一种防止病毒误杀的方法及装置与流程

本发明涉及电子技术，尤其涉及一种防止病毒误杀的方法及装置。

背景技术：

扫描病毒的过程是用于检测终端的运行环境是否安全的重要过程，相关技术中一般包括以下两种：1)服务器下发重要的软件保护名单到终端本地，以对查杀结果进行保护。2)在云查系统针对知名或者合作厂商软件提供白名单。这种两种方法主要问题是，下发的名单或者提供的白名单上的软件个数有限，很多时候并不能起到保护误杀的效果，对快速发展的软件市场缺乏相应的基于大数据的榜单追踪，保护效果非常局限；因为名单设计简单，通常不能处理万能钥匙(Master key)病毒，也不包含基于大数据的用户装机量等名单，容易引起影响广泛的误杀。而且系统不独立与云查系统，当云查系统自身出问题的时候，误杀再所难免。

技术实现要素：

有鉴于此，本发明实施例为解决现有技术中存在的至少一个问题而提供一种防止病毒误杀的方法及装置，能够解决原有病毒查杀系统容易产生误杀误判的现象。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供一种种防止病毒误杀的方法，所述方法包括：

确定待分析的第一软件的软件信息或第一软件的第一软件特征；

根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；

如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第一软件特征匹配的所述第一病毒的标识；

根据所述第一病毒的标识判断所述第一病毒是否满足预设的第一条件，得到第一判断结果；

如果所述第一判断结果表明所述第一病毒不满足所述第一条件，判断所述第一软件的标识是否满足预设的第二条件，得到第二判断结果；

如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，输出第一扫描结果，所述第一扫描结果用于表明所述第一软件不是病毒。

第二方面，本发明实施例提供一种防止病毒误杀的装置，所述装置包括第一确定单元、第一判断单元、第二确定单元、第二判断单元、第三判断单元和第一输出单元，其中：

所述第一确定单元，用于确定待分析的第一软件的软件信息或第一软件的第一软件特征；

所述第一判断单元，用于根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；

所述第二确定单元，用于如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第一软件特征匹配的第一病毒的标识；

所述第二判断单元，用于根据所述第一病毒的标识判断所述第一病毒是否满足预设的第一条件，得到第一判断结果；

所述第三判断单元，用于如果所述第一判断结果表明所述第一病毒不满足所述第一条件，判断所述第一软件的标识是否满足预设的第二条件，得到第二判断结果；

所述第一输出单元，用于如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，输出第一扫描结果，所述第一扫描结果用于表明所述第一软件不是病毒。

本发明实施例提供一种防止病毒误杀的方法及装置，其中，确定待分析的第一软件的软件信息或第一软件的第一软件特征；根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第一软件特征匹配的所述第一病毒的标识；根据所述第一病毒的标识判断所述第一病毒是否满足预设的第一条件；如果所述第一病毒不满足所述第一条件，判断所述第一软件的标识是否满足预设的第二条件；如果所述第一软件的标识满足所述第二条件，输出第一扫描结果；如此，能够解决原有病毒查杀系统容易产生误杀误判的现象。

附图说明

图1为本发明实施例防止病毒误杀的方法的实现流程示意图一；

图2为本发明实施例的场景示意图一；

图3为本发明实施例的场景示意图二；

图4为本发明实施例防止病毒误杀的方法的实现流程示意图二；

图5为本发明实施例防止病毒误杀的装置的组成结构示意图。

具体实施方式

为了更方便地理解本发明以下各实施例提供的技术方案，下面先介绍本发明的原理。

扫描病毒的过程一般分为本地查杀和云查杀或者分为本地扫描或云扫描。其中，本地查杀首先需要解析安装包文件的详细信息以提取软件特征，然后通过特征匹配以判断软件是否为病毒。云查杀的时候则将终端上报的安装包的详细信息与云端的大数据病毒样本库进行匹配，匹配的最终结果返回给终端。上述的本地查杀和云查杀都可能产生误杀，例如本地查杀的特征匹配可能导致某些安全的软件甚至于知名软件误中某个特征而被认为是病毒，云查的时候大数据样本库也可能有误判的情况，如果误杀发生在一些知名软件、安装量比较大的软件、合作厂商的软件等，这样会造成运营事故，从而损害用户体验。

