CN104573515A - 一种病毒处理方法、装置和*** - Google Patents

一种病毒处理方法、装置和*** Download PDF

Info

Publication number
CN104573515A
CN104573515A CN201410802502.6A CN201410802502A CN104573515A CN 104573515 A CN104573515 A CN 104573515A CN 201410802502 A CN201410802502 A CN 201410802502A CN 104573515 A CN104573515 A CN 104573515A
Authority
CN
China
Prior art keywords
virus
client
behavior
virion
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410802502.6A
Other languages
English (en)
Inventor
邹荣新
梅银明
项柱
胡汉中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Baidu Online Network Technology Beijing Co Ltd
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN201410802502.6A priority Critical patent/CN104573515A/zh
Publication of CN104573515A publication Critical patent/CN104573515A/zh
Priority to JP2016552611A priority patent/JP6644001B2/ja
Priority to KR1020167022493A priority patent/KR20160125960A/ko
Priority to PCT/CN2015/082604 priority patent/WO2016095479A1/zh
Priority to US15/119,692 priority patent/US10192053B2/en
Priority to EP15868991.9A priority patent/EP3236381B1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3041Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种病毒处理方法、装置和***,客户端将扫描日志上报给云端服务平台,和/或在根据扫描日志鉴定出病毒家族信息后将病毒家族信息上报给云端服务平台。云端服务平台对扫描日志进行鉴定后得到的病毒家族信息,和/或接收到来自客户端的病毒家族信息后,将病毒家族信息对应的病毒清除指令下发给客户端,供客户端执行病毒清除指令。本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式,相比较单纯由客户端进行行为分析和删除文件的方式,对病毒的处理更加个性化和精准,提高了机器***的安全性。

