专利名称:恶意代码处理方法和系统的制作方法
技术领域:
本发明涉及计算机安全技术,具体涉及一种恶意代码处理方法和系统。
背景技术:
当终端被病毒、木马等恶意代码感染后,恶意代码会侵入该终端的操作系统,破坏硬盘上的数据等。并且在该终端的操作系统的启动序列上,安全软件的进程通常位于恶意代码的进程之后,使得恶意代码的进程可以优先于安全软件的进程来执行驱动。恶意代码的进程优先执行驱动,因此可以在系统中执行一些操作以避免其被查杀。例如,恶意代码可以隐藏自身的文件、进程、模块等数据,从而使得安全软件在扫描系统时,无法扫描到恶意代码的数据。又如,恶意代码可以攻击操作系统,修改安全软件的信任区,阻止安全软件连网、修改安全软件的查杀结果等,从而使得安全软件出现加载失败或查杀失败等状况,进而使得恶意代码达到避免被查杀的目的。因此,当终端被恶意代码感染后,就会出现安全软件失去作用的情况,使得安全软件无法确保终端的安全。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的恶意代码处理系统和相应的恶意代码处理方法。依据本发明的一个方面,提供了一种恶意代码处理方法,终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中安装有安全软件,所述的方法包括预先在终端的启动项中添加所述第二操作系统的启动选项;进入所述终端的启动项后,选择所述第二操作系统的启动选项,以进入配置于存储设备中的第二操作系统;启动所述第二操作系统中的安全软件,对所述终端进行扫描以查杀恶意代码;其中,所述预先在终端的启动项中添加所述第二操作系统的启动选项,包括在终端的系统盘中写入引导文件,所述引导文件指向所述第二操作系统;在终端的启动项中添加一个启动选项,将所述启动选项指向所述引导文件。本发明实施例中,所述选择所述第二操作系统的启动选项,以进入配置于存储设备中第二操作系统,包括通过选择所述第二操作系统的启动选项,触发所述引导文件;采用所述引导文件查找所述外置存储设备;读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统。本发明实施例中,所述外置存储设备具备若干设备类型,所述采用所述引导文件查找所述外置存储设备,包括所述引导文件触发系统引导文件,获取终端的硬件设备;依据所述设备类型参数从所述硬件设备中查找所述外置存储设备。本发明实施例中,所述外置存储设备为可引导存储设备,则所述可引导存储设备中存在主引导记录,所述读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统,包括读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录;若存在所述主引导记录,则启动所述主引导记录进入所述第二操作系统。本发明实施例中,所述读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录,包括读取所述外置存储设备中任一扇区的数据或配置文件;根据所述扇区中各分区表的类型,确定是否存在所述主引导记录。本发明实施例中,所述外置存储设备为可移动磁盘,包括闪存盘、移动硬盘、手机、无线上网终端和存储卡。根据本发明的另一方面,提供了一种恶意代码处理系统,包括终端和外置存储设备,其中,终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中配置有安全软件;所述终端包括添加模块,用于预先在启动项中添加所述第二操作系统的启动选项;启动模块,用于进入所述终端的启动项后,选择所述第二操作系统的启动选项,以进入配置于存储设备中第二操作系统;所述外置存储设备包括查杀模块,用于启动所述第二操作系统中的安全软件,对所述终端中的恶意代码进行查杀;其中,所述添加模块包括写入子模块,用于在终端的系统盘中写入引导文件,所述引导文件指向所述第二操作系统;添加子模块,用于在终端的启动项中添加一个启动选项,将所述启动选项指向所述引导文件。本发明实施例中,所述启动模块,包括触发模块,用于通过选择所述第二操作系统的启动选项,触发所述引导文件;查找子模块,用于采用所述引导文件查找所述外置存储设备;读取子模块,用于读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统。