一种文件病毒免疫的方法和装置制造方法

一种文件病毒免疫的方法和装置制造方法
【专利摘要】本发明公开了一种文件病毒免疫的方法和装置，其中，方法包括：在病毒检测引擎的检测通知任务发出后，通过监控技术，截获与文件有关的操作行为请求；根据操作行为请求，进行行为识别，得到操作行为的信息，操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象；根据操作行为的信息，判断操作行为是否为由病毒导致的异常行为；若该操作行为是由病毒导致的异常行为，则通过病毒检测引擎的提示界面向用户发出提示信息或拦截该操作行为。根据该方案，对待免疫的文件的监控不依赖与现有的特征库，具有实时性，并且对病毒行为的判断结合了文件信息、发起进程、动作特点，有效提高了判断的准确性。
【专利说明】一种文件病毒免疫的方法和装置
【技术领域】
[0001]本发明涉及计算机安全【技术领域】，具体涉及一种文件病毒免疫方法和装置。
【背景技术】
[0002]随着计算机技术的发展，各类应用程序已渗入到生产、生活的各个领域，为用户带来了极大的便利，提高了生产效率。应用程序的执行依赖于各类计算机文件，例如，文本文件、可执行文件、动态链接库文件等。这些文件记录数据结果，或者用于存储程序信息。文件可能被病毒或恶意程序感染，影响应用程序的执行，或者其中存储的个人数据被非法读取、修改，使用户的利益受到威胁。
[0003]现阶段防止病毒或恶意程序主要依赖于传统的特征库模式，基于特征库对运行程序进行实时扫描。特征库是由厂商收集到的恶意程序样本的特征码组成，查杀过程中，引擎会读取文件并与特征库中的所有特征码进行匹配，如果发现由程序代码被命中，就可以判定该文件程序被病毒或恶意程序感染。特征库匹配是查杀已知恶意程序的一项有效技术，但随着恶意程序数量呈几何增长，特征库的生成与更新具有滞后性。此外，扫描的实时运行也会消耗大量的系统资源。

【发明内容】

[0004]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种文件病毒免疫方法和装置。
[0005]根据本发明的一个方面，提供了一种文件病毒免疫方法，包括:在病毒检测引擎的检测通知任务发出后，通过监控技术，截获与文件有关的操作行为请求；根据操作行为请求，进行行为识别，得到操作行为的信息，操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象；根据操作行为的信息，判断操作行为是否为由病毒导致的异常行为；若该操作行为是由病毒导致的异常行为，则向用户发出提示信息或拦截该操作行为。
[0006]根据本发明的另一方面，提供了一种文件病毒免疫装置，包括:监控模块，适于接收病毒检测引擎的检测通知，通过监控技术截获与文件有关的操作行为请求；识别模块，适于根据操作行为请求，进行行为识别，得到操作行为的信息，所述操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象；判断模块，适于根据操作行为的信息，判断操作行为是否为由病毒导致的异常行为；处理模块，适于在判断模块判断出操作行为是由病毒导致的异常行为的情况下，通过病毒检测引擎的提示界面向用户发出提示信息或拦截所述操作行为。
[0007]根据本发明的文件病毒免疫方法和装置，病毒检测引擎的检测通知任务发出后，在监控到对文件的操作行为请求时，得到该行为的发起进程、行为对应动作及行为对象等操作行为的信息，综合上述操作行为的信息，判断出对特定文件的操作行为是否为病毒导致的异常行为，然后，拦截异常行为或通过病毒检测引擎的提示界面向用户提供提示信息。根据该方案，对待免疫的文件的监控不依赖与现有的特征库，具有实时性，并且对病毒行为的判断结合了文件信息、发起进程、动作特点，有效提高了判断的准确性。
