[发明专利]病毒的查杀方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种病毒的查杀方法及装置。

背景技术

随着信息技术的不断发展，计算机已经成为人们生活、工作和娱乐的一个重要组成部分，计算机网络也成为人际交往、沟通的一种主要方式。在计算机技术给人们带来方便的同时，计算机的安全问题也随之出现，其中一个重要的方面就是病毒的出现。

在2010年至2013年间，一种名为鬼影（TDSS）的rootkit病毒在全球大肆流行。该病毒通过在系统内核中启动一条线程，不断执行自身逻辑。普通安全软件很难检测发现，即使检测到了，将被病毒破坏的系统内核修复好后，正在运行的病毒线程又会重复感染系统内核。

然而，相关技术无法判断一条内核线程的是否是安全的，更未提供任何方式可以关闭或挂起病毒线程。因此，如何判断一条内核线程是病毒线程，且稳定地将其关闭或挂起，成为查杀该病毒所必须要解决的技术问题。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的在于提出一种可以检测内核线程是否为病毒线程的病毒的查杀方法、装置及移动终端。

根据本发明实施例的病毒的查杀方法，包括：获取当前内核所有工作线程的线程对象；对各个线程对象的内核栈进行回溯以获得对应工作线程的起始地址；根据对应工作线程的起始地址获得对应工作线程所在的模块路径；以及根据模块路径定位到病毒所启动的工作线程，挂起病毒所启动的工作线程，并清除病毒。

根据本发明实施例的病毒的查杀方法，通过获取线程对象，对获取到的各个线程对象的内核栈进行回溯获得对应工作线程的起始地址，根据起始地址获得对应工作线程所在的模块路径；并根据模块路径定位到病毒所启动的工作线程，从而可以检测出病毒线程，然后稳定地关闭病毒线程，大大提升了系统的安全性。

根据本发明实施例的病毒的查杀装置，包括：对象获取模块，用于获取当前内核所有工作线程的线程对象；回溯模块，用于对各个线程对象的内核栈进行回溯以获得对应工作线程的起始地址；路径获得模块，用于根据对应工作线程的起始地址获得对应工作线程所在的模块路径；以及查杀模块，用于根据路径获得模块获得的模块路径定位到病毒所启动的工作线程，挂起病毒所启动的工作线程，并清除病毒。

根据本发明实施例的病毒的查杀装置，通过对象获取模块获取线程对象，通过回溯模块对获取到的各个线程对象的内核栈进行回溯获得对应工作线程的起始地址，通过路径获得模块根据起始地址获得对应工作线程所在的模块路径；并利用查杀模块根据模块路径定位到病毒所启动的工作线程，从而可以检测出病毒线程，然后稳定地关闭病毒线程，大大提升了系统的安全性。

根据本发明实施例的移动终端包括壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为移动终端的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于执行以下步骤：获取当前内核所有工作线程的线程对象；对各个线程对象的内核栈进行回溯以获得对应工作线程的起始地址；根据对应工作线程的起始地址获得对应工作线程所在的模块路径；以及根据模块路径定位到病毒所启动的工作线程，挂起病毒所启动的工作线程，并清除病毒。

根据本发明实施例的移动终端，通过获取线程对象，对获取到的各个线程对象的内核栈进行回溯获得对应工作线程的起始地址，根据起始地址获得对应工作线程所在的模块路径；并根据模块路径定位到病毒所启动的工作线程，从而可以检测出病毒线程，然后稳定地关闭病毒线程，大大提升了系统的安全性。

附图说明

图1是根据本发明一个实施例的病毒的查杀方法的流程图。

图2是根据本发明另一个实施例的病毒的查杀方法的流程图。

图3是根据本发明一个实施例的感染病毒后的内核信息示意图。

图4是根据本发明一个实施例的查杀病毒过程中的提示信息示意图。

图5是根据本发明一个实施例的查杀病毒后的内核信息示意图。

图6是根据本发明一个实施例的病毒的查杀装置的结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的病毒的查杀方法及装置。