病毒查杀方法和装置与流程

993 626

本发明涉及计算机安全领域,特别是涉及一种病毒查杀方法和装置。

背景技术:

技术实现要素:

基于此,有必要针对传统的云端查杀病毒的方式安全性低且通用性差的问题,提供一种病毒查杀方法,能提高安全性且通用性强。

此外,还有必要提供一种病毒查杀装置,能提高安全性且通用性强。

一种病毒查杀方法,包括以下步骤:

记录应用程序的行为序列轨迹;

将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配;

若应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定所述应用程序为病毒;

清除判定为病毒的应用程序。

一种病毒查杀装置,包括:

记录模块,用于记录应用程序的行为序列轨迹;

匹配模块,用于将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配;

判定模块,用于若应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定所述应用程序为病毒;

清除模块,用于清除判定为病毒的应用程序。

上述病毒查杀方法和装置,通过将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列轨迹,将检测的文件的行为序列轨迹与病毒行为序列轨迹比较,通用性强。

附图说明

图1为一个实施例中终端的内部结构示意图;

图2为一个实施例中服务器的内部结构示意图;

图3为一个实施例中病毒查杀方法的流程图;

图4为另一个实施例中病毒查杀方法的流程图;

图5为实例的行为序列树的示意图;

图6为预先存储的病毒的行为序列树示意图;

图7为将图5中的实例的行为序列树与图6中的预先存储的病毒的行为序列树匹配后的示意图;

图8为一个实施例中病毒查杀装置的结构框图;

图9为另一个实施例中病毒查杀装置的结构框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。

图3为一个实施例中病毒查杀方法的流程图。如图3所示,该病毒查杀方法,运行于图1中的终端上,包括以下步骤:

步骤302,记录应用程序的行为序列轨迹。

记录应用程序的行为序列轨迹的步骤包括:记录应用程序的关键行为轨迹,该关键行为轨迹包括进程启动、创建线程、创建可执行文件、写入注册表中一种或多种。通过记录关键行为轨迹减小了记录数据,减小了后续与预先存储的病毒的行为序列轨迹比较的计算量,提高计算效率。

步骤304,将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配。

具体地,首先分析并存储病毒的行为序列轨迹。将应用程序的行为序列轨迹与预先存储病毒的行为序列轨迹进行比较,若应用程序的行为序列轨迹包含了预先存储的病毒的行为序列轨迹,则匹配成功,判定该应用程序为病毒,若应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列轨迹或不包含预先存储的病毒的行为序列轨迹,则匹配失败,判定该应用程序不为病毒。

该预先存储的病毒的行为序列轨迹可包括进程启动、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表。

在一个实施例中,预先存储的病毒的行为序列轨迹包括系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表;

获取的应用程序的行为序列轨迹包括接收对应用程序文件的触发操作、根据触发操作系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表;

将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,得到应用程序的行为序列轨迹中包含了预先存储的病毒的行为序列轨迹,即包含了系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定该应用程序为病毒。

步骤306,若应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定该应用程序为病毒。

步骤308,清除判定为病毒的应用程序。

具体地,清除为病毒的应用程序可为删除该应用程序的进程,或者回滚该应用程序的行为。

删除应用程序的进程是指应用程序启动运行后开启了进程,删除该进程。回滚应用程序的行为是指按照记录的应用程序的行为序列轨迹,可以反向操作,例如应用程序的行为序列轨迹为在系统进程中创建一个线程,则回滚应用程序的行为为关闭创建的线程。

上述病毒查杀方法,通过将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列轨迹,将检测的文件的行为序列轨迹与病毒行为序列轨迹比较,通用性强。

图4为另一个实施例中病毒查杀方法的流程图。图4中的预先存储的病毒的行为序列轨迹形成病毒的行为序列树。如图4所示,一种病毒查杀方法,包括:

步骤402,记录应用程序的行为序列轨迹。

步骤404,根据应用程序的行为序列轨迹建立该应用程序的行为序列树。

步骤406,将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配。

具体地,首先分析并存储病毒的行为序列轨迹,并根据病毒的行为序列轨迹形成病毒的行为序列树。将应用程序的行为序列树与预先存储病毒的行为序列树进行比较,若应用程序的行为序列树包含了预先存储的病毒的行为序列树,则匹配成功,判定该应用程序为病毒,若应用程序的行为序列轨迹包含部分预先存储的病毒的行为序列树或不包含预先存储的病毒的行为序列树,则匹配失败,判定该应用程序不为病毒。

该预先存储的病毒的行为序列树可包括进程启动、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表。

在一个实施例中,预先形成的病毒的行为序列树包括系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表;

建立的应用程序的行为序列树包括接收对应用程序文件的触发操作、根据触发操作系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表;

将应用程序的行为序列树与预先形成的病毒的行为序列树进行匹配,得到应用程序的行为序列树中包含了预先形成的病毒的行为序列树,即包含了系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定该应用程序为病毒。

步骤408,若应用程序的行为序列树与预先存储的病毒的行为序列树匹配成功,则判定该应用程序为病毒。

步骤410,清除判定为病毒的应用程序。

上述病毒查杀方法,通过将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列树,将检测的应用程序的行为序列树与病毒行为序列树比较,通用性强,且将应用程序的行为序列树与病毒的行为序列树进行匹配,结构清晰,便于比较。

在一个实施例中,上述病毒查杀方法还包括:定期更新病毒的行为序列轨迹或定期更新病毒的行为序列树。

具体地,可定期更新服务器上的病毒的行为序列轨迹或行为序列树等,终端可从服务器下载更新本地的病毒的行为序列轨迹或行为序列树。定期更新病毒的行为序列轨迹,可查杀新的病毒,提高查杀的准确率。

下面结合具体的实例进行说明病毒查杀方法的工作原理。以样本virus.exe为例,样本virus.exe的行为序列轨迹包括:

(1)接收用户双击virus.exe文件;

(2)系统创建进程A;

(3)进程A在系统进程explorer中创建线程b;

具体地,系统进程explorer为windows文件管理进程,作用为文件查看等。

(4)系统进程explorer的线程b在c:windows下创建可执行文件c.exe;

(5)系统进程explorer的线程b写入注册表,即在系统HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run注册表下创建注册表键rb值为c:\windows\c.exe。

图5为实例的行为序列树的示意图。如图5所示,根据实例的行为序列轨迹形成实例的行为序列树。用户双击virus.exe文件后,进程A启动,然后在进程explorer中创建线程b,再创建文件c.exe、写run项和其他行为。run项是指写注册表的run项(启动项)。

图6为预先存储的病毒的行为序列树示意图。如图6所示,病毒的行为序列树包括进程x启动、进程x在explorer中创建线程x、创建文件x.exe、写run项,其中,x表示任意匹配。

图7为将图5中的实例的行为序列树与图6中的预先存储的病毒的行为序列树匹配后的示意图。如图7所示,实例的行为序列树中包含了进程A启动、进程A在explorer中创建线程b、创建文件c.exe、写run项,与预先存储的病毒的行为序列树一致,即匹配成功,该实例为病毒。

图8为一个实施例中病毒查杀装置的结构框图。如图8所示,一种病毒查杀装置,包括记录模块810、匹配模块820、判定模块830和清除模块840。其中:

记录模块810用于记录应用程序的行为序列轨迹。

本实施例中,记录模块810还用于记录应用程序的关键行为轨迹,该关键行为轨迹包括进程启动、创建线程、创建可执行文件、写入注册表中一种或多种。通过记录关键行为轨迹减小了记录数据,减小了后续与预先存储的病毒的行为序列轨迹比较的计算量,提高计算效率。

匹配模块820用于将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配。

该预先存储的病毒的行为序列轨迹可包括进程启动、进程在系统进程中创建线程、创建可执行文件、系统进程中创建的线程写入注册表。

判定模块830用于若匹配成功,则判定该应用程序为病毒。

具体地,应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹匹配成功,则判定该应用程序为病毒。

记录模块810获取的应用程序的行为序列轨迹包括接收对应用程序文件的触发操作、根据触发操作系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表;

