本发明专利技术公开了一种文件宏病毒免疫方法和装置,其中的装置包括:请求截获模块,适于截获Office进程的文件行为请求;请求分析模块,适于依据文件行为请求分析得到相应文件行为的信息;宏病毒判断模块,适于判断所述文件行为是否为宏病毒行为;第一处理模块,适于在是Office进程修改模板文件的宏病毒行为时允许文件行为请求;及第二处理模块,适于在是其他宏病毒行为时阻止文件行为请求;其中,请求分析模块适于分析应用程序接口API的参数,得到相应文件行为的信息;所述文件行为的信息至少包括如下信息中的一项或多项:文件路径,行为名称,共享方式和文件属性。本发明专利技术能够提供宏病毒的免疫范围,提高宏病毒的免疫效率。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,具体涉及一种文件宏病毒免疫方法和装置。
技术介绍
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其 中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在模板上。从此以后, 所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文 档,宏病毒又会转移到他的计算机上。由于宏病毒藏于数据文件内,且其使用的脚本语法灵活多变,完成一个功能有很 多种写法,故识别一个文件是否有宏病毒非常困难。现有技术一种文件宏病毒免疫方法采用占坑的方法,具体而言,如果发现某一种 宏病毒会释放一个特定名称的文件,就新建一个同名的文件夹,利用Windows同名文件和 文件夹不能共存的方式阻止宏病毒的传播;该方法仅能免疫特定的、已有的宏病毒,而不能 免疫新的、未知的病毒,故免疫效率不高。现有技术另一种文件宏病毒免疫方法通过禁用所有宏的方法禁止Office的所有 宏功能;该方法会影响正常需要使用宏功能的文件。总之,需要本领域技术人员迫切解决的一个技术问题就是如何能够提高宏病毒 的免疫效率。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上 述问题的一种文件宏病毒免疫方法和装置。依据本专利技术的一个方面,提供了一种文件宏病毒免疫方法,包括截获Office进程的文件行为请求;依据所述文件行为请求,分析得到相应文件行为的信息;利用所述文件行为的信息,判断所述文件行为是否为宏病毒行为;在所述文件行为是Office进程修改模板文件的宏病毒行为时,允许所截获的文 件行为请求;在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时,阻 止所截获的文件行为请求;其中,所述依据所述文件行为请求,分析得到相应文件行为的信息的步骤,包括分析所述文件行为请求中携带的应用程序接口 API的参数,得到相应文件行为的信息;所述文件行为的信息至少包括如下信息中的一项或多项文件路径,行为名称,共 享方式和文件属性;所述文件属性至少包括如下属性中的一项或多项普通,只读,隐藏, 加密和压缩。可选地,所述利用所述文件行为的信息,判断所述文件行为是否为宏病毒行为的 步骤,包括将所述文件行为的信息与已知宏病毒行为的信息进行匹配,若匹配成功,则确定 所述文件行为是宏病毒行为。可选地,所述利用所述文件行为的信息,判断所述文件行为是否为宏病毒行为的 步骤,包括依据所述文件行为的信息,判断所述文件行为对应文件为本次计算机运行期间未 被Office进程修改过的已有文件还是被Office进程修改过的新文件;将所述文件行为的信息和所述文件行为对应文件的判断结果与已知宏病毒行为 的信息进行匹配,若匹配成功,则确定所述文件行为是宏病毒行为。可选地,所述方法还包括若所述文件行为是Office进程修改模板文件的宏病毒行为,则在所述Office进 程结束时,判断修改后的模板文件是否带有宏,若是,则使用预先备份的不带有宏的模板文 件替换所述修改后的模板文件;所述判断修改后的模板文件是否带有宏的步骤,包括以二进制的格式打开所述修改后的模板文件;判断所述修改后的模板文件的二进制内容中是否包含有宏标识,若是,则判断修 改后的模板文件带有宏,否则判断修改后的模板文件不带有宏。