本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別是涉及一種惡意程序的識(shí)別方法及裝置。

背景技術(shù)：

隨著社會(huì)信息化的不斷發(fā)展，網(wǎng)絡(luò)中惡意程序也在不斷增加，惡意程序的攻擊給用戶帶去不必要的麻煩。為了防止惡意程序?qū)τ?jì)算機(jī)等終端設(shè)備進(jìn)行攻擊，需要對(duì)終端設(shè)備中易被惡意程序感染的傳播途徑進(jìn)行監(jiān)控，例如，通過(guò)瀏覽器瀏覽頁(yè)面所運(yùn)行的惡意程序、通過(guò)某郵件客戶端所運(yùn)行的惡意程序、通過(guò)解壓文件得到的所運(yùn)行的惡意程序等。

目前，對(duì)終端設(shè)備中的惡意程序進(jìn)行監(jiān)控時(shí)，常通過(guò)下述方法對(duì)惡意程序進(jìn)行識(shí)別，具體包括：在預(yù)定時(shí)間段內(nèi)對(duì)待檢測(cè)文件的編輯次數(shù)進(jìn)行累加，若在該預(yù)定時(shí)間段內(nèi)累加的待檢測(cè)文件的編輯次數(shù)超過(guò)預(yù)置危險(xiǎn)次數(shù)，則輸出顯示是否阻止繼續(xù)編輯待檢測(cè)文件的對(duì)話框，若接收到阻止指令，則通過(guò)預(yù)置黑名單確定終端設(shè)備中存在惡意程序。例如，預(yù)置文件的類型包括：.doc文件、.rar文件、.psd文件等等，若監(jiān)控到在一分鐘內(nèi)對(duì)預(yù)置文件中的5個(gè)文件進(jìn)行了修改，滿足了預(yù)置危險(xiǎn)次數(shù)，則確定執(zhí)行修改預(yù)置文件的程序?yàn)閻阂獬绦颉?/p>

但是，為了防止誤報(bào)，預(yù)置黑名單中記錄的并不是所有的惡意程序，預(yù)置黑名單中記錄的惡意程序可能只是來(lái)自網(wǎng)絡(luò)、解壓、f l ash播放等敏感傳播途徑的惡意程序，導(dǎo)致在對(duì)惡意程序識(shí)別過(guò)程中，識(shí)別出的惡意程序不全面，從而使計(jì)算機(jī)系統(tǒng)的安全受到威脅。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供的一種惡意程序的識(shí)別方法及裝置，主要目的在于解決現(xiàn)有技術(shù)中計(jì)算機(jī)系統(tǒng)中識(shí)別的惡意程序不全面，從而使計(jì)算機(jī)系統(tǒng)的安全受到威脅的問(wèn)題。

依據(jù)本發(fā)明一個(gè)方面，本發(fā)明提供了一種惡意程序的識(shí)別方法，包括：

在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式；

在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測(cè)文件的第二文件格式；

確定所述第一文件格式與所述第二文件格式是否存在差異；

若確定所述第一文件格式與所述第二文件格式存在差異，則輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息；

若接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息，則確定所述待監(jiān)控文件中存在惡意程序。

依據(jù)本發(fā)明另一個(gè)方面，本發(fā)明提供了一種惡意程序的識(shí)別裝置，包括：

第一獲取單元，用于在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式；

第二獲取單元，用于在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測(cè)文件的第二文件格式；

第一確定單元，用于確定所述第一獲取單元獲取的所述第一文件格式與所述第二獲取單元獲取的所述第二文件格式是否存在差異；

輸出單元，用于當(dāng)?shù)谝淮_定單元確定所述第一文件格式與所述第二文件格式存在差異時(shí)，輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息；

第二確定單元，用于當(dāng)接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息時(shí)，確定所述待監(jiān)控文件中存在惡意程序。