匹配模块820将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,得到应用程序的行为序列轨迹中包含了预先存储的病毒的行为序列轨迹,即包含了系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定模块830判定该应用程序为病毒。

清除模块840用于清除判定为病毒的应用程序。

上述病毒查杀装置,通过将应用程序的行为序列轨迹与预先存储的病毒的行为序列轨迹进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列轨迹,将检测的文件的行为序列轨迹与病毒行为序列轨迹比较,通用性强。

图9为另一个实施例中病毒查杀装置的结构框图。如图9所示,一种病毒查杀装置,除了包括记录模块810、匹配模块820、判定模块830和清除模块840,还包括建立模块850、形成模块860和更新模块870。其中:

建立模块850用于在该记录应用程序的行为序列轨迹之后,根据应用程序的行为序列轨迹建立该应用程序的行为序列树。

匹配模块820还用于将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配。

建立模块850建立的应用程序的行为序列树包括接收对应用程序文件的触发操作、根据触发操作系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表;

匹配模块820将应用程序的行为序列树与预先形成的病毒的行为序列树进行匹配,得到应用程序的行为序列树中包含了预先形成的病毒的行为序列树,即包含了系统创建进程、进程在系统进程中创建线程、系统进程中创建的线程创建可执行文件和写入注册表,则匹配成功,判定模块830判定该应用程序为病毒。

判定模块830还用于若应用程序的行为序列树与预先存储的病毒的行为序列树匹配成功,则判定该应用程序为病毒。

更新模块870用于定期更新病毒的行为序列轨迹。

上述病毒查杀装置,通过将应用程序的行为序列树与预先存储的病毒的行为序列树进行匹配,若匹配成功,则判定该应用程序为病毒,清除该应用程序,不需将终端上的信息上传到云端,防止用户信息被泄露,提高了安全性,且不需将每个病毒文件进行预先存储,然后再将检测的文件与病毒文件比较,采用的是病毒的行为序列树,将检测的应用程序的行为序列树与病毒行为序列树比较,通用性强,且将应用程序的行为序列树与病毒的行为序列树进行匹配,结构清晰,便于比较。