可选地,所述方法还包括当匹配失败时,判断所述文件行为对应文件或目录是否在白名单数据集中;当所述文件行为对应文件或目录在白名单数据集中时,确定所述文件行为不是宏 病毒行为;当所述文件行为对应文件或目录不在白名单数据集中时,判断所述文件行为对应 文件或目录是否在黑名单数据集中;当所述文件行为对应文件或目录在黑名单数据集中时,确定所述文件行为是宏病 毒行为;当所述文件行为对应文件或目录不在黑名单数据集中时,判断所述文件行为对 应文件或目录为本次计算机运行期间未被Office进程修改过的已有文件或目录还是被 Office进程修改过的新文件或目录;当所述文件行为对应文件或目录为本次计算机运行期间未被Office进程修改过 的已有文件或目录时,确定所述文件行为不是宏病毒行为;当所述文件行为对应文件或目录为本次计算机运行期间被Office进程修改过的 新文件或目录时,确定所述文件行为是宏病毒行为。可选地,所述依据所述文件行为的信息,判断所述文件行为对应文件为本次计算 机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的新文件的步 骤,包括维护第一文件集合和第二文件集合;所述第一文件集合包括本次计算机运行期间 未被Office进程修改过的已有文件,所述第二文件集合包括Office进程操作过的已有文 件;依据所述文件行为的信息,判断所述文件行为对应文件是否在所述第一文件集合 或第二文件集合中;当所述文件行为对应文件在所述第一文件集合中时,判断所述文件行为对应文件 为本次计算机运行期间未被Office进程修改过的已有文件;当所述文件行为对应文件在所述第二文件集合中时,判断所述文件行为对应文件 为本次计算机运行期间被Office进程修改过的新文件。可选地,所述已知宏病毒行为至少包括如下行为中的一项或多项=Office进程修 改模板文件的行为,Office进程向模板目录写文件的行为,Office进程执行Office进程释 放的可执行文件,Of f ice进程执行Of f ice进程释放的脚本文件,Of f ice进程修改注册表的 行为,Office进程复制文件的行为。根据本专利技术的另一方面,提供了一种文件宏病毒免疫装置,包括请求截获模块,适于截获Office进程的文件行为请求;请求分析模块,适于依据所述文件行为请求,分析得到相应文件行为的信息;宏病毒判断模块,适于利用所述文件行为的信息,判断所述文件行为是否为宏病 毒行为;第一处理模块,适于在所述文件行为是Office进程修改模板文件的宏病毒行为 时,允许所截获的文件行为请求;及第二处理模块,适于在所述文件行为是除Office进程修改模板文件的行为之外 的宏病毒行为时,阻止所截获的文件行为请求;其中,所述请求分析模块,具体适于分析所述文件行为请求中携带的应用程序接 口 API的参数,得到相应文件行为的信息;所述文件行为的信息至少包括如下信息中的一 项或多项文件路径,行为名称,共享方式和文件属性;所述文件属性至少包括如下属性中 的一项或多项普通,只读,隐藏,加密和压缩。可选地,所述宏病毒判断模块包括第一匹配子模块,适于将所述文件行为的信息与已知宏病毒行为的信息进行匹 配,若匹配成功,则确定所述文件行为是宏病毒行为。可选地,所述宏病毒判断模块包括文件信息判断子模块,适于依据所述文件行为的信息,判断所述文件行为对应文 件为本次计算机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的 新文件;及第二匹配子模块,适于将所述文件行为的信息和所述文件行为对应文件的判断结 果与已知宏病毒行为的信息进行匹配,若匹配成功,则确定所述文件行为是宏病毒行为。可选地,所述第一处理模块还包括宏处理子模块,适于当所述文件行为是Office进程修改模板文件的宏病毒行为 且所述Office进程结束时,判断修改后的模板文件是否带有宏,若是,则使用预先备份的 不带有宏本文档来自技高网...
【技术保护点】
一种文件宏病毒免疫方法,包括:截获Office进程的文件行为请求;依据所述文件行为请求,分析得到相应文件行为的信息;利用所述文件行为的信息,判断所述文件行为是否为宏病毒行为;在所述文件行为是Office进程修改模板文件的宏病毒行为时,允许所截获的文件行为请求;在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时,阻止所截获的文件行为请求;其中,所述依据所述文件行为请求,分析得到相应文件行为的信息的步骤,包括:分析所述文件行为请求中携带的应用程序接口API的参数,得到相应文件行为的信息;所述文件行为的信息至少包括如下信息中的一项或多项:文件路径,行为名称,共享方式和文件属性;所述文件属性至少包括如下属性中的一项或多项:普通,只读,隐藏,加密和压缩。
【技术特征摘要】
【专利技术属性】
技术研发人员:禹建文,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。