Description

一种病毒处理方法、装置和***
【技术领域】
本发明涉及计算机应用技术领域,特别涉及一种病毒处理方法、装置和***。
【背景技术】
随着互联网的快速发展,基于病毒模式聚集网站流量,并通过流量广告变现的灰色产业利益链已经形成。每日新增的流氓软件已经数以百计,使用各种猥琐的技术,通过进程、注册表、文件等方式相互捆绑或守护,不断更新病毒体的行为特征,防止杀毒软件进行查杀。
目前互联网式病毒文件流行的方式是:通过云端控制指令在机器***修改用户默认的浏览器主页以及搜索引擎,修改关键词搜索排名,劫持浏览器弹出广告,恶意篡改桌面快捷方式关联,安装用户不需要的浏览器插件恶意软件,窃取用户的隐私内容等。而传统的杀毒软件主要查杀文件的恶意行为,发现恶意行为时删除相应的文件。当遇到这类互联网式病毒文件时,单纯在机器***的客户端进行行为分析和删除文件往往无法完全清除病毒体,机器***安全性较差。
【发明内容】
有鉴于此,本发明提供了一种病毒处理方法、装置和***,以便于提高机器***的安全性。
具体技术方案如下:
本发明提供了一种病毒处理方法,该方法包括:
确定客户端扫描的病毒体行为所对应的病毒家族信息;
根据病毒家族信息与病毒清除指令之间的对应关系,将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
根据本发明一优选实施方式,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括:
接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息;
将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据本发明一优选实施方式,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括:
接收所述客户端上报的鉴定结果;
从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据本发明一优选实施方式,该方法还包括:
对客户端上报的扫描日志进行分析得到更新病毒体行为信息;
利用更新病毒体行为信息更新云端的行为链脚本库。
根据本发明一优选实施方式,如果将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息与从所述鉴定结果中获取的病毒家族信息不一致,则采用将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息来确定下发的病毒清除指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令
根据本发明一优选实施方式,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息:
进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
本发明还提供了一种病毒处理方法,该方法包括:
扫描病毒体行为;
将扫描日志上报云端服务平台;和/或,利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息;
接收并执行所述云端服务平台下发的病毒清除指令。
根据本发明一优选实施方式,该方法还包括:如果鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
根据本发明一优选实施方式,该方法还包括:
加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
本发明还提供了一种病毒处理装置,该装置包括:
病毒确定单元,用于确定客户端扫描的病毒体行为所对应的病毒家族信息;
指令下发单元,用于根据病毒家族信息与病毒清除指令之间的对应关系,将所述病毒确定单元确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
根据本发明一优选实施方式,所述病毒确定单元包括:
第一接收子单元,用于接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息;
匹配子单元,用于将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据本发明一优选实施方式,所述病毒确定单元包括:
第二接收子单元,用于接收所述客户端上报的鉴定结果;
获取子单元,用于从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据本发明一优选实施方式,该装置还包括:
联合分析单元,用于对客户端上报的扫描日志进行分析得到更新病毒体行为信息;
库更新单元,用于利用更新病毒体行为信息更新云端的行为链脚本库。
根据本发明一优选实施方式,如果所述匹配子单元确定出的病毒家族信息与所述获取子单元获取的病毒家族信息不一致,则所述指令下发单元采用所述匹配子单元确定出的病毒家族信息来确定下发的病毒清楚指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
根据本发明一优选实施方式,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息:
进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
