[发明专利]文件宏病毒免疫方法和装置

说明书

技术领域

本发明涉及计算机安全技术领域，具体涉及一种文件宏病毒免疫方法和装置。

背景技术

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

由于宏病毒藏于数据文件内，且其使用的脚本语法灵活多变，完成一个功能有很多种写法，故识别一个文件是否有宏病毒非常困难。

现有技术一种文件宏病毒免疫方法采用占坑的方法，具体而言，如果发现某一种宏病毒会释放一个特定名称的文件，就新建一个同名的文件夹，利用Windows同名文件和文件夹不能共存的方式阻止宏病毒的传播；该方法仅能免疫特定的、已有的宏病毒，而不能免疫新的、未知的病毒，故免疫效率不高。

现有技术另一种文件宏病毒免疫方法通过禁用所有宏的方法禁止Office的所有宏功能；该方法会影响正常需要使用宏功能的文件。

总之，需要本领域技术人员迫切解决的一个技术问题就是：如何能够提高宏病毒的免疫效率。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种文件宏病毒免疫方法和装置。

依据本发明的一个方面，提供了一种文件宏病毒免疫方法，包括：

截获Office进程的文件行为请求；

依据所述文件行为请求，分析得到相应文件行为的信息；

利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为；

在所述文件行为是Office进程修改模板文件的宏病毒行为时，允许所截获的文件行为请求；

在所述文件行为是除Office进程修改模板文件的行为之外的宏病毒行为时，阻止所截获的文件行为请求；

其中，所述依据所述文件行为请求，分析得到相应文件行为的信息的步骤，包括：

分析所述文件行为请求中携带的应用程序接口API的参数，得到相应文件行为的信息；

所述文件行为的信息至少包括如下信息中的一项或多项：文件路径，行为名称，共享方式和文件属性；所述文件属性至少包括如下属性中的一项或多项：普通，只读，隐藏，加密和压缩。

可选地，所述利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为的步骤，包括：

将所述文件行为的信息与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。

可选地，所述利用所述文件行为的信息，判断所述文件行为是否为宏病毒行为的步骤，包括：

依据所述文件行为的信息，判断所述文件行为对应文件为本次计算机运行期间未被Office进程修改过的已有文件还是被Office进程修改过的新文件；

将所述文件行为的信息和所述文件行为对应文件的判断结果与已知宏病毒行为的信息进行匹配，若匹配成功，则确定所述文件行为是宏病毒行为。

可选地，所述方法还包括：

若所述文件行为是Office进程修改模板文件的宏病毒行为，则在所述Office进程结束时，判断修改后的模板文件是否带有宏，若是，则使用预先备份的不带有宏的模板文件替换所述修改后的模板文件；

所述判断修改后的模板文件是否带有宏的步骤，包括：

以二进制的格式打开所述修改后的模板文件；

判断所述修改后的模板文件的二进制内容中是否包含有宏标识，若是，则判断修改后的模板文件带有宏，否则判断修改后的模板文件不带有宏。

可选地，所述方法还包括：

当匹配失败时，判断所述文件行为对应文件或目录是否在白名单数据集中；

当所述文件行为对应文件或目录在白名单数据集中时，确定所述文件行为不是宏病毒行为；

当所述文件行为对应文件或目录不在白名单数据集中时，判断所述文件行为对应文件或目录是否在黑名单数据集中；

当所述文件行为对应文件或目录在黑名单数据集中时，确定所述文件行为是宏病毒行为；

当所述文件行为对应文件或目录不在黑名单数据集中时，判断所述文件行为对应文件或目录为本次计算机运行期间未被Office进程修改过的已有文件或目录还是被Office进程修改过的新文件或目录；

当所述文件行为对应文件或目录为本次计算机运行期间未被Office进程修改过的已有文件或目录时，确定所述文件行为不是宏病毒行为；