一種病毒文件的處理方法����、系統(tǒng)及設(shè)備的制作方法
【專利摘要】本發(fā)明公開了一種病毒文件的處理方法��、系統(tǒng)及設(shè)備�,所述方法包括:云端數(shù)據(jù)平臺收集病毒統(tǒng)計信息��,并根據(jù)收集的所述病毒統(tǒng)計信息篩選出病毒家族文件����;客戶端接收所述云端數(shù)據(jù)平臺發(fā)送的病毒家族文件,對所述病毒家族文件進行行為特征分析����,得到病毒家族行為信息����;所述客戶端根據(jù)所述行為鏈腳本庫中的病毒家族行為信息����,對客戶端的文件進行查殺病毒處理,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺��;所述云端數(shù)據(jù)平臺對接收的所述日志進行分析并得到更新行為信息����;所述客戶端根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新。通過采用本發(fā)明可以精確檢測和徹底清除病毒文件�,提高病毒文件的查殺成功率。
【專利說明】一種病毒文件的處理方法��、系統(tǒng)及設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機領(lǐng)域�,更為具體而言,涉及一種病毒文件的處理方法����、系統(tǒng)及設(shè)備。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展,各類病毒文件也在迅速增長和變異�,其中,基于病毒模式聚集網(wǎng)站流量并通過流量廣告變現(xiàn)的灰色產(chǎn)業(yè)利益鏈已經(jīng)形成��。每日新增的流氓軟件已經(jīng)數(shù)以百萬計�����,這些病毒文件使用各種不易辨識的技術(shù)�����,通過進程��、注冊表���、文件等方式進行相互捆綁�����,防止殺毒軟件進行查殺。傳統(tǒng)的殺毒軟件以查殺單獨的病毒文件為主�,但這種殺毒方式已經(jīng)很難對現(xiàn)在的病毒文件進行徹底清除和修復(fù)。并且���,面對當前病毒文件增長速度越來越快的局面�����,現(xiàn)有的查殺病毒的方法對病毒文件的分析和更新不夠及時���,使得病毒文件的查殺成功率較低�����。
【發(fā)明內(nèi)容】
[0003]為了精確��、及時和有效地處理病毒文件����,提高病毒文件的查殺成功率����,本發(fā)明實施方式提供了一種病毒文件的處理方法、系統(tǒng)及設(shè)備����。
[0004]一方面,本發(fā)明實施方式提供了一種病毒文件的處理方法���,所述方法包括:
[0005]云端數(shù)據(jù)平臺收集病毒統(tǒng)計信息�,并根據(jù)收集的所述病毒統(tǒng)計信息篩選出病毒家族文件;
[0006]客戶端接收所述云端數(shù)據(jù)平臺發(fā)送的病毒家族文件���,對所述病毒家族文件進行行為特征分析��,得到病毒家族行為信息�;
[0007]所述客戶端根據(jù)所述病毒家族行為信息��,對客戶端的文件進行查殺病毒處理�����,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺�����;
[0008]所述云端數(shù)據(jù)平臺對接收的所述日志進行分析并得到更新行為信息���;
[0009]所述客戶端根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新�����。
[0010]另一方面,本發(fā)明實施方式又提供了一種病毒文件的處理方法�,所述方法包括:
[0011]云端數(shù)據(jù)平臺收集病毒統(tǒng)計信息,根據(jù)收集的病毒統(tǒng)計信息篩選出病毒家族文件����,
[0012]對所述病毒家族文件進行行為特征分析,得到病毒家族行為信息并將其發(fā)送至所述客戶端���,以便所述客戶端根據(jù)所述病毒家族行為信息進行查殺病毒處理����;
[0013]所述云端數(shù)據(jù)平臺獲取所述客戶端上報的記錄所述查殺病毒處理的日志��,
[0014]對所述日志進行分析并得到更新行為信息�,將所述更新行為信息發(fā)送至所述客戶端以對所述病毒家族行為信息進行更新。
[0015]相應(yīng)的���,本發(fā)明實施方式提供了一種云端數(shù)據(jù)平臺���,其特征在于,所述云端數(shù)據(jù)平臺包括:
[0016]收集單元����,用于收集所述病毒統(tǒng)計信息�����,根據(jù)所述收集的病毒統(tǒng)計信息篩選出病毒家族文件�;
[0017]分析單元���,用于執(zhí)行下述操作:對所述病毒家族文件進行特征分析��,得到病毒家族行為信息并將其發(fā)送至所述客戶端��,以便所述客戶端根據(jù)所述病毒家族行為信息進行查殺病毒處理�����;以及