[0008]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【专利附图】

【附图说明】
[0009]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0010]图1示出了根据本发明一个实施例的文件病毒免疫方法的流程图；
[0011]图2示出了根据本发明另一个实施例的文件病毒免疫方法的流程图；
[0012]图3示出了根据本发明另一个实施例的文件病毒免疫方法的流程图；
[0013]图4示出了根据本发明另一个实施例的文件病毒免疫方法的流程图；
[0014]图5示出了根据本发明另一个实施例的文件病毒免疫装置的结构框图。
【具体实施方式】
[0015]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0016]本发明实施例可以应用于计算机系统/服务器，其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境，等
坐寸ο
[0017]计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
[0018]本发明中所说的文件包括存储在存储设备上的数据文件，通常存放在特定的文件夹或目录中，以及计算机实现外部设备管理的设备文件。
[0019]图1示出了根据本发明一个实施例的文件病毒免疫方法的流程图，如图1所示，该方法包括如下步骤:
[0020]步骤S110，在病毒检测引擎的检测通知任务发出后，通过监控技术，截获与文件有关的操作行为请求。[0021]常见的计算机操作系统，如Windows等，都为开发人员提供有多种应用程序开发接口(API)，各种应用层程序都是通过调用相应的API来实现的，病毒及恶意程序也不例夕卜。因此，监控对文件的操作行为请求实际上就是监控能够实现文件操作的API函数的调用请求。
[0022]步骤S120,根据操作行为请求,进行行为识别,得到操作行为的信息。
[0023]这里,操作行为的信息包括:发起该行为的进程，操作行为对应的动作和/或行为对应的对象，具体地，该步骤可以包括:
[0024]在监控到有程序请求调用操作文件的API时，获取发起该请求的进程，即该操作行为的发起进程；
[0025]根据API的类型或名称得知该API对应的文件操作动作，即为该操作行为对应的动作。例如，某一程序请求调用CreateFile这个API函数，而该API函数是Windows系统用于创建文件的函数，则可以得知操作行为对应的动作是创建一个新文件；
[0026]解析该应用程序请求调用的API函数的参数，获取操作对象以及操作对象信息，操作对象信息包括:文件扩展名、文件路径、文件属性等。
[0027]步骤S130，根据操作行为的信息，判断操作行为是否为由病毒导致的异常行为。
[0028]综合考虑步骤S120中所述的操作行为发起进程、操作行为对应的动作，以及行为对应的对象进行判断。几种可能的情况是:对指定文件进行操作的进程是可疑的恶意进程；正常进程对可能的恶意文件执行了操作，例如读取了非指定目录下的文件或执行了脚本文件；以及进程对指定文件执行了异常的动作，例如修改了文件的注册表关联项。
[0029]步骤S140，若操作行为是由病毒导致的异常行为，则向用户发出提示信息或拦截操作行为。
[0030]对于确定的病毒行为，可以直接拦截；对于无法直接确定的病毒行为，可以向用户发出提示信息，根据用户反馈，选择拦截或不拦截。
[0031]根据本发明上述实施例提供的方法，在病毒检测引擎的检测通知任务发出后，监控到对文件的操作行为请求，得到该行为的发起进程、行为对应动作及行为对象等操作行为的信息，综合上述操作信息，判断出对特定文件的操作行为是否为病毒导致的异常行为，然后，拦截异常行为或向用户提供提示信息。根据该方案，对待免疫的文件的监控不依赖与现有的特征库，具有实时性，并且对病毒行为的判断结合了文件信息、发起进程、动作特点，有效提闻了判断的准确性。
