查殺惡意程序的方法和裝置制造方法【專利摘要】本發(fā)明提供了一種查殺惡意程序的方法和裝置。方法包括:獲取終端操作系統(tǒng)中的指定文件;掃描指定文件中是否包括預(yù)設(shè)的惡意程序特征;當(dāng)指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷操作系統(tǒng)的系統(tǒng)分區(qū)的操作;其中,指定文件存儲(chǔ)于系統(tǒng)分區(qū)中。通過(guò)本發(fā)明,當(dāng)移動(dòng)終端中的文件保護(hù)有預(yù)設(shè)的惡意程序特征時(shí),通過(guò)執(zhí)行重刷操作系統(tǒng)分區(qū)的操作,能夠徹底清除ROM病毒等寄存于操作系統(tǒng)分區(qū)中的惡意程序,解決了ROM病毒類的惡意程序不能徹底查殺的問(wèn)題,??梢苑乐箰阂獬绦蚩圪M(fèi)、偷跑流量,彈出各種垃圾廣告、竊取用戶隱私,以及保證用戶手機(jī)支付的安全等,對(duì)移動(dòng)終端殺毒引擎無(wú)法正常查殺的惡意程序可以進(jìn)行徹底的清除。【專利說(shuō)明】查殺惡意程序的方法和裝置【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,具體涉及一種查殺惡意程序的方法和裝置?!?br>背景技術(shù):
】[0002]目前,移動(dòng)終端應(yīng)用越來(lái)越廣泛,針對(duì)移動(dòng)終端的惡意程序也越來(lái)越多,且越來(lái)越難以清除。[0003]安卓操作系統(tǒng)為移動(dòng)終端的一種主流操作系統(tǒng),它的系統(tǒng)文件boot,img以壓縮包的方式存儲(chǔ)于BOOT分區(qū)中,當(dāng)終端啟動(dòng)時(shí),系統(tǒng)文件被解壓縮釋放到內(nèi)存中,以完成操作系統(tǒng)的加載。[0004]這里所說(shuō)的R0M,指的是手機(jī)、平板電腦等各類移動(dòng)設(shè)備自己的系統(tǒng)固件,用戶通過(guò)對(duì)手機(jī)解鎖之后,可以更換設(shè)備的系統(tǒng)固件。于是就有了“刷機(jī)”這一說(shuō)法,“刷機(jī)”其實(shí)就是向移動(dòng)設(shè)備寫入新的R0M,即新的系統(tǒng)固件。在定義移動(dòng)設(shè)備系統(tǒng)固件(即制作新的手機(jī)ROM)的過(guò)程中已經(jīng)被捆綁進(jìn)去的這一類病毒程序,我們定義為ROM病毒。[0005]例如,目前存在一種惡意程序“不死木馬”等ROM病毒,為了追求商業(yè)利益,在移動(dòng)終端被銷售前,經(jīng)銷商將它寫入到系統(tǒng)文件中。該惡意程序在啟動(dòng)后,可以在后臺(tái)自動(dòng)下載安裝經(jīng)銷商指定的apk安裝文件,以進(jìn)行軟件推廣,還有的情況是,很多刷機(jī)用戶會(huì)來(lái)查找對(duì)應(yīng)機(jī)型的R0M,某些制毒者通常會(huì)開(kāi)設(shè)一些地下下載站提供下載鏈接又或者在一些手機(jī)軟件站申請(qǐng)錄入,并把ROM修改成“**機(jī)型極速優(yōu)化版ROM”之類具有誘導(dǎo)性的名稱進(jìn)行傳播。這些惡意應(yīng)用會(huì)私自發(fā)短信定制SP業(yè)務(wù),偷偷聯(lián)網(wǎng)消耗流量,然后還會(huì)亂彈廣告干擾用戶。這無(wú)疑造成了用戶的困擾。[0006]而發(fā)明人發(fā)現(xiàn),ROM病毒權(quán)限較高,具有跟系統(tǒng)文件一樣的權(quán)限屬性,目前的殺毒方法,只能清除其在內(nèi)存中的文件,在終端重啟后,其會(huì)再次由boot,img中被解壓縮釋放到內(nèi)存中,例如,查殺該病毒有可能顯示“Series60kinsSupport:ROM軟件無(wú)法刪除”,目前并沒(méi)有從根本上清除該病毒的有效方法?!?br/>發(fā)明內(nèi)容】[0007]鑒于上述問(wèn)題,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的一種查殺惡意程序的方法和相應(yīng)地裝置。[0008]依據(jù)本發(fā)明的一個(gè)方面,提供了一種查殺惡意程序的方法,包括:[0009]獲取終端操作系統(tǒng)中的指定文件;[0010]掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征;[0011]當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作;[0012]其中,所述指定文件存儲(chǔ)于所述系統(tǒng)分區(qū)中。[0013]可選地,所述系統(tǒng)分區(qū)為BOOT分區(qū),所述指定文件為存儲(chǔ)于所述BOOT分區(qū)中的系統(tǒng)文件壓縮包。[0014]可選地,所述獲取終端操作系統(tǒng)中的指定文件,包括:[0015]獲取終端的機(jī)型信息;[0016]根據(jù)所述機(jī)型信息獲取所述終端的系統(tǒng)文件壓縮包的壓縮格式;[0017]根據(jù)所述壓縮格式解壓所述系統(tǒng)文件壓縮包,得到解壓縮后的文件為指定文件。[0018]可選地,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:[0019]提取所述解壓縮后的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。[0020]可選地,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:[0021]提取所述解壓縮后的每一個(gè)文件的文件特征值,并將所述文件特征值發(fā)送給云服務(wù)器;[0022]其中,所述文件特征值用于所述云服務(wù)器判斷所述指定文件中是否包含與預(yù)設(shè)的特征值相匹配的文件。[0023]可選地,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:[0024]掃描用于記錄所述操作系統(tǒng)的啟動(dòng)項(xiàng)的配置文件,讀取所述配置文件記錄的每一個(gè)自啟動(dòng)程序的文件路徑;[0025]提取所述文件路徑下的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。[0026]可選地,所述當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作,包括:[0027]刪除所述解壓縮后的文件中具有惡意程序特征的文件;[0028]按照所述壓縮格式將刪除具有惡意程序特征的文件后的系統(tǒng)文件進(jìn)行壓縮,得到新系統(tǒng)壓文件縮包;[0029]使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū)。[0030]可選地,所述使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū),包括:[0031]根據(jù)所述終端的機(jī)型信息獲取所述終端的操作系統(tǒng)文件的校驗(yàn)算法;[0032]使用所述校驗(yàn)算法對(duì)所述新系統(tǒng)文件壓縮包進(jìn)行計(jì)算得到校驗(yàn)值;[0033]在所述終端的BOOT分區(qū)依次寫入所述校驗(yàn)值和信系統(tǒng)文件壓縮包。[0034]可選地,在所述獲取終端操作系統(tǒng)中的指定文件之前,所述方法還包括:[0035]獲取所述終端的機(jī)型信息;[0036]根據(jù)所述機(jī)型信息獲取所述終端的BOOT分區(qū)的位置。[0037]可選地,在所述獲取終端操作系統(tǒng)中的指定文件之前,所述方法還包括:[0038]獲取所述終端的分區(qū)表;[0039]根據(jù)所述分區(qū)表獲取所述終端的BOOT分區(qū)的位置。[0040]可選地,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:[0041]檢測(cè)所述指定文件中是否存在預(yù)設(shè)行為的文件。[0042]可選地,所述預(yù)設(shè)行為包括:[0043]刪除自身文件,但所述文件對(duì)應(yīng)的進(jìn)程保持運(yùn)行;或者,[0044]將自身的代碼注入到系統(tǒng)進(jìn)程。[0045]可選地,當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),所述方法還包括:[0046]將由具有預(yù)設(shè)惡意程序特征的文件生成的可運(yùn)行文件刪除,并在所述可運(yùn)行文件的相同位置生成與所述可運(yùn)行文件同名的文件,并置為只可讀狀態(tài)。