书签分享收藏举报版权申诉 / 18

立即下载加入VIP,免费下载

当前位置：首页 > > 一种处理恶意程序的方法及装置.pdf

一种处理恶意程序的方法及装置.pdf

上传人：000****221

文档编号：6167021

上传时间：2019-05-16

格式：PDF

页数：18

大小：2.11MB

《一种处理恶意程序的方法及装置.pdf》由会员分享，可在线阅读，更多相关《一种处理恶意程序的方法及装置.pdf（18页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103593612 A (43)申请公布日 2014.02.19 CN 103593612 A (21)申请号 201310551999.4 (22)申请日 2013.11.08 G06F 21/56(2013.01) (71)申请人北京奇虎科技有限公司地址 100088 北京市西城区新街口外大街 28 号 D 座 112 室（德胜园区）申请人奇智软件 ( 北京 ) 有限公司 (72)发明人邵坚磊申迪 (74)专利代理机构北京中强智尚知识产权代理有限公司 11448 代理人姜精斌 (54) 发明名称一种处理恶意程序的方法及装置 (57) 摘要本。

2、发明公开了一种处理恶意程序的方法及装置，用以提高查杀处理恶意程序的效率。该处理恶意程序的方法包括：解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置，加载第一驱动，通过所述第一驱动，与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件，对所述恶意程序进行查杀处理。 (51)Int.Cl. 权利要求书 2 页说明书 9 页附图 6 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书9页附图6页 (10)申请公布号。

3、CN 103593612 A CN 103593612 A 1/2 页 2 1. 一种处理恶意程序的方法，其特征在于，包括：解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；加载第一驱动，通过所述第一驱动往所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；对所述恶意程序进行查杀处理。 2. 如权利要求 1 所述的方法，其特征在于，所述解析恶意程序捆绑的第一文件所在的文件系统，获取所述第一文件所在的存储位置包括：向所述文件系统下发所述第一文件的存储。

4、位置索取指令；获取所述文件系统反馈的所述第一文件所在的存储位置。 3. 如权利要求 1 所述的方法，其特征在于，所述将所述恶意程序捆绑的第一文件修改为第二文件包括：通过所述第一驱动往与所述存储位置对应的微端口驱动发送删除指令，对所述第一文件进行删除处理；通过所述第一驱动往与所述存储位置对应的微端口驱动发送写入指令，在所述存储位置上写入第二文件。 4. 如权利要求 1 所述的方法，其特征在于，所述对所述恶意程序进行查杀处理包括：发送重启指令，使得系统重新启动，并在重新启动时在所述恶意程序上加载无功能的所述第二文件；对加载了所述第二文件的恶意程序进行查杀。

5、。 5. 如权利要求 1 所述的方法，其特征在于，所述获取恶意程序捆绑的第一文件所在的存储位置之前，还包括：扫描到所述恶意程序以及所述恶意程序捆绑的第一文件；将所述恶意程序以及所述第一文件的第一信息发送给云端服务器，使得的所述云端服务器进行信息记录的更新；接收所述云端服务器下发的更新后的所述恶意程序以及所述第一文件的第二信息；当根据所述第二信息确定所述恶意程序以及所述第一文件有异常时，进行病毒报告。 6. 如权利要求 1-5 所述的任一方法，其特征在于，所述第一文件携带了还原驱动。 7. 一种处理恶意程序的装置，其特征在于，包括：获取单元，用于解析恶。

6、意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；替换单元，用于加载第一驱动，通过所述第一驱动往与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；查杀单元，用于对所述恶意程序进行查杀处理。 8. 如权利要求 7 所述的装置，其特征在于，所述获取单元，具体用于向所述文件系统下发所述第一文件的存储位置索取指令，并获取所述文件系统反馈的所述第一文件所在的存储位置。 9. 如权利要求 7 所述的装置，其特征在于，权利要求书 CN 103593612 。

7、A 2 2/2 页 3 所述替换单元，具体用于通过所述第一驱动往与所述存储位置对应的微端口驱动发送删除指令，对所述第一文件进行删除处理，并通过所述第一驱动往与所述存储位置对应的微端口驱动发送发送写入指令，在所述存储位置上写入第二文件。 10. 如权利要求 7 所述的装置，其特征在于，所述查杀单元，具体用于发送重启指令，使得系统重新启动，并在重新启动时在所述恶意程序上加载无功能的所述第二文件，对加载了所述第二文件的恶意程序进行查杀。 11. 如权利要求 7 所述的装置，其特征在于，还包括：检测单元，用于扫描到所述恶意程序以及所述恶意程序捆绑的第一文件，将所述。

8、恶意程序以及所述第一文件的第一信息发送给云端服务器，使得的所述云端服务器进行信息记录的更新，接收所述云端服务器下发的更新后的所述恶意程序以及所述第一文件的第二信息，当根据所述第二信息确定所述恶意程序以及所述第一文件有异常时，进行病毒报告。权利要求书 CN 103593612 A 3 1/9 页 4 一种处理恶意程序的方法及装置技术领域 0001 本发明涉及计算机技术领域，特别涉及一种处理恶意程序的方法及装置。背景技术 0002 随着杀毒软件技术的发展，一般的恶意程序都难逃被查杀的命运。但是，随着还原类驱动技术的公开，恶意程序就开始利用了这种技术来达到使杀。

9、毒软件无法查杀的目的。具体地，在恶意程序上捆绑了携带有还原驱动的文件，这样，恶意程序在感染系统后，将被感染系统所在的磁盘设置为还原模式，此时，虽然可以利用现有的杀毒软件检测到该恶意程序的存在，但是，在进行查杀时，由于现有的杀毒软件都是通过文件系统对恶意程序以及恶意程序上捆绑的文件进行查杀处理，而恶意程序捆绑的还原驱动会在文件系统下层的磁盘过滤驱动中，将对携带有还原驱动的文件的查杀指令拦截下来，并在重启后，所有操作都被还原，导致恶意程序仍然存在，最终查杀失败。 0003 可见，现有的杀毒软件对于系统感染了捆绑了还原驱动的恶意程序后的查杀还显得无能为力。

10、。目前，只能通过重新安装系统，或者是从 U 盘启动，用一个干净的驱动去替换还原驱动这两种方式来查杀恶意程序使得系统恢复，这两种方式操作起来都比较复杂，也比较费时。 0004 因此，目前还比较缺少真正有效的快速的查杀捆绑了还原驱动的恶意程序的方式。发明内容 0005 本发明提供一种处理恶意程序的方法及装置，用以提高查杀处理恶意程序的效率。 0006 本发明提供一种处理恶意程序的方法，包括： 0007 解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置； 0008 加载第一驱动，通过所述第一驱动，与所述存储位置对应的微端口驱动发送指令，。

11、将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件； 0009 对所述恶意程序进行查杀处理。 0010 本发明提供了一种处理恶意程序的装置，包括： 0011 获取单元，用于解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置； 0012 替换单元，用于加载第一驱动，通过所述第一驱动往与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件； 0013 查杀单元，用于对所述恶意程序进行查杀处理。说明书 CN 10。

