到安全修复模式进行彻底查杀,修复过程中您将无法操作其他应用程序”。
[0108]如果用户点击“确认”按钮,所述操作单元23则可以生成通知事件,并发送所述通知事件给驱动,以通知该驱动禁止执行进程创建操作;如果用户点击“取消”按钮,所述操作单元23可以采用现有技术中的方法,直接挂起或停止相关的线程。
[0109]本实施例中,通过分析单元对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,进而确定单元若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得操作单元能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
[0110]另外,采用本发明提供的技术方案,不再以文件为单位进行特征分析,而是以目标进程所包括的线程为单位进行特征分析,由于减小了特征分析的粒度,因此,能够进一步提高系统的安全性能。
[0111]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0112]在本发明所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0113]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0114]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0115]上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory, RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0116]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种病毒的处理方法,其特征在于,包括: 对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功; 若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息; 根据所述病毒类型信息,禁止执行进程创建操作。
2.根据权利要求1所述的方法,其特征在于,所述对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,包括: 获得所述目标进程的名称和/或所述名称的哈希值; 获得所述目标进程所包括的线程的特征信息; 根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
3.根据权利要求1所述的方法,其特征在于,所述根据所述病毒类型信息,禁止执行进程创建操作之后,还包括: 确定所述至少一个线程所对应的目标进程所运行的第一文件; 根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识; 对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
4.根据权利要求3所述的方法,其特征在于,所述对所述第二文件进行复制操作,以生成第三文件之后,还包括: 指示系统执行重启操作; 删除所述第二文件。
5.根据权利要求1?4任一权利要求所述的方法,其特征在于,所述根据所述病毒类型信息,禁止执行进程创建操作,包括: 根据所述病毒类型信息,确定是否进入安全修复模式; 若确定进入安全修复模式,生成通知事件; 根据所述通知事件,禁止执行进程创建操作。
6.一种病毒的处理设备,其特征在于,包括: 分析单元,用于对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功; 确定单元,用于若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息; 操作单元,用于根据所述病毒类型信息,禁止执行进程创建操作。
7.根据权利要求6所述的设备,其特征在于,所述确定单元,具体用于 获得所述目标进程的名称和/或所述名称的哈希值; 获得所述目标进程所包括的线程的特征信息;以及 根据所述目标进程的名称和/或所述名称的哈希值,以及所述目标进程所包括的线程的特征信息,在病毒特征库中进行匹配,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征库中所包括的病毒特征信息匹配成功。
8.根据权利要求6所述的设备,其特征在于,所述设备还包括修复单元,用于 确定所述至少一个线程所对应的目标进程所运行的第一文件; 根据所述病毒类型信息,对所述第一文件进行修复操作,以生成第二文件,所述第二文件的文件名包括预先设置或随机生成的修复标识;以及 对所述第二文件进行复制操作,以生成第三文件,所述第三文件的文件名与所述第一文件的文件名相同。
9.根据权利要求8所述的设备,其特征在于,所述修复单元,还用于 指示系统执行重启操作;以及 删除所述第二文件。
10.根据权利要求6?9任一权利要求所述的设备,其特征在于,所述操作单元,具体用于 根据所述病毒类型信息,确定是否进入安全修复模式; 若确定进入安全修复模式,生成通知事件;以及 发送所述通知事件,以通知禁止执行进程创建操作。
【专利摘要】本发明实施例提供一种病毒的处理方法及设备。本发明实施例通过对目标进程所包括的线程进行特征分析,以确定所述目标进程所包括的线程中是否存在至少一个线程与病毒特征信息匹配成功,若所述目标进程所包括的线程中存在至少一个线程与病毒特征信息匹配成功,根据所述匹配成功的病毒特征信息,确定病毒类型信息,使得能够根据所述病毒类型信息,禁止执行进程创建操作,由于采用禁止执行进程创建操作的措施,能够有效阻止系统中病毒的复制,从而提高了系统的安全性能。
【IPC分类】G06F21-56
【公开号】CN104657664
【申请号】CN201510075309
【发明人】郭明强, 钱科明, 曹亮, 潘锦锋, 董志强
【申请人】百度在线网络技术(北京)有限公司
【公开日】2015年5月27日
【申请日】2013年11月19日