病毒的識別方法及設備的制作方法【專利摘要】本發(fā)明實施例提供一種病毒的識別方法及設備。本發(fā)明實施例通過對指定目錄下的文件進行掃描���,以獲得可執(zhí)行文件的文件名�,進而確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�����,使得能夠根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性�����,識別所述可執(zhí)行文件為文件夾病毒�,無需依賴文件夾病毒的病毒特征信息,操作簡單��,且不容易出錯�����,從而提高了病毒識別的效率和可靠性���?���!緦@f明】病毒的識別方法及設備【【
技術領域:
】】[0001]本發(fā)明涉及計算機技術���,尤其涉及一種病毒的識別方法及設備���。【【
背景技術:
】】[0002]文件夾病毒����,是一種利用文件夾圖標迷惑用戶,雙擊打開進行復制的病毒�。文件夾病毒會遍歷移動存儲設備的根目錄下的文件夾,復制自身到移動存儲設備的根目錄下���,更名為檢測到的文件夾的文件名����,修改該文件夾的屬性為不可見��,使用戶在使用移動存儲設備打開其文件夾時運行病毒,以達到復制的目的?���,F(xiàn)有技術中,利用病毒數(shù)據(jù)庫�����,對掃描的文件進行特征匹配�,若所述匹配成功,識別所述文件為文件夾病毒���。原始的病毒數(shù)據(jù)庫需要由操作人員逐一獲取每個文件夾病毒����,對每個文件夾病毒文件進行人工識別和特征提取��,以建立病毒數(shù)據(jù)庫��。[0003]然而����,現(xiàn)有建立病毒數(shù)據(jù)庫的操作復雜,且容易出錯�����,從而導致了病毒識別的效率和可靠性的降低���?��!尽?br/>發(fā)明內容】】[0004]本發(fā)明的多個方面提供一種病毒的識別方法及設備,用以提高病毒識別的效率和可靠性���。[0005]本發(fā)明的一方面�����,提供一種病毒的識別方法����,包括:[0006]對指定目錄下的文件進行掃描�����,以獲得可執(zhí)行文件的文件名���;[0007]確定與所述可執(zhí)行·文件的文件名相同或相近似的文件名�;[0008]根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒����。[0009]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式���,所述對指定目錄下的文件進行掃描�,以獲得可執(zhí)行文件的文件名�����,包括:[0010]對根目錄下的文件進行掃描��,以獲得可執(zhí)行文件的文件名�。[0011]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式���,所述根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性���,識別所述可執(zhí)行文件為文件夾病毒,包括:[0012]若所述文件夾的屬性為不可見��,識別所述可執(zhí)行文件為文件夾病毒��。[0013]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式�����,所述根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性����,識別所述可執(zhí)行文件為文件夾病毒����,包括:[0014]若所述文件夾的屬性為不可見,將累加器的值加I;[0015]若所述累加器的值大于或等于預先設置的識別閾值�,識別所述可執(zhí)行文件為文件夾病毒。[0016]如上所述的方面和任一可能的實現(xiàn)方式�,進一步提供一種實現(xiàn)方式,所述根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性�,識別所述可執(zhí)行文件為文件夾病毒之后,還包括:[0017]根據(jù)所述識別的所述文件夾病毒,獲得所述文件夾病毒的病毒特征信息�;[0018]將所述病毒特征信息加入到病毒數(shù)據(jù)庫中,以供利用所述病毒數(shù)據(jù)庫����,對掃描的文件進行特征匹配,若所述匹配成功��,識別所述文件為文件夾病毒。[0019]本發(fā)明的一方面�����,提供一種病毒的識別設備��,包括:[0020]掃描單元�����,用于對指定目錄下的文件進行掃描���,以獲得可執(zhí)行文件的文件名���;[0021]確定單元,用于確定與所述可執(zhí)行文件的文件名相同或相近似的文件名����;[0022]識別單元,用于根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性����,識別所述可執(zhí)行文件為文件夾病毒。[0023]如上所述的方面和任一可能的實現(xiàn)方式,進一步提供一種實現(xiàn)方式����,所述掃描單元,具體用于[0024]對根目錄下的文件進行掃描����,以獲得可執(zhí)行文件的文件名。