借由上述技術(shù)方案，本發(fā)明提供的惡意程序的識(shí)別方法及裝置，運(yùn)行于計(jì)算機(jī)等終端設(shè)備中的應(yīng)用程序?qū)ΥO(jiān)控文件的寫入進(jìn)行監(jiān)控，在對(duì)待監(jiān)控文件寫入前，獲取待檢測(cè)文件的第一文件格式，并繼續(xù)對(duì)待監(jiān)控文件的關(guān)閉進(jìn)行監(jiān)控，在執(zhí)行待監(jiān)控文件的關(guān)閉前，獲取待監(jiān)控文件的第二文件格式，應(yīng)用程序執(zhí)行將第一文件格式與第二文件格式進(jìn)行比對(duì)，當(dāng)確定第一文件格式與第二文件格式存在差異時(shí)，在終端設(shè)備的顯示界面輸出顯示是否將待監(jiān)控文件由第一文件格式修改為第二文件格式的提示信息，若終端設(shè)備用戶選擇阻止將第一文件格式修改為第二文件格式的功能按鍵時(shí)，確定監(jiān)控文件中存在惡意程序，以用戶對(duì)待監(jiān)控文件的實(shí)際操作判斷是否更改待監(jiān)控文件的文件格式，能夠準(zhǔn)確、全面的監(jiān)控到待監(jiān)控文件中存在的惡意程序。

上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說(shuō)明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。

附圖說(shuō)明

通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：

圖1示出了本發(fā)明實(shí)施例提供的一種惡意程序的識(shí)別方法的流程圖；

圖2示出了本發(fā)明實(shí)施例提供的一種將待監(jiān)控文件由第一文件格式修改為第二文件格式的提示信息的示意圖；

圖3示出了本發(fā)明實(shí)施例提供的一種將待監(jiān)控文件由第一文件格式修改為第二文件格式的提示信息的示意圖；

圖4示出了本發(fā)明實(shí)施例提供的一種惡意程序的識(shí)別裝置的組成框圖；

圖5示出了本發(fā)明實(shí)施例提供的一種惡意程序的識(shí)別裝置的組成框圖。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

本發(fā)明實(shí)施例提供一種惡意程序的識(shí)別方法，該方法應(yīng)用于計(jì)算機(jī)設(shè)備中，如圖1所示，所述方法包括：

101、在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式。

在執(zhí)行本步驟之前，首先需要對(duì)本發(fā)明實(shí)施例所述方法能夠監(jiān)測(cè)的文件類型進(jìn)行預(yù)設(shè)，所述待監(jiān)控文件的文件類型，可以包含但不局限于以下內(nèi)容，例如：.doc文件、.jpg文件、.polg文件、.zip文件、.rar文件、.dwg文件、.psd文件、.ppt文件等能夠被用戶編輯的文件類型，本發(fā)明實(shí)施例對(duì)待檢測(cè)文件的具體文件類型不進(jìn)行限定。

在實(shí)際應(yīng)用中，用戶通過(guò)計(jì)算機(jī)設(shè)備在對(duì)待監(jiān)控文件進(jìn)行編輯的過(guò)程包括：?jiǎn)?dòng)該待監(jiān)控文件，執(zhí)行文件的寫入，寫入完成后保存對(duì)該待監(jiān)控文件的編輯，并關(guān)閉該待監(jiān)控文件。為了防止待監(jiān)控文件中被惡意程序攻擊，在待監(jiān)控文件執(zhí)行寫入前，獲取待監(jiān)控文件的第一文件格式，該第一文件格式為待監(jiān)控文件最原始的文件格式，其目的在于，通過(guò)判斷待監(jiān)控文件的文件格式，判斷該待檢測(cè)文件中是否存在加密后的惡意程序。

在獲取待監(jiān)控文件的第一文件格式時(shí)，通過(guò)調(diào)用預(yù)置文件格式識(shí)別接口(如：QEX系統(tǒng)接口)，對(duì)待檢測(cè)文件的文件頭進(jìn)行識(shí)別，并確定待監(jiān)控文件的第一文件格式。其中，文件頭一般位于待監(jiān)控文件的開頭部分，其用于承擔(dān)一定的數(shù)據(jù)信息，例如，文件的文件格式為.jpg，其對(duì)應(yīng)的文件頭為FFD8FFE1(十六進(jìn)制)、文件格式為.rar，其對(duì)應(yīng)的文件頭為：52617221(十六進(jìn)制)。本發(fā)明實(shí)施例對(duì)預(yù)置文件格式識(shí)別接口以及不同文件格式對(duì)應(yīng)的文件頭不作限定。

