專利名稱:一種宏病毒查殺的方法和裝置的制作方法
技術領域:
本發(fā)明涉及數據安全技術領域�����,具體涉及一種宏病毒查殺的方法和裝置。
背景技術:
隨著計算機的普及和移動互聯(lián)網的發(fā)展���,網絡信息時代已經來臨�。病毒作為信息的一種形式�����,具有繁殖����、感染���、破壞等特性,威脅著用戶的信息安全����。計算機文檔,即WORD���,EXCEL等文字編輯軟件產生的文件����,被人們廣泛使用�����,而宏病毒作為專用于破壞計算機文檔信息安全的新型病毒���,逐漸走進人們的視線��。其中���,使用宏語言編寫的宏病毒主要作用于計算機文檔的宏代碼中�����,威脅著計算機文檔的安全?���,F有技術中�,通過對計算機文檔的全文搜索,查詢宏病毒的存在�����,首先���,獲取宏病毒的特征代碼�,其次���,用獲取的宏病毒特征代碼與計算機文檔的全部代碼進行匹配,直到找到與該特征代碼相同的代碼段���,即可以認為該計算機文檔感染了宏病毒�����。同時����,在確定了計算機文檔已經感染宏病毒的情況下,只是簡單的將被感染的計算機文檔刪除?���,F有技術的全文搜索宏病毒的方法,忽略了宏病毒只作用于計算機文檔的宏代碼中的特性��,無針對性的宏病毒搜索方法����,盲目擴大了搜索范圍,無疑大大降低了宏病毒的搜索效率���。同時�,刪除被感染的計算機文檔容易造成信息的丟失����。
發(fā)明內容
本發(fā)明提供了一種宏病毒查殺的方法和裝置,只針對計算機文檔的宏代碼部分進行宏病毒的查殺�����,大大提高宏病毒的搜索效率。同時��,將被感染的計算機文檔中的宏病毒信息刪除�����,使得計算機文檔中的原信息被完好保存���,防止信息的丟失��。本發(fā)明提供一種·宏病毒查殺的方法���,所述方法包括:獲取待查文檔的數據流;在所述數據流中存在宏標識的情況下�����,判斷所述待查文檔是否為宏病毒文檔���,如果是����,則將所述宏病毒文檔轉化成無毒文檔���。優(yōu)選地���,所述判斷所述待查文檔是否為宏病毒文檔之前,還包括:預設宏病毒特征組�����,所述宏病毒特征組包括至少一個宏病毒特征���。優(yōu)選地�����,所述判斷所述待查文檔是否為宏病毒文檔��,包括:判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征����。優(yōu)選地�,所述判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征,包括:在所述待查文檔包括宏子流的情況下��,判斷所述宏子流中是否包括所述宏病毒特征組中的任一宏病毒特征;在所述待查文檔不包括宏子流或者所述宏子流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下����,判斷所述待查文檔是否包括腳本流,如果是�,則判斷所述腳本流是否包括所述宏病毒特征組中的任一宏病毒特征;
或者�,在所述待查文檔包括腳本流的情況下,判斷所述腳本流中是否包括所述宏病毒特征組中的任一宏病毒特征�����;在所述待查文檔不包括腳本流或者所述腳本流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下����,判斷所述待查文檔是否包括宏子流,如果是�����,則判斷所述宏子流是否包括所述宏病毒特征組中的任一宏病毒特征��。優(yōu)選地�����,所述方法還包括:在所述數據流中不存在宏標識的情況下,將所述待查文檔確定為無毒文檔���。優(yōu)選地,所述將所述宏病毒文檔轉化成無毒文檔��,包括:刪除所述宏病毒文檔中的宏信息����,所述宏信息包括宏子流和\或腳本流,以及刪除所述宏病毒文檔中的宏標識���;將所述宏病毒文檔確定為無毒文檔��。本發(fā)明還提供一種宏病毒查殺的裝置��,所述裝置包括:第一獲取模塊�����,用于獲取待查文檔的數據流����;第一判斷模塊����,用于在所述數據流中存在宏標識的情況下��,判斷所述待查文檔是否為宏病毒文檔�����;轉化模塊�,用于在所 述第一判斷模塊的結果為是時���,將所述宏病毒文檔轉化成無
毒文檔�。優(yōu)選地���,所述裝置還包括:預設模塊����,用于預設宏病毒特征組���,所述宏病毒特征組包括至少一個宏病毒特征��。優(yōu)選地����,所述第一判斷模塊具體用于:在所述數據流中存在宏標識的情況下,判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征�。優(yōu)選地,所述第一判斷模塊�����,包括:第一判斷子模塊��,用于在所述待查文檔包括宏子流的情況下��,判斷所述宏子流中是否包括所述宏病毒特征組中的任一宏病毒特征�;第二判斷子模塊���,用于在所述待查文檔不包括宏子流或者所述宏子流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下�,判斷所述待查文檔是否包括腳本流���;第三判斷子模塊����,用于在所述第二判斷子模塊的結果為是時���,判斷所述腳本流是否包括所述宏病毒特征組中的任一宏病毒特征�����;或者����,第四判斷子模塊,用于在所述待查文檔包括腳本流的情況下�,判斷所述腳本流中是否包括所述宏病毒特征組中的任一宏病毒特征;第五判斷子模塊���,用于在所述待查文檔不包括腳本流或者所述腳本流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下����,判斷所述待查文檔是否包括宏子流第六判斷子模塊��,用于在所述第五判斷子模塊的結果為是時�����,判斷所述宏子流是否包括所述宏病毒特征組中的任一宏病毒特征���。