一种宏病毒检测方法及装置制造方法

一种宏病毒检测方法及装置制造方法
【专利摘要】本发明实施例公开了一种宏病毒检测方法及装置，方法包括：在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；利用调用的宏病毒检测模块，对目标数据文件进行检测。应用本发明实施例，宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。
【专利说明】一种宏病毒检测方法及装置
【技术领域】
[0001]本发明涉及计算机安全【技术领域】，特别涉及一种宏病毒检测方法及装置。
【背景技术】
[0002]计算机科学中的宏，是指在数据文件中被程序语言允许使用的指令序列。宏病毒，是指寄存在数据文件或数据文件模版上，用宏语言编写的恶意指令序列，当用户打开被宏病毒感染的数据文件或者对被宏病毒感染的数据文件进行操作(例如保存、删除等)时，会将其激活，使其运行，从而造成其想要达到的后果。
[0003]随着计算机和互联网的发展，越来越多的人使用办公软件，带有宏病毒的数据文件很容易从地球的一端传播到另一端，因此宏病毒其影响范围和危害性不可小觑，对宏病毒的检测和清除已经成为当前计算机安全【技术领域】中一个非常重要的部分。
[0004]现有两种对宏病毒进行检测的方法，一种方法是利用杀毒软件对数据文件进行静态分析，利用复合数据文件格式对数据文件的结构进行分解识别，提取数据文件中所有宏的特征码，将提取的数据文件中所有宏的特征码与病毒库中宏病毒的特征码的进行对比匹配，如果匹配，则将匹配的宏清除；另一种方法是利用杀毒软件的主动防御功能来实时监控数据文件处理程序的行为，如果检测到有恶意行为，则截获该行为，暂停数据文件处理程序的执行，向用户提示该行为执行的结果以及可能造成的后果，只有当用户对该行为进行处理后，数据文件处理程序方可继续执行。
[0005]然而，在实际应用中，利用杀毒软件对数据文件进行静态分析对宏病毒进行检测的方法，要求杀毒软件能识别所有数据文件的结构并分析，但是由于不同的应用程序具有不同的数据文件结构，此种方法在实际应用中很难实现；另外，如果数据文件经过加密处理，即使杀毒软件能识别该数据文件的结构，但也无法获得该数据文件结构的具体内容，导致不能对数据文件的结构进行分析。这就造成此方法在对宏病毒进行检测时覆盖面较小。
[0006]利用杀毒软件的主动防御功能来实时监控数据文件处理程序行为的方法，会导致用户在对数据文件进行操作时，占用较高的系统资源，影响机器的整体性能。另外检测到的“恶意行为”，有可能是用户的正常操作行为，也有可能是真正意义上的恶意行为，但是行为监控的方法不能对二者进行加以区分，为了保证安全，只好频繁的示警，提示用户进行相应的处理，导致用户体验效果不佳。

【发明内容】

[0007]本发明实施例的目的在于提供一种宏病毒检测方法及装置，提高对宏病毒进行检测的数据文件的覆盖面，提高用户的体验效果，减少系统资源占用。
[0008]为达到上述目的，本发明实施例公开了一种宏病毒检测方法，包括:
[0009]在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；
[0010]利用调用的宏病毒检测模块，对目标数据文件进行检测。[0011]较佳的，所述调用预先注册为所述数据文件处理程序插件的宏病毒检测模块，包括:
[0012]检测目标数据文件中有无宏模块；
[0013]当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；
[0014]所述利用调用的宏病毒检测模块，对目标数据文件进行检测，包括:
[0015]利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。
[0016]较佳的，所述利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测，包括:
[0017]提取每一宏模块的特征；
[0018]利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；
[0019]如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。
[0020]较佳的，还包括:
[0021]在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；
[0022]如果满足预设的微特征匹配条件，则向用户输出非确定性宏病毒告警信息。
[0023]较佳的，所述预设的微特征匹配条件，包括:
[0024]提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。
[0025]较佳的，还包括:
[0026]分析特征匹配的宏模块的执行过程以及执行后的结果；
[0027]检测系统中，是否存在分析出来的结果；
[0028]如果是，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。
[0029]为达到上述目的，本发明实施例还公开了一种宏病毒检测装置，包括:
[0030]调用单元，用于在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；
[0031]第一检测单元，用于利用调用的宏病毒检测模块，对目标数据文件进行检测。
[0032]较佳的，所述调用单元具体用于:
[0033]在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块；
[0034]当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；
[0035]所述第一检测单元，具体用于:
[0036]利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。
[0037]较佳的，所述第一检测单元包括:提取子单元，第一匹配子单元和第一输出子单元，
[0038]所述提取子单元，用于提取每一宏模块的特征；[0039]所述第一匹配子单元，用于利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；
[0040]所述第一输出子单元，用于在满足预设的病毒特征匹配条件的情况下，向用户输出确定性宏病毒告警信息。