[0018]日志單元�,用于執(zhí)行下述操作:獲取所述客戶端上報的所述日志�,對所述日志進行分析并得到更新行為信息,將所述更新行為信息發(fā)送至所述客戶端以對所述病毒家族行為信息進行更新��。
[0019]又一方面�����,本發(fā)明實施方式還提供了一種病毒文件的處理方法���,所述方法包括:
[0020]客戶端接收云端數(shù)據(jù)平臺發(fā)送的病毒家族行為信息�,并將所述接收的病毒家族行為信息存儲到行為鏈腳本庫��,
[0021]根據(jù)所述行為鏈腳本庫中的病毒家族行為信息����,對所述客戶端的文件進行查殺病毒處理,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺�����,以便所述云端數(shù)據(jù)平臺對所述日志進行分析并得到更新行為信息�,
[0022]接收所述云端數(shù)據(jù)平臺發(fā)送的所述更新行為信息,并根據(jù)所述更新行為信息對所述行為鏈腳本庫中的所述病毒家族行為信息進行更新�。
[0023]相應(yīng)的,本發(fā)明實施方式提供了一種客戶端���,其特征在于����,所述客戶端包括:
[0024]行為鏈腳本庫��,用于執(zhí)行下述操作:接收和存儲云端數(shù)據(jù)平臺發(fā)送的病毒家族行為信息�����;接收所述云端數(shù)據(jù)平臺發(fā)送的更新行為信息,并根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新����;
[0025]引擎加載模塊,用于執(zhí)行下述操作:加載所述行為鏈腳本庫���,根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�,對所述客戶端提供的文件進行查殺病毒處理����,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺。
[0026]另外���,本發(fā)明實施方式提供了一種病毒文件的處理系統(tǒng)����,包括:如上所述的云端數(shù)據(jù)平臺和如上所述的客戶端���。
[0027]實施本發(fā)明的各種實施方式可以精確檢測和徹底清除病毒文件�����,提高病毒文件的查殺成功率�。
【專利附圖】
【附圖說明】
[0028]圖1是根據(jù)本發(fā)明實施方式的一種病毒文件的處理方法的流程圖;
[0029]圖2示出了圖1的步驟S3的具體流程圖���;
[0030]圖3示出了圖2的步驟S33的具體流程圖;
[0031]圖4是根據(jù)本發(fā)明實施方式的一種病毒文件的處理系統(tǒng)的架構(gòu)圖���;
[0032]圖5示出了圖4所示的云端數(shù)據(jù)平臺200的框圖����;
[0033]圖6示出了圖4所示的行為鏈腳本庫300的框圖���;
[0034]圖7示出了圖4所示的引擎加載模塊400的框圖��;
[0035]圖8示出了圖7所示的查殺單元420的框圖����;
[0036]圖9是根據(jù)本發(fā)明實施方式的另一種病毒文件的處理方法的流程圖���;
[0037]圖10是根據(jù)本發(fā)明實施方式的又一種病毒文件的處理方法的流程圖����。
【具體實施方式】
[0038]以下結(jié)合附圖和【具體實施方式】對本發(fā)明的各個方面進行詳細闡述。其中�����,眾所周知的模塊����、單元及其相互之間的連接、鏈接����、通信或操作沒有示出或未作詳細說明。并且��,所描述的特征�、架構(gòu)或功能可在一個或一個以上實施方式中以任何方式組合。本領(lǐng)域技術(shù)人員應(yīng)當理解��,下述的各種實施方式只用于舉例說明�,而非用于限制本發(fā)明的保護范圍。還可以容易理解��,本文所述和附圖所示的各實施方式中的模塊或單元或處理方式可以按各種不同配置進行組合和設(shè)計��。
[0039]圖1是根據(jù)本發(fā)明實施方式的一種病毒文件的處理方法的流程圖,參見圖1����,所述方法包括:
[0040]步驟SI,云端數(shù)據(jù)平臺收集病毒統(tǒng)計信息����,并根據(jù)收集的所述病毒統(tǒng)計信息篩選出病毒家族文件;其中��,云端數(shù)據(jù)平臺可根據(jù)客戶端對病毒查詢的次數(shù)和查詢該病毒的機器數(shù)量�,梳理出病毒查詢排名前N名的病毒家族文件(例如:病毒家族文件前N名排行榜)�,對于所述N的取值,可根據(jù)需要病毒家族文件的范圍進行設(shè)置��,如前10名���、前50名等��,從而重點解決這些流行病毒的問題���。所述病毒家族文件是指一組病毒行為相似的若干病毒文件,它們可能是同一制作者或者由同一病毒源文件修改的文件��。所述病毒統(tǒng)計信息包括病毒的查詢次數(shù)和查詢機器數(shù)量,用于根據(jù)其統(tǒng)計的數(shù)據(jù)綜合分析該病毒的流行程度�。