102、在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測(cè)文件的第二文件格式。

由步驟101可知，用戶通過(guò)計(jì)算機(jī)設(shè)備對(duì)待監(jiān)控文件的操作過(guò)程結(jié)束的標(biāo)志為該待監(jiān)控文件的關(guān)閉，為了確定該待監(jiān)控文件的編輯是用戶手動(dòng)寫入的，還是加密惡意程序自動(dòng)寫入的，因此，在關(guān)閉待監(jiān)控文件之前，截獲關(guān)閉待監(jiān)控文件的操作，并獲取待監(jiān)控文件的第二文件格式，有關(guān)獲取待監(jiān)控文件的第二文件格式的方式，與上述步驟101中，獲取第一文件格式的方式相似，請(qǐng)參考上述詳細(xì)描述，本發(fā)明實(shí)施例在此不再進(jìn)行贅述。

需要說(shuō)明的是，本發(fā)明實(shí)施例所述的第一文件格式和第二文件格式是針對(duì)同一文件，在不同操作狀態(tài)(寫入/關(guān)閉)下所確定的。在實(shí)際應(yīng)用中，可以只對(duì)運(yùn)行中的待檢測(cè)文件進(jìn)行監(jiān)測(cè)，也可以同時(shí)對(duì)當(dāng)前運(yùn)行的待檢測(cè)文件即后臺(tái)運(yùn)行的待監(jiān)控文件進(jìn)行監(jiān)測(cè)，本發(fā)明實(shí)施例對(duì)同時(shí)能夠監(jiān)測(cè)待檢測(cè)文件當(dāng)前的寫入/關(guān)閉狀態(tài)的個(gè)數(shù)不進(jìn)行限定。

103、確定所述第一文件格式與所述第二文件格式是否存在差異。

將第一文件格式與第二文件格式進(jìn)行比對(duì)，確定第一文件格式與第二文件格式是否存在差異，若確定第一文件格式與第二文件格式存在差異，則繼續(xù)執(zhí)行步驟104；若確定第一文件格式與第二文件格式無(wú)任何差異，則確定待檢測(cè)文件中不存在加密的惡意程序。

104、若確定所述第一文件格式與所述第二文件格式存在差異，則輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息。

當(dāng)確定第一文件格式與第二文件格式存在差異時(shí)，可能包含兩種情況，第一種情況：用戶根據(jù)自身的實(shí)際需求，將待檢測(cè)文件由第一文件格式轉(zhuǎn)換為第二文件格式；第二種情況：該待檢測(cè)文件中存在加密的惡意程序，文件格式的轉(zhuǎn)換由該加密的惡意程序操控。

確認(rèn)待監(jiān)控文件出現(xiàn)文件格式變化的本質(zhì)方法是，在計(jì)算機(jī)終端顯示界面中輸出顯示是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息，若該文件格式的轉(zhuǎn)換修改為第一種情況，則可排除文件格式的修改轉(zhuǎn)化非加密的惡意程序所為；若該文件格式的轉(zhuǎn)換修改為上述第二種情況，則說(shuō)明文件格式的修改轉(zhuǎn)換非用戶的本意所為，而是加密惡意程序的非法操作。

示例性的，如圖2所示，圖2示出了本發(fā)明實(shí)施例提供的一種將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息的示意圖，當(dāng)用戶選擇圖2所述的阻止按鍵時(shí)，確定待檢測(cè)文件的文件格式的修改轉(zhuǎn)換是由上述第二種情況引起的；當(dāng)用戶選擇圖2所示的確定按鍵時(shí)，確定待檢測(cè)文件的文件格式的修改轉(zhuǎn)換是由上述第一種情況引起的。需要說(shuō)明的是，本發(fā)明實(shí)施例以阻止修改文件格式為例進(jìn)行說(shuō)明，圖2僅為示例性的舉例，本發(fā)明實(shí)施例對(duì)待監(jiān)控文件的第一文件格式、第二文件格式、提示信息中的提示內(nèi)容不進(jìn)行限定。

105、若接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息，則確定所述待監(jiān)控文件中存在惡意程序。