误查杀的主要原因在于，病毒库中的病毒样本或病毒特征实际上是一段代码，在将一段代码作为病毒特征时，会先将该段代码先进行扫描，即会先将该段代码与正常的安全软件进行匹配，如果病毒的该段代码与某一款安全软件的代码匹配时，那么该段代码就不能作为病毒的特征，那么需要重新确定一段代码。如果病毒的该段代码没有与任一款安全软件的代码匹配时，则该段代码可以作为该病毒的特征。病毒特征的确定一般与当时安全的软件库的容量有关，如果当前出现了新的软件，那么病毒特征可能与新软件的代码匹配，那么利用病毒库中的病毒特征对该新软件进行查杀时，就会将该新软件列为病毒，实际上新软件极有可能并不是病毒，而是因为病毒特征设置的不合理导致的。

本发明针对病毒查杀过程容易产生误杀的问题，实现了一套独立于病毒查杀体系的云端智能名单，对查杀结果进行最终把关，从而最大程度减少误杀。云端或本地的智能名单涵盖了知名厂商的证书(证书过滤的时候会排除掉master key证书伪装的病毒)，知名软件的包名、证书、版本、安装包大小，以及基于大数据的用户软件装机量榜单，从而完全杜绝了较大规模误杀的可能性。同时对于智能名单检测出来的误杀对运营人员进行告警，并把样本重新转入样本自动判别流程，如果仍然不能判定则转人工分析。

下面介绍一下本发明实施例所涉及的名词：

终端管家(例如手机管家)或病毒扫描软件：是一款安全管理软件，集杀毒、安全防护、体检加速、健康优化以及软件管理于一体，为用户提供360°的安全防护的安全类终端软件。

病毒扫描：是终端管家一个功能模块，主要用于发现终端上的恶意软件并提醒用户从而使用户免受其害。扫描病毒的过程一般分为本地查杀和云查杀。本地查杀，判断此安装包文件是否为病毒软件。云查杀是根据终端上报的软件信息，在云端的大数据样本库中匹配该安装包文件是否为病毒软件。其中，所述本地查杀，即解析安装包文件的详细信息以提取软件特征，然后将软件特征与病毒库中的特征进行匹配，如果匹配，则判断此安装包文件为病毒；如果不匹配，则判断此安装包文件不为病毒。

Master key病毒：安卓(Android)系统的一个漏洞导致Android系统的一个病毒可以伪装使用另一个软件包的证书签名，从而达到骗过系统证书校验和常规基于证书的病毒检查。

安装包文件，对于安卓操作系统而言，安装包文件即为(APK，Android Package)安卓安装包；

软件信息或安装包信息包括软件的包名、证书、文件大小、软件所包含的资源文件、代码中包含的常量字符串等。

下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。

为了解决背景技术中存在的问题，本发明实施例提供一种防止病毒误杀的方法，该方法应用于计算设备，应用于计算设备，该方法所实现的功能可以通过计算设备中的处理器调用程序代码来实现，当然程序代码可以保存在计算机存储介质中，可见，该计算设备至少包括处理器和存储介质。

图1为本发明实施例防止病毒误杀的方法的实现流程示意图一，如图1所示，该方法包括：

步骤S101，确定待分析的第一软件的软件信息或第一软件的第一软件特征；

这里，本发明实施例中的计算设备可以采用终端或服务器来实现，终端或服务器都可以采用具有信息处理能力的电子设备来实现，在实现的过程中，例如电子设备可以包括手机、平板电脑、台式机、个人数字助理、导航仪、数字电话、视频电话、电视机、服务器集群等。

这里，第一软件可以是指待扫描的软件或待查杀的软件。

这里，步骤S101在终端或服务器上实现时，所述确定待分析的第一软件的软件信息或第一软件的第一软件特征，包括：步骤S1011，终端或服务器确定待分析的第一软件的标识；其中软件的标识可以采用软件的名称、包名、编号等来实现。步骤S1012，终端或服务器根据所述第一软件的标识确定所述第一软件的安装包文件，解析所述第一软件的安装包文件，得到第一软件的软件信息；其中，由软件的标识确定安装包文件可以是根据软件的标识从软件库中获取安装包文件或者从网络上下载安装包文件，软件库可以是本地的或远程的。步骤S1013，终端或服务器根据所述第一软件的软件信息从安装包文件中提取第一软件的软件特征。

这里，步骤S101在服务器上实现时，所述确定待分析的第一软件的软件信息或第一软件的第一软件特征，包括：服务器接收终端发送的云查杀请求，所述云查杀请求中携带有第一软件的软件信息或第一软件的第一软件特征；服务器解析所述云查杀请求，得到第一软件的软件信息或第一软件的第一软件特征。