[0025]如上所述的方面和任一可能的實現(xiàn)方式�,進一步提供一種實現(xiàn)方式�,所述識別單元,具體用于[0026]若所述文件夾的屬性為不可見����,識別所述可執(zhí)行文件為文件夾病毒。[0027]如上所述的方面和任一可能的實現(xiàn)方式�,進一步提供一種實現(xiàn)方式,所述識別單元�����,具體用于[0028]若所述文件夾的屬性為不可見����,將累加器的值加I;以及[0029]若所述累加器的值大于或等于預先設置的識別閾值,識別所述可執(zhí)行文件為文件夾病毒。[0030]如上所述的方面和任一可能的實現(xiàn)方式���,進一步提供一種實現(xiàn)方式����,所述設備還包括更新單元�,用于[0031]根據(jù)所述識別的所述文件夾病毒,獲得所述文件夾病毒的病毒特征信息���;以及[0032]將所述病毒特征信息加入到病毒數(shù)據(jù)庫中���,以供利用所述病毒數(shù)據(jù)庫,對掃描的文件進行特征匹配���,若所述匹配成功���,識別所述文件為文件夾病毒。[0033]由上述技術方案可知�����,本發(fā)明實施例通過對指定目錄下的文件進行掃描�����,以獲得可執(zhí)行文件的文件名,進而確定與所述可執(zhí)行文件的文件名相同或相近似的文件名��,使得能夠根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性����,識別所述可執(zhí)行文件為文件夾病毒,無需依賴文件夾病毒的病毒特征信息�����,操作簡單��,且不容易出錯�,從而提高了病毒識別的效率和可靠性����。[0034]另外,采用本發(fā)明提供的技術方案���,能夠對被感染的文件夾病毒進行主動識別����,能夠有效提聞病毒識別的效率和可罪性,能夠有效提聞系統(tǒng)的安全性能��。[0035]另外�����,采用本發(fā)明提供的技術方案��,能夠自動建立病毒數(shù)據(jù)庫��,無需操作人員逐一獲取每個文件夾病毒����,對每個文件夾病毒文件進行人工識別和特征提取,實時性好�,且正確率聞,能夠有效提聞病毒識別的效率和可罪性�,從而進一步提聞了系統(tǒng)的安全性能?���!尽緦@綀D】【附圖說明】】[0036]為了更清楚地說明本發(fā)明實施例中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作一簡單地介紹�,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例�,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖���。[0037]圖1為本發(fā)明一實施例提供的病毒的識別方法的流程示意圖��;[0038]圖2為本發(fā)明另一實施例提供的病毒的識別設備的結構示意圖���;[0039]圖3為本發(fā)明另一實施例提供的病毒的識別設備的結構示意圖?!尽揪唧w實施方式】】[0040]為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚�,下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚�����、完整地描述�����,顯然����,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例���?�;诒景l(fā)明中的實施例�����,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍��。[0041]另外����,本文中術語“和/或”,僅僅是一種描述關聯(lián)對象的關聯(lián)關系����,表示可以存在三種關系,例如��,A和/或B��,可以表示:單獨存在A��,同時存在A和B,單獨存在B這三種情況�����。另外�����,本文中字符“/”��,一般表示前后關聯(lián)對象是一種“或”的關系���。[0042]圖1為本發(fā)明一實施例提供的病毒的識別方法的流程示意圖�����,如圖1所示��。[0043]101�、對指定目錄下的文件進行掃描���,以獲得可執(zhí)行文件的文件名。[0044]可執(zhí)行文件(executablefile)���,是可移植可執(zhí)行(PE)文件格式的文件����,它可以加載到內存中,并由操作系統(tǒng)加載程序執(zhí)行��??蓤?zhí)行文件的擴展名可以包括但不限于.exe,.sys和.scr,等����。[0045]102、確定與所述可執(zhí)行文件的文件名相同或相近似的文件名����。[0046]103、根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性�����,識別所述可執(zhí)行文件為文件夾病毒�����。[0047]其中�,病毒����,又稱為計算機病毒��,可以包括但不限于木馬�、后門、局域網蠕蟲�、郵件螺蟲、間謀軟件��、感染型病毒或Rootkits/Bootkits���。