[0047]依據(jù)本發(fā)明的一個(gè)方面,還提供一種查殺惡意程序的裝置,包括:[0048]文件獲取模塊,適于獲取終端操作系統(tǒng)中的指定文件;[0049]程序掃描模塊,適于掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征;[0050]操作執(zhí)行模塊,適于當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作;[0051]其中,所述指定文件存儲(chǔ)于所述系統(tǒng)分區(qū)中。[0052]可選地,所述系統(tǒng)分區(qū)為BOOT分區(qū),所述指定文件為存儲(chǔ)于所述BOOT分區(qū)中的系統(tǒng)文件壓縮包。[0053]可選地,所述文件獲取模塊適于按照如下方式獲取終端操作系統(tǒng)中的指定文件:[0054]獲取終端的機(jī)型信息;[0055]根據(jù)所述機(jī)型信息獲取所述終端的系統(tǒng)文件壓縮包的壓縮格式;[0056]根據(jù)所述壓縮格式解壓所述系統(tǒng)文件壓縮包,得到解壓縮后的文件為指定文件。[0057]可選地,所述程序掃描模塊適于提取所述解壓縮后的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。[0058]可選地,所述程序掃描模塊適于提取所述解壓縮后的每一個(gè)文件的文件特征值,并將所述文件特征值發(fā)送給云服務(wù)器;[0059]其中,所述文件特征值用于所述云服務(wù)器判斷所述指定文件中是否包含與預(yù)設(shè)的特征值相匹配的文件。[0060]可選地,所述程序掃描模塊適于掃描用于記錄所述操作系統(tǒng)的啟動(dòng)項(xiàng)的配置文件,讀取所述配置文件記錄的每一個(gè)自啟動(dòng)程序的文件路徑,提取所述文件路徑下的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。[0061]可選地,所述操作執(zhí)行模塊適于按照如下方式執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作:[0062]刪除所述解壓縮后的文件中具有惡意程序特征的文件;[0063]按照所述壓縮格式將刪除具有惡意程序特征的文件后的系統(tǒng)文件進(jìn)行壓縮,得到新系統(tǒng)壓文件縮包;[0064]使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū)。[0065]可選地,所述操作執(zhí)行模塊適于按照如下方式使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū):[0066]根據(jù)所述終端的機(jī)型信息獲取所述終端的操作系統(tǒng)文件的校驗(yàn)算法;[0067]使用所述校驗(yàn)算法對(duì)所述新系統(tǒng)文件壓縮包進(jìn)行計(jì)算得到校驗(yàn)值;[0068]在所述終端的BOOT分區(qū)依次寫入所述校驗(yàn)值和信系統(tǒng)文件壓縮包。[0069]可選地,所述裝置還包括:[0070]機(jī)型信息獲取模塊,適于在所述獲取終端操作系統(tǒng)中的指定文件之前,獲取所述終端的機(jī)型信息;[0071]第一位置獲取模塊,適于根據(jù)所述機(jī)型信息獲取所述終端的BOOT分區(qū)的位置。[0072]可選地,所述裝置還包括:[0073]分區(qū)表獲取模塊,適于在所述獲取終端操作系統(tǒng)中的指定文件之前,獲取所述終端的分區(qū)表;[0074]第二位置獲取模塊,適于根據(jù)所述分區(qū)表獲取所述終端的BOOT分區(qū)的位置。[0075]可選地,所述程序掃描模塊還適于檢測(cè)所述指定文件中是否存在預(yù)設(shè)行為的文件。[0076]可選地,所述預(yù)設(shè)行為包括:[0077]刪除自身文件,但所述文件對(duì)應(yīng)的進(jìn)程保持運(yùn)行;或者,[0078]將自身的代碼注入到系統(tǒng)進(jìn)程。[0079]可選地,當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),所述裝置還包括:[0080]狀態(tài)設(shè)置模塊,適于將由具有預(yù)設(shè)惡意程序特征的文件生成的可運(yùn)行文件刪除,并在所述可運(yùn)行文件的相同位置生成與所述可運(yùn)行文件同名的文件,并置為只可讀狀態(tài)。[0081]本發(fā)明提供了一種查殺惡意程序的方法和裝置,當(dāng)移動(dòng)終端中的文件保護(hù)有預(yù)設(shè)的惡意程序特征時(shí),通過(guò)執(zhí)行重刷操作系統(tǒng)分區(qū)的操作,能夠徹底清除ROM病毒等寄存于操作系統(tǒng)分區(qū)中的惡意程序,解決了ROM病毒類的惡意程序不能徹底查殺的問(wèn)題,保護(hù)了用戶的數(shù)據(jù)財(cái)產(chǎn)安全,防止用戶受到惡意程序的騷擾,可以防止惡意程序扣費(fèi),偷跑流量,彈出各種垃圾廣告,竊取用戶隱私,以及保證用戶手機(jī)支付的安全等,對(duì)移動(dòng)終端殺毒引擎無(wú)法正常查殺的惡意程序可以進(jìn)行徹底的清除。[0082]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實(shí)施方式】。[0083]根據(jù)下文結(jié)合附圖對(duì)本發(fā)明具體實(shí)施例的詳細(xì)描述,本領(lǐng)域技術(shù)人員將會(huì)更加明了本發(fā)明的上述以及其他目的、優(yōu)點(diǎn)和特征?!緦@綀D】【附圖說(shuō)明】[0084]通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:[0085]圖1是本發(fā)明一個(gè)實(shí)施例提供的一種查殺惡意程序的方法流程圖;[0086]圖2是本發(fā)明一個(gè)實(shí)施例提供的一種查殺惡意程序的具體方法流程圖;[0087]圖3是本發(fā)明一個(gè)實(shí)施例提供的一種提示用戶在刷機(jī)前進(jìn)行數(shù)據(jù)備份的效果圖;[0088]圖4是本發(fā)明一個(gè)實(shí)施例提供的一種查殺流程前的提示方式的效果圖;[0089]圖5是本發(fā)明一個(gè)實(shí)施例提供的一種重刷系統(tǒng)時(shí)的效果圖;[0090]圖6是本發(fā)明一個(gè)實(shí)施例提供的通過(guò)重刷系統(tǒng)分區(qū)完成惡意程序清除后的效果圖;[0091]圖7是本發(fā)明一個(gè)實(shí)施例提供的一種查殺惡意程序的裝置結(jié)構(gòu)框圖?!揪唧w實(shí)施方式】[0092]下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)該被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠透徹地理解本公開(kāi),并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。[0093]實(shí)施例一[0094]本發(fā)明實(shí)施例提供了一種查殺惡意程序的方法。該方法通過(guò)對(duì)移動(dòng)終端進(jìn)行重刷機(jī)可以徹底清除一些頑固型的惡意程序,其可以通過(guò)殺毒軟件、殺毒軟件的急救系統(tǒng)等軟件等在PC機(jī)上進(jìn)行實(shí)現(xiàn)。[0095]其中,在一些查殺方式中(例如急救箱),可以選擇對(duì)惡意程序進(jìn)行免疫處理,但是這種方式只能消除惡意程序的惡意行為,卻并沒(méi)有將惡意程序從系統(tǒng)中清除,而本發(fā)明實(shí)施例所提供的方式,可以清除這一頑固型的惡意程序。[0096]圖1是本發(fā)明一個(gè)實(shí)施例提供的一種查殺惡意程序的方法的流程圖,該方法包括步驟S102至S106。[0097]S102,獲取終端操作系統(tǒng)中的指定文件。[0098]S104,掃描指定文件中是否包括預(yù)設(shè)的惡意程序特征。[0099]S106,當(dāng)指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷操作系統(tǒng)的系統(tǒng)分區(qū)的操作。[0100]其中,指定文件存儲(chǔ)于系統(tǒng)分區(qū)中。[0101]本發(fā)明實(shí)施例提供了一種查殺惡意程序的方法,當(dāng)移動(dòng)終端中的文件保護(hù)有預(yù)設(shè)的惡意程序特征時(shí),通過(guò)執(zhí)行重刷操作系統(tǒng)分區(qū)的操作,能夠徹底清除ROM病毒等寄存于操作系統(tǒng)分區(qū)中的惡意程序,解決了ROM病毒類的惡意程序不能徹底查殺的問(wèn)題,保護(hù)了用戶的數(shù)據(jù)財(cái)產(chǎn)安全,防止用戶受到惡意程序的騷擾,可以防止惡意程序扣費(fèi),偷跑流量,彈出各種垃圾廣告,竊取用戶隱私,以及保證用戶手機(jī)支付的安全等,對(duì)移動(dòng)終端殺毒引擎無(wú)法正常查殺的惡意程序可以進(jìn)行徹底的清除。