文件宏病毒免疫方法和裝置制造方法及圖紙

本發(fā)明專利技術(shù)公開了一種文件宏病毒免疫方法和裝置，其中的裝置包括：請求截獲模塊，適于截獲Office進程的文件行為請求；請求分析模塊，適于依據(jù)文件行為請求分析得到相應(yīng)文件行為的信息；宏病毒判斷模塊，適于判斷所述文件行為是否為宏病毒行為；第一處理模塊，適于在是Office進程修改模板文件的宏病毒行為時允許文件行為請求；及第二處理模塊，適于在是其他宏病毒行為時阻止文件行為請求；其中，請求分析模塊適于分析應(yīng)用程序接口API的參數(shù)，得到相應(yīng)文件行為的信息；所述文件行為的信息至少包括如下信息中的一項或多項：文件路徑，行為名稱，共享方式和文件屬性。本發(fā)明專利技術(shù)能夠提供宏病毒的免疫范圍，提高宏病毒的免疫效率。

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及計算機安全
，具體涉及一種文件宏病毒免疫方法和裝置。
技術(shù)介紹
宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其 中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在模板上。從此以后， 所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文 檔，宏病毒又會轉(zhuǎn)移到他的計算機上。由于宏病毒藏于數(shù)據(jù)文件內(nèi)，且其使用的腳本語法靈活多變，完成一個功能有很 多種寫法，故識別一個文件是否有宏病毒非常困難。現(xiàn)有技術(shù)一種文件宏病毒免疫方法采用占坑的方法，具體而言，如果發(fā)現(xiàn)某一種 宏病毒會釋放一個特定名稱的文件，就新建一個同名的文件夾，利用Windows同名文件和 文件夾不能共存的方式阻止宏病毒的傳播；該方法僅能免疫特定的、已有的宏病毒，而不能 免疫新的、未知的病毒，故免疫效率不高?，F(xiàn)有技術(shù)另一種文件宏病毒免疫方法通過禁用所有宏的方法禁止Office的所有 宏功能；該方法會影響正常需要使用宏功能的文件。總之，需要本領(lǐng)域技術(shù)人員迫切解決的一個技術(shù)問題就是如何能夠提高宏病毒 的免疫效率。
技術(shù)實現(xiàn)思路
鑒于上述問題，提出了本專利技術(shù)以便提供一種克服上述問題或者至少部分地解決上 述問題的一種文件宏病毒免疫方法和裝置。依據(jù)本專利技術(shù)的一個方面，提供了一種文件宏病毒免疫方法，包括截獲Office進程的文件行為請求；依據(jù)所述文件行為請求，分析得到相應(yīng)文件行為的信息；利用所述文件行為的信息,判斷所述文件行為是否為宏病毒行為；在所述文件行為是Office進程修改模板文件的宏病毒行為時，允許所截獲的文 件行為請求；在所述文件行為是除Office進程修改模板文件的行為之外的宏病毒行為時，阻 止所截獲的文件行為請求；其中，所述依據(jù)所述文件行為請求，分析得到相應(yīng)文件行為的信息的步驟，包括分析所述文件行為請求中攜帶的應(yīng)用程序接口 API的參數(shù)，得到相應(yīng)文件行為的信息；所述文件行為的信息至少包括如下信息中的一項或多項文件路徑，行為名稱，共 享方式和文件屬性；所述文件屬性至少包括如下屬性中的一項或多項普通，只讀，隱藏， 加密和壓縮?？蛇x地，所述利用所述文件行為的信息，判斷所述文件行為是否為宏病毒行為的 步驟，包括將所述文件行為的信息與已知宏病毒行為的信息進行匹配，若匹配成功，則確定 所述文件行為是宏病毒行為。可選地，所述利用所述文件行為的信息，判斷所述文件行為是否為宏病毒行為的 步驟，包括依據(jù)所述文件行為的信息，判斷所述文件行為對應(yīng)文件為本次計算機運行期間未 被Office進程修改過的已有文件還是被Office進程修改過的新文件；將所述文件行為的信息和所述文件行為對應(yīng)文件的判斷結(jié)果與已知宏病毒行為 的信息進行匹配，若匹配成功，則確定所述文件行為是宏病毒行為。可選地，所述方法還包括若所述文件行為是Office進程修改模板文件的宏病毒行為，則在所述Office進 程結(jié)束時，判斷修改后的模板文件是否帶有宏，若是，則使用預(yù)先備份的不帶有宏的模板文 件替換所述修改后的模板文件；所述判斷修改后的模板文件是否帶有宏的步驟，包括以二進制的格式打開所述修改后的模板文件；判斷所述修改后的模板文件的二進制內(nèi)容中是否包含有宏標識，若是，則判斷修 改后的模板文件帶有宏，否則判斷修改后的模板文件不帶有宏。