人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0082]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0083]图2为本发明另一实施例提供的病毒的处理设备的结构示意图,如图2所示。本实施例的病毒的处理设备可以包括分析单元21、确定单元22和操作单元23。
[0084]其中,分析单元21,用于对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功。其中,所述目标进程可以理解为系统中的所有进程。
[0085]确定单元22,用于若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息。具体地,所述确定单元22具体可以利用快照方法,遍历系统中的进程,以获得每个进程的进程信息。例如,进程的名称、线程的名称、线程的状态和线程的行为,等。
[0086]操作单元23,用于根据所述病毒类型信息,禁止执行进程创建操作。其中,病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或 Rootkits/Bootkits。
[0087]需要说明的是,本实施例提供的病毒的处理设备可以是杀毒引擎,可以位于本地的客户端中,以进行离线操作来清除病毒,或者还可以位于网络侧的服务器中,以进行在线操作来清除病毒,本实施例对此不进行限定。
[0088]可以理解的是,所述客户端可以是安装在终端上的应用程序,或者还可以是浏览器的一个网页,只要能够实现病毒的清除,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行限定。
[0089]这样,通过分析单元对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,进而确定单元若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得操作单元能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
[0090]可选地,在本实施例的一个可能的实现方式中,所述确定单元22,具体可以用于获得所述目标进程的名称和/或所述名称的哈希值;获得所述目标进程所包括的线程的特征信息;以及根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
[0091]其中,特征信息可以包括动态特征和/或静态特征。动态特征可以理解为基于病毒行为作为病毒的判断依据,静态特征可以理解为基于病毒的特征码作为判断病毒的依据。
[0092]具体地,所述病毒特征库中存储了与病毒特征信息的相关信息,包括但不限于进程的标识(例如,目标进程的名称和/或所述名称的哈希值)、线程的特征信息和病毒特征信息的标识(ID),本发明对此不进行特别限定。
[0093]例如,
[0094]所述确定单元22具体可以根据所述目标进程的名称和/或所述名称的哈希值,在病毒特征库中进行第一次匹配,以确定所述目标进程中是否存在至少一个目标进程与病毒特征库中所包括的进程的名称匹配成功。
[0095]如果匹配成功,所述确定单元22则可以进一步根据匹配成功的目标进程所包括的线程的特征信息,在病毒特征库中进行第二次匹配,以确定匹配成功的目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的该目标进程所对应的病毒特征信息匹配成功。如果不存在,所述确定单元22还可以进一步根据匹配成功的目标进程所包括的线程的特征信息,在病毒特征库中进行第三次匹配,以确定匹配成功的目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的除了该目标进程所对应的病毒特征信息之外的其他病毒特征信息匹配成功。
[0096]如果没有匹配成功,所述确定单元22则可以进一步根据所述目标进程所包括的线程的特征信息,在病毒特征库中进行第二次匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
[0097]进一步地,在102之后,所述确定单元22还可以进一步确定对所述至少一个线程执行操作,并指示进程管理单元,例如,挂起线程,或者再例如,停止线程,等。
[0098]可选地,本实施例提供的设备还可以进一步用于预先对所述病毒特征库进行初始化处理。具体地,可以根据进程的启动顺序,对所述病毒特征库进行初始化处理。
[0099]可选地,在本实施例的一个可能的实现方式中,所提供的病毒的处理设备,例如,分析单元21、确定单元22和操作单元23等,具体可以采用掩码方式传递所述匹配成功的病毒特征信息。例如,
[0100]所述分析单元21,在每个线程与病毒特征库中所包括的病毒特征信息匹配成功时,则可以记录一个病毒特征码,然后,所述分析单元21依次将所记录的病毒特征码进行或运算,以得到一个返回值。具体地,所述分析单元21具体可以将这个返回值可以保存到一个全局变量中。
[0101]具体地,所述病毒特征码可以为病毒代码中的一个4字节,可能包含两三条指令,或者还可以为病毒代码中的其他数目字节,本实施例对此不进行特别限定。
[0102]所述确定单元22,根据所述分析单元21所获得的返回值,进行与运算,以得到病毒特征码。
[0103]可选地,在本实施例的一个可能的实现方式中,如图3所示,本实施例提供的病毒的处理设备,还可以进一步包括修复单元31,用于确定所述至少一个线程所对应的目标进程所运行的第一文件;根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;以及对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
[0104]具体地,所述修复单元31具体可以根据所述确定单元22所确定的病毒类型信息,加载对应的专杀引擎,根据所述病毒类型信息,对所述第一文件进行修复操作。由于所述第二文件,是所述第一文件修复之后所生成的文件,已经是没有感染病毒的文件了,如果仍然设置其文件名与第一文件的文件名相同,那么,专杀引擎则会反复对其进行扫描与杀毒,这样,就会使得专杀引擎出现死循环。采用本发明的技术方案,则能够有效防止专杀引擎出现死循环。
[0105]相应地,所述修复单元31,还可以进一步用于指示系统执行重启操作;以及删除所述第二文件。具体地,在系统重启过程中,或者系统重启之后,所述修复单元31则可以删除所述第二文件。例如,所述修复单元31可以设置一个延时删除标记位,当延时删除标记位为真时,所述修复单元31则可以指示系统执行重启操作,然后,根据修复标识,确定所述第二文件,并将其删除。当延时标记位为非真时,所述修复单元31则可以生成通知事件,并发送所述通知事件给驱动,以通知该驱动进入正常状态,即不再禁止执行进程创建操作。
[0106]可选地,在本实施例的一个可能的实现方式中,所述操作单元23,具体可以用于根据所述病毒类型信息,确定是否进入安全修复模式;若确定进入安全修复模式,生成通知事件;以及发送所述通知事件,以通知禁止执行进程创建操作。
[0107]具体地,若所述病毒类型信息所指示的病毒,具有单进程驻留的特性,所述操作单元23可以采用现有技术中的方法,直接挂起或停止相关的线程;若所述病毒类型信息所指示的病毒,具有多进程驻留的特性,所述操作单元23可以弹出一个对话框,以向用户询问是否进入安全修复模式。例如,弹出对话框的内容为“杀毒小提示:发现顽固的XXX病毒,请切换