本发明还提供了一种病毒处理装置,该装置包括:日志上报单元和病毒鉴定单元中的至少一个、行为扫描单元以及指令处理单元;
所述行为扫描单元,用于扫描病毒体行为;
所述日志上报单元,用于将扫描日志上报云端服务平台;
所述病毒鉴定单元,用于利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息;
所述指令处理单元,用于接收并执行所述云端服务平台下发的病毒清除指令。
根据本发明一优选实施方式,该装置还包括:
病毒清除单元,用于如果所述病毒鉴定单元鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
根据本发明一优选实施方式,该装置还包括:
库更新单元,用于加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
本发明还提供了一种病毒处理的***,该***包括:客户端和云端处理平台;
所述云端处理平台包括上述第一种装置;
所述客户端包括上述第二种装置。
由以上技术方案可以看出,在本发明中客户端将扫描日志上报给云端服务平台,和/或在根据扫描日志鉴定出病毒家族信息后将病毒家族信息上报给云端服务平台。云端服务平台对扫描日志进行鉴定后得到的病毒家族信息,和/或接收到来自客户端的病毒家族信息后,将病毒家族信息对应的病毒清除指令下发给客户端,供客户端执行病毒清除指令。本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式,相比较单纯由客户端进行行为分析和删除文件的方式,对病毒的处理更加个性化和精准,提高了机器***的安全性。
【附图说明】
图1为本发明实施例提供的***结构图;
图2为本发明实施例提供的客户端执行的病毒处理方法流程图;
图3为本发明实施例提供的云端服务平台执行的病毒处理方法流程图;
图4为本发明实施例提供的一种装置结构图;
图5为本发明实施例提供的另一种装置结构图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明实施例主要基于如图1中所示的***,该***中包括客户端和云端服务平台,其中客户端可以设置于诸如PC、手机、平板电脑等机器***中,负责该机器***的安全。
其中在本发明实施例中,客户端可以具备以下功能:
1)扫描病毒体行为,这是客户端最基本的功能。在此说明本发明实施例中涉及的几个概念:“病毒体”指的是病毒母体,即病毒传播的初始文件,母体执行后会产生各种子文件及其相关行为,病毒母体本身的文件并不一定都是恶意的。“恶意病毒体”指的是恶意病毒母体,即本身能释放出恶意子文件或恶意的网络行为。“病毒体行为”包括病毒母体可能的所有行为,例如病毒体行为可以是对以下内容进行扫描后得到的行为信息:进程、加载模块、驱动、服务、Rootkit(Rootkit是指其主要功能为隐藏其他程式进程的软件,可能是一个或一个以上的软件组合)、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。“恶意病毒体行为”为恶意病毒母体的行为。
2)将扫描日志上报云端服务平台,该扫描日志包含该客户端扫描的病毒体行为信息,上报给云端服务平台供其进行分析。
3)利用本地的行为链脚本库,对病毒体行为进行鉴定。其中行为链脚本库包含病毒家族的恶意病毒体行为信息,将客户端扫描的病毒体行为信息与行为链脚本库进行匹配,以确定扫描的病毒体行为是否为恶意病毒体行为,并可以进一步确定出病毒家族信息。其中,“病毒家族”指的是一组行为相似的恶意病毒体的统称,属于同一病毒家族的恶意病毒体通常属于同一制作者或者来源于同一病毒源文件(例如由同一病毒源文件修改得到)。例如,在行为链脚本库中,将属于同一病毒家族的恶意病毒体行为信息进行了整合,通过恶意病毒体行为能够确定出其对应的病毒家族信息。
另外,客户端本地的行为链脚本库可以是加载云端服务平台的行为链脚本库后存储于本地得到的。举例来说,客户端可以周期性地从云端服务平台加载行为链脚本库并对本地的行为链脚本库进行更新,即下述的功能6)。
4)如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台。这里的病毒家族信息可以是诸如病毒家族ID(标识)等信息。也就是说,如果客户端本地已经鉴定得到病毒家族ID,则将病毒家族ID直接上报给云端服务平台。
5)如果鉴定出恶意病毒体行为,则清除该客户端所在机器***中的恶意病毒体行为的关联内容。除了上报病毒家族信息之外,在客户端本地可以存在病毒清除的机制,清除客户端所在机器***中恶意病毒体行为的关联内容,诸如:停止恶意病毒体的服务,删除恶意病毒体的文件,删除恶意病毒体的注册表项或相关活动项,修复浏览器默认主页。在进行上述清除处理之后,还可以进一步对可能影响机器***运行的文件进行初始化修复处理,即将其恢复至初始状态,从而确保机器***能够正常工作。
6)加载云端的行为链脚本库,利用云端的行为链脚本库更新本地的行为链脚本库。
云端服务平台可以具备以下功能:
1)确定客户端扫描的病毒体行为所对应的病毒家族信息。在此,本功能的实现可以采用以下两种方式:
第一种方式、接收客户端上报的扫描日志,该扫描日志包含了客户端扫描的病毒体行为信息,将该病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为信息对应的病毒家族信息。同样,该行为链脚本库中也包含病毒家族的恶意病毒体行为信息。该行为链脚本库是由各机器***中客户端上报的扫描日志进行分析后得到的,也可以结合人工分析和设置的因素。
