本發(fā)明涉及計算機技術(shù)領(lǐng)域，尤其涉及一種針對文件包的病毒處理方法及裝置。

背景技術(shù)：

傳統(tǒng)的病毒查殺方式主要對某個目標文件中的惡意代碼相關(guān)的特征進行檢測比對，與惡意代碼無關(guān)特征不進行處理。

現(xiàn)有技術(shù)需要確定文件的指定代碼，實現(xiàn)方式較為復雜。并且，當指定代碼發(fā)生變化時，則不能夠?qū)崿F(xiàn)文件的匹配查找，例如，在病毒產(chǎn)生變種，惡意代碼產(chǎn)生變異時，則無法實現(xiàn)對這類病毒的查殺。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供一種針對文件包的病毒處理方法及裝置，可簡單、快捷地完成文件包中關(guān)于目標文件的病毒查殺處理。

一方面，本發(fā)明實施例提供了一種針對文件包的病毒處理方法，包括：調(diào)用終端中的病毒搜索引擎對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征；根據(jù)所述終端中預置的病毒庫中的特征信息對所述確定的文件路徑和/或完整性標識進行檢測比對，在檢測比對的結(jié)果為所述文件特征滿足匹配條件時，則確定所述目標文件為病毒文件；按照病毒查殺規(guī)則對確定的所述病毒文件進行查殺處理；其中，對所述確定的文件特征進行檢測比對至少包括：對所述文件特征中包括的所述目標文件的文件路徑和/或所述目標文件的完整性標識進行檢測比對。

另一方面，本發(fā)明實施例相應(yīng)地提供了一種針對文件包的病毒處理裝置，包括：掃描模塊，用于調(diào)用終端中的病毒搜索引擎對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征；確定模塊，用于根據(jù)所述終端中預置的病毒庫中的特征信息對所述確定的文件路徑和/或完整性標識進行檢測比對，在檢測比對的結(jié)果為所述文件特征滿足匹配條件時，則確定所述目標文件為病毒文件；處理模塊，用于按照病毒查殺規(guī)則對確定的所述病毒文件進行查殺處理；其中，所述確定模塊在用于對所述確定的文件特征進行檢測比對時，具體用于對所述文件特征中包括的所述目標文件的文件路徑和/或所述目標文件的完整性標識進行檢測比對。

本發(fā)明實施例通過將文件包中目標文件的文件路徑或者SHA1等完整性標識作為匹配查找的文件特征來進行查找匹配，當滿足條件時，即可認為該目標文件為病毒文件，即可進行后續(xù)的對該目標文件的病毒查殺等處理，實現(xiàn)方式簡便、快捷，可在一定程度上提升病毒的查殺率，并提升了變種樣本查殺率，較好地降低了病毒誤報。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明實施例的一種針對文件包的病毒處理方法的流程示意圖；

圖2是本發(fā)明實施例的另一種針對文件包的病毒處理方法的流程示意圖；

圖3是本發(fā)明實施例的關(guān)于是否滿足匹配條件的判斷方法流程示意圖；

圖4是本發(fā)明實施例的一種針對文件包的病毒處理裝置的結(jié)構(gòu)組成示意圖；

圖5是本發(fā)明實施例的一種智能終端的結(jié)構(gòu)組成示意圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

在對APK(AndroidPackage，安卓安裝包)等文件包進行病毒查殺的場景中，需要在該APK包中進行檢測比對以確定該APK包中是否存在病毒文件。在本發(fā)明實施例中，具體可以基于目標文件的文件路徑和/或諸如SHA1(Secure Hash Algorithm，安全哈希算法)等完整性標識來對文件包中的目標文件進行匹配確定，以便于根據(jù)匹配確定的結(jié)果完成對終端中某個文件包的病毒查殺處理。

本發(fā)明實施例中，在對文件包中的某個目標文件進行匹配時，具體的匹配檢測方式至少包括：判斷目標文件的文件特征是否滿足預置的匹配條件，具體可以為：判斷文件包中目標文件的文件路徑是否與病毒庫中記錄的路徑信息相同或相對應(yīng)；或者判斷所述目標文件的完整性標識與病毒庫中記錄的完整性特征信息是否相同。