優(yōu)選地����,所述裝置還包括:確定模塊,用于在所述數據流中不存在宏標識的情況下��,將所述待查文檔確定為無毒文檔����。優(yōu)選地,所述轉化模塊����,包括:第一刪除子模塊,用于刪除所述宏病毒文檔中的宏信息�����,所述宏信息包括宏子流和\或腳本流��;第二刪除子模塊�,用于刪除所述宏病毒文檔中的宏標識���;確定子模塊���,用于將所述宏病毒文檔確定為無毒文檔。本發(fā)明首先獲取待查文檔的數據流����,其次��,通過判斷獲取的數據流中是否存在宏標識�,確定是否進一步搜索宏病毒����,在數據流中存在宏標識的情況下,判斷所述待查文檔是否為宏病毒文檔�,最后,將宏病毒文檔轉化成無毒文檔�。本發(fā)明只針對計算機文檔的宏代碼部分進行宏病毒的查殺,大大提高宏病毒的搜索效率�。同時,將被感染的計算機文檔中的宏病毒信息刪除���,使得原計算機文檔中的信息被完好保存����,防止信息的丟失��。進一步的����,在數據流中不存在宏標識的情況下�,可以確定待查文檔為無毒文檔��,與現有技術中通過搜索全文確定無病毒特征代碼的方法確定無毒文檔的方法相比��,本發(fā)明提高了確定計算機文檔無宏病毒的效率�。進一步的,本發(fā)明首先判斷待查文檔中是否包括宏子流和\或腳本流�,其次針對宏子流和\或腳本流進行病毒特征的匹配的方法,確定宏病毒文檔����,與現有技術相比,本發(fā)明針對宏子流和\或腳本流搜索宏病毒的方法更有針對性��,同時也提高了搜索宏病毒的效率��。更進一步的����,本發(fā)明通過將宏病毒文檔中宏信息和宏標識刪除的方法�����,實現了宏病毒文檔轉化為無毒文檔�,與現有 技術的直接刪除宏病毒文檔的方法相比����,本發(fā)明有效防止了原文檔信息的丟失����。
為了更清楚地說明本申請實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹��,顯而易見地�����,下面描述中的附圖僅僅是本申請的一些實施例����,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前提下����,還可以根據這些附圖獲得其他的附圖。圖1為本發(fā)明實施例一的宏病毒查殺的方法流程圖�;圖2為本發(fā)明實施例一的將宏病毒文檔轉化成無毒文檔的方法流程圖;圖3為本發(fā)明實施例二的宏病毒查殺的方法流程圖��;圖4為本發(fā)明實施例二的判斷待查文檔是否包括宏病毒特征組中的任一宏病毒特征的方法之一的流程圖;圖5為本發(fā)明實施例二的判斷待查文檔是否包括宏病毒特征組中的任一宏病毒特征的方法之一的流程圖���;圖6為本發(fā)明實施例三的宏病毒查殺的裝置結構圖�����;圖7為本發(fā)明實施例三的所述第一判斷模塊602的結構圖之一��;圖8為本發(fā)明實施例三的所述第一判斷模塊602的結構圖之一��;圖9為本發(fā)明實施例三提供的終端結構示意圖��。
具體實施例方式下面將結合本申請實施例中的附圖��,對本申請實施例中的技術方案進行清楚�����、完整地描述����,顯然����,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例�。基于本申請中的實施例�����,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本申請保護的范圍。實施例一�����、本發(fā)明實施例是針對現有技術中宏病毒的搜索效率低以及直接刪除感染宏病毒的文檔導致的造成信息丟失的問題��,提出通過獲取待查文檔的數據流判斷待查文檔中是否包括宏標識����,進而確定待查文檔中是否包括宏病毒,最終���,在待查文檔中包括宏病毒的情況下�����,通過刪除待查文檔中的宏信息達到宏病毒查殺的目的�����,從而提高宏病毒的搜索效率�����,也解決了查殺宏病毒過程中的文檔信息丟失的問題�。參考圖1,圖1為本實施例提供的宏病毒查殺的方法流程圖����,具體包括:步驟101、獲取待查文檔的數據流���。本實施例中���,在對待查文檔進行宏病毒的查殺之前,首先將待查文檔解析成數據流的形式��。其中�����,數據流為存儲待查文檔中的原始數據的結構���。步驟102�����、在所述數據流中存在宏標識的情況下����,判斷所述待查文檔是否為宏病毒文檔����,如果是,則進入步驟103�。本實施例中,首先判斷獲取的數據流中是否存在宏標識���,如果存在�,則繼續(xù)判斷待查文檔是否為宏病毒文檔�,其中,在該待查文檔為宏病毒文檔的情況下����,進入步驟103�����。如果數據流中不存在宏標識�����,則說明該待查文檔為無毒文檔���,也就是說,待查文檔中不存在宏標識����,即證明該待查文檔中沒有宏病毒。其中���,宏標識用于標識待查文檔中是否存在可執(zhí)行的宏代碼����,也就是說���,如果待查文檔中不存在宏標識�����,待查文檔中也就不存在可執(zhí)行的宏代碼�,由于宏病毒也是由宏代碼編寫而成的,所以����,可以理解為���,不存在宏標識的待查文檔也就不存在可執(zhí)行的宏病毒�,對于不可執(zhí)行的宏病毒����,其對待查文檔是沒有破壞作用的。步驟103���、將所述宏病毒文檔轉化成無毒文檔����。本實施例中���,確定該待查文檔為宏病毒文檔后��,將該宏病毒文檔轉化成無毒文檔��。其中����,宏病毒文檔表示感染宏病毒的文檔,無毒文檔表示未感染宏病毒的文檔�。在一優(yōu)選實施例中,參考圖2����,圖2為將宏病毒文檔轉化成無毒文檔的方法流程圖,所述方法可以包括:步驟201��、刪除所述宏病毒文檔中的宏信息��,所述宏信息包括宏子流和\或腳本流��。
