接由杀毒引擎进行病毒扫描的文件。根据上述识别过程,可以识别出每个待查杀文件是普通压缩文件、PE压缩文件、或非复合文件。
步骤204:对识别为复合文件的待查杀文件,调用与该复合文件对应的解析方式对该复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件。
其中,对待查杀文件中的普通压缩文件进行解析时,读取待查杀文件中的文件扩展名,当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件,按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;对待查杀文件中的PE压缩文件进行解析时,读取待查杀文件中的资源信息,当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件,按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
步骤205:调用第一杀毒引擎,对更新后的待查杀文件进行扫描,获得第一扫描结果,该第一扫描结果中包括更新后的待查杀文件中的确定文件。
本申请实施例中,第一杀毒引擎和第二杀毒引擎可以具体为针对不同类型文件进行查杀的文件,第一杀毒引擎和第二杀毒引擎之间可以采用并行查杀的方式,即当第一杀毒引擎在查杀过程中,可以将已查杀过的文件中的未确定文件输入到第二杀毒引擎中进行查杀,而不必等到第一杀毒引擎查杀完所有待查杀文件,再由第二杀毒引擎进行查杀。更进一步,如果第一杀毒引擎至少有两个,则至少两个第一杀毒引擎之间的查杀过程也采用前述并行查杀的方式。
其中,第一杀毒引擎可以包括:用于查杀PE类型文件的云查杀引擎,和/或QVM(Qihoo Virtual Machine,人工智能引擎)引擎。
步骤206:调用第二杀毒引擎,对更新后的待查杀文件中除确定文件以外的其它文件进行扫描,获得第二扫描结果。
第二杀毒引擎主要指对除经过第一杀毒引擎查杀后的确定文件以外的其它文件进行扫描的杀毒引擎,需要说明的是,该第二杀毒引擎可以具有对所有类型文件进行查杀的能力,当本实施例通采用并行查杀的方式时,可以减少每一种杀毒引擎的查杀数量,从而提高查杀速度,以便有效利用***资源。本实施例中第二杀毒引擎可以包括至少一个杀毒引擎,例如,该第二杀毒引擎可以为Bit Defender杀毒引擎,和/或小红伞杀毒引擎,和/或其它现有已存在的杀毒引擎等。
参见图3,为本申请处理计算机病毒的方法的第三实施例流程图,该实施例以复合文件为普通压缩和PE压缩文件为例,示出了对待查杀文件进行扫描的过程:
步骤301:预先保存对每一种复合文件进行解析的解析方式。
一些恶意病毒为了避免被杀毒引擎解析和扫描,通常事先被加壳,这些经过加壳后的文件称为复合文件。复合文件根据其类型的不同采用不同的解析方式进行解析,解析的过程就是脱壳的过程,解析的目的是为了获得未被加壳前的数据。
本申请实施例中,复合文件可以包括普通压缩文件和PE压缩文件;普通压缩文件可以具体包括:扩展名为rar和扩展名为zip的压缩文件;PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件,自解压的压缩文件指该文件的压缩包内包含解压缩文件,根据该解压缩文件可以对文件进行解压缩,UPS加壳的压缩文件指将程序指令进行压缩,并在文件头中加入解压缩信息,根据该解压信息可以对文件进行解压缩。
步骤302:顺序获取待查杀文件中的一个待查杀文件。
步骤303:读取该待查杀文件中的文件扩展名。
步骤304:判断读取的文件扩展名与普通压缩文件的文件扩展名类型是否匹配,若是,则执行步骤305;否则,执行步骤306。
本实施例中普通压缩文件的文件扩展名类型包括扩展名为rar或zip的文件,因此读取待查杀文件的文件扩展名后,判断该文件扩展名是否为rar或zip,如果是,则说明待查杀文件为普通压缩文件,如果不是,则进入步骤306进行进一步判断。
步骤305:确定所读取的文件扩展名对应的文件为普通压缩文件,按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩,执行步骤309。
步骤306:读取该待查杀文件中的资源信息。
在判断完待查杀文件非普通压缩文件后,进一步判断其是否为PE压缩文件,此时读取该待查杀文件中的资源信息,如果读取不到资源信息,则该待查杀文件为非复合文件,如果读取到资源文件,可以进入步骤307进行进一步判断。
步骤307:判断读取的资源信息与PE压缩文件的文件类型是否匹配,若是,则执行步骤308;否则,执行步骤309。
由于PE压缩文件可以具体包括自解压的压缩文件和UPS加壳的压缩文件,其中,自解压的压缩文件指该文件的压缩包内包含解压缩文件,根据该解压缩文件可以对文件进行解压缩,因此判断读取到的资源信息是否为解压缩文件;UPS加壳的压缩文件指将程序指令进行压缩,并在文件头中加入解压缩信息,根据该解压信息可以对文件进行解压缩,因此判断读取到的资源信息是否为头文件中的解压缩信息。
步骤308:确定所读取的资源信息对应的文件为PE压缩文件,按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩,执行步骤309。
步骤309:调用预先设置的多个杀毒引擎对解析后的待查杀文件,以及非复合文件进行扫描,获得查杀结果。
本实施中调用多个杀毒引擎对解析后的待查杀文件以及非复合文件进行扫描的过程与前述第二实施例一致,在此不再赘述。
步骤310:判断是否查杀完所有文件,若是,则结束流程;否则,返回步骤302。
与本申请处理计算机病毒的方法的实施例相对应,本申请还提供了处理计算机病毒的装置的实施例。
参见图4,为本申请处理计算机病毒的装置的第一实施例框图:
该装置包括:获取单元410、解析单元420和扫描单元430。
其中,获取单元410,用于获取待查杀文件;
解析单元420,用于对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元430,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
参见图5,为本申请处理计算机病毒的装置的第二实施例框图:
该装置包括:保存单元510、获取单元520、解析单元530和扫描单元540。
其中,保存单元510,用于预先保存对每一种符合文件进行解析的解析方式;
获取单元520,用于获取待查杀文件;
