一种数据恢复方法及装置制造方法及图纸

本申请公开了一种数据恢复方法，用于解决现有技术中被计算机病毒感染的数据会导致计算机存在安全隐患的问题。该方法包括：对被检测脚本的编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合；所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个脚本元素；虚拟执行所述组合编码脚本集合中的脚本元素，根据脚本元素的虚拟执行过程，确定组合编码脚本集合中的恶意脚本感染数据的步骤；根据所述恶意脚本感染数据的步骤，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据。本申请还公开了一种数据恢复装置。

Data recovery method and device

The invention discloses a data recovery method, which is used for solving the problem that the computer data infected by the computer virus in the prior art can lead to the potential safety hazard of the computer. The method includes: the word analysis script encoding has been detected, based on the analysis of the results of the construction of words, combination encoding script is detected; the combined encoding script set includes the detected corresponding script encoding at least one script element; virtual execution of the script encoding combination set in the script element, according to the process of virtual execution script elements, determine the combination of script set in a malicious script encoding infection data steps; according to the data of infection of malicious script steps will be infected with malicious script data recovery is the original data malicious script before infection. The present application also discloses a data recovery device.

【技术实现步骤摘要】
一种数据恢复方法及装置
本申请涉及计算机
，尤其涉及一种数据恢复方法及装置。
技术介绍
在互联网时代，计算机病毒极大地威胁着计算机的安全。计算机病毒传染性极强，计算机随时都有可能被计算机病毒感染，而且计算机病毒的破坏力极大，可能会导致计算机系统瘫痪、信息泄露等。当计算机系统中的数据被计算机病毒感染后，被感染的数据一般会被修改，比如计算机病毒可能会在计算机数据中添加恶意代码，计算机病毒还可能会修改计算机注册表。当计算机病毒被杀毒软件清除后，被计算机病毒感染的数据仍然可能会对计算机的安全造成隐患。
技术实现思路
本申请实施例提供一种数据恢复方法，用于解决现有技术中被计算机病毒感染的数据会导致计算机存在安全隐患的问题。本申请实施例还提供一种数据恢复装置，用于解决现有技术中被计算机病毒感染的数据会导致计算机存在安全隐患的问题。本申请实施例采用下述技术方案：一种数据恢复方法，包括：对被检测脚本的编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合；所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个脚本元素；虚拟执行所述组合编码脚本集合中的脚本元素，根据脚本元素的虚拟执行过程，确定组合编码脚本集合中的恶意脚本感染数据的步骤；根据所述恶意脚本感染数据的步骤，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据。一种数据恢复装置，包括：集合构建单元：用于对被检测脚本的编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合；所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个脚本元素；步骤确定单元：用于虚拟执行所述组合编码脚本集合中的脚本元素，根据脚本元素的虚拟执行过程，确定组合编码脚本集合中的恶意脚本感染数据的步骤；数据恢复单元：用于根据所述恶意脚本感染数据的步骤，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据。本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：相对于现有技术中无法恢复被计算机病毒感染的数据造成的计算机安全隐患，本方案将被检测脚本的编码进行词语分析后，构建被检测脚本的组合编码脚本集合，通过对组合编码脚本集合中的脚本元素进行虚拟执行，确定恶意脚本感染数据的步骤，进而根据所述恶意脚本感染数据的步骤，查找并恢复被恶意脚本感染的数据为被恶意脚本感染前的原始数据，解决了现有技术中被计算机病毒感染的数据会导致计算机存在安全隐患的问题。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本申请实施例1提供的一种数据恢复方法的实现流程示意图；图2为本申请实施例2提供的一种数据恢复方法的一种实现流程示意图；图3为本申请实施例3提供的一种数据恢复装置的具体结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。以下结合附图，详细说明本申请各实施例提供的技术方案。实施例1为解决现有技术中被计算机病毒感染的数据会导致计算机存在安全隐患的问题，本申请实施例1提供一种数据恢复方法。该方法的执行主体，可以但不限于为手机、平板电脑、个人电脑(PersonalComputer，PC)等任何可以运行杀毒引擎的终端设备中的至少一种。此外，该方法的执行主体，也可以是杀毒引擎本身。为便于描述，下文以该方法的执行主体为杀毒引擎为例，对该方法的实施方式进行介绍。可以理解，该方法的执行主体为杀毒引擎只是一种示例性的说明，并不应理解为对该方法的限定。该方法的实现流程示意图如图1所示，包括下述步骤：步骤11：对被检测脚本的编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合；本申请实施例中，所述脚本可以是由脚本语言编写的以纯文本形式保存的程序，所述脚本可以控制计算机进行运算操作。所述脚本比如可以是利用JavaScript语言编写的JS脚本、利用VisualBasicScript语言编写的VBScript脚本等。所述编码为编写所述脚本的代码。在实际应用中，在对被检测脚本的编码进行词语分析之前，可以预先确定被检测脚本的类型，然后利用与所述被检测脚本的类型相对应的脚本杀毒引擎对被检测脚本进行处理。本申请实施例中所述的脚本杀毒引擎，为判断脚本是否为病毒脚本并进行病毒清理的程序。由于不同类型的脚本的编写语言不同，本申请实施例中，可以根据待检测脚本的类型，确定与所述待检测脚本的类型对应的脚本杀毒引擎进行处理。在实际应用中，可以根据脚本的类型，设置与脚本的类型对应的脚本杀毒引擎。本申请实施例中的脚本杀毒引擎所处理的脚本的类型包括但不限于下述几种：JS(JavaScript)脚本、VBScript(MicrosoftVisualBasicScriptEditon)脚本、PHP(HypertextPreprocessor)脚本和ASP(ActiveServerPage)脚本。与所述脚本的类型相对应，所述脚本杀毒引擎包括但不限于下述几种：JS脚本杀毒引擎、VBScript脚本杀毒引擎、PHP脚本杀毒引擎和ASP脚本杀毒引擎。本申请实施例中，脚本杀毒引擎对脚本的分析规则与脚本的类型有关，即脚本杀毒引擎可以根据与之对应的脚本的类型的脚本规范，对该类型脚本进行分析。所述脚本规范比如可以是脚本的编码规范。例如，JS脚本杀毒引擎可以根据JS脚本的脚本规范对JS脚本进行分析。为了获取被检测脚本的编码，以便对被检测脚本进行分析，本申请实施例中，可以利用脚本编码获取引擎对脚本中的编码进行获取。例如，可以利用windows平台下的MSScript脚本引擎来实现对VBScript脚本代码的获取，MSScript脚本引擎可以通过运行VBScript脚本代码，进而提取VBScript脚本代码中的变量、函数等信息。本申请实施例中，还可以通过特征函数捕获函数来获取被检测脚本的编码。具体地，可以预先设定特征函数、以及特征函数捕获函数与特征函数的对应关系；当被检测脚本调用特征函数时，将该特征函数替换为与该特征函数对应的特征函数捕获函数，例如，对于JavaScript脚本，可以采用HookJS的方式进行替换，Hook指的是将一个函数的调用变成另一个函数的调用；利用特征函数捕获函数获得特征函数中的编码。需要说明的是，在对被检测脚本的编码进行获取时，对于混淆加密的脚本，可以对混淆加密的脚本进行解混淆处理，获得混淆加密前的原始编码。所述混淆加密，指将编码中的各种元素(如变量，函数，类的名字)按照某种规则转换成其它名字进行表示，从而进行加密，使得阅读的人无法根据名字猜测其用途。在实际应用中，由于不可执行编码一般不会对计算机中的数据带来危害，为了减少编码分析时的运算量，在获取脚本编码时，可以仅获取被检测脚本的可执行编码，并在后续步骤中仅针对可执行代码进行词语分析，以便减少词语分析时的运算量。基于上述编码获取方本文档来自技高网...