本實施例中�����,在待查文檔被確定為宏病毒文檔后�����,刪除宏病毒文檔中的宏信息,宏信息包括宏子流和\或腳本流���。其中宏子流可以通過數據流中的子流屬性目錄獲取��,其中���,子流屬性目錄用于存儲數據流包含的各個子流的屬性,由于宏子流具有特定的屬性�,可以根據宏子流的屬性在子流屬性目錄中查詢數據流中是否存在宏子流�����,值得注意的是�,數據流包括宏子流,而腳本流可以通過腳本流的名稱獲取��。實際操作中�,判斷該宏病毒文檔中是否包括宏子流和\或腳本流,如果存在則將其刪除�����。具體的���,可以首先判斷該宏病毒文檔中是否包括宏子流�,如果存在,將該宏子流刪除���,其次��,判斷該宏病毒文檔中是否包括腳本流�����,如果存在��,將該腳本流也刪除�;也可以��,首先判斷腳本流是否存在�,其次判斷宏子流是否存在,并將宏子流和腳本流刪除����;還可以同時判斷宏子流和腳本流是否存在于待查文檔中,如果存在��,將存在的宏子流和\或腳本流刪除�����。值得注意的是,宏子流和腳本流的判斷順序不受限制��,同時宏子流和腳本流的判斷過程不會相互影響�。步驟202、刪除所述宏病毒文檔中的宏標識����。本實施例中,在待查文檔被確定為宏病毒文檔后����,將宏病毒文檔中的宏標識刪除。在確定待查文檔為宏病毒文檔的情況下�����,刪除宏標識�����,以去除宏病毒代碼的執(zhí)行條件�����。值得注意的是�����,步驟201和步驟202的執(zhí)行順序不受限制��,也可以同時執(zhí)行步驟201和步驟202���。步驟203����、將所述宏病毒文檔確定為無毒文檔�����。本實施例中�,將刪除宏信息和宏標識的宏病毒文件確定為無毒文件,可以理解為��,在感染宏病毒的待查文檔中的宏信息和宏標識被刪除后����,該感染宏病毒的待查文檔中的宏病毒已被殺,也就是說����,此時的待查文檔中不存在宏病毒����,同時可以正常執(zhí)行�。本實施例中,首先獲取待查文檔的數據流���,其次�����,通過判斷獲取的數據流中是否存在宏標識����,確定是否進一步搜索宏病毒���,在數據流中存在宏標識的情況下,判斷所述待查文檔是否為宏病毒文檔�����,最后���,將宏病毒文檔轉化成無毒文檔�����。本發(fā)明只針對計算機文檔的宏代碼部分進行宏病毒的查殺��,大大提高宏病毒的搜索效率�����。同時����,將被感染的計算機文檔中的宏病毒信息刪除,使得原計算機文檔中的信息被完好保存�����,防止信息的丟失��。進一步的�����,在數據流中不存在宏標識的情況下�����,可以確定待查文檔為無毒文檔,與現有技術中通過搜索全文確定無病毒特征代碼的方法確定無毒文檔的方法相比���,本發(fā)明提高了確定計算機文檔無宏病毒的效率��。實施例二����、參考圖3�����,圖3為本實施例提供的宏病毒查殺的方法流程圖���,具體可以包括:步驟301�����、預設宏病毒特征組�����,所述宏病毒特征組包括至少一個宏病毒特征�����。本實施例中���,預先設定宏病毒特征組,其中����,宏病毒特征組包括至少一個宏病毒特征,宏病毒特征表示宏病毒區(qū)別于其它類型病毒的特征��,同時宏病毒種類也較多�����,不同種類的宏病毒的特征也不同���。也就是說���,根據宏病毒特征能確定一種類型的宏病毒。步驟302���、獲取待查文檔的數據流���。本實施例中的步驟302與實施例一中的步驟101相同�,在此不再贅述�。步驟303、判斷所述數據流中是否存在宏標識��,如果否��,則進入步驟304�����,如果是�����,則進入步驟305���。本實施例中���,首先判斷獲取的數據流中是否包括宏標識,如果是�,進入步驟304,否貝丨J,進入步驟305����。
其中����,查詢宏標識的方式不受本實施例的限制。一般情況下���,宏標識位于待查文檔的前部���,所以,查詢宏標識一般只需要遍歷到待查文檔的前部即可獲得����,不需要如現有技術遍歷全文的方法。步驟304���、將所述待查文檔確定為無毒文檔���。本實施例中,在獲取的數據流中不存在宏標識的情況下���,可以將待查文檔確定為無毒文檔���?��?梢岳斫鉃椋槲臋n中不存在宏標識��,則證明該待查文檔中沒有宏病毒��,事實上是不存在對待查文檔造成破壞性的可執(zhí)行宏病毒�。步驟305、判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征�,如果是,則進入步驟306��。本實施例中���,在確定待查文檔中包括宏標識后���,判斷該待查文檔是否包括宏病毒特征組中的任一宏病毒特征,如果是����,則進入步驟306��。