第二种方式、直接接收客户端上报的鉴定结果,该鉴定结果中包含客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的病毒家族信息。
2)根据病毒家族信息与病毒清除指令之间的对应关系,将病毒家族信息所对应的病毒清除指令下发给客户端。在云端服务平台中维护着病毒家族信息与病毒清除指令之间的对应关系,这些病毒清除指令用于指导客户端进行操作以对相应病毒家族的行为进行清除。这一对应关系可以采用人工设置的方式。
上述的病毒清除指令可以包括但不限于:锁定默认主页的指令、修改默认浏览器搜索主页的指令或者下载指定工具软件等。上述指定工具软件可以是诸如安全卫士软件、***修复小工具、恶意插件清除工具、浏览器保护工具等。
上述病毒家族信息对应的病毒清除指令是云端可配置的,可以根据实时捕获的流行病毒行为分析,增加或调整对应病毒清除指令。
也就是说,云端服务平台能够有针对性地给予客户端以清除一类病毒的指导意见,避免了客户端只有单纯地删除文件所带来的无法完全清除病毒体的问题。
3)对各机器***的客户端上报的扫描日志进行联合分析得到更新病毒体行为,利用更新病毒体行为更新云端的行为链脚本库。
下面结合具体实施例对客户端和云端服务平台所执行的方法流程进行描述。图2为本发明实施例提供的客户端执行的病毒处理方法流程图,如图2中所示,该流程主要包括以下步骤:
在201中,客户端扫描机器***中的病毒体行为,例如扫描进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
在202中,客户端将扫描日志上报给云端服务平台。
在203中客户端利用本地的行为链脚本库对扫描的病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则执行204,图2中仅示出该种情况,如果未鉴定出恶意病毒体行为,则监听客户端与云端服务平台进行通信的接口。需要说明的是,监听客户端与云端服务平台进行通信的接口并不一定是未鉴定出恶意病毒体行为后才执行的操作,也可以保持持续监听。
需要说明的是,上述步骤202和203可以以任意的顺序先后执行,也可以同时执行。图2仅是其中一种执行顺序。
由于行为链脚本库中包含的是病毒家族的恶意病毒体行为信息,因此可以将客户端扫描的病毒体行为与行为链脚本库进行匹配,这里的匹配可以是行为特征的匹配,也可以是脚本的匹配等,如果存在一致的行为特征或脚本,则确定鉴定出恶意病毒体行为,确定该恶意病毒体行为对应的病毒家族信息。
在204中,将恶意病毒体行为对应的病毒家族信息上报给云端服务平台。客户端在上报病毒家族信息时,可以同时上报所在机器***的信息,例如GUID(Globally Unique Identifier,全局唯一标识符),以便云端服务平台能够区分上报信息的机器***。
在205中,由于鉴定出了恶意病毒体行为,因此在客户端可以对恶意病毒体行为的关联内容进行清除。上述204和205可以按照任意的顺序先后执行,也可以同时执行,图2仅为其中一种执行顺序。在204之后,客户端开始监听客户端与云端服务平台进行通信的接口,一旦监听到云端服务平台下发的病毒清除指令,则执行206,即接收并执行云端服务平台下发的病毒清除指令。
图3为本发明实施例提供的云端服务平台执行的病毒处理方法流程图,如图3中所示,该流程可以包括以下步骤:
在301中,云端服务平台接收客户端上报的扫描日志,该扫描日志包含客户端扫描的病毒体行为信息。
在302中,将扫描日志中的病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为信息对应的病毒家族信息。由于云端的行为链脚本库是综合各机器***的客户端上报的扫描日志进行分析后得到的,因此在针对一个客户端进行病毒体行为的鉴别时,实际上也是关联分析了其他机器***的扫描日志。
上述步骤301和302是其中一个执行分支,即接收到扫描日志后的情况,在302之后执行步骤304。还有一个分支,即如果接收到客户端上报的病毒家族信息,即步骤303,则直接执行步骤304。
在步骤304中,根据病毒家族信息与病毒清除指令之间的对应关系,将病毒家族信息对应的病毒清除指令下发给客户端。上述病毒家族信息与病毒清除指令之间的对应关系是在云端服务平台预先加载的,针对各病毒家族分别设置对应的病毒清除指令以指导客户端进行病毒体的清除。
另外,还可能存在这样的情况,假设对于同一客户端,云端服务平台根据客户端上报的扫描日志确定出的病毒家族信息与该客户端上报的病毒家族信息不一致,也就是说,云端服务平台与客户端的鉴定结果不一致时,可以采用云端服务平台的鉴定结果为准,即将云端服务平台确定出的病毒家族信息对应的病毒清除指令下发给客户端。当然,也可以采用其他策略,例如当云端服务平台与客户端的鉴定结果不一致时,可以人为参与鉴定,将人为鉴定出的病毒家族信息对应的病毒清除指令下发给客户端。
下面对本发明提供的装置进行详细描述,图4为本发明实施例提供的第一种装置结构图,该装置设置于云端服务平台中,如图4所示,该装置可以包括:病毒确定单元41和指令下发单元42,还可以进一步包括联合分析单元43和库更新单元44。
其中病毒确定单元41负责确定客户端扫描的病毒体行为所对应的病毒家族信息。具体地,该病毒确定单元41可以采用以下两种方式中的至少一种确定病毒家族信息,图4中以同时采用以下两种方式时的结构为例。
