CN106446681B - 病毒查杀方法和装置 - Google Patents
病毒查杀方法和装置 Download PDFInfo
- Publication number
- CN106446681B CN106446681B CN201510484452.6A CN201510484452A CN106446681B CN 106446681 B CN106446681 B CN 106446681B CN 201510484452 A CN201510484452 A CN 201510484452A CN 106446681 B CN106446681 B CN 106446681B
- Authority
- CN
- China
- Prior art keywords
- application program
- virus
- behavior sequence
- track
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种病毒查杀方法和装置。所述方法包括以下步骤:记录应用程序的行为序列轨迹;将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配;若匹配成功,则判定所述应用程序为病毒;清除判定为病毒的应用程序。上述病毒查杀方法,通过将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列树,将检测的应用程序的行为序列树与病毒行为序列树比较,通用性强。
Description
技术领域
本发明涉及计算机安全领域,特别是涉及一种病毒查杀方法和装置。
背景技术
随着网络技术的发展,计算机病毒的传播也在加剧,病毒对用户信息的安全和用户财产造成极大的危害,如何对病毒进行高效查杀成为大家关注的焦点。传统的病毒查杀方式主要有云查杀。云查杀需要在云端存储有对应的文件,并且该文件已经被判别出来是否为病毒,然后将用户计算机上的文件计算哈希值上传到云端,云端将上传的文件哈希值与云端存储的文件的哈希值进行比较,判断出该文件是否为病毒,如此需要将用户计算机上的文件的哈希值上传到云端,用户隐私易被窃取,安全性低,且只有云端存储了的文件才能判别其是否为病毒,通用性差。
发明内容
基于此,有必要针对传统的云端查杀病毒的方式安全性低且通用性差的问题,提供一种病毒查杀方法,能提高安全性且通用性强。
此外,还有必要提供一种病毒查杀装置,能提高安全性且通用性强。
一种病毒查杀方法,包括以下步骤:
记录应用程序的行为序列轨迹;
将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配;
若应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定所述应用程序为病毒;
清除判定为病毒的应用程序。
一种病毒查杀装置,包括:
记录模块,用于记录应用程序的行为序列轨迹;
匹配模块,用于将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配;
判定模块,用于若应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定所述应用程序为病毒;
清除模块,用于清除判定为病毒的应用程序。
上述病毒查杀方法和装置,通过将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列轨迹,将检测的文件的行为序列轨迹与病毒行为序列轨迹比较,通用性强。
附图说明
图1为一个实施例中终端的内部结构示意图;
图2为一个实施例中服务器的内部结构示意图;
图3为一个实施例中病毒查杀方法的流程图;
图4为另一个实施例中病毒查杀方法的流程图;
图5为实例的行为序列树的示意图;
图6为预先存储的病毒的行为序列树示意图;
图7为将图5中的实例的行为序列树与图6中的预先存储的病毒的行为序列树匹配后的示意图;
图8为一个实施例中病毒查杀装置的结构框图;
图9为另一个实施例中病毒查杀装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1为一个实施例中终端的内部结构示意图。如图1所示,该终端包括通过***总线连接的处理器、存储介质、内存和网络接口、声音采集装置、显示屏、扬声器和输入装置。其中,终端的存储介质存储有操作***,还包括一种病毒查杀装置,该病毒查杀装置用于实现一种病毒查杀方法。该处理器用于提供计算和控制能力,支撑整个终端的运行。终端中的内存为存储介质中的病毒查杀装置的运行提供环境,网络接口用于与服务器进行网络通信,如发送数据请求至服务器,接收服务器返回的数据等。终端的显示屏可以是液晶显示屏或者电子墨水显示屏等,输入装置可以是显示屏上覆盖的触摸层,也可以是终端外壳上设置的按键、轨迹球或触控板,也可以是外接的键盘、触控板或鼠标等。该终端可以是手机、平板电脑或者个人数字助理。本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的终端的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
图2为一个实施例中服务器的内部结构示意图。如图2所示,该服务器包括通过***总线连接的处理器、存储介质、内存和网络接口。其中,该服务器的存储介质存储有操作***、数据库和病毒查杀装置,数据库中存储有病毒的行为序列轨迹,该病毒查杀装置用于实现适用于服务器的一种病毒查杀方法。该服务器的处理器用于提供计算和控制能力,支撑整个服务器的运行。该服务器的内存为存储介质中的病毒查杀装置的运行提供环境。该服务器的网络接口用于据以与外部的终端通过网络连接通信,比如接收终端发送的数据请求以及向终端返回数据等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本领域技术人员可以理解,图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,具体的服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