12、3593612 A 4 2/9 页 5 0014 本发明中，系统感染的恶意程序捆绑了第一文件，首先获取该第一文件的存储位置，然后加载第一驱动，通过所述第一驱动直接向与存储位置对应的微端口驱动发送指令，将第一文件替换成未感染恶意程序且无功能的第二文件，然后再对该恶意程序进行查处处理。这样，无论恶意程序捆绑的第一文件具备何种功能，都可不通过文件系统直接通过端口进行替换，替换后的未感染恶意程序且无功能的第二文件不会对系统造成任何不良影响，从而可直接对捆绑了无功能的第二文件的恶意程序进行查杀，将系统恢复正常，无需重新安装系统或从其他外接设备进行启动，大大提高了查杀处。

13、理恶意程序使系统恢复正常的效率。 0015 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。 0016 下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。附图说明 0017 附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中： 0018 图 1 为本发明实施例一中处理恶意程序的流程图； 0019 图 2 为本发明实施例二中处。

14、理恶意程序的流程图； 0020 图 3 为本发明实施例三中处理恶意程序的流程图； 0021 图 4 为本发明实施例三中系统感染捆绑了还原驱动文件的恶意程序的示意图； 0022 图 5 为本发明实施例三中处理恶意程序的示意图； 0023 图 6 为本发明实施例三中处理恶意程序后系统恢复的示意图； 0024 图 7 为本发明实施例四中处理恶意程序的装置的结构图。具体实施方式 0025 以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。 0026 本发明实施例中，系统感染了捆绑了第一文件的恶意程序，可加载第一。

15、驱动，通过该第一驱动直接与第一文件所在的存储位置对应的微端口驱动进行对接，将第一文件替换成无功能的第二文件，这样，无论第一文件具备何种功能，都不再对系统产生任何影响，然后，可直接将捆绑无功能的第二文件的恶意程序进行查杀处理，提高了查杀处理恶意程序的能力。 0027 例如：第一文件携带了如背景技术中提及的还原驱动，即第一文件具备了还原驱动功能。系统感染了捆绑该第一文件的恶意程序后，利用现有技术进行恶意程序查杀处理时，只能通过文件操作系统将物理磁盘上存储的恶意程序捆绑的第一文件删除，具体地，将文件删除指令一层层下发，直至物理磁盘，包括：操作系统应。

16、用程序编程接口 - 内核分发函数 - 文件系统 - 卷管理系统 - 磁盘过滤驱动 - 磁盘类驱动 - 磁盘端口，微端口驱动 - 物理磁盘。而当第一文件具备了还原驱动功能后，这样，当删除指令到达磁盘过滤驱动这一层时，还原驱动会将文件删除指令拦截下来，并将其转移成操作另一物理磁盘上存说明书 CN 103593612 A 5 3/9 页 6 储的文件，例如：将原本操作硬盘的第 100 扇区上存储的第一文件的删除指令转移为操作硬盘中空闲的第 1000 扇区上存储的文件的删除指令，这样，原本应删除存储在第 100 扇区的第一文件，变成了将存储在第 1000 扇区的空。

17、闲文件删除了，系统重新启动后，第一文件仍然存在，捆绑了第一文件的恶意程序也无法查杀了。 0028 可见，现有的杀毒软件还无法查杀捆绑了还原驱动文件的恶意程序，而本发明实施例中，加载了一个第一驱动，该第一驱动可直接将文件操作指令下发到磁盘微端口驱动这一层，通过磁盘微端口驱动将第一文件替换掉，绕过了还原驱动能拦截的磁盘过滤驱动，这样，使得还原驱动失去功效，从而，能对恶意程序进行查杀处理。下面结合附图，对恶意程序的查杀处理过程进行描述。 0029 实施例一：参见图 1，处理恶意程序的过程包括： 0030 步骤 101 ：解析恶意程序捆绑的第一文件所在的。

18、文件系统，获取第一文件所在的存储位置。 0031 系统感染了捆绑了第一文件的恶意程序后，需获得第一文件所在的存储位置。第一文件可以是携带了还原驱动的文件，也可以是具备其他功能的文件。存储位置包括：物理磁盘的扇区，或者，其他的物理存储介质。 0032 可通过文件系统获得第一文件所在的存储位置，即解析恶意程序捆绑的第一文件所在的文件系统，获取第一文件所在的存储位置，具体包括：向文件系统下发第一文件的存储位置索取指令，然后，获得文件系统反馈的第一文件所在的存储位置。 0033 当然，还可以通过其他的方式获得第一文件所在的存储位置，例如：通过现有的杀毒。

19、软件解析恶意程序捆绑的第一文件所在的文件系统，获取第一文件所在的存储位置。 0034 步骤 102 ：加载第一驱动，通过第一驱动往与存储位置对应的微端口驱动发送指令，将恶意程序捆绑的第一文件修改为未感染恶意程序且无功能的第二文件。 0035 本发明实施例中，第一驱动往能直接往与存储位置对应的微端口驱动发送指令，进行文件操作。可见，第一驱动能够能直接与存储位置对应的微端口驱动进行对接，实现了对文件系统的穿越，因此，第一驱动即为穿越驱动，在对第一文件进行修改时，需先加载这种能直接与存储位置对应的微端口驱动进行对接的穿越驱动。 0036 已获取了第一文件的存储位置，。

20、即可直接通过穿越驱动往该存储位置对应的微端口驱动发送指令，对第一文件进行文件操作。这里，将第一文件修改为第二文件，其中，第二文件为未感染恶意程序的无功能驱动文件。 0037 具体地包括：通过穿越驱动往与存储位置对应的微端口驱动发送删除指令，对第一文件进行删除处理，通过穿越驱动往与存储位置对应的微端口驱动发送写入指令，在存储位置上写入第二文件。 0038 可见，穿越驱动具备直接通过存储位置对应的微端口驱动对存储位置进行读、写、以及删除等处理的功能，这样，无需经过现有的层层的文件操作系统，即穿越了存储位置的上层文件操作系统，直接在微端口驱动这层用一个干净。

21、的无功能的第二文件替换第一文件。 0039 步骤 103 ：对恶意程序进行查杀处理。 0040 第一文件已经被干净的且无功能的第二文件替换了，这样，可以采用现有的查杀恶意程序的处理流程对该恶意程序进行查杀，具体可包括：说明书 CN 103593612 A 6 4/9 页 7 0041 发送重启指令，使得系统重新启动，此时在恶意程序上加载的是无功能的第二文件，而不是第一文件了，这样，可直接对加载了第二文件的恶意程序进行查杀。 0042 具体地查杀，可以通过文件清除等方式，而清除处理可以包括以下的一个或多个处理：删除含感染恶意程序的文件，即对于感染恶意程。

22、序的文件进行直接删除；修改感染恶意程序的文件的入口点地址，例如修改感染恶意程序的可移植执行文件的入口点地址；向感染恶意程序的文件的特定区域写入数据块，即对特定区域进行数据块填充；在感染恶意程序的文件内复制数据块；删除感染恶意程序的文件的特定文件节，并对感染恶意程序的文件的格式进行调整，例如删除感染恶意程序的的可移植执行文件中制定的文件节，并对该文件的格式进行相应的调整；删除感染恶意程序的文件头部和 / 或尾部的特定大小的数据；设置感染恶意程序的文件的大小。 0043 可见，本发明实施例中，直接通过第一驱动即穿越驱动向存储位置对应的微端口驱动发送。