[0048]需要說明的是�����,101~103的執(zhí)行主體可以是殺毒引擎��,可以位于本地的客戶端中���,以進行離線操作來清除病毒,或者還可以位于網絡側的服務器中�����,以進行在線操作來清除病毒����,本實施例對此不進行限定。[0049]可以理解的是����,所述客戶端可以是安裝在終端上的應用程序,或者還可以是瀏覽器的一個網頁��,只要能夠實現(xiàn)病毒的清除���,以提供安全的系統(tǒng)環(huán)境的客觀存在形式都可以�����,本實施例對此不進行限定���。[0050]這樣,通過對指定目錄下的文件進行掃描�,以獲得可執(zhí)行文件的文件名,進而確定與所述可執(zhí)行文件的文件名相同或相近似的文件名����,使得能夠根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性����,識別所述可執(zhí)行文件為文件夾病毒����,無需依賴文件夾病毒的病毒特征信息,操作簡單��,且不容易出錯��,從而提高了病毒識別的效率和可靠性�。[0051]一般來說,文件的完整命名包括文件名和擴展名����。可執(zhí)行文件的擴展名可以包括但不限于.exe����、.sys和.scr,等����。文件夾則沒有擴展名�。在101中�����,所獲得的可執(zhí)行文件的文件名就是將擴展名截斷之后�,獲得的���。[0052]一般來說����,文件夾病毒會遍歷移動存儲設備的根目錄下的文件夾�����,復制自身到移動存儲設備的根目錄下��,更名為檢測到的文件夾的文件名���,修改該文件夾的屬性為不可見��,使用戶在使用移動存儲設備打開其文件夾時運行病毒�����,以達到復制的目的��。但是��,有些文件夾病毒��,復制自身到移動存儲設備的根目錄下之后���,不是直接更名為檢測到的文件夾的文件名�����,而是在檢測到的文件夾的文件名中增加一些不可見或較難發(fā)現(xiàn)的符號���。因此,需要確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�����,才能準確識別出文件夾病毒可能復制的文件夾的文件名��。[0053]可選地��,在本實施例的一個可能的實現(xiàn)方式中���,在102中���,具體可以通過計算文件名的相近似度����,以確定與所述可執(zhí)行文件的文件名相同或相近似的文件名���。例如,相似度大于或等于預先設置的閾值��,則可以確定兩個文件名相同或相近似�。具體地,可以利用現(xiàn)有技術中的文本相近似度算法�,計算文件名的相近似度,詳細描述可以參見現(xiàn)有技術中的相關描述�����,此處不再贅述��。[0054]可選地�����,在本實施例的一個可能的實現(xiàn)方式中,在101中���,具體可以對根目錄下的文件進行掃描����,以獲得可執(zhí)行文件的文件名�����。具體地����,可以對移動存儲設備的根目錄下的文件進行掃描,獲得可執(zhí)行文件的完整命名��,進而刪除可執(zhí)行文件的擴展名�,以獲得可執(zhí)行文件的文件名。[0055]可選地��,在本實施例的一個可能的實現(xiàn)方式中���,在103中��,若所述文件夾的屬性為不可見�,識別所述可執(zhí)行文件為文件夾病毒。具體地���,可以判斷是否存在文件名與可執(zhí)行文件相同或相近似的文件夾�,如果不存在文件名與可執(zhí)行文件相同或相近似的文件夾��,則可以結束操作�,說明該可執(zhí)行文件不是文件夾病毒。如果存在文件名與可執(zhí)行文件相同或相近似的文件夾��,則可以繼續(xù)判斷所述文件夾的屬性�。例如,可以對文件夾執(zhí)行取屬性操作��,判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位����,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位��,則可以結束操作����,說明該可執(zhí)行文件不是文件夾病毒。如果返回值包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位��,說明為文件夾,則進一步判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位��,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位��,則可以結束操作�����,說明該可執(zhí)行文件不是文件夾病毒���。如果返回值包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位��,說明所述文件夾的屬性為不可見���,則可以識別所述可執(zhí)行文件為文件夾病毒。進一步地����,還可以執(zhí)行病毒告警操作、病毒清除操作���,等���。病毒清除操作��,可以為修改所述文件夾的屬性為可見���,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件。