[0102]實(shí)施例二[0103]本實(shí)施例為上述實(shí)施例一的一種具體應(yīng)用場(chǎng)景,通過(guò)本實(shí)施例,能夠更加清楚、具體地闡述本發(fā)明所提供的方法。在本實(shí)施例中,以通過(guò)安裝于PC機(jī)中工具箱(例如可以為急救箱,在移動(dòng)終端接入PC后,急救箱自動(dòng)啟動(dòng)相應(yīng)的查殺程序)對(duì)移動(dòng)終端中的惡意程序進(jìn)行查殺為例進(jìn)行說(shuō)明。[0104]圖2是本發(fā)明一個(gè)實(shí)施例提供的一種查殺惡意程序的具體方法流程圖,該方法包括步驟S201至S206。[0105]需要說(shuō)明的是,由于本實(shí)施例所提供的方法需要通過(guò)對(duì)移動(dòng)終端進(jìn)行重新刷機(jī)的方式完成清除惡意程序,因此需要將移動(dòng)終端連接到PC機(jī)后執(zhí)行本方法的流程。[0106]以Android為例,移動(dòng)終端與PC機(jī)連接的方式如下:[0107](I)移動(dòng)終端需要打開(kāi)USB調(diào)試模式,以允許PC機(jī)對(duì)移動(dòng)終端進(jìn)行通信和控制。Android系統(tǒng)默認(rèn)是關(guān)閉USB調(diào)試模式的,因此需要用戶手動(dòng)打開(kāi)。優(yōu)選地,可以增加一個(gè)用戶引導(dǎo),提示用戶開(kāi)啟USB調(diào)試模式的的方法。[0108]其中,每種類型的移動(dòng)終端對(duì)于開(kāi)啟USB調(diào)試模式的方式不同,因此可以總結(jié)市面上的Android移動(dòng)終端打開(kāi)USB調(diào)試模式的方法,根據(jù)用戶的機(jī)型進(jìn)行提示。[0109](2)打開(kāi)USB調(diào)試之后,使用數(shù)據(jù)線把移動(dòng)終端連接到PC機(jī)上。PC中的查毒工具(例如急救箱)會(huì)枚舉USB設(shè)備,并判斷是否是移動(dòng)終端設(shè)備,如果是,就試圖通過(guò)socket與手機(jī)內(nèi)部的ADB(AndroidDebugBridge,調(diào)試橋)Server進(jìn)程通信,并完成移動(dòng)終端與PC機(jī)的通信工作的初始化。[0110](3)初始化成功之后,查毒工具向移動(dòng)終端中發(fā)送一個(gè)ELF或APK文件,并運(yùn)行該ELF或APK文件,PC端的查毒工具即可通過(guò)該文件與移動(dòng)終端進(jìn)行通信,以完成對(duì)于惡意程序的查殺操作。[0111]在完成PC機(jī)與移動(dòng)終端的連接后,即可開(kāi)始對(duì)于惡意程序的查殺流程。[0112]其中,由于本發(fā)明實(shí)施例提供的方法需要通過(guò)刷機(jī)的方式對(duì)惡意程序進(jìn)行徹底清除,為了避免刷機(jī)可能對(duì)用戶數(shù)據(jù)造成損失,可以提示用戶先對(duì)移動(dòng)終端中的數(shù)據(jù)進(jìn)行備份。例如,圖3所示即為一種提示用戶在刷機(jī)前進(jìn)行數(shù)據(jù)備份的效果圖。[0113]并且,在用戶開(kāi)始查殺流程前,提示用戶保持USB連接,圖4所示,即為一種查殺流程前的提示方式。[0114]首先執(zhí)行步驟S201,獲取移動(dòng)終端的機(jī)型信息。[0115]需要說(shuō)明的是,移動(dòng)終端的存儲(chǔ)空間中設(shè)置有BOOT分區(qū),其操作系統(tǒng)文件保存在BOOT分區(qū)中,并且操作系統(tǒng)文件以壓縮包的形式保存在BOOT分區(qū)中。[0116]在本實(shí)施例中,以安卓操作系統(tǒng)為例,則系統(tǒng)文件壓縮包為boot,imgο[0117]例如,不死木馬就是被寫入到boot,img中。一般在操作系統(tǒng)啟動(dòng)時(shí),會(huì)首先將boot,img解壓縮,并釋放到內(nèi)存中,繼而進(jìn)行操作系統(tǒng)的啟動(dòng),因此,現(xiàn)有的殺毒方式是不能清除不死木馬的,在操作系統(tǒng)重啟后,不死木馬會(huì)再次被釋放到移動(dòng)終端的內(nèi)存中。[0118]在boot,img中,包括有兩部分:內(nèi)核kernel及根目錄(initramdisk);其中,所述根目錄下包含有服務(wù)目錄及引導(dǎo)配置文件inti,rc,所述服務(wù)目錄下包含有服務(wù)文件。其中,所述服務(wù)目錄可包括有sbin目錄。[0119]一般的安卓操作系統(tǒng)的啟動(dòng)過(guò)程如下:[0120]首先,接收到開(kāi)機(jī)或重啟觸發(fā)指令后,以只讀的方式加載引導(dǎo)分區(qū)中的所述boot,imgο然后,通過(guò)所述boot,img的kernel讀取所述根目錄下的inti,rc中的配置信息,用以在操作系統(tǒng)啟動(dòng)時(shí),指示操作系統(tǒng)中的程序執(zhí)行什么操作,例如指示屏幕顯示開(kāi)機(jī)動(dòng)畫(huà)等。[0121]其中,對(duì)于不同的移動(dòng)終端,由于生產(chǎn)廠家不同、使用的操作系統(tǒng)不同,其BOOT分區(qū)的存儲(chǔ)位置不同、系統(tǒng)文件壓縮包boot,img的壓縮格式也不同,因此,進(jìn)行重新刷機(jī)必須先獲取其機(jī)型信息以獲知BOOT分區(qū)的存儲(chǔ)位置。[0122]在獲取BOOT分區(qū)的位置時(shí),還可以根據(jù)移動(dòng)終端中的分區(qū)表獲取其BOOT分區(qū)的位置。[0123]其中,一般情況下,分區(qū)表位于移動(dòng)終端的磁盤(存儲(chǔ)空間)起始處的一個(gè)或者幾個(gè)扇區(qū)內(nèi),只要讀取這幾個(gè)扇區(qū),然后按照特定格式解析,就能得到分區(qū)表。不同格式的磁盤需要適配工作,很多廠商對(duì)于其移動(dòng)終端的磁盤格式采取自定義的方式,另外也有小部分廠商使用MBR(MainBootRecord,主引導(dǎo)記錄)和GPT(GUIDPartit1nTable,GUID磁碟分割表)格式的磁盤。[0124]以安卓操作系統(tǒng)的啟動(dòng)為例進(jìn)行說(shuō)明,在移動(dòng)終端加電后,其會(huì)首先加載CPU中的程序代碼Bootloader,通過(guò)該代碼,引導(dǎo)找到BOOT分區(qū),并將BOOT分區(qū)中的系統(tǒng)文件boot,img讀取到內(nèi)存中,并將其中的kernel和ramdisk進(jìn)行解壓縮,首先運(yùn)行其中的kernel文件,加載Iinux內(nèi)核(安卓操作系統(tǒng)采用Iinux內(nèi)核),在操作系統(tǒng)的內(nèi)核啟動(dòng)后,運(yùn)行ramdisk中的程序,進(jìn)而完成整個(gè)操作系統(tǒng)的啟動(dòng)。[0125]需要說(shuō)明的是,分區(qū)表的存儲(chǔ)位置以及磁盤的存儲(chǔ)格式都是可以自定義的,所以不同手機(jī)和操作系統(tǒng)的分區(qū)表的位置是不同的,需要通過(guò)適配來(lái)完成。[0126]在一般的情況下,移動(dòng)終端可能存在多個(gè)分區(qū),則可逐個(gè)分區(qū)進(jìn)行查找,確定BOOT分區(qū)的位置。[0127]移動(dòng)終端的機(jī)型信息,可以包括有移動(dòng)終端的品牌、操作系統(tǒng)的型號(hào)、內(nèi)核版本號(hào)等,例如可以是:[0128]華為P6、操作系統(tǒng)Emot1nU1、內(nèi)核版本安卓4.2.2;[0129]魅族MX4、操作系統(tǒng)Flyme4.0、內(nèi)核版本安卓4.4.1。[0130]在獲取移動(dòng)終端的機(jī)型信息后,執(zhí)行步驟S202,根據(jù)該移動(dòng)終端的機(jī)型信息獲取該移動(dòng)終端的BOOT分區(qū)的存儲(chǔ)位置,以及boot,img的壓縮格式。[0131]其中,移動(dòng)終端的生產(chǎn)廠家對(duì)其BOOT分區(qū)的位置的定義不同,主要是為了保護(hù)其操作系統(tǒng)不會(huì)被惡意修改。在本發(fā)明實(shí)施例中,可以通過(guò)適配的方法獲取不同的機(jī)型信息的移動(dòng)終端的BOOT分區(qū)的位置、boot,img的壓縮格式,并保存到數(shù)據(jù)庫(kù)中。[0132]當(dāng)需要得知移動(dòng)終端的BOOT分區(qū)的位置和boot,img的壓縮格式時(shí),只需要通過(guò)機(jī)型信息在數(shù)據(jù)庫(kù)中查詢即可。