本發(fā)明涉及電子技術，尤其涉及一種防止病毒誤殺的方法及裝置。

背景技術：

掃描病毒的過程是用于檢測終端的運行環(huán)境是否安全的重要過程，相關技術中一般包括以下兩種：1)服務器下發(fā)重要的軟件保護名單到終端本地，以對查殺結(jié)果進行保護。2)在云查系統(tǒng)針對知名或者合作廠商軟件提供白名單。這種兩種方法主要問題是，下發(fā)的名單或者提供的白名單上的軟件個數(shù)有限，很多時候并不能起到保護誤殺的效果，對快速發(fā)展的軟件市場缺乏相應的基于大數(shù)據(jù)的榜單追蹤，保護效果非常局限；因為名單設計簡單，通常不能處理萬能鑰匙(Master key)病毒，也不包含基于大數(shù)據(jù)的用戶裝機量等名單，容易引起影響廣泛的誤殺。而且系統(tǒng)不獨立與云查系統(tǒng)，當云查系統(tǒng)自身出問題的時候，誤殺再所難免。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明實施例為解決現(xiàn)有技術中存在的至少一個問題而提供一種防止病毒誤殺的方法及裝置，能夠解決原有病毒查殺系統(tǒng)容易產(chǎn)生誤殺誤判的現(xiàn)象。

本發(fā)明實施例的技術方案是這樣實現(xiàn)的：

第一方面，本發(fā)明實施例提供一種種防止病毒誤殺的方法，所述方法包括：

確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征；

根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；

如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第一軟件特征匹配的所述第一病毒的標識；

根據(jù)所述第一病毒的標識判斷所述第一病毒是否滿足預設的第一條件，得到第一判斷結(jié)果；

如果所述第一判斷結(jié)果表明所述第一病毒不滿足所述第一條件，判斷所述第一軟件的標識是否滿足預設的第二條件，得到第二判斷結(jié)果；

如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，輸出第一掃描結(jié)果，所述第一掃描結(jié)果用于表明所述第一軟件不是病毒。

第二方面，本發(fā)明實施例提供一種防止病毒誤殺的裝置，所述裝置包括第一確定單元、第一判斷單元、第二確定單元、第二判斷單元、第三判斷單元和第一輸出單元，其中：

所述第一確定單元，用于確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征；

所述第一判斷單元，用于根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；

所述第二確定單元，用于如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第一軟件特征匹配的第一病毒的標識；

所述第二判斷單元，用于根據(jù)所述第一病毒的標識判斷所述第一病毒是否滿足預設的第一條件，得到第一判斷結(jié)果；

所述第三判斷單元，用于如果所述第一判斷結(jié)果表明所述第一病毒不滿足所述第一條件，判斷所述第一軟件的標識是否滿足預設的第二條件，得到第二判斷結(jié)果；

所述第一輸出單元，用于如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，輸出第一掃描結(jié)果，所述第一掃描結(jié)果用于表明所述第一軟件不是病毒。

本發(fā)明實施例提供一種防止病毒誤殺的方法及裝置，其中，確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征；根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第一軟件特征匹配的所述第一病毒的標識；根據(jù)所述第一病毒的標識判斷所述第一病毒是否滿足預設的第一條件；如果所述第一病毒不滿足所述第一條件，判斷所述第一軟件的標識是否滿足預設的第二條件；如果所述第一軟件的標識滿足所述第二條件，輸出第一掃描結(jié)果；如此，能夠解決原有病毒查殺系統(tǒng)容易產(chǎn)生誤殺誤判的現(xiàn)象。