[0056]這樣�,采用本發(fā)明提供的技術方案,能夠對被感染的文件夾病毒進行主動識別����,能夠有效提聞病毒識別的效率,能夠有效提聞系統(tǒng)的安全性能�����。[0057]由于文件夾病毒的復制行為是針對目錄下所有文件夾的行為�,因此,對于移動存儲設備等存儲設備來說�,根目錄下至少有兩個文件夾��,如果存儲設備感染文件夾病毒���,根目錄下的文件夾均會被感染���?���?蛇x地���,在本實施例的一個可能的實現(xiàn)方式中����,在103中�,若所述文件夾的屬性為不可見,則可以將累加器的值加I;然后�,若所述累加器的值大于或等于預先設置的識別閾值,識別所述可執(zhí)行文件為文件夾病毒�。具體地,可以判斷是否存在文件名與可執(zhí)行文件相同或相近似的文件夾����,如果不存在文件名與可執(zhí)行文件相同或相近似的文件夾,則可以結束操作�,說明該可執(zhí)行文件不是文件夾病毒。如果存在文件名與可執(zhí)行文件相同或相近似的文件夾����,則可以繼續(xù)判斷所述文件夾的屬性。例如,可以對文件夾執(zhí)行取屬性操作���,判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位�����,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位��,則可以結束操作����,說明該可執(zhí)行文件不是文件夾病毒���。如果返回值包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位����,說明為文件夾���,則進一步判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位��,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位�����,則可以結束操作���,說明該可執(zhí)行文件不是文件夾病毒。如果返回值包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位����,說明所述文件夾的屬性為不可見,則可以將累加器的值加1���,例如����,累加器的初始值可以設置為O��。類似地�,繼續(xù)處理文件名與下一個可執(zhí)行文件相同或相近似的文件夾,直到將所有的可執(zhí)行文件都處理完畢為止��。若所述累加器的值大于或等于預先設置的識別閾值����,例如,識別閾值為2��,則可以識別所述可執(zhí)行文件為文件夾病毒。進一步地��,還可以執(zhí)行病毒告警操作��、病毒清除操作�����,等�����。病毒清除操作�����,可以為修改所述文件夾的屬性為可見�����,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件�。[0058]這樣,采用本發(fā)明提供的技術方案�,能夠對被感染的文件夾病毒進行主動識別,能夠有效提聞病毒識別的效率和可罪性����,能夠有效提聞系統(tǒng)的安全性能。[0059]可選地�,在本實施例的一個可能的實現(xiàn)方式中,在103之后��,還可以進一步根據(jù)所述識別的所述文件夾病毒����,獲得所述文件夾病毒的病毒特征信息。病毒特征信息的獲得方法可以參見現(xiàn)有技術中的微特征計算方法����,詳細描述可以參見現(xiàn)有技術中的相關內容,此處不再贅述���。然后��,將所述病毒特征信息加入到病毒數(shù)據(jù)庫中�����,以供利用所述病毒數(shù)據(jù)庫��,對掃描的文件進行特征匹配�����,若所述匹配成功��,識別所述文件為文件夾病毒��。[0060]其中�,所述特征信息可以包括動態(tài)特征和/或靜態(tài)特征。動態(tài)特征可以理解為基于病毒行為作為病毒的判斷依據(jù)���,靜態(tài)特征可以理解為基于病毒的特征碼作為判斷病毒的依據(jù)�。[0061]具體地��,所述病毒特征庫中存儲了與病毒特征信息的相關信息���,包括但不限于病毒長度信息�����、病毒特征信息����、病毒特征信息的標識(ID)�,本發(fā)明對此不進行特別限定�����。[0062]這樣�����,采用本發(fā)明提供的技術方案,能夠自動建立病毒數(shù)據(jù)庫��,無需操作人員逐一獲取每個文件夾病毒��,對每個文件夾病毒文件進行人工識別和特征提取�����,實時性好����,且正確率聞,能夠有效提聞病毒識別的效率和可罪性�,從而進一步提聞了系統(tǒng)的安全性能。[0063]本實施例中���,通過對指定目錄下的文件進行掃描���,以獲得可執(zhí)行文件的文件名�����,進而確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�����,使得能夠根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性�����,識別所述可執(zhí)行文件為文件夾病毒�����,無需依賴文件夾病毒的病毒特征信息�����,操作簡單�����,且不容易出錯����,從而提高了病毒識別的效率和可靠性。