病毒的識別方法及設備的制作方法【專利摘要】本發(fā)明實施例提供一種病毒的識別方法及設備����。本發(fā)明實施例通過監(jiān)控進程的行為,進而根據所述進程的行為��,獲得與所述進程對應的可執(zhí)行文件的文件名���,以及確定與所述可執(zhí)行文件的文件名相同或相近似的文件名���,使得能夠根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒����,無需依賴文件夾病毒的病毒特征信息,操作簡單����,且不容易出錯,從而提高了病毒識別的效率和可靠性���?!緦@f明】病毒的識別方法及設備【【
技術領域:
】】[0001]本發(fā)明涉及計算機技術���,尤其涉及一種病毒的識別方法及設備�。【【
背景技術:
】】[0002]文件夾病毒�,是一種利用文件夾圖標迷惑用戶,雙擊打開進行復制的病毒����。文件夾病毒會遍歷移動存儲設備的根目錄下的文件夾����,復制自身到移動存儲設備的根目錄下,更名為檢測到的文件夾的文件名�����,修改該文件夾的屬性為不可見�,使用戶在使用移動存儲設備打開其文件夾時運行病毒,以達到復制的目的?��,F有技術中�,利用病毒數據庫��,對掃描的文件進行特征匹配��,若所述匹配成功,識別所述文件為文件夾病毒��。原始的病毒數據庫需要由操作人員逐一獲取每個文件夾病毒�����,對每個文件夾病毒文件進行人工識別和特征提取����,以建立病毒數據庫。[0003]然而���,現有建立病毒數據庫的操作復雜�,且容易出錯��,從而導致了病毒識別的效率和可靠性的降低��?����!尽?br/>發(fā)明內容】】[0004]本發(fā)明的多個方面提供一種病毒的識別方法及設備����,用以提高病毒識別的效率和可靠性����。[0005]本發(fā)明的一方面�����,提供一種病毒的識別方法���,包括:[0006]監(jiān)控進程的行為�����;[0007]根據所述進程的行為,獲得與所述進程對應的可執(zhí)行文件的文件名����;[0008]確定與所述可執(zhí)行文件的文件名相同或相近似的文件名;[0009]根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性�����,識別所述可執(zhí)行文件為文件夾病毒��。[0010]如上所述的方面和任一可能的實現方式���,進一步提供一種實現方式�����,所述根據所述進程的行為�,獲得與所述進程對應的可執(zhí)行文件的文件名,包括:[0011]若所述進程的行為為進程啟動�����,獲得所述進程所訪問的可執(zhí)行文件的文件名��。[0012]如上所述的方面和任一可能的實現方式����,進一步提供一種實現方式,所述根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性�����,識別所述可執(zhí)行文件為文件夾病毒���,包括:[0013]若所述進程的行為為打開所述文件夾���,且所述文件夾的屬性為不可見�����,識別所述可執(zhí)行文件為文件夾病毒����。[0014]如上所述的方面和任一可能的實現方式��,進一步提供一種實現方式��,所述根據所述進程的行為�,獲得與所述進程對應的可執(zhí)行文件的文件名,包括:[0015]若所述進程的行為為創(chuàng)建所述可執(zhí)行文件����,獲得所述可執(zhí)行文件的文件名��。[0016]如上所述的方面和任一可能的實現方式�����,進一步提供一種實現方式����,所述根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性��,識別所述可執(zhí)行文件為文件夾病毒��,包括:[0017]若所述進程的行為為設置所述文件夾的屬性為不可見��,識別所述可執(zhí)行文件為文件夾病毒��。[0018]如上所述的方面和任一可能的實現方式����,進一步提供一種實現方式�,所述根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒之后���,還包括:[0019]根據所述識別的所述文件夾病毒���,獲得所述文件夾病毒的病毒特征信息;[0020]將所述病毒特征信息加入到病毒數據庫中����,以供利用所述病毒數據庫,對掃描的文件進行特征匹配�,若所述匹配成功��,識別所述文件為文件夾病毒�����。[0021]本發(fā)明的一方面��,提供一種病毒的識別設備����,包括:[0022]監(jiān)控單元����,用于監(jiān)控進程的行為;[0023]獲得單元����,用于根據所述進程的行為,獲得與所述進程對應的可執(zhí)行文件的文件名�����;[0024]確定單元���,用于確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�����;[0025]識別單元�����,用于根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性��,識別所述可執(zhí)行文件為文件夾病毒�。