[0133]對(duì)于尋找BOOT分區(qū)的位置,以Google的Android手機(jī)Nexus為例進(jìn)行說(shuō)明,Nexus系統(tǒng)的手機(jī)在系統(tǒng)啟動(dòng)時(shí)會(huì)枚舉設(shè)備,找到BOOT分區(qū)對(duì)應(yīng)的設(shè)備,并在proc內(nèi)存文件系統(tǒng)的/dev/blocks目錄創(chuàng)建一個(gè)名為“BOOT”的符號(hào)鏈接,只要枚舉/dev/blocks目錄就可以得到boot分區(qū)對(duì)應(yīng)的設(shè)備。[0134]而對(duì)于獲取boot,img的格式,仍以Google的Android手機(jī)Nexus為例,它的boot.1mg文件的格式在Android源碼中是可以找到的,只要按照這個(gè)格式解析就可以了,其他一些廠商會(huì)自定義格式,需要適配。[0135]接著,執(zhí)行步驟S203。在步驟S203中,通過(guò)在步驟S202中得到的BOOT分區(qū)的位置讀取得到boot,img,并根據(jù)其壓縮格式進(jìn)行解壓縮,得到系統(tǒng)文件。[0136]得到系統(tǒng)文件,也即需要得到kernel與initramdisk。在步驟S202中確定boot,img的格式之后,就可以解壓讀取到initramdisk。[0137]本步驟S203仍以Google的Android手機(jī)Nexus手機(jī)為例,它的initramdisk是先用以CP1格式打包,然后再使用gzip格式壓縮的,只要在程序中先按照gzip格式解壓縮,然后再按照CP1格式解包就可以得到里面所有的文件,然后就可以進(jìn)入下面步驟的查殺操作。[0138]其中,其他手機(jī)的可能會(huì)存在XZ、LZMA、LZO等壓縮格式,需要先判斷是哪種壓縮格式,然后再使用按照相應(yīng)的格式進(jìn)行解壓。[0139]在得到系統(tǒng)文件后,即進(jìn)行惡意程序掃描的步驟,即執(zhí)行步驟S204,掃描系統(tǒng)文件中是否存在預(yù)設(shè)的惡意程序特征,如果是,則執(zhí)行步驟S205,如果不是,則執(zhí)行步驟S206。[0140]在本實(shí)施例中,掃描系統(tǒng)文件中是否存在預(yù)設(shè)的惡意程序特征,可以包括如下兩種方式:[0141]第一種方式,根據(jù)系統(tǒng)文件中用于記錄啟動(dòng)項(xiàng)的配置文件,查找可自啟動(dòng)的程序的文件路徑,提前這些文件路徑中的每一個(gè)文件的文件特征值,判斷是否存在與預(yù)設(shè)文件特征值匹配的文件。[0142]需要說(shuō)明的是,自啟動(dòng)程序會(huì)有一些項(xiàng)目屬性,項(xiàng)目展示的屬性包含:軟件ICON,軟件名稱,自啟權(quán)限,移除按鈕。在一般情況下,操作系統(tǒng)會(huì)提供查看自啟動(dòng)程序的功能,點(diǎn)擊相應(yīng)的按鈕后,啟動(dòng)項(xiàng)將出現(xiàn)在“自啟動(dòng)軟件”項(xiàng)目下。并且用戶可自定義自啟動(dòng)的應(yīng)用程序,若用戶點(diǎn)擊添加,添加了某款具有自啟權(quán)利的軟件,則該項(xiàng)軟件將出現(xiàn)在“自啟動(dòng)軟件”項(xiàng)目下。[0143]但是,為了實(shí)現(xiàn)對(duì)于操作系統(tǒng)的控制,一些惡意程序也會(huì)將自身加入到自啟動(dòng)項(xiàng)中,使得每次用戶開(kāi)機(jī)時(shí),都可以運(yùn)行自身,以執(zhí)行其預(yù)設(shè)的惡意行為。因此,可通過(guò)掃描自啟動(dòng)程序進(jìn)行惡意程序的查找。[0144]對(duì)于一些惡意程序,其還具有修改配置文件,將自身置為自啟動(dòng)程序的行為,因此,還可以通過(guò)注入和javahook等手段,實(shí)時(shí)監(jiān)聽(tīng)各個(gè)軟件的啟動(dòng)行為,并能夠分析出導(dǎo)致該軟件被喚醒的組件。在判定是否為軟件的自啟行為時(shí),會(huì)遵循以下規(guī)則:(I)可視化組件(activity組件)引發(fā)的啟動(dòng)行為不能被攔截,因?yàn)檫@種行為多由用戶觸發(fā),并非軟件自啟;(2)針對(duì)broadcast組件,則分兩種情況處理。如果包含該broadcast組件的軟件已經(jīng)處于運(yùn)行狀態(tài),則認(rèn)為當(dāng)前的啟動(dòng)行為并非自啟,不需要被攔截,這種情況一般發(fā)生在多進(jìn)程Android軟件中。反之,貝U認(rèn)為是自啟;(3)針對(duì)service組件的判別方式與broadcast組件類似,但是service組件的重要性一般要高于broadcast組件,不恰當(dāng)?shù)臄r截極有可能導(dǎo)致某些軟件運(yùn)行異常,為了避免這種情況,當(dāng)service組件引發(fā)的自啟行為被攔截時(shí),我們會(huì)給予提示,引導(dǎo)用戶完成預(yù)期的操作;(4)對(duì)于provider組件引發(fā)的啟動(dòng)行為,一般不攔截。通過(guò)對(duì)這些規(guī)則的應(yīng)用,可以較準(zhǔn)確的判定軟件的自啟行為,同時(shí)又不對(duì)用戶的正常使用造成困擾。其中,每一種病毒或木馬文件,都可計(jì)算得到其文件特征值,并放入病毒庫(kù)中。在進(jìn)行惡意程序掃描時(shí),通過(guò)相同的方式,計(jì)算得到待掃描文件的文件特征值,并與病毒庫(kù)中的文件特征值進(jìn)行匹配。如果存在匹配的文件特征值,則認(rèn)為待掃描文件為病毒文件。[0145]具體地,提取文件的特征值可采用多種方法,例如匹配ELF(ExecutableandLinkingFormat,可執(zhí)行鏈接文件)文件中可執(zhí)行代碼的機(jī)器指令,具體在提取文件的特征值時(shí),可以只提取文件中一段指定長(zhǎng)度的數(shù)據(jù)(可執(zhí)行代碼的指令或者是其中一部分)。[0146]例如,可以采用如下方式提取文件的特征值:[0147]以Android操作系統(tǒng)為例,大部分Android應(yīng)用都主要是由Java語(yǔ)言編寫,編譯之后生成了Dalvik虛擬機(jī)的字節(jié)碼(bytecode),打包成了classes,dex文件。解析classes,dex文件,反編譯其字節(jié)碼,就可以得到應(yīng)用程序所要執(zhí)行的指令。[0148]可以挑選指令中能代表惡意軟件特征的指令作為特征碼,當(dāng)發(fā)現(xiàn)classes,dex文件中包含這樣的特征碼時(shí),就作為一個(gè)特征。例如,Android.Geinimi木馬為了隱藏自己,將一些關(guān)鍵數(shù)據(jù)(如木馬服務(wù)器信息)加密之后寫入代碼中,這些被加密的數(shù)據(jù)反而成為了檢測(cè)識(shí)別它的特征。用dexdump工具分析classes,dex文件可看到輸出中包含以下片段:[0149]OOdOOc:0003010010000000553502348664...02d4:array-data(12units)[0150]00d024:0003010010000000Ibeac301eadf...02e0:array-data(12units)[0151]上述片段就可以提取作為檢測(cè)識(shí)別的特征。[0152]當(dāng)然,dexdump工具只是顯示這些特征數(shù)據(jù)的手段之一,也可以通過(guò)其他方式自行實(shí)現(xiàn)解析、反編譯和識(shí)別classes,dex文件的功能。[0153]綜上所述,樣本一不包含ELF文件,所以沒(méi)有提取到ELF特征。[0154]從樣本一中提取了上述特征之后,假設(shè)安全識(shí)別庫(kù)中存在以下特征記錄:[0155]特征一:packageName=com.wbs[0156]特征二:無(wú)[0157]特征三:MD5(signature[O])=294f08ae04307a649322524713318543[0158]特征一+特征三:安全級(jí)別為“木馬”[0159]當(dāng)檢測(cè)流程走到“找到包含特征一、特征三的木馬”時(shí),找到記錄,返回結(jié)果為“木馬”。[0160]該第一種方式可通過(guò)多種殺毒引擎實(shí)現(xiàn),例如可以為AVE引擎、QVS(Qihoc)VirusScan,奇虎病毒掃描)引擎,或者QVS結(jié)合云查殺引擎。[0161]需要說(shuō)明的是,除了掃描自啟動(dòng)程序的路徑下的每一個(gè)文件,還可以采取對(duì)全部系統(tǒng)文件進(jìn)行掃描的方式。[0162]其中,在本地或云服務(wù)器的惡意程序識(shí)別庫(kù)中,預(yù)置了多條特征記錄(即特征值),其中,單個(gè)特征信息可以構(gòu)成一條特征記錄,多個(gè)特征信息的組合也可以構(gòu)成一條特征記錄。