国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種處理計算機病毒的方法、裝置及系統(tǒng)的制作方法

      文檔序號:6425565閱讀:200來源:國知局
      專利名稱:一種處理計算機病毒的方法、裝置及系統(tǒng)的制作方法
      技術領域
      本申請涉及計算機技術領域,特別涉及一種處理計算機病毒的方法、裝置及系統(tǒng)。
      背景技術
      計算機病毒是編制或者在計算機程序中插入的破壞計算機功能的數(shù)據(jù),其會影響計算機的正常使用并且能夠自我復制,通常以一組計算機指令或者程序代碼的形式呈現(xiàn)。 計算機病毒具有破壞性,復制性和傳染性的特點。當計算機系統(tǒng)中的文件被病毒感染時,需要通過殺毒軟件對系統(tǒng)進行掃描,以便清除這些病毒。由于計算機病毒的傳播性較強,因此運行后的病毒會嘗試感染系統(tǒng)中的其它文件,導致殺毒軟件難以徹底清除系統(tǒng)中的病毒?,F(xiàn)有技術中,殺毒軟件在對計算機病毒進行掃描時,可以通過Windows系統(tǒng)支持的文件過濾驅動獲取系統(tǒng)中被改寫的文件,由于殺毒軟件的運行基于殺毒引擎的支持,在殺毒引擎中保存了各種計算機病毒的特征碼,將這些特征碼與被改寫的文件進行匹配,如果被改寫的文件中包含特征碼,則說明被改寫的文件中包含計算機病毒,相應清除文件中的病毒代碼,或者刪除整個病毒文件。發(fā)明人在對現(xiàn)有計算機病毒的處理過程進行研究時發(fā)現(xiàn),由于現(xiàn)有計算機病毒的傳染性較強,在殺毒軟件掃描過程中被清除了病毒的文件,可能短時間內再次被病毒感染,因此現(xiàn)有技術難以有效阻止系統(tǒng)中病毒的傳播,降低了系統(tǒng)的安全性能。

      發(fā)明內容
      本申請實施例的目的在于提供一種處理計算機病毒的方法、裝置及系統(tǒng),以解決現(xiàn)有技術中難以有效阻止病毒傳播,從而降低系統(tǒng)安全性的問題。為解決上述技術問題,本申請實施例提供如下技術方案一種處理計算機病毒的方法,包括獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息;監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息對應的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件;當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。所述獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息包括從對系統(tǒng)中的文件進行掃描的掃描結果中提取被計算機病毒所感染的文件的文件類型;通過系統(tǒng)中的文件過濾驅動記錄所述病毒訪問所述文件時所采用進程的進程 ID ;保存所述文件類型與所述進程ID的對應關系。所述監(jiān)控系統(tǒng)中是否發(fā)生惡意事件包括
      當監(jiān)控到系統(tǒng)中有進程訪問文件時,獲取所述進程的進程ID和所述文件的文件類型;根據(jù)所述進程的進程ID和所述文件的文件類型查找所述對應關系;當在所述對應關系中查找到與所述進程的進程ID和所述文件的文件類型一致的紀錄時,確定發(fā)生所述惡意事件。所述拒絕所述進程訪問屬于所述文件類型的文件具體為通過文件過濾驅動向所述進程返回拒絕訪問屬于所述文件類型的文件的指令。所述獲取被病毒感染的文件的文件類型之前,還包括掃描系統(tǒng)中的文件獲得掃描結果,所述掃描結果中記錄了系統(tǒng)中被病毒感染的文件。還包括清除掃描結果中記錄的病毒。所述方法應用在包含多個殺毒引擎的系統(tǒng)中,還包括當所述系統(tǒng)中的一個殺毒引擎獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息時,將所述文件類型與所述進程信息的對應關系發(fā)送給除所述一個殺毒引擎的其它殺毒引擎;所述其它殺毒引擎保存所述文件類型與所述進程信息之間的對應關系,并在監(jiān)控到所述惡意事件發(fā)生時,根據(jù)所述對應關系拒絕所述進程訪問屬于所述文件類型的文件。一種處理計算機病毒的裝置,包括獲取單元,用于獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息;監(jiān)控單元,用于監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息對應的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件;處理單元,用于當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。