[0064]另外����,采用本發(fā)明提供的技術方案,能夠對被感染的文件夾病毒進行主動識別���,能夠有效提聞病毒識別的效率和可罪性����,能夠有效提聞系統(tǒng)的安全性能�。[0065]另外��,采用本發(fā)明提供的技術方案��,能夠自動建立病毒數(shù)據(jù)庫���,無需操作人員逐一獲取每個文件夾病毒����,對每個文件夾病毒文件進行人工識別和特征提取����,實時性好��,且正確率聞�����,能夠有效提聞病毒識別的效率和可罪性����,從而進一步提聞了系統(tǒng)的安全性能�����。[0066]需要說明的是�,對于前述的各方法實施例,為了簡單描述���,故將其都表述為一系列的動作組合�,但是本領域技術人員應該知悉����,本發(fā)明并不受所描述的動作順序的限制,因為依據(jù)本發(fā)明,某些步驟可以采用其他順序或者同時進行���。其次�����,本領域技術人員也應該知悉���,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本發(fā)明所必須的���。[0067]在上述實施例中�,對各個實施例的描述都各有側重����,某個實施例中沒有詳述的部分�����,可以參見其他實施例的相關描述����。[0068]圖2為本發(fā)明另一實施例提供的病毒的識別設備的結構示意圖,如圖2所示。本實施例的病毒的識別設備可以包括掃描單元21���、確定單元22和識別單元23�����。其中�,掃描單元21���,用于對指定目錄下的文件進行掃描���,以獲得可執(zhí)行文件的文件名;確定單元22�,用于確定與所述可執(zhí)行文件的文件名相同或相近似的文件名;識別單元23���,用于根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性�,識別所述可執(zhí)行文件為文件夾病毒�。[0069]可執(zhí)行文件(executablefile),是可移植可執(zhí)行(PE)文件格式的文件�����,它可以加載到內存中,并由操作系統(tǒng)加載程序執(zhí)行��??蓤?zhí)行文件的擴展名可以包括但不限于.exe,.sys和.scr,等�����。[0070]其中����,病毒,又稱為計算機病毒��,可以包括但不限于木馬�、后門、局域網蠕蟲����、郵件螺蟲、間謀軟件����、感染型病毒或Rootkits/Bootkits����。[0071]需要說明的是���,本實施例提供的病毒的識別設備可以是殺毒引擎,可以位于本地的客戶端中����,以進行離線操作來清除病毒,或者還可以位于網絡側的服務器中����,以進行在線操作來清除病毒,本實施例對此不進行限定���。[0072]可以理解的是�,所述客戶端可以是安裝在終端上的應用程序���,或者還可以是瀏覽器的一個網頁���,只要能夠實現(xiàn)病毒的清除,以提供安全的系統(tǒng)環(huán)境的客觀存在形式都可以�����,本實施例對此不進行限定。[0073]這樣���,通過掃描單元對指定目錄下的文件進行掃描�����,以獲得可執(zhí)行文件的文件名�����,進而由確定單元確定與所述可執(zhí)行文件的文件名相同或相近似的文件名����,使得識別單元能夠根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性��,識別所述可執(zhí)行文件為文件夾病毒���,無需依賴文件夾病毒的病毒特征信息�,操作簡單�����,且不容易出錯��,從而提高了病毒識別的效率和可靠性����。[0074]一般來說,文件的完整命名包括文件名和擴展名����。可執(zhí)行文件的擴展名可以包括但不限于.eXe���、.SyS和.scr�����,等�。文件夾則沒有擴展名�。所述掃描單元21所獲得的可執(zhí)行文件的文件名就是將擴展名截斷之后,獲得的��。[0075]一般來說����,文件夾病毒會遍歷移動存儲設備的根目錄下的文件夾,復制自身到移動存儲設備的根目錄下���,更名為檢測到的文件夾的文件名�,修改該文件夾的屬性為不可見,使用戶在使用移動存儲設備打開其文件夾時運行病毒�,以達到復制的目的。但是�,有些文件夾病毒,復制自身到移動存儲設備的根目錄下之后��,不是直接更名為檢測到的文件夾的文件名���,而是在檢測到的文件夾的文件名中增加一些不可見或較難發(fā)現(xiàn)的符號�。因此�����,需要確定與所述可執(zhí)行文件的文件名相同或相近似的文件名��,才能準確識別出文件夾病毒可能復制的文件夾的文件名����。[0076]可選地,在本實施例的一個可能的實現(xiàn)方式中�����,所述確定單元22具體可以通過計算文件名的相近似度,以確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�����。例如����,相似度大于或等于預先設置的閾值��,所述確定單元22則可以確定兩個文件名相同或相近似���。具體地�,所述確定單元22可以利用現(xiàn)有技術中的文本相近似度算法��,計算文件名的相近似度�����,詳細描述可以參見現(xiàn)有技術中的相關描述���,此處不再贅述���。