[发明专利]一种染毒文件的处理方法和系统

说明书

技术领域

本发明涉及计算机安全技术领域，具体涉及一种染毒文件的处理方法和系统。

背景技术

随着计算机技术的不断发展，目前无论在日常生活中还是在工作中，计算机都已经成为人们不可或缺的伙伴，为人们的工作和生活带来了很多的便利，但是在这之中有一个不和谐的因素，那就是计算机病毒。

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。一旦染上病毒，计算机通常表现为其文件被增加、删除、改变名称或属性、移动到其它目录下，病毒对计算机文件的这些操作，可能会导致正常的程序无法运行、计算机操作系统崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。

为了保证计算机的安全运行，需要对计算机中感染病毒的文件进行病毒查杀，以防止和清除病毒的破坏。现有技术中的病毒，往往通过占用文件句柄、设置文件只读属性、使文件处于删除状态等手段给染毒文件加上了加锁，采用常规手段无法破解加锁。

现有技术一种杀毒方法，枚举操作系统下所有的进程，并枚举各进程打开的文件句柄，通过查看文件句柄来找到加上独占锁的染毒文件；该方法能够查杀出加上独占锁的染毒文件，但是进程和文件句柄的枚举比较耗时，杀毒效率不高。

现有技术另一种杀毒方法，使用一些未公开方法查杀加上内核锁的染毒文件；但是，未公开方法容易与操作系统中其它程序不兼容，引发操作系统出现蓝屏等不稳定的问题，进而影响杀毒效率。

总之，需要本领域技术人员迫切解决的一个技术问题就是：如何能够提高杀毒效率。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种染毒文件的处理方法和系统。

依据本发明的一个方面，提供了一种染毒文件的处理方法，包括：

获取文件系统读取失败的文件，作为待处理文件；

获取所述待处理文件在磁盘上的簇分布信息；

依据所述簇分布信息，从磁盘上读取所述待处理文件的数据；

将读取出的数据写入临时文件；

分析所述临时文件的安全性，若所述临时文件不安全，则对所述临时文件及对应待处理文件执行清理操作。

可选地，所述获取所述待处理文件在磁盘上的簇分布信息的步骤，包括：

以读属性打开所述待处理文件，得到相应的句柄；

基于设备驱动接口函数的磁盘驱动控制码功能，获取与所述句柄相应的所述待处理文件在磁盘上的簇分布信息。

可选地，所述依据所述簇分布信息，从磁盘上读取所述待处理文件的数据的步骤，包括：

依据所述待处理文件的路径，获取所述待处理文件对应的磁盘分区；

依据所述簇分布信息，得到所述待处理文件在对应的磁盘分区上的簇偏移；

在所述待处理文件对应的磁盘分区对应位置上读取与所述簇偏移相应的数据。

可选地，所述文件系统读取失败的文件包括ERROR_SHARING_VIOLATION32对应的文件和ERROR_LOCK_VIOLATION33对应的文件。

可选地，所述获取文件系统读取失败的文件，作为待处理文件的步骤，包括：

读取文件后缀名，通过文件后缀名来判定所述文件是否为PE文件，若是，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件；或者，

判定文件大小，若所述文件大于第一文件阈值，则使用文件系统读取所述文件，若读取失败则将所述文件作为待处理文件。

可选地，所述分析所述临时文件的安全性的步骤，包括：

计算所述临时文件的特征值；

根据白名单和所计算的所述临时文件的特征值，监测所述临时文件是否可信任；所述白名单至少包括可信任文件的特征值；

在监测结果为肯定的情况下，确定所述临时文件安全；

在监测结果为否定的情况下，利用杀毒引擎分析所述临时文件是否安全。

可选地，所述清理操作包括：禁用所述临时文件及对应待处理文件的启动项，或者，粉碎所述临时文件及对应待处理文件。

可选地，所述粉碎所述临时文件及对应待处理文件的步骤，包括：

依据所述临时文件及对应待处理文件的路径在对象管理器中查找对应的文件对象解析例程；

依据查找得到的文件对象解析例程生成I/O请求包，并发送至预置的文件系统下层设备的原始地址；

由文件系统下层设备依据所述I/O请求包对所述临时文件及对应待处理文件执行粉碎操作。