例如,一個(gè)安全識(shí)別庫(kù)中預(yù)置了幾十條特征記錄,其中,第一條特征記錄中列出了某種病毒的Android安裝包包名,第二條特征記錄中列出了某個(gè)正常應(yīng)用的Android安裝包版本號(hào)及其數(shù)字簽名的MD5值,第三條特征記錄中列出了某個(gè)正常應(yīng)用的Android安裝包包名及其receiver特征,第四條特征記錄中列出了某種木馬的Android安裝包包名、版本號(hào)及其ELF文件中的特定字符串,等等。[0163]第二種方式,提取系統(tǒng)文件中的每一個(gè)文件的文件特征值,并將文件特征值發(fā)送給云服務(wù)器進(jìn)行掃描。[0164]其中,云服務(wù)器保存有龐大的病毒庫(kù),包含有眾多的惡意程序的文件特征值,除了可以對(duì)不死木馬進(jìn)行掃描,還可以對(duì)其他惡意程序進(jìn)行掃描。[0165]并且,在通過(guò)特征值掃描的方式中,可以對(duì)掃描的文件進(jìn)行分類,例如可以分為:安全、危險(xiǎn)、謹(jǐn)慎和木馬四個(gè)安全級(jí)別。其中,各種安全級(jí)別的定義如下:[0166]安全:該應(yīng)用是一個(gè)正常的應(yīng)用,沒(méi)有任何威脅用戶手機(jī)安全的行為;[0167]危險(xiǎn):該應(yīng)用存在安全風(fēng)險(xiǎn),有可能該應(yīng)用本身就是惡意軟件;也有可能該應(yīng)用本來(lái)是正規(guī)公司發(fā)布的正常軟件,但是因?yàn)榇嬖诎踩┒?,?dǎo)致用戶的隱私、手機(jī)安全受到威脅;[0168]謹(jǐn)慎:該應(yīng)用是一個(gè)正常的應(yīng)用,但是存在一些問(wèn)題,例如會(huì)讓用戶不小心被扣費(fèi),或者有不友好的廣告遭到投訴等;當(dāng)發(fā)現(xiàn)這類應(yīng)用之后,會(huì)提示用戶謹(jǐn)慎使用并告知該應(yīng)用可能的行為,但是由用戶自行決定是否清除該應(yīng)用;[0169]木馬:該應(yīng)用是病毒、木馬或者其他惡意軟件,此處為了簡(jiǎn)單統(tǒng)稱為木馬,但并不表示該應(yīng)用僅僅是木馬。[0170]其中,通過(guò)云端對(duì)文件進(jìn)行檢測(cè),除了檢測(cè)待掃描文件的安全級(jí)別外,還可以包括如下信息:[0171]Root代碼:檢測(cè)文件是否會(huì)通過(guò)代碼獲取手機(jī)的root權(quán)限。[0172]Kungfu木馬:檢測(cè)文件中是否嵌入了Kungfu木馬。[0173]包含子包:篩選文件中是否含有子包的樣本。[0174]惡意特征:篩選文件中是否嵌入惡意特征。[0175]黑白證書(shū):檢測(cè)文件處于什么安全證書(shū)下,其中,安全證書(shū)可包括白證書(shū)、灰白證書(shū)、灰證書(shū)、灰黑證書(shū)、黑證書(shū)、未知證書(shū)等。[0176]第三方檢測(cè):檢測(cè)文件是否被第三方殺軟判定為惡意。[0177]推送廣告:檢測(cè)文件中是否嵌入推送廣告sdk。[0178]操作人員:檢測(cè)對(duì)文件做最后修改的操作id。[0179]惡意網(wǎng)址:檢測(cè)文件中是否嵌入惡意網(wǎng)址。[0180]工具root:檢測(cè)文件中是否嵌入了利用溢出漏洞文件來(lái)獲取root的代碼。[0181]其中,在云查殺中,可選擇對(duì)上述信息進(jìn)行掃描,以幫助確定代掃描的文件是否為惡意程序。[0182]為了實(shí)現(xiàn)本發(fā)明實(shí)施例所提供的方法,本方法所提供的惡意程序查殺系統(tǒng)可包括多個(gè)程序模塊進(jìn)行實(shí)現(xiàn)。[0183]例如:[0184]病毒信息塊(irusinfo)[0185]病毒信息塊提供此條記錄針對(duì)的病毒的分類、運(yùn)行平臺(tái)、名字、變種號(hào)等信息;[0186]掃描塊(scanblock)[0187]掃描塊,用于實(shí)現(xiàn)步驟S204所述的方法,例如使用AVScript腳本語(yǔ)言的查毒方法;[0188]殺毒塊(killblock)[0189]殺毒塊,用于進(jìn)行惡意程序的清除,例如可以使用AVScript腳本語(yǔ)言的殺毒方法,也可以使用查毒方法。[0190]在上述兩種檢測(cè)方式實(shí)施時(shí),更優(yōu)選的方案是:[0191]本地樣本庫(kù)優(yōu)先檢測(cè)完后,無(wú)論檢測(cè)結(jié)果如何,均再上傳到云服務(wù)器重新檢測(cè),然后將本地與云服務(wù)器的檢測(cè)結(jié)果合并;[0192]或,[0193]本地優(yōu)先檢測(cè),如果對(duì)提取的特征全部檢測(cè)出結(jié)果,則無(wú)需上傳服務(wù)器再檢測(cè),但如果本地有無(wú)法識(shí)別的特征,則再上傳服務(wù)器檢測(cè),最后將兩種檢測(cè)結(jié)果合并。[0194]其中,檢測(cè)結(jié)果記錄為程序的行為描述信息,例如可采用如下方式:[0195]行為描述信息可以用32位(O?31)整數(shù)表示,可以表示出各個(gè)安全級(jí)別的軟件行為描述。其中,可以選取一位表示標(biāo)志位,標(biāo)志位為O表示沒(méi)有惡意行為,如果有惡意行為,則可以定義:第I位代表“后臺(tái)偷偷下載”,第2位代表“私自發(fā)送短信”,第3位代表“包含廣告”,等等。即,每一位都可以單獨(dú)表示一種軟件的行為描述。[0196]例如,對(duì)于檢測(cè)為“木馬級(jí)別”的Android應(yīng)用程序,如果惡意行為=3,翻譯成二進(jìn)制就是11,第I位=1,第2位=1,表示的惡意行為是:同時(shí)具有后臺(tái)偷偷下載和私自發(fā)送短信的行為。[0197]再例如,對(duì)于檢測(cè)為“謹(jǐn)慎級(jí)別”的Android應(yīng)用程序,如果行為描述=4,翻譯成二進(jìn)制就是100,第I位=O,第2位=O,第2位=I,表示的行為是:包含廣告。由于這個(gè)廣告可能是用戶允許的,也可能是用戶不允許的,所以會(huì)提示用戶謹(jǐn)慎使用,由用戶自行決定是否清除。[0198]優(yōu)選地,在進(jìn)行云查殺時(shí),優(yōu)先的在PC機(jī)上對(duì)移動(dòng)終端中的文件進(jìn)行查殺,可以節(jié)省手機(jī)的流量。在進(jìn)行云查殺時(shí),需要將系統(tǒng)中的文件的特征值傳送到云端,一般手機(jī)等移動(dòng)終端,在不連接WiFi的情況下,則需要耗費(fèi)流量。而如果通過(guò)PC機(jī)對(duì)移動(dòng)終端中的文件進(jìn)行云查殺,則可將手機(jī)中的文件的特征值由PC機(jī)直接傳送給云端,而不需耗費(fèi)手機(jī)的流量。[0199]除了上述兩種方式外,在操作系統(tǒng)啟動(dòng)后,還可以通過(guò)判斷操作系統(tǒng)中是否存在預(yù)設(shè)行為來(lái)判斷是否存在惡意程序,具體可以包括:[0200]判斷操作系統(tǒng)中是否存在刪除自身文件,但是文件對(duì)應(yīng)的進(jìn)程仍保持運(yùn)行的行為;或,[0201]文件將自身的代碼注入到系統(tǒng)進(jìn)程中的行為。[0202]需要說(shuō)明的是,對(duì)于判斷系統(tǒng)進(jìn)程中是否發(fā)生了注入行為,一般采取如下方式:[0203]掃描預(yù)設(shè)的進(jìn)程模塊,確認(rèn)是否有病毒注入。[0204]在Android系統(tǒng)中存在幾個(gè)關(guān)鍵進(jìn)程(例如,system_server),—般惡意代碼注入只發(fā)生在這幾個(gè)進(jìn)程中。[0205]上述步驟S204中提及了當(dāng)判斷得出系統(tǒng)文件中包括有惡意程序時(shí),執(zhí)行步驟S205,執(zhí)行重刷移動(dòng)終端的BOOT分區(qū)的操作。[0206]其中,重刷移動(dòng)終端的BOOT分區(qū)的操作,具體包括如下步驟:[0207]首先,刪除系統(tǒng)文件中具有惡意程序特征的文件;[0208]其次,按照boot,img的壓縮格式將刪除具有惡意程序特征的文件后的系統(tǒng)文件進(jìn)行壓縮,得到新的boot,img;[0209]最后,使用新的boot,img覆蓋移動(dòng)終端的BOOT分區(qū)。[0210]需要說(shuō)明的是,為了防止BOOT分區(qū)中的系統(tǒng)文件被修改,一般的廠商還會(huì)在BOOT分區(qū)中保存對(duì)于boot,img的校驗(yàn)值,在操作系統(tǒng)啟動(dòng)時(shí),會(huì)首先對(duì)boot,img進(jìn)行計(jì)算得到校驗(yàn)值,并與預(yù)先保存的校驗(yàn)值進(jìn)行比對(duì),如果不相同,則不能啟動(dòng)操作系統(tǒng)。