本发明专利技术公开了一种确定病毒文件的方法和装置,属于计算机安全领域。该方法包括:根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据;比对所述病毒特征码和所述被扫描文件的被定位数据;当所述病毒特征码与所述被定位数据匹配,确定所述被扫描文件为病毒文件。该装置包括:定位模块、比对模块和确定模块。本发明专利技术实施例的技术方案,能够适合任何扫描杀毒场景,不需要对本扫描文件进行反编译,有效减少用于确定病毒文件的时间,同时避免了对内存的大量占用,从而实现了提高效率的目的。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,特别涉及一种确定病毒文件的方法和装置。
技术介绍
随着计算机技术的发展,对杀毒软件的要求也越来越高,现有技术中的杀毒软件,在确定一个可执行文件是否是流氓软件或病毒时,需要对这个可执行文件反编译,从得到的源代码中取出这个可执行文件所用到的类名、方法名、常量字符串等相关信息,并将以上相关信息和病毒库里面病毒特征进行比对,以此判断该可执行文件是否是流氓软件或病毒。在实现本专利技术的过程中,专利技术人发现现有技术至少存在以下问题现有技术提供的方法,需要对整个可执行文件进行反编译,反编译的过程不仅耗 时,而且对内存的占用较大,且在反编译后还需获取可执行文件所用到的类名、方法名、常量字符串等相关彳目息,进一步提闻了对内存的占用。
技术实现思路
为了解决现有技术的问题,本专利技术实施例提供了一种确定病毒文件的方法和装置。所述技术方案如下—方面,一种确定病毒文件的方法,所述方法包括根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据;比对所述病毒特征码和所述被扫描文件的被定位数据;当所述病毒特征码与所述被定位数据匹配,确定所述被扫描文件为病毒文件。另一方面,一种确定病毒文件的装置,所述装置包括定位模块,用于根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据;比对模块,用于比对所述病毒特征码和所述被扫描文件的被定位数据;确定模块,用于当所述病毒特征码与所述被定位数据匹配,确定所述被扫描文件为病毒文件。相对于现有技术,本专利技术实施例提供的确定病毒文件的方法和装置,其根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据;比对所述病毒特征码和所述被扫描文件的被定位数据;当所述病毒特征码与所述被定位数据匹配,确定所述被扫描文件为病毒文件。本专利技术实施例通过采用上述技术方案,能够弥补现有技术的不足,提供一种根据病毒的病毒特征码和被扫描文件的部分数据确定病毒文件的高效的技术方案。而且本专利技术实施例的技术方案,能够适合任何扫描杀毒场景,不需要对本扫描文件进行反编译,有效减少用于确定病毒文件的时间,同时避免了对内存的大量占用,从而实现了提高效率的目的。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是本专利技术实施例提供的一种确定病毒文件的方法的流程图;图2是本专利技术实施例提供的一种确定病毒文件的方法的流程图;图3是本专利技术实施例提供的一种确定病毒文件的 装置的结构示意图;图4是本专利技术实施例提供的一种确定病毒文件的装置的结构示意图;图5是本专利技术实施例提供的一种确定病毒文件的装置的结构示意图。具体实施例方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术实施方式作进一步地详细描述。图I是本专利技术实施例提供的一种确定病毒文件的方法的流程图。该实施例的执行主体为终端设备,该终端设备可以为固定终端设备,还可以为移动终端。参见图1,该实施例包括101、根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据;102、比对所述病毒特征码和所述被扫描文件的被定位数据;103、当所述病毒特征码与所述被定位数据匹配,确定所述被扫描文件为病毒文件。可选地,根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据,包括根据病毒的病毒特征码的文件偏移地址,在所述被扫描文件中定位以所述文件偏移地址为起点的数据。