以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

THE END

保护手机安全:有效杀毒与良好使用习惯指南

电脑中病毒了怎么办?最新防护措施和清理方法病毒库基因改造病毒

木马查杀哪个软件最好用好用的病毒查杀软件

U盘病毒常用清除方法

电脑病毒查杀方法有哪些

病毒查杀方法和装置与流程

几种常见的杀毒方法苍狼的日志

1.电脑杀毒最好的方法2、然后安装启动,全盘查杀一次,然后电脑进入安全模式下再进行查杀。 3、有些病毒可能需要专杀工具才能查到,下载卡巴专杀工具或其他专杀工具,网上有很多,搜索后直接下载即可。 如果使用这些软件和工具查杀后仍然有中毒的症状表现,这个时候应该考虑是否中硬盘病毒了,一般考虑的是你的系统是否有问题,最好的方法就是重装系统https://www.jianshu.com/p/bc218e11b8bb
2.电脑中病毒最彻底的清除方法(电脑中病毒最彻底的清除方法是哪个好酷屋教程网小编为您收集和整理了电脑中病毒最彻底的清除方法(电脑中病毒最彻底的清除方法是哪个)的相关教程:1、使防病毒程序保持最新如果已经在计算机上安装了防病毒程序,一定要使其保持最新。由于新病毒层出不穷,因此大多数防病毒程序会经常更新。请检查防病毒程序的文档或者访问其网站,了解如何接收更新。请注意,https://www.haoku5.com/shuma/640f1839e525ce21d001e8cd.html
3.彻底查杀电脑病毒的办法这里需要自己判断一下自己中的是什么病毒,中了病毒后,你的系统会出现什么情况,是弹出倒计时的方框还是下载的软件被破坏之类的,你可以根据这些特征,在百度或者其他搜索引擎进行搜索,查看是哪种病毒,然后下载病毒专杀工具,然后进行查杀,最好是进入安全模式进行查杀。 http://szeb.sz.gov.cn/home/gzcy/ywzsk/fwxx/jyxxh/content/mpost_2968789.html
4.计算机病毒总之,合适的中断向量管理,可以阻止任何有中断修改企图的病毒。通过上述分析,我们已经得到许多种能抑制病毒活动的免疫方法。但是这些方法各有长短。实际使用时,还需要根据具体的情况,对它们取长补短地进行最优组合,以得到一个较完美的病毒免疫系统。 计算机病毒3 https://www.unjs.com/fenxianghulianwang/hanyucidian/20140512000000_1043241.html
5.什么杀毒软件最好,我们应该安装什么杀毒软件之前我没有用360以后 就一直用可牛杀毒,金山卫士加可牛杀毒,我想着两个公司的,金山卫士杀不出来的病毒,可牛杀,可牛杀不出来的,金山可以杀,所应这样应该更安全的,最主要的是两个都很安静的,不像360频繁弹窗的,频繁无聊的警告的,而且我感觉比瑞星金山毒霸还好用的,可牛是勤勤恳恳的牛——这是后来有些人的评论https://www.runker.net/shadu.html
6.手动查杀电脑病毒的一些基本方法手动查杀电脑病毒的一些基本方法我现在就跟大家说说手动杀毒的几个常用的方法。你也许会说现在的杀毒软件那么多啊,为什么我们还要学习用手动来杀毒呢?你想想病毒的产生肯定是比你的杀毒软件的升级快很多的,既然是那个样子的话,我们学习手动杀毒就对我们很有帮助,也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的https://www.dadighost.com/help/511.html
7.杀毒软件下载反病毒软件防病毒软件哪个好华军纯净下载提供国内外最新的防毒/杀毒软件下载,其中包含360杀毒、腾讯电脑管家、百度杀毒等反病毒软件下载。想了解防病毒软件哪个好等更多内容,尽在华军软件下载!https://soft.onlinedown.net/sort/135-hot/
8.安全基础之各类型病毒手工清除方法这类加载方式也是比较少见,建议跟Config.sys方法一样。 4和5的加载方式建议大家先必须确定计算机有病毒,并且上边的方法都找不到后,最后来这里进行查找。 总结:这类病毒是比较容易暴露的,建议手动删除时最好进入安全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型病毒很容易暴露出来的,下边附上一张WINDOWS安全https://metc.sju.edu.cn/0d/37/c1063a3383/page.htm
9.系统自带的最不起眼但又最强的杀毒工具系统自带的最不起眼但又最强的杀毒工具. Windows系统集成了无数的工具,它们各司其职,满足用户不同的应用需求。其实这些工具“多才多艺”,如果你有足够的想象力并且善于挖掘,你会发现它们除了本行之外还可以帮我们杀毒。不信?你看吧! 一、任务管理器给病毒背后一刀 https://www.linktom.com/help/article/51