參考圖4���,圖4為判斷待查文檔是否包括宏病毒特征組中的任一宏病毒特征的方法之一的流程圖,具體包括:步驟401���、判斷所述待查文檔是否包括宏子流,如果是���,則進入步驟402���,如果否,則進入步驟403���。本實施例中�,在待查文檔包括宏子流時�,進入步驟402 ;否則,在待查文檔中不包括宏子流時�,進入步驟403。實際操作中���,數據流包括宏子流����,數據流中存在包含各個子流屬性的目錄,由于宏子流具有特定的屬性���,所以����,通過查詢數據流中的屬性目錄可以查詢該待查文檔中是否包括宏子流�。具體的,對于如何查詢待查文檔中是否包括宏子流的過程不受本實施例的限制�����。步驟402�、判斷所述宏子 流中是否包括所述宏病毒特征組中的任一宏病毒特征,如果否��,則進入步驟403���。本實施例中��,在待查文檔中包括宏子流的情況下����,判斷宏子流中是否包括宏病毒特征組中的任一宏病毒特征,其中宏病毒特征可以包含一段特定的宏病毒代碼�。如果宏子流中包括宏病毒特征組中的任一宏病毒特征,則進入步驟306�,否則,進入步驟403���。步驟403�、判斷所述待查文檔是否包括腳本流����,如果是����,則進入步驟404。本實施例中��,在待查文檔不包括宏子流或者宏子流中不包括宏病毒特征組中的任一宏病毒特征的情況下�����,判斷該待查文檔是否包括腳本流�����,如果是,則進入步驟306����,如果否,則證明該待查文檔為無毒文檔����。實際操作中,腳本流具有特定的名稱�����,例如_VBA_PROJECT_CUR��,可以通過查詢腳本流名稱確定該待查文檔是否包括腳本流�����。具體的��,對于如何查詢待查文檔中是否包括腳本流的過程不受本實施例的限制��。步驟404��、判斷所述腳本流是否包括所述宏病毒特征組中的任一宏病毒特征�����。本實施例中,在待查文檔中包括腳本流的情況下��,判斷腳本流中是否包括宏病毒特征組中的任一宏病毒特征��,如果包括�,則進入步驟306,否則��,證明該待查文檔為無毒文檔�。實際操作中,將腳本流中的代碼與宏病毒特征組中的宏病毒特征進行匹配����,在腳本流中存在任一宏病毒特征的情況下�,該待查文檔為宏病毒文檔,否則�,該待查文檔為無毒文檔。參考圖5�,圖5為判斷待查文檔是否包括宏病毒特征組中的任一宏病毒特征的方法之一的流程圖,具體包括:步驟501�����、判斷所述待查文檔是否包括腳本流,如果是����,則進入步驟502,如果否�����,則進入步驟503���。
步驟502��、判斷所述腳本流中是否包括所述宏病毒特征組中的任一宏病毒特征�����,如果否�����,則進入步驟503 ���;步驟503、判斷所述待查文檔是否包括宏子流��,如果是,則進入步驟504���。步驟504�����、判斷所述宏子流是否包括所述宏病毒特征組中的任一宏病毒特征���。上述判斷待查文檔是否包括宏病毒特征組中的任一宏病毒特征的方法與圖4的方法的區(qū)別僅在于,先判斷待查文檔包括腳本流��,還是先判斷待查文檔包括宏子流��。所以��,具體步驟與圖4中的步驟描述相似�����,在此不再贅述�。步驟306��、將所述宏病毒文檔轉化成無毒文檔���。本實施例中的步驟306與實施例一中的步驟103相同���,此處同樣不再贅述�����。本實施例中����,預先設置宏病毒特征組�,包括至少一個宏病毒特征,其次��,通過判斷獲取的數據流中是否存在宏標識�,確定是否進一步搜索宏病毒,在數據流中存在宏標識的情況下����,判斷所述待查文檔是否包括宏子流和腳本流,進而判斷宏子流����、腳本流中是否包含宏病毒特征組中的任一宏病毒特征,進而確定待查文檔為宏病毒文檔或者無毒文檔。與現有技術相比�,本實施例中針對宏子流和\或腳本流進行病毒特征的匹配方法更有針對性,提高了搜索宏病毒的效率��。實施例三���、本發(fā)明實施例將從宏病毒查殺裝置的角度進行描述��,該宏病毒查殺的裝置具體可以集成在客戶端中����,該客戶端可以裝載在終端中�,該終端具體可以為智能手機、平板電腦���、電子書閱讀器����、MP3 (Moving Picture Experts Group Audio Layer III�����,動態(tài)影像專家壓縮標準音頻層面 3)播放器�����、MP4 (Moving Picture Experts Group Audio Layer IV,動態(tài)影像專家壓縮標準音頻層面3)播放器�、膝上型便攜計算機和臺式計算機等等。參考圖6�����,圖6為本實施例提供的宏病毒查殺的裝置結構圖���,具體包括:第一獲取模塊601�����,用于獲取待查文檔的數據流����;第一判斷模塊602��,用于在所述數據流中存在宏標識的情況下�,判斷所述待查文檔是否為宏病毒文檔;所述第一判斷模塊602�,具體用于在所述數據流中存在宏標識的情況下,判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征���。