解析单元530,用于对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元540,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
其中,解析单元530可以包括(图5中未示出):
文件识别子单元,用于识别所述待查杀文件是否为复合文件;
调用解析子单元,用于对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
具体的,解析单元530可以包括(图5中未示出):普通压缩文件解析单元,用于对所述待查杀文件中的普通压缩文件进行解析,所述普通压缩文件包括扩展名为rar和扩展名为zip的压缩文件;PE压缩文件解析单元,用于对所述待查杀文件中的PE压缩文件进行解析,所述PE压缩文件包括自解压的压缩文件和UPS加壳的压缩文件。
其中,所述普通压缩文件解析单元可以包括:扩展名读取子单元,用于读取所述待查杀文件中的文件扩展名;普通压缩文件确定子单元,用于当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;普通文件解压缩子单元,用于按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩。
所述PE压缩文件解析单元包括:资源信息读取子单元,用于读取所述待查杀文件中的资源信息;PE压缩文件确定子单元,用于当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;PE文件解压缩子单元,用于按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
其中,预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎,该扫描单元540可以包括(图5中未示出):第一调用扫描子单元,用于调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;第二调用扫描子单元,用于调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
通过对以上实施方式的描述可知,本申请实施例获取待查杀文件,对待查杀文件中的复合文件进行解析,解析后的待查杀文件和待查杀文件中的非复合文件组成更新后的待查杀文件,调用预先设置的多个杀毒引擎对更新后的待查杀文件进行扫描,获得查杀结果。应用本申请实施例对计算机病毒进行扫描时,由于预先对待查杀文件中的复合文件进行解析,即对加壳文件进行脱壳,再由杀毒引擎进行查杀,因此对于不具备脱壳能力的杀毒引擎也可以对文件进行查杀,提高***的安全性;当***中存在多个具有脱壳功能的杀毒引擎时,由于统一对待查杀文件中的复合文件进行解析,因此无需每个杀毒引擎都对复合文件进行解析,节约了***资源。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种处理计算机病毒的方法,其特征在于,包括:
获取待查杀文件;
对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
2.根据权利要求1所述的方法,其特征在于,还包括:预先保存对每一种复合文件进行解析的解析方式;
所述对所述待查杀文件中的复合文件进行解析包括:
识别所述待查杀文件是否为复合文件;
对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
3.根据权利要求1所述的方法,其特征在于,所述复合文件包括:普通压缩文件和可移植执行体PE压缩文件;
所述普通压缩文件包括:扩展名为rar和扩展名为zip的压缩文件;
所述PE压缩文件包括:自解压的压缩文件和UPS加壳的压缩文件。
4.根据权利要求3所述的方法,其特征在于,对所述待查杀文件中的普通压缩文件进行解析包括:
读取所述待查杀文件中的文件扩展名;
当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩。
5.根据权利要求3所述的方法,其特征在于,对所述待查杀文件中的PE压缩文件进行解析包括:
读取所述待查杀文件中的资源信息;
当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
6.根据权利要求1所述的方法,其特征在于,所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎;
所述调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描包括:
调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
7.一种处理计算机病毒的装置,其特征在于,包括:
获取单元,用于获取待查杀文件;
解析单元,用于对所述待查杀文件中的复合文件进行解析,解析后的待查杀文件和所述待查杀文件中的非复合文件组成更新后的待查杀文件;
扫描单元,用于调用预先设置的多个杀毒引擎对所述更新后的待查杀文件进行扫描,获得查杀结果。
8.根据权利要求7所述的装置,其特征在于,还包括:
保存单元,用于预先保存对每一种符合文件进行解析的解析方式;
所述解析单元包括:
文件识别子单元,用于识别所述待查杀文件是否为复合文件;
调用解析子单元,用于对识别为复合文件的待查杀文件,调用与所述复合文件对应的解析方式对所述复合文件进行解析。
9.根据权利要求7所述的装置,其特征在于,所述解析单元包括:
普通压缩文件解析单元,用于对所述待查杀文件中的普通压缩文件进行解析,所述普通压缩文件包括扩展名为rar和扩展名为zip的压缩文件;
PE压缩文件解析单元,用于对所述待查杀文件中的PE压缩文件进行解析,所述PE压缩文件包括自解压的压缩文件和UPS加壳的压缩文件。
10.根据权利要求9所述的装置,其特征在于,
所述普通压缩文件解析单元包括:
扩展名读取子单元,用于读取所述待查杀文件中的文件扩展名;
普通压缩文件确定子单元,用于当读取的文件扩展名与普通压缩文件的文件扩展名类型匹配时,确定所读取的文件扩展名对应的文件为普通压缩文件;
普通文件解压缩子单元,用于按照普通压缩文件的解压方式对确定的普通压缩文件进行解压缩;
所述PE压缩文件解析单元包括:
资源信息读取子单元,用于读取所述待查杀文件中的资源信息;
