一种计算机病毒的检测方法及装置制造方法及图纸

技术编号:15747216 阅读:83 留言:0更新日期:2017-07-03 04:12
本申请公开了一种计算机病毒的检测方法,用以解决现有技术中根据病毒特征代码进行病毒识别导致的计算机病毒识别率低的问题。该方法包括:对被检测脚本的编码进行词语分析,根据所述词语分析的结果,构建所述被检测脚本的组合编码脚本集合;所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个组合编码脚本元素;将所述组合编码脚本集合中的组合编码脚本元素与预设的病毒库中的病毒脚本元素进行对比,根据对比结果判断所述组合编码脚本集合中是否包含病毒脚本元素,进而判断所述被检测脚本是否为病毒脚本。本申请还公开了一种计算机病毒的检测装置。

Method and device for detecting computer virus

The invention discloses a computer virus detection method, which is used to solve the problem of low recognition rate of computer viruses caused by virus identification in the prior art according to virus characteristic codes. The method includes: the word analysis script encoding has been detected, based on the analysis of the results of the construction of words, combination encoding script is detected; the combined encoding script set includes the detected code script elements at least one combination of corresponding script encoding; the combination of virus the script element combination encoding the script element in the set encoding script and preset virus database comparison, whether the combination of script encoding whether the collection contains virus script elements according to the comparison results, and then the test script is for virus script judgment. The present application also discloses a computer virus detection device.

【技术实现步骤摘要】
一种计算机病毒的检测方法及装置
本申请涉及计算机
,尤其涉及一种计算机病毒的检测方法及装置。
技术介绍
在互联网时代,计算机病毒极大地威胁着计算机的安全。计算机病毒传染性极强,计算机随时都有可能被计算机病毒感染,而且计算机病毒的破坏力极大,可能会导致计算机系统瘫痪、信息泄露等。当计算机系统中存在病毒文件或计算机系统中的文件被病毒感染时,需要通过杀毒软件对系统中的文件进行扫描,以便清除病毒。在对脚本病毒进行检测时,一般是在脚本的编码中寻找具备病毒特征的代码,如果脚本编码中包含所述具备病毒特征的代码,则判断该文件为病毒文件。但是病毒文件往往采用变形的方式躲避杀毒软件的检测,如果仅仅对文件代码进行搜索,会难以发现以变形方式隐藏在文件中的恶意代码。
技术实现思路
本申请实施例提供一种计算机病毒的检测方法,用以解决现有技术中根据病毒特征代码进行病毒识别导致的计算机病毒识别率低的问题。本申请实施例还提供一种计算机病毒的检测装置,用以解决现有技术中根据病毒特征代码进行病毒识别导致的计算机病毒识别率低的问题。本申请实施例采用下述技术方案:一种计算机病毒的检测方法,包括:对被检测脚本的编码进行词语分析,根据所述词语分析的结果,构建所述被检测脚本的组合编码脚本集合;所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个脚本元素;将所述组合编码脚本集合中的脚本元素与预设的病毒库中的病毒脚本元素进行对比,根据对比结果判断所述组合编码脚本集合中是否包含病毒脚本元素,进而判断所述被检测脚本是否为病毒脚本。一种计算机病毒的检测装置,包括:集合构建单元:用于对被检测脚本的编码进行词语分析,根据所述词语分析的结果,构建所述被检测脚本的组合编码脚本集合;所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个脚本元素;病毒判断单元:用于将所述组合编码脚本集合中的脚本元素与预设的病毒库中的病毒脚本元素进行对比,根据对比结果判断所述组合编码脚本集合中是否包含病毒脚本元素,进而判断所述被检测脚本是否为病毒脚本。本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:相对于现有技术中通过判断脚本代码中是否包含病毒特征代码来判断脚本是否为病毒脚本,本方案将被检测脚本的编码进行词语分析后,构建被检测脚本的组合编码脚本集合,通过判断所述组合编码脚本集合中是否包含病毒脚本元素,判断被检测脚本是否为病毒脚本,提高了计算机病毒的识别率,解决了现有技术中根据病毒特征代码进行病毒识别,导致的计算机病毒识别率低的问题。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1为本申请实施例1提供的一种计算机病毒检测方法的实现流程示意图;图2为本申请实施例2提供的一种计算机病毒检测方法的一种实现流程示意图;图3为本申请实施例3提供的一种计算机病毒检测装置的具体结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。以下结合附图,详细说明本申请各实施例提供的技术方案。实施例1为解决现有技术中根据病毒特征代码进行病毒识别,导致的计算机病毒识别率低的问题,本申请实施例1提供一种计算机病毒检测方法。该方法的执行主体,可以但不限于为手机、平板电脑、个人电脑(PersonalComputer,PC)等任何可以运行杀毒引擎的终端设备中的至少一种。此外,该方法的执行主体,也可以是杀毒引擎本身。为便于描述,下文以该方法的执行主体为杀毒引擎为例,对该方法的实施方式进行介绍。可以理解,该方法的执行主体为杀毒引擎只是一种示例性的说明,并不应理解为对该方法的限定。该方法的实现流程示意图如图1所示,包括下述步骤:步骤11:对被检测脚本的编码进行词语分析,根据所述词语分析的结果,构建所述被检测脚本的组合编码脚本集合;本申请实施例中,所述脚本可以是由脚本语言编写的以纯文本形式保存的程序,所述脚本可以控制计算机进行运算操作。所述脚本比如可以是利用JavaScript语言编写的JS脚本、利用VisualBasicScript语言编写的VBScript脚本等。所述编码为编写所述脚本的代码。在实际应用中,在对被检测脚本的编码进行词语分析之前,可以预先确定被检测脚本的类型,然后利用与所述被检测脚本的类型相对应的脚本杀毒引擎对被检测脚本进行处理。本申请实施例中所述的脚本杀毒引擎,为判断脚本是否为病毒脚本并进行病毒清理的程序。由于不同类型的脚本的编写语言不同,本申请实施例中,可以根据待检测脚本的类型,确定与所述待检测脚本的类型对应的脚本杀毒引擎进行处理。在实际应用中,可以根据脚本的类型,设置与脚本的类型对应的脚本杀毒引擎。本申请实施例中的脚本杀毒引擎所处理的脚本的类型包括但不限于下述几种:JS(JavaScript)脚本、VBScript(MicrosoftVisualBasicScriptEditon)脚本、PHP(HypertextPreprocessor)脚本和ASP(ActiveServerPage)脚本。与所述脚本的类型相对应,所述脚本杀毒引擎包括但不限于下述几种:JS脚本杀毒引擎、VBScript脚本杀毒引擎、PHP脚本杀毒引擎和ASP脚本杀毒引擎。本申请实施例中,脚本杀毒引擎对脚本的分析规则与脚本的类型有关,即脚本杀毒引擎可以根据与之对应的脚本的类型的脚本规范,对该类型脚本进行分析。所述脚本规范比如可以是脚本的编码规范。例如,JS脚本杀毒引擎可以根据JS脚本的脚本规范对JS脚本进行分析。为了获取被检测脚本的编码,以便对被检测脚本进行分析,本申请实施例中,可以利用脚本编码获取引擎对脚本中的编码进行获取。例如,可以利用windows平台下的MSScript脚本引擎来实现对VBScript脚本代码的获取,MSScript脚本引擎可以通过运行VBScript脚本代码,进而提取VBScript脚本代码中的变量、函数等信息。本申请实施例中,还可以通过特征函数捕获函数来获取被检测脚本的编码。具体地,可以预先设定特征函数、以及特征函数捕获函数与特征函数的对应关系;当被检测脚本调用特征函数时,将该特征函数替换为与该特征函数对应的特征函数捕获函数,例如,对于JavaScript脚本,可以采用HookJS的方式进行替换,Hook指的是将一个函数的调用变成另一个函数的调用;利用特征函数捕获函数获得特征函数中的编码。需要说明的是,在对被检测脚本的编码进行获取时,对于混淆加密的脚本,可以对混淆加密的脚本进行解混淆处理,获得混淆加密前的原始编码。所述混淆加密,指将编码中的各种元素(如变量,函数,类的名字)按照某种规则转换成其它名字进行表示,从而进行加密,使得阅读的人无法根据名字猜测其用途。在实际应用中,由于不可执行编码一般不会对计算机中的数据带来危害,为了减少编码分析时的运算量,在获取脚本编码时,可以仅获取被检测脚本的可执行本文档来自技高网...
一种计算机病毒的检测方法及装置

