本发明专利技术提出一种恶意代码查杀方法、装置和存储介质,涉及计算机系统安全技术领域。该方法包括以下步骤:将恶意代码特征库与第一恶意代码查杀程序融合,形成第二恶意代码查杀程序;读取所述第二恶意代码查杀程序中的恶意代码特征数据到内存;调用所述第二恶意代码查杀程序,遍历全盘文件,将所述文件与内存上的所述恶意代码特征数据进行对比;如果与所述恶意代码特征数据匹配,则判定为恶意代码;如果与所述恶意代码特征数据不匹配,则判定为非恶意代码。该方法用于解决磁盘中单独存储的恶意代码特征库文件被分析及逆向破解的问题。本发明专利技术同时还提供一种恶意文件查杀装置和计算机可读存储介质,均具有上述有益效果。均具有上述有益效果。均具有上述有益效果。
【技术实现步骤摘要】
一种恶意代码查杀方法、装置和存储介质
[0001]本专利技术涉及计算机系统安全
,具体地说,涉及一种恶意代码查杀方法、装置和存储介质。
技术介绍
[0002]随着移动互联网的高速发展,各类智能设备已经逐渐在人们的生活与工作中得到普及,各种威胁也随之而来,其中恶意代码是常见威胁之一。目前检测恶意代码的主流方法有:特征代码法、校验和法、行为监测法、软件模拟法、启发式扫描,这些方法依据原理的不同,实现时所需的开销、检测范围各不相同,各有所长。而特征代码法是检测已知恶意代码的最简单、最直接的方法。
[0003]传统的特征代码法在每次运行恶意代码查杀工具的时候,读取磁盘中某一处提前采集好的已知恶意代码特征库文件数据存入到内存,然后再打开被检测文件,基于一定规则计算文件的特征码,检测文件的特征码是不是在恶意代码数据库中,如果发现在恶意代码特征代码,即可断定被查文件感染何种恶意代码,并且在需要的时候更新替换磁盘上的恶意代码特征库文件。可以看出,传统特征代码法的恶意代码查杀工具本身和恶意代码特征库是两个独立的文件,二者缺一不可。该方式存在问题是恶意代码特征库文件在磁盘上,存在被分析、逆向破解的风险。一旦恶意代码特征库被恶意程序解密,之后再运行恶意代码查杀工具,则难以扫描出恶意代码,用户误以为操作系统依然安全,存在巨大的安全隐患。
技术实现思路
[0004]本专利技术提供一种恶意代码查杀方法、装置和存储介质,通过将恶意代码特征库文件和恶意代码查杀工具文件融合成整体,加大恶意代码特征库被暴露、破解难度,解决恶意代码特征库文件被分析及逆向破解的问题。
[0005]本专利技术的实施例内容如下:
[0006]本专利技术提出一种恶意代码检测方法,包括以下步骤:
[0007]将恶意代码特征库与第一恶意代码查杀程序融合,形成第二恶意代码查杀程序;读取所述第二恶意代码查杀程序中的恶意代码特征数据到内存;调用所述第二恶意代码查杀程序,遍历全盘文件,将所述文件与内存上的所述恶意代码特征数据进行对比;如果与所述恶意代码特征数据匹配,则判定为恶意代码;如果与所述恶意代码特征数据不匹配,则判定为非恶意代码。
[0008]进一步地,所述将恶意代码特征库与第一恶意代码查杀程序融合,包括以下步骤:读取所述恶意代码特征库文件数据;计算所述恶意代码特征库文件大小;根据所述恶意代码特征库文件大小创建所述第一恶意代码查杀程序的新增PE(Portable Executable,可移植可执行体)节区;将所述恶意代码特征库写入所述新增的PE节区,形成所述第二恶意代码查杀程序。
[0009]进一步地,将所述恶意代码特征库写入所述新增的PE节区之前对所述恶意代码特
征库进行加密。
[0010]进一步地,读取所述第二恶意代码查杀程序中的恶意代码特征数据后,将其存放于内存映射表Map中。
[0011]进一步地,所述遍历全盘文件,包括以下步骤:根据运行所述恶意代码查杀程序的设备所能支持的磁盘IO最大线程数量,创建线程池;创建一个遍历所述磁盘的线程,负责给所述磁盘IO线程池分配任务;唤醒所述线程池中空闲线程,依次读取所述磁盘中的文件,并计算对应的特征码。
[0012]进一步地,在所述计算对应特征码之前,判断磁盘中的数据是否为文件,如果不是文件,则不计算特征码,继续读取下一文件。
[0013]本专利技术提出一种恶意代码查杀装置,包括:恶意代码特征库模块,用于存放所述恶意代码特征库;第一恶意代码查杀模块,用于存放恶意代码查杀程序;程序融合模块,用于将所述恶意代码特征库和所述第一恶意代码查杀程序融合为第二恶意代码查杀程序;第二恶意代码查杀模块,用于查杀所述恶意代码;磁盘遍历模块,用于调用所述第二恶意代码查杀模块,遍历磁盘文件。