[0211]因此,本實(shí)施例所提供的方法還包括如下操作:[0212]根據(jù)移動(dòng)終端的機(jī)型信息獲取其boot,img的校驗(yàn)算法,并根據(jù)校驗(yàn)算法重新計(jì)算新的boot,img的校驗(yàn)值,替換掉重刷前保存的校驗(yàn)值,并將新的校驗(yàn)值以及boot,img—起寫入到BOOT分區(qū)中。[0213]其中,校驗(yàn)算法可以是MD5(MessageDigestAlgorithm5,消息摘要算法第五版)、SHA(SecureHashAlgorithm,安全哈希算法)、RSA算法等。[0214]除了對(duì)BOOT分區(qū)進(jìn)行重刷外,還可以采用如下方式對(duì)惡意程序進(jìn)行查殺:[0215]將由具有惡意程序特征的文件生成的可運(yùn)行文件置為只可讀狀態(tài)。[0216]具體地,在進(jìn)行刷機(jī)時(shí),對(duì)于支持Fastboot的手機(jī),可以使用Fastboot的刷機(jī)工具對(duì)手機(jī)的BOOT分區(qū)進(jìn)行重刷。[0217]其中,F(xiàn)astboot為安卓手機(jī)提供的一種底層的刷機(jī)模式。[0218]而有些手機(jī)不支持Fastboot進(jìn)行刷機(jī),需要調(diào)用刷機(jī)工具完成刷機(jī),調(diào)用刷機(jī)工具的具體工作方式如下:[0219]將壓縮好的boot,img文件發(fā)送到手機(jī)存儲(chǔ)空間中,通過(guò)手機(jī)的操作系統(tǒng)中負(fù)責(zé)寫入系統(tǒng)文件的函數(shù)寫入到BOOT分區(qū)中,把原BOOT分區(qū)中的文件覆蓋。[0220]其中,圖5所示即為重刷系統(tǒng)時(shí)的效果圖。[0221]對(duì)于將boot,img文件重新寫入到BOOT分區(qū)的方式,具體說(shuō)明如下:[0222](I)對(duì)于支持Fastboot的手機(jī),在手機(jī)中的bootloader程序(在操作系統(tǒng)內(nèi)核運(yùn)行之前的引導(dǎo)程序)中有一個(gè)Fastboot服務(wù)器,F(xiàn)astboot通過(guò)與該服務(wù)器通信即可完成刷機(jī)操作。Fastboot發(fā)出一條刷機(jī)指令,指明要刷的分區(qū)(例如BOOT),并把對(duì)應(yīng)分區(qū)的一個(gè)完成磁盤影像,傳入到移動(dòng)終端中,F(xiàn)astboot服務(wù)器拿到這個(gè)磁盤影像(例如boot,img),就用這個(gè)影像完全覆蓋對(duì)應(yīng)分區(qū)的數(shù)據(jù)。[0223](2)對(duì)于不支持Fastboot的手機(jī),則需要自己完成刷機(jī)工具,將磁盤影像刷寫到目標(biāo)磁盤分區(qū)(先找到boot分區(qū)對(duì)應(yīng)到磁盤設(shè)備,然后將磁盤影像中的數(shù)據(jù),并將數(shù)據(jù)一塊一塊的拷貝過(guò)去,覆蓋目標(biāo)磁盤中的數(shù)據(jù)。[0224]需要說(shuō)明的是,一般情況下,惡意程序的惡意行為主要包括通過(guò)后臺(tái)下載應(yīng)用程序、下載彈出廣告等,其惡意行為通過(guò)其生成的可執(zhí)行文件進(jìn)行執(zhí)行。因此,將其置為只可讀狀態(tài),雖不能清除惡意程序,卻能使其喪失執(zhí)行惡意行為的能力,從而不對(duì)用戶產(chǎn)生威脅或騷擾。[0225]其中,還可以通過(guò)病毒檢測(cè)腳本確認(rèn)待掃描文件是否為病毒文件,當(dāng)為病毒文件時(shí)則可以調(diào)用殺毒方法對(duì)病毒文件進(jìn)行殺毒。殺毒方法主要分為兩類:一類是針對(duì)文件本身就是病毒木馬,殺毒只需要直接刪除目標(biāo)文件即可;另一類是針對(duì)感染型病毒(其會(huì)將自己的病毒體代碼插入到正常的可執(zhí)行文件中,并在運(yùn)行之前先取得控制權(quán)),通過(guò)組合使用殺毒方法進(jìn)行清除。[0226]在完成BOOT分區(qū)的重刷后,即完成了對(duì)于頑固型惡意程序的清除,圖6所示即為一種通過(guò)重刷系統(tǒng)分區(qū)完成惡意程序清除后的效果圖。[0227]上述步驟S204中提及了當(dāng)不存在具有預(yù)設(shè)的惡意程序特征的文件時(shí),執(zhí)行步驟S206,結(jié)束掃描操作。[0228]需要說(shuō)明的是,本實(shí)施例僅以查殺惡意程序?yàn)槔M(jìn)行說(shuō)明,其方法流程同樣適用于其他存儲(chǔ)與操作系統(tǒng)分區(qū)中的惡意程序。[0229]另外,處理通過(guò)重刷BOOT分區(qū)的方式清除惡意程序,還可以采取免疫的方式對(duì)惡意程序進(jìn)行查殺,具體說(shuō)明如下:[0230]還可以采用免疫的方法來(lái)殺毒,一般方法是:[0231]通過(guò)逆向分析惡意程序的執(zhí)行文件,查找其邏輯漏洞,使惡意程序在進(jìn)行惡意行為之前就退出。[0232]例如,不死木馬的一個(gè)變種,imei_chk會(huì)創(chuàng)建一個(gè)文件,通過(guò)該文件執(zhí)行APP下載、廣告推送等,但是如果該文件創(chuàng)建失敗,就退出,正常情況下,這個(gè)的文件創(chuàng)建操作是能成功的。因此,我們可以采用免疫的方式使這個(gè)木馬失效:[0233]刪除該木馬創(chuàng)建的文件,然后在同一位置創(chuàng)建一個(gè)同名文件,并且將這個(gè)文件設(shè)置上只讀屬性。通過(guò)該操作,即可使得木馬無(wú)法再修改或者創(chuàng)建同一個(gè)文件,下次病毒再執(zhí)行的時(shí)候,發(fā)現(xiàn)該同名文件后,木馬就直接退出了,不能繼續(xù)執(zhí)行后面的惡意行為。[0234]本發(fā)明實(shí)施例提供了一種查殺惡意程序的方法,當(dāng)移動(dòng)終端中的文件保護(hù)有預(yù)設(shè)的惡意程序特征時(shí),通過(guò)執(zhí)行重刷操作系統(tǒng)分區(qū)的操作,能夠徹底清除ROM病毒等寄存于操作系統(tǒng)分區(qū)中的惡意程序,解決了ROM病毒類的惡意程序不能徹底查殺的問(wèn)題,保護(hù)了用戶的數(shù)據(jù)財(cái)產(chǎn)安全,防止用戶受到ROM病毒的騷擾,可以防止惡意程序扣費(fèi),偷跑流量,彈出各種垃圾廣告,竊取用戶隱私,以及保證用戶手機(jī)支付的安全等,對(duì)移動(dòng)終端殺毒引擎無(wú)法正常查殺的惡意程序可以進(jìn)行徹底的清除。[0235]實(shí)施例三[0236]圖7是本發(fā)明一個(gè)實(shí)施例提供的一種查殺惡意程序的裝置結(jié)構(gòu)框圖。該裝置700包括:[0237]文件獲取模塊710,適于獲取終端操作系統(tǒng)中的指定文件;[0238]程序掃描模塊720,適于掃描指定文件中是否包括預(yù)設(shè)的惡意程序特征;[0239]操作執(zhí)行模塊730,適于當(dāng)指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷操作系統(tǒng)的系統(tǒng)分區(qū)的操作;[0240]其中,指定文件存儲(chǔ)于系統(tǒng)分區(qū)中。[0241]可選地,系統(tǒng)分區(qū)為BOOT分區(qū),指定文件為存儲(chǔ)于BOOT分區(qū)中的系統(tǒng)文件壓縮包。[0242]可選地,文件獲取模塊710適于按照如下方式獲取終端操作系統(tǒng)中的指定文件:[0243]獲取終端的機(jī)型信息;[0244]根據(jù)機(jī)型信息獲取終端的系統(tǒng)文件壓縮包的壓縮格式;[0245]根據(jù)壓縮格式解壓系統(tǒng)文件壓縮包,得到解壓縮后的文件為指定文件。[0246]可選地,程序掃描模塊720適于提取解壓縮后的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。[0247]可選地,程序掃描模塊720適于提取解壓縮后的每一個(gè)文件的文件特征值,并將文件特征值發(fā)送給云服務(wù)器;[0248]其中,文件特征值用于云服務(wù)器判斷指定文件中是否包含與預(yù)設(shè)的特征值相匹配的文件。[0249]可選地,程序掃描模塊720適于掃描用于記錄操作系統(tǒng)的啟動(dòng)項(xiàng)的配置文件,讀取所述配置文件記錄的每一個(gè)自啟動(dòng)程序的文件路徑,提取所述文件路徑下的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。[0250]可選地,操作執(zhí)行模塊730適于按照如下方式執(zhí)行重刷操作系統(tǒng)的系統(tǒng)分區(qū)的操作:[0251]刪除解壓縮后的文件中具有惡意程序特征的文件;[0252]按照壓縮格式將刪除具有惡意程序特征的文件后的系統(tǒng)文件進(jìn)行壓縮,得到新系統(tǒng)壓文件縮包;[0253]使用新系統(tǒng)文件壓縮包覆蓋終端的BOOT分區(qū)。