图3为一个实施例中病毒查杀方法的流程图。如图3所示,该病毒查杀方法,运行于图1中的终端上,包括以下步骤:
步骤302,记录应用程序的行为序列轨迹。
具体地,应用程序的行为序列轨迹是指应用程序运行过程中按照时间顺序和/或逻辑顺序所产生的相关信息。例如,应用程序的行为序列轨迹可包括应用程序的进程启动、应用程序的进程的其他行为、应用程序的进程在***进程中创建一个线程、创建线程后再创建一个可执行文件、再写入注册表或其他行为等。进程是指终端或服务器***中正在运行的一个应用程序。线程是指进程中一个相对独立的、可调度的执行单元,是***独立调度和分派的基本单元。注册表是指windows***中一个重要的数据库,用于存储***和应用程序的设置信息。
记录应用程序的行为序列轨迹的步骤包括:记录应用程序的关键行为轨迹,该关键行为轨迹包括进程启动、创建线程、创建可执行文件、写入注册表中一种或多种。通过记录关键行为轨迹减小了记录数据,减小了后续与预先存储的病毒的行为序列轨迹比较的计算量,提高计算效率。
步骤304,将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配。
具体地,首先分析并存储病毒的行为序列轨迹。将应用程序的行为序列轨迹与预先存储病毒的行为序列轨迹进行比较,若应用程序的行为序列轨迹包含了预先存储的病毒的行为序列轨迹,则匹配成功,判定该应用程序为病毒,若应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列轨迹或不包含预先存储的病毒的行为序列轨迹,则匹配失败,判定该应用程序不为病毒。
该预先存储的病毒的行为序列轨迹可包括进程启动、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表。
在一个实施例中,预先存储的病毒的行为序列轨迹包括***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
获取的应用程序的行为序列轨迹包括接收对应用程序文件的触发操作、根据触发操作***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,得到应用程序的行为序列轨迹中包含了预先存储的病毒的行为序列轨迹,即包含了***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定该应用程序为病毒。
步骤306,若应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定该应用程序为病毒。
步骤308,清除判定为病毒的应用程序。
具体地,清除为病毒的应用程序可为删除该应用程序的进程,或者回滚该应用程序的行为。
删除应用程序的进程是指应用程序启动运行后开启了进程,删除该进程。回滚应用程序的行为是指按照记录的应用程序的行为序列轨迹,可以反向操作,例如应用程序的行为序列轨迹为在***进程中创建一个线程,则回滚应用程序的行为为关闭创建的线程。
上述病毒查杀方法,通过将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列轨迹,将检测的文件的行为序列轨迹与病毒行为序列轨迹比较,通用性强。
在一个实施例中,可将预先存储的病毒的行为序列轨迹形成病毒的行为序列树或者形成病毒的行为序列图表或形成病毒的行为序列时间轴等。
具体的,病毒的行为序列树是指病毒的行为按照逻辑关系或时间关系形成序列树形结构。病毒的行为序列图表是指将病毒的行为序列按照时间或逻辑关系绘制成图表。病毒的行为序列时间轴是指按照时间轴形式展示病毒的行为序列。
图4为另一个实施例中病毒查杀方法的流程图。图4中的预先存储的病毒的行为序列轨迹形成病毒的行为序列树。如图4所示,一种病毒查杀方法,包括:
步骤402,记录应用程序的行为序列轨迹。
具体地,应用程序的行为序列轨迹是指应用程序运行过程中按照时间顺序和/或逻辑顺序所产生的相关信息。例如,应用程序的行为序列轨迹可包括应用程序的进程启动、应用程序的进程的其他行为、应用程序的进程在***进程中创建一个线程、创建线程后再创建一个可执行文件、再写入注册表或其他行为等。进程是指终端或服务器***中正在运行的一个应用程序。线程是指进程中一个相对独立的、可调度的执行单元,是***独立调度和分派的基本单元。注册表是指windows***中一个重要的数据库,用于存储***和应用程序的设置信息。
记录应用程序的行为序列轨迹的步骤包括:记录应用程序的关键行为轨迹,该关键行为轨迹包括进程启动、创建线程、创建可执行文件、写入注册表中一种或多种。通过记录关键行为轨迹减小了记录数据,减小了后续与预先存储的病毒的行为序列轨迹比较的计算量,提高计算效率。
步骤404,根据应用程序的行为序列轨迹建立该应用程序的行为序列树。
具体地,将应用程序的行为序列轨迹按照时间先后顺序或逻辑顺序建立应用程序的行为序列树。
步骤406,将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配。
具体地,首先分析并存储病毒的行为序列轨迹,并根据病毒的行为序列轨迹形成病毒的行为序列树。将应用程序的行为序列树与预先存储病毒的行为序列树进行比较,若应用程序的行为序列树包含了预先存储的病毒的行为序列树,则匹配成功,判定该应用程序为病毒,若应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列树或不包含预先存储的病毒的行为序列树,则匹配失败,判定该应用程序不为病毒。