23、指令，将第一文件替换为干净的且无功能的第二文件，这样，直接对捆绑了第二文件的恶意程序进行查杀，无需重新安装系统或从其他外接设备进行启动，大大提高了查杀处理恶意程序使系统恢复正常的效率。 0044 实施例二：在处理恶意程序的过程中，需检测到系统感染了捆绑第一文件的恶意程序，然后，才能进行查杀处理。参见图 2，本实施例中处理恶意程序的过程包括： 0045 步骤 201 ：检测到恶意程序以及恶意程序捆绑的第一文件并上报。 0046 本发明实施例，可检测到系统感染了捆绑了第一文件的恶意程序，即可检测到恶意程序以及恶意程序捆绑的第一文件，并可进行上报，或者进行上。

24、报并显示。具体地包括： 0047 扫描到恶意程序以及恶意程序捆绑的第一文件，将恶意程序以及第一文件的第一信息发送给云端服务器，使得的云端服务器进行信息记录的更新，接收云端服务器下发的更新后的恶意程序以及第一文件的第二信息，当根据第二信息确定恶意程序以及第一文件有异常时，进行病毒报告。 0048 其中，恶意程序的特征可以包括很多信息，比如文件名、程序文件的摘要、文件大小、签名信息、版本信息等文件的属性信息，再比如还可以包括文件所在目录、注册表中的启动位置、同目录下或指定目录下其他文件的属性等程序文件的上下文环境属性。或者，恶意程序的文件名或全文对应的。

25、特征值，例如：计算出文件的全文或签名的 MD5（消息摘要算法第五版计算出的值），或者文件的全文或签名的 SHA1 （哈希值）。这样，恶意程序以及第一文件的第一信息包括上述中一种或多种， 0049 例如：启动病毒扫描任务，对待扫描的对象执行扫描操作，计算扫描的文件的索引标识，作为第一信息，将该索引标识发送给云端服务器。云端服务器对信息记录进行更新，并将更新后的第二信息下发。这里可根据索引标识所查找到的与扫描的文件相对应的脚本，将脚本作为第二信息进行下发。 0050 具体地，可以通过定时或用户操作触发等方式启动扫描任务。即扫描单元定时启动扫描任务，或在接。

26、收到用户操作指示时启动扫描任务。扫描的对象可以为内存，引导扇区， BIOS（基本输入输出系统）等。 0051 云端服务器获得上报的扫描结果之后，根据这个扫描结果在已经的恶意程序查杀数据库中进一步分析比对，并可根据比对信息判断扫描的文件是否为恶意程序，然后将判断结果（如恶意、安全、未知、可疑）、和 / 或、与该扫描结果匹配的修复逻辑作为第二信息进说明书 CN 103593612 A 7 5/9 页 8 行下发，使得本地根据第二信息判断否有异常，然后进行病毒报告。这里，云端服务器将根据比对信息与保存的云端鉴别条件来判断扫描的文件是否为恶意程序，而云端服。

27、务器保存的云端鉴别条件是可升级更新的，当满足升级条件时，不需要客户端升级文件即可生效，这样，可以立刻全网升级，升级速度较快，对于突发的恶意程序有很好的拦截效果，从而避免客户端用户的损失。具体地，可以在服务器中配置升级条件，服务器定期检测所述云端鉴别条件是否满足升级条件，当满足时，服务器直接获取新的鉴别条件，并用新的鉴别条件替换原有的云端鉴别条件，从而对原有的云端鉴别条件进行升级更新。其中，升级条件可以根据本地鉴别条件的文件版本来判断，比如有更新的版本时则升级，也可以指定当本地版本满足某个条件时升级为一个指定版本，本发明实施例对此并不加以限制。。

28、 0052 本实施中，云端服务器也可将比对信息作为第二信息先下发，本地根据第二信息进行判断，进一步根据判断结果确定是否有异常，然后进行病毒报告。 0053 当然，本发明也可不进行上报，不进行云端服务器的更新，只进行本地的扫描，判断，以及更新过程了。 0054 本地和云端服务器不是相互替代的关系。本实施例中，云端服务器中的判断结果包括扫描的文件是恶意、安全、未知、或可疑的文件，因此，需要预置文件的安全等级，其中，所述等级包括安全等级、未知等级、可疑 / 高度可疑等级、以及恶意等级。对于等级的设置，可以设置等级为 10-29 时为安全等级（该等级的。

29、文件为白文件），等级为 30-49 时为未知等级（该等级的文件为灰文件），等级为 50-69 时为可疑 / 高度可疑等级（该等级的文件为可疑文件），等级大于或等于 70 时为恶意等级（该等级的文件为恶意文件）。当然，还可以设置所述等级为其他形式，本发明对此并不加以限制。具体的，可以通过用于查杀可移植执行体（Portable Execute， PE）类型文件的云查杀引擎，或者人工智能引擎（Qihoo Virtual Machine， QVM）对所述 EXE 文件和被劫持的 DLL 文件进行查杀。其中， PE 类型文件通常指 Windows 操作系统上的。

30、程序文件，常见的 PE 类型文件包括 EXE、 DLL、 OCX、 SYS、 COM 等类型文件。 0055 步骤 202 ：向文件系统下发第一文件的存储位置索取指令。 0056 本实施例中，通过解析第一文件所在的文件系统，获取第一文件的存储位置，因此，需向文件系统下发第一文件的存储位置索取指令。 0057 步骤 203 ：获取文件系统反馈的第一文件所在的存储位置。 0058 文件系统接收到第一文件的存储位置索取指令后，可直接反馈第一文件所在的存储位置。 0059 步骤 204 ：加载第一驱动，通过第一驱动与存储位置对应的微端口驱动发送删除指令，对第一文件进行删除。

31、处理。 0060 第一文件中可能携带了还原驱动，或其他对系统有影响的功能，因此，在查杀时，需对第一文件进行删除处理，本发明实施例中，需加载一个能直接与存储位置对应的微端口驱动进行对接的第一驱动，即加载穿越驱动，然后通过该穿越驱动直接与存储位置对应的微端口驱动进行对接，对第一文件进行删除处理。 0061 步骤 205 ：通过第一驱动与存储位置对应的微端口驱动发送写入指令，在存储位置上写入未感染恶意程序且无功能的第二文件。 0062 第一文件删除后，由于第一文件可能已经更改了注册表，即注册表中可能有对应说明书 CN 103593612 A 8 6/9 页 9 。

32、的驱动，例如：第一文件携带了还原驱动，那么注册表中就已注册了该驱动，这样，虽然第一文件被删了，但是会在系统重新启动时，出现蓝屏故障或者其他不能正常加载的故障，因此，需用一个干净的无功能的第二文件来替代第一文件，即第二文件为无功能的驱动文件，因此，通过第一驱动即穿越驱动，在第一文件原来所在的存储位置上写入干净的无功能的第二文件，这样，就不会出现系统重启时不能正常加载的故障。 0063 步骤 206 ：发送重启指令，使得系统重新启动，并在重新启动时在恶意程序上加载无功能的第二文件。 0064 已用干净的无功能的第二文件替换了第一文件，因此，后续只需。