參考圖7����,圖7為所述第一判斷模塊602的結構圖之一,具體可以包括:第一判斷子模塊701��,用于在所述待查文檔包括宏子流的情況下�����,判斷所述宏子流中是否包括所述宏病毒特征組中的任一宏病毒特征���;第二判斷子模塊702�����,用于在所述待查文檔不包括宏子流或者所述宏子流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下���,判斷所述待查文檔是否包括腳本流;第三判斷子模塊703��,用于在所述第二判斷子模塊的結果為是時���,判斷所述腳本流是否包括所述宏病毒特征組中的任一宏病毒特征����;參考圖8,圖8為所述第一判斷模塊602的結構圖之一��,具體可以包括:第四判斷子模塊801�����,用于在所述待查文檔包括腳本流的情況下�,判斷所述腳本流中是否包括所述宏病毒特征組中的任一宏病毒特征�;第五判斷子模塊802,用于在所 述待查文檔不包括腳本流或者所述腳本流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下���,判斷所述待查文檔是否包括宏子流����。
第六判斷子模塊803����,用于在所述第五判斷子模塊的結果為是時,判斷所述宏子流是否包括所述宏病毒特征組中的任一宏病毒特征�����。轉化模塊603,用于在所述第一判斷模塊的結果為是時�,將所述宏病毒文檔轉化成
無毒文檔。所述轉化模塊603�����,可以包括:第一刪除子模塊�����,用于刪除所述宏病毒文檔中的宏信息�,所述宏信息包括宏子流和\或腳本流;第二刪除子模塊���,用于刪除所述宏病毒文檔中的宏標識�����;確定子模塊��,用于將所述宏病毒文檔確定為無毒文檔����。所述裝置還可以包括:預設模塊�,用于預設宏病毒特征組�����,所述宏病毒特征組包括至少一個宏病毒特征���。確定模塊,用于在所述數據流中不存在宏標識的情況下����,將所述待查文檔確定為無毒文檔����。本發(fā)明實施例還提供了一種終端,如圖9所示�����,為了便于說明���,僅示出了與本發(fā)明實施例相關的部分��,具體技術細節(jié)未揭示的�����,請參照本發(fā)明實施例方法部分��。該終端可以包括手機��、平板電腦��、PDA (Personal Digital Assistant,個人數字助理)�����、POS (Point ofSales�,銷售終端)、車載電腦等任意終端設備�,以終端為手機為例:圖9示出的是與本發(fā)明實施例提供的終端相關的手機的部分結構的框圖。參考圖9�����,手機包括:射頻(Radio Frequency, RF)電路910���、存儲器920����、輸入單元930、顯示單元940�、傳感器950、音頻電路960�����、無線保真(wireless fidelity,WiFi)模塊970����、處理器980、以及電源990等部件����。本領域技術人員可以理解�����,圖9中示出的手機結構并不構成對手機的限定����,可以包括比圖示更多或更少的部件,或者組合某些部件��,或者不同的部件布置��。下面結合圖9對手機的各個構成部件進行具體的介紹:RF電路910可用于收發(fā)信息或通話過程中���,信號的接收和發(fā)送�,特別地,將基站的下行信息接收后����,給處理器980處理;另外��,將設計上行的數據發(fā)送給基站�。通常,RF電路包括但不限于天線��、至少一個放大器���、收發(fā)信機���、耦合器、低噪聲放大器(Low NoiseAmplifier, LNA)�、雙工器等。此外����,RF電路910還可以通過無線通信與網絡和其他設備通信。上述無線通信可以使用任一通信標準或協(xié)議,包括但不限于全球移動通訊系統(tǒng)(Global System of Mobile communication, GSM)�����、通用分組無線服務(General PacketRadio Service,GPRS)����、碼分多址(Code Division Multiple Access, CDMA)、寬帶碼分多址(Wideband Code Division Multiple Access, WCDMA)����、長期演進(Long Term Evolution,LTE))、電子郵件�����、短消息服務(Short Messaging Service, SMS)等�。存儲器920可用于存儲軟件程序以及模塊�����,處理器980通過運行存儲在存儲器920的軟件程序以及模塊���,從而執(zhí)行手機的各種功能應用以及數據處理���。存儲器920可主要包括存儲程序區(qū)和存儲數據區(qū)�,其中���,存儲程序區(qū)可存儲操作系統(tǒng)�、至少一個功能所需的應用程序(比如聲音播放功能��、圖像播放功能等)等�;存儲數據區(qū)可存儲根據手機的使用所創(chuàng)建的數據(比如音頻數據、 電話本等)等���。此外���,存儲器920可以包括高速隨機存取存儲器,還可以包括非易失性存儲器�����,例如至少一個磁盤存儲器件���、閃存器件��、或其他易失性固態(tài)存儲器件��。