第一种方式:病毒确定单元41根据客户端上报的扫描日志在云端服务平台进行病毒鉴定,此时病毒确定单元41可以具体包括:第一接收子单元401和匹配子单元402。
其中第一接收子单元401负责接收客户端上报的扫描日志,扫描日志包含客户端扫描的病毒体行为信息。匹配子单元402将病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为信息对应的病毒家族信息,其中行为链脚本库包含病毒家族的恶意病毒体行为信息。
第二种方式:病毒确定单元41直接接收客户端上报的病毒家族信息,即在客户端进行病毒鉴定,此时病毒确定单元41具体包括:第二接收子单元411和获取子单元412。
第二接收子单元411接收客户端上报的鉴定结果。获取子单元412从鉴定结果中获取病毒家族信息,病毒家族信息是客户端将扫描的病毒体行为与客户端本地的行为链脚本库进行匹配后确定的,其中行为链脚本库包含病毒家族的恶意病毒体行为信息。
指令下发单元42,用于根据病毒家族信息与病毒清除指令之间的对应关系,将病毒确定单元41确定的病毒家族信息所对应的病毒清除指令下发给客户端,以供客户端执行病毒清除指令进行病毒体的清除。在云端服务平台中维护着病毒家族信息与病毒清除指令之间的对应关系,这些病毒清除指令用于指导客户端进行操作以对相应病毒家族的行为进行清除。这一对应关系可以采用人工设置的方式。
上述的病毒清除指令可以包括但不限于:锁定默认主页的指令、修改默认浏览器搜索主页的指令或者下载指定工具软件等。上述指定工具软件可以是诸如安全卫士软件、***修复小工具、恶意插件清除工具、浏览器保护工具等。
上述病毒家族信息对应的病毒清除指令是云端可配置的,可以根据实时捕获的流行病毒行为分析,增加或调整对应病毒清除指令。
另外,有可能存在这样的情况,假设上述确定病毒家族信息的两种方式确定出的病毒家族信息不同,则可以将云端服务平台确定出的病毒家族信息对应的病毒清除指令下发给客户端。当然,也可以采用其他策略,例如当云端服务平台与客户端的鉴定结果不一致时,可以人为参与鉴定,将人为鉴定出的病毒家族信息对应的病毒清除指令下发给客户端。
上述的行为链脚本库是由各机器***中客户端上报的扫描日志进行分析后得到的,也可以结合人工分析和设置的因素。随着病毒的不断更新,会持续出现新的病毒体行为,因此,云端服务平台需要及时对行为链脚本库进行更新。有鉴于此,联合分析单元43对客户端上报的扫描日志进行分析得到更新病毒体行为,然后库更新单元44利用更新病毒体行为更新云端的行为链脚本库。
图5为本发明实施例提供的另一种病毒处理装置的结构图,该装置设置于机器***中的客户端,如图5中所示,该装置可以具体包括:日志上报单元52和病毒鉴定单元53中的至少一个(图5中以同时包含这两个单元的情况为例)、行为扫描单元51以及指令处理单元54,还可以进一步包括病毒清除单元55和库更新单元56。
其中,行为扫描单元51负责扫描病毒体行为信息,即扫描机器***中恶意病毒体可能的所有行为内容,病毒体行为信息可以是对以下内容中的至少一种进行扫描后得到的行为信息:网络修复、进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
日志上报单元52负责将扫描日志上报云端服务平台,扫描日志中包含了行为扫描单元51扫描的病毒体行为信息,上报给云端服务平台供其进行分析鉴定。
病毒鉴定单元53利用本地的行为链脚本库,对病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为信息对应的病毒家族信息上报给云端服务平台,其中行为链脚本库包含病毒家族的恶意病毒体行为信息。
指令处理单元54接收并执行云端服务平台下发的病毒清除指令。具体地,病毒清除指令可以包括但不限于以下操作的指令:锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
更进一步地,如果病毒鉴定单元53鉴定出恶意病毒体行为,则病毒清除单元55清除恶意病毒体行为的关联内容。其中,清除恶意病毒体行为的关联内容可以包括但不限于:停止恶意病毒体的服务,删除恶意病毒体的文件、注册表项或相关活动项,修复浏览器默认主页。
客户端本地的行为链脚本库是加载云端服务平台的行为链脚本库后存储于本地得到的,客户端可以周期性地从云端服务平台加载行为链脚本库并对本地的行为链脚本库进行更新。此时,库更新单元56加载云端的行为链脚本库,利用云端的行为链脚本库更新本地的行为链脚本库。
由以上描述可以看出,本发明提供的方法、装置和***具备以下优点:
1)本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式,相比较单纯由客户端进行行为分析和删除文件的方式,对病毒的处理更加个性化和精准,提高了机器***的安全性。
2)本发明中云端服务平台针对病毒家族信息下发的病毒清除指令并不局限于清除恶意病毒体行为的关联内容,还可以是诸如锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件等,对病毒的处理更加多样化,有助于彻底清除病毒,加强机器***的安全性。
3)云端服务平台能够联合各机器***的客户端上报的扫描日志进行行为链脚本库的更新,从而及时地满足互联网式病毒更新快的特征。
4)在云端服务平台中针对病毒家族信息的病毒清除指令能够灵活配置,并可以及时增加或调整,从而满足互联网时代的快速响应要求。
在本发明所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (25)