本发明实施例中,所述外置存储设备具备若干设备类型;所述查找子模块,具体用于所述引导文件触发系统引导文件,获取终端的硬件设备;依据所述设备类型参数从所述硬件设备中查找所述外置存储设备。本发明实施例中,所述外置存储设备为可引导存储设备,则所述可引导存储设备中存在主引导记录,则所述外置存储设备还包括引导模块;所述引导模块,用于依据所述主引导记录进入所述第二操作系统;则所述读取子模块,具体用于读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录;若存在所述主引导记录,则启动所述主引导记录。本发明实施例中,所述读取子模块,具体用于读取所述外置存储设备中任一扇区的数据或配置文件;根据所述扇区中各分区表的类型,确定是否存在所述主引导记录。本发明实施例中,所述外置存储设备为可移动磁盘,包括闪存盘、移动硬盘、手机、无线上网终端和存储卡。本发明实施例终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中安装有安全软件。因此可以在终端的启动项中添加所述第二操作系统的启动选项,从而在启动终端时进入所述第二操作系统,采用第二操作系统中的安全软件,对所述终端进行扫描以查杀恶意代码。在使用终端的第一操作系统时,第二操作系统的数据适于终端隔离的,因此即使终端被恶意代码侵入,第二操作系统中的数据是安全的,因此其中的安全软件可以保护终端中数据的安全。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1示出了根据本发明一个实施例的恶意代码处理方法流程图;图2示出了根据本发明一个实施例的进入第二操作系统方法流程图;图3示出了本发明实施例引导文件操作流程图;图4示出了根据本发明一个实施例的恶意代码处理系统结构图;图5示出了根据本发明一个实施例的终端结构图。
具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。当终端被病毒、木马等恶意代码感染后,恶意代码会侵入该终端的操作系统,破坏硬盘上的数据,窃取用户信息等。因此为了保护数据的安全,用户的隐私,可以采用安全软件对病毒进行查杀。其中,所述安全软件是一种可以对病毒、木马等一切已知的对计算机有危害的恶意代码进行清除的程序工具。如杀毒软件,系统工具和反流氓软件等。但是,恶意代码为了避免自己被查杀,通常会改变该终端的操作系统的启动序列,使得恶意进程位于启动序列的前面,从而导致安全软件的进程位于恶意代码的进程之后,使得恶意代码的进程可以优先于安全软件的进程来执行驱动。恶意代码的进程优先执行驱动,因此可以在系统中执行一些操作以避免其被查杀。例如,恶意代码可以隐藏自身的文件、进程、模块等数据,从而使得安全软件在扫描系统时,无法扫描到恶意代码的数据。又如,恶意代码可以攻击操作系统,修改安全软件的信任区,阻止安全软件连网、修改安全软件的查杀结果等,从而使得安全软件出现加载失败或查杀失败等状况,进而使得恶意代码达到避免被查杀的目的。因此,当终端被恶意代码感染后,就会出现安全软件失去作用的情况,使得安全软件无法确保终端的安全。本发明实施例针对上述的情况,提供了一种恶意代码处理方法,可以为终端引入外置存储设备中的操作系统,从而采用该操作系统中的安全软件对终端进行扫描,以对终端中的恶意代码进行查杀。本发明实施例中,终端中的操作系统称为第一操作系统,将外置存储设备中的操作系统称为第二操作系统,并且在第二操作系统中安装安全软件,从而可以采用所述安全软件保护数据的安全。当然,第一操作系统中也可以安装杀毒软件,从而在使用第一操作系统时,可以对终端中的数据安全进行维护。因此,所述终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,并且在所述第二操作系统中安装安全软件。其中,所述第一操作系统和第二操作系统可以是Windows、Linux等,本发明实施例对此不做限定。图1示出了根据本发明一个实施例所述恶意代码处理方法流程图。步骤101,预先在终端的启动项中添加所述第二操作系统的启动选项。由于感染病毒后,终端的第一操作系统中的安全软件可以无法继续保护系统的安全,因此为了确保终端中数据的安全,可以引入外置的第二操作系统。所述第二操作系统配置于外置存储设备中,从而第二操作系统中的数据本身是独立于终端的,因此如果终端在感染恶意代码时没有连接外置存储设备,则第二操作系统不会感染病毒,即第二操作系统中的数据是安全的。