[0026]如上所述的方面和任一可能的實現方式���,進一步提供一種實現方式�,所述獲得單元�,具體用于[0027]若所述進程的行為為進程啟動,獲得所述進程所訪問的可執(zhí)行文件的文件名��。[0028]如上所述的方面和任一可能的實現方式�����,進一步提供一種實現方式�,所述識別單元,具體用于[0029]若所述進程的行為為打開所述文件夾��,且所述文件夾的屬性為不可見,識別所述可執(zhí)行文件為文件夾病毒���。[0030]如上所述的方面和任一可能的實現方式�����,進一步提供一種實現方式�����,所述獲得單元�����,具體用于[0031]若所述進程的行為為創(chuàng)建所述可執(zhí)行文件���,獲得所述可執(zhí)行文件的文件名。[0032]如上所述的方面和任一可能的實現方式��,進一步提供一種實現方式����,所述識別單元,具體用于[0033]若所述進程的行為為設置所述文件夾的屬性為不可見���,識別所述可執(zhí)行文件為文件夾病毒����。[0034]如上所述的方面和任一可能的實現方式�,進一步提供一種實現方式,所述設備還包括更新單元�,用于[0035]根據所述識別的所述文件夾病毒,獲得所述文件夾病毒的病毒特征信息���;以及[0036]將所述病毒特征信息加入到病毒數據庫中�����,以供利用所述病毒數據庫���,對掃描的文件進行特征匹配,若所述匹配成功�����,識別所述文件為文件夾病毒�����。[0037]由上述技術方案可知,本發(fā)明實施例通過監(jiān)控進程的行為��,進而根據所述進程的行為���,獲得與所述進程對應的可執(zhí)行文件的文件名����,以及確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�,使得能夠根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒�,無需依賴文件夾病毒的病毒特征信息,操作簡單�����,且不容易出錯�,從而提高了病毒識別的效率和可靠性。[0038]另外��,采用本發(fā)明提供的技術方案��,能夠在進程啟動時���,準確識別出文件夾病毒���,能夠有效提聞病毒識別的效率���,能夠有效提聞系統(tǒng)的安全性能��。[0039]另外��,采用本發(fā)明提供的技術方案�,能夠在進程嘗試復制文件夾病毒時,準確識別出該進程對應的可執(zhí)行文件為文件夾病毒��,能夠有效提高病毒識別的效率����,能夠有效阻止系統(tǒng)中文件夾病毒的復制,從而進一步提高了系統(tǒng)的安全性能��。[0040]另外�,采用本發(fā)明提供的技術方案,能夠自動建立病毒數據庫���,無需操作人員逐一獲取每個文件夾病毒���,對每個文件夾病毒文件進行人工識別和特征提取�����,實時性好���,且正確率聞,能夠有效提聞病毒識別的效率和可罪性�����,從而進一步提聞了系統(tǒng)的安全性能�����?�!尽緦@綀D】【附圖說明】】[0041]為了更清楚地說明本發(fā)明實施例中的技術方案����,下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹,顯而易見地��,下面描述中的附圖是本發(fā)明的一些實施例����,對于本領域普通技術人員來講����,在不付出創(chuàng)造性勞動性的前提下�,還可以根據這些附圖獲得其他的附圖。[0042]圖1為本發(fā)明一實施例提供的病毒的識別方法的流程示意圖�����;[0043]圖2為本發(fā)明另一實施例提供的病毒的識別設備的結構示意圖�����;[0044]圖3為本發(fā)明另一實施例提供的病毒的識別設備的結構示意圖���。【【具體實施方式】】[0045]為使本發(fā)明實施例的目的����、技術方案和優(yōu)點更加清楚,下面將結合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術方案進行清楚、完整地描述�����,顯然�,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例����,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍��。[0046]另外����,本文中術語“和/或”,僅僅是一種描述關聯對象的關聯關系���,表示可以存在三種關系�����,例如�����,A和/或B����,可以表示:單獨存在A,同時存在A和B�,單獨存在B這三種情況。另外����,本文中字符“/”,一般表示前后關聯對象是一種“或”的關系�����。[0047]圖1為本發(fā)明一實施例提供的病毒的識別方法的流程示意圖����,如圖1所示�。[0048]101、監(jiān)控進程的行為�。[0049]102、根據所述進程的行為���,獲得與所述進程對應的可執(zhí)行文件的文件名�����。[0050]可執(zhí)行文件(executablefile)�����,是可移植可執(zhí)行(PE)文件格式的文件��,它可以加載到內存中��,并由操作系統(tǒng)加載程序執(zhí)行����。