匹配病毒特征的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計算機技術(shù)領(lǐng)域,特別是涉及一種匹配病毒特征的方法及裝置���。
【背景技術(shù)】
[0002] 現(xiàn)有的查殺計算機病毒或計算機木馬的軟件在查殺計算機病毒的過程中����,通過將 目標文件與病毒特征庫中的特征進行匹配來對待查文件進行檢測����。通常情況下,每種計算 機病毒對應(yīng)病毒特征庫中的一個病毒特征記錄�����,一個病毒特征記錄對應(yīng)一組特征方法(一 個或一個以上的函數(shù))。在匹配過程中����,則通過調(diào)用病毒特征記錄對應(yīng)的特征方法對待查文 件進行校驗,若該組特征方法中的每個特征方法的返回結(jié)果均為校驗通過��,則待查文件即 為病毒文件或被病毒感染的文件��,感染的病毒即為該病毒特征記錄對應(yīng)的計算機病毒或木 馬�����。
[0003] 然而���,病毒特征庫中通常存儲有多種病毒特征記錄�����,例如可分別對應(yīng)熊貓燒香病 毒�����、灰鴿子病毒等�����。計算機需要重復執(zhí)行多個病毒特征記錄中的多個特征方法�,從而使得病 毒查殺的效率較低。
【發(fā)明內(nèi)容】
[0004] 基于此����,有必要提供一種能夠提高病毒查殺效率的匹配病毒特征的方法���。
[0005] -種匹配病毒特征的方法����,包括:
[0006] 獲取輸入的目標文件����;
[0007] 加載病毒特征庫,依次由所述病毒特征庫中提取特征函數(shù)標識��,所述病毒特征庫 中包含特征函數(shù)標識及其對應(yīng)的病毒特征類型標識���;
[0008] 獲取與所述特征函數(shù)標識對應(yīng)的特征函數(shù)��,通過調(diào)用所述特征函數(shù)對所述目標文 件進行校驗�����,獲取相應(yīng)的校驗結(jié)果�;
[0009] 根據(jù)所述校驗結(jié)果獲取所述目標文件對應(yīng)的病毒特征類型標識。
[0010] 此外����,還有必要提供一種能夠提高病毒查殺效率的匹配病毒特征的裝置。
[0011] 一種匹配病毒特征的裝置�����,包括:
[0012] 目標文件獲取模塊�����,用于獲取輸入的目標文件�����;
[0013] 特征函數(shù)選擇模塊���,用于加載病毒特征庫��,依次由所述病毒特征庫中提取特征函 數(shù)標識��,所述病毒特征庫中包含特征函數(shù)標識及其對應(yīng)的病毒特征類型標識�;
[0014] 病毒特征匹配模塊,用于獲取與所述特征函數(shù)標識對應(yīng)的特征函數(shù)�����,通過調(diào)用所 述特征函數(shù)對所述目標文件進行校驗���,獲取相應(yīng)的校驗結(jié)果�;
[0015] 匹配結(jié)果生成模塊�����,用于根據(jù)所述校驗結(jié)果獲取所述目標文件對應(yīng)的病毒特征類 型標識�����。
[0016] 上述匹配病毒特征的方法和裝置在對目標文件進行病毒查殺時��,同一個特征函數(shù) 只會執(zhí)行一次��,而不會根據(jù)需要匹配的病毒特征類型的不同而執(zhí)行多次,從而減少了特征 函數(shù)重復執(zhí)行的次數(shù),提高了病毒查殺的效率�����。
【附圖說明】
[0017] 圖1為一個實施例中匹配病毒特征的方法的流程圖;
[0018] 圖2為一個實施例中匹配病毒特征的裝置的結(jié)構(gòu)示意圖����;
[0019] 圖3為另一個實施例中匹配病毒特征的裝置的結(jié)構(gòu)示意圖;
[0020] 圖4為一個實施例中執(zhí)行匹配病毒特征的方法的計算機硬件環(huán)境圖�����。
【具體實施方式】
[0021] 為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點更加清楚明白�,以下結(jié)合附圖及實施例����,對 本發(fā)明進行進一步詳細說明。應(yīng)當理解�����,此處所描述的具體實施例僅僅用以解釋本發(fā)明��,并 不用于限定本發(fā)明�����。
[0022] 可以理解,本發(fā)明所使用的術(shù)語"第一"���、"第二"等可在本文中用于描述各種元件����, 但這些元件不受這些術(shù)語限制���。這些術(shù)語僅用于將第一個元件與另一個元件區(qū)分��。舉例來 說�,在不脫離本發(fā)明的范圍的情況下�����,可以將第一客戶端稱為第二客戶端��,且類似地��,可將 第二客戶端稱為第一客戶端�����。第一客戶端和第二客戶端兩者都是客戶端�����,但其不是同一客 戶端�。
[0023] 除非上下文另有特定清楚的描述,本發(fā)明中的元件和組件��,數(shù)量既可以單個的形 式存在����,也可以多個的形式存在,本發(fā)明并不對此進行限定��。本發(fā)明中的步驟雖然用標號進 行了排列����,但并不用于限定步驟的先后次序,除非明確說明了步驟的次序或者某步驟的執(zhí) 行需要其他步驟作為基礎(chǔ)�����,否則步驟的相對次序是可以調(diào)整的����。可以理解,本文中所使用的 術(shù)語"和/或"涉及且涵蓋相關(guān)聯(lián)的所列項目中的一者或一者以上的任何和所有可能的組 合�����。
[0024] 在一個實施例中�,如圖1所示,一種匹配病毒特征的方法��,該方法可依賴于計算機 程序��,能夠運行于基于馮洛伊曼體系的計算機系統(tǒng)上�����。
[0025] 步驟S102,獲取輸入的目標文件�。
[0026] 目標文件即為需要進行病毒掃描的文件。若用戶希望對某個文件進行病毒掃描�, 即可選中該文件,并輸入或選擇啟動病毒掃描的指令���,即可將該選中的需要進行病毒掃描 的文件作為目標文件輸入。在另一個應(yīng)用場景中��,用戶也可以選中某個磁盤分區(qū)或目錄�,啟 動全局病毒查殺指令,即可遍歷該磁盤分區(qū)或目錄下的所有文件,并將每個遍歷到的文件 作為目標文件輸入���。
[0027] 步驟S104,加載病毒特征庫�����,依次由病毒特征庫中提取特征函數(shù)標識�,病毒特征庫 中包含特征函數(shù)標識及其對應(yīng)的病毒特征類型標識�����。
[0028] 病毒特征庫中存儲有用于對目標文件進行校驗的特征函數(shù)的標識信息(即特征函 數(shù)標識)�,特征函數(shù)標識即用于校驗?zāi)繕宋募欠衽c某項病毒特征匹配的函數(shù)的標識信息, 可以包括特征函數(shù)名稱���、參數(shù)名稱或參數(shù)值等信息�。
[0029] 例如���,若某個特征函數(shù):
[0030] checkByKeyfford(Stringkeyword,intoffside,Filetarget)
[0031] 用于判斷目標文件中以偏移量為100 (即參數(shù)中的offise值為100)處為起始的 數(shù)據(jù)是否為字符串"trojan"(即參數(shù)中的keyword值為"trojan")���,即在調(diào)用時需要以:
[0032] checkByKeyWord("trojan",100,target)
[0033] 的形式調(diào)用�����,其中target為目標文件的引用或指針,則其特征函數(shù)標識即可為:
[0034] checkByKeyfford#keyword:trojan#offside:100
[0035] 需要說明的是�����,上述特征函數(shù)標識僅為本方法的一種實現(xiàn)方式���,在其他實施例中�, 不限于上述定義特征函數(shù)標識的方法�,可根據(jù)需要自行定義方便程序執(zhí)行的特征函數(shù)標 識。例如����,特征函數(shù)標識也可對應(yīng)一組函數(shù),該組函數(shù)可視為一個整體�����,均用于校驗?zāi)繕宋?件是否與特征函數(shù)標識對應(yīng)的病毒特征對應(yīng)����。在其他實施例中,多個特征函數(shù)標識也可對 應(yīng)同一個函數(shù)����,例如,
[0036] checkByKeyWord#keyword:trojan#offside:100 和checkByKeyWord#keyword: panda#offside:200 可對應(yīng)同一個特征函數(shù):checkByKeyWord(String[]keyword��,int[] offside,Filetarget),在調(diào)用時��,函數(shù)參數(shù)中的數(shù)組元素keyword[0]可以是"trojan"�, 1^}^(^(1[1]可以是、311(^"���;函數(shù)參數(shù)中的數(shù)組元素〇€€81(16[0]可以是100���,〇€€81(16[1] 可以是200。
[0037] 在本實施例中��,可遍歷病毒特征庫中的特征函數(shù)標識���,每次一個或者每次多個提 取特征函數(shù)標識����。例如�����,若以單線程或單進程方式進行匹配,則可在遍歷病毒特征庫時�,每 次提取一個特征函數(shù)標識;若以多線程或多進程的方式進行匹配�,則可在遍歷病毒特征庫 時,每次提取與線程數(shù)或進程數(shù)對應(yīng)個數(shù)的特征函數(shù)標識����。
[0038] 在本實施例中,需要對病毒特征庫進行預(yù)先配置���,其方法為:
[0039] 獲取輸入的特征函數(shù)標識��,獲取輸入的與特征函數(shù)標識對應(yīng)的病毒特征類型標 識���;生成特征函數(shù)標識與病毒特征類型標識的映射信息,根據(jù)映射信息生成病毒特征庫����,映 射信息包括一對一、多對一��、一對多或多對多的對應(yīng)關(guān)系中的至少一種�。
[0040] 病毒特征類型標識即對應(yīng)了具體的某種類型的計算機病毒或木馬。例如��,可設(shè)置 熊貓燒香病毒的病毒特征類型標識為00001,灰鴿子病毒的病毒特征類型標識為00002,蠕 蟲病毒的病毒特征類型標識為00003��?����?缮稍摬《咎卣黝愋蜆俗R與輸入的特征函數(shù)標識 的映射信息�����。若最終通過匹配得到目標文件對應(yīng)某個或多個病毒特征類型標識���,則表示該 目標文件已被該某個或多個病毒特征類型標識對應(yīng)的計算機病毒或木馬感染。
[0041] 映射信息可以是一對一的���。例如�,若查殺熊貓燒香病毒僅用了唯一的特征函數(shù):
[0042] checkByKeyfford#keyword:panda#offside:100
[0043] 即可在數(shù)據(jù)庫中創(chuàng)建checkByKeyWord#keyword:panda#offside: 100 與 00001 的 映射記錄����。
[0044] 映射信息也可以是多對一的。例如���,查殺熊貓燒香病毒需要用到兩個特征函數(shù):
[0045] checkByKeyfford#keyword:panda#offside:100
[0046] checkByKeyfford#keyword:panda#offside:200
[0047] 即可在數(shù)據(jù)庫中創(chuàng)建:
[0048] checkByKeyWord#keyword:panda#offside: 100 與 00001 的映射記錄以及 checkByKeyWord#keyword:panda#offside:200 與 00001 的映射記錄(即多個特征函數(shù)標識 對應(yīng)一個病毒特征類型標識)����。
[0049] 映射信息也可以是一對多的。例如��,查殺熊貓燒香病毒和灰纟鳥子病毒均需要用到 特征函數(shù):
[0050]checkByKeyfford#keyword:trojan#offside:100
[0051] 即可在數(shù)據(jù)庫中創(chuàng)建:
[0052]checkByKeyWord#keyword:trojan#offside: 100 與 00001 的映射記錄以及 checkByKeyWord#keyword:trojan#offside:100 與 00002 的映射記錄(即一個特征函數(shù)標 識對應(yīng)多個病毒特征類型標識)����。
[0053] 映射信息也可以是多對多的。例如���,查殺熊貓燒香病毒和灰纟鳥子病毒均需要用到 特征函數(shù):
[0054]checkByKeyfford#keyword:trojan#offside :100
[0055]checkByKeyfford#keyword:trojan#o