1.一种病毒处理方法,其特征在于,该方法包括:
确定客户端扫描的病毒体行为所对应的病毒家族信息;
根据病毒家族信息与病毒清除指令之间的对应关系,将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
2.根据权利要求1所述的方法,其特征在于,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括:
接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息;
将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
3.根据权利要求1所述的方法,其特征在于,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括:
接收所述客户端上报的鉴定结果;
从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
4.根据权利要求2所述方法,其特征在于,该方法还包括:
对客户端上报的扫描日志进行分析得到更新病毒体行为信息;
利用更新病毒体行为信息更新云端的行为链脚本库。
5.根据权利要求2所述的方法,其特征在于,所述确定客户端扫描的病毒体行为所对应的病毒家族信息还包括:
接收所述客户端上报的鉴定结果;
从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
6.根据权利要求5所述的方法,其特征在于,该方法还包括:
如果将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息与从所述鉴定结果中获取的病毒家族信息不一致,则采用将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息来确定下发的病毒清除指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
7.根据权利要求1至6任一权项所述的方法,其特征在于,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息:
进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
8.根据权利要求1至6任一权项所述的方法,其特征在于,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
9.一种病毒处理方法,其特征在于,该方法包括:
扫描病毒体行为;
将扫描日志上报云端服务平台;和/或,利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息;
接收并执行所述云端服务平台下发的病毒清除指令。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:如果鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
11.根据权利要求9所述的方法,其特征在于,该方法还包括:
加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
12.根据权利要求9至11任一权项所述的方法,其特征在于,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
13.一种病毒处理装置,其特征在于,该装置包括:
病毒确定单元,用于确定客户端扫描的病毒体行为所对应的病毒家族信息;
指令下发单元,用于根据病毒家族信息与病毒清除指令之间的对应关系,将所述病毒确定单元确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
14.根据权利要求13所述的装置,其特征在于,所述病毒确定单元包括:
第一接收子单元,用于接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息;
匹配子单元,用于将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
15.根据权利要求13所述的装置,其特征在于,所述病毒确定单元包括:
第二接收子单元,用于接收所述客户端上报的鉴定结果;
获取子单元,用于从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
16.根据权利要求14所述的装置,其特征在于,该装置还包括:
联合分析单元,用于对客户端上报的扫描日志进行分析得到更新病毒体行为信息;
库更新单元,用于利用更新病毒体行为信息更新云端的行为链脚本库。
17.根据权利要求14所述的装置,其特征在于,所述病毒确定单元还包括:
第二接收子单元,用于接收所述客户端上报的鉴定结果;
获取子单元,用于从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
18.根据权利要求17所述的装置,其特征在于,如果所述匹配子单元确定出的病毒家族信息与所述获取子单元获取的病毒家族信息不一致,则所述指令下发单元采用所述匹配子单元确定出的病毒家族信息来确定下发的病毒清楚指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
19.根据权利要求13至18任一权项所述的装置,其特征在于,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息:
进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
20.根据权利要求13至18任一权项所述的装置,其特征在于,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
21.一种病毒处理装置,其特征在于,该装置包括:日志上报单元和病毒鉴定单元中的至少一个、行为扫描单元以及指令处理单元;
所述行为扫描单元,用于扫描病毒体行为;
所述日志上报单元,用于将扫描日志上报云端服务平台;
所述病毒鉴定单元,用于利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息;
所述指令处理单元,用于接收并执行所述云端服务平台下发的病毒清除指令。
22.根据权利要求21所述的装置,其特征在于,该装置还包括:
病毒清除单元,用于如果所述病毒鉴定单元鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
23.根据权利要求21所述的装置,其特征在于,该装置还包括:
库更新单元,用于加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
24.根据权利要求21至23任一权项所述的装置,其特征在于,所述病毒清除指令包括以下操作的指令:
锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
25.一种病毒处理的***,该***包括:客户端和云端处理平台;
所述云端处理平台包括如权利要求13至18任一权项所述的装置;
所述客户端包括如权利要求21至23任一权项所述的装置。
CN201410802502.6A 2014-12-19 2014-12-19 一种病毒处理方法、装置和*** Pending CN104573515A (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201410802502.6A CN104573515A (zh) 2014-12-19 2014-12-19 一种病毒处理方法、装置和***
JP2016552611A JP6644001B2 (ja) 2014-12-19 2015-06-29 ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
KR1020167022493A KR20160125960A (ko) 2014-12-19 2015-06-29 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체
PCT/CN2015/082604 WO2016095479A1 (zh) 2014-12-19 2015-06-29 一种病毒处理方法、装置、***、设备和计算机存储介质
US15/119,692 US10192053B2 (en) 2014-12-19 2015-06-29 Method, apparatus, system, device and computer storage medium for treating virus
EP15868991.9A EP3236381B1 (en) 2014-12-19 2015-06-29 Virus processing method, apparatus, system and device, and computer storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410802502.6A CN104573515A (zh) 2014-12-19 2014-12-19 一种病毒处理方法、装置和***