该预先存储的病毒的行为序列树可包括进程启动、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表。
在一个实施例中,预先形成的病毒的行为序列树包括***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
建立的应用程序的行为序列树包括接收对应用程序文件的触发操作、根据触发操作***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
将应用程序的行为序列树与预先形成的病毒的行为序列树进行匹配,得到应用程序的行为序列树中包含了预先形成的病毒的行为序列树,即包含了***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定该应用程序为病毒。
步骤408,若应用程序的行为序列树与预先存储的病毒的行为序列树匹配成功,则判定该应用程序为病毒。
步骤410,清除判定为病毒的应用程序。
具体地,清除为病毒的应用程序可为删除该应用程序的进程,或者回滚该应用程序的行为。
删除应用程序的进程是指应用程序启动运行后开启了进程,删除该进程。回滚应用程序的行为是指按照记录的应用程序的行为序列轨迹,可以反向操作,例如应用程序的行为序列轨迹为在***进程中创建一个线程,则回滚应用程序的行为为关闭创建的线程。
上述病毒查杀方法,通过将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列树,将检测的应用程序的行为序列树与病毒行为序列树比较,通用性强,且将应用程序的行为序列树与病毒的行为序列树进行匹配,结构清晰,便于比较。
需要说明的是,病毒的行为序列轨迹形成病毒的行为序列图表或形成病毒的行为序列时间轴也可采用上述方式进行匹配,在此不再赘述。
在一个实施例中,上述病毒查杀方法还包括:定期更新病毒的行为序列轨迹或定期更新病毒的行为序列树。
具体地,可定期更新服务器上的病毒的行为序列轨迹或行为序列树等,终端可从服务器下载更新本地的病毒的行为序列轨迹或行为序列树。定期更新病毒的行为序列轨迹,可查杀新的病毒,提高查杀的准确率。
下面结合具体的实例进行说明病毒查杀方法的工作原理。以样本virus.exe为例,样本virus.exe的行为序列轨迹包括:
(1)接收用户双击virus.exe文件;
(2)***创建进程A;
(3)进程A在***进程explorer中创建线程b;
具体地,***进程explorer为windows文件管理进程,作用为文件查看等。
(4)***进程explorer的线程b在c:windows下创建可执行文件c.exe;
(5)***进程explorer的线程b写入注册表,即在***HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run注册表下创建注册表键rb值为c:\windows\c.exe。
图5为实例的行为序列树的示意图。如图5所示,根据实例的行为序列轨迹形成实例的行为序列树。用户双击virus.exe文件后,进程A启动,然后在进程explorer中创建线程b,再创建文件c.exe、写run项和其他行为。run项是指写注册表的run项(启动项)。
图6为预先存储的病毒的行为序列树示意图。如图6所示,病毒的行为序列树包括进程x启动、进程x在explorer中创建线程x、创建文件x.exe、写run项,其中,x表示任意匹配。
图7为将图5中的实例的行为序列树与图6中的预先存储的病毒的行为序列树匹配后的示意图。如图7所示,实例的行为序列树中包含了进程A启动、进程A在explorer中创建线程b、创建文件c.exe、写run项,与预先存储的病毒的行为序列树一致,即匹配成功,该实例为病毒。
图8为一个实施例中病毒查杀装置的结构框图。如图8所示,一种病毒查杀装置,包括记录模块810、匹配模块820、判定模块830和清除模块840。其中:
记录模块810用于记录应用程序的行为序列轨迹。
具体地,应用程序的行为序列轨迹是指应用程序运行过程中按照时间顺序和/或逻辑顺序所产生的相关信息。例如,应用程序的行为序列轨迹可包括应用程序的进程启动、应用程序的进程的其他行为、应用程序的进程在***进程中创建一个线程、创建线程后再创建一个可执行文件、再写入注册表或其他行为等。进程是指终端或服务器***中正在运行的一个应用程序。线程是指进程中一个相对独立的、可调度的执行单元,是***独立调度和分派的基本单元。注册表是指windows***中一个重要的数据库,用于存储***和应用程序的设置信息。
本实施例中,记录模块810还用于记录应用程序的关键行为轨迹,该关键行为轨迹包括进程启动、创建线程、创建可执行文件、写入注册表中一种或多种。通过记录关键行为轨迹减小了记录数据,减小了后续与预先存储的病毒的行为序列轨迹比较的计算量,提高计算效率。
匹配模块820用于将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配。
具体地,首先分析并存储病毒的行为序列轨迹。将应用程序的行为序列轨迹与预先存储病毒的行为序列轨迹进行比较,若应用程序的行为序列轨迹包含了预先存储的病毒的行为序列轨迹,则匹配成功,判定该应用程序为病毒,若应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列轨迹或不包含预先存储的病毒的行为序列轨迹,则匹配失败,判定该应用程序不为病毒。
该预先存储的病毒的行为序列轨迹可包括进程启动、进程在***进程中创建线程、创建可执行文件、***进程中创建的线程写入注册表。
判定模块830用于若匹配成功,则判定该应用程序为病毒。
具体地,应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定该应用程序为病毒。