[0077]可選地��,在本實施例的一個可能的實現(xiàn)方式中�,所述掃描單元21���,具體可以用于對根目錄下的文件進行掃描����,以獲得可執(zhí)行文件的文件名����。具體地,所述掃描單元21可以對移動存儲設備的根目錄下的文件進行掃描���,獲得可執(zhí)行文件的完整命名�,進而刪除可執(zhí)行文件的擴展名����,以獲得可執(zhí)行文件的文件名。[0078]可選地����,在本實施例的一個可能的實現(xiàn)方式中,所述識別單元23,具體可以用于若所述文件夾的屬性為不可見��,識別所述可執(zhí)行文件為文件夾病毒����。具體地,所述識別單元23可以判斷是否存在文件名與可執(zhí)行文件相同或相近似的文件夾�����,如果不存在文件名與可執(zhí)行文件相同或相近似的文件夾��,所述識別單元23則可以結束操作��,說明該可執(zhí)行文件不是文件夾病毒�����。如果存在文件名與可執(zhí)行文件相同或相近似的文件夾�,所述識別單元23則可以繼續(xù)判斷所述文件夾的屬性�。例如,所述識別單元23可以對文件夾執(zhí)行取屬性操作���,判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位����,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位,所述識別單元23則可以結束操作����,說明該可執(zhí)行文件不是文件夾病毒。如果返回值包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位��,說明為文件夾�,所述識別單元23則進一步判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位�,所述識別單元23則可以結束操作,說明該可執(zhí)行文件不是文件夾病毒�����。如果返回值包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位����,說明所述文件夾的屬性為不可見,所述識別單元23則可以識別所述可執(zhí)行文件為文件夾病毒����。進一步地,所述識別單元23還可以執(zhí)行病毒告警操作���、病毒清除操作�,等。病毒清除操作����,可以為修改所述文件夾的屬性為可見,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件���。[0079]這樣�,采用本發(fā)明提供的技術方案�����,能夠對被感染的文件夾病毒進行主動識別��,能夠有效提聞病毒識別的效率�����,能夠有效提聞系統(tǒng)的安全性能�����。[0080]由于文件夾病毒的復制行為是針對目錄下所有文件夾的行為�,因此,對于移動存儲設備等存儲設備來說�����,根目錄下至少有兩個文件夾�����,如果存儲設備感染文件夾病毒���,根目錄下的文件夾均會被感染�?�?蛇x地�����,在本實施例的一個可能的實現(xiàn)方式中���,所述識別單元23�����,具體可以用于若所述文件夾的屬性為不可見��,將累加器的值加I;以及若所述累加器的值大于或等于預先設置的識別閾值�����,識別所述可執(zhí)行文件為文件夾病毒�。具體地,所述識別單元23可以判斷是否存在文件名與可執(zhí)行文件相同或相近似的文件夾�,如果不存在文件名與可執(zhí)行文件相同或相近似的文件夾,所述識別單元23則可以結束操作�,說明該可執(zhí)行文件不是文件夾病毒。如果存在文件名與可執(zhí)行文件相同或相近似的文件夾���,所述識別單元23則可以繼續(xù)判斷所述文件夾的屬性�����。例如,所述識別單元23可以對文件夾執(zhí)行取屬性操作����,判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位���,所述識別單元23則可以結束操作�,說明該可執(zhí)行文件不是文件夾病毒。如果返回值包含F(xiàn)ILE_ATTRIBUTE_DIRECTORY位�����,說明為文件夾�,所述識別單元23則進一步判斷返回值是否包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位,如果返回值不包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位����,所述識別單元23則可以結束操作��,說明該可執(zhí)行文件不是文件夾病毒���。如果返回值包含F(xiàn)ILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位��,說明所述文件夾的屬性為不可見,所述識別單元23則可以將累加器的值加1�,例如��,累加器的初始值可以設置為O�。類似地��,所述識別單元23繼續(xù)處理文件名與下一個可執(zhí)行文件相同或相近似的文件夾�����,直到將所有的可執(zhí)行文件都處理完畢為止����。