所述獲取單元包括文件類型提取單元,用于從對系統(tǒng)中的文件進行掃描的掃描結果中提取被計算機病毒所感染的文件的文件類型;進程ID記錄單元,用于通過系統(tǒng)中的文件過濾驅動記錄所述病毒訪問所述文件時所采用進程的進程ID ;對應關系保存單元,用于保存所述文件類型與所述進程ID的對應關系。所述監(jiān)控單元包括監(jiān)控結果獲取單元,用于當監(jiān)控到系統(tǒng)中有進程訪問文件時,獲取所述進程的進程ID和所述文件的文件類型;對應關系查找單元,用于根據(jù)所述進程的進程ID和所述文件的文件類型查找所述對應關系;惡意事件確定單元,用于當在所述對應關系中查找到與所述進程的進程ID和所述文件的文件類型一致的紀錄時,確定發(fā)生所述惡意事件。所述處理單元,具體用于通過文件過濾驅動向所述進程返回拒絕訪問屬于所述文件類型的文件的指令。還包括
      掃描單元,用于掃描系統(tǒng)中的文件獲得掃描結果,所述掃描結果中記錄了系統(tǒng)中被病毒感染的文件。還包括清除單元,用于清除掃描結果中記錄的病毒。一種處理計算機病毒的系統(tǒng),包括一個第一殺毒引擎設備,和至少一個第二殺毒引擎設備,其中,所述第一殺毒引擎設備,用于獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息,監(jiān)控所述第一殺毒引擎設備的系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息一致的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件,當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。所述第一殺毒引擎設備,還用于將所述文件類型與所述進程信息的對應關系發(fā)送給所述至少一個第二殺毒引擎設備;所述第二殺毒引擎設備,用于保存所述文件類型與所述進程信息之間的對應關系,并在監(jiān)控到所述惡意事件發(fā)生時,根據(jù)所述對應關系拒絕所述進程訪問屬于所述文件類型的文件。由以上本申請實施例提供的技術方案可見,本申請實施例中獲取被計算機病毒感染的文件的文件類型,及該病毒訪問該文件時所采用進程的進程信息,監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,當監(jiān)控到所述惡意事件發(fā)生時,拒絕與該進程信息對應的進程訪問屬于該文件類型的文件。應用本申請實施例對計算機病毒進行處理時,由于拒絕所有曾對文件進行病毒感染的進程訪問相同類型的文件,因此對病毒的傳播過程進行了阻止,而非僅僅針對病毒感染的結果文件進行清除,因此可以有效阻止系統(tǒng)中病毒的傳播,防止這些病毒再次對其它文件進行傳播感染,由此提高了系統(tǒng)的安全性能。


      為了更清楚地說明本申請實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,對于本領域普通技術人員而言,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本申請?zhí)幚碛嬎銠C病毒的方法的第一實施例流程圖;圖2為本申請?zhí)幚碛嬎銠C病毒的方法的第二實施例流程圖;圖3為本申請?zhí)幚碛嬎銠C病毒的裝置的第一實施例框圖;圖4為本申請?zhí)幚碛嬎銠C病毒的裝置的第二實施例框圖;圖5為本申請?zhí)幚碛嬎銠C病毒的系統(tǒng)的實施例框圖。
      具體實施例方式在如下本申請的多個實施例中,分別提供了一種處理計算機病毒的方法、裝置及系統(tǒng)。為了使本技術領域的人員更好地理解本申請實施例中的技術方案,并使本申請實施例的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結合附圖對本申請實施例中技術方案作進一步詳細的說明。參見圖1,為本申請?zhí)幚碛嬎銠C病毒的方法的第一實施例流程圖步驟101 獲取被計算機病毒感染的文件的文件類型,及該病毒訪問該文件時所采用進程的進程信息。具體的,從對系統(tǒng)中的文件進行掃描的掃描結果中提取病毒所感染的文件的文件類型,通過系統(tǒng)中的文件過濾驅動記錄所述病毒訪問所述文件時所采用進程的進程ID,保存所述文件類型與所述進程ID的對應關系。步驟102 監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,該惡意事件為與該進程信息對應的進程訪問屬于該文件類型的文件時所觸發(fā)的事件。