[0032]图2示出了根据本发明另一实施例的文件病毒免疫方法的流程图，如图2所示，该方法包括如下步骤:
[0033]步骤S200，接收病毒检测引擎发出的检测通知。
[0034]本发明提供的方法应用于客户端时，通过病毒扫描应用程序实现，扫描应用程序通常采用引擎扫描方式对文件进行扫描，可以采用的杀毒引擎可以包括:云查杀引擎，QVM(Qihoo Virtual Machine，人工智能引擎)引擎，小红伞杀毒引擎等任意现有已存在的杀毒引擎。病毒扫描应用程序中可能集成有多个杀毒引擎。多个引擎之间，例如第一杀毒引擎和第二杀毒引擎之间可以采用并行查杀的方式，即当第一杀毒引擎在查杀过程中，可以将已查杀过的文件中的未确定文件输入到第二杀毒引擎中进行查杀，而不必等到第一杀毒引擎查杀完所有待查杀文件，再由第二杀毒引擎进行查杀。[0035]第一杀毒引擎可以包括:用于查杀PE类型文件的云查杀引擎，和/或QVM引擎。
[0036]第二杀毒引擎是查杀非PE文件病毒的引擎。第二杀毒引擎主要指对除经过第一杀毒引擎查杀后的确定文件以外的其它文件进行扫描的杀毒引擎，需要说明的是，该第二杀毒引擎可以具有对所有类型文件进行查杀的能力，当本实施例中采用并行查杀的方式时，可以减少每一种杀毒引擎的查杀数量，从而提高查杀速度，以便有效利用系统资源。本实施例中第二杀毒引擎可以包括至少一个杀毒引擎，例如，该第二杀毒引擎可以为BitDefender杀毒引擎，和/或小红伞杀毒引擎，和/或其它现有已存在的杀毒引擎等。
[0037]步骤S210，通过监控技术，截获与文件有关的操作行为请求。
[0038]在本实施例及以下实施例中，以Windows系统提供的API函数为例，说明具体实施过程。本领域技术人员在不同的系统中可以采用其他方式或不同的函数实现相同的目的。
[0039]首先，该步骤中的监控技术包括文件监控技术。对于文件监控技术，能够监控的操作行为的对应动作包括:读文件、写文件、修改文件、删除文件、执行文件和/或创建文件。通过捕获(hook)具体的API函数实现对文件的监控,例如，Windows系统通过WriteFile函数向文件指针指向位置的文件写数据，通过ReadFile函数从文件中读出数据，这两个函数不但可以读取写磁盘的文件，也可以接收和发送网络的数据，以及设备文件，例如读写串口、USB、并口等设备的数据。对删除文件、创建文件等操作行为的监控也以类似方式实现，此处不再赘述。
[0040]监控技术还包括注册表监控技术。具体地，对于注册表监控技术，监控的操作行为对应的动作包括:修改注册表中与文件的配置信息关联的表项。注册表中记录有应用程序的设置信息，注册表中与文件配置信息关联的表项包括:文件扩展名与应用程序的关联，即文件的默认打开程序，以及将可执行文件写入开机启动项等。应用程序对关联表项的修改通常是通过修改键值项数据实现。Windows系统中提供了多个操作注册表的API函数，例如RegSetValue函数，用于设置指定的表项和子项的默认值。与文件监控技术类似地，捕获(hook)该函数,分析其参数,得到需要的操作行为信息。
[0041]监控技术还包括网络监控技术。对于网络监控技术，监控的操作行为对应的动作包括:上传文件和/或下载文件。
[0042]监控技术还包括对程序的资源占用情况进行监控，监控的内容具体包括:当前客户端从启动开始至当前时间所运行过的各程序的资源占用信息。
[0043]步骤S220,根据操作行为请求,进行行为识别,得到操作行为的信息。
[0044]这里,操作行为的信息包括:发起该行为的进程，操作行为对应的动作和/或行为对应的对象，具体地，该步骤可以包括:
[0045]在监控到有程序请求调用操作文件的API时，获取发起该请求的进程，即该操作行为的发起进程；