此后若终端调用该第二操作系统,就可以使用第二操作系统中的安全软件,对终端以及外置存储设备中的数据进行扫描,从而保护终端及外置存储设备中数据的安全。其中,所述终端调用第二操作系统,可以理解为在终端中启动并进入第二操作系统。终端启动时会先进入启动项,在启动项中可以通过启动选项选择进入的位置,如安全模式、第一操作系统或第二操作系统等。因此,要预先在终端的启动项中添加所述第二操作系统的启动选项,即在终端的启动项中添加一个启动选项,采用该启动选项指向外置存储设备的第二操作系统。则本发明实施例中,所述预先在终端的启动项中添加所述第二操作系统的启动选项,包括在终端的系统盘中写入引导文件,所述引导文件指向所述第二操作系统;在终端的启动项中添加一个启动选项,将所述启动选项指向所述引导文件。首先可以在终端的系统盘中写入引导文件,例如采用WriteFile将引导文件放到系统盘中。其中,系统盘是终端的硬盘中的一个,主要用于对终端中操作系统等的数据进行存储,如C盘。所述引导文件用于引导进入相应的操作系统,是一种可执行文件。本申请实施例中所述引导文件指向外置存储设备中的第二操作系统,即在调用该引导文件后,可以采用该引导文件引导到第二操作系统。然后,可以在终端的启动项中添加Iv启动选项,将所述启动选项指向所述引导文件,从而后续通过所述启动选项可以将所述启动选项指向所述引导文件中。具体的,由于第一操作系统的不同,在启动项中添加启动选项的操作也各不相同。以在Windows系统为例,若所述第一操作系统是Windows XP或Windows2003,则可以采用系统文件boot, ini在系统中添加启动选项。具体的,使用boot, ini时可以调用系统的应用程序编程接口(Application Programming Interface, API)添加启动项,其中 API 具体可以包括GetPrivateProfilelnt、WritePrivateProfileString、GetPrivateProfiIeString 和 WritePrivateProfileTnt0
又如,在vista、win7和win8系统中,可以采用bcdedit. exe这个系统工具。来完成启动选项的添加,其中bcdedit. exe使用到的功能可以包括1、copy {current} ;2、displayorder ;3、addlast。步骤102,进入所述终端的启动项后,选择所述第二操作系统的启动选项,以进入配置于存储设备中第二操作系统。在所述终端的启动项中添加了弟_· 呆作系统的启动选项后,可以在启动终端并进入所述终端的启动项后,选择所述第二操作系统的启动选项,从而触发所述启动选项指向的引导文件,进而通过引导文件进入外置存储设备中的第二操作系统。图2示出了根据本发明一个实施例所述进入第二操作系统方法流程图。其中,所述选择所述第二操作系统的启动选项,以进入配置于存储设备中第二操 作系统,包括步骤201,通过选择所述第二操作系统的启动选项,触发所述引导文件。在启动终端并进入启动项后,可以选择所述第二操作系统的启动选项,所述第二操作系统的启动选项指向所述引导文件,从而可以触发所述引导文件。步骤202,采用所述引导文件查找所述外置存储设备。引导文件被触发后,就可以依据所述引导文件中的配置执行相关操作,具体的首先所述弓I导文件会查找所述外置存储设备。其中,不同的文件可以采用文件的后缀进行区分,如.exe,.1ni等,因此本发明实施例中配置的引导文件可以通过名称、后缀等查找。实际处理中,硬件设备往往包含多种类型,如硬盘、外置存储设备、显卡、声卡、网卡、显示器、键盘、鼠标和打印机等,或者是闪存盘、移动硬盘、手机、无线上网终端、和存储