可選地，所述方法還包括當匹配失敗時，判斷所述文件行為對應(yīng)文件或目錄是否在白名單數(shù)據(jù)集中；當所述文件行為對應(yīng)文件或目錄在白名單數(shù)據(jù)集中時，確定所述文件行為不是宏 病毒行為；當所述文件行為對應(yīng)文件或目錄不在白名單數(shù)據(jù)集中時，判斷所述文件行為對應(yīng) 文件或目錄是否在黑名單數(shù)據(jù)集中；當所述文件行為對應(yīng)文件或目錄在黑名單數(shù)據(jù)集中時，確定所述文件行為是宏病 毒行為；當所述文件行為對應(yīng)文件或目錄不在黑名單數(shù)據(jù)集中時，判斷所述文件行為對 應(yīng)文件或目錄為本次計算機運行期間未被Office進程修改過的已有文件或目錄還是被 Office進程修改過的新文件或目錄；當所述文件行為對應(yīng)文件或目錄為本次計算機運行期間未被Office進程修改過 的已有文件或目錄時，確定所述文件行為不是宏病毒行為；當所述文件行為對應(yīng)文件或目錄為本次計算機運行期間被Office進程修改過的 新文件或目錄時，確定所述文件行為是宏病毒行為。可選地，所述依據(jù)所述文件行為的信息，判斷所述文件行為對應(yīng)文件為本次計算 機運行期間未被Office進程修改過的已有文件還是被Office進程修改過的新文件的步 驟，包括維護第一文件集合和第二文件集合；所述第一文件集合包括本次計算機運行期間 未被Office進程修改過的已有文件，所述第二文件集合包括Office進程操作過的已有文 件；依據(jù)所述文件行為的信息，判斷所述文件行為對應(yīng)文件是否在所述第一文件集合 或第二文件集合中；當所述文件行為對應(yīng)文件在所述第一文件集合中時，判斷所述文件行為對應(yīng)文件 為本次計算機運行期間未被Office進程修改過的已有文件；當所述文件行為對應(yīng)文件在所述第二文件集合中時，判斷所述文件行為對應(yīng)文件 為本次計算機運行期間被Office進程修改過的新文件?？蛇x地，所述已知宏病毒行為至少包括如下行為中的一項或多項=Office進程修 改模板文件的行為，Office進程向模板目錄寫文件的行為，Office進程執(zhí)行Office進程釋 放的可執(zhí)行文件,Of f ice進程執(zhí)行Of f ice進程釋放的腳本文件,Of f ice進程修改注冊表的 行為，Office進程復(fù)制文件的行為。根據(jù)本專利技術(shù)的另一方面，提供了一種文件宏病毒免疫裝置，包括請求截獲模塊，適于截獲Office進程的文件行為請求；請求分析模塊，適于依據(jù)所述文件行為請求，分析得到相應(yīng)文件行為的信息；宏病毒判斷模塊，適于利用所述文件行為的信息，判斷所述文件行為是否為宏病 毒行為；第一處理模塊，適于在所述文件行為是Office進程修改模板文件的宏病毒行為 時，允許所截獲的文件行為請求；及第二處理模塊，適于在所述文件行為是除Office進程修改模板文件的行為之外 的宏病毒行為時，阻止所截獲的文件行為請求；其中，所述請求分析模塊，具體適于分析所述文件行為請求中攜帶的應(yīng)用程序接 口 API的參數(shù),得到相應(yīng)文件行為的信息；所述文件行為的信息至少包括如下信息中的一 項或多項文件路徑，行為名稱，共享方式和文件屬性；所述文件屬性至少包括如下屬性中 的一項或多項普通，只讀，隱藏，加密和壓縮?？蛇x地，所述宏病毒判斷模塊包括第一匹配子模塊，適于將所述文件行為的信息與已知宏病毒行為的信息進行匹 配，若匹配成功，則確定所述文件行為是宏病毒行為?？蛇x地，所述宏病毒判斷模塊包括文件信息判斷子模塊，適于依據(jù)所述文件行為的信息，判斷所述文件行為對應(yīng)文 件為本次計算機運行期間未被Office進程修改過的已有文件還是被Office進程修改過的 新文件；及第二匹配子模塊，適于將所述文件行為的信息和所述文件行為對應(yīng)文件的判斷結(jié) 果與已知宏病毒行為的信息進行匹配，若匹配成功，則確定所述文件行為是宏病毒行為?？蛇x地，所述第一處理模塊還包括宏處理子模塊，適于當所述文件行為是Office進程修改模板文件的宏病毒行為 且所述Office進程結(jié)束時，判斷修改后的模板文件是否帶有宏，若是，則使用預(yù)先備份的 不帶有宏本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種文件宏病毒免疫方法，包括：截獲Office進程的文件行為請求；依據(jù)所述文件行為請求，分析得到相應(yīng)文件行為的信息；利用所述文件行為的信息，判斷所述文件行為是否為宏病毒行為；在所述文件行為是Office進程修改模板文件的宏病毒行為時，允許所截獲的文件行為請求；在所述文件行為是除Office進程修改模板文件的行為之外的宏病毒行為時，阻止所截獲的文件行為請求；其中，所述依據(jù)所述文件行為請求，分析得到相應(yīng)文件行為的信息的步驟，包括：分析所述文件行為請求中攜帶的應(yīng)用程序接口API的參數(shù)，得到相應(yīng)文件行為的信息；所述文件行為的信息至少包括如下信息中的一項或多項：文件路徑，行為名稱，共享方式和文件屬性；所述文件屬性至少包括如下屬性中的一項或多項：普通，只讀，隱藏，加密和壓縮。

【技術(shù)特征摘要】

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：禹建文，
申請(專利權(quán))人：北京奇虎科技有限公司，奇智軟件北京有限公司，
類型：發(fā)明
國別省市：