[0046]根据API的类型或名称得知该API对应的文件操作动作，即为该操作行为对应的动作。例如，某一程序请求调用CreateFile这个API函数，而该API函数是Windows系统用于创建文件的函数，则可以得知操作行为对应的动作是创建一个新文件；
[0047]解析该应用程序请求调用的API函数的参数，获取操作对象以及操作对象信息，操作对象信息包括:文件扩展名、文件路径、文件属性等。
[0048]对程序的资源占用情况进行监控时，该步骤中的行为识别还包括:获取当前客户端从启动开始至当前时间所运行过的各程序的资源占用信息；根据各程序的资源占用信息和当前客户端的可用资源信息，分别计算各程序的资源占用率。
[0049]这可以针对客户端在没有病毒却由于资源占用导致行速度变慢或上网速度变慢的问题，自动识别资源占用率高的启动项进程，并主动向用户进行提示，使用户可以按照需求禁止这些资源占用率高的启动项随机启动，或者，直接禁止这些资源占用率高的启动项随机启动。
[0050]资源占用情况包括对网络带宽的占用情况。例如，假设通过计算Test, exe程序占用120K/S，若当前网络带宽占用率的预设阈值为90%，当前Test, exe程序占用120K/s满足124K/s*90%,于是查看Test, exe程序是否为启动项程序或者启动项的子进程,若是,则可以在后续步骤中提示用户Test.exe程序的启动项占用网络资源。用户根据提示选择禁止随机启动该启动项，于是该启动项会在在当前客户端下次启动时被阻止开启。
[0051]步骤S230，查询操作行为的信息所包含的行为发起进程是否属于操作行为的信息所包含的行为对应的动作和/或行为对应的对象对应的进程白名单，若是，则判定操作行为不是由病毒导致的异常行为，执行步骤S240，否则执行步骤S250。
[0052]进程白名单首先包括与操作行为对应的对象所对应的白名单。以文件监控技术为例，则该步骤中所说的操作行为对应的对象即是受监控的文件。其对应的进程白名单中的内容根据该文件的信息而定，主要是根据文件的类型。对于特定类型的文件，其对应的进程白名单中保存有服务器统计出的正常程序的进程，例如，对doc文件，其对应的进程白名单中应该包括word, exe以及wps.exe等常见文字处理软件的相应进程。
[0053]进程白名单 还包括具有可信任的数字签名的软件及相关进程，还可以存储与各数字签名相关的信息，例如，由可信任的公司所颁布的数字签名的合法格式，当一软件或相关进程要在客户端设备上安装或运行时，判断该软件是否具有数字签名并且该数字签名是否与所述软件名单中某一数字签名的相关信息相一致，例如，判断该软件的数字签名的格式是否与所述软件名单中所记录的某一合法格式相同。如果该判断结果为是，则判断为该软件在所述进程白名单中。
[0054]例如，可信任的数字签名的判断处理可以分为三步:一是判断该软件是否有数字签名；二是判断该数字签名的完整性和一致性，即，是否由该签名人所持有的数字证书签发的；三是判断用于签名的数字证书是否为公认的合法者所持有；例如，如果签名人是微软公司，贝丨』判断其证书颁发人是否是“Microsoft Code Signing PCA”,证书持有人名称是否为“Microsoft Corporation”。如果这三个条件均满足，则判断为是可信任的数字签名，反之则一定是不可信任的数字签名。例如，条件一和二均满足，但证书信息中的公司名字与正常的不匹配或不一致，则判断为该数字签名是非法的(因为有社会工程(socialengineering)的欺骗已被广泛地采用)。
[0055]进程白名单还包括签名标识有效的进程。客户端根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识。
[0056]签名标识文件特征的可计算字段，可计算字段包括PE文件中除去PE校验段、签名段以及签名内容剩余部分。其中，当获取的上述文件长度未达到8的整数倍时，将其所差的位数用O补齐，以便于对其进行计算。
