本發(fā)明涉及計算機安全
技術領域:
�����,特別是涉及一種感染型病毒修復方法及系統(tǒng)�。
背景技術:
:隨著互聯(lián)網(wǎng)技術的發(fā)展�,在線生活日益豐富和多元化,相應的���,計算機病毒也層出不窮����,互聯(lián)網(wǎng)用戶在網(wǎng)絡購物、在線虛擬物品買賣�、基于用戶賬號及密碼訪問的網(wǎng)絡聊天等網(wǎng)絡操作過程中,容易受到計算機病毒的侵擾���,產(chǎn)生各種安全問題���,甚至直接遭受財產(chǎn)損失���。在各種計算機病毒中�,感染型病毒通過修改正常文件實現(xiàn)惡意行為的感染和傳播��,危害性最大��。目前市場上的安全軟件大多提供感染型病毒的修復功能�����,但是����,感染型病毒不斷推陳出新,現(xiàn)有的互聯(lián)網(wǎng)信息安全解決方案需要客戶端定期、及時更新病毒庫以及進行產(chǎn)品模塊升級更新���,過于依賴客戶端�,而相當一部分互聯(lián)網(wǎng)用戶的安全軟件使用觀念不正確����,忽視安全軟件客戶端病毒庫及產(chǎn)品模塊的升級和更新,導致現(xiàn)有的基于客戶端的病毒識別和清除并不能無法完全實現(xiàn)實時防護的目的�。因此,亟需一種感染型病毒修復方案用以解決上述問題�����。技術實現(xiàn)要素:本發(fā)明的目的在于提供一種感染型病毒修復方法及系統(tǒng)����,用以解決現(xiàn)有的互聯(lián)網(wǎng)信息安全解決方案存在的響應速度差的問題,以及對客戶端的依賴性問題��。為此�����,本發(fā)明實施例采用如下技術方案:一種感染型病毒修復方法���,基于云服務技術實現(xiàn)�,所述方法包括:接收客戶端發(fā)送的文件特征值;根據(jù)所述文件特征值在病毒樣本數(shù)據(jù)庫中查詢所述文件的屬性�;若未查詢到所述文件的屬性,則向客戶端發(fā)送上傳文件請求��,其中����,所述文件屬性是表示文件是否感染了感染型病毒的文件屬性;接收客戶端根據(jù)所述上傳文件請求上傳的文件��,并對所述文件進行病毒鑒定��;根據(jù)病毒鑒定結果判斷所述文件是否被感染了感染型病毒�,若是���,則對所述文件進行修復��;將修復后的文件的存儲位置信息發(fā)送給所述客戶端��,以使客戶端根據(jù)所述存儲位置信息下載修復后的文件并替換感染了感染型病毒的文件��。本發(fā)明實施例還提供一種病毒修復系統(tǒng)��,所述病毒修復系統(tǒng)應用云服務技術����,該系統(tǒng)設置有病毒樣本數(shù)據(jù)庫,用于存儲文件特征值以及用于存儲表示文件是否感染了感染型病毒的文件屬性�,所述病毒修復系統(tǒng)包括:樣本查詢接入服務器,用于接收客戶端發(fā)送的文件特征值��;當所述樣本收集服務器未查詢到文件的屬性時�����,向客戶端發(fā)送上傳文件請求��;以及將所述病毒修復服務器修復后的文件的存儲位置信息發(fā)送給所述客戶端��,以使客戶端根據(jù)所述存儲位置信息下載修復后的文件并替換感染了感染型病毒的文件����;以及接收客戶端上傳的文件;樣本收集服務器��,用于根據(jù)所述特征值���,在所述病毒樣本數(shù)據(jù)庫中查詢所述文件的屬性�;病毒鑒定服務器,用于當所述樣本收集服務器未查詢到所述文件的屬性時�����,對所述文件進行病毒鑒定���;病毒修復服務器���,用于根據(jù)所述病毒鑒定服務器的病毒鑒定結果判斷所述文件是否被感染了感染型病毒,若是��,則對所述文件進行修復�����。