一种免疫文件宏病毒的方法和装置制造方法及图纸

本发明专利技术公开了一种免疫文件宏病毒的方法和装置，其中的方法具体包括：截获Office进程的文件行为请求；依据所述文件行为请求，分析得到相应文件行为的信息；利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为；在所述文件行为是Office进程修改模板文件的宏病毒行为时，允许所截获的文件行为请求；在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时，阻止所截获的文件行为请求。本发明专利技术能够提供宏病毒的免疫范围，提高宏病毒的免疫效率。

【技术实现步骤摘要】

本专利技术涉及计算机安全
，具体涉及一种免疫文件宏病毒的方法和装置。
技术介绍
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。由于宏病毒藏于数据文件内，且其使用的脚本语法灵活多变，完成一个功能有很多种写法，故识别一个文件是否有宏病毒非常困难。现有技术一种免疫文件宏病毒的方法采用占坑的方法，具体而言，如果发现某一种宏病毒会释放一个特定名称的文件，就新建一个同名的文件夹，利用Windows同名文件和文件夹不能共存的方式阻止宏病毒的传播；该方法仅能免疫特定的、已有的宏病毒，而不能免疫新的、未知的病毒，故免疫效率不高。现有技术另一种免疫文件宏病毒的方法通过禁用所有宏的方法禁止Office的所有宏功能；该方法会影响正常需要使用宏功能的文件。总之，需要本领域技术人员迫切解决的一个技术问题就是如何能够提高宏病毒的免疫效率。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种免疫文件宏病毒的方法和装置。依据本专利技术的一个方面，提供了一种免疫文件宏病毒的方法，包括截获Office进程的文件行为请求；依据所述文件行为请求，分析得到相应文件行为的信息；利用所述文件行为的信息,判断所述文件行为是否为宏病毒行为；在所述文件行为是Office进程修改模板文件的宏病毒行为时，允许所截获的文件行为请求；在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时，阻止所截获的文件行为请求。可选地，所述依据所述文件行为请求，分析得到相应文件行为的信息的步骤，包括分析所述文件行为请求中携带的应用程序接口 API的参数，得到相应文件行为的信息；所述文件行为的信息至少包括如下信息中的一项或多项文件路径，行为名称，共享方式和文件属性；所述文件属性至少包括如下属性中的一项或多项普通，只读，隐藏，加密和压缩。可选地，所述利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为的步骤，包括将所述文件行为的信息与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。可选地，所述利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为的步骤，包括依据所述文件行为的信息，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的新文件；将所述文件行为的信息和所述文件行为对应文件的判断结果与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。可选地，所述方法还包括若所述文件行为是Office进程修改模板文件的宏病毒行为，则在所述Office进程结束时，判断修改后的模板文件是否带有宏，若是，则使用预先备份的不带有宏的模板文件替换所述修改后的模板文件；所述判断修改后的模板文件是否带有宏的步骤，包括以二进制的格式打开所述修改后的模板文件；判断所述修改后的模板文件的二进制内容中是否包含有宏标识，若是，则判断修改后的模板文件带有宏，否则判断修改后的模板文件不带有宏。可选地，所述方法还包括当匹配失败时，判断所述文件行为对应文件或目录是否在白名单数据集中；当所述文件行为对应文件或目录在白名单数据集中时，确定所述文件行为不是宏病毒行为；当所述文件行为对应文件或目录不在白名单数据集中时，判断所述文件行为对应文件或目录是否在黑名单数据集中；当所述文件行为对应文件或目录在黑名单数据集中时，确定所述文件行为是宏病毒行为；当所述文件行为对应文件或目录不在黑名单数据集中时，判断所述文件行为对应文件或目录为本次计算机运行期间未被Office进程修改过的已有文件或目录还是被Office进程修改过的新文件或目录；当所述文件行为对应文件或目录为本次计算机运行期间未被Office进程修改过的已有文件或目录时，确定所述文件行为不是宏病毒行为；当所述文件行为对应文件或目录为本次计算机运行期间被Office进程修改过的新文件或目录时，确定所述文件行为是宏病毒行为。可选地，所述依据所述文件行为的信息，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的新文件的步骤，包括维护第一文件集合和第二文件集合；所述第一文件集合包括本次计算机运行期间未被Office进程修改过的已有文件，所述第二文件集合包括Office进程操作过的已有文件；依据所述文件行为的信息，判断所述文件行为对应文件是否在所述第一文件集合或第二文件集合中；当所述文件行为对应文件在所述第一文件集合中时，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件；当所述文件行为对应文件在所述第二文件集合中时，判断所述文件行为对应文件为本次计算机运行期间被Office进程修改过的新文件。可选地，所述已知宏病毒行为至少包括如下行为中的一项或多项=Office进程修改模板文件的行为，Office进程向模板目录写文件的行为，Office进程执行Office进程释放的可执行文件,Of f ice进程执行Of f ice进程释放的脚本文件,Of f ice进程修改注册表的行为，Office进程复制文件的行为。根据本专利技术的另一方面，提供了一种免疫文件宏病毒的装置，包括请求截获模块，适于截获Office进程的文件行为请求；请求分析模块，适于依据所述文件行为请求，分析得到相应文件行为的信息；宏病毒判断模块，适于利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为；第一处理模块，适于在所述文件行为是Office进程修改模板文件的宏病毒行为时，允许所截获的文件行为请求；及第二处理模块，适于在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时，阻止所截获的文件行为请求。可选地，所述请求分析模块，具体适于分析所述文件行为请求中携带的应用程序接口 API的参数,得到相应文件行为的信息；所述文件行为的信息至少包括如下信息中的一项或多项文件路径，行为名称，共享方式和文件属性；所述文件属性至少包括如下属性中的一项或多项普通，只读，隐藏，加密和压缩。可选地，所述宏病毒判断模块包括第一匹配子模块，适于将所述文件行为的信息与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。可选地，所述宏病毒判断模块包括文件信息判断子模块，适于依据所述文件行为的信息，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的新文件；及第二匹配子模块，适于将所述文件行为的信息和所述文件行为对应文件的判断结果与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。可选地，所述第一处理模块还包括宏处理子模块，适于当所述文件行为是Office进程修改模板文件的宏病毒行为且所述Office进程结束时，判断修改后的模板文件是否带有宏，若是，则使用预先备份的不带有宏的模板文件替换所述修改后的模板文件；所述装置还包括适于判断修改后的模板文件是否带有宏的本文档来自技高网...