[0057]再次，对可计算字段进行计算，将计算结果作为签名标识。[0058]可选地，将可计算字段作为摘要值，采用SHAl算法对其进行计算，得到与未知程序文件唯一对应的签名标识。
[0059]客户端在生成未知程序文件的签名标识后，发送查询请求至服务器端。其中，查询请求携带有该未知程序文件的签名标识以及该未知程序文件的部分或全部文件特征。服务器端接收到查询请求后，在进程白名单中对查询请求中的签名标识进行匹配，获取与签名标识相对应的查杀方法。查杀主要是:扫描/判定动作和修复动作等。其中，扫描/判定动作包括对程序文件属性及程序文件的上下文环境的扫描和判定，并当判定为恶意程序时，执行相应的修复操作。
[0060]或者，分析该进程文件目录下的其他文件以及注册表信息，如果具有完整的配套文件，如常见的dll文件、dat文件等或者具有完整的注册表信息，可以认为该进程是正规软件的进程，将该进程加入到进程白名单中。
[0061]进程白名单还包括与操作行为对应动作所对应的白名单。例如，对于下载行为，与文件的进程白名单类似地，与下载动作对应的进程白名单中也包括已统计出的安全进程，例如浏览器进程，常见下载软件的进程等。或者，进一步地，对指定文件的指定操作设定进程白名单。
[0062]可选地，在该步骤中也可以通过查询进程黑名单的方式实现同样的目的。相应地，黑名单中保存的是非安全进程及可疑进程，例如，已知的病毒或恶意程序进程，不具有数字签名的进程，或者进程文件只是单独的一个可执行文件。则该步骤可以为:
[0063]查询操作行为的信息所包含的行为发起进程是否属于所述操作行为的信息所包含的行为对应的动作和/或行为对应的对象对应的进程黑名单，若是，则判定所述操作行为是由病毒导致的异常行为，执行步骤S250，否则执行步骤S240。
[0064]上述查询过程可以·在本地黑/白名单中完成，也可以在z?端完成，其中，z?端的黑/白名单数据库更为完整。一般地，白名单通常由用户在客户端进行维护，用户将确定为非恶意的进程加入到白名单中进行保存，白名单中可以记录进程相关的文件名、文件路径、签名及签名标识等信息；黑名单通常由杀毒软件提供方进行维护，根据监控将确定的恶意进程加入到黑名单中进行保存。一种查询方法是，先在本地白名单中查询，如果未取得查询结果，再向云端黑名单查询。云端的文件黑名单预先保存有进程信息，如进程文件的特征值和安全级别信息的对应关系，服务器端确定的安全级别信息可以自定义，例如包括安全、危险、未知等级别，也可以采用一级、二级、三级等方式来进行区分，只要能够体现出各模块是否安全状态即可。或者，所述安全级别信息包括:安全等级、未知等级、可疑等级、高度可疑等级和恶意等级，其中，恶意等级为最高等级，安全等级为最低等级。例如，可以设置等级为10-20时为安全等级，等级为30-40时为未知等级，等级为50-60时为可疑等级和高度可疑等级，等级大于70时为恶意等级。
[0065]步骤S240,执行操作行为请求包含的操作行为。
[0066]对于这种情况，在本发明实施例的钩子函数执行完毕后，跳转到该文件行为请求对应API的原始入口地址去执行相应的指令即可。
[0067]步骤S250，向用户发出提示信息或拦截操作行为。
[0068]可以在桌面指定区域弹出消息窗口的方式提示用户，例如，在病毒引擎的提示界面上显示消息。将步骤S220中获取的操作信息，如进程名称，进程路径，相应的可执行文件名称，以及具体动作等展示给用户，供用户分析以做出决定，还可以根据现有的统计结果，给出进程及相应的应用程序的危险等级、安全评分等信息并向用户提供相应的建议。向用户发出提示信息也提供了一种交互的手段，这可以用于黑/白名单的更新，将用户选择执行的进程加入本地白名单中，使用户可以定制个性化的本地白名单，或者在云端统计大量用户的选择，及时更新本地白名单。
[0069]图3示出了根据本发明另一实施例的文件病毒免疫方法的流程图，如图3所示，该方法包括如下步骤:
[0070]步骤S300，接收病毒检测引擎发出的检测通知任务。