附圖說明

圖1為本發(fā)明實施例防止病毒誤殺的方法的實現(xiàn)流程示意圖一；

圖2為本發(fā)明實施例的場景示意圖一；

圖3為本發(fā)明實施例的場景示意圖二；

圖4為本發(fā)明實施例防止病毒誤殺的方法的實現(xiàn)流程示意圖二；

圖5為本發(fā)明實施例防止病毒誤殺的裝置的組成結(jié)構(gòu)示意圖。

具體實施方式

為了更方便地理解本發(fā)明以下各實施例提供的技術方案，下面先介紹本發(fā)明的原理。

掃描病毒的過程一般分為本地查殺和云查殺或者分為本地掃描或云掃描。其中，本地查殺首先需要解析安裝包文件的詳細信息以提取軟件特征，然后通過特征匹配以判斷軟件是否為病毒。云查殺的時候則將終端上報的安裝包的詳細信息與云端的大數(shù)據(jù)病毒樣本庫進行匹配，匹配的最終結(jié)果返回給終端。上述的本地查殺和云查殺都可能產(chǎn)生誤殺，例如本地查殺的特征匹配可能導致某些安全的軟件甚至于知名軟件誤中某個特征而被認為是病毒，云查的時候大數(shù)據(jù)樣本庫也可能有誤判的情況，如果誤殺發(fā)生在一些知名軟件、安裝量比較大的軟件、合作廠商的軟件等，這樣會造成運營事故，從而損害用戶體驗。

誤查殺的主要原因在于，病毒庫中的病毒樣本或病毒特征實際上是一段代碼，在將一段代碼作為病毒特征時，會先將該段代碼先進行掃描，即會先將該段代碼與正常的安全軟件進行匹配，如果病毒的該段代碼與某一款安全軟件的代碼匹配時，那么該段代碼就不能作為病毒的特征，那么需要重新確定一段代碼。如果病毒的該段代碼沒有與任一款安全軟件的代碼匹配時，則該段代碼可以作為該病毒的特征。病毒特征的確定一般與當時安全的軟件庫的容量有關，如果當前出現(xiàn)了新的軟件，那么病毒特征可能與新軟件的代碼匹配，那么利用病毒庫中的病毒特征對該新軟件進行查殺時，就會將該新軟件列為病毒，實際上新軟件極有可能并不是病毒，而是因為病毒特征設置的不合理導致的。

本發(fā)明針對病毒查殺過程容易產(chǎn)生誤殺的問題，實現(xiàn)了一套獨立于病毒查殺體系的云端智能名單，對查殺結(jié)果進行最終把關，從而最大程度減少誤殺。云端或本地的智能名單涵蓋了知名廠商的證書(證書過濾的時候會排除掉master key證書偽裝的病毒)，知名軟件的包名、證書、版本、安裝包大小，以及基于大數(shù)據(jù)的用戶軟件裝機量榜單，從而完全杜絕了較大規(guī)模誤殺的可能性。同時對于智能名單檢測出來的誤殺對運營人員進行告警，并把樣本重新轉(zhuǎn)入樣本自動判別流程，如果仍然不能判定則轉(zhuǎn)人工分析。

下面介紹一下本發(fā)明實施例所涉及的名詞：

終端管家(例如手機管家)或病毒掃描軟件：是一款安全管理軟件，集殺毒、安全防護、體檢加速、健康優(yōu)化以及軟件管理于一體，為用戶提供360°的安全防護的安全類終端軟件。

病毒掃描：是終端管家一個功能模塊，主要用于發(fā)現(xiàn)終端上的惡意軟件并提醒用戶從而使用戶免受其害。掃描病毒的過程一般分為本地查殺和云查殺。本地查殺，判斷此安裝包文件是否為病毒軟件。云查殺是根據(jù)終端上報的軟件信息，在云端的大數(shù)據(jù)樣本庫中匹配該安裝包文件是否為病毒軟件。其中，所述本地查殺，即解析安裝包文件的詳細信息以提取軟件特征，然后將軟件特征與病毒庫中的特征進行匹配，如果匹配，則判斷此安裝包文件為病毒；如果不匹配，則判斷此安裝包文件不為病毒。

Master key病毒：安卓(Android)系統(tǒng)的一個漏洞導致Android系統(tǒng)的一個病毒可以偽裝使用另一個軟件包的證書簽名，從而達到騙過系統(tǒng)證書校驗和常規(guī)基于證書的病毒檢查。

安裝包文件，對于安卓操作系統(tǒng)而言，安裝包文件即為(APK，Android Package)安卓安裝包；

軟件信息或安裝包信息包括軟件的包名、證書、文件大小、軟件所包含的資源文件、代碼中包含的常量字符串等。

下面結(jié)合附圖和具體實施例對本發(fā)明的技術方案進一步詳細闡述。

為了解決背景技術中存在的問題，本發(fā)明實施例提供一種防止病毒誤殺的方法，該方法應用于計算設備，應用于計算設備，該方法所實現(xiàn)的功能可以通過計算設備中的處理器調(diào)用程序代碼來實現(xiàn)，當然程序代碼可以保存在計算機存儲介質(zhì)中，可見，該計算設備至少包括處理器和存儲介質(zhì)。

