【技術實現步驟摘要】
本專利技術涉及計算機安全
,具體涉及一種免疫文件宏病毒的方法和裝置。
技術介紹
宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,于是宏病毒就會被激活,轉移到計算機上,并駐留在模板上。從此以后,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。由于宏病毒藏于數據文件內,且其使用的腳本語法靈活多變,完成一個功能有很多種寫法,故識別一個文件是否有宏病毒非常困難。現有技術一種免疫文件宏病毒的方法采用占坑的方法,具體而言,如果發現某一種宏病毒會釋放一個特定名稱的文件,就新建一個同名的文件夾,利用Windows同名文件和文件夾不能共存的方式阻止宏病毒的傳播;該方法僅能免疫特定的、已有的宏病毒,而不能免疫新的、未知的病毒,故免疫效率不高。現有技術另一種免疫文件宏病毒的方法通過禁用所有宏的方法禁止Office的所有宏功能;該方法會影響正常需要使用宏功能的文件。總之,需要本領域技術人員迫切解決的一個技術問題就是如何能夠提高宏病毒的免疫效率。
技術實現思路
鑒于上述問題,提出了本專利技術以便提供一種克服上述問題或者至少部分地解決上述問題的一種免疫文件宏病毒的方法和裝置。依據本專利技術的一個方面,提供了一種免疫文件宏病毒的方法,包括截獲Office進程的文件行為請求;依據所述文件行為請求,分析得到相應文件行為的信息;利用所述文件行為的信息,判斷所述文件行為是否為宏病毒行為;在所述文件行為是Office進程修改模板文件的宏病毒行為時,允許所截獲的文件行為請求;在所述文件行為是...
【技術保護點】
一種免疫文件宏病毒的方法,其特征在于,包括:截獲Office進程的文件行為請求;依據所述文件行為請求,分析得到相應文件行為的信息;利用所述文件行為的信息,判斷所述文件行為是否為宏病毒行為;在所述文件行為是Office進程修改模板文件的宏病毒行為時,允許所截獲的文件行為請求;在所述文件行為是除Office進程修改模板文件的行為之外的宏病毒行為時,阻止所截獲的文件行為請求。
【技術特征摘要】
1.一種免疫文件宏病毒的方法,其特征在于,包括 截獲Office進程的文件行為請求; 依據所述文件行為請求,分析得到相應文件行為的信息; 利用所述文件行為的信息,判斷所述文件行為是否為宏病毒行為; 在所述文件行為是Office進程修改模板文件的宏病毒行為時,允許所截獲的文件行為請求; 在所述文件行為是除Office進程修改模板文件的行為之外的宏病毒行為時,阻止所截獲的文件行為請求。2.如權利要求1所述的方法,其特征在于,所述依據所述文件行為請求,分析得到相應文件行為的信息的步驟,包括 分析所述文件行為請求中攜帶的應用程序接口 API的參數,得到相應文件行為的信息; 所述文件行為的信息至少包括如下信息中的一項或多項文件路徑,行為名稱,共享方式和文件屬性;所述文件屬性至少包括如下屬性中的一項或多項普通,只讀,隱藏,加密和壓縮。3.如權利要求1所述的方法,其特征在于,所述利用所述文件行為的信息,判斷所述文件行為是否為宏病毒行為的步驟,包括 將所述文件行為的信息與已知宏病毒行為的信息進行匹配,若匹配成功,則確定所述文件行為是宏病毒行為。4.如權利要求1所述的方法,其特征在于,所述利用所述文件行為的信息,判斷所述文件行為是否為宏病毒行為的步驟,包括 依據所述文件行為的信息,判斷所述文件行為對應文件為本次計算機運行期間未被Office進程修改過的已有文件還是被Office進程修改過的新文件; 將所述文件行為的信息和所述文件行為對應文件的判斷結果與已知宏病毒行為的信息進行匹配,若匹配成功,則確定所述文件行為是宏病毒行為。5.如權利要求1或2所述的方法,其特征在于,還包括 若所述文件行為是Office進程修改模板文件的宏病毒行為,則在所述Office進程結束時,判斷修改后的模板文件是否帶有宏,若是,則使用預先備份的不帶有宏的模板文件替換所述修改后的模板文件; 所述判斷修改后的模板文件是否帶有宏的步驟,包括 以二進制的格式打開所述修改后的模板文件; 判斷所述修改后的模板文件的二進制內容中是否包含有宏標識,若是,則判斷修改后的模板文件帶有宏,否則判斷修改后的模板文件不帶有宏。6.如權利要求3或4所述的方法,其特征在于,還包括 當匹配失敗時,判斷所述文件行為對應文件或目錄是否在白名單數據集中; 當所述文件行為對應文件或目錄在白名單數據集中時,確定所述文件行為不是宏病毒行為; 當所述文件行為對應文件或目錄不在白名單數據集中時,判斷所述文件行為對應文件或目錄是否在黑名單數據集中;當所述文件行為對應文件或目錄在黑名單數據集中時,確定所述文件行為是宏病毒行為; 當所述文件行為對應文件或目錄不在黑名單數據集中時,判斷所述文件行為對應文件或目錄為本次計算機運行期間未被Office進程修改過的已有文件或目錄還是被Off ice進程修改過的新文件或目錄; 當所述文件行為對應文件或目錄為本次計算機運行期間未被Office進程修改過的已有文件或目錄時,確定所述文件行為不是宏病毒行為; 當所述文件行為對應文件或目錄為本次計算機運行期間被Office進程修改過的新文件或目錄時,確定所述文件行為是宏病毒行為。7.如權利要求4所述的方法,其特征在于,所述依據所述文件行為的信息,判斷所述文件行為對應文件為本次計算機運行期間未被Office進程修改過的已有文件還是被Office進程修改過的新文件的步驟,包括 維護第一文件集合和第二文件集合;所述第一文件集合包括本次計算機運行期間未被Office進程修改過的已有文件,所述第二文件集合包括Office進程操作過的已有文件;依據所述文件行為的信息,判斷所述文件行為對應文件是否在所述第一文件集合或第二文件集合中; 當所述文件行為對應文件在所述第一文件集合中時,判斷所述文件行為對應文件為本次計算機運行期間未被Office進程修改過的已有文件; 當所述文件行為對應文件在所述第二文件集合中時,判斷所述文件行為對應文件為本次計算機運行期間被Office進程修改過的新文件。8.如權利要求3或4所述的方法,其特征在于,所述已知宏病毒行為至少包括如下行為中的一項或多項=Office進程修改模板文件的行為,Office進程向模板目錄寫文件的行為,Office進程執行Office進程釋放的可執行文件,Office進程執行Office進程釋放的腳本文件,Office進程修改注冊表的行為,Office進程復制文件的行為。9.一種免疫文件宏病毒的裝置,其特征在于,包括 請求截獲模塊,適于截獲Office進程的文件行為請求; 請求分析模塊,適于...
【專利技術屬性】
技術研發人員:禹建文,
申請(專利權)人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。