病毒的处理方法及设备的制造方法
【专利说明】
【技术领域】
[0001]本发明涉及计算机技术,尤其涉及一种病毒的处理方法及设备。
【【背景技术】】
[0002]病毒是编制或者在应用程序中插入的破坏计算机功能的数据,其会影响应用程序的正常使用并且能够自我复制,通常以一组指令或者程序代码的形式呈现。病毒具有破坏性,复制性和传染性的特点。当系统中的文件被病毒感染时,需要通过杀毒引擎对系统进行扫描,以便清除这些病毒。由于病毒的复制性较强,因此运行后的病毒会尝试感染系统中的其它文件,导致杀毒软件难以彻底清除系统中的病毒。
【
【发明内容】
】
[0003]本发明的多个方面提供一种病毒的处理方法及设备,用以提高系统的安全性能。
[0004]本发明的一方面,提供一种病毒的处理方法,包括:
[0005]对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功;
[0006]若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息;
[0007]根据所述病毒类型信息,禁止执行进程创建操作。
[0008]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,包括:
[0009]获得所述目标进程的名称和/或所述名称的哈希值;
[0010]获得所述目标进程所包括的线程的特征信息;
[0011]根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
[0012]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述病毒类型信息,禁止执行进程创建操作之后,还包括:
[0013]确定所述至少一个线程所对应的目标进程所运行的第一文件;
[0014]根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;
[0015]对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
[0016]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对所述第二文件进行复制操作,以生成第三文件之后,还包括:
[0017]指示系统执行重启操作;
[0018]删除所述第二文件。
[0019]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述病毒类型信息,禁止执行进程创建操作,包括:
[0020]根据所述病毒类型信息,确定是否进入安全修复模式;
[0021]若确定进入安全修复模式,生成通知事件;
[0022]根据所述通知事件,禁止执行进程创建操作。
[0023]本发明的另一方面,提供一种病毒的处理设备,包括:
[0024]分析单元,用于对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功;
[0025]确定单元,用于若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息;
[0026]操作单元,用于根据所述病毒类型信息,禁止执行进程创建操作。
[0027]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述确定单元,具体用于
[0028]获得所述目标进程的名称和/或所述名称的哈希值;
[0029]获得所述目标进程所包括的线程的特征信息;以及
[0030]根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
[0031]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述设备还包括修复单元,用于
[0032]确定所述至少一个线程所对应的目标进程所运行的第一文件;
[0033]根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;以及
[0034]对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
[0035]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述修复单元,还用于
[0036]指示系统执行重启操作;以及
[0037]删除所述第二文件。
[0038]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述操作单元,具体用于
[0039]根据所述病毒类型信息,确定是否进入安全修复模式;
[0040]若确定进入安全修复模式,生成通知事件;以及
[0041]发送所述通知事件,以通知禁止执行进程创建操作。
[0042]由上述技术方案可知,本发明实施例通过对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提尚了系统的安全性能。
[0043]另外,采用本发明提供的技术方案,不再以文件为单位进行特征分析,而是以目标进程所包括的线程为单位进行特征分析,由于减小了特征分析的粒度,因此,能够进一步提高系统的安全性能。
【【附图说明】】
[0044]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0045]图1为本发明一实施例提供的病毒的处理方法的流程示意图;
[0046]图2为本发明另一实施例提供的病毒的处理设备的结构示意图;
[0047]图3为本发明另一实施例提供的病毒的处理设备的结构示意图。
【【具体实施方式】】
[0048]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0049]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0050]图1为本发明一实施例提供的病毒的处理方法的流程示意图,如图1所示。
[0051]101、对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功。
[0052]其中,所述目标进程可以理解为系统中的所有进程。
[0053]102、若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息。
[0054]具