[0071]步骤S310，通过监控技术，截获与文件有关的操作行为请求。
[0072]步骤S320,根据操作行为请求,进行行为识别,得到操作行为的信息。
[0073]关于步骤S300-S320的具体内容可参见相应的步骤S210和步骤S220的描述，此处不再赘述。
[0074]步骤S330，判断操作行为的信息所包含的行为对应的动作是否为异常动作，若是，则判定操作行为是由病毒导致的异常行为。[0075]正常进程的操作行为中也可能包含有危险动作，例如，进程的文件被病毒修改，执行了异常动作，这时，只通过进程信息无法实现免疫。异常动作包括:在不正确的安装目录或用户配置目录中执行的读文件、写文件、修改文件、删除文件、执行文件和/或创建文件的动作；或者，修改注册表中与文件的配置信息关联的表项以降低文件安全等级或将释放的可执行文件写入开机启动项。本实施例通过判断异常动作对能够导致这类行为的恶意程序或病毒进行免疫。
[0076]具体地，对于要免疫的文件病毒，分析这类病毒的动作特点，统计出其动作的规贝U，从监控的操作请求中发现符合规则的动作时，对操作行为进行拦截。下面以Office宏病毒为例，说明具体实施过程。
[0077]在实际应用中，可以对大量Microsoft Off ice的宏病毒样本的研究，收集得到如下已知宏病毒动作:
[0078]1、修改注册表的动作，目的:修改注册表中安全等级设置以降低安全等级设置，或修改注册表中开机启动项以将释放的可执行文件写入开机启动项等；
[0079]2、传播动作，其利用感染模板进行传播，例如向模板目录写文件等等；其中，不同的Microsoft office会有不同的感染模板,例如Windows7系统,默认情况下:
[0080]Microsoftfford 的感染模板文件是 C:\Users\【用户名】\AppData\Roaming\Microsoft\Templates\normal.dot
[0081]Excel 的感染模板目录:C:\Users\【用户名】\AppData\Roaming\Microsoft\Excel\xlstart 和 Excel 安装目录 \off ice 11 \xlstart
[0082]3、发作时动作,包括:
[0083]3.1、在某个时间段弹窗；
[0084]3.2、重复复制工作表，影响软件正常使用；
[0085]3.3、释放可执行文件，具体可以包括:创建文件、写文件、执行文件等等。
[0086]对于Office进程，上述动作都属于异常动作，相应的操作行为可能是病毒导致的异常行为。进一步地，还可以结合对应的对象来判定操作行为是否为由病毒导致的异常行为。表1示出了常见的宏病毒行为和该行为对应的对象。
[0087]以表1中的第1，2种情况为例，在实际应用中，可以预先读取注册表，获取Office的模板文件和模板目录，例如在win7系统,默认情况下Word的模板文件为:C:\Users\【用户名】\AppData\Roaming\Microsoft\Templates\normal.dot, Excel 的模板目录为:C:\Users\【用户名】\AppData\Roaming\Microsoft\Excel\xlstart,或者 Excel 的安装目录\officell\xlstarto通常Excel的模板目录(xlstart目录)下是不允许存放文件的，故如果操作行为的信息表明相应文件行为是针对xlstart目录下文件的，故可以确定相应文件操作行为是宏病毒导致的异常行为。
[0088]表1
【权利要求】
1.一种文件病毒免疫方法，包括: 在病毒检测引擎的检测通知任务发出后，通过监控技术，截获与文件有关的操作行为请求； 根据所述操作行为请求，进行行为识别，得到所述操作行为的信息，所述操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象； 根据所述操作行为的信息，判断所述操作行为是否为由病毒导致的异常行为； 若所述操作行为是由病毒导致的异常行为，则向用户发出提示信息或拦截所述操作行为。