[0041]较佳的，所述第一检测单元还包括:第二匹配子单元和第二输出子单元，
[0042]所述第二匹配子单元，用于在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；
[0043]所述第二输出子单元，用于在满足预设的微特征匹配条件的情况下，则向用户输
出非确定性宏病毒告警信息。
[0044]较佳的，所述预设的微特征匹配条件，包括:
[0045]提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。
[0046]较佳的，还包括:分析单元、第二检测单元和修复单元，
[0047]所述分析单元，用于分析特征匹配的宏模块的执行过程以及执行后的结果；
[0048]所述第二检测单元，用于检测系统中，是否存在分析模块分析出来的结果；
[0049]所述修复单元，用于在第二检测模块检测结果为是的情况下，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。
[0050]由上述的技术方案可见，由于宏病毒检测模块被先注册为数据文件处理程序插件，在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，宏病毒检测模块被调用，进行目标数据文件的检测。因此宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。
[0051]另外，该宏病毒检测模块只在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，被调用运行一次，检测完成后不再继续运行，相对现有技术中实时监控行为的方法，本发明实施例提供的方法减少了系统资源的占用，并且在用户使用数据文件的过程中也不会频繁的示警，提高了用户的体验效果。
【专利附图】

【附图说明】
[0052]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0053]图1为本发明实施例提供的一种宏病毒检测方法的流程示意图；
[0054]图2为本发明实施例提供的另一种宏病毒检测方法的流程示意图；
[0055]图3为本发明实施例提供的一种宏病毒检测装置的结构示意图；
[0056]图4为本发明实施例提供的另一种宏病毒检测装置的结构示意图。
【具体实施方式】
[0057]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0058]图1为本发明实施例提供的一种宏病毒检测方法的流程示意图，包括如下步骤:
[0059]SlOl:在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；
[0060]例如:数据文件处理程序为Microsoft 0ffice2007 (微软公司开发的办公软件，版本2007)，目标数据文件为XXX.docx,将宏病毒检测模块A预先注册为Microsoft0ffice2007 的插件；
[0061]当XXX.docx被打开、且还未对其内容进行加载的情况下,调用A,其中XXX.docx被打开包括XXX.docx含有密码,输入密码之后被打开的情况。
[0062]S102:利用调用的宏病毒检测模块，对目标数据文件进行检测。
[0063]利用A对XXX.docx进行检测。
[0064]在实际应用中，可以在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块；当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。
[0065]例如:Microsoft Office文档的VBE对象模型，如下表示:
[0066]VBE 对象
[0067]VBProjects
[0068]VBProject
[0069]VBComponents
[0070]VBComponent
[0071]CodeModule
[0072]其中，VBE对象:根对象,它包含所有其它可在Visual Basic for Applications中表示对象和集合；
[0073]VBProjects:VBProject对象的集合,表示开发环境中所有打开的工程；
[0074]VBProject对象:表示一工程即文档本身自己的模块工程；
[0075]VBComponents:VBComponent对象的集合,代表工程中的部件；
[0076]VBComponent对象:代表一个包含在工程中的部件，例如类模块或标准模块；
[0077]CodeModule对象:在诸如窗体，类或文档等部件之后表示程序代码(宏代码)。
[0078]根据VBE对象模型，首先获取该目标文件XXX.docx的VBE对象,然后通过这个对象获取CodeModule,其中CodeModule代表着宏模块，如果获取不到CodeModule,贝U表明XXX.docx中没有宏模块,如果获取到CodeModule,贝U表明xxx.docx中有宏模块,假设检测到xxx.docx中含有名称为macros的宏模块，利用调用的A对xxx.docx中名称为macros的宏模块进行检测。
[0079]进一步，在实际应用中，还可以提取每一宏模块的特征；利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。
[0080]假设提取出的名称为macros的宏模块的特征为:在驱动目录下释放驱动文件xxx.sys，而宏病毒检测模块中内置的病毒特征包含:在驱动目录下释放驱动文件，则表示提取出的特征与宏病毒检测模块中内置的病毒特征匹配，向用户输出“xxx.docx文件中含有名称为macros的宏病毒”的告警信息。
[0081]对于excel而言，除了有宏模块之外，还可能拥有宏表，宏表是可以包含宏代码的表格的一种，通过指定的name来触发执行。如果,excel中含有宏表,提取宏表的对象集合sheets,然后一个个的去枚举,通过sheet的接口获取表格内的代码，提取特征，利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。
[0082]在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；如果满足预设的微特征匹配条件，则向用户输出非确定性宏病
毒告警信息。