與現(xiàn)有技術相比���,本發(fā)明的實施例具有如下優(yōu)點:本發(fā)明的實施例通過應用云服務技術實現(xiàn),在云端存儲文件特征值以及表示文件是否感染了感染型病毒的文件屬性�,只要新發(fā)現(xiàn)一例感染型病毒,與云服務相連的其他所有客戶端均能識別該病毒�����,提高了病毒識別的有效性和快捷性;服務器端接收到客戶端發(fā)送的文件特征值后��,查詢文件的屬性�,若未查詢到文件的屬性,則對文件進行病毒鑒定����,在云端實現(xiàn)病毒的鑒別;在判斷出文件被感染了感染型病毒時�,在云端實現(xiàn)感染型病毒的修復,提高了互聯(lián)網(wǎng)信息安全解決方案的響應速度���;將修復后的文件的存儲位置信息發(fā)送給所述客戶端�,以使客戶端下載修復后的文件并替換感染了感染型病毒的文件�����,省去客戶端升級�、更新產(chǎn)品模塊的操作,有效降低了客戶端的負載和對客戶端的依賴性�����。附圖說明圖1為本發(fā)明實施例提供的感染型病毒修復系統(tǒng)及應用的網(wǎng)絡架構示意圖�;圖2為本發(fā)明實施例提供的病毒修復系統(tǒng)架構示意圖�;圖3為本發(fā)明實施例提供的感染型病毒修復方法流程示意圖�。具體實施方式下面將結合本發(fā)明中的附圖,對本發(fā)明中的技術方案進行清楚�����、完整的描述���,顯然���,所描述的實施例是本發(fā)明的一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例�,本領域普通技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍�����。參見圖1����,為本發(fā)明實施例提供的病毒修復系統(tǒng)及應用的網(wǎng)絡架構示意圖���。如圖所示���,該網(wǎng)絡架構包括:病毒修復系統(tǒng)10和客戶端20��,病毒修復系統(tǒng)10基于云服務技術實現(xiàn)���,云服務技術是指將計算分布在大量的分布式計算機上,而非本地計算機或遠程服務器中��,企業(yè)數(shù)據(jù)中心的運行與互聯(lián)網(wǎng)相似��,使得企業(yè)能夠將資源切換到需要的應用上���,根據(jù)需求訪問計算機和存儲系統(tǒng)����。病毒修復系統(tǒng)10設置有病毒樣本數(shù)據(jù)庫�,用于存儲文件特征值以及用于存儲表示文件是否感染了感染型病毒的文件屬性?����?蛻舳?0用于在特定條件下收集文件樣本(文件特征值)上報給云端�����,以及在云端未查詢到文件屬性時,上報文件給病毒修復系統(tǒng)10���,用以進行病毒鑒定���,當該文件為感染型病毒文件時,接收病毒修復系統(tǒng)10發(fā)送的修復后文件存儲URL(UniformResourceLocator�,統(tǒng)一資源定位符),并替換本地的該感染型病毒文件��;病毒修復系統(tǒng)10用于根據(jù)客戶端20發(fā)送的文件特征值查詢文件屬性����,當判斷該文件為可疑樣本(在病毒樣本數(shù)據(jù)庫中未查詢到文件屬性的文件)時,對該文件進行病毒鑒定��,對鑒定出的感染型病毒文件進行修復���,記錄修復后的文件存儲URL���,發(fā)送給客戶端20,其中��,可疑樣本的來源包括:掛馬網(wǎng)站����、色情資源、陌生來源共享等�����?���;谠品盏母腥拘筒《拘迯头桨福軌蚝芎脻M足互聯(lián)網(wǎng)時代的反病毒形勢����。通過云端與客戶端的實時交互,云端能夠在新病毒或者新變種出現(xiàn)的最短時間內(nèi)發(fā)現(xiàn)并收集樣本文件���,實現(xiàn)可疑樣本的實時收集���。云端強大的計算能力能夠及時對新發(fā)現(xiàn)的可疑樣本進行病毒鑒定和判別,并且依賴云端海量的存儲能力��,保存病毒鑒定結果。