[发明专利]识别病毒文件的方法及装置

说明书

技术领域

本发明涉及病毒文件的识别扫描领域，更为具体而言，涉及一种识别病毒文件的方法及装置。

背景技术

随着计算机网络的飞速发展，病毒文件也在以越来越快的速度进行传播和变异。其中，VB病毒(visual basic)是通过VB Script(VB脚本)程序编写而成的一种病毒，其脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。并且，VB脚本病毒存在形形色色的加密方法，而且被加密的病毒通常无法通过格式判断，如果进行频繁的尝试性解密，会造成对计算机中无格式的数据文件计算量过大；如果诸如哈希之类一对一的识别方法，效率较低。

因此，面对当前加密的VB脚本病毒识别效率低，存在安全威胁的问题，亟需一种可有效识别该病毒文件的方法和装置。

发明内容

为了解决当前加密的VB脚本病毒识别效率低，存在安全威胁的问题，本发明的实施方式提供了一种识别病毒文件的方法及装置。

一方面，本发明实施方式提供了一种识别病毒文件的方法，所述方法包括：

当脚本宿主程序执行被加密的脚本文件时，通过调用系统函数进行自解密处理，并得到解密后的数据；

调用脚本病毒引擎对所述数据进行扫描，判断是否为病毒，如果是，则对所述脚本文件进行病毒报警。

相应的，本发明实施方式还提供了一种识别病毒文件的装置，所述装置包括：

调用解密模块，用于当脚本宿主程序执行被加密的脚本文件时，通过调用系统函数进行自解密处理，并得到解密后的数据；

病毒判断模块，用于调用脚本病毒引擎对所述数据进行扫描，判断是否为病毒，如果是，则向对所述脚本文件进行病毒报警。

实施本发明的各种实施方式具有以下有益效果：可有效地对加密病毒文件在其自解密过程中进行识别，从而提高了病毒识别效率，阻挡了病毒威胁。

附图说明

图1是根据本发明实施方式的识别病毒文件的方法的流程图；

图2是本发明的一种识别病毒文件的方法的实施例的流程图；

图3是根据本发明实施方式的识别病毒文件的装置的架构图；

图4示出了图3所示的调用解密模块100的框图。

具体实施方式

以下结合附图和具体实施方式对本发明的各个方面进行详细阐述。其中，众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。并且，所描述的特征、架构或功能可在一个或一个以上实施方式中以任何方式组合。本领域技术人员应当理解，下述的各种实施方式只用于举例说明，而非用于限制本发明的保护范围。还可以容易理解，本文所述和附图所示的各实施方式中的模块或单元或处理方式可以按各种不同配置进行组合和设计。

图1是根据本发明实施方式的识别病毒文件的方法的流程图；参见图1，所述方法包括：

S1，当脚本宿主程序执行被加密的脚本文件时，通过调用系统函数进行自解密处理，并得到解密后的数据，所述脚本宿主程序是指脚本文件所运行时依赖的对象，所述调用系统函数是指调用微软视窗操作系统文档化与文档化的接口，所述自解密处理是指微软视窗操作系统(windows系统)主动执行解密函数对加密数据进行的解密；其中，得到解密后的数据包括：在所述自解密处理之后，通过API hook(钩子)技术获得并提取所述解密后的数据，所述API hook技术是通过修改原有API执行流程，使其进入修改者的目的代码中执行非原有API流程，所述API是微软视窗操作系统提供的应用程序编程接口；所述自解密处理通过修改原有API执行过程，得到操作系统解密后的时机，获取操作系统解密后的数据；所述自解密处理包括：对所述解密后的脚本文件，判断其被执行解密标志(flag)是否被设置，如果否，则执行被修改API中被覆盖的代码后返回原程序执行被修改的API hook内存地址后面的代码；如果是，则得到所述解密后的数据，经过上述flag的判断，可知存在该标志则表示数据经过解密，不存在该标志表示数据不存在解密过程，故扫描的次数不同，前者效率更高，可使所述数据更加优化，提高数据处理效率。所述获取解密后的数据包括：获取解密后的数据，并对所述数据中的字符进行转码处理(例如：将所述字符串由Unicode编码转为ASCII编码)，经过转码后的数据所匹配的数据相对较少，可更加便于进行病毒扫描。