承由圖2所示的內(nèi)容，當(dāng)用戶點(diǎn)擊阻止按鍵時(shí)，從計(jì)算機(jī)技術(shù)角度講，計(jì)算機(jī)接收阻止將待檢測(cè)文件由第一文件格式修改轉(zhuǎn)換為第二文件格式的指令信息，阻止待檢測(cè)文件的文件格式的修改轉(zhuǎn)化，以防止加密后的惡意程序攻擊待檢測(cè)文件，進(jìn)而攻擊計(jì)算機(jī)的正常運(yùn)行；當(dāng)用戶點(diǎn)擊確定按鍵時(shí)，計(jì)算機(jī)設(shè)備接收確定將待檢測(cè)文件由第一文件格式修改為第二文件格式，并執(zhí)行文件格式的轉(zhuǎn)換。

本發(fā)明實(shí)施例提供的惡意程序的識(shí)別方法，運(yùn)行于計(jì)算機(jī)等終端設(shè)備中的應(yīng)用程序?qū)ΥO(jiān)控文件的寫入進(jìn)行監(jiān)控，在對(duì)待監(jiān)控文件寫入前，獲取待檢測(cè)文件的第一文件格式，并繼續(xù)對(duì)待監(jiān)控文件的關(guān)閉進(jìn)行監(jiān)控，在執(zhí)行待監(jiān)控文件的關(guān)閉前，獲取待監(jiān)控文件的第二文件格式，應(yīng)用程序執(zhí)行將第一文件格式與第二文件格式進(jìn)行比對(duì)，當(dāng)確定第一文件格式與第二文件格式存在差異時(shí)，在終端設(shè)備的顯示界面輸出顯示是否將待監(jiān)控文件由第一文件格式修改為第二文件格式的提示信息，若終端設(shè)備用戶選擇阻止將第一文件格式修改為第二文件格式的功能按鍵時(shí)，確定監(jiān)控文件中存在惡意程序，以用戶對(duì)待監(jiān)控文件的實(shí)際操作判斷是否更改待監(jiān)控文件的文件格式，能夠準(zhǔn)確、全面的監(jiān)控到待監(jiān)控文件中存在的惡意程序。

進(jìn)一步的，在確定出待檢測(cè)文件中存在加密后的惡意程序之后，為了防止該加密后的惡意程序繼續(xù)攻擊其他的文件，在確定出惡意程序之后，確定出與惡意程序相關(guān)聯(lián)的進(jìn)程鏈，并將進(jìn)程鏈對(duì)應(yīng)的惡意程序刪除，以防止該進(jìn)程鏈上的惡意程序繼續(xù)對(duì)其他文件進(jìn)行攻擊。在確定與惡意程序相關(guān)聯(lián)的進(jìn)程鏈時(shí)，可以包含但不局限于以下的方式實(shí)現(xiàn)，例如：通過(guò)預(yù)置黑名單確定惡意程序，并獲取與該惡意程序相關(guān)聯(lián)的進(jìn)程鏈。

在實(shí)際應(yīng)用中，首先獲取待監(jiān)控文件的來(lái)源路徑，確定該待監(jiān)控文件的來(lái)源路徑是否通過(guò)瀏覽器下載得到的、通過(guò)某郵件客戶端獲得的、通過(guò)解壓文件得到的等敏感的途徑得到的，針對(duì)待監(jiān)控文件的不同來(lái)源路徑，可能存在不同的惡意程序，將可能存在危險(xiǎn)的惡意程序存儲(chǔ)于預(yù)置黑名單中，當(dāng)惡意程序與預(yù)置黑名單中的惡意程序匹配時(shí)，即可獲取該惡意程序與其相關(guān)的進(jìn)程鏈。其中，所述進(jìn)程鏈?zhǔn)怯梢粋€(gè)父進(jìn)程派生子進(jìn)程，子進(jìn)程在派生子進(jìn)程。需要說(shuō)明的是，只要確定是該進(jìn)程鏈中有一個(gè)非白程序(黑名單中的程序)，將該進(jìn)程鏈中相關(guān)的所有程序(進(jìn)程)都刪除，以防止該非白程序后續(xù)繼續(xù)發(fā)起攻擊。