通過云端與終端的實時交互�,云可以在最短時間內(nèi)將云端形成的反病毒能力同步到云覆蓋范圍內(nèi)的所有客戶端,因此�,只要新發(fā)現(xiàn)一例感染型病毒,與云服務相連的其他所有客戶端均能識別該病毒��,提高了感染型病毒識別的有效性和快捷性�����。如圖2所示���,病毒修復系統(tǒng)10設置有病毒樣本數(shù)據(jù)庫102�����,用于存儲文件特征值�、用于存儲表示文件是否感染了感染型病毒的文件屬性����、修復后的文件的存儲URL,及其之間的對應關系�����。該系統(tǒng)包括:樣本查詢接入服務器101、樣本收集服務器103�、病毒鑒定服務器104以及病毒修復服務器105。其中����,樣本查詢接入服務器101與樣本收集服務器103相連��,樣本收集服務器103與病毒鑒定服務器104相連�,病毒鑒定服務器104與病毒修復服務器105相連。樣本查詢接入服務器101����,用于接收客戶端20發(fā)送的文件及其特征值;以及將病毒修復服務器105修復后的文件的存儲URL發(fā)送給客戶端20����,以使客戶端20根據(jù)存儲位置信息下載修復后的文件并替換感染了感染型病毒的文件。樣本收集服務器103�,用于根據(jù)文件特征值,在病毒樣本數(shù)據(jù)庫102中查詢該文件的屬性��。病毒鑒定服務器104�,用于當樣本收集服務器103在病毒樣本數(shù)據(jù)庫102中未查詢到該文件的屬性時,對該文件進行病毒鑒定����。病毒修復服務器105�,用于根據(jù)病毒鑒定服務器104的病毒鑒定結果判斷該文件是否被感染了感染型病毒���,若是��,則對該文件進行修復����。其中�����,病毒鑒定服務器104和病毒修復服務器105可以由數(shù)臺服務器構成服務器集群�����,每臺服務器構成一個計算節(jié)點���,利用分布式計算技術�,每個計算節(jié)點根據(jù)一定的規(guī)則實現(xiàn)各自的功能���。病毒樣本數(shù)據(jù)庫102用于存儲云端收集過的文件樣本(客戶端20上報的文件特征值)���、病毒鑒定服務器104的病毒鑒定結果(表示文件是否感染了感染型病毒的文件屬性)�、病毒修復服務器105得到的修復后的文件及對應的存儲URL���,及其之間的對應關系����。以下以一種基于數(shù)據(jù)庫的表結構為例說明病毒樣本數(shù)據(jù)庫102存儲的上述信息�����,在具體實施時�����,實現(xiàn)方式可不僅限于此�。如表1所示�����,病毒樣本數(shù)據(jù)庫102記錄的信息包括:表1病毒樣本數(shù)據(jù)庫表結構1-文件Hash(哈希)���,文件Hash值在病毒樣本數(shù)據(jù)庫102中全局唯一��,可以使用業(yè)界所廣泛使用的MD5(MessageDigestAlgorithm����,消息摘要算法第五版)、SHA1(SecureHashAlgorithm�����,安全哈希)等算法獲得��。2-文件屬性��,用于病毒鑒定服務器104內(nèi)分布式結算節(jié)點對該文件的屬性判定��,例如�,文件屬性值可以如表2所示:表2文件屬性值3-是否可以修復標識,表示病毒鑒定服務器104內(nèi)分布式節(jié)點對判定為感染型病毒的文件是否可修復的判定結果����。4-修復后文件Hash,修復后文件的Hash值可能全局不一致�����,比如���,同一個正常文件被不同的病毒感染后�,文件Hash會發(fā)生改變,但修復后會得到原始文件�,這里同樣可以使用業(yè)界所廣泛使用的MD5、SHA1等算法獲得�。5-修復后生成文件的存儲鏈接,修復后的文件會在云端存儲�����,其URL用以標識其存儲位置����,用以下發(fā)給客戶端下載相應的修復后的文件�。