圖1為本發(fā)明實施例防止病毒誤殺的方法的實現(xiàn)流程示意圖一，如圖1所示，該方法包括：

步驟S101，確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征；

這里，本發(fā)明實施例中的計算設備可以采用終端或服務器來實現(xiàn)，終端或服務器都可以采用具有信息處理能力的電子設備來實現(xiàn)，在實現(xiàn)的過程中，例如電子設備可以包括手機、平板電腦、臺式機、個人數(shù)字助理、導航儀、數(shù)字電話、視頻電話、電視機、服務器集群等。

這里，第一軟件可以是指待掃描的軟件或待查殺的軟件。

這里，步驟S101在終端或服務器上實現(xiàn)時，所述確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征，包括：步驟S1011，終端或服務器確定待分析的第一軟件的標識；其中軟件的標識可以采用軟件的名稱、包名、編號等來實現(xiàn)。步驟S1012，終端或服務器根據(jù)所述第一軟件的標識確定所述第一軟件的安裝包文件，解析所述第一軟件的安裝包文件，得到第一軟件的軟件信息；其中，由軟件的標識確定安裝包文件可以是根據(jù)軟件的標識從軟件庫中獲取安裝包文件或者從網(wǎng)絡上下載安裝包文件，軟件庫可以是本地的或遠程的。步驟S1013，終端或服務器根據(jù)所述第一軟件的軟件信息從安裝包文件中提取第一軟件的軟件特征。

這里，步驟S101在服務器上實現(xiàn)時，所述確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征，包括：服務器接收終端發(fā)送的云查殺請求，所述云查殺請求中攜帶有第一軟件的軟件信息或第一軟件的第一軟件特征；服務器解析所述云查殺請求，得到第一軟件的軟件信息或第一軟件的第一軟件特征。

步驟S102，根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；

這里，判斷是否存在有與所述第一軟件特征進行匹配的預設病毒庫中的特征，如果存在有與所述軟件特征進行匹配的預設病毒庫中的特征，確定與所述第一軟件特征匹配的所述第一病毒的標識。

步驟S103，如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第一軟件特征匹配的所述第一病毒的標識；

步驟S104，根據(jù)所述第一病毒的標識判斷所述第一病毒是否滿足預設的第一條件，得到第一判斷結(jié)果；

這里，所述第一條件包括用于偽裝另一個軟件包的證書簽名的病毒的標識，對于不同的操作信息，第一條件不同，例如對于安卓操作系統(tǒng)而言，第一條件包括Master key病毒的標識。

步驟S105，如果所述第一判斷結(jié)果表明所述第一病毒不滿足所述第一條件，判斷所述第一軟件的標識是否滿足預設的第二條件，得到第二判斷結(jié)果；

這里，所述第二條件包括白名單。該白名單可以包括上述的智能名單，例如可以涵蓋知名廠商的證書(證書過濾的時候會排除掉master key證書偽裝的病毒)，知名軟件的包名、證書、版本、安裝包大小，以及基于大數(shù)據(jù)的用戶軟件裝機量榜單，從而完全杜絕了較大規(guī)模誤殺的可能性。

這里，在本發(fā)明的其他實施例中，所述方法還包括：步驟S107，如果所述第一判斷結(jié)果表明所述第一病毒不滿足所述第一條件，輸出第二掃描結(jié)果，所述第二掃描結(jié)果用于表明所述第一軟件是病毒。該步驟可以在終端或服務器上實現(xiàn)，當在服務器上實現(xiàn)時，輸出第二掃描結(jié)果可以包括服務器將第二掃描結(jié)果發(fā)送給終端。

步驟S106，如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，輸出第一掃描結(jié)果，所述第一掃描結(jié)果用于表明所述第一軟件不是病毒。

這里，上述的步驟S103至步驟S106可以在終端來實現(xiàn)，當然也可以在服務器上來實現(xiàn)，當在服務器上實現(xiàn)時，步驟S106中的輸出第一掃描結(jié)果可以包括：將第一掃描結(jié)果發(fā)送給終端，或者，將第一掃描結(jié)果攜帶于云查殺響應中，然后將云查殺響應發(fā)送給終端。