步骤S102，根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；

这里，判断是否存在有与所述第一软件特征进行匹配的预设病毒库中的特征，如果存在有与所述软件特征进行匹配的预设病毒库中的特征，确定与所述第一软件特征匹配的所述第一病毒的标识。

步骤S103，如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第一软件特征匹配的所述第一病毒的标识；

步骤S104，根据所述第一病毒的标识判断所述第一病毒是否满足预设的第一条件，得到第一判断结果；

这里，所述第一条件包括用于伪装另一个软件包的证书签名的病毒的标识，对于不同的操作信息，第一条件不同，例如对于安卓操作系统而言，第一条件包括Master key病毒的标识。

步骤S105，如果所述第一判断结果表明所述第一病毒不满足所述第一条件，判断所述第一软件的标识是否满足预设的第二条件，得到第二判断结果；

这里，所述第二条件包括白名单。该白名单可以包括上述的智能名单，例如可以涵盖知名厂商的证书(证书过滤的时候会排除掉master key证书伪装的病毒)，知名软件的包名、证书、版本、安装包大小，以及基于大数据的用户软件装机量榜单，从而完全杜绝了较大规模误杀的可能性。

这里，在本发明的其他实施例中，所述方法还包括：步骤S107，如果所述第一判断结果表明所述第一病毒不满足所述第一条件，输出第二扫描结果，所述第二扫描结果用于表明所述第一软件是病毒。该步骤可以在终端或服务器上实现，当在服务器上实现时，输出第二扫描结果可以包括服务器将第二扫描结果发送给终端。

步骤S106，如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，输出第一扫描结果，所述第一扫描结果用于表明所述第一软件不是病毒。

这里，上述的步骤S103至步骤S106可以在终端来实现，当然也可以在服务器上来实现，当在服务器上实现时，步骤S106中的输出第一扫描结果可以包括：将第一扫描结果发送给终端，或者，将第一扫描结果携带于云查杀响应中，然后将云查杀响应发送给终端。

这里，在本发明的其他实施例中，所述方法还包括：步骤S108，如果所述第二判断结果表明所述第一软件的标识不满足所述第二条件，输出第二扫描结果。该步骤可以在终端或服务器上实现，当在服务器上实现时，输出第二扫描结果可以包括服务器将第二扫描结果发送给终端。

这里，在本发明的其他实施例中，所述方法还包括：步骤S109，如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，输出第一提示信息，所述第一提示信息用于提醒对所述第一软件进行误查杀。该步骤可以在终端或服务器上实现，当在服务器上实现时，输出第一提示信息可以包括服务器将第一提示信息发送给终端。

在以上的步骤S102中，可以采用以下的实现方式：

方式一，步骤S102采用终端或服务器来实现时，所述根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配，包括：

步骤S1021A，终端或服务器将所述第一软件特征与病毒库中病毒的特征进行匹配，得到第一匹配结果；

步骤S1022A，如果所述第一匹配结果表明所述第一软件特征与所述病毒库中的特征匹配，终端或服务器确定存在有与所述第一软件进行匹配的病毒；

步骤S1023A，如果所述第一匹配结果表明所述第一软件特征与所述病毒库中的特征匹配，终端或服务器确定不存在有与所述第一软件进行匹配的病毒。一般来说，病毒库存储在终端或服务器本地。

方式二，步骤S102采用终端来实现时，所述根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配，包括：

步骤S1021B，终端将所述第一软件特征或第一软件的软件信息携带于云查杀请求中，并终端将所述云查杀请求发送给服务器；

这里，服务器接收云查杀请求，解析云查杀请求，得到所述第一软件特征或第一软件的软件信息；然后服务器根据所述第一软件特征或第一软件的软件信息判断判断所述第一软件是否与预设的病毒库中的病毒匹配，得到查杀结果，然后服务器将查杀结果发送给终端。

步骤S1022B，终端接收所述服务器发送的云查杀响应，所述云查杀响应中携带有查杀结果，所述查杀结果用于表明是否存在有与所述第一软件进行匹配的病毒；

步骤S1023B，根据所述查杀结果判断是否存在有与所述第一软件进行匹配的病毒。

这里，如果查杀结果表明存在有与所述第一软件进行匹配的病毒时，确定所述第一软件与预设的病毒库中的病毒匹配；如果查杀结果表明不存在有与所述第一软件进行匹配的病毒时，确定所述第一软件不与预设的病毒库中的病毒匹配。