[0041]步驟S2,客戶端接收所述云端數(shù)據(jù)平臺發(fā)送的病毒家族文件����,對所述病毒家族文件進行行為特征分析,得到病毒家族行為信息�����。其中�,可由所述客戶端的行為鏈腳本庫接收所述云端數(shù)據(jù)平臺發(fā)送的病毒家族文件;提取所述病毒家族文件的掃描�����、鑒定和清除的行為特征作為所述病毒家族行為信息(所述病毒家族行為信息具體包含文件內(nèi)容特征��、注冊表特征���、進程服務(wù)特征���、啟動項特征、瀏覽器默認主頁和默認搜索項等特征行為);將得到的所述病毒家族行為信息存儲于所述客戶端的行為鏈腳本庫�����。上述行為特征所構(gòu)成的病毒家族腳本文件可標識病毒家族文件的行為特征,對病毒家族文件的特性具有標識和辨別作用���,將這些特征保存至行為鏈腳本庫����,用于作為病毒文件的對比樣本����,能夠更有針對性地排查檢測文件,從而精確查殺病毒文件����。所述行為鏈腳本庫可在查殺病毒文件時被引擎加載模塊同步加載調(diào)用�,用于作為確定病毒文件對比樣本的資源庫。
[0042]步驟S3�,客戶端根據(jù)所述病毒家族行為信息,對客戶端的文件進行查殺病毒處理�����,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺�。其中����,所述客戶端包括待查殺病毒文件的各類客戶端設(shè)備���,如:計算機��、手機等移動終端設(shè)備����;所述客戶端的文件是指客戶端設(shè)備中本地存儲的數(shù)據(jù)文件���、進程信息和注冊信息�。另外��,在此過程中所產(chǎn)生的數(shù)據(jù)都被記錄為日志�,并及時上報云端數(shù)據(jù)平臺。
[0043]步驟S4��,所述云端數(shù)據(jù)平臺對接收的所述日志進行分析(例如:得到病毒文件無法刪除的原因等)并得到更新行為信息�,為客戶端的數(shù)據(jù)改進提供數(shù)據(jù)支持,從而引導(dǎo)進一步完善病毒文件的處理�。
[0044]步驟S5,所述客戶端根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新�����。由于病毒文件的更新和變異速度快,為了有效對病毒文件進行查殺����,需要不斷更新病毒家族文件,因此�����,通過插入所述更新行為信息���,使所述客戶端中的病毒家族腳本文件不斷更新��,從而有效提高查殺病毒文件的及時性和有效性��。
[0045]圖2示出了圖1的步驟S3的具體流程圖�,參見圖2��,步驟S3包括:
[0046]步驟S31�,所述客戶端的引擎加載模塊加載所述行為鏈腳本庫�����;
[0047]步驟S32,對客戶端設(shè)備中的腳本信息中設(shè)備預(yù)定義位置進行掃描�,從而可獲取對應(yīng)的行為特征信息;其中�,進行掃描腳本信息包括:網(wǎng)絡(luò)修復(fù)、進程����、加載模塊、驅(qū)動��、服務(wù)�����、Rootkit (—種隱藏其他程式進程的軟件或技術(shù))�、啟動項、IE(網(wǎng)絡(luò)瀏覽器)相關(guān)的項目�、引導(dǎo)病毒、系統(tǒng)目錄�����、桌面目錄�����、開始菜單、常用軟件���、腳本����、系統(tǒng)組件�����、登錄部分���、系統(tǒng)啟動項等��。
[0048]步驟S33����,根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�����,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果�����,例如���,可通過將所述行為鏈腳本庫中的病毒家族行為信息與所述掃描后的腳本信息進行對比的方式來鑒定客戶端的文件是否存在病毒文件����,如果兩者具有相同的腳本信息�,則確定該文件為病毒文件(或定義其病毒狀態(tài)為危險);如果兩者不具有相同的腳本信息�,則確定該文件為非病毒文件(或定義其病毒狀態(tài)為安全)。
[0049]步驟S34�����,將所述病毒鑒定結(jié)果為病毒(或定義其病毒狀態(tài)為危險)的文件中的對應(yīng)行為進行清除和修復(fù)處理�����,相比傳統(tǒng)查殺病毒文件時統(tǒng)一刪除病毒文件的做法����,本發(fā)明則是根據(jù)病毒家族腳本文件的行為特征,對病毒文件中的行為特征進行清除和修復(fù)處理�,所謂對行為特征進行清除和修復(fù)處理是指針對病毒文件及其相關(guān)的特定病毒行為(包括進程和注冊表信息等)進行清除和修復(fù),而不是按照傳統(tǒng)殺毒軟件的處理方式對整體病毒文件進行刪除,��。例如:本發(fā)明實施例在對所述對應(yīng)行為進行清除和修復(fù)處理時���,不僅停止病毒文件的服務(wù)和刪除病毒文件�,還將同步刪除注冊表項����、清理此文件的關(guān)聯(lián)內(nèi)容、修復(fù)瀏覽器默認主頁�、重啟后清除相關(guān)項等內(nèi)容。而傳統(tǒng)的殺毒軟件僅刪除整體病毒文件��,這樣可能會導(dǎo)致客戶端設(shè)備在下次重啟時出現(xiàn)由于刪除文件引起的服務(wù)啟動出錯��、瀏覽器無法打開等問題���。