這里，在本發(fā)明的其他實施例中，所述方法還包括：步驟S108，如果所述第二判斷結(jié)果表明所述第一軟件的標識不滿足所述第二條件，輸出第二掃描結(jié)果。該步驟可以在終端或服務器上實現(xiàn)，當在服務器上實現(xiàn)時，輸出第二掃描結(jié)果可以包括服務器將第二掃描結(jié)果發(fā)送給終端。

這里，在本發(fā)明的其他實施例中，所述方法還包括：步驟S109，如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，輸出第一提示信息，所述第一提示信息用于提醒對所述第一軟件進行誤查殺。該步驟可以在終端或服務器上實現(xiàn)，當在服務器上實現(xiàn)時，輸出第一提示信息可以包括服務器將第一提示信息發(fā)送給終端。

在以上的步驟S102中，可以采用以下的實現(xiàn)方式：

方式一，步驟S102采用終端或服務器來實現(xiàn)時，所述根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配，包括：

步驟S1021A，終端或服務器將所述第一軟件特征與病毒庫中病毒的特征進行匹配，得到第一匹配結(jié)果；

步驟S1022A，如果所述第一匹配結(jié)果表明所述第一軟件特征與所述病毒庫中的特征匹配，終端或服務器確定存在有與所述第一軟件進行匹配的病毒；

步驟S1023A，如果所述第一匹配結(jié)果表明所述第一軟件特征與所述病毒庫中的特征匹配，終端或服務器確定不存在有與所述第一軟件進行匹配的病毒。一般來說，病毒庫存儲在終端或服務器本地。

方式二，步驟S102采用終端來實現(xiàn)時，所述根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配，包括：

步驟S1021B，終端將所述第一軟件特征或第一軟件的軟件信息攜帶于云查殺請求中，并終端將所述云查殺請求發(fā)送給服務器；

這里，服務器接收云查殺請求，解析云查殺請求，得到所述第一軟件特征或第一軟件的軟件信息；然后服務器根據(jù)所述第一軟件特征或第一軟件的軟件信息判斷判斷所述第一軟件是否與預設的病毒庫中的病毒匹配，得到查殺結(jié)果，然后服務器將查殺結(jié)果發(fā)送給終端。

步驟S1022B，終端接收所述服務器發(fā)送的云查殺響應，所述云查殺響應中攜帶有查殺結(jié)果，所述查殺結(jié)果用于表明是否存在有與所述第一軟件進行匹配的病毒；

步驟S1023B，根據(jù)所述查殺結(jié)果判斷是否存在有與所述第一軟件進行匹配的病毒。

這里，如果查殺結(jié)果表明存在有與所述第一軟件進行匹配的病毒時，確定所述第一軟件與預設的病毒庫中的病毒匹配；如果查殺結(jié)果表明不存在有與所述第一軟件進行匹配的病毒時，確定所述第一軟件不與預設的病毒庫中的病毒匹配。

從以上實施例可以看出，本發(fā)明實施例提供的技術方案解決了原有病毒查殺系統(tǒng)容易產(chǎn)生誤殺誤判的現(xiàn)象，尤其是誤殺一些知名軟件，或者裝機量比較大的軟件的時候會引起很大的運營事故，對誤殺的軟件造成損失，對用戶的體驗造成損失。通過引入本實施例提供的技術方案，可以杜絕大規(guī)模誤殺的可能性。

在本發(fā)明的其他實施例中，所述方法還包括：

步驟S121，如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，根據(jù)所述第一軟件的標識從軟件的標識滿足白名單的軟件庫中提取第二軟件的軟件信息；