下寸ο因此,在终端中可以采用设备类型参数来对各硬件设备进行区分。随着技术的发展,外置存储设备也变得也来越多样,如磁盘、硬盘等,又如闪存盘、DVD光盘等,因此可以采用设备类型对不同的外置存储设备进行区分,即所述外置存储设备具备若干设备类型,则在终端中可以采用设备类型参数来标记各外置存储设备的设备类型。所述采用所述引导文件查找所述外置存储设备,包括所述引导文件触发系统引导文件,获取终端的硬件设备;依据所述设备类型参数从所述硬件设备中查找所述外置存储设备。其中,所述系统引导文件可以为NTDETECT. C0M,用于收集终端中各硬件设备的信息,从而对终端中的硬件设备进行枚举。例如通过NTDETECT. COM会收集包括如下类型的硬件信息系统固件信息,例如时间和日期等,总线适配器的类型,显卡适配器的类型,键盘,通信端口,磁盘,软盘,输入设备,例如鼠标,并口,安装在ISA槽中的ISA设备,并且操作系统例如Windows XP可以在屏幕上提示用户Windows的启动进程等。本发明实施例中,所述引导文件会触发系统引导文件,所述系统引导文件可以依据各设备类型参数枚举终端中的硬件设备,即可以获取终端中各种类型的硬件设备,当然也可以依据设备类型参数,从所述硬件设备中查找到各设备类型的外置存储设备,如查找磁盘或硬盘,甚至查找更细节的USB类型的闪存盘。步骤203,读取所述外置存储设备中的数据,启动所述第二操作系统。然后可以读取所述外置存储设备中的数据,从而获取到与启动相关的数据,启动第二操作系统。本发明实施例中,所述外置存储设备为可引导存储设备,则所述可引导存储设备中存在主引导记录。所述可引导存储设备是一种可以通过引导进行启动等操作的存储设备。则可引导存储设备中存在主引导记录(Master Boot Record, MBR),也称为主引导程序,所述主引导记录一般将MBR分为广义和狭义两种广义的MBR包含整个扇区(引导程序、分区表及分隔标识);而狭义的MBR仅指引导程序。终端通电开机,主板自检完成后,MBR位于被第一个读取到的位置。即位于硬盘的O磁头O磁道I扇区,它的大小是512字节,不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。则所述读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统,包括读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录;若存在所述主引导记录,则启动所述主引导记录进入所述第二操作系统。终端中可能插入了若干个外置存储设备,因此可以逐个查找外置存储设备,并依次读取每个外置存储设备的数据或配置文件,查找是否存在所述MBR,若不存在所述MBR,则继续读取下一个外置存储设备并查找。若存在所述MBR,则启动所述MBR,通过所述MBR可以进入所述第二操作系统。进一步,所述读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录,包括读取所述外置存储设备中任一扇区的数据或配置文件;根据所述扇区中各分区表的类型,确定是否存在所述主引导记录。以第一扇区为例,所述第一扇区是存储设备的第一个扇区,它通常是512个字节最后2个字节是55AA。本发明实施例中,在向终端的系统盘中写入引导文件时,也可以插入外置存储设备,向所述外置存储设备写入引导相关的数据,如第一个扇区可以在倒数第3和第4个字节写入自定义的标记,比如360F。因此,当引导文件查找到外置存储设备,并读取第一个扇区中数据或配置文件时,可以判断倒数第3和第4个字节中的数据是否是360F。若是就认为存在完整的引导程序,即存在主引导记录。并且可以将所述外置存储设备配置成可启动的外置存储设备,即可以自行启动的外置存储设备。假设主引导记录配置于存储设备的第一扇区内,则可以查找所述外置存储设备中的第一扇区,然后读取所述第一扇区中的数据或配置文件,然后根据第一扇区中各分区表的类型,具体的,可以根据预先写入外置存储器中的自定义的标记,确定该分区表的类型,从而查找是否存在可引导数据,即确定是否存在所述主引导记录。当然,所述自定义的标记也可以写入外置存储设备的其他扇区中,如第二个扇区或第三个扇区中的某个位置。因此,若查找第一扇区中没有主引导记录后,还可以查找其他扇区。若将所述自定义的标记写入其他扇区,则相关查找主引导记录的操作同在第一扇区进行查找基本一致,对于在第一扇区中查找主引导记录的相关操作仅由于举例论述,不应理解为是对本发明实施例的限制。例如,外置存储设备是闪存盘,是USB类型的磁盘中的一种,可以读取所述闪存盘的数据,具体的会读取所述闪存盘的任一扇区,根据所述扇区中各分区表的类型查找是否存在可引导数据即MBR,在找到MBR后,可以由MBR引导进入第二操作系统。实际处理中,通常终端启动的过程是1.终端通电开机,主板自检;2.主板BIOS根据终端中指定的启动顺序从软盘、硬盘或光驱进行启动;3. BIOS将主引导记录(MBR)读入内存;