[0050]步驟S35�����,記錄查殺病毒處理的日志并上報至所述云端數(shù)據(jù)平臺�����,在上述查殺病毒處理的過程中��,將所述掃描�、鑒定����、清除和修復(fù)處理的過程分別記錄為掃描日志、鑒定日志���、清除和修復(fù)處理日志�,并及時上報至所述云端數(shù)據(jù)平臺����。
[0051]圖3示出了圖2的步驟S33的具體流程圖,參見圖3����,步驟S33包括:
[0052]步驟S331,將所述掃描后的腳本信息與所述行為鏈腳本庫的所述病毒家族行為信息進行匹配���;例如���,可通過將所述行為鏈腳本庫中的病毒家族行為信息與所述掃描后的腳本信息進行對比的方式來鑒定客戶端的文件是否存在病毒文件。
[0053]步驟S332,判斷所述匹配是否成功�,即:如果兩者具有相同的腳本信息,則所述匹配成功��;如果兩者不具有相同的腳本信息�,則所述匹配失敗。
[0054]步驟S333����,當所述匹配成功時,所述病毒鑒定結(jié)果為所述行為鏈腳本庫中預(yù)定義的對應(yīng)所述病毒家族行為信息的鑒定結(jié)果���;則確定該文件為病毒文件(或定義其病毒狀態(tài)為危險)��。
[0055]步驟S334�����,當所述匹配失敗時�,將所述掃描后的腳本信息上傳至所述云端數(shù)據(jù)平臺進行查詢鑒定�����,并得到所述病毒鑒定結(jié)果����。對于沒有匹配到對應(yīng)病毒家族行為信息的腳本信息�����,則需要送到云端進行云查詢獲取其文件狀態(tài)�����,通過狀態(tài)確認是否是惡意文件。例如����,可通過客戶端發(fā)送這些文件的Hash值到云端,云端會保存通過云平臺自動化鑒定處理后的文件狀態(tài)���,及時返回文件的狀態(tài)給客戶端���。從而更加全面和完善地對文件是否存在病毒文件進行鑒定。
[0056]圖4是根據(jù)本發(fā)明實施方式的一種病毒文件的處理系統(tǒng)的架構(gòu)圖��,參見圖4�,所述系統(tǒng)包括:
[0057]云端數(shù)據(jù)平臺200,用于執(zhí)行下述操作:收集病毒統(tǒng)計信息�����,篩選出病毒家族文件,對所述病毒家族文件進行行為特征分析��,得到病毒家族行為信息并發(fā)送至客戶端100����,獲取和分析所述客戶端100上報的記錄查殺病毒處理的日志,并對所述日志進行分析得到更新行為信息����;
[0058]客戶端100,用于提供待檢測病毒的文件并根據(jù)所述云端數(shù)據(jù)平臺200提供的所述病毒家族行為信息對所述文件進行查殺病毒處理����;
[0059]其中,所述客戶端100包括:
[0060]行為鏈腳本庫300���,用于存儲所述病毒家族行為信息����,并根據(jù)所述云端數(shù)據(jù)平臺200發(fā)送的更新行為信息對所述病毒家族行為信息進行更新�;
[0061]引擎加載模塊400,用于執(zhí)行下述操作:加載所述行為鏈腳本庫300�,根據(jù)所述行為鏈腳本庫300中的病毒家族行為信息�����,對所述客戶端100提供的文件進行查殺病毒處理�,并記錄和上報所述查殺病毒處理的日志�����。其中���,云端數(shù)據(jù)平臺200可根據(jù)病毒查詢的次數(shù)和查詢該病毒的機器數(shù)量,梳理出病毒查詢排名前N名的病毒家族文件(例如:病毒家族文件前N名排行榜),對于所述N的取值����,可根據(jù)需要病毒家族文件的范圍進行設(shè)置,如前10名�、前50名等,從而重點解決這些流行病毒的問題���。所述病毒家族文件是指一組病毒行為相似的若干病毒文件����,它們可能是同一制作者或者由同一病毒源文件修改的文件���。所述病毒統(tǒng)計信息包括病毒的查詢次數(shù)和查詢機器數(shù)量�,用于根據(jù)其統(tǒng)計的數(shù)據(jù)綜合分析該病毒的流行程度。所述對所述病毒家族文件進行特征分析包括:提取所述病毒家族文件的掃描����、鑒定和清除的行為特征,具體包含文件內(nèi)容特征�����、注冊表特征����、進程服務(wù)特征、啟動項特征��、瀏覽器默認主頁和默認搜索項等特征行為�����。這些行為特征所構(gòu)成的病毒家族腳本文件可標識病毒家族文件的行為特征����,對病毒家族文件的特性具有標識和辨別作用,將這些特征保存至行為鏈腳本庫300�,用于作為病毒文件的對比樣本�,能夠更有針對性地排查檢測文件�,從而精確查殺病毒文件。