33、采用正常的查杀恶意程序的流程就可实现本实施中恶意程序的查杀，包括：发送重启指令，使得系统重新启动，并且，在重新启动时在恶意程序上加载无功能的第二文件。 0065 步骤 207 ：对加载了第二文件的恶意程序进行查杀。 0066 可见，恶意程序上重新捆绑的是干净的无功能的第二文件，该第二文件不会影响系统，因此，不会出现指令拦截，系统还原等问题，可直接对该恶意程序进行查杀了，恢复系统原本的功能。具体的查杀处理过程包括如上述实施例所述的清除处理。 0067 这样，不需要重新安装系统，或者从其他外接设备进行启动，就可以使得系统恢复正常，大大提高了查杀恶意程序。

34、的效率。 0068 实施例三：本实施中系统为 Windows 系统，第一文件携带了傲盾还原驱动，恶意程序捆绑了该第一文件，第一文件存储在 Windows 系统 C 盘的某一具体磁盘扇区上。在参见图 3，本实施例中，处理恶意程序的流程包括： 0069 步骤 301 ：检测到 Windows 环境下系统盘 C 感染了捆绑了携带还原驱动的文件的恶意程序。 0070 恶意程序捆绑了第一文件，第一文件携带了傲盾还原驱动，这样，系统盘 C 感染了恶意程序后被设置为还原模式，如图 4 所示， C 盘上有一个还原箭头。 0071 具体地，可通过定时病毒扫描确定系统盘 C 感。

35、染了捆绑了携带还原驱动的文件的恶意程序，还原驱动有对应的特性信息，通过该特征信息可确定本实施例中第一文件携带了还原驱动。 0072 步骤 302 ：向文件系统下发存储位置索取指令 FSCTL_GET_RETRIEVAL_POINTERS。 0073 Windows 系统中，可通过文件系统下发存储位置索取指令，这里具体为 FSCTL_ GET_RETRIEVAL_POINTERS。 0074 步骤 303 ：获取文件系统反馈的携带还原驱动的文件所在的磁盘扇区位置。 0075 向文件系统下发存储位置索取指令 FSCTL_GET_RETRIEVAL_POINTERS 后，就可获得。

36、第一文件所在的簇链，从而可以获得第一文件所在的磁盘扇区位置。 0076 步骤 304 ：加载第一驱动，通过第一驱动往与磁盘扇区对应的微端口驱动发送删除指令，删除携带还原驱动的文件。 0077 这里，携带还原驱动的文件即为携带了傲盾还原驱动的第一文件。 0078 步骤 305 ：通过第一驱动往与磁盘扇区对应的微端口驱动发送写入指令，在磁盘扇区上写入微软在 SYSTEM DRIVERS 目录下提供了 NULL.SYS 文件。 0079 还原驱动属于 WINDOWS 磁盘过滤驱动的一种，该驱动特点是如果注册表中注册了该驱动，而对应的文件不存在，或不能正常加载系统启动的时候就。

37、会发生蓝屏 Bug 说明书 CN 103593612 A 9 7/9 页 10 Check0x7B:INACCESSIBLE_BOOT_DEVICE，所以，虽然上去步骤中已经删除了携带有还原驱动的第一文件，但是，还需用一个干净的且无功能的文件来替换第一文件，这样，系统启动时，加载的与无功能的文件对应的空的驱动。这里，可以采用微软在 SYSTEM DRIVERS 目录下提供了 NULL.SYS 来进行替换。NULL.SYS 是一个空的驱动文件，具有驱动文件的框架，但是无功能。 0080 步骤 306 ：发送重启指令，使得系统重新启动，并在重新启动时在恶意程序。

38、上加载 NULL.SYS 文件。 0081 将携带了傲盾还原驱动的第一文件已经被 NULL.SYS 文件替换了，因此，系统重启时，在恶意程序上加载的是NULL.SYS文件。这样， NULL.SYS文件不会对系统产生如何影响，而且还不会出现不能正常加载的故障。 0082 上述查杀恶意程序的具体处理过程如图 5 所示。 0083 步骤 307 ：对加载了 NULL.SYS 文件的恶意程序进行查杀。 0084 恶意程序上捆绑的文件已经不对系统构成影响了，因此，采用正常的查杀程序就可将本实施例中的恶意程序进行了查杀了。恶意程序被查杀了，系统恢复正常了，系统 C 盘上的还原箭头。

39、也就消失，如图 6 所示。 0085 上述处理恶意程序的方法可以构成新的杀毒软件，该杀毒软件可对捆绑了功能性文件的恶意程序进行查杀，较佳地，能查杀捆绑了携带还原功能的文件的恶意程序。在具体的查杀过程中，利用穿越技术，直接通过第一驱动即穿越驱动从磁盘微端口将捆绑的功能性文件替换成干净的无功能的文件，然后对恶意程序进行查杀处理，这样，不需要重新安装系统，或者切换系统，或者，从其他外接设备进行启动，就可以使得系统恢复正常，大大提高了查杀处理恶意程序的效率。 0086 实施例四：根据上述处理恶意程序的过程，可构建一种处理恶意程序的装置，如图 7 所示，。

40、该装置包括：获取单元 710、替换单元 720，以及查杀单元 730。其中， 0087 获取单元 710，用于解析恶意程序捆绑的第一文件所在的文件系统，获取第一文件所在的存储位置。 0088 替换单元 720，用于加载第一驱动，通过第一驱动往与存储位置对应的微端口驱动发送指令，将恶意程序捆绑的第一文件修改为第二文件，其中，第二文件为未感染恶意程序的无功能驱动文件。 0089 查杀单元 730，用于对恶意程序进行查杀处理。 0090 具体地，获取单元 710 在获取第一文件所在的存储位置时，可具体用于向文件系统下发第一文件的存储位置索取指令，并获取文件系统反。

41、馈的第一文件所在的存储位置。当然，获取单元 710 还可采用其他的方式获取第一文件所在的存储位置，例如：通过现有的杀毒软件获得。 0091 第一文件可能具体有影响系统的功能，因此，需将第一文件替换成一个干净的且无功能的第二文件，因此，替换单元 720，具体用于通过第一驱动往与存储位置对应的微端口驱动发送删除指令，对第一文件进行删除处理，并通过第一驱动往与存储位置对应的微端口驱动发送发送写入指令，在存储位置上写入第二文件。本实施例中，对文件的操作，例如：删除、写入，读出等都不需要经过层层的文件操作系统，直接通过第一驱动，与存储位置对应的为端口。

42、驱动进行对接，来对文件进行操作，这样，就算第一文件中携带了还原驱动，说明书 CN 103593612 A 10 8/9 页 11 因不经过还原驱动所在的存储位置过滤驱动，该还原驱动就拦截不到对第一文件的操作命令，从而可将第一文件进行删除以及替换。 0092 第一文件被替换后，查杀单元 730，具体用于发送重启指令，使得系统重新启动，并在重新启动时在恶意程序上加载无功能的第二文件；对加载了第二文件的恶意程序进行查杀。 0093 当然，本发明实施例中，该装置还包括：检测单元，用于扫描到恶意程序以及恶意程序捆绑的第一文件，将恶意程序以及第一文件的第一信。