可執(zhí)行文件的擴展名可以包括但不限于.exe,.sys和.scr���,等�。[0051]103�����、確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�。[0052]104����、根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性���,識別所述可執(zhí)行文件為文件夾病毒��。[0053]其中���,病毒,又稱為計算機病毒��,可以包括但不限于木馬�����、后門�����、局域網蠕蟲��、郵件螺蟲�����、間謀軟件��、感染型病毒或Rootkits/Bootkits�。[0054]需要說明的是,101~104的執(zhí)行主體可以是殺毒引擎����,可以位于本地的客戶端中,以進行離線操作來清除病毒�����,或者還可以位于網絡側的服務器中����,以進行在線操作來清除病毒,本實施例對此不進行限定����。[0055]可以理解的是,所述客戶端可以是安裝在終端上的應用程序��,或者還可以是瀏覽器的一個網頁����,只要能夠實現病毒的清除��,以提供安全的系統(tǒng)環(huán)境的客觀存在形式都可以��,本實施例對此不進行限定�����。[0056]這樣����,通過監(jiān)控進程的行為�����,進而根據所述進程的行為����,獲得與所述進程對應的可執(zhí)行文件的文件名,以及確定與所述可執(zhí)行文件的文件名相同或相近似的文件名���,使得能夠根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性����,識別所述可執(zhí)行文件為文件夾病毒���,無需依賴文件夾病毒的病毒特征信息����,操作簡單����,且不容易出錯,從而提高了病毒識別的效率和可靠性��。[0057]一般來說�����,文件的完整命名包括文件名和擴展名�。可執(zhí)行文件的擴展名可以包括但不限于.eXe����、.SyS和.scr,等�����。文件夾則沒有擴展名。在102中��,所獲得的可執(zhí)行文件的文件名就是將擴展名截斷之后���,獲得的��。[0058]一般來說����,文件夾病毒會遍歷移動存儲設備的根目錄下的文件夾�,復制自身到移動存儲設備的根目錄下,更名為檢測到的文件夾的文件名���,修改該文件夾的屬性為不可見���,使用戶在使用移動存儲設備打開其文件夾時運行病毒,以達到復制的目的��。但是�����,有些文件夾病毒��,復制自身到移動存儲設備的根目錄下之后,不是直接更名為檢測到的文件夾的文件名���,而是在檢測到的文件夾的文件名中增加一些不可見或較難發(fā)現的符號。因此�,需要確定與所述可執(zhí)行文件的文件名相同或相近似的文件名,才能準確識別出文件夾病毒可能復制的文件夾的文件名��。[0059]可選地�����,在本實施例的一個可能的實現方式中���,在103中����,具體可以通過計算文件名的相近似度���,以確定與所述可執(zhí)行文件的文件名相同或相近似的文件名��。例如���,相似度大于或等于預先設置的閾值,則可以確定兩個文件名相同或相近似。具體地��,可以利用現有技術中的文本相近似度算法����,計算文件名的相近似度,詳細描述可以參見現有技術中的相關描述�,此處不再贅述。[0060]可選地����,在本實施例的一個可能的實現方式中,在102中�,若所述進程的行為為進程啟動,獲得所述進程所訪問的可執(zhí)行文件的文件名���。具體地�����,可以利用快照方法�,遍歷系統(tǒng)中的進程�,以獲得每個進程的進程信息。例如��,進程的映像名稱、進程的狀態(tài)和進程的行為���,等����;然后��,根據行為為進程啟動的進程�����,獲得進程的映像名稱���,進而刪除映像名稱的擴展名,以獲得可執(zhí)行文件的文件名�。[0061]相應地,在這種可能的實現方式中����,在104中,若所述進程的行為為打開所述文件夾���,且所述文件夾的屬性為不可見����,可以識別所述可執(zhí)行文件為文件夾病毒。具體地�����,可以判斷是否存在文件名與可執(zhí)行文件相同或相近似的文件夾��,如果不存在文件名與可執(zhí)行文件相同或相近似的文件夾����,則可以結束操作,說明該可執(zhí)行文件不是文件夾病毒����。如果存在文件名與可執(zhí)行文件相同或相近似的文件夾,則可以繼續(xù)判斷所述文件夾的屬性�。例如,可以對文件夾執(zhí)行取屬性操作�,判斷返回值是否包含FILE_ATTRIBUTE_DIRECTORY位,如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位��,則可以結束操作�����,說明該可執(zhí)行文件不是文件夾病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位�,說明為文件夾,則進一步判斷返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位�,如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位,則可以結束操作����,說明該可執(zhí)行文件不是文件夾病毒。