在一个实施例中,预先存储的病毒的行为序列轨迹包括***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
记录模块810获取的应用程序的行为序列轨迹包括接收对应用程序文件的触发操作、根据触发操作***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
匹配模块820将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,得到应用程序的行为序列轨迹中包含了预先存储的病毒的行为序列轨迹,即包含了***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定模块830判定该应用程序为病毒。
清除模块840用于清除判定为病毒的应用程序。
具体地,清除为病毒的应用程序可为删除该应用程序的进程,或者回滚该应用程序的行为。
删除应用程序的进程是指应用程序启动运行后开启了进程,删除该进程。回滚应用程序的行为是指按照记录的应用程序的行为序列轨迹,可以反向操作,例如应用程序的行为序列轨迹为在***进程中创建一个线程,则回滚应用程序的行为为关闭创建的线程。
上述病毒查杀装置,通过将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列轨迹,将检测的文件的行为序列轨迹与病毒行为序列轨迹比较,通用性强。
图9为另一个实施例中病毒查杀装置的结构框图。如图9所示,一种病毒查杀装置,除了包括记录模块810、匹配模块820、判定模块830和清除模块840,还包括建立模块850、形成模块860和更新模块870。其中:
建立模块850用于在该记录应用程序的行为序列轨迹之后,根据应用程序的行为序列轨迹建立该应用程序的行为序列树。
形成模块860用于将预先存储的病毒的行为序列轨迹形成病毒的行为序列树。病毒的行为序列树是指病毒的行为按照逻辑关系或时间关系形成序列树形结构。
匹配模块820还用于将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配。
具体地,首先分析并存储病毒的行为序列轨迹,并根据病毒的行为序列轨迹形成病毒的行为序列树。将应用程序的行为序列树与预先存储病毒的行为序列树进行比较,若应用程序的行为序列树包含了预先存储的病毒的行为序列树,则匹配成功,判定该应用程序为病毒,若应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列树或不包含预先存储的病毒的行为序列树,则匹配失败,判定该应用程序不为病毒。
该预先存储的病毒的行为序列树可包括进程启动、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表。
在一个实施例中,预先形成的病毒的行为序列树包括***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
建立模块850建立的应用程序的行为序列树包括接收对应用程序文件的触发操作、根据触发操作***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表;
匹配模块820将应用程序的行为序列树与预先形成的病毒的行为序列树进行匹配,得到应用程序的行为序列树中包含了预先形成的病毒的行为序列树,即包含了***创建进程、进程在***进程中创建线程、***进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定模块830判定该应用程序为病毒。
判定模块830还用于若应用程序的行为序列树与预先存储的病毒的行为序列树匹配成功,则判定该应用程序为病毒。
更新模块870用于定期更新病毒的行为序列轨迹。
具体地,可定期更新服务器上的病毒的行为序列轨迹或行为序列树等,终端可从服务器下载更新本地的病毒的行为序列轨迹或行为序列树。定期更新病毒的行为序列轨迹,可查杀新的病毒,提高查杀的准确率。
在其他实施例中,可将预先存储的病毒的行为序列轨迹形成病毒的行为序列图表或形成病毒的行为序列时间轴等。
具体的,病毒的行为序列图表是指将病毒的行为序列按照时间或逻辑关系绘制成图表。病毒的行为序列时间轴是指按照时间轴形式展示病毒的行为序列。
上述病毒查杀装置,通过将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列树,将检测的应用程序的行为序列树与病毒行为序列树比较,通用性强,且将应用程序的行为序列树与病毒的行为序列树进行匹配,结构清晰,便于比较。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (15)
1.一种病毒查杀方法,包括以下步骤:
记录应用程序的行为序列轨迹,所述应用程序的行为轨迹是应用程序在运行过程中按照时间顺序、逻辑顺序中的至少一种顺序所产生的相关信息;
将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配;
若所述应用程序的行为序列轨迹包含了所述预先存储的病毒的行为序列轨迹,则所述应用程序的行为序列轨迹与所述预先存储的病毒的行为序列轨迹匹配成功,判定所述应用程序为病毒;
若所述应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列轨迹或不包含所述预先存储的病毒的行为序列轨迹,则匹配失败,判定所述应用程序不为病毒;
清除判定为病毒的应用程序。
2.根据权利要求1所述的方法,其特征在于,在所述记录应用程序的行为序列轨迹的步骤之后,所述方法还包括:
根据应用程序的行为序列轨迹建立所述应用程序的行为序列树;
将预先存储的病毒的行为序列轨迹形成病毒的行为序列树;