[0014]进一步地,所述程序融合模块包括:恶意代码特征库文件处理子模块,用于读取所述恶意代码特征库文件并计算其大小;PE辅助工具子模块,用于创建所述第二恶意代码查杀程序的新增PE节区,并将所述恶意代码特征库写入所述新增的PE节区。
[0015]进一步地,所述磁盘遍历模块包括:线程创建子模块,用于计算设备所能支持的磁盘IO最大线程数量,并创建线程池;任务控制子模块,用于给所述磁盘IO线程池分配任务;特征值计算子模块,用于计算文件特征码。
[0016]本专利技术提出一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现上述任意一项所述恶意代码查杀方法。
[0017]本专利技术提出的恶意代码查杀方法、装置和存储介质,将恶意代码特征库文件和恶意代码查杀工具程序融合成一个整体,比如在恶意代码查杀工具中新增的PE节区内写入恶意代码特征库,加大恶意代码特征库被暴露、破解难度,解决磁盘中单独存储的恶意代码特征库文件被分析及逆向破解的问题。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0019]图1本专利技术实施例中恶意代码查杀方法流程图;
[0020]图2本专利技术一优选实施例中恶意代码查杀方法流程图;
[0021]图3本专利技术一优选实施例中恶意代码查杀方法流程图;
[0022]图4本专利技术实施例中恶意代码查杀装置示意图。
具体实施方式
[0023]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完
整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0024]根据本专利技术的实施例,提供了一种恶意代码查杀方法,图1为恶意代码查杀方法流程图,包括以下步骤:将恶意代码特征库与第一恶意代码查杀程序融合,形成第二恶意代码查杀程序;读取所述第二恶意代码查杀程序中的恶意代码特征数据到内存;调用所述第二恶意代码查杀程序,遍历全盘文件,将所述文件与内存上的所述恶意代码特征数据进行对比;如果与所述恶意代码特征数据匹配,则判定为恶意代码,采取查杀措施;如果与所述恶意代码特征数据不匹配,则判定为非恶意代码。所述将恶意代码特征库与第一恶意代码查杀程序融合的方法有多种,比如将将恶意代码特征库内容拷贝到所述第一恶意代码查杀程序文件之后,或者在所述第一恶意代码查杀程序中新增PE节区等。
[0025]通过上述方法,可以解决单独存储在磁盘上的恶意代码特征库安全性不高,容易被逆向破解的问题,即加大恶意代码特征库被暴露、破解难度,增强了计算机系统的安全性。
[0026]本专利技术的一优选实施例中,如图2所示,包括以下步骤:读取所述恶意代码特征库文件数据;计算所述恶意代码特征库文件大小;根据所述恶意代码特征库文件大小创建所述第一恶本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意代码查杀方法,其特征在于,包括以下步骤:将恶意代码特征库与第一恶意代码查杀程序融合,形成第二恶意代码查杀程序;读取所述第二恶意代码查杀程序中的恶意代码特征数据到内存;调用所述第二恶意代码查杀程序,遍历全盘文件,将所述文件与内存上的所述恶意代码特征数据进行对比;如果与所述恶意代码特征数据匹配,则判定为恶意代码;如果与所述恶意代码特征数据不匹配,则判定为非恶意代码。2.根据权利要求1所述的恶意代码查杀方法,其特征在于,所述将恶意代码特征库与第一恶意代码查杀程序融合,包括以下步骤:读取所述恶意代码特征库文件数据;计算所述恶意代码特征库文件大小;根据所述恶意代码特征库文件大小创建所述第一恶意代码查杀程序的新增PE节区;将所述恶意代码特征库写入所述新增的PE节区,形成所述第二恶意代码查杀程序。3.根据权利要求2所述的恶意代码查杀方法,其特征在于,将所述恶意代码特征库写入所述新增的PE节区之前对所述恶意代码特征库进行加密。4.根据权利要求1所述的恶意代码查杀方法,其特征在于,读取所述第二恶意代码查杀程序中的恶意代码特征数据后,将其存放于内存映射表Map中。5.根据权利要求1所述的恶意代码查杀方法,其特征在于,所述遍历全盘文件,包括以下步骤:根据运行所述恶意代码查杀程序的设备所能支持的磁盘IO最大线程数量,创建线程池;创建一个遍历所述磁盘的线程,负责给所述磁盘IO线程池分配任务;唤醒所述线程池中空闲线程,依次读取所...
【专利技术属性】
技术研发人员:周震,
申请(专利权)人:北京猎鹰安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。