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位�����,說明所述文件夾的屬性為不可見���,則進入事件等待狀態(tài)。在事件等待狀態(tài)中�����,等待事件通知�����。該事件通知用以通知啟動的進程對所述文件夾執(zhí)行打開操作�����,以打開所述文件夾。若接收到事件通知���,則可以識別所述可執(zhí)行文件為文件夾病毒�。進一步地����,還可以執(zhí)行病毒告警操作、病毒清除操作���,等�。病毒清除操作�����,可以為修改所述文件夾的屬性為可見��,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件���。[0062]這樣�,采用本發(fā)明提供的技術方案�����,能夠在進程啟動時,準確識別出文件夾病毒�����,能夠有效提聞病毒識別的效率���,能夠有效提聞系統(tǒng)的安全性能�����。[0063]可選地�����,在本實施例的一個可能的實現方式中,在102中��,若所述進程的行為為創(chuàng)建所述可執(zhí)行文件����,獲得所述可執(zhí)行文件的文件名。具體地��,可以利用快照方法,遍歷系統(tǒng)中的進程��,以獲得每個進程的進程信息�����。例如�����,進程的映像名稱���、進程的狀態(tài)和進程的行為�����,等���;然后,根據行為為創(chuàng)建可執(zhí)行文件的進程���,獲得進程的映像名稱�����,進而獲得所創(chuàng)建的可執(zhí)行文件的文件名��。[0064]相應地���,在這種可能的實現方式中�,在104中���,若所述進程的行為為設置所述文件夾的屬性為不可見����,可以識別所述可執(zhí)行文件為文件夾病毒��。進一步地�,還可以執(zhí)行病毒告警操作、病毒清除操作���,等。病毒清除操作�����,可以為修改所述文件夾的屬性為可見,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件��。[0065]這樣���,采用本發(fā)明提供的技術方案����,能夠在進程嘗試復制文件夾病毒時����,準確識別出該進程對應的可執(zhí)行文件為文件夾病毒,能夠有效提高病毒識別的效率���,能夠有效阻止系統(tǒng)中文件夾病毒的復制�����,從而進一步提高了系統(tǒng)的安全性能���。[0066]可選地,在本實施例的一個可能的實現方式中���,在104之后��,還可以進一步根據所述識別的所述文件夾病毒����,獲得所述文件夾病毒的病毒特征信息。病毒特征信息的獲得方法可以參見現有技術中的微特征計算方法���,詳細描述可以參見現有技術中的相關內容����,此處不再贅述�����。然后����,將所述病毒特征信息加入到病毒數據庫中,以供利用所述病毒數據庫�����,對掃描的文件進行特征匹配���,若所述匹配成功��,識別所述文件為文件夾病毒�。[0067]其中�,所述特征信息可以包括動態(tài)特征和/或靜態(tài)特征。動態(tài)特征可以理解為基于病毒行為作為病毒的判斷依據����,靜態(tài)特征可以理解為基于病毒的特征碼作為判斷病毒的依據。[0068]具體地�����,所述病毒特征庫中存儲了與病毒特征信息的相關信息���,包括但不限于病毒長度信息����、病毒特征信息�、病毒特征信息的標識(ID),本發(fā)明對此不進行特別限定���。[0069]這樣�����,采用本發(fā)明提供的技術方案�,能夠自動建立病毒數據庫,無需操作人員逐一獲取每個文件夾病毒����,對每個文件夾病毒文件進行人工識別和特征提取,實時性好�����,且正確率聞�����,能夠有效提聞病毒識別的效率和可罪性���,從而進一步提聞了系統(tǒng)的安全性能�。[0070]本實施例中����,通過監(jiān)控進程的行為,進而根據所述進程的行為����,獲得與所述進程對應的可執(zhí)行文件的文件名�����,以及確定與所述可執(zhí)行文件的文件名相同或相近似的文件名,使得能夠根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性�����,識別所述可執(zhí)行文件為文件夾病毒����,無需依賴文件夾病毒的病毒特征信息,操作簡單�,且不容易出錯,從而提高了病毒識別的效率和可靠性�。[0071]另外,采用本發(fā)明提供的技術方案���,能夠在進程啟動時��,準確識別出文件夾病毒��,能夠有效提聞病毒識別的效率��,能夠有效提聞系統(tǒng)的安全性能�����。[0072]另外����,采用本發(fā)明提供的技術方案,能夠在進程嘗試復制文件夾病毒時��,準確識別出該進程對應的可執(zhí)行文件為文件夾病毒��,能夠有效提高病毒識別的效率��,能夠有效阻止系統(tǒng)中文件夾病毒的復制����,從而進一步提高了系統(tǒng)的安全性能。