輸入單元930可用于接收輸入的數字或字符信息�����,以及產生與手機900的用戶設置以及功能控制有關的鍵信號輸入�����。具體地��,輸入單元930可包括觸控面板931以及其他輸入設備932�����。觸控面板931����,也稱為觸摸屏,可收集用戶在其上或附近的觸摸操作(比如用戶使用手指�����、觸筆等任何適合的物體或附件在觸控面板931上或在觸控面板931附近的操作)���,并根據預先設定的程式驅動相應的連接裝置���。可選的�����,觸控面板931可包括觸摸檢測裝置和觸摸控制器兩個部分�����。其中����,觸摸檢測裝置檢測用戶的觸摸方位,并檢測觸摸操作帶來的信號����,將信號傳送給觸摸控制器;觸摸控制器從觸摸檢測裝置上接收觸摸信息�����,并將它轉換成觸點坐標���,再送給處理器980�����,并能接收處理器980發(fā)來的命令并加以執(zhí)行�。此外,可以采用電阻式�、電容式、紅外線以及表面聲波等多種類型實現觸控面板931�。除了觸控面板931,輸入單元930還可以包括其他輸入設備932��。具體地�����,其他輸入設備932可以包括但不限于物理鍵盤��、功能鍵(比如音量控制按鍵���、開關按鍵等)����、軌跡球�����、鼠標�、操作桿等中的一種或多種。顯示單元940可用于顯示由用戶輸入的信息或提供給用戶的信息以及手機的各種菜單�����。顯示單元940可包括顯示面板941,可選的,可以采用液晶顯示器(Liquid CrystalDisplay, IXD)��、有機發(fā)光二極管(Organic Light-Emitting Diode, 0LED)等形式來配置顯示面板941����。進一步的,觸控面板931可覆蓋顯示面板941��,當觸控面板931檢測到在其上或附近的觸摸操作后���,傳送給處理器980以確定觸摸事件的類型����,隨后處理器980根據觸摸事件的類型在顯示面板941上提供相應的視覺輸出�。雖然在圖9中,觸控面板931與顯示面板941是作為兩個獨立的部件來實現手機的輸入和輸入功能�,但是在某些實施例中,可以將觸控面板931與顯示面板941集成而實現手機的輸入和輸出功能�����。手機900還可包括至少一種傳感器950,比如光傳感器��、運動傳感器以及其他傳感器�。具體地,光傳感器可包括環(huán)境光傳感器及接近傳感器���,其中���,環(huán)境光傳感器可根據環(huán)境光線的明暗來調節(jié)顯示面板941的亮度,接近傳感器可在手機移動到耳邊時����,關閉顯示面板941和/或背光。作為運動傳感器的一種��,加速計傳感器可檢測各個方向上(一般為三軸)加速度的大小����,靜止時可檢測出重力的大小及方向,可用于識別手機姿態(tài)的應用(比如橫豎屏切換��、相關游戲、磁力計姿態(tài)校準)���、振動識別相關功能(比如計步器��、敲擊)等���;至于手機還可配置的陀螺儀�、氣壓計`、濕度計��、溫度計����、紅外線傳感器等其他傳感器,在此不再贅述�。音頻電路960、揚聲器961��,傳聲器962可提供用戶與手機之間的音頻接口�。音頻電路960可將接收到的音頻數據轉換后的電信號,傳輸到揚聲器961,由揚聲器961轉換為聲音信號輸出;另一方面�,傳聲器962將收集的聲音信號轉換為電信號,由音頻電路960接收后轉換為音頻數據��,再將音頻數據輸出處理器980處理后,經RF電路910以發(fā)送給比如另一手機��,或者將音頻數據輸出至存儲器920以便進一步處理���。WiFi屬于短距離無線傳輸技術���,手機通過WiFi模塊970可以幫助用戶收發(fā)電子郵件、瀏覽網頁和訪問流式媒體等���,它為用戶提供了無線的寬帶互聯(lián)網訪問�。雖然圖9示出了WiFi模塊970��,但是可以理解的是�,其并不屬于手機900的必須構成,完全可以根據需要在不改變發(fā)明的本質的范圍內而省略��。處理器980是手機的控制中心����,利用各種接口和線路連接整個手機的各個部分,通過運行或執(zhí)行存儲在存儲器920內的軟件程序和/或模塊���,以及調用存儲在存儲器920內的數據���,執(zhí)行手機的各種功能和處理數據����,從而對手機進行整體監(jiān)控��??蛇x的,處理器980可包括一個或多個處理單元�;優(yōu)選的����,處理器980可集成應用處理器和調制解調處理器,其中����,應用處理器主要處理操作系統(tǒng)、用戶界面和應用程序等�,調制解調處理器主要處理無線通信?�?梢岳斫獾氖?���,上述調制解調處理器也可以不集成到處理器980中。 手機900還包括給各個部件供電的電源990 (比如電池),優(yōu)選的���,電源可以通過電源管理系統(tǒng)與處理器980邏輯相連����,從而通過電源管理系統(tǒng)實現管理充電�、放電、以及功耗管理等功能���。盡管未示出�,手機900還可以包括攝像頭��、藍牙模塊等�����,在此不再贅述�����。具體在本實施例中�����,終端中的處理器980會按照如下的指令,將一個或一個以上的應用程序的進程對應的可執(zhí)行文件加載到存儲器920中��,并由處理器980來運行存儲在存儲器920中的應用程序�,從而實現各種功能:獲取待查文檔的數據流;在所述數據流中存在宏標識的情況下��,判斷所述待查文檔是否為宏病毒文檔�,如果是,則將所述宏病毒文檔轉化成無毒文檔���。優(yōu)選地����,所述判斷所述待查文檔是否為宏病毒文檔之前���,還包括:預設宏病毒特征組,所述宏病毒特征組包括至少一個宏病毒特征��。優(yōu)選地�����,所述判斷所述待查文檔是否為宏病毒文檔����,包括:判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征�����。