以下結合圖3詳細說明本發(fā)明實施例的感染型病毒修復方法流程,如圖所示���,該方法包括以下步驟:步驟301���,接收客戶端發(fā)送的文件特征值。對應于圖2所示的病毒修復系統(tǒng)架構����,樣本查詢接入服務器101接收客戶端20發(fā)送的文件特征值�。具體的�����,當客戶端20生成新文件時����,計算并發(fā)送文件特征值,即��,在生成文件或者啟動特定文件的特定時刻�,計算該文件特征值,并向病毒修復系統(tǒng)10上報該文件特征值�����,以查詢該文件的屬性�����。所述特定時刻包括但不僅限于:文件下載完成時����、RAR/ZIP等常見格式壓縮包解壓后生成文件時、用戶啟動運行可執(zhí)行文件時等??蛻舳?0可以采用MD5或SHA1等算法計算文件特征值。步驟302��,根據(jù)特征值��,在病毒樣本數(shù)據(jù)庫中查詢文件的屬性��。對應于圖2所示的病毒修復系統(tǒng)架構��,樣本收集服務器103在病毒樣本數(shù)據(jù)庫102中查詢文件的屬性����。文件屬性對應病毒樣本數(shù)據(jù)庫102中存儲的曾經(jīng)從病毒鑒定服務器104獲得的樣本病毒鑒定結果,鑒定結果包括:普通病毒����、感染型病毒、正常文件����、無法判定結果等�����,其中�,無法判定結果說明病毒鑒定服務器104無法判定其是否為病毒�����,客戶端20暫時放行�����,反病毒流程自此完成退出�。文件屬性通過不同的數(shù)值表示文件是否感染了感染型病毒(例如前述表2所示)�����,樣本收集服務器103根據(jù)文件特征值在病毒樣本數(shù)據(jù)庫102中查找相應的文件及其對應的文件屬性值�����,若未找到匹配的文件特征值���,則說明病毒樣本數(shù)據(jù)庫102中未存儲該文件信息��,該文件被認為是可疑樣本���。優(yōu)選的,在上述進行文件特征值匹配過程之前,也可以由客戶端20進行判定�,例如,客戶端20可以維護某種形式的數(shù)據(jù)結構�����,以存儲該客戶端20上傳過的所有文件列表��,當該文件不在此列表中時�,將文件特征值上報給病毒修復系統(tǒng)10進一步查詢文件屬性。步驟303�����,若未查詢到文件的屬性�,則執(zhí)行步驟304;若查詢到文件屬性���,則執(zhí)行步驟311���。對應于圖2所示的病毒修復系統(tǒng)架構,樣本收集服務器103根據(jù)文件屬性查詢結果����,分別進行相應的處理,具體的�,若樣本收集服務器103在病毒樣本數(shù)據(jù)庫102中未查詢到文件的屬性,則執(zhí)行步驟304����,向客戶端20發(fā)送上傳文件請求;若樣本收集服務器103在病毒樣本數(shù)據(jù)庫102中能夠查詢到文件屬性���,則執(zhí)行步驟311�,判斷該文件是否為感染型病毒��。當樣本收集服務器103在病毒樣本數(shù)據(jù)庫102中未查詢到文件的屬性時���,樣本收集服務器103還可以進一步對文件的可疑程度進行判定���,即,通過判定文件中包含的敏感字符串����、可執(zhí)行代碼中使用的敏感API(ApplicationProgrammingInterface,應用程序編程接口)函數(shù)�����、PE(PortableExecute,可移植執(zhí)行體)文件不同尋常的節(jié)數(shù)據(jù)分布等確定可疑樣本�����,這些方法是已被業(yè)界廣泛使用的成熟的方法���,且其實施過程中的個體差異不會影響本發(fā)明的實施����,故不再贅述����。步驟304,向客戶端發(fā)送上傳文件請求�����。對應于圖2所示的病毒修復系統(tǒng)架構����,當樣本收集服務器103確定該文件為可疑樣本時,樣本查詢接入服務器101向客戶端發(fā)送上傳文件請求����。