4. BIOS将控制权交给MBR ;5. MBR可以检查分区表状态,寻找活动的分区;6.主引导程序将控制权交给活动分区的引导记录,由所述引导记录加载操作系统的启动文件,启动对应的操作系统。本发明实施例中,由于终端中选定的是第二操作系统的启动选项,因此,在第3步中,BIOS会将引导文件读入内存,然后将控制权交给所述引导文件。图3示出了本发明实施例所述引导文件操作流程图。步骤301,打开外置存储设备。步骤302,读取外置存储设备前η个引导区的数据或配置文件到内存的地址X中。其中,所述引导区可以理解为外置存储设备的扇区,由于每一个扇区可以存储512字节的数据,因此读取到内存中的数据就有η*512字节。步骤303,跳转到外置存储设备中数据或配置文件在内存中的地址X。即主引导程序后续可以将控制权交给所述前η个引导区中的引导记录。步骤304,将地址X的数据或配置文件等运行后,加载第二操作系统。即引导记录运行后,由所述引导记录加载第二操作系统的启动文件,启动所述第二操作系统。步骤103,启动所述第二操作系统中的安全软件,对所述终端进行扫描以查杀恶意代码。进入第二操作系统后,可以启动所述第二操作系统中的安全软件,使用所述安全软件对终端和外置存储设备中个存储空间的数据进行扫描,从而检测是否存在病毒等恶意代码。本发明实施例中可以在终端的第一操作系统感染恶意代码后,第一操作系统的安全软件无法保护系统安全的情况下,重新启动所述终端并插入外置存储设备,从而进入第二操作系统,使用安全软件进行恶意代码的查杀。也可以在每次启动所述终端时都先插入外置存储设备,并进入终端的启动项后,选择进入第二操作系统的启动项,从而进入第二操作系统,使用安全软件进行恶意代码的查杀。在确认没有问题后,再进入第一操作系统。在上述的过程中为了保证第二操作系统中数据的安全,从而使得第二操作系统中的安全软件可以保护终端中数据的安全,还可以在进入第二操作系统之前,将配置有第二操作系统的外置存储设备和所述终端隔离,从而使得终端中运行第一操作系统时,配置有第二操作系统的外置存储设备不会与终端进行连接,从而保证外置存储设备中数据的安全。本发明实施例中,外置存储设备为可移动磁盘,包括闪存盘、移动硬盘、手机、无线上网终端和存储卡。例如,一种恶意代码是淘宝客驱动木马,终端感染所述淘宝客驱动木马后,会断开终端的网络,同时木马的驱动可以隐藏自身文件和进程。从而使得安全软件由于断网无法连接到云端的杀毒引擎,从而无法查杀该木马。本发明实施例中,假设所述第二操作系统为WinPE系统。在终端感染恶意代码如淘宝客驱动木马后,可以重新启动所述终端并插入外置存储设备,然后进入所述WinPE系统,从而在WinPE系统中对启动安全软件,对恶意代码进行查杀。本发明实施例无需用户手工配置BIOS,操作非常简单方便。其中,WinPE指的是 Windows Preinstall Environment,即 Windows 预安装环境,是带有限服务的最小Win32子系统,基于以保护模式运行的Windows XP Professional内核。它包括运行Windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。综上所述,本发明实施例终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中安装有安全软件。因此可以在终端的启动项中添加所述第二操作系统的启动选项,从而在启动终端时进入所述第二操作系统,采用第二操作系统中的安全软件,对所述终端进行扫描以查杀恶意代码。在使用终端的第一操作系统时,第二操作系统的数据适于终端隔离的,因此即使终端被恶意代码侵入,第二操作系统中的数据是安全的,因此其中的安全软件可以保护终端中数据的安全。其次,本发明实施例可以在终端的系统盘中写入引导文件,将终端中添加的启动选项指向所述引导文件,从而采用引导文件引导进入第二操作系统。该方法操作简单,可以自动完成启动项的修改。再次,本发明实施例中可以采用弓丨导文件触发系统弓I导文件,如NTDETECT. COM,收集终端中各硬件设备的信息,从而对终端中的硬件设备进行枚举以获取终端的硬件设备,从而依据设备类型查找外置存储设备,查找方法简单。再次,本发明实施例中所述外置存储设备为可移动磁盘,包括闪存盘、移动硬盘和存储卡。种类多样,满足各类用户的需求。图4示出了根据本发明一个实施例所述恶意代码处理系统结构图。