[0062]需要說明的是���,所述一種病毒文件的處理系統(tǒng)中的客戶端100和云端數(shù)據(jù)平臺200可以作為單獨的執(zhí)行設(shè)備用于執(zhí)行下文所述的病毒文件的處理方法���。
[0063]圖5示出了圖4所示的云端數(shù)據(jù)平臺200的框圖,參見圖5���,所述云端數(shù)據(jù)平臺200包括:
[0064]收集單元210���,用于收集所述病毒統(tǒng)計信息,并篩選出病毒家族文件����;
[0065]分析單元220����,用于對所述病毒家族文件進行特征分析,得到所述病毒家族行為信息���,其中���,所述對病毒家族文件進行特征分析包括提取所述病毒家族文件的掃描��、鑒定和清除的行為特征��;以及
[0066]日志單元230����,用于獲取所述客戶端上傳的所述日志��,對所述日志進行分析并得到所述更新行為信息�����,其中�,所述日志包括掃描日志、鑒定日志�����、清除和修復(fù)處理日志�����。
[0067]圖6示出了圖4所示的行為鏈腳本庫300的框圖,參見圖6���,所述行為鏈腳本庫300包括:
[0068]存儲單元310�����,用于存儲所述病毒家族行為信息���;以及
[0069]更新單元320,用于根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新���。由于病毒文件的更新和變異速度快�����,為了有效對病毒文件進行查殺����,需要不斷更新病毒家族文件�,因此�,通過插入所述更新行為信息,使所述行為鏈腳本庫中的病毒家族行為文件不斷更新��,從而有效提高查殺病毒文件的及時性和有效性。
[0070]圖7示出了圖4所示的引擎加載模塊400的框圖���,參見圖7�,所述引擎加載模塊400包括:
[0071]加載單元410�����,用于加載所述行為鏈腳本庫�����;
[0072]查殺單元420����,用于對所述客戶端提供的文件進行查殺病毒處理;以及
[0073]記錄單元430�����,用于記錄所述查殺病毒處理的日志��,并將所述日志上傳至所述云端數(shù)據(jù)平臺����。
[0074]其中��,所述引擎加載模塊400在對客戶端提供的文件進行病毒文件的查殺處理過程中���,通過加載所述行為鏈腳本庫,可同步調(diào)用和對比病毒家族行為信息�。另外,在此過程中所產(chǎn)生的數(shù)據(jù)都被記錄為各類日志�,并及時上報云端數(shù)據(jù)平臺。
[0075]圖8示出了圖7所示的查殺單元420的框圖����,參見圖8,所述查殺單元420包括:
[0076]掃描子單元421,用于對所述客戶端100的腳本信息中預(yù)定義位置進行掃描�����。其中�����,進行掃描的腳本信息包括:網(wǎng)絡(luò)修復(fù)���、進程�����、加載模塊�、驅(qū)動�、服務(wù)、Rootkit (—種隱藏其他程式進程的軟件或技術(shù))�、啟動項、IE (網(wǎng)絡(luò)瀏覽器)相關(guān)的項目�、引導(dǎo)病毒、系統(tǒng)目錄����、桌面目錄、開始菜單���、常用軟件�、腳本��、系統(tǒng)組件���、登錄部分�、系統(tǒng)啟動項等�。
[0077]鑒定子單元422,用于根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�����,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果。例如�,可通過將所述行為鏈腳本庫中的病毒家族行為信息與所述掃描后的腳本信息進行對比的方式來鑒定客戶端的文件是否存在病毒文件,如果兩者具有相同的腳本信息���,則確定該文件為病毒文件(或定義其病毒狀態(tài)為危險)��;如果兩者不具有相同的腳本信息����,則確定該文件為非病毒文件(或定義其病毒狀態(tài)為安全)�。
[0078]清除子單元423,將所述病毒鑒定結(jié)果為病毒(或定義其病毒狀態(tài)為危險)的文件中的對應(yīng)行為進行清除和修復(fù)處理���,相比傳統(tǒng)查殺病毒文件時統(tǒng)一刪除病毒文件的做法��,本發(fā)明則是根據(jù)病毒家族腳本文件的行為特征��,對病毒文件中的行為特征進行清除和修復(fù)處理���,所謂對行為特征進行清除和修復(fù)處理是指針對病毒文件及其相關(guān)的特定病毒行為(包括進程和注冊表信息等)進行清除和修復(fù),而不是按照傳統(tǒng)殺毒軟件的處理方式對整體病毒文件進行刪除�����,。例如:本發(fā)明實施例在對所述對應(yīng)行為進行清除和修復(fù)處理時���,不僅停止病毒文件的服務(wù)和刪除病毒文件,還將同步刪除注冊表項�、清理此文件的關(guān)聯(lián)內(nèi)容、修復(fù)瀏覽器默認主頁�、重啟后清除相關(guān)項等內(nèi)容。而傳統(tǒng)的殺毒軟件僅刪除整體病毒文件�,這樣可能會導(dǎo)致客戶端設(shè)備在下次重啟時出現(xiàn)由于刪除文件引起的服務(wù)啟動出錯、瀏覽器無法打開等問題��。