从以上实施例可以看出，本发明实施例提供的技术方案解决了原有病毒查杀系统容易产生误杀误判的现象，尤其是误杀一些知名软件，或者装机量比较大的软件的时候会引起很大的运营事故，对误杀的软件造成损失，对用户的体验造成损失。通过引入本实施例提供的技术方案，可以杜绝大规模误杀的可能性。

在本发明的其他实施例中，所述方法还包括：

步骤S121，如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，根据所述第一软件的标识从软件的标识满足白名单的软件库中提取第二软件的软件信息；

步骤S122，判断所述第一软件的软件信息与第二软件的软件信息是否匹配，得到第二匹配结果；

步骤S123，如果所述第二匹配结果表明所述第一软件的软件信息与第二软件的软件信息匹配，则输出第一扫描结果。

步骤S124，如果所述第二匹配结果表明所述第一软件的软件信息与第二软件的软件信息不匹配，则输出第二扫描结果。

这里，所述第二条件可以为与上述智能名单(白名单)中软件标识匹配，即第一软件从标识上判断是安全的软件，例如合作客户的软件或者知名软件厂商的软件。如果与智能名单中的标识匹配，那么可以进一步提取出智能名单上的软件(第二软件)的软件信息，然后进一步比对第一软件的软件信息和第二软件的软件信息，如果比对结果一致，那么第一软件就是安全的软件，如果不一致，则说明第一软件是不安全的软件，或者需要进一步处理例如人工审核。需要说明的是，如果第一软件和第二软件是同一款软件，但是版本不同，那么第一软件的软件信息和第二软件的软件信息会有不同，例如版本号不同。

在本发明的其他实施例中，病毒特征的确定一般与当时安全的软件库的容量有关，如果当前出现了新的软件，那么病毒特征可能与新软件的代码匹配，那么利用病毒库中的病毒特征对该新软件进行查杀时，就会将该新软件列为病毒，实际上新软件极有可能并不是病毒，而是因为病毒特征设置的不合理导致的。基于此，当正常软件被判断为病毒时，那么就需要调整病毒软件的软件特征，具体过程如下：

步骤S131，确定病毒库中第一病毒的软件信息；

步骤S132，根据所述第一病毒的软件信息确定所述第一病毒的第一软件特征；

步骤S133，判断所述第一病毒的第一软件特征是否与软件的标识满足白名单的软件库中的特征匹配；

步骤S134，如果所述第一病毒的第一软件特征与软件的标识满足白名单的软件库中的特征匹配，则根据所述第一病毒的软件信息确定所述第一病毒的第二软件特征。

这里，继续判断所述第一病毒的第二软件特征是否与软件的标识满足白名单的软件库中的特征匹配；如果所述第一病毒的第二软件特征与软件的标识满足白名单的软件库中的特征匹配，那么继续确定第一病毒的第三软件特征，直到找到合适的软件特征为止。

这里，如果所述第一病毒的第一软件特征与软件的标识满足白名单的软件库中的特征不匹配，那么第一病毒的第一软件特征则可以作为病毒的特征而存入病毒库中。

在本发明的其他实施例中，所述方法还包括：

步骤S141，如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，根据所述第一软件的软件信息从安装包文件中提取第二软件特征；

步骤S142，根据所述第二软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；

步骤S143，如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第二软件特征匹配的第二病毒的标识；

步骤S144，根据第二病毒的标识判断所述第二病毒是否满足预设的第一条件，得到第一判断结果；

步骤S145，如果所述第一判断结果表明所述第二病毒不满足所述第一条件，输出第二提示信息，所述第二提示信息用于提醒对所述第一软件通过人工审核以确认所述第一软件是否为病毒。

这里，对于智能名单检测出来的误杀的第一软件，会把第一软件的样本重新进行判断，即重新提取第一软件的软件特征，如果再次判断后第一软件仍为病毒软件，那么就需要进行人工审核。

基于前述的实施例，本发明实施例提供一种防止病毒误查杀的方法，该方法可应用于所有在客户端进行病毒扫描的场景，如图2和图3所示，图2为终端的扫描过程，图3为扫描结果。图4为本发明实施例防止病毒误查杀的方法的实现流程示意图二，如图4所示，该方法包括：