具體的,當監(jiān)控到系統(tǒng)中有進程訪問文件時,獲取所述進程的進程ID和所述文件的文件類型,根據(jù)所述進程的進程ID和所述文件的文件類型查找所述對應關系,當在所述對應關系中查找到與所述進程的進程ID和所述文件的文件類型一致的紀錄時,確定發(fā)生所述惡意事件。步驟103 當監(jiān)控到該惡意事件發(fā)生時,拒絕該進程訪問屬于該文件類型的文件。具體的,通過文件過濾驅動向所述進程返回拒絕訪問屬于所述文件類型的文件的指令。進一步,可以先掃描系統(tǒng)中的文件,以獲得記錄了系統(tǒng)中被病毒感染的文件的掃描結果,并可以根據(jù)該掃描結果對病毒進行清除。由上述實施例可知,對計算機病毒進行處理時,由于拒絕所有曾對文件進行病毒感染的進程訪問相同類型的文件,因此對病毒的傳播過程進行了阻止,而非僅僅針對病毒感染的結果文件進行清除,因此可以徹底清除系統(tǒng)中病毒,防止這些病毒再次對其它文件進行傳播感染,由此提高了系統(tǒng)的安全性能。參見圖2,為本申請?zhí)幚碛嬎銠C病毒的方法的第二實施例流程圖步驟201 掃描系統(tǒng)中的文件獲得掃描結果,該掃描結果中記錄了系統(tǒng)中被病毒感染的文件。系統(tǒng)中的殺毒引擎通過掃描系統(tǒng)中的文件以確定被病毒感染的文件,其中殺毒引擎可以通過文件過濾驅動獲得文件被改寫的事件,從而確定系統(tǒng)中被改寫的文件;殺毒引擎從被改寫的文件中提取被改寫的特征,并調用預先存儲在特征庫中的病毒特征,將上述兩種特征進行對比,如果所提取的特征與病毒特征匹配,則表示被改寫的文件已經(jīng)被病毒感染,此時可以采用病毒清除方式清除文件中的病毒代碼,解除病毒對文件的影響,同時被病毒感染的文件將記錄在掃描結果中。步驟202 從掃描結果中提取病毒所感染的文件的文件類型。通常容易被病毒感染的文件的文件類型包括EXE類文件、office文檔類文件、和網(wǎng)頁類型文件等,對上述類型的文件進行殺毒的方式類似,即根據(jù)特征庫中對病毒代碼的描述,將感染了病毒的文件中的病毒代碼刪除或者屏蔽。步驟203 通過系統(tǒng)中的文件過濾驅動記錄該病毒訪問該文件時所采用進程的進程ID。計算機病毒對系統(tǒng)中的文件進行感染時,通常將病毒代碼存放在文件中必然被執(zhí)行的位置,即通過病毒代碼對文件進行改寫,例如,病毒代碼通常寫入到EXE類文件的默認入口函數(shù)中,或者office文檔類文件的宏代碼中,或者網(wǎng)頁文件任意位置。通常被病毒改寫的文件,其原有的功能不受影響,因此用戶難以發(fā)現(xiàn)文件被改寫,但是當用戶打開該文件時,病毒代碼則會運行,將病毒傳播到系統(tǒng)中的其它文件,甚至通過網(wǎng)絡傳播到與當前系統(tǒng)有連接的其它系統(tǒng)中。病毒代碼對文件進行該寫時,需要通過相應的進程訪問來訪問文件,而系統(tǒng)中任何進程對文件的訪問都可以由文件過濾驅動檢測到,即文件過濾驅動可以獲知訪問文件的進程的進程ID和訪問文件的文件路徑。步驟204 保存該文件類型與進程ID的對應關系。例如,某病毒通過進程A對B類型的文件C進行了改寫,則當殺毒引擎根據(jù)掃描結果獲知文件C已經(jīng)感染病毒時,可以獲知文件C的類型為B,并通過文件過濾驅動獲知進程 A的進程ID為A,記錄上述進程ID “A”與文件類型“B”的對應關系。步驟205 判斷是否監(jiān)控到系統(tǒng)中有進程訪問文件,若是,則執(zhí)行步驟206 ;否則, 返回步驟205。步驟206 獲取該進程的進程ID和所訪問文件的文件類型。步驟207 根據(jù)該進程的進程ID和所訪問文件的文件類型查找保存的對應關系。步驟208 判斷是否在對應關系中查找到與該進程的進程ID和所訪問文件的文件類型一致的紀錄,若是,則執(zhí)行步驟209 ;否則,返回步驟205。步驟209 通過文件過濾驅動向所述進程返回拒絕訪問屬于所述文件類型的文件的指令,結束當前流程。假設監(jiān)控到系統(tǒng)中的進程A要發(fā)起對文件D和文件E的訪問,其中文件D的文件類型為B,文件E的文件類型為F,則獲取到兩組記錄,分別為文件D對應的進程A與文件類型B,以及文件E對應的進程A與文件類型F,將上述兩組記錄與預先保存的對應關系進行對比,可以確定第一組記錄與預先保存的對應關系匹配,因此阻止進程A對文件D的訪問, 此時文件過濾驅動向進程A發(fā)出拒絕其訪問文件D的指令;同時,文件過濾驅動向進程A發(fā)出允許其訪問文件E的指令。上述實施例中,當改寫文件的進程為被病毒利用的普通進程時,由于僅記錄了該進程與被病毒改寫的文件的文件類型的對應關系,因此其訪問系統(tǒng)中其它類型的文件的功能不受影響,在抑制病毒傳播的同時,可以正常使用其功能。