[0073]另外�����,采用本發(fā)明提供的技術方案�����,能夠自動建立病毒數據庫,無需操作人員逐一獲取每個文件夾病毒����,對每個文件夾病毒文件進行人工識別和特征提取,實時性好���,且正確率聞�,能夠有效提聞病毒識別的效率和可罪性�����,從而進一步提聞了系統(tǒng)的安全性能����。[0074]需要說明的是����,對于前述的各方法實施例,為了簡單描述�����,故將其都表述為一系列的動作組合�,但是本領域技術人員應該知悉,本發(fā)明并不受所描述的動作順序的限制�,因為依據本發(fā)明���,某些步驟可以采用其他順序或者同時進行。其次�����,本領域技術人員也應該知悉����,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本發(fā)明所必須的����。[0075]在上述實施例中,對各個實施例的描述都各有側重�����,某個實施例中沒有詳述的部分�����,可以參見其他實施例的相關描述����。[0076]圖2為本發(fā)明另一實施例提供的病毒的識別設備的結構示意圖����,如圖2所示�����。本實施例的病毒的識別設備可以包括監(jiān)控單元21����、獲得單元22、確定單元23和識別單元24�����。其中����,監(jiān)控單元21�����,用于監(jiān)控進程的行為��;獲得單元22,用于根據所述進程的行為����,獲得與所述進程對應的可執(zhí)行文件的文件名;確定單元23�,用于確定與所述可執(zhí)行文件的文件名相同或相近似的文件名;識別單元24�����,用于根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性�,識別所述可執(zhí)行文件為文件夾病毒。[0077]可執(zhí)行文件(executablefile)�����,是可移植可執(zhí)行(PE)文件格式的文件���,它可以加載到內存中����,并由操作系統(tǒng)加載程序執(zhí)行�����。可執(zhí)行文件的擴展名可以包括但不限于.exe,.sys和.scr��,等����。[0078]其中,病毒��,又稱為計算機病毒����,可以包括但不限于木馬、后門��、局域網蠕蟲�����、郵件螺蟲�����、間謀軟件���、感染型病毒或Rootkits/Bootkits�����。[0079]需要說明的是�����,本實施例提供的病毒的識別設備可以是殺毒引擎�����,可以位于本地的客戶端中�,以進行離線操作來清除病毒���,或者還可以位于網絡側的服務器中��,以進行在線操作來清除病毒���,本實施例對此不進行限定。[0080]可以理解的是�����,所述客戶端可以是安裝在終端上的應用程序����,或者還可以是瀏覽器的一個網頁��,只要能夠實現病毒的清除���,以提供安全的系統(tǒng)環(huán)境的客觀存在形式都可以,本實施例對此不進行限定�����。[0081]這樣����,通過監(jiān)控單元監(jiān)控進程的行為,進而由獲得單元根據所述進程的行為�����,獲得與所述進程對應的可執(zhí)行文件的文件名���,以及由確定單元確定與所述可執(zhí)行文件的文件名相同或相近似的文件名��,使得識別單元能夠根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒�,無需依賴文件夾病毒的病毒特征信息�,操作簡單�,且不容易出錯,從而提高了病毒識別的效率和可靠性���。[0082]一般來說�,文件的完整命名包括文件名和擴展名���?�?蓤?zhí)行文件的擴展名可以包括但不限于.eXe���、.SyS和.scr,等����。文件夾則沒有擴展名。所述獲得單元22所獲得的可執(zhí)行文件的文件名就是將擴展名截斷之后�,獲得的。[0083]一般來說���,文件夾病毒會遍歷移動存儲設備的根目錄下的文件夾����,復制自身到移動存儲設備的根目錄下,更名為檢測到的文件夾的文件名��,修改該文件夾的屬性為不可見��,使用戶在使用移動存儲設備打開其文件夾時運行病毒���,以達到復制的目的����。但是��,有些文件夾病毒�,復制自身到移動存儲設備的根目錄下之后,不是直接更名為檢測到的文件夾的文件名�,而是在檢測到的文件夾的文件名中增加一些不可見或較難發(fā)現的符號。因此�����,需要所述確定單元23確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�,才能準確識別出文件夾病毒可能復制的文件夾的文件名。[0084]可選地��,在本實施例的一個可能的實現方式中,所述確定單元23具體可以通過計算文件名的相近似度��,以確定與所述可執(zhí)行文件的文件名相同或相近似的文件名��。例如��,相似度大于或等于預先設置的閾值�,所述確定單元23則可以確定兩個文件名相同或相近似����。