本发明专利技术公开了一种检测和清除计算机宏病毒的方法和装置。其中,所述方法包括步骤:遍历预先定义的目录,以识别文档模板文件;基于包含已知宏病毒特征码的预先定义的病毒数据库,对识别出的文档模板文件进行病毒检测处理;对于检测出病毒的文档模板文件,进行病毒清除处理;以及删除进行病毒清除处理后的文档模板文件。根据本发明专利技术的实施例,从根本上解决了宏病毒在文档模板文件中传播、变种等问题,克服了现有的反病毒机制难以对宏病毒进行有效地扫描和清除的缺陷。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,具体涉及一种用于检测和清除计算机宏病毒的方法和装置。
技术介绍
计算机病毒是在计算机程序中插入的破坏计算机功能的数据,其会影响计算机的正常使用,并且能够自我复制,计算机病毒通常以一组计算机指令或者程序代码的形式呈现。计算机病毒杀毒引擎是判断特定程序行为是否为病毒程序(或可疑程序)的技术机制。杀毒引擎是杀毒软件的主要部分,是检测和发现病毒的程序,而病毒库是已经发现的病毒的特征集合。在杀毒过程中,用病毒库中的特征去对照系统中的所有程序或文件,对于符合这些特征的程序或文件,即判定为病毒。宏语言是一类编程语言,其全部或多数计算是由扩展宏完成的。宏语言在文本处理程序中应用普遍,主要用来扩展文本处理程序的功能。例如,Microsoft Office就采用宏语言实现对表格进行动态计算、设计交互窗口等宏功能。但是,病毒制作者也可能利用宏语言功能强大、开发简单的优点,将其用于开发宏病毒。宏病毒是一种寄存在文档文件或文档模板文件的宏中的计算机病毒。一旦打开这样的文档文件或文档模板文件,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在文档模板上。从此以后,所有自动保存的文档文件都会感染上这种宏病毒,而且,如果其他用户打开了感染病毒的文档,宏病毒又会转移到其计算机上。由于宏病毒隐藏于数据文件内部,且其使用的脚本语法灵活多变,完成一个功能有很多种写法,因而识别一个文件是否包含有宏病毒非常困难。宏病毒感染、发作在先,而反病毒机制在后,并且宏语言是一种脚本,稍作修改即可产生变种,甚至可以在传播过程中对自身进行修改,每传播一次就变化一次,因此,现有的反病毒机制很难跟上宏病毒变化的速度,对未知宏病毒基本无检测能力,反病毒效果很差。
技术实现思路
鉴于上述问题,提出了本专利技术,以便提供一种克服上述问题或者至少部分地解决上述问题的检测和清除计算机宏病毒的方法和装置。依据本专利技术的一个方面,提供了一种检测和清除计算机宏病毒的方法,包括:遍历预先定义的目录,以识别文档模板文件;基于包含已知宏病毒特征码的预先定义的病毒数据库,对识别出的文档模板文件进行病毒检测处理;对于检测出病毒的文档模板文件,进行病毒清除处理;以及删除进行病毒清除处理后的文档模板文件。可选地,根据本专利技术的实施例的检测和清除计算机宏病毒的方法还包括:在有文档模板文件被检测出病毒的情况下,删除未检测出病毒的文档模板文件。可选地,根据本专利技术的实施例的检测和清除计算机宏病毒的方法还包括:基于所述预先定义的病毒数据库,对计算机中的文档文件进行病毒检测处理;对于检测出病毒的文档文件,进行病毒清除处理。可选地,根据本专利技术的实施例的检测和清除计算机宏病毒的方法还包括:在所述对于检测出病毒的文档模板文件进行病毒清除处理的步骤之前,将检测出病毒的文档模板文件备份到隔离区。可选地,根据本专利技术的实施例的检测和清除计算机宏病毒的方法还包括:在所述删除进行病毒清除处理后的文档模板文件的步骤之前,将进行病毒清除处理后的文档模板文件备份到隔离区。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的方法中,所述遍历预先定义的目录以识别文档模板文件的步骤包括:检测所述预先定义的目录中的文件是否包含宏代码,并且将包含宏代码的文件识别为文档模板文件。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的方法中,所述基于包含已知宏病毒特征码的预先定义的病毒数据库对识别出的文档模板文件进行病毒检测处理的步骤包括:基于所述已知宏病毒特征码,对所述文档模板文件进行定位处理和匹配处理,在所述文档模板文件与已知宏病毒特征码匹配的情况下,判定该文档模板文件感染了宏病毒。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的方法中,所述预先定义的目录是文档处理软件保存文档模板文件的默认目录。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的方法中,所述宏代码是VBA宏代码。依据本专利技术的另一方面,还提供了一种检测和清除计算机宏病毒的装置,包括:遍历模块,适于遍历预先定义的目录,以识别文档模板文件;病毒检测模块(203),适于基于包含已知宏病毒特征码的预先定义的病毒数据库,对识别出的文档模板文件进行病毒检测处理;病毒清除模块,适于对于检测出病毒的文档模板文件,进行病毒清除处理;以及删除模块,适于删除进行病毒清除处理后的文档模板文件。