[发明专利]一种查找病毒母体的方法和装置

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种查找病毒母体的方法和装置。

背景技术

随着计算机技术的发展，计算机病毒技术也日趋进步，网络安全受到较大威胁。计算机病毒种类多种多样，同时病毒大多以文件形式存在，其中，有些病毒文件通过下载、文件创建等方式能够释放出其他计算机病毒文件，则释放计算机病毒的病毒文件被称作病毒母体，相对应的，被释放的计算机病毒文件称为病毒子体，所以，病毒母体具有传播病毒的能力，也就是说，只有查找到病毒子体的病毒母体才能彻底的将该种类型的病毒删除。

现有技术通过监控病毒母体释放病毒子体的方式，查找病毒子体对应的病毒母体，但是，由于有些病毒母体释放病毒子体的途径较复杂，可能包括下载、文件创建等多种方式，或者，病毒母体通过驱动、修改MBR(主引导记录)等方式释放子体，可以逃避监控，所以，通过对病毒母体释放病毒子体途径的监控较难实现病毒母体的查找。

发明内容

为了准确实现病毒母体的查找，本发明提供了一种查找病毒母体的方法和装置。

本发明提供了一种查找病毒母体的方法，所述方法包括：

将任一病毒文件确定为病毒子体；

获取存在所述病毒子体的计算机；

获取所述病毒子体在所述计算机中的首次出现时间；

获取所述计算机上除所述病毒子体以外的病毒文件的首次运行时间；

将首次运行时间比所述病毒子体的首次出现时间早预设时间阈值的病毒文件确定为疑似病毒母体；

确定疑似病毒母体中的病毒母体。

优选地，所述将首次运行时间比所述病毒子体的首次出现时间早预设时间阈值的病毒文件确定为意思病毒母体之后，且在所述确定疑似病毒母体中的病毒母体之前，还包括：

获取疑似病毒母体的广度；

按照所述广度，将疑似病毒母体进行降序排列；

获取前n个疑似病毒母体，所述n为预设的自然数；

相应的，所述确定疑似病毒母体中的病毒母体，具体为：

确定前n个疑似病毒母体中的病毒母体。

优选地，所述确定疑似病毒母体中的病毒母体，包括：

运行所述疑似病毒母体；

将运行后生成所述病毒子体的疑似病毒母体确定为所述病毒子体的病毒母体。

优选地，所述将首次运行时间比所述病毒子体的首次出现时间早预设时间阈值的病毒文件确定为疑似病毒母体，包括：

获取所述首次出现时间与首次运行时间的差值；

将小于预设时间阈值的差值对应的病毒文件确定为疑似病毒母体。

优选地，所述将小于预设时间阈值的差值对应的病毒文件确定为疑似病毒母体，包括：

判断差值是否小于预设时间阈值，如果是，则获取所述差值对应的首次运行时间；

获取所述首次运行时间对应的病毒文件；

将所述病毒文件确定为疑似病毒文件。

本发明是提供了一种查找病毒母体的装置，所述装置包括：

第一确定模块，用于将任一病毒文件确定为病毒子体；

第一获取模块，用于获取存在所述病毒子体的计算机；

第二获取模块，用于获取所述病毒子体在所述计算机中的首次出现时间；

第三获取模块，用于获取所述计算机上除所述病毒子体以外的病毒文件的首次运行时间；

第二确定模块，用于将首次运行时间比所述病毒子体的首次出现时间早预设时间阈值的病毒文件确定为疑似病毒母体；

第三确定模块，用于确定疑似病毒母体中的病毒母体。

优选地，所述装置，还包括：

第四获取模块，用于获取疑似病毒母体的广度；

排序模块，用于按照所述广度，将疑似病毒母体进行降序排列；

第五获取模块，用于获取前n个疑似病毒母体，所述n为预设的自然数；

相应的，所述第三确定模块，具体用于确定前n个疑似病毒母体中的病毒母体。

优选地，所述第三确定模块，包括：

运行子模块，用于运行所述疑似病毒母体；

第一确定子模块，用于将运行后生成所述病毒子体的疑似病毒母体确定为所述病毒子体的病毒母体。

优选地，所述第二确定模块，包括：

第一获取子模块，用于获取所述首次出现时间与首次运行时间的差值；

第二确定子模块，用于将小于预设时间阈值的差值对应的病毒文件确定为疑似病毒母体。

优选地，所述第二确定子模块，包括：

判断子模块，用于判断差值是否小于预设时间阈值；