将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配,若应用程序的行为序列树与预先存储的病毒的行为序列树匹配成功,则判定所述应用程序为病毒。
3.根据权利要求1所述的方法,其特征在于,所述记录应用程序的行为序列轨迹的步骤包括:
记录应用程序的关键行为轨迹,所述关键行为轨迹包括进程启动、创建线程、创建可执行文件、写入注册表中一种或多种。
4.根据权利要求1所述的方法,其特征在于,所述清除判定为病毒的应用程序的步骤包括:
删除所述应用程序的进程,或者回滚所述应用程序的行为。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述预先存储的病毒的行为序列轨迹包括进程启动、进程在***进程中创建线程、***进程中创建的线程创建可执行文件、***进程中创建线程写入注册表。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
定期更新病毒的行为序列轨迹。
7.一种病毒查杀装置,其特征在于,包括:
记录模块,用于记录应用程序的行为序列轨迹,所述应用程序的行为轨迹是应用程序在运行过程中按照时间顺序、逻辑顺序中的至少一种顺序所产生的相关信息;
匹配模块,用于将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配;
判定模块,用于若所述应用程序的行为序列轨迹包含了所述预先存储的病毒的行为序列轨迹,则所述应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,判定所述应用程序为病毒;
若所述应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列轨迹或不包含所述预先存储的病毒的行为序列轨迹,则匹配失败,判定所述应用程序不为病毒;
清除模块,用于清除判定为病毒的应用程序。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
建立模块,用于在所述记录应用程序的行为序列轨迹之后,根据应用程序的行为序列轨迹建立所述应用程序的行为序列树;
形成模块,用于将预先存储的病毒的行为序列轨迹形成病毒的行为序列树;
所述匹配模块还用于将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配;
所述判定模块还用于若应用程序的行为序列树与预先存储的病毒的行为序列树匹配成功,则判定所述应用程序为病毒。
9.根据权利要求7所述的装置,其特征在于,所述记录模块还用于记录应用程序的关键行为轨迹,所述关键行为轨迹包括进程启动、创建线程、创建可执行文件、写入注册表中一种或多种。
10.根据权利要求7所述的装置,其特征在于,所述清除模块还用于删除所述应用程序的进程,或者回滚所述应用程序的行为。
11.根据权利要求7至10中任一项所述的装置,其特征在于,所述预先存储的病毒的行为序列轨迹包括进程启动、进程在***进程中创建线程、***进程中创建的线程创建可执行文件、***进程中创建的线程写入注册表。
12.根据权利要求7至10中任一项所述的装置,其特征在于,所述装置还包括:
更新模块,用于定期更新病毒的行为序列轨迹。
13.一种存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。
14.一种终端,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。
15.一种服务器,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510484452.6A CN106446681B (zh) | 2015-08-07 | 2015-08-07 | 病毒查杀方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510484452.6A CN106446681B (zh) | 2015-08-07 | 2015-08-07 | 病毒查杀方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106446681A CN106446681A (zh) | 2017-02-22 |
| CN106446681B true CN106446681B (zh) | 2019-09-17 |
Family
ID=58092138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510484452.6A Active CN106446681B (zh) | 2015-08-07 | 2015-08-07 | 病毒查杀方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106446681B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108021802A (zh) * | 2017-10-24 | 2018-05-11 | 努比亚技术有限公司 | 一种***资源访问控制方法、终端及计算机可读存储介质 |
| CN108182360B (zh) * | 2018-01-31 | 2023-09-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
| CN109784053B (zh) * | 2018-12-29 | 2021-04-27 | 360企业安全技术(珠海)有限公司 | 过滤规则的生成方法、装置、及存储介质、电子装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| US7991880B2 (en) * | 2008-03-31 | 2011-08-02 | Nokia Corporation | Bionets architecture for building services capable of self-evolution |