Publications (1)

Publication Number Publication Date
CN104573515A true CN104573515A (zh) 2015-04-29

Family

ID=53089553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410802502.6A Pending CN104573515A (zh) 2014-12-19 2014-12-19 一种病毒处理方法、装置和***

Country Status (6)

Country Link
US (1) US10192053B2 (zh)
EP (1) EP3236381B1 (zh)
JP (1) JP6644001B2 (zh)
KR (1) KR20160125960A (zh)
CN (1) CN104573515A (zh)
WO (1) WO2016095479A1 (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105512557A (zh) * 2015-12-22 2016-04-20 北京奇虎科技有限公司 病毒处理方法、装置、***及移动终端
CN105528543A (zh) * 2015-12-23 2016-04-27 北京奇虎科技有限公司 远程杀毒的方法、客户端、控制台及***
WO2016095479A1 (zh) * 2014-12-19 2016-06-23 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置、***、设备和计算机存储介质
CN105991595A (zh) * 2015-02-15 2016-10-05 华为技术有限公司 网络安全防护方法及装置
CN106446685A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 恶意文档的检测方法及装置
CN107231360A (zh) * 2017-06-08 2017-10-03 上海斐讯数据通信技术有限公司 基于云网络的网络病毒防护方法、安全无线路由器和***
CN108898014A (zh) * 2018-06-22 2018-11-27 珠海市君天电子科技有限公司 一种病毒查杀方法、服务器及电子设备
CN109711171A (zh) * 2018-05-04 2019-05-03 360企业安全技术(珠海)有限公司 软件漏洞的定位方法及装置、***、存储介质、电子装置
CN112084504A (zh) * 2020-09-21 2020-12-15 腾讯科技(深圳)有限公司 病毒文件的处理方法、装置、电子设备及可读存储介质
CN112989349A (zh) * 2021-04-19 2021-06-18 腾讯科技(深圳)有限公司 病毒检测方法、装置、设备及存储介质
CN113378161A (zh) * 2021-06-23 2021-09-10 深信服科技股份有限公司 一种安全检测方法、装置、设备及存储介质
CN113722705A (zh) * 2021-11-02 2021-11-30 北京微步在线科技有限公司 一种恶意程序清除方法及装置

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106934288B (zh) * 2015-12-31 2021-04-16 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
CN106934287B (zh) * 2015-12-31 2020-02-11 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
US10826933B1 (en) * 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
TW201901514A (zh) * 2017-05-19 2019-01-01 關貿網路股份有限公司 程式異動監控與應變系統及方法
CN107885995A (zh) * 2017-10-09 2018-04-06 阿里巴巴集团控股有限公司 小程序的安全扫描方法、装置以及电子设备
US10867039B2 (en) * 2017-10-19 2020-12-15 AO Kaspersky Lab System and method of detecting a malicious file
CN112364395A (zh) * 2020-11-11 2021-02-12 中国信息安全测评中心 一种固态硬盘的安全防护方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010146457A (ja) * 2008-12-22 2010-07-01 Kddi Corp 情報処理システムおよびプログラム
CN101098226B (zh) * 2006-06-27 2011-02-09 飞塔公司 一种病毒在线实时处理***及其方法
CN102664875A (zh) * 2012-03-31 2012-09-12 华中科技大学 基于云模式的恶意代码类别检测方法
CN104077525A (zh) * 2014-06-13 2014-10-01 北京纳特比特科技有限公司 一种对终端数据信息进行处理的方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6802028B1 (en) * 1996-11-11 2004-10-05 Powerquest Corporation Computer virus detection and removal
US7210041B1 (en) * 2001-04-30 2007-04-24 Mcafee, Inc. System and method for identifying a macro virus family using a macro virus definitions database
US7913305B2 (en) 2004-01-30 2011-03-22 Microsoft Corporation System and method for detecting malware in an executable code module according to the code module's exhibited behavior
CN100437614C (zh) 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法
US20070180525A1 (en) * 2006-01-30 2007-08-02 Bagnall Robert J Security system and method
US8201244B2 (en) 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US20100031093A1 (en) * 2008-01-29 2010-02-04 Inventec Corporation Internal tracing method for network attack detection
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8464345B2 (en) * 2010-04-28 2013-06-11 Symantec Corporation Behavioral signature generation using clustering
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US8677493B2 (en) 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology
CN102281540B (zh) 2011-09-08 2013-11-27 广东华仝九方科技有限公司 手机恶意软件查杀方法及***
US9832211B2 (en) 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
US9521156B2 (en) 2013-02-10 2016-12-13 Paypal, Inc. Method and product for providing a predictive security product and evaluating existing security products
CN104298920A (zh) * 2014-10-14 2015-01-21 百度在线网络技术(北京)有限公司 一种病毒文件的处理方法、***及设备
CN104573515A (zh) 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和***
CN105989283B (zh) * 2015-02-06 2019-08-09 阿里巴巴集团控股有限公司 一种识别病毒变种的方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101098226B (zh) * 2006-06-27 2011-02-09 飞塔公司 一种病毒在线实时处理***及其方法
JP2010146457A (ja) * 2008-12-22 2010-07-01 Kddi Corp 情報処理システムおよびプログラム
CN102664875A (zh) * 2012-03-31 2012-09-12 华中科技大学 基于云模式的恶意代码类别检测方法
CN104077525A (zh) * 2014-06-13 2014-10-01 北京纳特比特科技有限公司 一种对终端数据信息进行处理的方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016095479A1 (zh) * 2014-12-19 2016-06-23 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置、***、设备和计算机存储介质
US10192053B2 (en) 2014-12-19 2019-01-29 Baidu Online Network Technology (Beijing) Co., Ltd. Method, apparatus, system, device and computer storage medium for treating virus
CN105991595B (zh) * 2015-02-15 2020-08-07 华为技术有限公司 网络安全防护方法及装置
CN105991595A (zh) * 2015-02-15 2016-10-05 华为技术有限公司 网络安全防护方法及装置
US10929538B2 (en) 2015-02-15 2021-02-23 Huawei Technologies Co., Ltd. Network security protection method and apparatus
CN105512557A (zh) * 2015-12-22 2016-04-20 北京奇虎科技有限公司 病毒处理方法、装置、***及移动终端
CN105528543A (zh) * 2015-12-23 2016-04-27 北京奇虎科技有限公司 远程杀毒的方法、客户端、控制台及***
CN106446685A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 恶意文档的检测方法及装置
CN107231360A (zh) * 2017-06-08 2017-10-03 上海斐讯数据通信技术有限公司 基于云网络的网络病毒防护方法、安全无线路由器和***
CN109711171A (zh) * 2018-05-04 2019-05-03 360企业安全技术(珠海)有限公司 软件漏洞的定位方法及装置、***、存储介质、电子装置
CN108898014A (zh) * 2018-06-22 2018-11-27 珠海市君天电子科技有限公司 一种病毒查杀方法、服务器及电子设备
CN108898014B (zh) * 2018-06-22 2022-09-27 珠海豹趣科技有限公司 一种病毒查杀方法、服务器及电子设备
CN112084504A (zh) * 2020-09-21 2020-12-15 腾讯科技(深圳)有限公司 病毒文件的处理方法、装置、电子设备及可读存储介质
CN112989349A (zh) * 2021-04-19 2021-06-18 腾讯科技(深圳)有限公司 病毒检测方法、装置、设备及存储介质
CN113378161A (zh) * 2021-06-23 2021-09-10 深信服科技股份有限公司 一种安全检测方法、装置、设备及存储介质
CN113722705A (zh) * 2021-11-02 2021-11-30 北京微步在线科技有限公司 一种恶意程序清除方法及装置
CN113722705B (zh) * 2021-11-02 2022-02-08 北京微步在线科技有限公司 一种恶意程序清除方法及装置