若所述累加器的值大于或等于預先設置的識別閾值��,例如�����,識別閾值為2�,所述識別單元23則可以識別所述可執(zhí)行文件為文件夾病毒���。進一步地,所述識別單元23還可以執(zhí)行病毒告警操作、病毒清除操作���,等����。病毒清除操作��,可以為修改所述文件夾的屬性為可見����,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件��。[0081]這樣,采用本發(fā)明提供的技術方案�����,能夠對被感染的文件夾病毒進行主動識別�,能夠有效提聞病毒識別的效率和可罪性���,能夠有效提聞系統(tǒng)的安全性能。[0082]可選地��,在本實施例的一個可能的實現(xiàn)方式中�����,如圖3所示���,本實施例提供的病毒的識別設備還可以進一步包括更新單元31��,用于根據(jù)所述識別的所述文件夾病毒�,獲得所述文件夾病毒的病毒特征信息���;以及將所述病毒特征信息加入到病毒數(shù)據(jù)庫中,以供利用所述病毒數(shù)據(jù)庫����,對掃描的文件進行特征匹配���,若所述匹配成功,識別所述文件為文件夾病毒��。[0083]其中,所述更新單元31獲得病毒特征信息的方法可以參見現(xiàn)有技術中的微特征計算方法,詳細描述可以參見現(xiàn)有技術中的相關內容�����,此處不再贅述�����。[0084]其中��,所述特征信息可以包括動態(tài)特征和/或靜態(tài)特征。動態(tài)特征可以理解為基于病毒行為作為病毒的判斷依據(jù)���,靜態(tài)特征可以理解為基于病毒的特征碼作為判斷病毒的依據(jù)。[0085]具體地�,所述病毒特征庫中存儲了與病毒特征信息的相關信息�,包括但不限于病毒長度信息��、病毒特征信息��、病毒特征信息的標識(ID)�����,本發(fā)明對此不進行特別限定��。[0086]這樣,采用本發(fā)明提供的技術方案��,能夠自動建立病毒數(shù)據(jù)庫�����,無需操作人員逐一獲取每個文件夾病毒,對每個文件夾病毒文件進行人工識別和特征提取�����,實時性好�����,且正確率聞���,能夠有效提聞病毒識別的效率和可罪性,從而進一步提聞了系統(tǒng)的安全性能�����。[0087]本實施例中,通過掃描單元對指定目錄下的文件進行掃描�,以獲得可執(zhí)行文件的文件名����,進而由確定單元確定與所述可執(zhí)行文件的文件名相同或相近似的文件名��,使得識別單元能夠根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性��,識別所述可執(zhí)行文件為文件夾病毒���,無需依賴文件夾病毒的病毒特征信息�����,操作簡單�����,且不容易出錯���,從而提高了病毒識別的效率和可靠性�。[0088]另外���,采用本發(fā)明提供的技術方案��,能夠對被感染的文件夾病毒進行主動識別����,能夠有效提聞病毒識別的效率和可罪性�����,能夠有效提聞系統(tǒng)的安全性能���。[0089]另外��,采用本發(fā)明提供的技術方案����,能夠自動建立病毒數(shù)據(jù)庫,無需操作人員逐一獲取每個文件夾病毒��,對每個文件夾病毒文件進行人工識別和特征提取�,實時性好,且正確率聞����,能夠有效提聞病毒識別的效率和可罪性,從而進一步提聞了系統(tǒng)的安全性能�。[0090]可以理解的是����,本發(fā)明提供的技術方案,可以應用在存儲設備中���,尤其是移動存儲設備中�����。[0091]所屬領域的技術人員可以清楚地了解到��,為描述的方便和簡潔�����,上述描述的系統(tǒng)���,設備和單元的具體工作過程�����,可以參考前述方法實施例中的對應過程���,在此不再贅述。[0092]在本發(fā)明所提供的幾個實施例中���,應該理解到�,所揭露的系統(tǒng)���,設備和方法�����,可以通過其它的方式實現(xiàn)�����。例如�����,以上所描述的設備實施例僅僅是示意性的�����,例如�����,所述單元的劃分����,僅僅為一種邏輯功能劃分�,實際實現(xiàn)時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng)�����,或一些特征可以忽略����,或不執(zhí)行。另一點���,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口�,設備或單元的間接耦合或通信連接,可以是電性���,機械或其它的形式����。[0093]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以不是物理單元���,即可以位于一個地方�����,或者也可以分布到多個網絡單元上�?���?梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。[0094]另外��,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在��,也可以兩個或兩個以上單元集成在一個單元中�����。