PE压缩文件确定子单元,用于当读取的资源信息与PE压缩文件的文件类型匹配时,确定所读取的资源信息对应的文件为PE压缩文件;
PE文件解压缩子单元,用于按照PE压缩文件的解压方式对确定的PE压缩文件进行解压缩。
11.根据权利要求7所述的装置,其特征在于,所述预先设置的多个杀毒引擎包括至少一个第一杀毒引擎和至少一个第二杀毒引擎,所述扫描单元包括:
第一调用扫描子单元,用于调用所述第一杀毒引擎,对所述更新后的待查杀文件进行扫描,获得第一扫描结果,所述第一扫描结果中包括所述更新后的待查杀文件中的确定文件;
第二调用扫描子单元,用于调用所述第二杀毒引擎,对所述更新后的待查杀文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110301537.8A CN102314571B (zh) | 2011-09-27 | 2011-09-27 | 处理计算机病毒的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110301537.8A CN102314571B (zh) | 2011-09-27 | 2011-09-27 | 处理计算机病毒的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102314571A true CN102314571A (zh) | 2012-01-11 |
| CN102314571B CN102314571B (zh) | 2014-11-05 |
Family
ID=45427729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110301537.8A Active CN102314571B (zh) | 2011-09-27 | 2011-09-27 | 处理计算机病毒的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102314571B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013041016A1 (zh) * | 2011-09-19 | 2013-03-28 | 北京奇虎科技有限公司 | 处理计算机病毒的方法和装置 |
| CN103067364A (zh) * | 2012-12-21 | 2013-04-24 | 华为技术有限公司 | 病毒检测方法及设备 |
| CN103136477A (zh) * | 2013-03-06 | 2013-06-05 | 北京奇虎科技有限公司 | 文件样本的扫描方法和*** |
| CN103970766A (zh) * | 2013-01-29 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 一种数据文件处理的方法、装置及终端 |
| CN112580046A (zh) * | 2020-12-10 | 2021-03-30 | 青岛海洋科学与技术国家实验室发展中心 | 多维集中式木马检查方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
| CN101414328A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种用于对文件进行脱壳的装置和方法 |
| US20090320134A1 (en) * | 2008-06-24 | 2009-12-24 | Corcoran Sean D | Detecting Secondary Infections in Virus Scanning |
| CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和*** |
| CN101930515A (zh) * | 2010-08-27 | 2010-12-29 | 奇智软件(北京)有限公司 | 一种对压缩文件进行安全解压缩的***及方法 |
| CN102024112A (zh) * | 2010-12-17 | 2011-04-20 | 四川大学 | 基于静态特征的pe文件加壳检测方法 |
-
2011
- 2011-09-27 CN CN201110301537.8A patent/CN102314571B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
| CN101414328A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种用于对文件进行脱壳的装置和方法 |
| US20090320134A1 (en) * | 2008-06-24 | 2009-12-24 | Corcoran Sean D | Detecting Secondary Infections in Virus Scanning |
| CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和*** |
| CN101930515A (zh) * | 2010-08-27 | 2010-12-29 | 奇智软件(北京)有限公司 | 一种对压缩文件进行安全解压缩的***及方法 |
| CN102024112A (zh) * | 2010-12-17 | 2011-04-20 | 四川大学 | 基于静态特征的pe文件加壳检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王海峰等: "反病毒引擎可扩展框架的研究与实现", 《计算机应用研究》, vol. 28, no. 4, 30 April 2011 (2011-04-30), pages 1470 - 1473 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013041016A1 (zh) * | 2011-09-19 | 2013-03-28 | 北京奇虎科技有限公司 | 处理计算机病毒的方法和装置 |
| US10165001B2 (en) | 2011-09-19 | 2018-12-25 | Beijing Qihoo Technology Company Limited | Method and device for processing computer viruses |