2.根据权利要求1所述的方法，所述监控技术包括:文件监控技术、注册表监控技术或网络监控技术。
3.根据权利要求2所述的方法，若所述监控技术为文件监控技术，所述行为对应的动作包括:读文件、写文件、修改文件、删除文件、执行文件和/或创建文件； 若所述监控技术为注册表监控技术，所述行为对应的动作包括:修改注册表中与文件的配置信息关联的表项； 若所述监控技术为网络监控技术，所述行为对应的动作包括:上传文件和/或下载文件。
4.根据权利要求2所述的方法，所述监控技术还包括对程序的资源占用情况进行监控，所述根据操作行为请求`，进行行为识别，得到所述操作行为的信息具体包括: 获取当前客户端从启动开始至当前时间所运行过的各程序的资源占用信息； 根据各程序的资源占用信息和当前客户端的可用资源信息，分别计算各程序的资源占用率。
5.根据权利要求1-3任一项所述的方法，本地和/或云端保存有指定的行为对应的动作和/或行为对应的对象的进程白名单； 所述根据所述操作行为的信息，判断所述操作行为是否为由病毒导致的异常行为具体包括: 查询所述操作行为的信息所包含的行为发起进程是否属于所述操作行为的信息所包含的行为对应的动作和/或行为对应的对象对应的进程白名单，若是，则判定所述操作行为不是由病毒导致的异常行为； 所述方法还包括:若所述操作行为不是由病毒导致的异常行为，则执行所述操作行为。
6.根据权利要求1-3任一项所述的方法，本地和/或云端保存有指定的行为对应的动作和/或行为对应的对象的进程黑名单； 所述根据所述操作行为的信息，判断所述操作行为是否为由病毒导致的异常行为具体包括: 查询所述操作行为的信息所包含的行为发起进程是否属于所述操作行为的信息所包含的行为对应的动作和/或行为对应的对象对应的进程黑名单，若否，则判定所述操作行为是由病毒导致的异常行为。
7.根据权利要求1-3任一项所述的方法，所述根据所述操作行为的信息，判断所述操作行为是否为由病毒导致的异常行为具体包括: 判断所述操作行为的信息所包含的行为对应的动作是否为异常动作，若是，则判定所述操作行为是由病毒导致的异常行为。
8.根据权利要求7所述的方法，所述异常动作包括: 在不正确的安装目录或用户配置目录中执行的读文件、写文件、修改文件、删除文件、执行文件和/或创建文件的动作； 或者，修改注册表中与文件的配置信息关联的表项以降低文件安全等级或将释放的可执行文件写入开机启动项； 或者，向在URL黑名单中的网址上传文件和/或下载文件。
9.根据权利要求1-3任一项所述的方法，所述根据所述操作行为的信息，判断所述操作行为是否为由病毒导致的异常行为具体包括: 判断所述操作行为的信息所包含的行为对应的对象是否属于本地和/或云端保存的文件黑名单，若是，则判定所述操作行为是由病毒导致的异常行为。
10.一种文件病毒免疫装置，包括: 监控模块，适于接收病毒检测引擎的检测通知，通过监控技术截获与文件有关的操作行为请求； 识别模块，适于根据所述操作行为请求，进行行为识别，得到所述操作行为的信息，所述操作行为的信息包括行为发起进程以及行为对应的动作和/或行为对应的对象； 判断模块，适于根据所述操作行为的信息，判断所述操作行为是否为由病毒导致的异常行为；` 处理模块，适于在所述判断模块判断出所述操作行为是由病毒导致的异常行为的情况下，通过病毒检测引擎的提示界面向用户发出提示信息或拦截所述操作行为。
【文档编号】G06F21/56GK103679031SQ201310683012
【公开日】2014年3月26日 申请日期:2013年12月12日 优先权日:2013年12月12日
【发明者】禹健文, 邹贵强 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司