技術(shù)特征：

1.一種惡意程序的識別方法，其特征在于，包括：

在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式；

在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測文件的第二文件格式；

確定所述第一文件格式與所述第二文件格式是否存在差異；

若確定所述第一文件格式與所述第二文件格式存在差異，則輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息；

若接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息，則確定所述待監(jiān)控文件中存在惡意程序。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在確定所述待監(jiān)控文件中存在惡意程序之后，所述方法還包括：

確定與所述惡意程序相關(guān)聯(lián)的進程鏈，并將所述進程鏈對應(yīng)的惡意程序刪除。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，確定與所述惡意程序相關(guān)聯(lián)的進程鏈包括：

通過預(yù)置黑名單確定所述惡意程序，并獲取與所述惡意程序相關(guān)聯(lián)的進程鏈。

4.根據(jù)權(quán)利要求1-3中任一項所述的方法，其特征在于，所述方法還包括：

在執(zhí)行待監(jiān)控文件的寫入前，記錄所述待監(jiān)控文件的存儲路徑，并對所述待監(jiān)控文件進行備份。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，在確定所述待監(jiān)控文件中存在惡意程序之后，所述方法還包括：

使用備份后的所述待監(jiān)控文件將修改文件格式后的待監(jiān)控文件進行覆蓋。

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

調(diào)用預(yù)置監(jiān)控接口對所述待監(jiān)控文件的寫入和/或關(guān)閉進行監(jiān)控。

7.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述方法還包括：

若在執(zhí)行所述待監(jiān)控文件的關(guān)閉前監(jiān)測到所述待監(jiān)控文件修改文件格式，則繼續(xù)對修改文件格式后的待監(jiān)控文件進行監(jiān)測，直到執(zhí)行所述修改文件格式后的待監(jiān)控文件關(guān)閉，并確認所述待監(jiān)控文件中是否存在惡意程序。

8.根據(jù)權(quán)利要求1所述的方法，其特征在于，獲取所述待監(jiān)控文件的第一文件格式包括：

通過預(yù)置文件格式識別接口對所述待監(jiān)控文件的文件頭進行識別，并確定所述待監(jiān)控文件的第一文件格式。

9.一種惡意程序的識別裝置，其特征在于，包括：

第一獲取單元，用于在執(zhí)行待監(jiān)控文件的寫入前，獲取所述待監(jiān)控文件的第一文件格式；

第二獲取單元，用于在執(zhí)行所述待監(jiān)控文件的關(guān)閉前，獲取所述待檢測文件的第二文件格式；

第一確定單元，用于確定所述第一獲取單元獲取的所述第一文件格式與所述第二獲取單元獲取的所述第二文件格式是否存在差異；

輸出單元，用于當(dāng)?shù)谝淮_定單元確定所述第一文件格式與所述第二文件格式存在差異時，輸出是否將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的提示信息；

第二確定單元，用于當(dāng)接收到阻止將所述待監(jiān)控文件由所述第一文件格式修改為所述第二文件格式的指令信息時，確定所述待監(jiān)控文件中存在惡意程序。

10.根據(jù)權(quán)利要求9所述的裝置，其特征在于，所述裝置還包括：

第三確定單元，用于在所述第二確定單元確定所述待監(jiān)控文件中存在惡意程序之后，確定與所述惡意程序相關(guān)聯(lián)的進程鏈；

刪除單元，用于將所述第三確定單元確定的所述進程鏈對應(yīng)的惡意程序刪除。