示例性的，用戶通過(guò)瀏覽器訪問(wèn)某個(gè)包含木馬(flash漏洞)的網(wǎng)站，瀏覽器下載了該木馬程序，瀏覽器在執(zhí)行該木馬程序A時(shí)，該木馬程序A在攻擊計(jì)算機(jī)設(shè)備時(shí)，木馬程序A可能不會(huì)直接攻擊計(jì)算機(jī)設(shè)備中的待檢測(cè)文件，而是，通過(guò)遍歷的方式調(diào)用一個(gè)白名單中的加密程序B繼續(xù)對(duì)待監(jiān)控文件進(jìn)行攻擊，即對(duì)待監(jiān)控文件進(jìn)行寫入等操作，其中，木馬程序A與加密程序B屬于一個(gè)進(jìn)程鏈，在刪除進(jìn)程鏈上的惡意程序時(shí)，會(huì)將木馬程序A與加密程序B全部刪除。

作為本發(fā)明實(shí)施例的一種可實(shí)現(xiàn)方式，在通過(guò)黑名單確定出惡意程序之后，在圖2顯示將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息時(shí)，當(dāng)用戶觸發(fā)阻止修改后，如圖3所示，可以將該惡意程序的來(lái)源信息、惡意程序文件等信息進(jìn)行顯示，以便于用戶在訪問(wèn)惡意程序的來(lái)源信息時(shí)，注意類似的風(fēng)險(xiǎn)，圖3僅為示例性的舉例，本發(fā)明實(shí)施例對(duì)圖3中顯示的具體內(nèi)容不作限定。

進(jìn)一步的，假設(shè)，在用戶不明的情況下，惡意程序自動(dòng)對(duì)待監(jiān)控文件進(jìn)行了惡意修改，為了避免用戶的損失，在計(jì)算機(jī)設(shè)備打開待監(jiān)控文件后。且對(duì)待監(jiān)控文件寫入前，記錄待監(jiān)控文件的存儲(chǔ)路徑，并對(duì)待監(jiān)控文件進(jìn)行備份，其目的在于，若待監(jiān)控文件被惡意修改，通過(guò)備份的待監(jiān)控文件對(duì)其進(jìn)行覆蓋，挽回用戶的損失。在確定待監(jiān)控文件中存在惡意程序之后，自動(dòng)使用備份后的待監(jiān)控文件將被惡意程序修改后的文件進(jìn)行覆蓋。

進(jìn)一步的，為了能夠更準(zhǔn)確的監(jiān)控到用戶對(duì)待監(jiān)控文件的寫入/關(guān)閉狀態(tài)，常通過(guò)調(diào)用預(yù)置監(jiān)控接口對(duì)待監(jiān)控文件的寫入和/或關(guān)閉進(jìn)行監(jiān)控，在實(shí)際應(yīng)用中，待監(jiān)控文件的寫入被記錄在計(jì)算機(jī)設(shè)備的硬件磁盤中，因此，預(yù)置監(jiān)控接口對(duì)待監(jiān)控文件在磁盤中的存儲(chǔ)位置監(jiān)控，即可實(shí)現(xiàn)對(duì)待監(jiān)控文件的寫入監(jiān)控。預(yù)置監(jiān)控接口對(duì)待監(jiān)控文件的關(guān)閉進(jìn)行監(jiān)控，可通過(guò)對(duì)該待監(jiān)控文件的Close事件進(jìn)行監(jiān)控即可。本發(fā)明實(shí)施例對(duì)預(yù)置監(jiān)控接口的類型以及其監(jiān)控待監(jiān)控文件寫入/關(guān)閉的方式不進(jìn)行限定。