應用本申請實施例對計算機病毒進行處理時,由于拒絕所有曾對文件進行病毒感染的進程訪問相同類型的文件,因此對病毒的傳播過程進行了阻止,而非僅僅針對病毒感染的結果文件進行清除,因此可以徹底清除系統(tǒng)中病毒,防止這些病毒再次對其它文件進行傳播感染,由此提高了系統(tǒng)的安全性能。另外,上述處理計算機病毒的方法的實施例還可以應用在包括多個殺毒引擎的系統(tǒng)中,該系統(tǒng)中的其中一個殺毒引擎應用前述實施例獲取了被計算機病毒感染的文件的文件類型,及病毒訪問該文件時所采用進程的進程信息時,可以將該文件類型與進程信息的對應關系發(fā)送給系統(tǒng)中的其它殺毒引擎,其它殺毒引擎可以保存該文件類型與進程信息之間的對應關系,在監(jiān)測到惡意事件發(fā)生時,可以根據(jù)保存的對應關系拒絕進程訪問屬于該文件類型的文件。由此可知,本申請實施例應用在包含多個殺毒引擎的系統(tǒng)中時,當一個系統(tǒng)獲取到了對應惡意事件的文件類型和進程信息的對應關系后,其它具有同等功能的殺毒弓I擎可以直接使用該對應關系。與本申請?zhí)幚碛嬎銠C病毒的方法的實施例相對應,本申請還提供了處理計算機病毒的裝置的實施例。參見圖3,為本申請?zhí)幚碛嬎銠C病毒的裝置的第一實施例框圖該裝置包括獲取單元310、監(jiān)控單元320和處理單元330。其中,獲取單元310,用于獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息;監(jiān)控單元320,用于監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息對應的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件;處理單元330,用于當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。參見圖4,為本申請?zhí)幚碛嬎銠C病毒的裝置的第二實施例框圖該裝置包括掃描單元410、清除單元420、獲取單元430、監(jiān)控單元440和處理單元 450。其中,掃描單元410,用于掃描系統(tǒng)中的文件獲得掃描結果,所述掃描結果中記錄了系統(tǒng)中被病毒感染的文件。清除單元420,用于清除掃描結果中記錄的病毒;獲取單元430,用于獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息;監(jiān)控單元440,用于監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為所述進程訪問屬于所述文件類型的文件時所觸發(fā)的事件;處理單元450,用于當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。具體的,獲取單元430可以包括(圖4中未示出)文件類型提取單元,用于從對系統(tǒng)中的文件進行掃描的掃描結果中提取病毒所感染的文件的文件類型;進程ID記錄單元,用于通過系統(tǒng)中的文件過濾驅動記錄所述病毒訪問所述文件時所采用進程的進程ID ;對應關系保存單元,用于保存所述文件類型與所述進程ID的對應關系。具體的,監(jiān)控單元440可以包括(圖4中未示出)監(jiān)控結果獲取單元,用于當監(jiān)控到系統(tǒng)中有進程訪問文件時,獲取所述進程的進程ID和所述文件的文件類型;對應關系查找單元,用于根據(jù)所述進程的進程ID和所述文件的文件類型查找所述對應關系;惡意事件確定單元,用于當在所述對應關系中查找到與所述進程的進程ID和所述文件的文件類型一致的紀錄時,確定發(fā)生所述惡意事件。具體的,處理單元450可以用于通過文件過濾驅動向所述進程返回拒絕訪問屬于所述文件類型的文件的指令。參見圖5,為本申請?zhí)幚碛嬎銠C病毒的系統(tǒng)的實施例框圖
      該系統(tǒng)包括一個第一殺毒引擎設備,和至少一個第二殺毒引擎設備。圖5中為了示例方便,示出了一個第一殺毒引擎設備510,以及二個第二殺毒引擎設備520,在實際應用中,可以僅包括一個第二殺毒引擎設備520,也可以包括兩個以上的第二殺毒引擎設備 520。其中,所述第一殺毒引擎設備510,用于獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息,監(jiān)控所述第一殺毒引擎設備的系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息一致的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件,當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。