可选地,比对所述病毒特征码和所述被扫描文件的被定位数据,包括比对所述病毒特征码和所述被扫描文件中以所述文件偏移地址为起点的被定位数据,所述被定位数据与所述病毒特征码的长度相同。可选地,所述根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据,之前包括根据所述病毒特征码的文件偏移地址,判断是否对所述被扫描文件进行定位;当所述文件偏移地址大于所述被扫描文件大小时,不进行定位。可选地,所述根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据,之前包括从磁盘中读取所述被扫描文件,将所述被扫描文件保存至缓存。本专利技术实施例提供的确定病毒文件的方法,通过根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据;比对所述病毒特征码和所述被扫描文件的被定位数据;当所述病毒特征码与所述被定位数据匹配,确定所述被扫描文件为病毒文件。本专利技术实施例通过采用上述技术方案,能够弥补现有技术的不足,提供一种根据病毒的病毒特征码和被扫描文件的部分数据确定病毒文件的高效的技术方案。而且本专利技术实施例的技术方案,能够适合任何扫描杀毒场景,不需要对本扫描文件进行反编译,有效减少用于确定病毒文件的时间,同时避免了对内存的大量占用,从而实现了提高效率的目的。再者本专利技术实施例的技术方案还能够在确定病毒文件之后,有效对该病毒文件进行处理,以保护设备不受病毒侵扰,正常运行。图2是本专利技术实施例提供的一种确定病毒文件的方法的流程图。该实施例的执行主体为终端设备,该终端设备可以为固定终端设备,还可以为移动终端。参见图2,该实施例包括201、启动病毒扫描过程;本实施例中的“启动病毒扫描过程”包括启动病毒防护程序进行扫描,确定扫描文件队列等,该过程与现有技术同理,在此不再赘述。202、从磁盘中读取被扫描文件,将所述被扫描文件保存至缓存; 为了便于说明,该实施例中将当前扫描到的文件称为被扫描文件,根据扫描文件队列,扫描到当前文件时,从磁盘中读取被扫描文件,将被扫描文件保存至缓存。本实施例中,先将被扫描文件的整体保存至缓存,并在缓存中对被扫描文件进行处理。在另一实施例中,还可以先不将被扫描文件保存至缓存,在后续步骤中会详细说明。203、根据病毒的病毒特征码的文件偏移地址,在所述被扫描文件中定位以所述文件偏移地址为起点的数据;病毒特征库包含多个病毒定义,每个病毒定义均包含数个病毒特征码以及病毒特征码对应的文件偏移地址,各个病毒特征码之间可以具有相同的文件偏移地址,还可以具有多个不同的文件偏移地址,文件偏移地址和病毒特征码--对应。其中,文件偏移地址是指当文件储存在磁盘上时各数据的地址。文件偏移地址从文件的第一个字节开始计数,起始值为O。病毒特征码是一段用于比对的数据,该数据具有指定长度。如果某个文件以该文件偏移地址为起点的指定长度的被定位数据与该病毒特征码相同,则认为该文件是病毒文件。例如,病毒特征码的文件偏移地址可以为00000066h,也即是定位被扫描文件中00000066h这个地址,本领域技术人员可以获知,该定位可通过文件指针实现,当一个文件打开并保存在缓存中时,文件指针指向文件的起始地址OOOOOOOOh。需要说明的是,此处所举的病毒特征码的文件偏移地址仅是为了说明获取方法的一个示意,并不是病毒特征码的实际组成。本实施例中,优选地,不执行202,而是直接执行步骤203,可以减少缓存的占用,节约磁盘空间。进一步地,在该步骤203之前,还包括根据所述病毒特征码的文件偏移地址,判断是否对所述被扫描文件进行定位;当所述文件偏移地址大于所述被扫描文件大小时,不进行定位;当所述文件偏移地址小于所述被扫描文件大小时,执行步骤203。当病毒特征码的文件偏移地址大于被扫描文件大小时,对本文档来自技高网...
【技术保护点】
一种确定病毒文件的方法,其特征在于,所述方法包括:根据病毒的病毒特征码的文件偏移地址,定位被扫描文件的数据;比对所述病毒特征码和所述被扫描文件的被定位数据;当所述病毒特征码与所述被定位数据匹配,确定所述被扫描文件为病毒文件。
【技术特征摘要】
【专利技术属性】
技术研发人员:李伟,佟永良,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。