進(jìn)一步的，在實(shí)際應(yīng)用中，當(dāng)計(jì)算機(jī)設(shè)備運(yùn)行惡意程序時(shí)，該惡意程序可能不會(huì)直接對(duì)該待監(jiān)控文件進(jìn)行寫入，而是，首先，轉(zhuǎn)換該待監(jiān)控文件的文件格式，并在更改文件格式的待監(jiān)控文件中繼續(xù)執(zhí)行惡意寫入。為了解決上述問(wèn)題，本發(fā)明實(shí)施例采用的方法是，若在執(zhí)行待監(jiān)控文件的關(guān)閉前監(jiān)測(cè)到待監(jiān)控文件的文件格式被修改，則繼續(xù)對(duì)修改后的待監(jiān)控文件通過(guò)如圖1所示的方法進(jìn)行監(jiān)控，直到監(jiān)控到該待監(jiān)控文件關(guān)閉。示例性的，假設(shè)，惡意程序位于文件1.doc中，在對(duì)該文件1.doc進(jìn)行關(guān)閉之前，惡意程序?qū)⑽募?.doc修改為文件3.ppt，繼續(xù)對(duì)文件3.ppt進(jìn)行監(jiān)控，當(dāng)該文件3.ppt關(guān)閉時(shí)，通過(guò)文件1.doc的備份文件將文件3.ppt進(jìn)行覆蓋。

進(jìn)一步的，作為對(duì)上述圖1所示方法的實(shí)現(xiàn)，本發(fā)明另一實(shí)施例還提供了一種惡意程序的識(shí)別裝置。該裝置實(shí)施例與前述方法實(shí)施例對(duì)應(yīng)，為便于閱讀，本裝置實(shí)施例不再對(duì)前述方法實(shí)施例中的細(xì)節(jié)內(nèi)容進(jìn)行逐一贅述，但應(yīng)當(dāng)明確，本實(shí)施例中的裝置能夠?qū)?yīng)實(shí)現(xiàn)前述方法實(shí)施例中的全部?jī)?nèi)容。

本發(fā)明實(shí)施例提供一種惡意程序的識(shí)別裝置，如圖4所示，包括：

第一獲取單元41，用于在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式；

第二獲取單元42，用于在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測(cè)文件的第二文件格式；

第一確定單元43，用于確定所述第一獲取單元41獲取的所述第一文件格式與所述第二獲取單元42獲取的所述第二文件格式是否存在差異；

輸出單元44，用于當(dāng)?shù)谝淮_定單元43確定所述第一文件格式與所述第二文件格式存在差異時(shí)，輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息；

第二確定單元45，用于當(dāng)接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息時(shí)，確定所述待監(jiān)控文件中存在惡意程序。

進(jìn)一步的，如圖5所示，所述裝置還包括：

第三確定單元46，用于在所述第二確定單元45確定所述待監(jiān)控文件中存在惡意程序之后，確定與所述惡意程序相關(guān)聯(lián)的進(jìn)程鏈；

刪除單元47，用于將所述第三確定單元46確定的所述進(jìn)程鏈對(duì)應(yīng)的惡意程序刪除。

進(jìn)一步的，如圖5所示，所述第三確定單元46包括：

確定模塊4601，用于通過(guò)預(yù)置黑名單確定所述惡意程序；

獲取模塊4602，用于獲取與所述確定模塊4601確定的所述惡意程序相關(guān)聯(lián)的進(jìn)程鏈。

進(jìn)一步的，如圖5所示，所述裝置還包括：

記錄單元48，用于在執(zhí)行待監(jiān)控文件的寫入前，記錄所述待監(jiān)控文件的存儲(chǔ)路徑；

備份單元49，用于對(duì)所述待監(jiān)控文件進(jìn)行備份。

進(jìn)一步的，如圖5所示，所述裝置還包括：

覆蓋單元410，用于在所述第二確定單元45確定所述待監(jiān)控文件中存在惡意程序之后，使用備份后的所述待監(jiān)控文件將修改文件格式后的待監(jiān)控文件進(jìn)行覆蓋。

進(jìn)一步的，如圖5所示，所述裝置還包括：

監(jiān)控單元411，用于調(diào)用預(yù)置監(jiān)控接口對(duì)所述待監(jiān)控文件的寫入和/或關(guān)閉進(jìn)行監(jiān)控。

進(jìn)一步的，如圖5所示，所述裝置還包括：

處理單元412，用于當(dāng)在執(zhí)行所述待監(jiān)控文件的關(guān)閉前監(jiān)測(cè)到所述待監(jiān)控文件修改文件格式時(shí)，繼續(xù)對(duì)修改文件格式后的待監(jiān)控文件進(jìn)行監(jiān)測(cè)，直到執(zhí)行所述修改文件格式后的待監(jiān)控文件關(guān)閉，并確認(rèn)所述待監(jiān)控文件中是否存在惡意程序。