可以同時或者先后對目標文件的文件路徑、目標文件的完整性標識進行匹配，只有當所述目標文件的文件路徑和完整性標識都與病毒庫中的相關(guān)信息之間的關(guān)系滿足匹配條件后，才認為所述目標文件為病毒文件。在本發(fā)明實施例的基于文件路徑、完整性標識進行的文件匹配的基礎(chǔ)上，還可以增加其他的特征匹配方式，例如目標文件的消息摘要標識如MD5等特征進行匹配。其中，所述完整性標識可以為所述目標文件的SHA1值。

具體的請參見圖1，是本發(fā)明實施例的一種針對文件包的病毒處理方法的流程示意圖，本發(fā)明實施例的所述方法可以應(yīng)用在智能手機、平板電腦、智能可穿戴設(shè)備等智能終端中，具體可以由終端中的處理器來執(zhí)行。本發(fā)明實施例的所述方法包括如下步驟。

S101：調(diào)用終端中的病毒搜索引擎對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征。所述終端中存儲的文件包包括用戶下載的應(yīng)用安裝包，例如，文件包為在安卓系統(tǒng)中的APK包。所述目標文件的文件特征至少包括該目標文件在文件包中記錄的文件路徑等特征。

對于終端中存儲的文件包，可以先將該文件包解壓縮到內(nèi)存當中，然后根據(jù)文件包中各個具體文件在內(nèi)存中的存儲位置確定出各個具體文件的文件路徑等特征。例如，針對APK包，在進行特征掃描的過程中，可以首先識別該文件包的格式是否為指定的文件格式，例如是否為APK文件格式，在確定為APK文件格式的文件包后，將APK包內(nèi)的所有文件解壓到內(nèi)存當中，并將其中的每一個文件作為目標文件，根據(jù)該文件包中每個目標文件在內(nèi)存中的路徑來確定目標文件的文件路徑。

另外，在其他實施例中，文件包中還可以預先配置一個目錄文件用于記錄該文件包中各個目標文件的文件路徑，當然，該目錄文件還可以用于保存例如SHA1等文件特征。例如，在APK包中，預先配置有META-INF(在安卓系統(tǒng)中的一個信息包)目錄，會保存著MANIFEST.MF(在安卓系統(tǒng)中的一個文件清單列表)文件，在此文件中，會保存此APK文件包內(nèi)所有文件的文件路徑，并保存了SHA1值。因此，只需要解析MANIFEST.MF文件，即可確定出APK文件包中目標文件的文件特征。

S102：根據(jù)所述終端中預置的病毒庫中的特征信息對所述確定的文件特征進行檢測比對，在檢測比對的結(jié)果為所述文件特征滿足匹配條件時，則確定所述目標文件為病毒文件。在本發(fā)明實施例中，對所述確定的文件特征進行檢測比對至少包括：對所述文件特征中包括的所述目標文件的文件路徑和/或所述目標文件的完整性標識進行檢測比對。

預先在殺毒應(yīng)用中設(shè)置一個病毒庫，該病毒庫中配置了各種已知病毒文件的特征信息，病毒庫中的特征信息為已知病毒文件的文件路徑、和/或完整性標識等信息?？梢灶A先收集各種已知病毒文件的路徑特征、SHA1等信息并存儲到所述病毒庫中，以便于在所述S102中進行檢測比對。

當確定的所述文件特征包括所述目標文件的文件路徑時，對所述文件特征中包括的所述目標文件的文件路徑進行檢測比對，包括：檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配；若匹配，則檢測比對的結(jié)果為所述文件特征滿足匹配條件；其中，所述檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配，包括：判斷所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否相同；或者，判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。

進一步具體地，所述文件特征中可以包括所述目標文件的多個子文件的文件路徑，所述對文件特征中包括的所述目標文件的文件路徑進行檢測比對，具體包括：分別判斷所述目標文件的各個子文件的文件路徑是否與終端中預置的病毒庫中記錄的路徑信息相同；或者分別判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。例如，某個已知的病毒文件中包括了幾個子文件(包括圖片JPG文件和超文本標記語言XML文件)，其文件路徑如下：

res/drawable/wormhole.jpg；

res/drawable/abc.xml；

res/layout/abc_action_menu_layout.xml；

在所述病毒庫中進行路徑信息的添加(可以由人工添加的方式添加到病毒庫中)時，可以任意選其中1條或N條作為特征(N＝2或3)，具體可以同時將各個子文件的上述路徑即：res/drawable/wormhole.jpg；res/drawable/abc.xml；res/layout/abc_action_menu_layout.xml均作為路徑信息添加到病毒庫中。那么后續(xù)在進行比對時，如果進行病毒查殺處理的所述文件包中某個目標文件的多個子文件的文件路徑與病毒庫中添加的上述三個路徑信息均相同，則可以認為所述目標文件為病毒文件。