10.百万级感染量感染型病毒猖狂在哪里?附火绒有效查杀方式附火绒有效查杀方式 感染型病毒是用户特别是企业用户最常遇到的病毒种类之一,此类病毒凭借隐蔽的传播特性,可长期感染、盘踞在用户的关键运行程序、重要文件上,造成即使发现病毒也“不敢杀、不会杀、不想杀”的局面,最终任由病毒四处扩散,威胁终端安全。 为此,火绒根据多年累积的处理、解决感染型病毒的实际案例,以及https://cloud.tencent.com/developer/article/1832673
11.常见电脑病毒介绍大全这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 7. 最好安装专业的杀毒软件进行全面监控 https://www.oh100.com/peixun/wangluojishu/270074.html
12.常见的几种autorun类病毒查杀方法MicrosoftLearn那么下面我们来说一下此类病毒的通用查杀方法,希望大家都能自己动手。 首先我要说的就是做系统的时候,就一定要做到的前两点: 1、修改组策略关闭自动播放 运行-->gpedit.msc-->用户配置-->系统-->关闭自动播放-->已启用-所有驱动器 2、关掉自动播放所用到的一个服务 https://technet.microsoft.com/zh-cn/library/ff629052.aspx
13.360杀毒集合众多好用系统管理、净化软件、优化功能 全新界面 全新设计的产品界面,更加清爽、简洁 5大引擎,提供给力的查杀能力 依托360安全大脑,杀毒创新性地整合五大领先防杀引擎, 更有领先业界的鲲鹏查杀引擎率先在杀毒上运用,通过对五个引擎的智能调度,为您提供全时全面的病毒防护,不但查杀能力出色,而且能第一时间防御新出现https://sd.360.cn/
14.电脑怎么在安全模式下杀毒?安全模式下解决病毒方法介绍安全模式下解决病毒方法介绍 对于一些顽固的病毒,我们常常要进入安全模式查杀,不过进入安全模式再杀毒的过程对于一些初级用户来说过于复杂。下面小编就为大家介绍电脑怎么在安全模式下杀毒?安全模式下解决病毒方法,一起来看看吧! 【进入安全模式】 1、进入安全模式的方法很简单,首先重启电脑,重启过程中不停的按F8,这样在https://tech.hqew.com/news_1772555
15.预防电脑病毒的方法8、不要使用修改版的软件,如果一定要用,请在使用前查杀病毒木马,以确保安全 计算机病毒预防方法二: 首先,得先建立防御体系,推荐安全管家配合金山新毒霸,还要一个急救箱,360或金山的都可以.最好还要装上冰刃、狙剑、Powertool(非常强大的内核级修复工具)等软件,以备不时之需。 https://www.yjbys.com/edu/wangluojishu/271509.html
16.360安全卫士如何查杀ARP病毒ARP病毒主要针对局域网办公环境,如果局域网内的一台电脑感染了ARP病毒,就有可能造成多台电脑的感染ARP病毒,影响我们的隐私安全。那有没有什么办法可以阻止ARP病毒攻击呢,我们可以借用360安全卫士,360安全卫士作为一款专业的安全防护软件,可以保护我们的电脑不受病毒侵害,接下来小编就给大家介绍一下怎么在360安全卫士中设https://mydown.yesky.com/news/2147466483.html
17.关于电脑病毒查杀的方法教你如何查杀病毒很多企业都花大手笔采购杀毒软件保护自己的重要数据不被电脑病毒袭击,确实,杀毒软件可以帮我们排除和查杀计算机系统中的病毒、木马和恶意病毒,但光靠杀毒软件来查杀病毒是不够的,因此这里给大家介绍几种病毒查杀的方法。 1、非系统文件内被激活的的病毒 这种病毒查杀方法很简单,一般都能将其歼灭。方法是在一般的http://www.125315.com/help/show-21-327-1.html
18.手动查杀电脑病毒的一些基本方法电脑中病毒怎么查杀资源比如冲击波和振荡波等病毒有时会导致Windows蓝屏死机, 因此查杀病毒必不可少. 同时一些木马间谍软件也会引发蓝屏, 所以最好再用相关工具进行扫描检查. 5.检查BIOS和硬件兼容性 对于新装的电脑经常出现蓝屏问题, 应该 教你如何手动杀毒,成为电脑高手 https://download.csdn.net/download/weixin_38610012/12212416
19.卡饭论坛最好的软件论坛讨论互助分享QQ医生之初是为了专门查杀QQ盗号木马。在2010年5月,QQ医生升级为QQ电脑管家,随后 如何使用冰盾(iDefender)给指定程序设置文 冰盾· 主动防御系统是深圳市创信长荣网络有限公司使用iMonitorSDK 实现,基于场景模 virus驱逐舰单机版 产品特点:安装包小,占用资源少,简单美观的操作界面 远古的病毒库无法升级了https://bbs.kafan.cn/
20.教你如何全面清除计算机病毒Explorer.EXE是个木马病毒,这个木马进入计算机后,产生主要的三个文件是:interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和 Explorer.exe混淆。它是数字 1不是字母l。这个病毒入驻进程以后,会大量的消耗系统资源,并会跟着资源管理器一同启动。杀除方法如下: https://www.jy135.com/diannao/370925.html