進一步,所述第一殺毒引擎設備510,還用于將所述文件類型與所述進程信息的對應關系發(fā)送給所述多個第二殺毒引擎設備520 ;所述第二殺毒引擎設備520,用于保存所述文件類型與所述進程信息之間的對應關系,并在監(jiān)控到所述惡意事件發(fā)生時,根據(jù)所述對應關系拒絕所述進程訪問屬于所述文件類型的文件。需要說明的是,上述第一殺毒引擎設備和第二殺毒引擎設備中的“第一”和“第二” 僅為了命名方便,系統(tǒng)中的每個殺毒引擎設備本身具有的功能相互對等,也就是圖5中任意一個第二殺毒引擎設備也可以具有第一殺毒引擎設備的功能,同樣第一殺毒引擎設備也可以具有第二殺毒引擎設備的功能。通過以上的實施方式的描述可知,本申請實施例中獲取被計算機病毒感染的文件的文件類型,及該病毒訪問該文件時所采用進程的進程信息,監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,當監(jiān)控到所述惡意事件發(fā)生時,拒絕與該進程信息對應的進程訪問屬于該文件類型的文件。應用本申請實施例對計算機病毒進行處理時,由于拒絕所有曾對文件進行病毒感染的進程訪問相同類型的文件,因此對病毒的傳播過程進行了阻止,而非僅僅針對病毒感染的結果文件進行清除,因此可以有效阻止系統(tǒng)中病毒的傳播,防止這些病毒再次對其它文件進行傳播感染,由此提高了系統(tǒng)的安全性能。本領域的技術人員可以清楚地了解到本申請實施例中的技術可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)?;谶@樣的理解,本申請實施例中的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品可以存儲在存儲介質中,如ROM/RAM、磁碟、光盤等,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網(wǎng)絡設備等)執(zhí)行本申請各個實施例或者實施例的某些部分所述的方法。本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對于系統(tǒng)實施例而言,由于其基本相似于方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。以上所述的本申請實施方式,并不構成對本申請保護范圍的限定。任何在本申請的精神和原則之內所作的修改、等同替換和改進等,均應包含在本申請的保護范圍之內。
      權利要求
      1.一種處理計算機病毒的方法,其特征在于,包括獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息;監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息對應的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件;當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。
      2.根據(jù)權利要求1所述的方法,其特征在于,所述獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息包括從對系統(tǒng)中的文件進行掃描的掃描結果中提取被計算機病毒所感染的文件的文件類型;通過系統(tǒng)中的文件過濾驅動記錄所述病毒訪問所述文件時所采用進程的進程ID ; 保存所述文件類型與所述進程ID的對應關系。
      3.根據(jù)權利要求2所述的方法,其特征在于,所述監(jiān)控系統(tǒng)中是否發(fā)生惡意事件包括 當監(jiān)控到系統(tǒng)中有進程訪問文件時,獲取所述進程的進程ID和所述文件的文件類型; 根據(jù)所述進程的進程ID和所述文件的文件類型查找所述對應關系;當在所述對應關系中查找到與所述進程的進程ID和所述文件的文件類型一致的紀錄時,確定發(fā)生所述惡意事件。
      4.根據(jù)權利要求1所述的方法,其特征在于,所述拒絕所述進程訪問屬于所述文件類型的文件具體為通過文件過濾驅動向所述進程返回拒絕訪問屬于所述文件類型的文件的指令。
      5.根據(jù)權利要求1所述的方法,其特征在于,所述獲取被病毒感染的文件的文件類型之前,還包括掃描系統(tǒng)中的文件獲得掃描結果,所述掃描結果中記錄了系統(tǒng)中被病毒感染的文件。
      6.根據(jù)權利要求1至5任意一項所述的方法,其特征在于,還包括清除掃描結果中記錄的病毒。
      7.根據(jù)權利要求1至5任意一項所述的方法,其特征在于,所述方法應用在包含多個殺毒引擎的系統(tǒng)中,還包括當所述系統(tǒng)中的一個殺毒引擎獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息時,將所述文件類型與所述進程信息的對應關系發(fā)送給除所述一個殺毒引擎的其它殺毒引擎;所述其它殺毒引擎保存所述文件類型與所述進程信息之間的對應關系,并在監(jiān)控到所述惡意事件發(fā)生時,根據(jù)所述對應關系拒絕所述進程訪問屬于所述文件類型的文件。