步驟305��,接收客戶端上傳的文件。對應于圖2所示的病毒修復系統(tǒng)架構�,樣本查詢接入服務器101接收客戶端20上傳的文件(即客戶端上報的文件特征值對應的文件),以便云端進行病毒鑒定��。步驟306�,對文件進行病毒鑒定,得到并存儲鑒定結果�����。對應于圖2所示的病毒修復系統(tǒng)架構��,當樣本查詢接入服務器101接收到客戶端20上傳的文件時���,對相應文件進行病毒鑒定�,得到病毒鑒定結果����,并將病毒鑒定結果存儲于病毒樣本數(shù)據(jù)庫102中。具體的���,病毒鑒定服務器104可以由數(shù)臺服務器構成服務器集群�,每臺服務器構成一個計算節(jié)點,利用分布式計算技術����,每個計算節(jié)點根據(jù)一定的規(guī)則進行病毒樣本鑒定。每個計算節(jié)點可以基于云服務的安全廠商所開發(fā)的病毒鑒定引擎����、基于第三方安全廠商提供的病毒鑒定引擎或者基于對外開放接口形式的普通用戶自定義病毒鑒定引擎進行病毒樣本鑒定。其中����,基于第三方安全廠商提供的病毒鑒定引擎的病毒鑒定,可以由云服務提供商和第三方安全廠商共同協(xié)商通信協(xié)議����,以實現(xiàn)第三方病毒鑒定引擎介入云服務。病毒鑒定服務器104可以依據(jù)分配策略為各分布式計算節(jié)點分配病毒鑒定任務���,分配策略可以包括:按照計算節(jié)點的負載情況進行分配(即選擇較為空閑或沒有病毒鑒定任務的節(jié)點)和/或按照計算節(jié)點的可信程度進行分配(即選擇病毒鑒定能力較高的節(jié)點���,病毒鑒定能力可以包括病毒檢出率以及誤報率等)。當需要進行可疑樣本病毒鑒定時�����,各執(zhí)行病毒鑒定任務的計算節(jié)點會以并行方式進行病毒鑒定,即�����,按照一定規(guī)則或者算法判定可疑樣本是病毒還是正常文件�,常見的判定方法包括:樣本特征碼比對����、主動防御技術、靜態(tài)啟發(fā)式檢測以及虛擬機技術等���,上述判定方法采用現(xiàn)有的技術實現(xiàn)��,在此不再贅述�����。當各個計算節(jié)點完成病毒鑒定任務后�����,病毒鑒定服務器104在預設的時間范圍內(nèi)���,對各計算節(jié)點的病毒鑒定結果進行匯總�,依據(jù)病毒鑒定結果匯總策略從所有反饋的病毒鑒定結果中確定最終的病毒鑒定結果(病毒鑒定結果包括:普通病毒����、感染型病毒、正常文件���、無法判定結果等)�,并存儲到病毒樣本數(shù)據(jù)庫102中���,且發(fā)送病毒鑒定結果給病毒修復服務器105�����。病毒鑒定結果匯總策略可以為以下列舉策略之一或者幾種的組合(不僅限于本實施例列舉的這些):1�、優(yōu)先采信最先反饋病毒鑒定結果的計算節(jié)點��;2��、按照計算節(jié)點的可信程度�,優(yōu)先采信可信程度高的計算節(jié)點;例如�����,可以規(guī)定第三方安全廠商接入的病毒鑒定結果相對于用戶自定義病毒鑒定結果更加可信。3���、優(yōu)先采信根據(jù)歷史數(shù)據(jù)表明的誤報率最低的計算節(jié)點����。步驟307���,判斷是否為感染型病毒,若是����,則執(zhí)行步驟308;否則執(zhí)行步驟310���。對應于圖2所示的病毒修復系統(tǒng)架構��,若樣本收集服務器103在病毒樣本數(shù)據(jù)庫102中查詢到的文件屬性值為1����,則說明文件為感染了感染型病毒的文件�����,執(zhí)行步驟308,對其進行修復�����;若樣本收集服務器103在病毒樣本數(shù)據(jù)庫102中查詢到的文件屬性值為0����,則說明文件為感染了普通病毒的文件,執(zhí)行步驟310��,通知客戶端20按照現(xiàn)有的方式處理�����。