[0254]可選地,操作執(zhí)行模塊730適于按照如下方式使用新系統(tǒng)文件壓縮包覆蓋終端的BOOT分區(qū):[0255]根據(jù)終端的機(jī)型信息獲取終端的操作系統(tǒng)文件的校驗(yàn)算法;[0256]使用校驗(yàn)算法對(duì)新系統(tǒng)文件壓縮包進(jìn)行計(jì)算得到校驗(yàn)值;[0257]在終端的BOOT分區(qū)依次寫入校驗(yàn)值和信系統(tǒng)文件壓縮包。[0258]可選地,該裝置700還包括:[0259]機(jī)型信息獲取模塊740,適于在獲取終端操作系統(tǒng)中的指定文件之前,獲取終端的機(jī)型信息;[0260]第一位置獲取模塊750,適于根據(jù)機(jī)型信息獲取終端的BOOT分區(qū)的位置。[0261]可選地,該裝置700還包括:[0262]分區(qū)表獲取模塊760,適于在獲取終端操作系統(tǒng)中的指定文件之前,獲取終端的分區(qū)表;[0263]第二位置獲取模塊770,適于根據(jù)分區(qū)表獲取終端的BOOT分區(qū)的位置。[0264]可選地,程序掃描模塊720還適于檢測(cè)指定文件中是否存在預(yù)設(shè)行為的文件。[0265]可選地,預(yù)設(shè)行為包括:[0266]刪除自身文件,但文件對(duì)應(yīng)的進(jìn)程保持運(yùn)行;或者,[0267]將自身的代碼注入到系統(tǒng)進(jìn)程。[0268]可選地,當(dāng)指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),該裝置700還包括:[0269]狀態(tài)設(shè)置模塊780,適于將由具有預(yù)設(shè)惡意程序特征的文件生成的可運(yùn)行文件刪除,并在所述可運(yùn)行文件的相同位置生成與所述可運(yùn)行文件同名的文件,并置為只可讀狀態(tài)。[0270]本發(fā)明實(shí)施例提供了一種查殺惡意程序的裝置,當(dāng)移動(dòng)終端中的文件保護(hù)有預(yù)設(shè)的惡意程序特征時(shí),通過(guò)執(zhí)行重刷操作系統(tǒng)分區(qū)的操作,能夠徹底清除ROM病毒等寄存于操作系統(tǒng)分區(qū)中的惡意程序,解決了ROM病毒類的惡意程序不能徹底查殺的問(wèn)題,保護(hù)了用戶的數(shù)據(jù)財(cái)產(chǎn)安全,防止用戶受到ROM病毒的騷擾,可以防止惡意程序扣費(fèi),偷跑流量,彈出各種垃圾廣告,竊取用戶隱私,以及保證用戶手機(jī)支付的安全等,對(duì)移動(dòng)終端殺毒引擎無(wú)法正常查殺的惡意程序可以進(jìn)行徹底的清除。[0271]在此處所提供的說(shuō)明書(shū)中,說(shuō)明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對(duì)本說(shuō)明書(shū)的理解。[0272]類似地,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō),如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征。因此,遵循【具體實(shí)施方式】的權(quán)利要求書(shū)由此明確地并入該【具體實(shí)施方式】,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。[0273]本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中??梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。[0274]此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在權(quán)利要求書(shū)中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。[0275]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的查殺惡意程序的裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形式提供。[0276]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。[0277]至此,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識(shí)到,雖然本文已詳盡示出和描述了本發(fā)明的多個(gè)示例性實(shí)施例,但是,在不脫離本發(fā)明精神和范圍的情況下,仍可根據(jù)本發(fā)明公開(kāi)的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改。因此,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改。[0278]本發(fā)明實(shí)施例提供了Al.—種查殺惡意程序的方法,包括:獲取終端操作系統(tǒng)中的指定文件;掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征;當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作;其中,所述指定文件存儲(chǔ)于所述系統(tǒng)分區(qū)中。A2.根據(jù)Al所述的方法,其中,所述系統(tǒng)分區(qū)為BOOT分區(qū),所述指定文件為存儲(chǔ)于所述BOOT分區(qū)中的系統(tǒng)文件壓縮包。A3.根據(jù)A2所述的方法,其中,所述獲取終端操作系統(tǒng)中的指定文件,包括:獲取終端的機(jī)型信息;根據(jù)所述機(jī)型信息獲取所述終端的系統(tǒng)文件壓縮包的壓縮格式;根據(jù)所述壓縮格式解壓所述系統(tǒng)文件壓縮包,得到解壓縮后的文件為指定文件。A4.根據(jù)A3所述的方法,其中,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:提取所述解壓縮后的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。A5.根據(jù)A3所述的方法,其中,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:提取所述解壓縮后的每一個(gè)文件的文件特征值,并將所述文件特征值發(fā)送給云服務(wù)器;其中,所述文件特征值用于所述云服務(wù)器判斷所述指定文件中是否包含與預(yù)設(shè)的特征值相匹配的文件。A6.根據(jù)A3所述的方法,其中,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:掃描用于記錄所述操作系統(tǒng)的啟動(dòng)項(xiàng)的配置文件,讀取所述配置文件記錄的每一個(gè)自啟動(dòng)程序的文件路徑;提取所述文件路徑下的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。A7.根據(jù)A3至A6任一項(xiàng)所述的方法,其中,所述當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作,包括:刪除所述解壓縮后的文件中具有惡意程序特征的文件;按照所述壓縮格式將刪除具有惡意程序特征的文件后的系統(tǒng)文件進(jìn)行壓縮,得到新系統(tǒng)壓文件縮包;使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū)。AS.根據(jù)A7所述的方法,其中,所述使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū),包括:根據(jù)所述終端的機(jī)型信息獲取所述終端的操作系統(tǒng)文件的校驗(yàn)算法;使用所述校驗(yàn)算法對(duì)所述新系統(tǒng)文件壓縮包進(jìn)行計(jì)算得到校驗(yàn)值;在所述終端的BOOT分區(qū)依次寫入所述校驗(yàn)值和信系統(tǒng)文件壓縮包。A9.根據(jù)A2至AS任一項(xiàng)所述的方法,其中,在所述獲取終端操作系統(tǒng)中的指定文件之前,所述方法還包括:獲取所述終端的機(jī)型信息;根據(jù)所述機(jī)型信息獲取所述終端的BOOT分區(qū)的位置。A10.根據(jù)A2至AS任一項(xiàng)所述的方法,其中,在所述獲取終端操作系統(tǒng)中的指定文件之前,所述方法還包括:獲取所述終端的分區(qū)表;根據(jù)所述分區(qū)表獲取所述終端的BOOT分區(qū)的位置。All.根據(jù)Al至AlO任一項(xiàng)所述的方法,其中,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:檢測(cè)所述指定文件中是否存在預(yù)設(shè)行為的文件。A12.