[0079]圖9是根據(jù)本發(fā)明實施方式的另一種病毒文件的處理方法的流程圖�,參見圖9,所述方法包括:
[0080]步驟S11��,云端數(shù)據(jù)平臺收集病毒統(tǒng)計信息��,根據(jù)收集的病毒統(tǒng)計信息篩選出病毒家族文件�����;
[0081]步驟S12���,對所述病毒家族文件進行行為特征分析���,得到病毒家族行為信息并將其發(fā)送至所述客戶端����,以便所述客戶端根據(jù)所述病毒家族行為信息進行查殺病毒處理���;其中��,所述對所述病毒家族文件進行行為特征分析包括:提取所述病毒家族文件的掃描�����、鑒定和清除的行為特征���;
[0082]步驟S13,所述云端數(shù)據(jù)平臺獲取所述客戶端上報的記錄所述查殺病毒處理的日志�����;其中����,所述日志包括:將所述掃描�、鑒定�����、清除和修復(fù)處理的過程分別記錄為掃描日志��、鑒定日志�、清除和修復(fù)處理日志���;
[0083]步驟S14����,對所述日志進行分析并得到更新行為信息���,將所述更新行為信息發(fā)送至所述客戶端以對所述病毒家族行為信息進行更新�����。
[0084]圖10是根據(jù)本發(fā)明實施方式的另一種病毒文件的處理方法的流程圖��,參見圖10�,所述方法包括:
[0085]步驟S21��,客戶端接收云端數(shù)據(jù)平臺發(fā)送的病毒家族行為信息,并將所述接收的病毒家族行為信息存儲到行為鏈腳本庫����,
[0086]步驟S22,根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�,對所述客戶端的文件進行查殺病毒處理,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺����,以便所述云端數(shù)據(jù)平臺對所述日志進行分析并得到更新行為信息;
[0087]步驟S23��,接收所述云端數(shù)據(jù)平臺發(fā)送的所述更新行為信息��,并根據(jù)所述更新行為信息對所述行為鏈腳本庫中的所述病毒家族行為信息進行更新����。
[0088]其中,步驟S22中�����,所述根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�����,對所述客戶端的文件進行查殺病毒處理包括:
[0089]所述引擎加載模塊加載所述行為鏈腳本庫;
[0090]對所述客戶端的文件的腳本信息進行掃描�����;
[0091]根據(jù)所述行為鏈腳本庫中的病毒家族行為信息���,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果�;
[0092]將所述病毒鑒定結(jié)果為病毒的文件進行清除和修復(fù)處理�����。
[0093]其中����,步驟S23中����,所述根據(jù)所述行為鏈腳本庫中的病毒家族行為信息,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果包括:
[0094]將所述掃描后的腳本信息與所述行為鏈腳本庫的所述病毒家族行為信息進行匹配���;當所述匹配成功時����,所述病毒鑒定結(jié)果為所述行為鏈腳本庫中預(yù)定義的對應(yīng)所述病毒家族行為信息的鑒定結(jié)果;當所述匹配失敗時���,將所述掃描后的腳本信息上傳至所述云端數(shù)據(jù)平臺進行查詢鑒定����,并得到所述病毒鑒定結(jié)果��。
[0095]通過以上的實施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件結(jié)合硬件平臺的方式來實現(xiàn),當然也可以全部通過硬件來實施��?��;谶@樣的理解���,本發(fā)明的技術(shù)方案對【背景技術(shù)】做出貢獻的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中��,如R0M/RAM���、磁碟�、光盤等,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機��,服務(wù)器���,智能手機或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法����。
[0096]本發(fā)明說明書中使用的術(shù)語和措辭僅僅為了舉例說明�,并不意味構(gòu)成限定。本領(lǐng)域技術(shù)人員應(yīng)當理解�����,在不脫離所公開的實施方式的基本原理的前提下�����,對上述實施方式中的各細節(jié)可進行各種變化��。因此�,本發(fā)明的范圍只由權(quán)利要求確定�,在權(quán)利要求中�,除非另有說明����,所有的術(shù)語應(yīng)按最寬泛合理的意思進行理解。