優(yōu)選地�����,所述判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征�����,包括:在所述待查文檔包括宏子流的情況下��,判斷所述宏子流中是否包括所述宏病毒特征組中的任一宏病毒特征����;在所述待查文檔不包括宏子流或者所述宏子流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下�����,判斷所述待查文檔是否包括腳本流����,如果是����,則判斷所述腳本流是否包括所述宏病毒特征組中的任一宏病毒特征����;或者,在所述待查文檔包括腳本流的情況下��,判斷所述腳本流中是否包括所述宏病毒特征組中的任一宏病毒特征����;在所述待查文檔不包括腳本流或者所述腳本流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下,判斷所述待查文檔是否包括宏子流��,如果是��,則判斷所述宏子流是否包括所述宏病毒特征組中的任一宏病毒特征�����。優(yōu)選地�,所述方法還包括:在所述數據流中不存在宏標識的情況下����,將所述待查文檔確定為無毒文檔����。優(yōu)選地��,所述將所述宏病毒文檔轉化成無毒文檔��,包括:刪除所述宏病毒文檔中的宏信息�����,所述宏信息包括宏子流和\或腳本流���,以及刪除所述宏病毒文檔中的宏標識�����;將所述宏病毒文檔確定為無毒文檔�。本實施例中���,獲取待查文檔的數據流后���,通過判斷獲取的數據流中是否存在宏標識,確定是否進一步搜索宏病毒��,在數據流中存在宏標識的情況下,判斷所述待查文檔是否為宏病毒文檔����,當確定待查文檔為宏病毒文檔后,將宏病毒文檔轉化成無毒文檔���。本實施例只針對計算機文檔的宏代碼部分進行宏病毒的查殺�����,大大提高宏病毒的搜索效率�。同時�,將被感染的計算機文檔中的宏病毒信息刪除,使得原計算機文檔中的信息被完好保存��,防止息的丟失�。進一步的,在數據流中不存在宏標識的情況下�����,可以確定待查文檔為無毒文檔���,與現有技術中通過搜索全文確定無病毒特征代碼的方法確定無毒文檔的方法相比���,本發(fā)明提高了確定計算機文檔無宏病毒的效率。進一步的���,本發(fā)明首先判斷待查文檔中是否包括宏子流和\或腳本流�,其次針對宏子流和\或腳本流進行病毒特征的匹配的方法���,確定宏病毒文檔��,與現有技術相比���,本發(fā)明針對宏子流和\或腳本流搜索宏病毒的方法更有針對性,同時也提高了搜索宏病毒的效率��。更進一步的��,本發(fā)明通過將宏病毒文檔中宏信息和宏標識刪除的方法�����,實現了宏病毒文檔轉化為無毒文檔�����,與現有技術的直接刪除宏病毒文檔的方法相比,本發(fā)明有效防止了原文檔信息的丟失����。需要說明的是,本說明書中各個實施例采用遞進的方式描述�,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似部分互相參見即可���。對于實施例公開的系統(tǒng)或裝置而言����,由于其與實施例公開的方法相對應���,所以描述的比較簡單���,相關之處參見方法部分說明即可。對于裝置實施例而言���,由于其基本對應于方法實施例��,所以相關之處參見方法實施例的部分說明即可�。以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方���,或者也可以分布到多個網絡單元上����?��?梢愿鶕嶋H的需要選擇其中的部分或者全部模塊來實現本實施例方案的目的���。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下,·即可以理解并實施��。需要說明的是�,在本文中,諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來��,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序���。而且���,術語“包括”�����、“包含”或者其任何其他變體意在涵蓋非排他性的包含��,從而使得包括一系列要素的過程���、方法、物品或者設備不僅包括那些要素��,而且還包括沒有明確列出的其他要素���,或者是還包括為這種過程�、方法��、物品或者設備
所固有的要素���。在沒有更多限制的情況下���,由語句“包括一個......”限定的要素,并不排
除在包括所述要素的過程�����、方法、物品或者設備中還存在另外的相同要素����。以上對本發(fā)明實施例所提供的宏病毒查殺的方法和裝置進行了詳細介紹,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述��,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想���;同時,對于本領域的一般技術人員�����,依據本發(fā)明的思想����,在具體實施方式
及應用范圍上均會有改變之處,綜上所述�����,本說明書內容不應理解為對本發(fā)明的限制�。
權利要求
1.一種宏病毒查殺的方法��,其特征在于�����,所述方法包括: 獲取待查文檔的數據流�����; 在所述數據流中存在宏標識的情況下�,判斷所述待查文檔是否為宏病毒文檔��,如果是�,則將所述宏病毒文檔轉化成無毒文檔。