      8.—種處理計算機病毒的裝置,其特征在于,包括獲取單元,用于獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息;監(jiān)控單元,用于監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息對應的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件;處理單元,用于當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。
      9.根據(jù)權利要求8所述的裝置,其特征在于,所述獲取單元包括文件類型提取單元,用于從對系統(tǒng)中的文件進行掃描的掃描結果中提取被計算機病毒所感染的文件的文件類型;進程ID記錄單元,用于通過系統(tǒng)中的文件過濾驅動記錄所述病毒訪問所述文件時所采用進程的進程ID ;對應關系保存單元,用于保存所述文件類型與所述進程ID的對應關系。
      10.根據(jù)權利要求8所述的裝置,其特征在于,所述監(jiān)控單元包括監(jiān)控結果獲取單元,用于當監(jiān)控到系統(tǒng)中有進程訪問文件時,獲取所述進程的進程ID 和所述文件的文件類型;對應關系查找單元,用于根據(jù)所述進程的進程ID和所述文件的文件類型查找所述對應關系;惡意事件確定單元,用于當在所述對應關系中查找到與所述進程的進程ID和所述文件的文件類型一致的紀錄時,確定發(fā)生所述惡意事件。
      11.根據(jù)權利要求8所述的裝置,其特征在于,所述處理單元,具體用于通過文件過濾驅動向所述進程返回拒絕訪問屬于所述文件類型的文件的指令。
      12.根據(jù)權利要求8所述的裝置,其特征在于,還包括掃描單元,用于掃描系統(tǒng)中的文件獲得掃描結果,所述掃描結果中記錄了系統(tǒng)中被病毒感染的文件。
      13.根據(jù)權利要求8至12任意一項所述的裝置,其特征在于,還包括清除單元,用于清除掃描結果中記錄的病毒。
      14.一種處理計算機病毒的系統(tǒng),其特征在于,包括一個第一殺毒引擎設備,和至少一個第二殺毒引擎設備,其中,所述第一殺毒引擎設備,用于獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息,監(jiān)控所述第一殺毒引擎設備的系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息一致的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件,當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。
      15.根據(jù)權利要求14所述的系統(tǒng),其特征在于,所述第一殺毒引擎設備,還用于將所述文件類型與所述進程信息的對應關系發(fā)送給所述至少一個第二殺毒引擎設備;所述第二殺毒引擎設備,用于保存所述文件類型與所述進程信息之間的對應關系,并在監(jiān)控到所述惡意事件發(fā)生時,根據(jù)所述對應關系拒絕所述進程訪問屬于所述文件類型的文件。
      全文摘要
      本申請實施例公開了一種處理計算機病毒的方法、裝置及系統(tǒng),所述方法包括獲取被計算機病毒感染的文件的文件類型,及所述病毒訪問所述文件時所采用進程的進程信息;監(jiān)控系統(tǒng)中是否發(fā)生惡意事件,所述惡意事件為與所述進程信息對應的進程訪問屬于所述文件類型的文件時所觸發(fā)的事件;當監(jiān)控到所述惡意事件發(fā)生時,拒絕所述進程訪問屬于所述文件類型的文件。應用本申請實施例對計算機病毒進行處理時,由于拒絕所有曾對文件進行病毒感染的進程訪問相同類型的文件,因此對病毒的傳播過程進行了阻止,而非僅僅針對病毒感染的結果文件進行清除,因此可以徹底清除系統(tǒng)中病毒,防止這些病毒再次對其它文件進行傳播感染,由此提高了系統(tǒng)的安全性能。
      文檔編號G06F21/00GK102194072SQ20111014916
      公開日2011年9月21日 申請日期2011年6月3日 優(yōu)先權日2011年6月3日
      發(fā)明者李博, 鄒貴強 申請人:奇智軟件(北京)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1