| CN103067364A (zh) * | 2012-12-21 | 2013-04-24 | 华为技术有限公司 | 病毒检测方法及设备 |
| CN103067364B (zh) * | 2012-12-21 | 2015-11-25 | 华为技术有限公司 | 病毒检测方法及设备 |
| US9723021B2 (en) | 2012-12-21 | 2017-08-01 | Huawei Technologies Co., Ltd. | Virus detecting method and device |
| CN103970766A (zh) * | 2013-01-29 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 一种数据文件处理的方法、装置及终端 |
| CN103136477A (zh) * | 2013-03-06 | 2013-06-05 | 北京奇虎科技有限公司 | 文件样本的扫描方法和*** |
| CN103136477B (zh) * | 2013-03-06 | 2015-09-02 | 北京奇虎科技有限公司 | 文件样本的扫描方法和*** |
| CN112580046A (zh) * | 2020-12-10 | 2021-03-30 | 青岛海洋科学与技术国家实验室发展中心 | 多维集中式木马检查方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102314571B (zh) | 2014-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11244047B2 (en) | Intelligent backup and versioning | |
| US11256808B2 (en) | Detecting malware via scanning for dynamically generated function pointers in memory | |
| CN102279917B (zh) | 多杀毒引擎并行杀毒方法及*** | |
| JP6227772B2 (ja) | 動的ライブラリを保護する方法及び装置 | |
| US10476900B2 (en) | Safe sharing of sensitive data | |
| KR101857001B1 (ko) | 안드로이드 동적 로딩 파일 추출 방법, 이를 수행하기 위한 기록 매체 및 시스템 | |
| US10586026B2 (en) | Simple obfuscation of text data in binary files | |
| US20050172337A1 (en) | System and method for unpacking packed executables for malware evaluation | |
| CN102346827A (zh) | 处理计算机病毒的方法及装置 | |
| CN108399319B (zh) | 源代码保护方法、应用服务器及计算机可读存储介质 | |
| KR20120032477A (ko) | 화이트박스 암호화를 사용하는 연동 바이너리 보호 방법 | |
| KR20190094217A (ko) | 스크립트 크기 및 연산 부호 제한에 대한 보안 기반 제한을 유지하는 동안 블록체인에서 복잡한 기능을 활성화하는 컴퓨터 구현 시스템 및 방법 | |
| CN102314571B (zh) | 处理计算机病毒的方法及装置 | |
| CN107291485B (zh) | 动态链接库的加固方法、运行方法、加固装置和安全*** | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| CN103559447A (zh) | 一种基于病毒样本特征的检测方法、检测装置及检测*** | |
| CN112632536B (zh) | 基于pe文件改造的内存加载方法 | |
| Malandrone et al. | Powerdecode: a powershell script decoder dedicated to malware analysis | |
| CN103677746B (zh) | 指令重组方法及装置 | |
| CN110147671B (zh) | 一种程序内字符串提取方法及装置 | |
| JP2021005375A (ja) | 難読化解除方法および装置 | |
| CN103824020A (zh) | 自动实现软件程序免杀的方法 | |
| CN104063662A (zh) | 处理计算机病毒的方法及装置 | |
| CN116204892B (zh) | 漏洞处理方法、装置、设备以及存储介质 | |
| CN117077180B (zh) | 勒索加密数据恢复可行性评估及处理装置、方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211202 Address after: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin Patentee after: 3600 Technology Group Co.,Ltd. Address before: 100016 East unit, 4th floor, Zhaowei building, 14 Jiuxianqiao Road, Chaoyang District, Beijing Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230627 Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: Beijing Hongxiang Technical Service Co.,Ltd. Address before: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin Patentee before: 3600 Technology Group Co.,Ltd. |
|
| TR01 | Transfer of patent right |