而當確定的所述文件特征包括所述目標文件的完整性標識時，對所述文件特征中包括的所述目標文件的完整性標識進行檢測比對，包括：檢測所述目標文件的完整性標識與所述病毒庫中記錄的完整性特征信息是否相同；若相同，則檢測比對的結(jié)果為所述文件特征滿足匹配條件。

S103：按照病毒查殺規(guī)則對確定的所述病毒文件進行查殺處理。

具體的，在病毒庫中保存了各種已知病毒文件在文件包中記錄的路徑信息、以及SHA1等文件特征。在對終端中下載的APK包進行查殺時，搜索引擎對該APK包進行掃描，將該APK包中的各個文件分別作為目標文件，掃描得到各目標文件的文件路徑和SHA1值。并判斷在所述病毒庫中已經(jīng)保存的病毒文件的文件路徑和SHA1值等是否與某個目標文件的文件路徑和SHA1值等對應(yīng)相同，若是，則確定所述目標文件為病毒文件，該病毒文件需要進行查殺處理。查殺處理包括刪除APK包中的該病毒文件，并向用戶發(fā)出存在病毒的提示；或者提示用戶是否進行查殺刪除等處理。

本發(fā)明實施例通過將文件包中目標文件的文件路徑或者SHA1等完整性標識作為匹配查找的文件特征來進行查找匹配，當滿足條件時，即可認為該目標文件為病毒文件，即可進行后續(xù)的對該目標文件的病毒查殺等處理，實現(xiàn)方式簡便、快捷，可在一定程度上提升病毒的查殺率，并提升了變種樣本查殺率，較好地降低了病毒誤報。

請參見圖2，是本發(fā)明實施例的另一種針對文件包的病毒處理方法的流程示意圖，本發(fā)明實施例的所述方法可以應(yīng)用在智能手機、平板電腦、智能可穿戴設(shè)備等智能終端中，具體可以由終端中的處理器來執(zhí)行。本發(fā)明實施例的所述方法包括如下步驟。

S201：獲取所述文件包中目標文件的消息摘要標識，并將所述消息摘要標識發(fā)送給云服務(wù)器。所述的消息摘要標識主要包括目標文件的MD5碼，所述云服務(wù)器主要是指能夠進行消息摘要標識比對并得出比對結(jié)果的服務(wù)器，例如，殺毒應(yīng)用服務(wù)器。

云服務(wù)器根據(jù)終端上的病毒應(yīng)用上傳的消息摘要標識，在預設(shè)的消息摘要標識數(shù)據(jù)庫(例如包括大量已知病毒文件的消息摘要標識的病毒庫)中進行標識查找。所述消息摘要標識數(shù)據(jù)庫中可以包括第一數(shù)據(jù)庫，用于記錄各種已知病毒文件的消息摘要標識。所述消息摘要標識數(shù)據(jù)庫中還包括第二數(shù)據(jù)庫，用于記錄各種已知的普通文件的消息摘要標識，例如各種已知的不是病毒文件的XML(ExteileMarkuLaguage，一種擴展性標識語言)文件的消息摘要標識。

在本發(fā)明實施例中，如果云服務(wù)器在所述第一數(shù)據(jù)庫中找到與該上傳的消息摘要標識一致的標識，則檢測結(jié)果為滿足摘要匹配條件，返回滿足摘要匹配條件的檢測結(jié)果。如果云服務(wù)器在第二數(shù)據(jù)庫中找到與該上傳的消息摘要標識一致的標識，則檢測結(jié)果為不滿足摘要匹配條件，則向上傳消息摘要標識的終端返回不滿足摘要匹配條件的檢測結(jié)果，不滿足摘要匹配條件表明：該上傳的消息摘要對應(yīng)的目標文件為普通文件，普通文件是指該文件不是病毒文件。

如果云服務(wù)器在整個消息摘要標識數(shù)據(jù)庫中均未找到與該上傳的消息摘要標識一致的標識，則不確定該上傳的消息摘要標識是否滿足摘要匹配條件，可以向終端返回無法確定是否為病毒文件的檢測結(jié)果。

S202：如果所述云服務(wù)器返回的檢測結(jié)果為滿足摘要匹配條件，則確定所述目標文件為病毒文件。后續(xù)可以通過直接查殺的方式或者提示給用戶選擇的方式對所述目標文件進行處理。

S203：如果所述云服務(wù)器返回的檢測結(jié)果為不滿足摘要匹配條件，則確定所述目標文件為普通文件。確定所述目標文件為普通文件具體可以是指：該目標文件為安全的文件，不是病毒，在本發(fā)明實施例中，后續(xù)可以不需要針對該普通文件做任何處理。

S204：如果所述云服務(wù)器根據(jù)對所述消息摘要標識進行檢測后返回的檢測結(jié)果為無法確定是否為病毒文件，則觸發(fā)執(zhí)行所述調(diào)用終端中的病毒搜索引擎對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征。如果云服務(wù)器返回的結(jié)果為無法確定，則需要進一步地調(diào)用終端中的殺毒應(yīng)用以便于進行基于上述的文件路徑、完整性標識等文件特征來對文件包中的目標文件進行檢測比對以及相關(guān)處理。具體的，基于文件特征來確定文件包中的病毒文件請參見下述關(guān)于圖3的實施例的詳細描述。

下面針對文件路徑、SHA1值來確定APK等文件包中的目標文件是否為病毒文件來進行詳細說明。

請參見圖3，是本發(fā)明實施例的關(guān)于是否滿足匹配條件的判斷方法流程示意圖，本發(fā)明實施例的所述方法可以對應(yīng)于上述的圖1所對應(yīng)實施例中的S102。具體的，所述方法包括如下步驟。

S301：調(diào)用終端中的病毒搜索引擎對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征。在本發(fā)明實施例中，需要同時獲取所述目標文件的文件路徑和完整性標識，本發(fā)明實施例中完整性標識為SHA1值。如上述，在安卓系統(tǒng)中可以從該文件包的MANIFEST.MF文件中獲取該文件包中所有文件的文件路徑和SHA1值。

S302：檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配。檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配具體可以包括：判斷所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否相同；或者，判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。其中的通配符可以通過符號“*”來表示，在本發(fā)明實施例中，所述通配符是一種特殊語句，用來實現(xiàn)模糊匹配查找以及檢測比對，在目標文件的文件路徑與病毒庫中的路徑信息進行比對時，可以使用該通配符來代替一個或多個真正字符，例如，在病毒庫中記錄了一個包括通配符“*”的文件路徑為：assets/the*/a.dat，那么，文件包中的目標文件的路徑特征只要包括了assets/the/a.dat，即可認為文件路徑與所述病毒庫中記錄的包括通配符的路徑信息相對應(yīng)，該文件路徑滿足匹配條件，例如，文件路徑為assets/theone/a.dat的目標文件與所述病毒庫中記錄的包括通配符的路徑信息相對應(yīng)，兩者相匹配滿足匹配條件。

另外，在文件包中的目標文件下，還可能存在多個子文件，為了確保對該目標文件進行是否為病毒文件的確認的準確性，可以將該目標文件中所有的子文件的文件路徑均與病毒庫中記錄的路徑信息進行匹配，如果都匹配上(例如：每一個子文件的文件路徑在病毒庫中都存在對應(yīng)的路徑信息與之相同，或者每一個子文件的文件路徑在病毒庫中都存在對應(yīng)的包括通配符的路徑信息與之對應(yīng))，才會確認所述目標文件的路徑信息與所述病毒庫中記錄的路徑信息匹配。也就是說，具體的，所述文件特征中包括所述目標文件的多個子文件的文件路徑，所述對文件特征中包括的所述目標文件的文件路徑進行檢測比對，具體包括：分別判斷所述目標文件的各個子文件的文件路徑是否與終端中預置的病毒庫中記錄的路徑信息相同；或者分別判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。

S303：若檢測結(jié)果為匹配，則進一步檢測所述目標文件的完整性標識與所述病毒庫中記錄的完整性特征信息是否相同。完整性標識具體為SHA1值，所述S303具體在病毒庫中查找是否與所述SHA1值相同的完整性特征信息(也是一個已知的SHA1值)，若是，則檢測結(jié)果為相同。

S304：若檢測結(jié)果為相同，則確定所述目標文件的文件特征滿足匹配條件，確定所述目標文件為病毒文件。

本發(fā)明實施例通過將文件包中目標文件的文件路徑或者SHA1等完整性標識作為匹配查找的文件特征來進行查找匹配，實現(xiàn)方式簡便、快捷，并且結(jié)合了云服務(wù)器進行MD5碼等消息摘要標識并且引入了通配符進行匹配，更好地提升了病毒查殺的成功率，更好地提升了變種樣本查殺率，降低了誤報。

下面對本發(fā)明實施例的針對文件包的病毒處理裝置以及智能終端進行詳細描述。

請參見圖4，是本發(fā)明實施例的一種針對文件包的病毒處理裝置的結(jié)構(gòu)組成示意圖，本發(fā)明實施例的所述裝置可以設(shè)置在智能手機、平板電腦、智能可穿戴設(shè)備等智能終端中，所述裝置具體可以包括以下模塊。

掃描模塊401，用于調(diào)用終端中的病毒搜索引擎對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征；

確定模塊402，用于根據(jù)所述終端中預置的病毒庫中的特征信息對所述確定的文件特征進行檢測比對，在檢測比對的結(jié)果為所述文件特征滿足匹配條件時，則確定所述目標文件為病毒文件；

處理模塊403，用于按照病毒查殺規(guī)則對確定的所述病毒文件進行查殺處理；

其中，所述確定模塊402在用于對所述確定的文件特征進行檢測比對時，具體用于對所述文件特征中包括的所述目標文件的文件路徑和/或所述目標文件的完整性標識進行檢測比對。

進一步可選地，本發(fā)明實施例的所述確定模塊402包括：

檢測單元4021，用于在確定的所述文件特征包括所述目標文件的文件路徑時，檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配；

確定單元4022，用于在所述檢測單元4021的檢測比對結(jié)果為相匹配時，則所述文件特征滿足匹配條件，確定所述目標文件為病毒文件；

所述檢測單元4021，在用于檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配時，具體用于判斷所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否相同；或者，判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。

進一步可選地，所述文件特征中包括所述目標文件的多個子文件的文件路徑，在此情況下，所述檢測單元4021，具體用于分別判斷所述目標文件的各個子文件的文件路徑是否與終端中預置的病毒庫中記錄的路徑信息相同；或者分別判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。

進一步可選地，所述確定模塊402的所述檢測單元4021，還用在確定的所述文件特征包括所述目標文件的完整性標識時，檢測所述目標文件的完整性標識與所述病毒庫中記錄的完整性特征信息是否相同。所述確定模塊4022，還用于在所述檢測單元的檢測比對結(jié)果為相同時，則所述文件特征滿足匹配條件，確定所述目標文件為病毒文件。

進一步可選地，本發(fā)明實施例的所述裝置的處理模塊403，還用于獲取所述文件包中目標文件的消息摘要標識，并將所述消息摘要標識發(fā)送給云服務(wù)器；如果所述云服務(wù)器根據(jù)對所述消息摘要標識進行檢測后返回的檢測結(jié)果為無法確定是否為病毒文件，則通知所述掃描模塊401。

進一步可選地，所述處理模塊403，還用于如果所述云服務(wù)器返回的檢測結(jié)果為滿足摘要匹配條件，則確定所述目標文件為病毒文件；如果所述云服務(wù)器返回的檢測結(jié)果為不滿足摘要匹配條件，則確定所述目標文件為普通文件。

本發(fā)明實施例中所述裝置的各個模塊的具體實現(xiàn)方式可參考圖1至圖3所對應(yīng)的方法實施例中相關(guān)步驟的描述，在此不贅述。

本發(fā)明實施例通過將文件包中目標文件的文件路徑或者SHA1等完整性標識作為匹配查找的文件特征來進行查找匹配，實現(xiàn)方式簡便、快捷，并且結(jié)合了云服務(wù)器進行MD5碼等消息摘要標識并且引入了通配符進行匹配，更好地提升了病毒查殺的成功率，更好地提升了變種樣本查殺率，降低了誤報。

再請參見圖5，是本發(fā)明實施例的一種智能終端的結(jié)構(gòu)組成示意圖，本發(fā)明實施例的所述智能終端可以是智能手機、平板電腦、智能可穿戴設(shè)備，該智能終端包括電源、通信接口、外殼等結(jié)構(gòu)，還包括：處理器501、用戶接口502、存儲器503，所述處理器501、用戶接口502以及存儲器503之間通過總線504相連。

所述總線504可以分為地址總線、數(shù)據(jù)總線、控制總線等。為便于表示，圖5中僅用一條粗線表示，但并不表示僅有一根總線或一種類型的總線。

所述存儲器503可以包括易失性存儲器503(volatile memory)，例如，隨機存取存儲器(random-access memory，RAM)；存儲器503也可以包括非易失性存儲器(non-volatile memory)，例如，快閃存儲器(flash memory)，硬盤(hard disk drive，HDD)或固態(tài)硬盤(solid-state drive，SSD)；存儲器503還可以包括上述種類的存儲器的組合。