具體地,所述確定單元23可以利用現有技術中的文本相近似度算法���,計算文件名的相近似度�����,詳細描述可以參見現有技術中的相關描述���,此處不再贅述。[0085]可選地����,在本實施例的一個可能的實現方式中,所述獲得單元22,具體可以用于若所述進程的行為為進程啟動��,獲得所述進程所訪問的可執(zhí)行文件的文件名��。具體地��,所述獲得單元22可以利用快照方法����,遍歷系統(tǒng)中的進程,以獲得每個進程的進程信息���。例如���,進程的映像名稱、進程的狀態(tài)和進程的行為���,等����;然后���,所述獲得單元22則可以根據行為為進程啟動的進程����,獲得進程的映像名稱,進而刪除映像名稱的擴展名���,以獲得可執(zhí)行文件的文件名���。[0086]相應地���,在這種可能的實現方式中����,所述識別單元24��,具體可以用于若所述進程的行為為打開所述文件夾����,且所述文件夾的屬性為不可見,識別所述可執(zhí)行文件為文件夾病毒���。具體地����,所述識別單元24可以判斷是否存在文件名與可執(zhí)行文件相同或相近似的文件夾,如果不存在文件名與可執(zhí)行文件相同或相近似的文件夾���,所述識別單元24則可以結束操作���,說明該可執(zhí)行文件不是文件夾病毒。如果存在文件名與可執(zhí)行文件相同或相近似的文件夾�����,所述識別單元24則可以繼續(xù)判斷所述文件夾的屬性��。例如��,所述識別單元24可以對文件夾執(zhí)行取屬性操作�,判斷返回值是否包含FILE_ATTRIBUTE_DIRECTORY位,如果返回值不包含FILE_ATTRIBUTE_DIRECTORY位�����,所述識別單元24則可以結束操作����,說明該可執(zhí)行文件不是文件夾病毒。如果返回值包含FILE_ATTRIBUTE_DIRECTORY位����,說明為文件夾����,所述識別單元24則進一步判斷返回值是否包含FILE_ATTRIBUTE_HIDDEN位或FILE_ATTRIBUTE_SYSTEM位����,如果返回值不包含FILE_ATTRIBUTE_HIDDEN位和FILE_ATTRIBUTE_SYSTEM位,所述識別單元24則可以結束操作�����,說明該可執(zhí)行文件不是文件夾病毒�����。如果返回值包含FILE_ATTRIBUTE_HIDDEN位和/或FILE_ATTRIBUTE_SYSTEM位��,說明所述文件夾的屬性為不可見����,所述識別單元24則進入事件等待狀態(tài)�。所述識別單元24在事件等待狀態(tài)中,等待事件通知��。該事件通知用以通知啟動的進程對所述文件夾執(zhí)行打開操作,以打開所述文件夾����。所述識別單元24若接收到事件通知,則可以識別所述可執(zhí)行文件為文件夾病毒�����。進一步地��,所述識別單元24還可以執(zhí)行病毒告警操作����、病毒清除操作,等�����。病毒清除操作�,可以為修改所述文件夾的屬性為可見,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件�����。[0087]這樣�����,采用本發(fā)明提供的技術方案,能夠在進程啟動時�����,準確識別出文件夾病毒����,能夠有效提聞病毒識別的效率,能夠有效提聞系統(tǒng)的安全性能���。[0088]可選地��,在本實施例的一個可能的實現方式中,所述獲得單元22�����,具體可以用于若所述進程的行為為創(chuàng)建所述可執(zhí)行文件���,獲得所述可執(zhí)行文件的文件名�����。具體地���,所述獲得單元22可以利用快照方法���,遍歷系統(tǒng)中的進程,以獲得每個進程的進程信息���。例如�,進程的映像名稱��、進程的狀態(tài)和進程的行為���,等����;然后�,所述獲得單元22則可以根據行為為創(chuàng)建可執(zhí)行文件的進程,獲得進程的映像名稱�,進而獲得所創(chuàng)建的可執(zhí)行文件的文件名。[0089]相應地����,在這種可能的實現方式中�����,所述識別單元24�,具體可以用于若所述進程的行為為設置所述文件夾的屬性為不可見��,識別所述可執(zhí)行文件為文件夾病毒�。進一步地,所述識別單元24還可以執(zhí)行病毒告警操作�、病毒清除操作,等�。病毒清除操作,可以為修改所述文件夾的屬性為可見��,并刪除所識別出的文件夾病毒即所述可執(zhí)行文件����。[0090]這樣,采用本發(fā)明提供的技術方案��,能夠在進程嘗試復制文件夾病毒時����,準確識別出該進程對應的可執(zhí)行文件為文件夾病毒�����,能夠有效提高病毒識別的效率,能夠有效阻止系統(tǒng)中文件夾病毒的復制�����,從而進一步提高了系統(tǒng)的安全性能����。[0091]可選地,在本實施例的一個可能的實現方式中�,如圖3所示,本實施例提供的病毒的識別設備還可以進一步包括更新單元31����,用于根據所述識別的所述文件夾病毒,獲得所述文件夾病毒的病毒特征信息��;以及將所述病毒特征信息加入到病毒數據庫中���,以供利用所述病毒數據庫����,對掃描的文件進行特征匹配,若所述匹配成功�,識別所述文件為文件夾病毒。