本发明实施例还提供了一种恶意代码处理系统,包括终端I和外置存储设备2,其中,终端I中配置有第一操作系统,外置存储设备2中配置有第二操作系统,所述第二操作系统中配置有安全软件。所述终端I包括添加模块11,用于预先在启动项中添加所述第二操作系统的启动选项;启动模块12,用于进入所述终端的启动项后,选择所述第二操作系统的启动选项,以进入配置于存储设备中第二操作系统; 所述外置存储设备2包括查杀模块22,用于启动所述第二操作系统中的安全软件,对所述终端中的恶意代码进行查杀。图5示出了根据本发明一个实施例所述终端结构图。本发明实施例中,所述添加模块11,包括写入子模块111,用于在终端的系统盘中写入引导文件,所述引导文件指向所述第二操作系统;添加子模块112,用于在终端的启动项中添加一个启动选项,将所述启动选项指向所述引导文件。本发明实施例中,所述启动模块12,包括触发子模块121,用于通过选择所述第二操作系统的启动选项,触发所述引导文件;查找子模块122,用于采用所述引导文件查找所述外置存储设备;读取子模块123,用于读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统。本发明实施例中,所述外置存储设备具备若干设备类型;所述查找子模块122,具体用于所述引导文件触发系统引导文件,获取终端的硬件设备;依据所述设备类型参数从所述硬件设备中查找所述外置存储设备。本发明实施例中,所述外置存储设备为可引导存储设备,则所述可引导存储设备中存在主引导记录,则所述外置存储设备2还包括引导模块21 ;所述引导模块21,用于依据所述主引导记录进入所述第二操作系统;则所述读取子模块122,具体用于读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录;若存在所述主引导记录,则启动所述主引导记录。本发明实施例中,所述读取子模块122,具体用于读取所述外置存储设备中任一扇区的数据或配置文件;根据所述扇区中各分区表的类型,确定是否存在所述主引导记录。本发明实施例中,所述外置存储设备为可移动磁盘,包括闪存盘、移动硬盘、手机、无线上网终端和存储卡综上所述,本发明实施例终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中安装有安全软件。因此可以在终端的启动项中添加所述第二操作系统的启动选项,从而在启动终端时进入所述第二操作系统,采用第二操作系统中的安全软件,对所述终端进行扫描以查杀恶意代码。在使用终端的第一操作系统时,第二操作系统的数据适于终端隔离的,因此即使终端被恶意代码侵入,第二操作系统中的数据是安全的,因此其中的安全软件可以保护终端中数据的安全。其次,本发明实施例可以在终端的系统盘中写入引导文件,将终端中添加的启动选项指向所述引导文件,从而采用引导文件引导进入第二操作系统。方操作简单,可以自动完成启动项的修改。再次,本发明实施例中可以采用弓丨导文件触发系统弓I导文件,如NTDETECT. COM,收集终端中各硬件设备的信息,从而对终端中的硬件设备进行枚举以获取终端的硬件设备,从而依据设备类型查找外置存储设备,查找方法简单。再次,本发明实施例中所述外置存储设备为可移动磁盘,包括闪存盘、移动硬盘和存储卡。种类多样,满足各类用户的需求。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的恶意代码处理系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种恶意代码处理方法,终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中安装有安全软件,所述的方法包括预先在终端的启动项中添加所述第二操作系统的启动选项;进入所述终端的启动项后,选择所述第二操作系统的启动选项,以进入配置于存储设备中的第二操作系统;启动所述第二操作系统中的安全软件,对所述终端进行扫描以查杀恶意代码;其中,所述预先在终端的启动项中添加所述第二操作系统的启动选项,包括在终端的系统盘中写入引导文件,所述引导文件指向所述第二操作系统;在终端的启动项中添加一个启动选项,将所述启动选项指向所述引导文件。
2.如权利要求1所述的方法,所述选择所述第二操作系统的启动选项,以进入配置于存储设备中第二操作系统,包括通过选择所述第二操作系统的启动选项,触发所述引导文件;采用所述引导文件查找所述外置存储设备;读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统。