根據(jù)All所述的方法,其中,所述預(yù)設(shè)行為包括:刪除自身文件,但所述文件對(duì)應(yīng)的進(jìn)程保持運(yùn)行;或者,將自身的代碼注入到系統(tǒng)進(jìn)程。A13.根據(jù)Al至A12任一項(xiàng)所述的方法,其中,當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),所述方法還包括:將由具有預(yù)設(shè)惡意程序特征的文件生成的可運(yùn)行文件刪除,并在所述可運(yùn)行文件的相同位置生成與所述可運(yùn)行文件同名的文件,并置為只可讀狀態(tài)。[0279]本發(fā)明實(shí)施例提供了B14.—種查殺惡意程序的裝置,包括:文件獲取模塊,適于獲取終端操作系統(tǒng)中的指定文件;程序掃描模塊,適于掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征;操作執(zhí)行模塊,適于當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作;其中,所述指定文件存儲(chǔ)于所述系統(tǒng)分區(qū)中。B15.根據(jù)B14所述的裝置,其中,所述系統(tǒng)分區(qū)為BOOT分區(qū),所述指定文件為存儲(chǔ)于所述BOOT分區(qū)中的系統(tǒng)文件壓縮包。B16.根據(jù)B15所述的裝置,其中,所述文件獲取模塊適于按照如下方式獲取終端操作系統(tǒng)中的指定文件:獲取終端的機(jī)型信息;根據(jù)所述機(jī)型信息獲取所述終端的系統(tǒng)文件壓縮包的壓縮格式;根據(jù)所述壓縮格式解壓所述系統(tǒng)文件壓縮包,得到解壓縮后的文件為指定文件。B17.根據(jù)B16所述的裝置,其中,所述程序掃描模塊適于提取所述解壓縮后的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。B18.根據(jù)B16所述的裝置,其中,所述程序掃描模塊適于提取所述解壓縮后的每一個(gè)文件的文件特征值,并將所述文件特征值發(fā)送給云服務(wù)器;其中,所述文件特征值用于所述云服務(wù)器判斷所述指定文件中是否包含與預(yù)設(shè)的特征值相匹配的文件。B19.根據(jù)B16所述的裝置,其中,所述程序掃描模塊適于掃描用于記錄所述操作系統(tǒng)的啟動(dòng)項(xiàng)的配置文件,讀取所述配置文件記錄的每一個(gè)自啟動(dòng)程序的文件路徑,提取所述文件路徑下的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。B20.根據(jù)B16至B19任一項(xiàng)所述的裝置,其中,所述操作執(zhí)行模塊適于按照如下方式執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作:刪除所述解壓縮后的文件中具有惡意程序特征的文件;按照所述壓縮格式將刪除具有惡意程序特征的文件后的系統(tǒng)文件進(jìn)行壓縮,得到新系統(tǒng)壓文件縮包;使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū)。B21.根據(jù)B20所述的裝置,其中,所述操作執(zhí)行模塊適于按照如下方式使用所述新系統(tǒng)文件壓縮包覆蓋所述終端的BOOT分區(qū):根據(jù)所述終端的機(jī)型信息獲取所述終端的操作系統(tǒng)文件的校驗(yàn)算法;使用所述校驗(yàn)算法對(duì)所述新系統(tǒng)文件壓縮包進(jìn)行計(jì)算得到校驗(yàn)值;在所述終端的BOOT分區(qū)依次寫入所述校驗(yàn)值和信系統(tǒng)文件壓縮包。B22.根據(jù)B15至B21任一項(xiàng)所述的裝置,其中,所述裝置還包括:機(jī)型信息獲取模塊,適于在所述獲取終端操作系統(tǒng)中的指定文件之前,獲取所述終端的機(jī)型信息;第一位置獲取模塊,適于根據(jù)所述機(jī)型信息獲取所述終端的BOOT分區(qū)的位置。B23.根據(jù)B15至B21任一項(xiàng)所述的裝置,其中,所述裝置還包括:分區(qū)表獲取模塊,適于在所述獲取終端操作系統(tǒng)中的指定文件之前,獲取所述終端的分區(qū)表;第二位置獲取模塊,適于根據(jù)所述分區(qū)表獲取所述終端的BOOT分區(qū)的位置。B24.根據(jù)B14至B23任一項(xiàng)所述的裝置,其中,所述程序掃描模塊還適于檢測(cè)所述指定文件中是否存在預(yù)設(shè)行為的文件。B25.根據(jù)B24所述的裝置,其中,所述預(yù)設(shè)行為包括:刪除自身文件,但所述文件對(duì)應(yīng)的進(jìn)程保持運(yùn)行;或者,將自身的代碼注入到系統(tǒng)進(jìn)程。B26.根據(jù)B14至B25任一項(xiàng)所述的裝置,其中,當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),所述裝置還包括:狀態(tài)設(shè)置模塊,適于將由具有預(yù)設(shè)惡意程序特征的文件生成的可運(yùn)行文件刪除,并在所述可運(yùn)行文件的相同位置生成與所述可運(yùn)行文件同名的文件,并置為只可讀狀態(tài)?!緳?quán)利要求】1.一種查殺惡意程序的方法,包括:獲取終端操作系統(tǒng)中的指定文件;掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征;當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作;其中,所述指定文件存儲(chǔ)于所述系統(tǒng)分區(qū)中。2.根據(jù)權(quán)利要求1所述的方法,其中,所述系統(tǒng)分區(qū)為BOOT分區(qū),所述指定文件為存儲(chǔ)于所述BOOT分區(qū)中的系統(tǒng)文件壓縮包。3.根據(jù)權(quán)利要求2所述的方法,其中,所述獲取終端操作系統(tǒng)中的指定文件,包括:獲取終端的機(jī)型信息;根據(jù)所述機(jī)型信息獲取所述終端的系統(tǒng)文件壓縮包的壓縮格式;根據(jù)所述壓縮格式解壓所述系統(tǒng)文件壓縮包,得到解壓縮后的文件為指定文件。4.根據(jù)權(quán)利要求3所述的方法,其中,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:提取所述解壓縮后的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。5.根據(jù)權(quán)利要求3所述的方法,其中,所述掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征,包括:提取所述解壓縮后的每一個(gè)文件的文件特征值,并將所述文件特征值發(fā)送給云服務(wù)器;其中,所述文件特征值用于所述云服務(wù)器判斷所述指定文件中是否包含與預(yù)設(shè)的特征值相匹配的文件。6.一種查殺惡意程序的裝置,包括:文件獲取模塊,適于獲取終端操作系統(tǒng)中的指定文件;程序掃描模塊,適于掃描所述指定文件中是否包括預(yù)設(shè)的惡意程序特征;操作執(zhí)行模塊,適于當(dāng)所述指定文件中包含預(yù)設(shè)的惡意程序特征時(shí),執(zhí)行重刷所述操作系統(tǒng)的系統(tǒng)分區(qū)的操作;其中,所述指定文件存儲(chǔ)于所述系統(tǒng)分區(qū)中。7.根據(jù)權(quán)利要求6所述的裝置,其中,所述系統(tǒng)分區(qū)為BOOT分區(qū),所述指定文件為存儲(chǔ)于所述BOOT分區(qū)中的系統(tǒng)文件壓縮包。8.根據(jù)權(quán)利要求7所述的裝置,其中,所述文件獲取模塊適于按照如下方式獲取終端操作系統(tǒng)中的指定文件:獲取終端的機(jī)型信息;根據(jù)所述機(jī)型信息獲取所述終端的系統(tǒng)文件壓縮包的壓縮格式;根據(jù)所述壓縮格式解壓所述系統(tǒng)文件壓縮包,得到解壓縮后的文件為指定文件。9.根據(jù)權(quán)利要求8所述的裝置,其中,所述程序掃描模塊適于提取所述解壓縮后的每一個(gè)文件的文件特征值,判斷是否包含與預(yù)設(shè)的特征值相匹配的文件。10.根據(jù)權(quán)利要求8所述的裝置,其中,所述程序掃描模塊適于提取所述解壓縮后的每一個(gè)文件的文件特征值,并將所述文件特征值發(fā)送給云服務(wù)器;其中,所述文件特征值用于所述云服務(wù)器判斷所述指定文件中是否包含與預(yù)設(shè)的特征值相匹配的文件?!疚臋n編號(hào)】G06F21/56GK104318160SQ201410594203【公開(kāi)日】2015年1月28日申請(qǐng)日期:2014年10月29日優(yōu)先權(quán)日:2014年10月29日【發(fā)明者】董清,白彥庚,李偉申請(qǐng)人:北京奇虎科技有限公司,奇智軟件(北京)有限公司