步骤S401，本地查杀；

这里，终端如手机新安装或下载了一个软件例如应用(App)，那么手机先利用手机管家等软件进行本地查杀。

步骤S402，云查杀；

这里，云查杀时，终端需要将待扫描软件的相关信息发送给服务器，例如向服务器发送软件的标识、软件的软件信息或软件的特征至少之一。

这里，无论本地查杀结果如何都可以进行云查，当然也可以是本地查杀后发现软件是正常的安全软件，那么就结束查杀；也可以是本地查杀后发现软件是不病毒，那么在进行云查杀。这里以查杀出来的结果为病毒为例。

步骤S403，判断病毒是否为Master Key病毒，是时，进入步骤S404，反之，进入步骤S405。

这里，以安卓操作系统为例进行说明。

步骤S405，返回云查杀结果；

这里，服务器向终端发送云查杀结果，则返回的结果为该软件是病毒。

步骤S406，判断软件是否命中智能名单，是时，进入步骤S407，反之，进入步骤S404。

这里，智能名单为白名单。

步骤S407，误查杀告警。

这里，如果软件是白名单的软件，那么就需要发送误查杀的告警信息。

步骤S408，样本重新判决；

步骤S409，加入人工审核；

步骤S410，拦截云查杀结果。

这里，在上述的步骤S408至步骤S410中，判定为误杀的，把样本信息通过微信告警发送运营人员，把样本重新加入到判别流程，如果仍然不能处理则提交人工审核。如果没有命中智能名单，则原样返回云查结果给终端。

这里，上述的智能名单收录知名厂商或合作厂商证书、并且收录名软件信息(包名、证书、大小、MD5等)、以及收录大数据分析追踪收率软件榜单，收率排名靠前的榜单上的软件。

在上述实施例中，在客户端云查即将返回阶段，对云查结果进行裁决；如果查出是病毒，而且不是master key证书伪装病毒，且命中了上述的智能名单，则判定为误杀，拦截此次云查结果。判定为误杀的，把样本信息通过微信告警发送运营人员，把样本重新加入到判别流程，如果仍然不能处理则提交人工审核。如果没有命中智能名单，则原样返回云查结果给终端。

本发明实施例提供的技术方案，实现了高可靠的防止云查病毒误杀的方案，通过强大的智能名单，保护了知名软件，合作厂商软件，同时通过大数据追踪软件榜单，完全杜绝了大规模误杀的可能性。同时提供了对运营人员的微信告警，使得整个防误杀系统运行在监督之下。

基于前述实施例，本发明实施例提供一种防止病毒误杀的装置，该装置所包括的各单元以及各单元所包括的各模块，都可以通过计算设备中的处理器来实现，当然也可通过具体的逻辑电路实现；在实施的过程中，处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。

图5为本发明实施例防止病毒误杀的装置的组成结构示意图，如图5所示，该装置400包括第一确定单元401、第一判断单元402、第二确定单元403、第二判断单元404、第三判断单元405和第一输出单元406，其中：

所述第一确定单元401，用于确定待分析的第一软件的软件信息或第一软件的第一软件特征；

所述第一判断单元402，用于根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；

所述第二确定单元403，用于如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第一软件特征匹配的第一病毒的标识；

所述第二判断单元404，用于根据所述第一病毒的标识判断所述第一病毒是否满足预设的第一条件，得到第一判断结果；

所述第三判断单元405，用于如果所述第一判断结果表明所述第一病毒不满足所述第一条件，判断所述第一软件的标识是否满足预设的第二条件，得到第二判断结果；

所述第一输出单元406，用于如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，输出第一扫描结果，所述第一扫描结果用于表明所述第一软件不是病毒。