步驟308�����,對感染了感染型病毒的文件進行修復��。對應于圖2所示的病毒修復系統(tǒng)架構�����,病毒修復服務器105接收病毒鑒定服務器104發(fā)送的病毒鑒定結果,由病毒修復服務器105對感染了感染型病毒的文件(該文件即為客戶端20發(fā)送的文件)進行修復��,得到修復后的文件����。具體的,病毒修復服務器105可以由數(shù)臺服務器構成服務器集群����,每臺服務器構成一個計算節(jié)點,利用分布式計算技術��,每個計算節(jié)點根據(jù)一定的規(guī)則進行感染型病毒文件修復�。在每個計算節(jié)點上,可以根據(jù)其采用的病毒鑒定引擎或者病毒鑒定引擎選擇相應的修復方式���,例如,針對選用基于云服務的安全廠商所開發(fā)的病毒鑒定引擎獲得的病毒鑒定結果��,選用基于云服務的安全廠商所開發(fā)的感染型病毒修復引擎進行文件修復��;針對基于第三方安全廠商提供的病毒鑒定引擎獲得的病毒鑒定結果�����,選用第三方安全廠商提供的修復引擎進行文件修復;針對基于對外開放接口形式的普通用戶自定義病毒鑒定引擎獲得的病毒鑒定結果���,選用基于對外開放接口形式的普通用戶自定義修復引擎進行文件修復�����。病毒修復服務器105可以依據(jù)分配策略為各分布式計算節(jié)點分配修復任務�,分配策略可以包括:按照計算節(jié)點的負載情況分配和/或按照計算節(jié)點的修復能力分配���。當各個計算節(jié)點完成病毒文件修復任務后�,病毒修復服務器105需要依據(jù)修復結果匯總策略對各計算節(jié)點的修復結果進行匯總����,從所有反饋的修復結果中確定最終的修復結果(修復后的文件)。修復結果匯總策略可以為以下列舉策略之一或者幾種的組合(不僅限于本實施例列舉的這些):1��、優(yōu)先采信最先反饋修復結果的計算節(jié)點�;2、按照計算節(jié)點的可信程度���,優(yōu)先采信可信程度高的計算節(jié)點�����;例如����,可以規(guī)定第三方安全廠商接入的修復結果相對于用戶自定義修復結果更加可信。3���、優(yōu)先采信根據(jù)歷史數(shù)據(jù)表明的修復率高的計算節(jié)點�。優(yōu)選的���,病毒修復服務器105還可以將修復后的文件的存儲位置信息對應于該文件修復前的特征值存儲于病毒樣本數(shù)據(jù)庫102中��,以便其他客戶端或者本客戶端在下次遇到同樣的感染了感染型病毒的文件時��,可以直接根據(jù)該URL下載修復后的文件��。步驟309����,將修復后文件的存儲URL發(fā)送給客戶端�����。對應于圖2所示的病毒修復系統(tǒng)架構�,樣本查詢接入服務器101將病毒樣本數(shù)據(jù)庫102中存儲的修復后的文件的存儲URL發(fā)送給客戶端20,以使客戶端20根據(jù)該URL下載修復后的文件�����,并替換本地的感染了感染型病毒的文件���。云端通過下發(fā)修復后的文件的存儲URL����,客戶端用戶即能將正常文件下載并替換本地被感染文件��,達到清除風險的目的��。因此�����,只要新發(fā)現(xiàn)一例感染型病毒����,所有與云服務相連的其他客戶端均具備對該病毒的識別,根據(jù)URL下載修復后的文件�,提高了病毒識別的有效性和快捷性。步驟310�,通知客戶端��,以使其進行相應處理���。對應于圖2所示的病毒修復系統(tǒng)架構,若該文件為普通病毒�,則樣本查詢接入服務器101通知客戶端20,以使客戶端20刪除該普通病毒文件�;若該文件為正常文件,則通知客戶端20��,客戶端20不做處理����;若無法判定該文件是否為病毒,客戶端20暫時放行�����。