【技术保护点】
一种免疫文件宏病毒的方法，其特征在于，包括：截获Office进程的文件行为请求；依据所述文件行为请求，分析得到相应文件行为的信息；利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为；在所述文件行为是Office进程修改模板文件的宏病毒行为时，允许所截获的文件行为请求；在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时，阻止所截获的文件行为请求。

【技术特征摘要】
1.一种免疫文件宏病毒的方法，其特征在于，包括 截获Office进程的文件行为请求； 依据所述文件行为请求，分析得到相应文件行为的信息； 利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为； 在所述文件行为是Office进程修改模板文件的宏病毒行为时，允许所截获的文件行为请求； 在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时，阻止所截获的文件行为请求。2.如权利要求1所述的方法，其特征在于，所述依据所述文件行为请求，分析得到相应文件行为的信息的步骤，包括 分析所述文件行为请求中携带的应用程序接口 API的参数，得到相应文件行为的信息； 所述文件行为的信息至少包括如下信息中的一项或多项文件路径，行为名称，共享方式和文件属性；所述文件属性至少包括如下属性中的一项或多项普通，只读，隐藏，加密和压缩。3.如权利要求1所述的方法，其特征在于，所述利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为的步骤，包括 将所述文件行为的信息与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。4.如权利要求1所述的方法，其特征在于，所述利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为的步骤，包括 依据所述文件行为的信息，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的新文件； 将所述文件行为的信息和所述文件行为对应文件的判断结果与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。5.如权利要求1或2所述的方法，其特征在于，还包括 若所述文件行为是Office进程修改模板文件的宏病毒行为，则在所述Office进程结束时，判断修改后的模板文件是否带有宏，若是，则使用预先备份的不带有宏的模板文件替换所述修改后的模板文件； 所述判断修改后的模板文件是否带有宏的步骤，包括 以二进制的格式打开所述修改后的模板文件； 判断所述修改后的模板文件的二进制内容中是否包含有宏标识，若是，则判断修改后的模板文件带有宏，否则判断修改后的模板文件不带有宏。6.如权利要求3或4所述的方法，其特征在于，还包括 当匹配失败时，判断所述文件行为对应文件或目录是否在白名单数据集中； 当所述文件行为对应文件或目录在白名单数据集中时，确定所述文件行为不是宏病毒行为； 当所述文件行为对应文件或目录不在白名单数据集中时，判断所述文件行为对应文件或目录是否在黑名单数据集中；当所述文件行为对应文件或目录在黑名单数据集中时，确定所述文件行为是宏病毒行为； 当所述文件行为对应文件或目录不在黑名单数据集中时，判断所述文件行为对应文件或目录为本次计算机运行期间未被Office进程修改过的已有文件或目录还是被Off ice进程修改过的新文件或目录； 当所述文件行为对应文件或目录为本次计算机运行期间未被Office进程修改过的已有文件或目录时，确定所述文件行为不是宏病毒行为； 当所述文件行为对应文件或目录为本次计算机运行期间被Office进程修改过的新文件或目录时，确定所述文件行为是宏病毒行为。7.如权利要求4所述的方法，其特征在于，所述依据所述文件行为的信息，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的新文件的步骤，包括 维护第一文件集合和第二文件集合；所述第一文件集合包括本次计算机运行期间未被Office进程修改过的已有文件,所述第二文件集合包括Office进程操作过的已有文件；依据所述文件行为的信息，判断所述文件行为对应文件是否在所述第一文件集合或第二文件集合中； 当所述文件行为对应文件在所述第一文件集合中时，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件； 当所述文件行为对应文件在所述第二文件集合中时，判断所述文件行为对应文件为本次计算机运行期间被Office进程修改过的新文件。8.如权利要求3或4所述的方法，其特征在于，所述已知宏病毒行为至少包括如下行为中的一项或多项=Office进程修改模板文件的行为，Office进程向模板目录写文件的行为，Office进程执行Office进程释放的可执行文件，Office进程执行Office进程释放的脚本文件，Office进程修改注册表的行为，Office进程复制文件的行为。9.一种免疫文件宏病毒的装置，其特征在于，包括 请求截获模块，适于截获Office进程的文件行为请求； 请求分析模块，适于...

【专利技术属性】
技术研发人员：禹建文，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：