一种染毒文件的处理方法和系统技术方案

本发明专利技术公开了一种染毒文件的处理方法和系统，其中的方法具体包括：获取文件系统读取失败的文件，作为待处理文件；获取所述待处理文件在磁盘上的簇分布信息；依据所述簇分布信息，从磁盘上读取所述待处理文件的数据；将读取出的数据写入临时文件；分析所述临时文件的安全性，若所述临时文件不安全，则对所述临时文件及对应待处理文件执行清理操作。本发明专利技术能够提高杀毒效率。

【技术实现步骤摘要】
本专利技术涉及计算机安全
，具体涉及一种染毒文件的处理方法和系统。
技术介绍
随着计算机技术的不断发展，目前无论在日常生活中还是在工作中，计算机都已经成为人们不可或缺的伙伴，为人们的工作和生活带来了很多的便利，但是在这之中有一个不和谐的因素，那就是计算机病毒。 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。一旦染上病毒，计算机通常表现为其文件被增加、删除、改变名称或属性、移动到其它目录下，病毒对计算机文件的这些操作，可能会导致正常的程序无法运行、计算机操作系统崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。为了保证计算机的安全运行，需要对计算机中感染病毒的文件进行病毒查杀，以防止和清除病毒的破坏。现有技术中的病毒，往往通过占用文件句柄、设置文件只读属性、使文件处于删除状态等手段给染毒文件加上了加锁，采用常规手段无法破解加锁。现有技术一种杀毒方法，枚举操作系统下所有的进程，并枚举各进程打开的文件句柄，通过查看文件句柄来找到加上独占锁的染毒文件；该方法能够查杀出加上独占锁的染毒文件，但是进程和文件句柄的枚举比较耗时，杀毒效率不高。现有技术另一种杀毒方法，使用一些未公开方法查杀加上内核锁的染毒文件；但是，未公开方法容易与操作系统中其它程序不兼容，引发操作系统出现蓝屏等不稳定的问题，进而影响杀毒效率。总之，需要本领域技术人员迫切解决的一个技术问题就是如何能够提高杀毒效率。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种染毒文件的处理方法和系统。依据本专利技术的一个方面，提供了一种染毒文件的处理方法，包括获取文件系统读取失败的文件，作为待处理文件；获取所述待处理文件在磁盘上的簇分布信息；依据所述簇分布信息，从磁盘上读取所述待处理文件的数据；将读取出的数据写入临时文件；分析所述临时文件的安全性，若所述临时文件不安全，则对所述临时文件及对应待处理文件执行清理操作。可选地，所述获取所述待处理文件在磁盘上的簇分布信息的步骤，包括以读属性打开所述待处理文件，得到相应的句柄；基于设备驱动接口函数的磁盘驱动控制码功能，获取与所述句柄相应的所述待处理文件在磁盘上的簇分布信息。可选地，所述依据所述簇分布信息，从磁盘上读取所述待处理文件的数据的步骤，包括依据所述待处理文件的路径，获取所述待处理文件对应的磁盘分区；依据所述簇分布信息，得到所述待处理文件在对应的磁盘分区上的簇偏移；在所述待处理文件对应的磁盘分区对应位置上读取与所述簇偏移相应的数据。可选地，所述文件系统读取失败的文件包括ERR0R_SHARING_VI0LATI0N32对应的文件和ERR0R_L0CK_VI0LATI0N33对应的文件。可选地，所述获取文件系统读取失败的文件，作为待处理文件的步骤，包括 读取文件后缀名，通过文件后缀名来判定所述文件是否为PE文件，若是，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件；或者，判定文件大小，若所述文件大于第一文件阈值，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件。可选地，所述分析所述临时文件的安全性的步骤，包括计算所述临时文件的特征值；根据白名单和所计算的所述临时文件的特征值，监测所述临时文件是否可信任；所述白名单至少包括可信任文件的特征值；在监测结果为肯定的情况下，确定所述临时文件安全；在监测结果为否定的情况下，利用杀毒引擎分析所述临时文件是否安全。可选地，所述清理操作包括禁用所述临时文件及对应待处理文件的启动项，或者，粉碎所述临时文件及对应待处理文件。可选地，所述粉碎所述临时文件及对应待处理文件的步骤，包括依据所述临时文件及对应待处理文件的路径在对象管理器中查找对应的文件对象解析例程；依据查找得到的文件对象解析例程生成I/O请求包，并发送至预置的文件系统下层设备的原始地址；由文件系统下层设备依据所述I/O请求包对所述临时文件及对应待处理文件执行粉碎操作。可选地，所述分析所述临时文件的安全性的步骤，还包括在监测结果为否定的情况下，判断所述临时文件的签名是否有效；在所述临时文件的签名有效时，确定所述临时文件安全；在所述临时文件的签名无效时，利用杀毒引擎分析所述临时文件是否安全。根据本专利技术的另一方面，提供了一种染毒文件的处理系统，包括待处理文件获取模块，用于获取文件系统读取失败的文件，作为待处理文件；簇分布获取模块，用于获取所述待处理文件在磁盘上的簇分布信息；簇读取模块，用于依据所述簇分布信息，从磁盘上读取所述待处理文件的数据；临时写入模块，用于将读取出的数据写入临时文件；安全性分析模块，用于分析所述临时文件的安全性；清理模块，用于在临时文件不安全时，对所述临时文件及对应待处理文件执行清理操作。可选地，所述簇分布获取模块包括打开子模块，用于以读属性打开所述待处理文件，得到相应的句柄； 控制码功能获取子模块，用于基于设备驱动接口函数的磁盘驱动控制码功能，获取与所述句柄相应的所述待处理文件在磁盘上的簇分布信息。可选地，所述簇读取模块包括磁盘分区获取子模块，用于依据所述待处理文件的路径，获取所述待处理文件对应的磁盘分区；簇偏移获取子模块，用于依据所述簇分布信息，得到所述待处理文件在对应的磁盘分区上的簇偏移；簇偏移读取子模块，用于在所述待处理文件对应的磁盘分区上读取与所述簇偏移相应的数据。可选地，所述文件系统读取失败的文件包括ERR0R_SHARING_VI0LATI0N32对应的文件和ERR0R_L0CK_VI0LATI0N33对应的文件。可选地，所述待处理文件获取模块包括后缀名获取子模块，用于读取文件后缀名，通过文件后缀名来判定所述文件是否为PE文件，若是，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件；或者，大小获取子模块，用于判定文件大小，若所述文件大于第一文件阈值，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件。可选地，所述安全性分析模块包括特征值计算子模块，用于计算所述临时文件的特征值；白名单检测子模块，用于根据白名单和所计算的所述临时文件的特征值，监测所述临时文件是否可信任；所述白名单至少包括可信任文件的特征值；第一确定子模块，用于在监测结果为肯定的情况下，确定所述临时文件安全；引擎分析子模块，用于在监测结果为否定的情况下，利用杀毒引擎分析所述临时文件是否安全。可选地，所述清理操作模块包括用于禁用所述临时文件及对应待处理文件的启动项的启动项摘除子模块，或者，用于粉碎所述临时文件及对应待处理文件的粉碎子模块。可选地，所述粉碎子模块包括例程查找单元，用于依据所述临时文件及对应待处理文件的路径在对象管理器中查找对应的文件对象解析例程；请求包生成单元，用于依据查找得到的文件对象解析例程生成I/O请求包；请求包发送单元，用于将所述I/O请求包发送至预置的文件系统下层设备的原始地址；由文件系统下层设备依据所述I/o请求包对所述临时文件及对应待处理文件执行粉碎操作。可选地，所述安全性分析模块还包括签名效力判断子模块，用于在监测结果为否定的情况下，判断所述临时文件的签名是否有效；签名有效处理子模块，用于在所述临时文件的签名有效本文档来自技高网...