[0083]假设提取出的名称为macros的宏模块的特征为:含有delete模块，而宏病毒检测模块中内置的病毒特征不包含这个特征，宏病毒检测模块中内置的微特征包含这个特征，则表示提取出的特征与宏病毒检测模块中内置的微特征匹配，向用户输出“xxx.docx文件中含有名称为macros的宏模块可能含有宏病毒”的告警信息。
[0084]进一步，在实际应用中，还可以在有匹配的微特征、且提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值的情况下，向用户输出
非确定性宏病毒告警信息。
[0085]假设宏病毒检测模块中的微特征包括:敏感字符串，可疑函数名和可疑模块名，其中将systemroot\drivers认为是敏感字符串，将名称带有add、delete或update的函数认为是可疑函数名，将名称带有autorun的模块认为是可疑模块名。
[0086]假设提取出的名称为macros的宏模块的特征为:含有4个带有systemroot\drivers的字符串，含有2个名称带有delete的函数，含有I个名称带有add的函数，含有2个名称带有autorun的子模块。
[0087]如果预设的阈值为8，提取出的名称为macros的宏模块的特征与宏病毒检测模块中的微特征匹配的个数总和9，大于预设的阈值8，表示提取出的名称为macros的宏模块可能含有宏病毒，向用户输出“xxx.docx文件中含有名称为macros的宏模块可能含有宏病
毒”的告警信息。
[0088]如果预设的阈值为10，提取出的名称为macros的宏模块的特征与宏病毒检测模块中的微特征匹配的个数总和9，不大于预设的阈值10，表示提取出的名称为macros的宏模块不含有宏病毒，不向用户输出告警信息。
[0089]本发明实施例定义了两种宏病毒信息:其中“确定性宏病毒信息”是指:在目前杀毒技术的基础上，基本可以确定检测出的宏模块中确实含有目前已知的宏病毒存在的信息；相应地，“非确定性宏病毒信息”是指:在目前杀毒技术的基础上，检测出的宏模块中可能含有宏病毒的信息，对检测出的结果不确定。
[0090]应用本发明图1所示实施例，宏病毒检测模块被先注册为数据文件处理程序插件，在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，宏病毒检测模块被调用，进行目标数据文件的检测。因此宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。
[0091]另外，该宏病毒检测模块只在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，被调用运行一次，检测完成后不再继续运行，相对现有技术中实时监控行为的方法，本发明实施例提供的方法减少了系统资源的占用，并且在用户使用数据文件的过程中也不会频繁的示警，提高了用户的体验效果。
[0092]需要说明的是，本实施例中没有考虑特征匹配的宏模块运行后，对系统造成的影响，下面针对特征匹配的宏模块运行后，对系统造成的影响的情况，本发明实施例还提供另一种宏病毒检测方法，参见图2所示，
[0093]本发明图2所示实施例在图1所示实施例基础上，增加S103:分析特征匹配的宏模块的执行过程以及执行后的结果；S104:检测系统中，是否存在分析出来的结果；S105:根据特征匹配的宏模块的执行过程，对系统进行逆向修复的步骤。
[0094]例如:分析出特征匹配的宏模块的执行过程以及执行后的结果为:在驱动目录下释放驱动文件XXX.sys,检测系统的驱动目录下是否存在文件xxx.sys,如果存在,将文件xxx.sys 删除。
[0095]对于含有宏表的excel而言，还可以分析宏表的执行过程以及执行后的结果；检测系统中，是否存在分析出来的结果；根据宏表的执行过程，对系统进行逆向修复的步骤。
[0096]应用本发明图2所示实施例，能够对特征匹配的宏模块的执行过程以及执行后的结果对系统造成的影响进行分析，并根据分析对系统进行修复，保证系统在运行的过程中，没有特征匹配的宏模块执行后对系统造成影响的隐患。
[0097]图3为本发明实施例提供的一种宏病毒检测装置，包括调用单元301和第一检测单元302，
[0098]其中，调用单元301，用于在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；
[0099]第一检测单元302，用于利用调用的宏病毒检测模块，对目标数据文件进行检测。
[0100]其中，调用单元301，具体用于:
[0101]在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块；当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；
[0102]第一检测单元302，具体用于:
[0103]利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。
[0104]本实施例中的第一检测单元302包括:提取子单元，第一匹配子单元和第一输出子单元(图中未示出)，
[0105]提取子单元，用于提取每一宏模块的特征；
[0106]第一匹配子单元，用于利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；
[0107]第一输出子单元，用于在满足预设的病毒特征匹配条件的情况下，向用户输出确定性宏病毒告警信息。
[0108]本实施例中的第一检测模块302还包括:第二匹配子单元和第二输出子单元(图中未示出)，
[0109]第二匹配子单元，用于在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；
[0110]第二输出子单元，用于在满足预设的病毒特征匹配条件的情况下，向用户输出非确定性宏病毒告警信息。
[0111]进一步，在实际应用中，预设的微特征匹配条件为:提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。
[0112]应用本发明图3所示实施例，宏病毒检测模块被先注册为数据文件处理程序插件，在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，宏病毒检测模块被调用，进行目标数据文件的检测。因此宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。