3.如权利要求2所述的方法,所述外置存储设备具备若干设备类型,所述采用所述引导文件查找所述外置存储设备,包括所述引导文件触发系统引导文件,获取终端的硬件设备;依据所述设备类型参数从所述硬件设备中查找所述外置存储设备。
4.如权利要求2或3任一所述的方法,所述外置存储设备为可引导存储设备,则所述可引导存储设备中存在主引导记录,所述读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统,包括读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录;若存在所述主引导记录,则启动所述主引导记录进入所述第二操作系统。
5.如权利要求4所述的方法,所述读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录,包括读取所述外置存储设备中任一扇区的数据或配置文件;根据所述扇区中各分区表的类型,确定是否存在所述主引导记录。
6.根据权利要求1、2、3、4或5任一所述的方法,所述外置存储设备为可移动磁盘,包括闪存盘、移动硬盘、手机、无线上网终端和存储卡。
7.—种恶意代码处理系统,包括终端和外置存储设备,其中,终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中配置有安全软件;所述终端包括添加模块,用于预先在启动项中添加所述第二操作系统的启动选项;启动模块,用于进入所述终端的启动项后,选择所述第二操作系统的启动选项,以进入配置于存储设备中第二操作系统;所述外置存储设备包括查杀模块,用于启动所述第二操作系统中的安全软件,对所述终端中的恶意代码进行查杀;其中,所述添加模块包括写入子模块,用于在终端的系统盘中写入引导文件,所述引导文件指向所述第二操作系统;添加子模块,用于在终端的启动项中添加一个启动选项,将所述启动选项指向所述引导文件。
8.如权利要求7所述的系统,所述启动模块,包括触发模块,用于通过选择所述第二操作系统的启动选项,触发所述引导文件;查找子模块,用于采用所述引导文件查找所述外置存储设备;读取子模块,用于读取所述外置存储设备中的数据或配置文件,启动所述第二操作系统。
9.如权利要求8所述的系统,所述外置存储设备具备若干设备类型;所述查找子模块,具体用于所述引导文件触发系统引导文件,获取终端的硬件设备;依据所述设备类型参数从所述硬件设备中查找所述外置存储设备。
10.如权利要求8或9任一所述的系统,所述外置存储设备为可引导存储设备,则所述可引导存储设备中存在主引导记录,则所述外置存储设备还包括引导模块;所述引导模块,用于依据所述主引导记录进入所述第二操作系统;则所述读取子模块,具体用于读取所述外置存储设备的数据或配置文件,查找是否存在所述主引导记录;若存在所述主引导记录,则启动所述主引导记录。
11.如权利要求10所述的系统法,所述读取子模块,具体用于读取所述外置存储设备中任一扇区的数据或配置文件;根据所述扇区中各分区表的类型,确定是否存在所述主引导记录。
12.根据权利要求7、8、9、10或11任一所述的系统,所述外置存储设备为可移动磁盘, 包括闪存盘、移动硬盘、手机、无线上网终端和存储卡。
全文摘要
本发明公开了一种恶意代码处理方法和系统,以解决当终端被恶意代码感染后无法查杀的问题。其中,该系统包括终端和外置存储设备,其中,终端中配置有第一操作系统,外置存储设备中配置有第二操作系统,所述第二操作系统中配置有安全软件;所述终端包括添加模块;启动模块;所述外置存储设备包括查杀模块,用于启动所述第二操作系统中的安全软件,对所述终端中的恶意代码进行查杀;其中,所述添加模块包括写入子模块,用于在终端的系统盘中写入引导文件,所述引导文件指向所述第二操作系统;添加子模块,用于在终端的启动项中添加一个启动选项,将所述启动选项指向所述引导文件。
文档编号G06F21/56GK102999725SQ201210540960
公开日2013年3月27日 申请日期2012年12月13日 优先权日2012年12月13日
发明者马贞辉, 谭合力, 邵坚磊, 姚彤 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司