43、息发送给云端服务器，使得的云端服务器进行信息记录的更新，接收云端服务器下发的更新后的恶意程序以及第一文件的第二信息，当根据第二信息确定恶意程序以及第一文件有异常时，进行病毒报告。这样，使得处理恶意程序的装置具备了从检测到查杀的完整的杀毒软件功能。当然，该装置的检测单元也可仅仅用于检测到恶意程序以及恶意程序捆绑的第一文件，并不上报给云端服务器。 0094 本发明实施例中，处理恶意程序的装置可以采用穿越技术将功能性的第一文件替换成未感染恶意程序的且无功能的第二文件，然后，对捆绑了第二文件的恶意程序进行查杀，这样的过程特别适合于查杀捆绑了携带还原驱动的文件的恶意程。

44、序，使得还原驱动彻底的失去了功能，不会在系统重启的过程中，还原系统，也还原恶意程序，因此，本发明实施例，查杀恶意程序的装置能直接有效地查杀捆绑了功能性文件的恶意程序，不需要重新安装系统，或者切换系统，或者，从其他外接设备进行启动，就可以使得系统恢复正常，大大提高了查杀处理恶意程序的效率。 0095 本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（。

45、包括但不限于磁盘存储器和光学存储器等）上实施的计算机程序产品的形式。 0096 本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和或方框图来描述的。应理解可由计算机程序指令实现流程图和或方框图中的每一流程和或方框、以及流程图和或方框图中的流程和或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能的装置。 0097 这些计算机程序指令。

46、也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能。 0098 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能的步骤。说明书 CN 103593612 A 11 9/9 页 12 0099 显然。

47、，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。说明书 CN 103593612 A 12 1/6 页 13 图 1 说明书附图 CN 103593612 A 13 2/6 页 14 图 2 说明书附图 CN 103593612 A 14 3/6 页 15 图 3 说明书附图 CN 103593612 A 15 4/6 页 16 图 4 图 5 说明书附图 CN 103593612 A 16 5/6 页 17 图 6 说明书附图 CN 103593612 A 17 6/6 页 18 图 7 说明书附图 CN 103593612 A 18 。

摘要
申请专利号：	CN201310551999.4	申请日：	2013.11.08
公开号：	CN103593612A	公开日：	2014.02.19
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 21/56申请日:20131108\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I	主分类号：	G06F21/56
申请人：	北京奇虎科技有限公司; 奇智软件(北京)有限公司
发明人：	邵坚磊; 申迪
地址：	100088 北京市西城区新街口外大街28号D座112室（德胜园区）
优先权：
专利代理机构：	北京中强智尚知识产权代理有限公司 11448	代理人：	姜精斌
PDF完整版下载：	PDF下载

内容摘要

本发明公开了一种处理恶意程序的方法及装置，用以提高查杀处理恶意程序的效率。该处理恶意程序的方法包括：解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置，加载第一驱动，通过所述第一驱动，与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件，对所述恶意程序进行查杀处理。

权利要求书

权利要求书
1.  一种处理恶意程序的方法，其特征在于，包括：
解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；
加载第一驱动，通过所述第一驱动往所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；
对所述恶意程序进行查杀处理。

2.  如权利要求1所述的方法，其特征在于，所述解析恶意程序捆绑的第一文件所在的文件系统，获取所述第一文件所在的存储位置包括：
向所述文件系统下发所述第一文件的存储位置索取指令；
获取所述文件系统反馈的所述第一文件所在的存储位置。

3.  如权利要求1所述的方法，其特征在于，所述将所述恶意程序捆绑的第一文件修改为第二文件包括：
通过所述第一驱动往与所述存储位置对应的微端口驱动发送删除指令，对所述第一文件进行删除处理；
通过所述第一驱动往与所述存储位置对应的微端口驱动发送写入指令，在所述存储位置上写入第二文件。

4.  如权利要求1所述的方法，其特征在于，所述对所述恶意程序进行查杀处理包括：
发送重启指令，使得系统重新启动，并在重新启动时在所述恶意程序上加载无功能的所述第二文件；
对加载了所述第二文件的恶意程序进行查杀。

5.  如权利要求1所述的方法，其特征在于，所述获取恶意程序捆绑的第一文件所在的存储位置之前，还包括：
扫描到所述恶意程序以及所述恶意程序捆绑的第一文件；
将所述恶意程序以及所述第一文件的第一信息发送给云端服务器，使得的所述云端服务器进行信息记录的更新；
接收所述云端服务器下发的更新后的所述恶意程序以及所述第一文件的第二信息；
当根据所述第二信息确定所述恶意程序以及所述第一文件有异常时，进行病毒报告。

6.  如权利要求1-5所述的任一方法，其特征在于，所述第一文件携带了还原驱动。

7.  一种处理恶意程序的装置，其特征在于，包括：
获取单元，用于解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；
替换单元，用于加载第一驱动，通过所述第一驱动往与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；
查杀单元，用于对所述恶意程序进行查杀处理。

8.  如权利要求7所述的装置，其特征在于，
所述获取单元，具体用于向所述文件系统下发所述第一文件的存储位置索取指令，并获取所述文件系统反馈的所述第一文件所在的存储位置。

9.  如权利要求7所述的装置，其特征在于，
所述替换单元，具体用于通过所述第一驱动往与所述存储位置对应的微端口驱动发送删除指令，对所述第一文件进行删除处理，并通过所述第一驱动往与所述存储位置对应的微端口驱动发送发送写入指令，在所述存储位置上写入第二文件。

10.  如权利要求7所述的装置，其特征在于，
所述查杀单元，具体用于发送重启指令，使得系统重新启动，并在重新启动时在所述恶意程序上加载无功能的所述第二文件，对加载了所述第二文件的恶意程序进行查杀。

11.  如权利要求7所述的装置，其特征在于，还包括：
检测单元，用于扫描到所述恶意程序以及所述恶意程序捆绑的第一文件，将所述恶意程序以及所述第一文件的第一信息发送给云端服务器，使得的所述云端服务器进行信息记录的更新，接收所述云端服务器下发的更新后的所述恶意程序以及所述第一文件的第二信息，当根据所述第二信息确定所述恶意程序以及所述第一文件有异常时，进行病毒报告。

说明书

说明书一种处理恶意程序的方法及装置
技术领域
本发明涉及计算机技术领域，特别涉及一种处理恶意程序的方法及装置。
背景技术
随着杀毒软件技术的发展，一般的恶意程序都难逃被查杀的命运。但是，随着还原类驱动技术的公开，恶意程序就开始利用了这种技术来达到使杀毒软件无法查杀的目的。具体地，在恶意程序上捆绑了携带有还原驱动的文件，这样，恶意程序在感染系统后，将被感染系统所在的磁盘设置为还原模式，此时，虽然可以利用现有的杀毒软件检测到该恶意程序的存在，但是，在进行查杀时，由于现有的杀毒软件都是通过文件系统对恶意程序以及恶意程序上捆绑的文件进行查杀处理，而恶意程序捆绑的还原驱动会在文件系统下层的磁盘过滤驱动中，将对携带有还原驱动的文件的查杀指令拦截下来，并在重启后，所有操作都被还原，导致恶意程序仍然存在，最终查杀失败。
可见，现有的杀毒软件对于系统感染了捆绑了还原驱动的恶意程序后的查杀还显得无能为力。目前，只能通过重新安装系统，或者是从U盘启动，用一个干净的驱动去替换还原驱动这两种方式来查杀恶意程序使得系统恢复，这两种方式操作起来都比较复杂，也比较费时。
因此，目前还比较缺少真正有效的快速的查杀捆绑了还原驱动的恶意程序的方式。
发明内容
本发明提供一种处理恶意程序的方法及装置，用以提高查杀处理恶意程序的效率。
本发明提供一种处理恶意程序的方法，包括：
解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；
加载第一驱动，通过所述第一驱动，与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；
对所述恶意程序进行查杀处理。
本发明提供了一种处理恶意程序的装置，包括：
获取单元，用于解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；
替换单元，用于加载第一驱动，通过所述第一驱动往与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；
查杀单元，用于对所述恶意程序进行查杀处理。
本发明中，系统感染的恶意程序捆绑了第一文件，首先获取该第一文件的存储位置，然后加载第一驱动，通过所述第一驱动直接向与存储位置对应的微端口驱动发送指令，将第一文件替换成未感染恶意程序且无功能的第二文件，然后再对该恶意程序进行查处处理。这样，无论恶意程序捆绑的第一文件具备何种功能，都可不通过文件系统直接通过端口进行替换，替换后的未感染恶意程序且无功能的第二文件不会对系统造成任何不良影响，从而可直接对捆绑了无功能的第二文件的恶意程序进行查杀，将系统恢复正常，无需重新安装系统或从其他外接设备进行启动，大大提高了查杀处理恶意程序使系统恢复正常的效率。
本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
图1为本发明实施例一中处理恶意程序的流程图；
图2为本发明实施例二中处理恶意程序的流程图；
图3为本发明实施例三中处理恶意程序的流程图；
图4为本发明实施例三中系统感染捆绑了还原驱动文件的恶意程序的示意图；
图5为本发明实施例三中处理恶意程序的示意图；
图6为本发明实施例三中处理恶意程序后系统恢复的示意图；
图7为本发明实施例四中处理恶意程序的装置的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
本发明实施例中，系统感染了捆绑了第一文件的恶意程序，可加载第一驱动，通过该第一驱动直接与第一文件所在的存储位置对应的微端口驱动进行对接，将第一文件替换成无功能的第二文件，这样，无论第一文件具备何种功能，都不再对系统产生任何影响，然后，可直接将捆绑无功能的第二文件的恶意程序进行查杀处理，提高了查杀处理恶意程序的能力。
例如：第一文件携带了如背景技术中提及的还原驱动，即第一文件具备了还原驱动功能。系统感染了捆绑该第一文件的恶意程序后，利用现有技术进行恶意程序查杀处理时，只能通过文件操作系统将物理磁盘上存储的恶意程序捆绑的第一文件删除，具体地，将文件删除指令一层层下发，直至物理磁盘，包括：操作系统应用程序编程接口->内核分发函数->文件系统->卷管理系统->磁盘过滤驱动->磁盘类驱动->磁盘端口，微端口驱动->物理磁盘。而当第一文件具备了还原驱动功能后，这样，当删除指令到达磁盘过滤驱动这一层时，还原驱动会将文件删除指令拦截下来，并将其转移成操作另一物理磁盘上存储的文件，例如：将原本操作硬盘的第100扇区上存储的第一文件的删除指令转移为操作硬盘中空闲的第1000扇区上存储的文件的删除指令，这样，原本应删除存储在第100扇区的第一文件，变成了将存储在第1000扇区的空闲文件删除了，系统重新启动后，第一文件仍然存在，捆绑了第一文件的恶意程序也无法查杀了。
可见，现有的杀毒软件还无法查杀捆绑了还原驱动文件的恶意程序，而本发明实施例中，加载了一个第一驱动，该第一驱动可直接将文件操作指令下发到磁盘微端口驱动这一层，通过磁盘微端口驱动将第一文件替换掉，绕过了还原驱动能拦截的磁盘过滤驱动，这样，使得还原驱动失去功效，从而，能对恶意程序进行查杀处理。下面结合附图，对恶意程序的查杀处理过程进行描述。
实施例一：参见图1，处理恶意程序的过程包括：
步骤101：解析恶意程序捆绑的第一文件所在的文件系统，获取第一文件所在的存储位置。
系统感染了捆绑了第一文件的恶意程序后，需获得第一文件所在的存储位置。第一文件可以是携带了还原驱动的文件，也可以是具备其他功能的文件。存储位置包括：物理磁盘的扇区，或者，其他的物理存储介质。
可通过文件系统获得第一文件所在的存储位置，即解析恶意程序捆绑的第一文件所在的文件系统，获取第一文件所在的存储位置，具体包括：向文件系统下发第一文件的存储位置索取指令，然后，获得文件系统反馈的第一文件所在的存储位置。
当然，还可以通过其他的方式获得第一文件所在的存储位置，例如：通过现有的杀毒软件解析恶意程序捆绑的第一文件所在的文件系统，获取第一文件所在的存储位置。
步骤102：加载第一驱动，通过第一驱动往与存储位置对应的微端口驱动发送指令，将恶意程序捆绑的第一文件修改为未感染恶意程序且无功能的第二文件。
本发明实施例中，第一驱动往能直接往与存储位置对应的微端口驱动发送指令，进行文件操作。可见，第一驱动能够能直接与存储位置对应的微端口驱动进行对接，实现了对文件系统的穿越，因此，第一驱动即为穿越驱动，在对第一文件进行修改时，需先加载这种能直接与存储位置对应的微端口驱动进行对接的穿越驱动。
已获取了第一文件的存储位置，即可直接通过穿越驱动往该存储位置对应的微端口驱动发送指令，对第一文件进行文件操作。这里，将第一文件修改为第二文件，其中，第二文件为未感染恶意程序的无功能驱动文件。
具体地包括：通过穿越驱动往与存储位置对应的微端口驱动发送删除指令，对第一文件进行删除处理，通过穿越驱动往与存储位置对应的微端口驱动发送写入指令，在存储位置上写入第二文件。
可见，穿越驱动具备直接通过存储位置对应的微端口驱动对存储位置进行读、写、以及删除等处理的功能，这样，无需经过现有的层层的文件操作系统，即穿越了存储位置的上层文件操作系统，直接在微端口驱动这层用一个干净的无功能的第二文件替换第一文件。
步骤103：对恶意程序进行查杀处理。
第一文件已经被干净的且无功能的第二文件替换了，这样，可以采用现有的查杀恶意程序的处理流程对该恶意程序进行查杀，具体可包括：
发送重启指令，使得系统重新启动，此时在恶意程序上加载的是无功能的第二文件，而不是第一文件了，这样，可直接对加载了第二文件的恶意程序进行查杀。
具体地查杀，可以通过文件清除等方式，而清除处理可以包括以下的一个或多个处理：删除含感染恶意程序的文件，即对于感染恶意程序的文件进行直接删除；修改感染恶意程序的文件的入口点地址，例如修改感染恶意程序的可移植执行文件的入口点地址；向感染恶意程序的文件的特定区域写入数据块，即对特定区域进行数据块填充；在感染恶意程序的文件内复制数据块；删除感染恶意程序的文件的特定文件节，并对感染恶意程序的文件的格式进行调整，例如删除感染恶意程序的的可移植执行文件中制定的文件节，并对该文件的格式进行相应的调整；删除感染恶意程序的文件头部和/或尾部的特定大小的数据；设置感染恶意程序的文件的大小。
可见，本发明实施例中，直接通过第一驱动即穿越驱动向存储位置对应的微端口驱动发送指令，将第一文件替换为干净的且无功能的第二文件，这样，直接对捆绑了第二文件的恶意程序进行查杀，无需重新安装系统或从其他外接设备进行启动，大大提高了查杀处理恶意程序使系统恢复正常的效率。
实施例二：在处理恶意程序的过程中，需检测到系统感染了捆绑第一文件的恶意程序，然后，才能进行查杀处理。参见图2，本实施例中处理恶意程序的过程包括：
步骤201：检测到恶意程序以及恶意程序捆绑的第一文件并上报。
本发明实施例，可检测到系统感染了捆绑了第一文件的恶意程序，即可检测到恶意程序以及恶意程序捆绑的第一文件，并可进行上报，或者进行上报并显示。具体地包括：
扫描到恶意程序以及恶意程序捆绑的第一文件，将恶意程序以及第一文件的第一信息发送给云端服务器，使得的云端服务器进行信息记录的更新，接收云端服务器下发的更新后的恶意程序以及第一文件的第二信息，当根据第二信息确定恶意程序以及第一文件有异常时，进行病毒报告。
其中，恶意程序的特征可以包括很多信息，比如文件名、程序文件的摘要、文件大小、签名信息、版本信息等文件的属性信息，再比如还可以包括文件所在目录、注册表中的启动位置、同目录下或指定目录下其他文件的属性等程序文件的上下文环境属性。或者，恶意程序的文件名或全文对应的特征值，例如：计算出文件的全文或签名的MD5（消息摘要算法第五版计算出的值），或者文件的全文或签名的SHA1（哈希值）。这样，恶意程序以及第一文件的第一信息包括上述中一种或多种，
例如：启动病毒扫描任务，对待扫描的对象执行扫描操作，计算扫描的文件的索引标识，作为第一信息，将该索引标识发送给云端服务器。云端服务器对信息记录进行更新，并将更新后的第二信息下发。这里可根据索引标识所查找到的与扫描的文件相对应的脚本，将脚本作为第二信息进行下发。
具体地，可以通过定时或用户操作触发等方式启动扫描任务。即扫描单元定时启动扫描任务，或在接收到用户操作指示时启动扫描任务。扫描的对象可以为内存，引导扇区，BIOS（基本输入输出系统）等。
云端服务器获得上报的扫描结果之后，根据这个扫描结果在已经的恶意程序查杀数据库中进一步分析比对，并可根据比对信息判断扫描的文件是否为恶意程序，然后将判断结果（如恶意、安全、未知、可疑）、和/或、与该扫描结果匹配的修复逻辑作为第二信息进行下发，使得本地根据第二信息判断否有异常，然后进行病毒报告。这里，云端服务器将根据比对信息与保存的云端鉴别条件来判断扫描的文件是否为恶意程序，而云端服务器保存的云端鉴别条件是可升级更新的，当满足升级条件时，不需要客户端升级文件即可生效，这样，可以立刻全网升级，升级速度较快，对于突发的恶意程序有很好的拦截效果，从而避免客户端用户的损失。具体地，可以在服务器中配置升级条件，服务器定期检测所述云端鉴别条件是否满足升级条件，当满足时，服务器直接获取新的鉴别条件，并用新的鉴别条件替换原有的云端鉴别条件，从而对原有的云端鉴别条件进行升级更新。其中，升级条件可以根据本地鉴别条件的文件版本来判断，比如有更新的版本时则升级，也可以指定当本地版本满足某个条件时升级为一个指定版本，本发明实施例对此并不加以限制。
本实施中，云端服务器也可将比对信息作为第二信息先下发，本地根据第二信息进行判断，进一步根据判断结果确定是否有异常，然后进行病毒报告。
当然，本发明也可不进行上报，不进行云端服务器的更新，只进行本地的扫描，判断，以及更新过程了。
本地和云端服务器不是相互替代的关系。本实施例中，云端服务器中的判断结果包括扫描的文件是恶意、安全、未知、或可疑的文件，因此，需要预置文件的安全等级，其中，所述等级包括安全等级、未知等级、可疑/高度可疑等级、以及恶意等级。对于等级的设置，可以设置等级为10-29时为安全等级（该等级的文件为白文件），等级为30-49时为未知等级（该等级的文件为灰文件），等级为50-69时为可疑/高度可疑等级（该等级的文件为可疑文件），等级大于或等于70时为恶意等级（该等级的文件为恶意文件）。当然，还可以设置所述等级为其他形式，本发明对此并不加以限制。具体的，可以通过用于查杀可移植执行体（Portable Execute，PE）类型文件的云查杀引擎，或者人工智能引擎（Qihoo Virtual Machine，QVM）对所述EXE文件和被劫持的DLL文件进行查杀。其中，PE类型文件通常指Windows操作系统上的程序文件，常见的PE类型文件包括EXE、DLL、OCX、SYS、COM等类型文件。
步骤202：向文件系统下发第一文件的存储位置索取指令。
本实施例中，通过解析第一文件所在的文件系统，获取第一文件的存储位置，因此，需向文件系统下发第一文件的存储位置索取指令。
步骤203：获取文件系统反馈的第一文件所在的存储位置。
文件系统接收到第一文件的存储位置索取指令后，可直接反馈第一文件所在的存储位置。
步骤204：加载第一驱动，通过第一驱动与存储位置对应的微端口驱动发送删除指令，对第一文件进行删除处理。
第一文件中可能携带了还原驱动，或其他对系统有影响的功能，因此，在查杀时，需对第一文件进行删除处理，本发明实施例中，需加载一个能直接与存储位置对应的微端口驱动进行对接的第一驱动，即加载穿越驱动，然后通过该穿越驱动直接与存储位置对应的微端口驱动进行对接，对第一文件进行删除处理。
步骤205：通过第一驱动与存储位置对应的微端口驱动发送写入指令，在存储位置上写入未感染恶意程序且无功能的第二文件。
第一文件删除后，由于第一文件可能已经更改了注册表，即注册表中可能有对应的驱动，例如：第一文件携带了还原驱动，那么注册表中就已注册了该驱动，这样，虽然第一文件被删了，但是会在系统重新启动时，出现蓝屏故障或者其他不能正常加载的故障，因此，需用一个干净的无功能的第二文件来替代第一文件，即第二文件为无功能的驱动文件，因此，通过第一驱动即穿越驱动，在第一文件原来所在的存储位置上写入干净的无功能的第二文件，这样，就不会出现系统重启时不能正常加载的故障。
步骤206：发送重启指令，使得系统重新启动，并在重新启动时在恶意程序上加载无功能的第二文件。
已用干净的无功能的第二文件替换了第一文件，因此，后续只需采用正常的查杀恶意程序的流程就可实现本实施中恶意程序的查杀，包括：发送重启指令，使得系统重新启动，并且，在重新启动时在恶意程序上加载无功能的第二文件。
步骤207：对加载了第二文件的恶意程序进行查杀。
可见，恶意程序上重新捆绑的是干净的无功能的第二文件，该第二文件不会影响系统，因此，不会出现指令拦截，系统还原等问题，可直接对该恶意程序进行查杀了，恢复系统原本的功能。具体的查杀处理过程包括如上述实施例所述的清除处理。
这样，不需要重新安装系统，或者从其他外接设备进行启动，就可以使得系统恢复正常，大大提高了查杀恶意程序的效率。
实施例三：本实施中系统为Windows系统，第一文件携带了傲盾还原驱动，恶意程序捆绑了该第一文件，第一文件存储在Windows系统C盘的某一具体磁盘扇区上。在参见图3，本实施例中，处理恶意程序的流程包括：
步骤301：检测到Windows环境下系统盘C感染了捆绑了携带还原驱动的文件的恶意程序。
恶意程序捆绑了第一文件，第一文件携带了傲盾还原驱动，这样，系统盘C感染了恶意程序后被设置为还原模式，如图4所示，C盘上有一个还原箭头。
具体地，可通过定时病毒扫描确定系统盘C感染了捆绑了携带还原驱动的文件的恶意程序，还原驱动有对应的特性信息，通过该特征信息可确定本实施例中第一文件携带了还原驱动。
步骤302：向文件系统下发存储位置索取指令FSCTL_GET_RETRIEVAL_POINTERS。
Windows系统中，可通过文件系统下发存储位置索取指令，这里具体为FSCTL_GET_RETRIEVAL_POINTERS。
步骤303：获取文件系统反馈的携带还原驱动的文件所在的磁盘扇区位置。
向文件系统下发存储位置索取指令FSCTL_GET_RETRIEVAL_POINTERS后，就可获得第一文件所在的簇链，从而可以获得第一文件所在的磁盘扇区位置。
步骤304：加载第一驱动，通过第一驱动往与磁盘扇区对应的微端口驱动发送删除指令，删除携带还原驱动的文件。
这里，携带还原驱动的文件即为携带了傲盾还原驱动的第一文件。
步骤305：通过第一驱动往与磁盘扇区对应的微端口驱动发送写入指令，在磁盘扇区上写入微软在SYSTEM DRIVERS目录下提供了NULL.SYS文件。
还原驱动属于WINDOWS磁盘过滤驱动的一种，该驱动特点是如果注册表中注册了该驱动，而对应的文件不存在，或不能正常加载系统启动的时候就会发生蓝屏Bug Check0x7B:INACCESSIBLE_BOOT_DEVICE，所以，虽然上去步骤中已经删除了携带有还原驱动的第一文件，但是，还需用一个干净的且无功能的文件来替换第一文件，这样，系统启动时，加载的与无功能的文件对应的空的驱动。这里，可以采用微软在SYSTEM DRIVERS目录下提供了NULL.SYS来进行替换。NULL.SYS是一个空的驱动文件，具有驱动文件的框架，但是无功能。
步骤306：发送重启指令，使得系统重新启动，并在重新启动时在恶意程序上加载NULL.SYS文件。
将携带了傲盾还原驱动的第一文件已经被NULL.SYS文件替换了，因此，系统重启时，在恶意程序上加载的是NULL.SYS文件。这样，NULL.SYS文件不会对系统产生如何影响，而且还不会出现不能正常加载的故障。
上述查杀恶意程序的具体处理过程如图5所示。
步骤307：对加载了NULL.SYS文件的恶意程序进行查杀。
恶意程序上捆绑的文件已经不对系统构成影响了，因此，采用正常的查杀程序就可将本实施例中的恶意程序进行了查杀了。恶意程序被查杀了，系统恢复正常了，系统C盘上的还原箭头也就消失，如图6所示。
上述处理恶意程序的方法可以构成新的杀毒软件，该杀毒软件可对捆绑了功能性文件的恶意程序进行查杀，较佳地，能查杀捆绑了携带还原功能的文件的恶意程序。在具体的查杀过程中，利用穿越技术，直接通过第一驱动即穿越驱动从磁盘微端口将捆绑的功能性文件替换成干净的无功能的文件，然后对恶意程序进行查杀处理，这样，不需要重新安装系统，或者切换系统，或者，从其他外接设备进行启动，就可以使得系统恢复正常，大大提高了查杀处理恶意程序的效率。
实施例四：根据上述处理恶意程序的过程，可构建一种处理恶意程序的装置，如图7所示，该装置包括：获取单元710、替换单元720，以及查杀单元730。其中，
获取单元710，用于解析恶意程序捆绑的第一文件所在的文件系统，获取第一文件所在的存储位置。
替换单元720，用于加载第一驱动，通过第一驱动往与存储位置对应的微端口驱动发送指令，将恶意程序捆绑的第一文件修改为第二文件，其中，第二文件为未感染恶意程序的无功能驱动文件。
查杀单元730，用于对恶意程序进行查杀处理。
具体地，获取单元710在获取第一文件所在的存储位置时，可具体用于向文件系统下发第一文件的存储位置索取指令，并获取文件系统反馈的第一文件所在的存储位置。当然，获取单元710还可采用其他的方式获取第一文件所在的存储位置，例如：通过现有的杀毒软件获得。
第一文件可能具体有影响系统的功能，因此，需将第一文件替换成一个干净的且无功能的第二文件，因此，替换单元720，具体用于通过第一驱动往与存储位置对应的微端口驱动发送删除指令，对第一文件进行删除处理，并通过第一驱动往与存储位置对应的微端口驱动发送发送写入指令，在存储位置上写入第二文件。本实施例中，对文件的操作，例如：删除、写入，读出等都不需要经过层层的文件操作系统，直接通过第一驱动，与存储位置对应的为端口驱动进行对接，来对文件进行操作，这样，就算第一文件中携带了还原驱动，因不经过还原驱动所在的存储位置过滤驱动，该还原驱动就拦截不到对第一文件的操作命令，从而可将第一文件进行删除以及替换。
第一文件被替换后，查杀单元730，具体用于发送重启指令，使得系统重新启动，并在重新启动时在恶意程序上加载无功能的第二文件；对加载了第二文件的恶意程序进行查杀。
当然，本发明实施例中，该装置还包括：检测单元，用于扫描到恶意程序以及恶意程序捆绑的第一文件，将恶意程序以及第一文件的第一信息发送给云端服务器，使得的云端服务器进行信息记录的更新，接收云端服务器下发的更新后的恶意程序以及第一文件的第二信息，当根据第二信息确定恶意程序以及第一文件有异常时，进行病毒报告。这样，使得处理恶意程序的装置具备了从检测到查杀的完整的杀毒软件功能。当然，该装置的检测单元也可仅仅用于检测到恶意程序以及恶意程序捆绑的第一文件，并不上报给云端服务器。
本发明实施例中，处理恶意程序的装置可以采用穿越技术将功能性的第一文件替换成未感染恶意程序的且无功能的第二文件，然后，对捆绑了第二文件的恶意程序进行查杀，这样的过程特别适合于查杀捆绑了携带还原驱动的文件的恶意程序，使得还原驱动彻底的失去了功能，不会在系统重启的过程中，还原系统，也还原恶意程序，因此，本发明实施例，查杀恶意程序的装置能直接有效地查杀捆绑了功能性文件的恶意程序，不需要重新安装系统，或者切换系统，或者，从其他外接设备进行启动，就可以使得系统恢复正常，大大提高了查杀处理恶意程序的效率。
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器和光学存储器等）上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。