步驟S122，判斷所述第一軟件的軟件信息與第二軟件的軟件信息是否匹配，得到第二匹配結(jié)果；

步驟S123，如果所述第二匹配結(jié)果表明所述第一軟件的軟件信息與第二軟件的軟件信息匹配，則輸出第一掃描結(jié)果。

步驟S124，如果所述第二匹配結(jié)果表明所述第一軟件的軟件信息與第二軟件的軟件信息不匹配，則輸出第二掃描結(jié)果。

這里，所述第二條件可以為與上述智能名單(白名單)中軟件標識匹配，即第一軟件從標識上判斷是安全的軟件，例如合作客戶的軟件或者知名軟件廠商的軟件。如果與智能名單中的標識匹配，那么可以進一步提取出智能名單上的軟件(第二軟件)的軟件信息，然后進一步比對第一軟件的軟件信息和第二軟件的軟件信息，如果比對結(jié)果一致，那么第一軟件就是安全的軟件，如果不一致，則說明第一軟件是不安全的軟件，或者需要進一步處理例如人工審核。需要說明的是，如果第一軟件和第二軟件是同一款軟件，但是版本不同，那么第一軟件的軟件信息和第二軟件的軟件信息會有不同，例如版本號不同。

在本發(fā)明的其他實施例中，病毒特征的確定一般與當時安全的軟件庫的容量有關，如果當前出現(xiàn)了新的軟件，那么病毒特征可能與新軟件的代碼匹配，那么利用病毒庫中的病毒特征對該新軟件進行查殺時，就會將該新軟件列為病毒，實際上新軟件極有可能并不是病毒，而是因為病毒特征設置的不合理導致的?；诖?，當正常軟件被判斷為病毒時，那么就需要調(diào)整病毒軟件的軟件特征，具體過程如下：

步驟S131，確定病毒庫中第一病毒的軟件信息；

步驟S132，根據(jù)所述第一病毒的軟件信息確定所述第一病毒的第一軟件特征；

步驟S133，判斷所述第一病毒的第一軟件特征是否與軟件的標識滿足白名單的軟件庫中的特征匹配；

步驟S134，如果所述第一病毒的第一軟件特征與軟件的標識滿足白名單的軟件庫中的特征匹配，則根據(jù)所述第一病毒的軟件信息確定所述第一病毒的第二軟件特征。

這里，繼續(xù)判斷所述第一病毒的第二軟件特征是否與軟件的標識滿足白名單的軟件庫中的特征匹配；如果所述第一病毒的第二軟件特征與軟件的標識滿足白名單的軟件庫中的特征匹配，那么繼續(xù)確定第一病毒的第三軟件特征，直到找到合適的軟件特征為止。

這里，如果所述第一病毒的第一軟件特征與軟件的標識滿足白名單的軟件庫中的特征不匹配，那么第一病毒的第一軟件特征則可以作為病毒的特征而存入病毒庫中。

在本發(fā)明的其他實施例中，所述方法還包括：

步驟S141，如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，根據(jù)所述第一軟件的軟件信息從安裝包文件中提取第二軟件特征；

步驟S142，根據(jù)所述第二軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；

步驟S143，如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第二軟件特征匹配的第二病毒的標識；

步驟S144，根據(jù)第二病毒的標識判斷所述第二病毒是否滿足預設的第一條件，得到第一判斷結(jié)果；

步驟S145，如果所述第一判斷結(jié)果表明所述第二病毒不滿足所述第一條件，輸出第二提示信息，所述第二提示信息用于提醒對所述第一軟件通過人工審核以確認所述第一軟件是否為病毒。

這里，對于智能名單檢測出來的誤殺的第一軟件，會把第一軟件的樣本重新進行判斷，即重新提取第一軟件的軟件特征，如果再次判斷后第一軟件仍為病毒軟件，那么就需要進行人工審核。

基于前述的實施例，本發(fā)明實施例提供一種防止病毒誤查殺的方法，該方法可應用于所有在客戶端進行病毒掃描的場景，如圖2和圖3所示，圖2為終端的掃描過程，圖3為掃描結(jié)果。圖4為本發(fā)明實施例防止病毒誤查殺的方法的實現(xiàn)流程示意圖二，如圖4所示，該方法包括：

步驟S401，本地查殺；

這里，終端如手機新安裝或下載了一個軟件例如應用(App)，那么手機先利用手機管家等軟件進行本地查殺。

步驟S402，云查殺；

這里，云查殺時，終端需要將待掃描軟件的相關信息發(fā)送給服務器，例如向服務器發(fā)送軟件的標識、軟件的軟件信息或軟件的特征至少之一。

這里，無論本地查殺結(jié)果如何都可以進行云查，當然也可以是本地查殺后發(fā)現(xiàn)軟件是正常的安全軟件，那么就結(jié)束查殺；也可以是本地查殺后發(fā)現(xiàn)軟件是不病毒，那么在進行云查殺。這里以查殺出來的結(jié)果為病毒為例。