進(jìn)一步的，如圖5所示，所述第一獲取單元41包括：

識(shí)別模塊4101，用于通過(guò)預(yù)置文件格式識(shí)別接口對(duì)所述待監(jiān)控文件的文件頭進(jìn)行識(shí)別；

確定模塊4102，用于確定所述待監(jiān)控文件的第一文件格式。

本發(fā)明實(shí)施例提供的惡意程序的識(shí)別裝置，運(yùn)行于計(jì)算機(jī)等終端設(shè)備中的應(yīng)用程序?qū)ΥO(jiān)控文件的寫入進(jìn)行監(jiān)控，在對(duì)待監(jiān)控文件寫入前，獲取待檢測(cè)文件的第一文件格式，并繼續(xù)對(duì)待監(jiān)控文件的關(guān)閉進(jìn)行監(jiān)控，在執(zhí)行待監(jiān)控文件的關(guān)閉前，獲取待監(jiān)控文件的第二文件格式，應(yīng)用程序執(zhí)行將第一文件格式與第二文件格式進(jìn)行比對(duì)，當(dāng)確定第一文件格式與第二文件格式存在差異時(shí)，在終端設(shè)備的顯示界面輸出顯示是否將待監(jiān)控文件由第一文件格式修改為第二文件格式的提示信息，若終端設(shè)備用戶選擇阻止將第一文件格式修改為第二文件格式的功能按鍵時(shí)，確定監(jiān)控文件中存在惡意程序，以用戶對(duì)待監(jiān)控文件的實(shí)際操作判斷是否更改待監(jiān)控文件的文件格式，能夠準(zhǔn)確、全面的監(jiān)控到待監(jiān)控文件中存在的惡意程序。

本發(fā)明實(shí)施例還提供了如下技術(shù)方案：

A1、一種惡意程序的識(shí)別方法，包括：

在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式；

在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測(cè)文件的第二文件格式；

確定所述第一文件格式與所述第二文件格式是否存在差異；

若確定所述第一文件格式與所述第二文件格式存在差異，則輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息；

若接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息，則確定所述待監(jiān)控文件中存在惡意程序。

A2、根據(jù)A1所述的方法，在確定所述待監(jiān)控文件中存在惡意程序之后，所述方法還包括：

確定與所述惡意程序相關(guān)聯(lián)的進(jìn)程鏈，并將所述進(jìn)程鏈對(duì)應(yīng)的惡意程序刪除。

A3、根據(jù)A2所述的方法，確定與所述惡意程序相關(guān)聯(lián)的進(jìn)程鏈包括：

通過(guò)預(yù)置黑名單確定所述惡意程序，并獲取與所述惡意程序相關(guān)聯(lián)的進(jìn)程鏈。

A4、根據(jù)A1-A3中任一項(xiàng)所述的方法，所述方法還包括：

在執(zhí)行待監(jiān)控文件的寫入前，記錄所述待監(jiān)控文件的存儲(chǔ)路徑，并對(duì)所述待監(jiān)控文件進(jìn)行備份。

A5、根據(jù)A4所述的方法，在確定所述待監(jiān)控文件中存在惡意程序之后，所述方法還包括：

使用備份后的所述待監(jiān)控文件將修改文件格式后的待監(jiān)控文件進(jìn)行覆蓋。

A6、根據(jù)A1所述的方法，所述方法還包括：

調(diào)用預(yù)置監(jiān)控接口對(duì)所述待監(jiān)控文件的寫入和/或關(guān)閉進(jìn)行監(jiān)控。

A7、根據(jù)A5所述的方法，所述方法還包括：

若在執(zhí)行所述待監(jiān)控文件的關(guān)閉前監(jiān)測(cè)到所述待監(jiān)控文件修改文件格式，則繼續(xù)對(duì)修改文件格式后的待監(jiān)控文件進(jìn)行監(jiān)測(cè)，直到執(zhí)行所述修改文件格式后的待監(jiān)控文件關(guān)閉，并確認(rèn)所述待監(jiān)控文件中是否存在惡意程序。