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN103825780A (zh) * | 2014-02-26 | 2014-05-28 | 珠海市君天电子科技有限公司 | 外挂程序的鉴定方法、服务器和*** |
-
2015
- 2015-08-07 CN CN201510484452.6A patent/CN106446681B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7991880B2 (en) * | 2008-03-31 | 2011-08-02 | Nokia Corporation | Bionets architecture for building services capable of self-evolution |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN103825780A (zh) * | 2014-02-26 | 2014-05-28 | 珠海市君天电子科技有限公司 | 外挂程序的鉴定方法、服务器和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106446681A (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11960441B2 (en) | Retention management for data streams | |
| CN111801661B (zh) | 多主机分布式数据管理***中的事务操作 | |
| US10079842B1 (en) | Transparent volume based intrusion detection | |
| Mahalik et al. | Practical mobile forensics | |
| US20200175165A1 (en) | Endpoint detection and response attack process tree auto-play | |
| CN103092687B (zh) | 一种应用程序管理装置和方法 | |
| CN106708825B (zh) | 一种数据文件处理方法及*** | |
| Tamma et al. | Practical Mobile Forensics: Forensically investigate and analyze iOS, Android, and Windows 10 devices | |
| JP2006031109A (ja) | 管理システム及び管理方法 | |
| US11386067B2 (en) | Data integrity checking in a distributed filesystem using object versioning | |
| CN106446681B (zh) | 病毒查杀方法和装置 | |
| CN110502487A (zh) | 一种缓存管理方法与装置 | |
| US9940066B2 (en) | Snapshot management in hierarchical storage infrastructure | |
| CN111382126B (zh) | 删除文件及阻碍文件恢复的***和方法 | |
| US20200192744A1 (en) | Fast recovery from failures in a chronologically ordered log-structured key-value storage system | |
| CN105867962A (zh) | ***升级的方法和装置 | |
| CN106528071A (zh) | 目标代码的选取方法及装置 | |
| CN109359092A (zh) | 文件管理方法、桌面显示方法、装置、终端及介质 | |
| CN106021027A (zh) | 终端数据处理方法和*** | |
| CN104700030B (zh) | 一种病毒数据查找方法、装置及服务器 | |
| US9003533B1 (en) | Systems and methods for detecting malware | |
| CN108845956A (zh) | 应用程序测试的方法和装置 | |
| CN108958652A (zh) | 一种记录日志信息的方法、装置和计算机可读存储介质 | |
| CN108279905A (zh) | 一种组件中引入库文件的方法及装置 | |
| US10831794B2 (en) | Dynamic alternate keys for use in file systems utilizing a keyed index |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230705 Address after: 518057 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 floors Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2, 518000, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |