[发明专利]一种处理计算机病毒的方法、装置及系统

说明书

技术领域

本申请涉及计算机技术领域，特别涉及一种处理计算机病毒的方法、装置及系统。

背景技术

计算机病毒是编制或者在计算机程序中插入的破坏计算机功能的数据，其会影响计算机的正常使用并且能够自我复制，通常以一组计算机指令或者程序代码的形式呈现。计算机病毒具有破坏性，复制性和传染性的特点。当计算机系统中的文件被病毒感染时，需要通过杀毒软件对系统进行扫描，以便清除这些病毒。由于计算机病毒的传播性较强，因此运行后的病毒会尝试感染系统中的其它文件，导致杀毒软件难以彻底清除系统中的病毒。

现有技术中，杀毒软件在对计算机病毒进行扫描时，可以通过Windows系统支持的文件过滤驱动获取系统中被改写的文件，由于杀毒软件的运行基于杀毒引擎的支持，在杀毒引擎中保存了各种计算机病毒的特征码，将这些特征码与被改写的文件进行匹配，如果被改写的文件中包含特征码，则说明被改写的文件中包含计算机病毒，相应清除文件中的病毒代码，或者删除整个病毒文件。发明人在对现有计算机病毒的处理过程进行研究时发现，由于现有计算机病毒的传染性较强，在杀毒软件扫描过程中被清除了病毒的文件，可能短时间内再次被病毒感染，因此现有技术难以有效阻止系统中病毒的传播，降低了系统的安全性能。

发明内容

本申请实施例的目的在于提供一种处理计算机病毒的方法、装置及系统，以解决现有技术中难以有效阻止病毒传播，从而降低系统安全性的问题。

为解决上述技术问题，本申请实施例提供如下技术方案：

一种处理计算机病毒的方法，包括：

获取被计算机病毒感染的文件的文件类型，及所述病毒访问所述文件时所采用进程的进程信息；

监控系统中是否发生恶意事件，所述恶意事件为与所述进程信息对应的进程访问属于所述文件类型的文件时所触发的事件；

当监控到所述恶意事件发生时，拒绝所述进程访问属于所述文件类型的文件。

所述获取被计算机病毒感染的文件的文件类型，及所述病毒访问所述文件时所采用进程的进程信息包括：

从对系统中的文件进行扫描的扫描结果中提取被计算机病毒所感染的文件的文件类型；

通过系统中的文件过滤驱动记录所述病毒访问所述文件时所采用进程的进程ID；

保存所述文件类型与所述进程ID的对应关系。

所述监控系统中是否发生恶意事件包括：

当监控到系统中有进程访问文件时，获取所述进程的进程ID和所述文件的文件类型；

根据所述进程的进程ID和所述文件的文件类型查找所述对应关系；

当在所述对应关系中查找到与所述进程的进程ID和所述文件的文件类型一致的纪录时，确定发生所述恶意事件。

所述拒绝所述进程访问属于所述文件类型的文件具体为：通过文件过滤驱动向所述进程返回拒绝访问属于所述文件类型的文件的指令。

所述获取被病毒感染的文件的文件类型之前，还包括：扫描系统中的文件获得扫描结果，所述扫描结果中记录了系统中被病毒感染的文件。

还包括：清除扫描结果中记录的病毒。

所述方法应用在包含多个杀毒引擎的系统中，还包括：

当所述系统中的一个杀毒引擎获取被计算机病毒感染的文件的文件类型，及所述病毒访问所述文件时所采用进程的进程信息时，将所述文件类型与所述进程信息的对应关系发送给除所述一个杀毒引擎的其它杀毒引擎；

所述其它杀毒引擎保存所述文件类型与所述进程信息之间的对应关系，并在监控到所述恶意事件发生时，根据所述对应关系拒绝所述进程访问属于所述文件类型的文件。

一种处理计算机病毒的装置，包括：

获取单元，用于获取被计算机病毒感染的文件的文件类型，及所述病毒访问所述文件时所采用进程的进程信息；

监控单元，用于监控系统中是否发生恶意事件，所述恶意事件为与所述进程信息对应的进程访问属于所述文件类型的文件时所触发的事件；

处理单元，用于当监控到所述恶意事件发生时，拒绝所述进程访问属于所述文件类型的文件。

所述获取单元包括：

文件类型提取单元，用于从对系统中的文件进行扫描的扫描结果中提取被计算机病毒所感染的文件的文件类型；

进程ID记录单元，用于通过系统中的文件过滤驱动记录所述病毒访问所述文件时所采用进程的进程ID；

对应关系保存单元，用于保存所述文件类型与所述进程ID的对应关系。

所述监控单元包括：

监控结果获取单元，用于当监控到系统中有进程访问文件时，获取所述进程的进程ID和所述文件的文件类型；