步驟S403，判斷病毒是否為Master Key病毒，是時，進入步驟S404，反之，進入步驟S405。

這里，以安卓操作系統(tǒng)為例進行說明。

步驟S405，返回云查殺結(jié)果；

這里，服務器向終端發(fā)送云查殺結(jié)果，則返回的結(jié)果為該軟件是病毒。

步驟S406，判斷軟件是否命中智能名單，是時，進入步驟S407，反之，進入步驟S404。

這里，智能名單為白名單。

步驟S407，誤查殺告警。

這里，如果軟件是白名單的軟件，那么就需要發(fā)送誤查殺的告警信息。

步驟S408，樣本重新判決；

步驟S409，加入人工審核；

步驟S410，攔截云查殺結(jié)果。

這里，在上述的步驟S408至步驟S410中，判定為誤殺的，把樣本信息通過微信告警發(fā)送運營人員，把樣本重新加入到判別流程，如果仍然不能處理則提交人工審核。如果沒有命中智能名單，則原樣返回云查結(jié)果給終端。

這里，上述的智能名單收錄知名廠商或合作廠商證書、并且收錄名軟件信息(包名、證書、大小、MD5等)、以及收錄大數(shù)據(jù)分析追蹤收率軟件榜單，收率排名靠前的榜單上的軟件。

在上述實施例中，在客戶端云查即將返回階段，對云查結(jié)果進行裁決；如果查出是病毒，而且不是master key證書偽裝病毒，且命中了上述的智能名單，則判定為誤殺，攔截此次云查結(jié)果。判定為誤殺的，把樣本信息通過微信告警發(fā)送運營人員，把樣本重新加入到判別流程，如果仍然不能處理則提交人工審核。如果沒有命中智能名單，則原樣返回云查結(jié)果給終端。

本發(fā)明實施例提供的技術方案，實現(xiàn)了高可靠的防止云查病毒誤殺的方案，通過強大的智能名單，保護了知名軟件，合作廠商軟件，同時通過大數(shù)據(jù)追蹤軟件榜單，完全杜絕了大規(guī)模誤殺的可能性。同時提供了對運營人員的微信告警，使得整個防誤殺系統(tǒng)運行在監(jiān)督之下。

基于前述實施例，本發(fā)明實施例提供一種防止病毒誤殺的裝置，該裝置所包括的各單元以及各單元所包括的各模塊，都可以通過計算設備中的處理器來實現(xiàn)，當然也可通過具體的邏輯電路實現(xiàn)；在實施的過程中，處理器可以為中央處理器(CPU)、微處理器(MPU)、數(shù)字信號處理器(DSP)或現(xiàn)場可編程門陣列(FPGA)等。

圖5為本發(fā)明實施例防止病毒誤殺的裝置的組成結(jié)構(gòu)示意圖，如圖5所示，該裝置400包括第一確定單元401、第一判斷單元402、第二確定單元403、第二判斷單元404、第三判斷單元405和第一輸出單元406，其中：

所述第一確定單元401，用于確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征；

所述第一判斷單元402，用于根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；

所述第二確定單元403，用于如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第一軟件特征匹配的第一病毒的標識；

所述第二判斷單元404，用于根據(jù)所述第一病毒的標識判斷所述第一病毒是否滿足預設的第一條件，得到第一判斷結(jié)果；

所述第三判斷單元405，用于如果所述第一判斷結(jié)果表明所述第一病毒不滿足所述第一條件，判斷所述第一軟件的標識是否滿足預設的第二條件，得到第二判斷結(jié)果；

所述第一輸出單元406，用于如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，輸出第一掃描結(jié)果，所述第一掃描結(jié)果用于表明所述第一軟件不是病毒。