2.根據權利要求1所述的方法�,其特征在于,所述判斷所述待查文檔是否為宏病毒文檔之前���,還包括: 預設宏病毒特征組��,所述宏病毒特征組包括至少一個宏病毒特征�。
3.根據權利要求2所述的方法�,其特征在于,所述判斷所述待查文檔是否為宏病毒文檔��,包括: 判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征。
4.根據權利要求3所述的方法���,其特征在于��,所述判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征�����,包括: 在所述待查文檔包括宏子流的情況下����,判斷所述宏子流中是否包括所述宏病毒特征組中的任一宏病毒特征����; 在所述待查文檔不包括宏子流或者所述宏子流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下�,判斷所述待查文檔是否包括腳本流,如果是����,則判斷所述腳本流是否包括所述宏病毒特征組中的任一宏病毒特征; 或者��, 在所述待查文檔包括腳本流的情況下���,判斷所述腳本流中是否包括所述宏病毒特征組中的任一宏病毒特征�; 在所述待查文檔不包括腳本流或者所述腳本流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下,判斷所述待查文檔是否包括宏子流�����,如果是��,則判斷所述宏子流是否包括所述宏病毒特征組中的任一宏病毒特征�。
5.根據權利要求1所述的方法,其特征在于�����,所述方法還包括: 在所述數據流中不存在宏標識的情況下�����,將所述待查文檔確定為無毒文檔�。
6.根據權利要求1所述的方法,其特征在于��,所述將所述宏病毒文檔轉化成無毒文檔����,包括: 刪除所述宏病毒文檔中的宏信息��,所述宏信息包括宏子流和\或腳本流����,以及刪除所述宏病毒文檔中的宏標識���; 將所述宏病毒文檔確定為無毒文檔��。
7.一種宏病毒查殺的裝置��,其特征在于�����,所述裝置包括: 第一獲取模塊,用于獲取待查文檔的數據流��; 第一判斷模塊���,用于在所述數據流中存在宏標識的情況下��,判斷所述待查文檔是否為宏病毒文檔�����; 轉化模塊�����,用于在所述第一判斷模塊的結果為是時�����,將所述宏病毒文檔轉化成無毒文檔����。
8.根據權利要求7所述的方法,其特征在于�,所述裝置還包括: 預設模塊,用于預設宏病毒特征組�����,所述宏病毒特征組包括至少一個宏病毒特征�。
9.根據權利要求8所述的方法,其特征在于����,所述第一判斷模塊具體用于:在所述數據流中存在宏標識的情況下,判斷所述待查文檔是否包括所述宏病毒特征組中的任一宏病毒特征。
10.根據權利要求9所述的方法�����,其特征在于�,所述第一判斷模塊,包括: 第一判斷子模塊�����,用于在所述待查文檔包括宏子流的情況下����,判斷所述宏子流中是否包括所述宏病毒特征組中的任一宏病毒特征; 第二判斷子模塊�����,用于在所述待查文檔不包括宏子流或者所述宏子流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下����,判斷所述待查文檔是否包括腳本流�����; 第三判斷子模塊,用于在所述第二判斷子模塊的結果為是時����,判斷所述腳本流是否包括所述宏病毒特征組中的任一宏病毒特征; 或者��, 第四判斷子模塊�����,用于在所述待查文檔包括腳本流的情況下��,判斷所述腳本流中是否包括所述宏病毒特征組中的任一宏病毒特征�����; 第五判斷子模塊�����,用于在所述待查文檔不包括腳本流或者所述腳本流中不包括所述宏病毒特征組中的任一宏病毒特征的情況下�,判斷所述待查文檔是否包括宏子流; 第六判斷子模塊�,用于在所述第五判斷子模塊的結果為是時,判斷所述宏子流是否包括所述宏病毒特征組中的任一宏病毒特征�。
11.根據權利要求7所述的方法���,其特征在于,所述裝置還包括: 確定模塊��,用于在所述數據流中不存在宏標識的情況下��,將所述待查文檔確定為無毒文檔���?����!?br>
12.根據權利要求7所述的方法����,其特征在于����,所述轉化模塊,包括: 第一刪除子模塊�,用于刪除所述宏病毒文檔中的宏信息,所述宏信息包括宏子流和\或腳本流���; 第二刪除子模塊,用于刪除所述宏病毒文檔中的宏標識; 確定子模塊���,用于將所述宏病毒文檔確定為無毒文檔�。
全文摘要
本發(fā)明實施例公開了一種宏病毒查殺的方法和裝置����,所述方法包括首先獲取待查文檔的數據流,其次����,通過判斷獲取的數據流中是否存在宏標識,確定是否進一步搜索宏病毒���,在數據流中存在宏標識的情況下��,判斷所述待查文檔是否為宏病毒文檔����,最后���,將宏病毒文檔轉化成無毒文檔���。本發(fā)明只針對計算機文檔的宏代碼部分進行宏病毒的查殺���,大大提高宏病毒的搜索效率。同時�����,將被感染的計算機文檔中的宏病毒信息刪除���,使得原計算機文檔中的信息被完好保存�����,防止信息的丟失���。
文檔編號G06F21/56GK103246847SQ201310175309
公開日2013年8月14日 申請日期2013年5月13日 優(yōu)先權日2013年5月13日
發(fā)明者崔精兵 申請人:騰訊科技(深圳)有限公司