A8、根據(jù)A1所述的方法，獲取所述待監(jiān)控文件的第一文件格式包括：

通過(guò)預(yù)置文件格式識(shí)別接口對(duì)所述待監(jiān)控文件的文件頭進(jìn)行識(shí)別，并確定所述待監(jiān)控文件的第一文件格式。

B9、一種惡意程序的識(shí)別裝置，包括：

第一獲取單元，用于在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式；

第二獲取單元，用于在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測(cè)文件的第二文件格式；

第一確定單元，用于確定所述第一獲取單元獲取的所述第一文件格式與所述第二獲取單元獲取的所述第二文件格式是否存在差異；

輸出單元，用于當(dāng)?shù)谝淮_定單元確定所述第一文件格式與所述第二文件格式存在差異時(shí)，輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息；

第二確定單元，用于當(dāng)接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息時(shí)，確定所述待監(jiān)控文件中存在惡意程序。

B10、根據(jù)B9所述的裝置，所述裝置還包括：

第三確定單元，用于在所述第二確定單元確定所述待監(jiān)控文件中存在惡意程序之后，確定與所述惡意程序相關(guān)聯(lián)的進(jìn)程鏈；

刪除單元，用于將所述第三確定單元確定的所述進(jìn)程鏈對(duì)應(yīng)的惡意程序刪除。

B11、根據(jù)B10所述的裝置，所述第三確定單元包括：

確定模塊，用于通過(guò)預(yù)置黑名單確定所述惡意程序；

獲取模塊，用于獲取與所述確定模塊確定的所述惡意程序相關(guān)聯(lián)的進(jìn)程鏈。

B12、根據(jù)B9-B11中任一項(xiàng)所述的裝置，所述裝置還包括：

記錄單元，用于在執(zhí)行待監(jiān)控文件的寫入前，記錄所述待監(jiān)控文件的存儲(chǔ)路徑；

備份單元，用于對(duì)所述待監(jiān)控文件進(jìn)行備份。

B13、根據(jù)B12所述的裝置，所述裝置還包括：

覆蓋單元，用于在所述第二確定單元確定所述待監(jiān)控文件中存在惡意程序之后，使用備份后的所述待監(jiān)控文件將修改文件格式后的待監(jiān)控文件進(jìn)行覆蓋。

B14、根據(jù)B9所述的裝置，所述裝置還包括：

監(jiān)控單元，用于調(diào)用預(yù)置監(jiān)控接口對(duì)所述待監(jiān)控文件的寫入和/或關(guān)閉進(jìn)行監(jiān)控。

B15、根據(jù)B13所述的裝置，所述裝置還包括：

處理單元，用于當(dāng)在執(zhí)行所述待監(jiān)控文件的關(guān)閉前監(jiān)測(cè)到所述待監(jiān)控文件修改文件格式時(shí)，繼續(xù)對(duì)修改文件格式后的待監(jiān)控文件進(jìn)行監(jiān)測(cè)，直到執(zhí)行所述修改文件格式后的待監(jiān)控文件關(guān)閉，并確認(rèn)所述待監(jiān)控文件中是否存在惡意程序。

B16、根據(jù)B9所述的裝置，所述第一獲取單元包括：

識(shí)別模塊，用于通過(guò)預(yù)置文件格式識(shí)別接口對(duì)所述待監(jiān)控文件的文件頭進(jìn)行識(shí)別；

確定模塊，用于確定所述待監(jiān)控文件的第一文件格式。

在上述實(shí)施例中，對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重，某個(gè)實(shí)施例中沒(méi)有詳述的部分，可以參見(jiàn)其他實(shí)施例的相關(guān)描述。

可以理解的是，上述方法及裝置中的相關(guān)特征可以相互參考。另外，上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例，而并不代表各實(shí)施例的優(yōu)劣。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡(jiǎn)潔，上述描述的系統(tǒng)，裝置和單元的具體工作過(guò)程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程，在此不再贅述。

在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外，本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白，可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。

在此處所提供的說(shuō)明書中，說(shuō)明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對(duì)本說(shuō)明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō)，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外，可以采用任何組合對(duì)本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述，本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。

本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的發(fā)明名稱(如確定網(wǎng)站內(nèi)鏈接等級(jí)的裝置)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上，或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號(hào)上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。