在本發(fā)明的其他實施例中，所述第一判斷單元包括匹配模塊、第一確定模塊和第二確定模塊，其中：

所述匹配模塊，用于將所述第一軟件特征與病毒庫中的特征進行匹配，得到第一匹配結(jié)果；

所述第一確定模塊，用于如果所述第一匹配結(jié)果表明所述第一軟件特征與所述病毒庫中的特征匹配，確定存在有與所述第一軟件進行匹配的毒庫；

所述第二確定模塊，用于如果所述第一匹配結(jié)果表明所述第一軟件特征與所述病毒庫中的特征匹配，確定不存在有與所述第一軟件進行匹配的病毒。

在本發(fā)明的其他實施例中，所述第一判斷單元包括發(fā)送模塊、接收模塊和判斷模塊，其中：

所述發(fā)送模塊，用于將所述第一軟件特征或第一軟件的軟件信息攜帶于云查殺請求中，并將所述云查殺請求發(fā)送給服務器；

所述接收模塊，用于接收所述服務器發(fā)送的云查殺響應，所述云查殺響應中攜帶有查殺結(jié)果，所述查殺結(jié)果用于表明是否存在有與所述第一軟件進行匹配的病毒；

所述判斷模塊，用于根據(jù)所述查殺結(jié)果判斷是否存在有與所述第一軟件進行匹配的病毒。

在本發(fā)明的其他實施例中，所述裝置還包括第二輸出單元，用于如果所述第一判斷結(jié)果表明所述病毒不滿足所述第一條件，輸出第二掃描結(jié)果，所述第二掃描結(jié)果用于表明所述第一軟件是病毒；或者，如果所述第二判斷結(jié)果表明所述第一軟件的標識不滿足所述第二條件，輸出第二掃描結(jié)果。

在本發(fā)明的其他實施例中，所述裝置還包括提取單元、第四判斷單元，其中：

所述提取單元，用于如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，根據(jù)所述第一軟件的標識從軟件的標識滿足白名單的軟件庫中提取第二軟件的軟件信息；

所述第四判斷單元，用于判斷所述第一軟件的軟件信息與第二軟件的軟件信息是否匹配，得到第二匹配結(jié)果；如果所述第二匹配結(jié)果表明所述第一軟件的軟件信息與第二軟件的軟件信息匹配，則觸發(fā)所述第一輸出單元輸出第一掃描結(jié)果。

在本發(fā)明的其他實施例中，所述裝置還包括第三確定單元、第四確定單元、第五判斷單元和第五確定單元，其中：

所述第三確定單元，用于確定病毒庫中第一病毒的軟件信息；

所述第四確定單元，用于根據(jù)所述病第一毒的軟件信息確定所述第一病毒的第一軟件特征；

所述第五判斷單元，用于判斷所述第一病毒的第一軟件特征是否與軟件的標識滿足白名單的軟件庫中的特征匹配；

所述第五確定單元，用于如果所述第一病毒的第一軟件特征與軟件的標識滿足白名單的軟件庫中的特征匹配，則根據(jù)所述第一病毒的軟件信息確定所述第一病毒的第二軟件特征。

在本發(fā)明的其他實施例中，所述裝置還包括第三輸出單元，用于如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，輸出第一提示信息，所述第一提示信息用于提醒對所述第一軟件進行誤查殺。

在本發(fā)明的其他實施例中，所述裝置還包括提取單元、第六判斷單元、第六確定單元、第七判斷單元和第四輸出單元，其中：

所述提取單元，用于如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，根據(jù)所述第一軟件的軟件信息從安裝包文件中提取第二軟件特征；

所述第六判斷單元，用于根據(jù)所述第二軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；

所述第六確定單元，用于如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第二軟件特征匹配的第二病毒的標識；

所述第七判斷單元，用于根據(jù)第二病毒的標識判斷所述第二病毒是否滿足預設的第一條件，得到第一判斷結(jié)果；

所述第四輸出單元，用于如果所述第一判斷結(jié)果表明所述第二病毒不滿足所述第一條件，輸出第二提示信息，所述第二提示信息用于提醒對所述第一軟件通過人工審核以確認所述第一軟件是否病毒。

這里需要指出的是：以上裝置實施例的描述，與上述方法實施例的描述是類似的，具有同方法實施例相似的有益效果，因此不做贅述。對于本發(fā)明裝置實施例中未披露的技術細節(jié)，請參照本發(fā)明方法實施例的描述而理解。