所述處理器501可以是中央處理器(central processing unit，CPU)。所述存儲器503還用于存儲操作系統(tǒng)以及針對文件包的病毒處理的應(yīng)用。所述處理器501可以調(diào)用所述針對文件包的病毒處理的應(yīng)用的程序指令，實現(xiàn)如本申請圖1至3對應(yīng)實施例中所示的針對文件包的病毒處理方法。

所述用戶接口502包括觸摸屏、物理按鍵等，用戶可以通過用戶接口502發(fā)起文件匹配查找或者病毒查殺的操作，以便于觸發(fā)所述處理器執(zhí)行本發(fā)明實施例的針對文件包的病毒處理方法。當然，所述處理器501也可以定期自動執(zhí)行本發(fā)明實施例的所述針對文件包的病毒處理方法，或者所述處理器501也可以在接收到新的文件包時，例如用戶新下載的APK包時，自動執(zhí)行本發(fā)明實施例的所述針對文件包的病毒處理方法。

具體可選地，所述處理器501調(diào)用所述存儲器503中的指令，用于調(diào)用終端中的病毒搜索引擎對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征；根據(jù)所述終端中預置的病毒庫中的特征信息對所述確定的文件特征進行檢測比對，在檢測比對的結(jié)果為所述文件特征滿足匹配條件時，則確定所述目標文件為病毒文件；按照病毒查殺規(guī)則對確定的所述病毒文件進行查殺處理；其中，對所述確定的文件特征進行檢測比對至少包括：對所述文件特征中包括的所述目標文件的文件路徑和/或所述目標文件的完整性標識進行檢測比對。

具體可選地，所述處理器501，具體用于在確定的所述文件特征包括所述目標文件的文件路徑時，檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配；在檢測比對結(jié)果為相匹配時，則所述文件特征滿足匹配條件，確定所述目標文件為病毒文件。

具體可選地，所述處理器501，在用于檢測所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否匹配時，具體用于判斷所述目標文件的文件路徑與終端中預置的病毒庫中記錄的路徑信息是否相同；或者，判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。

具體可選地，所述文件特征中包括所述目標文件的多個子文件的文件路徑，所述處理器501，具體用于分別判斷所述目標文件的各個子文件的文件路徑是否與終端中預置的病毒庫中記錄的路徑信息相同；或者分別判斷所述目標文件的文件路徑是否與終端中預置的病毒庫中記錄的包括通配符的路徑信息相對應(yīng)。

具體可選地，所述處理器501，具體用于在確定的所述文件特征包括所述目標文件的完整性標識時，檢測所述目標文件的完整性標識與所述病毒庫中記錄的完整性特征信息是否相同，在檢測比對結(jié)果為相同時，則所述文件特征滿足匹配條件，確定所述目標文件為病毒文件。

具體可選地，所述處理器501，還用于獲取所述文件包中目標文件的消息摘要標識，并將所述消息摘要標識發(fā)送給云服務(wù)器；如果所述云服務(wù)器根據(jù)對所述消息摘要標識進行檢測后返回的檢測結(jié)果為無法確定是否為病毒文件，則觸發(fā)執(zhí)行所述對終端中存儲的文件包進行掃描，確定所述文件包中目標文件的文件特征。

具體可選地，所述處理器501，還用于如果所述云服務(wù)器返回的檢測結(jié)果為滿足摘要匹配條件，則確定所述目標文件為病毒文件；如果所述云服務(wù)器返回的檢測結(jié)果為不滿足摘要匹配條件，則確定所述目標文件為普通文件。

本發(fā)明實施例通過將文件包中目標文件的文件路徑或者SHA1等完整性標識作為匹配查找的文件特征來進行查找匹配，實現(xiàn)方式簡便、快捷，并且結(jié)合了云服務(wù)器進行MD5碼等消息摘要標識并且引入了通配符進行匹配，更好地提升了病毒查殺的成功率，更好地提升了變種樣本查殺率，降低了誤報。

以上所揭露的僅為本發(fā)明一種較佳實施例而已，當然不能以此來限定本發(fā)明之權(quán)利范圍，本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分流程，并依本發(fā)明權(quán)利要求所作的等同變化，仍屬于發(fā)明所涵蓋的范圍。