【權(quán)利要求】
1.一種病毒文件的處理方法����,其特征在于,所述方法包括: 云端數(shù)據(jù)平臺收集病毒統(tǒng)計信息����,并根據(jù)收集的所述病毒統(tǒng)計信息篩選出病毒家族文件; 客戶端接收所述云端數(shù)據(jù)平臺發(fā)送的病毒家族文件�����,對所述病毒家族文件進行行為特征分析�,得到病毒家族行為信息; 所述客戶端根據(jù)所述病毒家族行為信息�,對客戶端的文件進行查殺病毒處理,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺�����; 所述云端數(shù)據(jù)平臺對接收的所述日志進行分析并得到更新行為信息��; 所述客戶端根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新。
2.如權(quán)利要求1所述的方法��,其特征在于�����,所述客戶端接收所述云端數(shù)據(jù)平臺發(fā)送的病毒家族文件�,對所述病毒家族文件進行行為特征分析,得到病毒家族行為信息包括: 所述客戶端的行為鏈腳本庫接收所述云端數(shù)據(jù)平臺發(fā)送的病毒家族文件���; 提取所述病毒家族文件的掃描���、鑒定和清除的行為特征作為所述病毒家族行為信息; 將得到的所述病毒家族行為信息進行存儲�����。
3.如權(quán)利要求1所述的方法����,其特征在于�����,所述客戶端根據(jù)所述病毒家族行為信息,對客戶端的文件進行查殺病毒處理包括: 所述客戶端的引擎加載模塊加載所述客戶端行為鏈腳本庫����; 對所述客戶端的文件的腳本信息進行掃描; 根據(jù)所述行為鏈腳本庫中的病毒家族行為信息����,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果; 將所述病毒鑒定結(jié)果為病毒的文件進行清除和修復(fù)處理�。
4.如權(quán)利要求3所述的方法,其特征在于���,所述將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺包括: 將所述掃描�、鑒定����、清除和修復(fù)處理的過程分別記錄為掃描日志�、鑒定日志、清除和修復(fù)處理日志�����,并上報至所述云端數(shù)據(jù)平臺���。
5.如權(quán)利要求3所述的方法��,其特征在于�����,所述根據(jù)所述行為鏈腳本庫中的病毒家族行為信息����,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果包括: 將所述掃描后的腳本信息與所述行為鏈腳本庫的所述病毒家族行為信息進行匹配;當所述匹配成功時�,所述病毒鑒定結(jié)果為所述行為鏈腳本庫中預(yù)定義的對應(yīng)所述病毒家族行為信息的鑒定結(jié)果;當所述匹配失敗時��,將所述掃描后的腳本信息上傳至所述云端數(shù)據(jù)平臺進行查詢鑒定���,并得到所述病毒鑒定結(jié)果����。
6.一種病毒文件的處理方法��,其特征在于�,所述方法包括: 云端數(shù)據(jù)平臺收集病毒統(tǒng)計信息,根據(jù)所述收集的病毒統(tǒng)計信息篩選出病毒家族文件, 對所述病毒家族文件進行行為特征分析��,得到病毒家族行為信息并將其發(fā)送至所述客戶端����,以便所述客戶端根據(jù)所述病毒家族行為信息進行查殺病毒處理�����; 所述云端數(shù)據(jù)平臺獲取所述客戶端上報的記錄所述查殺病毒處理的日志�����; 對所述日志進行分析并得到更新行為信息�����,將所述更新行為信息發(fā)送至所述客戶端以對所述病毒家族行為信息進行更新����。
7.如權(quán)利要求6所述的方法,其特征在于�,所述對所述病毒家族文件進行行為特征分析包括: 提取所述病毒家族文件的掃描、鑒定和清除的行為特征�����。
8.如權(quán)利要求7所述的方法,其特征在于���,所述客戶端上報的記錄所述查殺病毒處理的日志包括: 將所述掃描�����、鑒定�、清除和修復(fù)處理的過程分別記錄為掃描日志�、鑒定日志、清除和修復(fù)處理日志���。
9.一種云端數(shù)據(jù)平臺���,其特征在于,所述云端數(shù)據(jù)平臺包括: 收集單元���,用于收集所述病毒統(tǒng)計信息����,根據(jù)所述收集的病毒統(tǒng)計信息篩選出病毒家族文件����; 分析單元����,用于執(zhí)行下述操作:對所述病毒家族文件進行特征分析����,得到病毒家族行為信息并將其發(fā)送至所述客戶端���,以便所述客戶端根據(jù)所述病毒家族行為信息進行查殺病毒處理�����;以及 日志單元�����,用于執(zhí)行下述操作:獲取所述客戶端上報的所述日志��,對所述日志進行分析并得到更新行為信息�,將所述更新行為信息發(fā)送至所述客戶端以對所述病毒家族行為信息進行更新�。