在本发明的其他实施例中，所述第一判断单元包括匹配模块、第一确定模块和第二确定模块，其中：

所述匹配模块，用于将所述第一软件特征与病毒库中的特征进行匹配，得到第一匹配结果；

所述第一确定模块，用于如果所述第一匹配结果表明所述第一软件特征与所述病毒库中的特征匹配，确定存在有与所述第一软件进行匹配的毒库；

所述第二确定模块，用于如果所述第一匹配结果表明所述第一软件特征与所述病毒库中的特征匹配，确定不存在有与所述第一软件进行匹配的病毒。

在本发明的其他实施例中，所述第一判断单元包括发送模块、接收模块和判断模块，其中：

所述发送模块，用于将所述第一软件特征或第一软件的软件信息携带于云查杀请求中，并将所述云查杀请求发送给服务器；

所述接收模块，用于接收所述服务器发送的云查杀响应，所述云查杀响应中携带有查杀结果，所述查杀结果用于表明是否存在有与所述第一软件进行匹配的病毒；

所述判断模块，用于根据所述查杀结果判断是否存在有与所述第一软件进行匹配的病毒。

在本发明的其他实施例中，所述装置还包括第二输出单元，用于如果所述第一判断结果表明所述病毒不满足所述第一条件，输出第二扫描结果，所述第二扫描结果用于表明所述第一软件是病毒；或者，如果所述第二判断结果表明所述第一软件的标识不满足所述第二条件，输出第二扫描结果。

在本发明的其他实施例中，所述装置还包括提取单元、第四判断单元，其中：

所述提取单元，用于如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，根据所述第一软件的标识从软件的标识满足白名单的软件库中提取第二软件的软件信息；

所述第四判断单元，用于判断所述第一软件的软件信息与第二软件的软件信息是否匹配，得到第二匹配结果；如果所述第二匹配结果表明所述第一软件的软件信息与第二软件的软件信息匹配，则触发所述第一输出单元输出第一扫描结果。

在本发明的其他实施例中，所述装置还包括第三确定单元、第四确定单元、第五判断单元和第五确定单元，其中：

所述第三确定单元，用于确定病毒库中第一病毒的软件信息；

所述第四确定单元，用于根据所述病第一毒的软件信息确定所述第一病毒的第一软件特征；

所述第五判断单元，用于判断所述第一病毒的第一软件特征是否与软件的标识满足白名单的软件库中的特征匹配；

所述第五确定单元，用于如果所述第一病毒的第一软件特征与软件的标识满足白名单的软件库中的特征匹配，则根据所述第一病毒的软件信息确定所述第一病毒的第二软件特征。

在本发明的其他实施例中，所述装置还包括第三输出单元，用于如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，输出第一提示信息，所述第一提示信息用于提醒对所述第一软件进行误查杀。

在本发明的其他实施例中，所述装置还包括提取单元、第六判断单元、第六确定单元、第七判断单元和第四输出单元，其中：

所述提取单元，用于如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，根据所述第一软件的软件信息从安装包文件中提取第二软件特征；

所述第六判断单元，用于根据所述第二软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；

所述第六确定单元，用于如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第二软件特征匹配的第二病毒的标识；

所述第七判断单元，用于根据第二病毒的标识判断所述第二病毒是否满足预设的第一条件，得到第一判断结果；

所述第四输出单元，用于如果所述第一判断结果表明所述第二病毒不满足所述第一条件，输出第二提示信息，所述第二提示信息用于提醒对所述第一软件通过人工审核以确认所述第一软件是否病毒。

这里需要指出的是：以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果，因此不做赘述。对于本发明装置实施例中未披露的技术细节，请参照本发明方法实施例的描述而理解。

要说明的是，本发明实施例中，如果以软件功能模块的形式实现上述的防止病毒误杀的方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

相应地，本发明实施例再提供一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，该计算机可执行指令用于实现本发明实施例中防止病毒误杀的方法。

相应地，本发明实施例再提供一种计算设备，该计算设备包括存储介质，配置为存储计算机可执行指令；

处理器，配置为执行存储在所述存储介质上的计算机可执行指令，所述计算机可执行指令包括：

确定待分析的第一软件的软件信息或第一软件的第一软件特征；

根据所述第一软件的软件信息或所述第一软件特征判断所述第一软件是否与预设的病毒库中的病毒匹配；

如果所述第一软件与预设的病毒库中的病毒匹配，确定与所述第一软件特征匹配的所述第一病毒的标识；

根据所述第一病毒的标识判断所述第一病毒是否满足预设的第一条件，得到第一判断结果；

如果所述第一判断结果表明所述第一病毒不满足所述第一条件，判断所述第一软件的标识是否满足预设的第二条件，得到第二判断结果；

如果所述第二判断结果表明所述第一软件的标识满足所述第二条件，输出第一扫描结果，所述第一扫描结果用于表明所述第一软件不是病毒。

这里需要指出的是：以上设备实施例项的描述，与上述方法描述是类似的，具有同方法实施例相同的有益效果，因此不做赘述。对于本发明设备实施例中未披露的技术细节，本领域的技术人员请参照本发明方法实施例的描述而理解。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。