[0092]其中��,所述更新單元31獲得病毒特征信息的方法可以參見現有技術中的微特征計算方法���,詳細描述可以參見現有技術中的相關內容�����,此處不再贅述���。[0093]其中,所述特征信息可以包括動態(tài)特征和/或靜態(tài)特征�。動態(tài)特征可以理解為基于病毒行為作為病毒的判斷依據,靜態(tài)特征可以理解為基于病毒的特征碼作為判斷病毒的依據���。[0094]具體地�����,所述病毒特征庫中存儲了與病毒特征信息的相關信息����,包括但不限于病毒長度信息����、病毒特征信息、病毒特征信息的標識(ID)���,本發(fā)明對此不進行特別限定�。[0095]這樣����,采用本發(fā)明提供的技術方案,能夠自動建立病毒數據庫�����,無需操作人員逐一獲取每個文件夾病毒�,對每個文件夾病毒文件進行人工識別和特征提取,實時性好��,且正確率聞�����,能夠有效提聞病毒識別的效率和可罪性����,從而進一步提聞了系統(tǒng)的安全性能���。[0096]本實施例中,通過監(jiān)控單元監(jiān)控進程的行為�,進而由獲得單元根據所述進程的行為,獲得與所述進程對應的可執(zhí)行文件的文件名���,以及由確定單元確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�,使得識別單元能夠根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性��,識別所述可執(zhí)行文件為文件夾病毒�,無需依賴文件夾病毒的病毒特征信息,操作簡單���,且不容易出錯���,從而提高了病毒識別的效率和可靠性。[0097]另外�����,采用本發(fā)明提供的技術方案�����,能夠在進程啟動時,準確識別出文件夾病毒�����,能夠有效提聞病毒識別的效率����,能夠有效提聞系統(tǒng)的安全性能����。[0098]另外,采用本發(fā)明提供的技術方案����,能夠在進程嘗試復制文件夾病毒時,準確識別出該進程對應的可執(zhí)行文件為文件夾病毒�,能夠有效提高病毒識別的效率,能夠有效阻止系統(tǒng)中文件夾病毒的復制�����,從而進一步提高了系統(tǒng)的安全性能��。[0099]另外,采用本發(fā)明提供的技術方案�����,能夠自動建立病毒數據庫���,無需操作人員逐一獲取每個文件夾病毒��,對每個文件夾病毒文件進行人工識別和特征提取����,實時性好����,且正確率聞,能夠有效提聞病毒識別的效率和可罪性����,從而進一步提聞了系統(tǒng)的安全性能。[0100]可以理解的是���,本發(fā)明提供的技術方案����,可以應用在存儲設備中,尤其是移動存儲設備中��。[0101]所屬領域的技術人員可以清楚地了解到����,為描述的方便和簡潔,上述描述的系統(tǒng)�����,設備和單元的具體工作過程�,可以參考前述方法實施例中的對應過程��,在此不再贅述�。[0102]在本發(fā)明所提供的幾個實施例中,應該理解到����,所揭露的系統(tǒng),設備和方法��,可以通過其它的方式實現�����。例如,以上所描述的設備實施例僅僅是示意性的���,例如���,所述單元的劃分,僅僅為一種邏輯功能劃分�����,實際實現時可以有另外的劃分方式���,例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng)����,或一些特征可以忽略���,或不執(zhí)行��。另一點�����,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口�,設備或單元的間接耦合或通信連接,可以是電性��,機械或其它的形式��。[0103]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以不是物理單元����,即可以位于一個地方,或者也可以分布到多個網絡單元上���。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的��。[0104]另外�����,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中����,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中�����。上述集成的單元既可以采用硬件的形式實現,也可以采用硬件加軟件功能單元的形式實現���。[0105]上述以軟件功能單元的形式實現的集成的單元���,可以存儲在一個計算機可讀取存儲介質中。上述軟件功能單元存儲在一個存儲介質中���,包括若干指令用以使得一臺計算機設備(可以是個人計算機�����,服務器���,或者網絡設備等)或處理器(processor)執(zhí)行本發(fā)明各個實施例所述方法的部分步驟。