10.一種病毒文件的處理方法,其特征在于���,所述方法包括: 客戶端接收云端數(shù)據(jù)平臺發(fā)送的病毒家族行為信息��,并將所述接收的病毒家族行為信息存儲到行為鏈腳本庫�, 根據(jù)所述行為鏈腳本庫中的病毒家族行為信息,對所述客戶端的文件進行查殺病毒處理���,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺�����,以便所述云端數(shù)據(jù)平臺對所述日志進行分析并得到更新行為信息����, 接收所述云端數(shù)據(jù)平臺發(fā)送的所述更新行為信息�,并根據(jù)所述更新行為信息對所述行為鏈腳本庫中的所述病毒家族行為信息進行更新。
11.如權(quán)利要求10所述的方法����,其特征在于,所述根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�,對所述客戶端的文件進行查殺病毒處理包括: 所述引擎加載模塊加載所述行為鏈腳本庫���; 對所述客戶端的文件的腳本信息進行掃描; 根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�����,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果��; 將所述病毒鑒定結(jié)果為病毒的文件進行清除和修復(fù)處理�。
12.如權(quán)利要求11所述的方法�����,其特征在于���,所述根據(jù)所述行為鏈腳本庫中的病毒家族行為信息����,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果包括: 將所述掃描后的腳本信息與所述行為鏈腳本庫的所述病毒家族行為信息進行匹配�����;當所述匹配成功時�,所述病毒鑒定結(jié)果為所述行為鏈腳本庫中預(yù)定義的對應(yīng)所述病毒家族行為信息的鑒定結(jié)果���;當所述匹配失敗時,將所述掃描后的腳本信息上傳至所述云端數(shù)據(jù)平臺進行查詢鑒定�����,并得到所述病毒鑒定結(jié)果���。
13.—種客戶端��,其特征在于����,所述客戶端包括: 行為鏈腳本庫����,用于執(zhí)行下述操作:接收和存儲云端數(shù)據(jù)平臺發(fā)送的病毒家族行為信息;接收所述云端數(shù)據(jù)平臺發(fā)送的更新行為信息��,并根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新�; 引擎加載模塊,用于執(zhí)行下述操作:加載所述行為鏈腳本庫��,根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�����,對所述客戶端提供的文件進行查殺病毒處理,并將記錄所述查殺病毒處理的日志上報至所述云端數(shù)據(jù)平臺�。
14.如權(quán)利要求13所述的客戶端,其特征在于���,所述行為鏈腳本庫包括: 存儲單元���,用于存儲所述病毒家族行為信息;以及 更新單元��,用于根據(jù)所述更新行為信息對所述病毒家族行為信息進行更新�。
15.如權(quán)利要求13所述的客戶端,其特征在于���,所述引擎加載模塊包括: 加載單元,用于加載所述行為鏈腳本庫�; 查殺單元,用于對所述客戶端提供的文件進行查殺病毒處理����;以及 記錄單元,用于記錄所述查殺病毒處理的日志�,并將所述日志上傳至所述云端數(shù)據(jù)平臺��。
16.如權(quán)利要求15所述的客戶端���,其特征在于,所述查殺單元包括: 掃描子單元��,用于對所述客戶端的文件的腳本信息進行掃描�; 鑒定子單元,用于根據(jù)所述行為鏈腳本庫中的病毒家族行為信息�����,對所述掃描后的腳本信息進行鑒定并得到病毒鑒定結(jié)果��;以及 清除子單元�,用于將所述病毒鑒定結(jié)果中的病毒文件進行清除和修復(fù)處理。
17.一種病毒文件的處理系統(tǒng)����,其特征在于,包括:權(quán)利要求9所述的云端數(shù)據(jù)平臺和權(quán)利要求13至16任意一項所述的客戶端�。
【文檔編號】G06F21/56GK104298920SQ201410542371
【公開日】2015年1月21日 申請日期:2014年10月14日 優(yōu)先權(quán)日:2014年10月14日
【發(fā)明者】鄒榮新, 梅銀明, 項柱, 傅旭東, 胡天來, 陳增霸, 姚俊, 張敏, 王兆林, 蔡洪基 申請人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司