【技术保护点】
一种染毒文件的处理方法，包括：获取文件系统读取失败的文件，作为待处理文件；获取所述待处理文件在磁盘上的簇分布信息；依据所述簇分布信息，从磁盘上读取所述待处理文件的数据；将读取出的数据写入临时文件；分析所述临时文件的安全性，若所述临时文件不安全，则对所述临时文件及对应待处理文件执行清理操作。

【技术特征摘要】
1.一种染毒文件的处理方法，包括 获取文件系统读取失败的文件，作为待处理文件； 获取所述待处理文件在磁盘上的簇分布信息； 依据所述簇分布信息，从磁盘上读取所述待处理文件的数据； 将读取出的数据写入临时文件； 分析所述临时文件的安全性，若所述临时文件不安全，则对所述临时文件及对应待处理文件执行清理操作。2.如权利要求I所述的方法，所述获取所述待处理文件在磁盘上的簇分布信息的步骤，包括 以读属性打开所述待处理文件，得到相应的句柄； 基于设备驱动接口函数的磁盘驱动控制码功能，获取与所述句柄相应的所述待处理文件在磁盘上的簇分布信息。3.如权利要求I所述的方法，所述依据所述簇分布信息，从磁盘上读取所述待处理文件的数据的步骤，包括 依据所述待处理文件的路径，获取所述待处理文件对应的磁盘分区； 依据所述簇分布信息，得到所述待处理文件在对应的磁盘分区上的簇偏移； 在所述待处理文件对应的磁盘分区对应位置上读取与所述簇偏移相应的数据。4.如权利要求I所述的方法，所述文件系统读取失败的文件包括ERROR_SHARING_VI0LATI0N32 对应的文件和 ERROR_LOCK_VIOLATION 33 对应的文件。5.如权利要求I所述的方法，所述获取文件系统读取失败的文件，作为待处理文件的步骤，包括 读取文件后缀名，通过文件后缀名来判定所述文件是否为PE文件，若是，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件；或者， 判定文件大小，若所述文件大于第一文件阈值，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件。6.如权利要求I所述的方法，所述分析所述临时文件的安全性的步骤，包括 计算所述临时文件的特征值； 根据白名单和所计算的所述临时文件的特征值，监测所述临时文件是否可信任；所述白名单至少包括可信任文件的特征值； 在监测结果为肯定的情况下，确定所述临时文件安全； 在监测结果为否定的情况下，利用杀毒引擎分析所述临时文件是否安全。7.如权利要求I所述的方法，所述清理操作包括禁用所述临时文件及对应待处理文件的启动项，或者，粉碎所述临时文件及对应待处理文件。8.如权利要求7所述的方法，所述粉碎所述临时文件及对应待处理文件的步骤，包括 依据所述临时文件及对应待处理文件的路径在对象管理器中查找对应的文件对象解析例程； 依据查找得到的文件对象解析例程生成I/O请求包，并发送至预置的文件系统下层设备的原始地址； 由文件系统下层设备依据所述I/o请求包对所述临时文件及对应待处理文件执行粉碎操作。9.如权利要求6所述的方法，所述分析所述临时文件的安全性的步骤，还包括 在监测结果为否定的情况下，判断所述临时文件的签名是否有效； 在所述临时文件的签名有效时，确定所述临时文件安全； 在所述临时文件的签名无效时，利用杀毒引擎分析所述临时文件是否安全。10.一种处理系统，包括 待处理文件获取模块，用于获取文件系统读取失败的文件，作为待处理文件； 簇分布获取模块，用于获取所述待处理文件在磁盘上的簇分布信息； 簇读取模块，用于依据...

【专利技术属性】
技术研发人员：谭合力，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：