具體的�����,客戶端20可以直接調(diào)用WindowsAPIDeleteFile函數(shù)���,進行文件(普通病毒)刪除�,或者調(diào)用WindowsAPIMoveFileEx函數(shù)���,在提示用戶重啟計算機后依賴Windows系統(tǒng)機制進行文件(普通病毒)刪除���。在上述感染型病毒修復流程的步驟308中,常見的感染型病毒實現(xiàn)方式及相應的修復方法�,通常包括以下幾種:1、將病毒代碼包含到正常程序代碼中��,比如�,將其放到PE文件自身的資源節(jié)里面,在病毒文件中的惡意代碼執(zhí)行完畢后再釋放出正常的程序執(zhí)行�。修復方法:找到正常程序的代碼/數(shù)據(jù)起始點,并拷貝出來生成目標文件(即修復后的文件)����,同時刪除惡意程序文件。2���、將惡意程序與正常程序一起壓縮為RAR/ZIP等常見的壓縮包格式文件���。修復方法:解壓后刪除惡意程序,并重新壓縮��,生成目標文件。3�����、在PE文件中加入一個節(jié)存放惡意代碼�����,并修改該PE文件的入口點(EntryPoint)�����,使其直接執(zhí)行惡意代碼�����。修復方法:刪除多余的節(jié)的數(shù)據(jù)��,并將入口點還原��。4��、在PE文件的節(jié)間間隙或者某個節(jié)中直接存放惡意代碼���。修復方法:通過反匯編找到惡意代碼并進行刪除��。5����、直接修改原始文件的執(zhí)行邏輯���,例如�,將第一條指令改為JMP***�,惡意代碼執(zhí)行完畢后再JMP回正常代碼的開始位置。修復方法:刪除多余的指令�����,修正為原始的執(zhí)行邏輯�。本發(fā)明的實施例通過應用云服務技術實現(xiàn),在云端存儲文件特征值以及表示文件是否感染了感染型病毒的文件屬性���,只要新發(fā)現(xiàn)一例感染型病毒����,與云服務相連的其他所有客戶端均能識別該病毒��,提高了病毒識別的有效性和快捷性;服務器端接收到客戶端發(fā)送的文件特征值后���,查詢文件的屬性��,若未查詢到文件的屬性��,則對文件進行病毒鑒定��,在云端實現(xiàn)病毒的鑒別���;在判斷出文件被感染了感染型病毒時,在云端實現(xiàn)感染型病毒的修復�����,提高了互聯(lián)網(wǎng)信息安全解決方案的響應速度�;將修復后的文件的存儲位置信息發(fā)送給所述客戶端,以使客戶端下載修復后的文件并替換感染了感染型病毒的文件����,省去客戶端升級、更新產(chǎn)品模塊的操作����,有效降低了客戶端的負載和對客戶端的依賴性���。本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中���。上述實施例的模塊可以合并為一個模塊����,也可以進一步拆分成多個子模塊����。通過以上的實施方式的描述�,本領域的技術人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當然也可以通過硬件�,但很多情況下前者是更佳的實施方式?����;谶@樣的理解�,本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中��,包括若干指令用以使得一臺終端設備(可以是手機��,個人計算機,服務器����,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法。以上所述僅是本發(fā)明的優(yōu)選實施方式���,應當指出���,對于本
技術領域:
的普通技術人員來說,在不脫離本發(fā)明原理的前提下���,還可以做出若干改進和潤飾�,這些改進和潤飾也應視本發(fā)明的保護范圍�����。當前第1頁1 2 3