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的装置中,所述删除模块还适于在有文档模板文件被检测出病毒的情况下,删除未检测出病毒的文档模板文件。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的装置中,所述病毒检测模块还适于基于所述预先定义的病毒数据库,对计算机中的文档文件进行病毒检测处理;所述病毒清除模块还适于对于检测出病毒的文档文件,进行病毒清除处理。可选地,根据本专利技术的实施例的检测和清除计算机宏病毒的装置还包括备份模块,适于在所述病毒清除模块对于检测出病毒的文档模板文件进行病毒清除处理之前,将检测出病毒的文档模板文件备份到隔离区。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的装置中,所述备份模块还适于在所述删除模块删除进行病毒清除处理后的文档模板文件之前,将进行病毒清除处理后的文档模板文件备份到隔离区。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的装置中,所述遍历模块检测所述预先定义的目录中的文件是否包含宏代码,并且将包含宏代码的文件识别为文档模板文件。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的装置中,所述病毒检测模块基于所述已知宏病毒特征码,对所述文档模板文件进行定位处理和匹配处理,在所述文档模板文件与已知宏病毒特征码匹配的情况下,判定该文档模板文件感染了宏病毒。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的装置中,所述预先定义的目录是文档处理软件保存文档模板文件的默认目录。可选地,在根据本专利技术的实施例的检测和清除计算机宏病毒的装置中,所述宏代码是VBA宏代码。本专利技术提供了上述检测和清除计算机宏病毒的方法和装置。根据本专利技术的实施例,可以遍历预先定义的目录以识别文档模板文件,并基于病毒数据库,对文档模板文件进行病毒检测和清除处理,并且删除病毒清除处理后的文档模板文件。由此,在现有的病毒扫描和清除机制中,增加了专用于文档模板文件的遍历和识别、病毒扫描、病毒清除处理,对已感染宏病毒的文档模板文件执行病毒清除和删除,并且可以对未检测出病毒、但存在潜在威胁的文档模板文件进行删除,从而从根本上解决了宏病毒在文档模板文件中传播、变种等问题,克服了现有的反病毒机制难以对宏病毒进行有效地扫描和清除的缺陷。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1是根据本专利技术的实施例的清除计算机宏病毒的方法的流程图;以及图2是根据本专利技术的实施例的清除计算机宏病毒的本文档来自技高网...
【技术保护点】
一种检测和清除计算机宏病毒的方法(100),包括:遍历预先定义的目录,以识别文档模板文件(S101);基于包含已知宏病毒特征码的预先定义的病毒数据库,对识别出的文档模板文件进行病毒检测处理(S103);对于检测出病毒的文档模板文件,进行病毒清除处理(S105);以及删除进行病毒清除处理后的文档模板文件(S107)。
【技术特征摘要】
1.一种检测和清除计算机宏病毒的方法(100),包括: 遍历预先定义的目录,以识别文档模板文件(SlOl); 基于包含已知宏病毒特征码的预先定义的病毒数据库,对识别出的文档模板文件进行病毒检测处理(S103); 对于检测出病毒的文档模板文件,进行病毒清除处理(S105);以及 删除进行病毒清除处理后的文档模板文件(S107 )。2.如权利要求1所述的方法,还包括: 在有文档模板文件被检测出病毒的情况下,删除未检测出病毒的文档模板文件。3.如权利要求1所述的方法,还包括: 基于所述预先定义的病毒数据库,对计算机中的文档文件进行病毒检测处理; 对于检测出病毒的文档文件,进行病毒清除处理。4.如权利要求1至3中的任一项所述的方法,还包括:在所述对于检测出病毒的文档模板文件进行病毒清除处理的步骤(S105)之前,将检测出病毒的文档模板文件备份到隔离区。5.如权利要求1至3中的任一项所述的方法,还包括:在所述删除进行病毒清除处理后的文档模板文件的步骤(S107)之前,将进行病毒清除处理后的文档模板文件备份到隔离区。6.如权利要求1至3中的任一项所述的方法,其中所述遍历预先定义的目录以识别文档模板文件的步骤(SlOl)包括:检测所述预先定义的目录中的文件是否包含宏代码,并且将包含宏代码的文件识别为文档模板文件。7.如权利要求1至3中的任一项所述的方法,其中所述基于包含已知宏病毒特征码的预先定义的病毒数据库对识别出的文档模板文件进行病毒检测处理的步骤(S103)包括:基于所述已知宏病毒特征码,对所述文档模板文件进行定位处理和匹配处理,在所述文档模板文件与已知宏病毒特征码匹配的情况下,判定该文档模板文件感染了宏病毒。8.如权利要求1至3中的任一项所述的方法,其中所述预先定义的目录是文档处理软件保存文档模板文件的默认目录。9.如权利要求6所述的方法,其中所述宏代码是VBA宏代码。10.一种检测和清除计算机宏病毒的装置...
【专利技术属性】
技术研发人员:谢重阳,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。