Also Published As

Publication number Publication date
EP3236381A4 (en) 2018-05-30
JP6644001B2 (ja) 2020-02-12
KR20160125960A (ko) 2016-11-01
WO2016095479A1 (zh) 2016-06-23
EP3236381A1 (en) 2017-10-25
US20170316206A1 (en) 2017-11-02
US10192053B2 (en) 2019-01-29
EP3236381B1 (en) 2022-05-11
JP2017511923A (ja) 2017-04-27

Similar Documents

Publication Publication Date Title
CN104573515A (zh) 一种病毒处理方法、装置和***
CN101924761B (zh) 一种依据白名单进行恶意程序检测的方法
Zheng et al. Droid analytics: a signature based analytic system to collect, extract, analyze and associate android malware
JP5963008B2 (ja) コンピュータシステムの分析方法および装置
Crussell et al. Andarwin: Scalable detection of semantically similar android applications
CN101924762B (zh) 一种基于云安全的主动防御方法
CN103473501B (zh) 一种基于云安全的恶意软件追踪方法
US20170286684A1 (en) Method for Identifying and Removing Malicious Software
CN103279707A (zh) 一种用于主动防御恶意程序的方法、设备及***
CN103475671A (zh) 恶意程序检测方法
CN103607381A (zh) 白名单生成及恶意程序检测方法、客户端和服务器
CN106203105B (zh) 文件管理方法和装置
CN105791250A (zh) 应用程序检测方法及装置
CN113569240B (zh) 恶意软件的检测方法、装置及设备
CN103501294B (zh) 判断程序是否恶意的方法
US11188644B2 (en) Application behaviour control
CA3036007A1 (en) Method for identifying and removing malicious software
CN112580038A (zh) 反病毒数据的处理方法、装置及设备
Bayer Large-scale dynamic malware analysis
Moreb Malware Forensics for Volatile and Nonvolatile Memory in Mobile Devices
Mulukutla Wolfsting: Extending Online Dynamic Malware Analysis Systems by Engaging Malware.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20150429