[0113]另外，该宏病毒检测模块只在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，被调用运行一次，检测完成后不再继续运行，相对现有技术中实时监控行为的方法，本发明实施例提供的方法减少了系统资源的占用，并且在用户使用数据文件的过程中也不会频繁的示警，提高了用户的体验效果。
[0114]图4为本发明 实施例提供的另一种宏病毒检测装置，包括调用单元301、第一检测单元302、分析单元303、第二检测单元304和修复单元305，
[0115]其中，分析单元303，用于分析特征匹配的宏模块的执行过程以及执行后的结果；
[0116]第二检测单元304，用于检测系统中，是否存在分析模块分析出来的结果；
[0117]修复单元305，用于在第二检测模块检测结果为是的情况下，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。
[0118]应用本发明图4所示实施例，能够对特征匹配的宏模块的执行过程以及执行后的结果对系统造成的影响进行分析，并根据分析对系统进行修复，保证系统在运行的过程中，没有特征匹配的宏模块执行后对系统造成影响的隐患。
[0119]需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0120]本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0121]本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如:ROM/RAM、磁碟、光盘等。
[0122]以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。
【权利要求】
1.一种宏病毒检测方法，其特征在于，包括: 在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；利用调用的宏病毒检测模块，对目标数据文件进行检测。
2.根据权利要求1所述的方法，其特征在于， 所述调用预先注册为所述数据文件处理程序插件的宏病毒检测模块，包括: 检测目标数据文件中有无宏模块； 当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块； 所述利用调用的宏病毒检测模块，对目标数据文件进行检测，包括: 利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。
3.根据权利要求2所述的方法，其特征在于，所述利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测，包括: 提取每一宏模块的特征； 利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配； 如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。
4.根据权利要求3所 述的方法，其特征在于，还包括: 在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配； 如果满足预设的微特征匹配条件，则向用户输出非确定性宏病毒告警信息。
5.根据权利要求4所述的方法，其特征在于，所述预设的微特征匹配条件，包括: 提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。
6.根据权利要求3至5任意一项所述的方法，其特征在于，还包括: 分析特征匹配的宏模块的执行过程以及执行后的结果； 检测系统中，是否存在分析出来的结果； 如果是，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。
7.一种宏病毒检测装置，其特征在于，包括: 调用单元，用于在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块； 第一检测单元，用于利用调用的宏病毒检测模块，对目标数据文件进行检测。
8.根据权利要求7所述的装置，其特征在于，所述调用单元具体用于: 在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块； 当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块； 所述第一检测单元，具体用于: 利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。
9.根据权利要求8所述的装置，其特征在于，所述第一检测单元包括:提取子单元，第一匹配子单元和第一输出子单元， 所述提取子单元，用于提取每一宏模块的特征； 所述第一匹配子单元，用于利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配； 所述第一输出子单元，用于在满足预设的病毒特征匹配条件的情况下，向用户输出确定性宏病毒告警信息。
10.根据权利要求9所述的装置，其特征在于，所述第一检测单元还包括:第二匹配子单元和第二输出子单元， 所述第二匹配子单元，用于在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配； 所述第二输出子单元，用于在满足预设的微特征匹配条件的情况下，则向用户输出非确定性宏病毒告警信息。
11.根据权利要求10所述的装置，其特征在于，所述预设的微特征匹配条件，包括: 提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。
12.根据权利要求9 至11任意一项所述的装置，其特征在于，还包括:分析单元、第二检测单元和修复单元， 所述分析单元，用于分析特征匹配的宏模块的执行过程以及执行后的结果； 所述第二检测单元，用于检测系统中，是否存在分析模块分析出来的结果； 所述修复单元，用于在第二检测模块检测结果为是的情况下，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。
【文档编号】G06F21/56GK103810428SQ201410061998
【公开日】2014年5月21日 申请日期:2014年2月24日 优先权日:2014年2月24日
【发明者】王云峰, 梁光彩, 付志远 申请人:珠海市君天电子科技有限公司