而前述的存儲介質包括:U盤��、移動硬盤�����、只讀存儲器(Read-OnlyMemory,ROM)、隨機存取存儲器(RandomAccessMemory,RAM)���、磁碟或者光盤等各種可以存儲程序代碼的介質����。[0106]最后應說明的是:以上實施例僅用以說明本發(fā)明的技術方案����,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明����,本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換�;而這些修改或者替換,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍����?����!緳嗬蟆?.一種病毒的識別方法����,其特征在于��,包括:監(jiān)控進程的行為����;根據所述進程的行為�,獲得與所述進程對應的可執(zhí)行文件的文件名;確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�����;根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性�����,識別所述可執(zhí)行文件為文件夾病毒���。2.根據權利要求1所述的方法�����,其特征在于�,所述根據所述進程的行為��,獲得與所述進程對應的可執(zhí)行文件的文件名,包括:若所述進程的行為為進程啟動�����,獲得所述進程所訪問的可執(zhí)行文件的文件名��。3.根據權利要求2所述的方法��,其特征在于�����,所述根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性����,識別所述可執(zhí)行文件為文件夾病毒,包括:若所述進程的行為為打開所述文件夾���,且所述文件夾的屬性為不可見�����,識別所述可執(zhí)行文件為文件夾病毒。4.根據權利要求1所述的方法�,其特征在于��,所述根據所述進程的行為����,獲得與所述進程對應的可執(zhí)行文件的文件名�,包括:若所述進程的行為為創(chuàng)建所述可執(zhí)行文件,獲得所述可執(zhí)行文件的文件名��。5.根據權利要求4所述的方法���,其特征在于���,所述根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性,識別所述可執(zhí)行文件為文件夾病毒�,包括:若所述進程的行為為設置所述文件夾的屬性為不可見,識別所述可執(zhí)行文件為文件夾病毒����。6.根據權利要求1~5任一權利要求所述的方法,其特征在于�����,所述根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性��,識別所述可執(zhí)行文件為文件夾病毒之后,還包括:根據所述識別的所述文件夾病毒���,獲得所述文件夾病毒的病毒特征信息���;將所述病毒特征信息加入到病毒數據庫中,以供利用所述病毒數據庫���,對掃描的文件進行特征匹配���,若所述匹配成功,識別所述文件為文件夾病毒�����。7.一種病毒的識別設備��,其特征在于����,包括:監(jiān)控單元,用于監(jiān)控進程的行為���;獲得單元��,用于根據所述進程的行為�,獲得與所述進程對應的可執(zhí)行文件的文件名���;確定單元�,用于確定與所述可執(zhí)行文件的文件名相同或相近似的文件名�����;識別單元�����,用于根據所述進程的行為和根據所述相同或相近似的文件名所對應的文件夾的屬性���,識別所述可執(zhí)行文件為文件夾病毒����。8.根據權利要求7所述的設備�,其特征在于,所述獲得單元��,具體用于若所述進程的行為為進程啟動���,獲得所述進程所訪問的可執(zhí)行文件的文件名���。9.根據權利要求8所述的設備�,其特征在于�,所述識別單元,具體用于若所述進程的行為為打開所述文件夾�����,且所述文件夾的屬性為不可見����,識別所述可執(zhí)行文件為文件夾病毒。10.根據權利要求7所述的設備�,其特征在于,所述獲得單元���,具體用于若所述進程的行為為創(chuàng)建所述可執(zhí)行文件��,獲得所述可執(zhí)行文件的文件名��。11.根據權利要求10所述的設備���,其特征在于��,所述識別單元����,具體用于若所述進程的行為為設置所述文件夾的屬性為不可見����,識別所述可執(zhí)行文件為文件夾病毒�����。12.根據權利要求7~11任一權利要求所述的設備���,其特征在于�����,所述設備還包括更新單元���,用于根據所述識別的所述文件夾病毒,獲得所述文件夾病毒的病毒特征信息��;以及將所述病毒特征信息加入到病毒數據庫中,以供利用所述病毒數據庫����,對掃描的文件進行特征匹配,若所述匹配成功�,識別所述文件為文件夾病毒?���!疚臋n編號】G06F17/30GK103699838SQ201310637279【公開日】2014年4月2日申請日期:2013年12月2日優(yōu)先權日:2013年12月2日【發(fā)明者】郭明強,陳高和,董志強申請人:百度國際科技(深圳)有限公司