【技术保护点】
一种计算机病毒的检测方法,其特征在于,包括:对被检测脚本的编码进行词语分析,根据所述词语分析的结果,构建所述被检测脚本的组合编码脚本集合;所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个组合编码脚本元素;将所述组合编码脚本集合中的组合编码脚本元素与预设的病毒库中的病毒脚本元素进行对比,根据对比结果判断所述组合编码脚本集合中是否包含病毒脚本元素,进而判断所述被检测脚本是否为病毒脚本。

【技术特征摘要】
1.一种计算机病毒的检测方法,其特征在于,包括:对被检测脚本的编码进行词语分析,根据所述词语分析的结果,构建所述被检测脚本的组合编码脚本集合;所述组合编码脚本集合包括所述被检测脚本编码所对应的至少一个组合编码脚本元素;将所述组合编码脚本集合中的组合编码脚本元素与预设的病毒库中的病毒脚本元素进行对比,根据对比结果判断所述组合编码脚本集合中是否包含病毒脚本元素,进而判断所述被检测脚本是否为病毒脚本。2.如权利要求1所述的方法,其特征在于,对被检测脚本的编码进行词语分析,根据所述词语分析的结果,构建所述被检测脚本的组合编码脚本集合,包括:对所述被检测脚本进行词法分析,确定所述被检测脚本中每个词语单元的单词类型集合;所述单词类型集合包括所述词语单元所对应的至少一个单词类型元素;对所述被检测脚本进行语法分析,确定所述被检测脚本中每个语句单元的语句类型集合;所述语句类型集合包括所述语句单元所对应的至少一个语句类型元素;根据所述单词类型集合和所述语句类型集合,构建所述被检测脚本对应的组合编码脚本集合。3.如权利要求2所述的方法,其特征在于,所述方法还包括:对所述被检测脚本进行表达式分析,确定所述被检测脚本中每个表达式单元的表达式类型集合;所述表达式类型集合包括所述表达式单元所对应的至少一个表达式类型元素;根据所述单词类型集合和所述语句类型集合,构建所述被检测脚本对应的组合编码脚本集合,包括:根据所述单词类型集合、表达式类型集合和所述语句类型集合,构建所述被检测脚本对应的组合编码脚本集合。4.如权利要求3所述的方法,其特征在于,根据单词类型集合、表达式类型集合和所述语句类型集合,构建所述被检测脚本对应的组合编码脚本集合,包括:从所述单词类型集合中选取一个单词类型元素,从所述表达式类型集合中选取一个表达式类型元素,从所述词句类型集合中选取一个词句类型元素;将选取的所述单词类型元素、表达式类型元素以及语句类型元素组合成一个组合编码脚本元素;按照上述步骤,遍历所述单词类型集合、表达式类型集合、词句类型集合中的所有元素组合成组合编码脚本元素,利用所有组合编码脚本元...

【专利技术属性】
技术研发人员:陈卓杨康唐海
申请(专利权)人:北京奇虎科技有限公司奇智软件北京有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1