【技术保护点】
一种数据恢复方法，其特征在于，包括：对被检测脚本的编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合；所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个脚本元素；虚拟执行所述组合编码脚本集合中的脚本元素，根据脚本元素的虚拟执行过程，确定组合编码脚本集合中的恶意脚本感染数据的步骤；根据所述恶意脚本感染数据的步骤，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据。

【技术特征摘要】
1.一种数据恢复方法，其特征在于，包括：对被检测脚本的编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合；所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个脚本元素；虚拟执行所述组合编码脚本集合中的脚本元素，根据脚本元素的虚拟执行过程，确定组合编码脚本集合中的恶意脚本感染数据的步骤；根据所述恶意脚本感染数据的步骤，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据。2.如权利要求1所述的方法，其特征在于，根据所述恶意脚本感染数据的过程，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据，包括：根据所述恶意脚本感染数据的步骤，获取被所述恶意脚本感染后的数据的特征；根据所述恶意脚本感染数据的步骤，构建所述恶意脚本感染数据的步骤的逆向步骤；根据所述被恶意脚本感染后的数据的特征，查找计算机中被病毒感染的数据；按照所述逆向步骤，将查找到的计算机中被病毒感染的数据恢复为被恶意脚本感染前的原始数据。3.如权利要求1所述的方法，其特征在于，对被检测脚本的编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合，包括：对所述被检测脚本进行词法分析，确定所述被检测脚本中每个词语单元的单词类型集合；所述单词类型集合包括所述词语单元所对应的至少一个单词类型元素；对所述被检测脚本进行语法分析，确定所述被检测脚本中每个语句单元的语句类型集合；所述语句类型集合包括所述语句单元所对应的至少一个语句类型元素；根据所述单词类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合。4.如权利要求3所述的方法，其特征在于，所述方法还包括：对所述被检测脚本进行表达式分析，确定所述被检测脚本中每个表达式单元的表达式类型集合；所述表达式类型集合包括所述表达式单元所对应的至少一个表达式类型元素；根据所述单词类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合，包括：根据所述单词类型集合、表达式类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合。5.如权利要求4所述的方法，其特征在于，根据单词类型集合、表达式类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合，包括：从单词类型集合中选取一个单词类型元素，从表达式类型集合中选取一个表达式类型元素，从词句类型集合中选取一个词句类型元素；将选取的所述单词类型元素、表达式类型元...

【专利技术属性】
技术研发人员：陈卓，杨康，唐海，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11