上述集成的單元既可以采用硬件的形式實現(xiàn)����,也可以采用硬件加軟件功能單元的形式實現(xiàn)。[0095]上述以軟件功能單元的形式實現(xiàn)的集成的單元�����,可以存儲在一個計算機可讀取存儲介質中����。上述軟件功能單元存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機�,服務器�����,或者網絡設備等)或處理器(processor)執(zhí)行本發(fā)明各個實施例所述方法的部分步驟��。而前述的存儲介質包括:U盤、移動硬盤��、只讀存儲器(Read-OnlyMemory,ROM)�、隨機存取存儲器(RandomAccessMemory,RAM)、磁碟或者光盤等各種可以存儲程序代碼的介質���。[0096]最后應說明的是:以上實施例僅用以說明本發(fā)明的技術方案��,而非對其限制��;盡管參照前述實施例對本發(fā)明進行了詳細的說明��,本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改��,或者對其中部分技術特征進行等同替換���;而這些修改或者替換,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍��?�!緳嗬蟆?.一種病毒的識別方法����,其特征在于����,包括:對指定目錄下的文件進行掃描���,以獲得可執(zhí)行文件的文件名�����;確定與所述可執(zhí)行文件的文件名相同或相近似的文件名���;根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒����。2.根據(jù)權利要求1所述的方法,其特征在于��,所述對指定目錄下的文件進行掃描�,以獲得可執(zhí)行文件的文件名,包括:對根目錄下的文件進行掃描�,以獲得可執(zhí)行文件的文件名。3.根據(jù)權利要求1所述的方法�����,其特征在于����,所述根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒��,包括:若所述文件夾的屬性為不可見���,識別所述可執(zhí)行文件為文件夾病毒��。4.根據(jù)權利要求1所述的方法�����,其特征在于����,所述根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性�,識別所述可執(zhí)行文件為文件夾病毒,包括:若所述文件夾的屬性為不可見��,將累加器的值加I;若所述累加器的值大于或等于預先設置的識別閾值�,識別所述可執(zhí)行文件為文件夾病毒。5.根據(jù)權利要求1?4任一權利要求所述的方法����,其特征在于����,所述根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性�,識別所述可執(zhí)行文件為文件夾病毒之后,還包括:根據(jù)所述識別的所述文件夾病毒�,獲得所述文件夾病毒的病毒特征信息;將所述病毒特征信息加入到病毒數(shù)據(jù)庫中�,以供利用所述病毒數(shù)據(jù)庫,對掃描的文件進行特征匹配���,若所述匹配成功�,識別所述文件為文件夾病毒��。6.一種病毒的識別設備��,其特征在于���,包括:掃描單元���,用于對指定目錄下的文件進行掃描,以獲得可執(zhí)行文件的文件名���;確定單元����,用于確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�;識別單元,用于根據(jù)所述相同或相近似的文件名所對應的文件夾的屬性����,識別所述可執(zhí)行文件為文件夾病毒。7.根據(jù)權利要求6所述的設備�����,其特征在于���,所述掃描單元�,具體用于對根目錄下的文件進行掃描�,以獲得可執(zhí)行文件的文件名。8.根據(jù)權利要求6所述的設備���,其特征在于���,所述識別單元���,具體用于若所述文件夾的屬性為不可見,識別所述可執(zhí)行文件為文件夾病毒����。9.根據(jù)權利要求6所述的設備,其特征在于����,所述識別單元,具體用于若所述文件夾的屬性為不可見��,將累加器的值加I;以及若所述累加器的值大于或等于預先設置的識別閾值��,識別所述可執(zhí)行文件為文件夾病毒����。10.根據(jù)權利要求6?9任一權利要求所述的設備,其特征在于���,所述設備還包括更新單元����,用于根據(jù)所述識別的所述文件夾病毒,獲得所述文件夾病毒的病毒特征信息����;以及將所述病毒特征信息加入到病毒數(shù)據(jù)庫中,以供利用所述病毒數(shù)據(jù)庫�����,對掃描的文件進行特征匹配����,若所述匹配成功��,識別所述文件為文件夾病毒�。【文檔編號】G06F21/00GK103714269SQ201310634308【公開日】2014年4月9日申請日期:2013年12月2日優(yōu)先權日:2013年12月2日【發(fā)明者】郭明強,陳高和,張永成申請人:百度國際科技(深圳)有限公司