要說明的是，本發(fā)明實施例中，如果以軟件功能模塊的形式實現(xiàn)上述的防止病毒誤殺的方法，并作為獨立的產(chǎn)品銷售或使用時，也可以存儲在一個計算機可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明實施例的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設備(可以是個人計算機、服務器、或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分。而前述的存儲介質(zhì)包括：U盤、移動硬盤、只讀存儲器(ROM，Read Only Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。這樣，本發(fā)明實施例不限制于任何特定的硬件和軟件結(jié)合。

相應地，本發(fā)明實施例再提供一種計算機存儲介質(zhì)，所述計算機存儲介質(zhì)中存儲有計算機可執(zhí)行指令，該計算機可執(zhí)行指令用于實現(xiàn)本發(fā)明實施例中防止病毒誤殺的方法。

相應地，本發(fā)明實施例再提供一種計算設備，該計算設備包括存儲介質(zhì)，配置為存儲計算機可執(zhí)行指令；

處理器，配置為執(zhí)行存儲在所述存儲介質(zhì)上的計算機可執(zhí)行指令，所述計算機可執(zhí)行指令包括：

確定待分析的第一軟件的軟件信息或第一軟件的第一軟件特征；

根據(jù)所述第一軟件的軟件信息或所述第一軟件特征判斷所述第一軟件是否與預設的病毒庫中的病毒匹配；

如果所述第一軟件與預設的病毒庫中的病毒匹配，確定與所述第一軟件特征匹配的所述第一病毒的標識；

根據(jù)所述第一病毒的標識判斷所述第一病毒是否滿足預設的第一條件，得到第一判斷結(jié)果；

如果所述第一判斷結(jié)果表明所述第一病毒不滿足所述第一條件，判斷所述第一軟件的標識是否滿足預設的第二條件，得到第二判斷結(jié)果；

如果所述第二判斷結(jié)果表明所述第一軟件的標識滿足所述第二條件，輸出第一掃描結(jié)果，所述第一掃描結(jié)果用于表明所述第一軟件不是病毒。

這里需要指出的是：以上設備實施例項的描述，與上述方法描述是類似的，具有同方法實施例相同的有益效果，因此不做贅述。對于本發(fā)明設備實施例中未披露的技術細節(jié)，本領域的技術人員請參照本發(fā)明方法實施例的描述而理解。

應理解，說明書通篇中提到的“一個實施例”或“一實施例”意味著與實施例有關的特定特征、結(jié)構(gòu)或特性包括在本發(fā)明的至少一個實施例中。因此，在整個說明書各處出現(xiàn)的“在一個實施例中”或“在一實施例中”未必一定指相同的實施例。此外，這些特定的特征、結(jié)構(gòu)或特性可以任意適合的方式結(jié)合在一個或多個實施例中。應理解，在本發(fā)明的各種實施例中，上述各過程的序號的大小并不意味著執(zhí)行順序的先后，各過程的執(zhí)行順序應以其功能和內(nèi)在邏輯確定，而不應對本發(fā)明實施例的實施過程構(gòu)成任何限定。上述本發(fā)明實施例序號僅僅為了描述，不代表實施例的優(yōu)劣。

需要說明的是，在本文中，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。

在本申請所提供的幾個實施例中，應該理解到，所揭露的設備和方法，可以通過其它的方式實現(xiàn)。以上所描述的設備實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，如：多個單元或組件可以結(jié)合，或可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設備或單元的間接耦合或通信連接，可以是電性的、機械的或其它形式的。

上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元；既可以位于一個地方，也可以分布到多個網(wǎng)絡單元上；可以根據(jù)實際的需要選擇其中的部分或全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各實施例中的各功能單元可以全部集成在一個處理單元中，也可以是各單元分別單獨作為一個單元，也可以兩個或兩個以上單元集成在一個單元中；上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用硬件加軟件功能單元的形式實現(xiàn)。

本領域普通技術人員可以理解：實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成，前述的程序可以存儲于計算機可讀取存儲介質(zhì)中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述的存儲介質(zhì)包括：移動存儲設備、只讀存儲器(Read Only Memory，ROM)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

或者，本發(fā)明上述集成的單元如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，也可以存儲在一個計算機可讀取存儲介質(zhì)中。基于這樣的理解，本發(fā)明實施例的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設備(可以是個人計算機、服務器、或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分。而前述的存儲介質(zhì)包括：移動存儲設備、ROM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)，可輕易想到變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應以所述權利要求的保護范圍為準。