[发明专利]宏病毒查杀方法及系统

说明书

技术领域

本发明涉及计算机安全技术领域，具体涉及宏病毒查杀方法及系统。

背景技术

宏病毒是病毒制造者利用Microsoft Office的开放性，即Office中提供的BASIC编程接口，专门开发的一个或多个具有病毒特点的宏集合。这种病毒宏的集合会影响到计算机使用，并能通过DOC文档及DOT模板进行自我复制及传播。一旦打开感染宏病毒的文档，其宏就会被执行，宏病毒就会被激活，进一步转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

随着微软对Office97以上版本的修正，使大部分基于以前Word版本的宏病毒无法复制，宏病毒的泛滥得以遏制，但是宏病毒变种却开始感染用户的电脑，同时，宏病毒的感染范围由个人用户逐渐向企业用户过渡，宏病毒对企业的危害开始凸显。宏病毒对于个人用户的危害已经不言而喻，它隐蔽性高、传播快、易变种，使用户无法正常使用办公文档，极易产生文档无法编写、打印机不能使用、文件无法储存等危害。然而，相对于个人用户，企业内网中的宏病毒无疑是更巨大的灾难。其危害性通常表现为以下几点：

第一、宏病毒在内网中极易造成传播，防护难度大。办公文件的流转是办公数据传送的最通常方式之一，无数的办公文件以金字塔般的形式，从上级传播到基层，基层与基层之间又不停地进行互动，这种办公文件的流动忠实地传播和复制宏病毒，让IT管理员束手无策。

第二、宏病毒能够破坏内网中的关键数据，造成内网中数据遭受严重破坏并大规模丢失，要进行恢复，难度大，耗费时间长。

第三、宏病毒变种成本低，对系统威胁严重。大多数文档用宏语言Word Basic编写宏指令，而宏病毒同样用Word Basic编写。Word Basic语言提供了多种系统级底层调用，如Dos、调用Windows API、DLL等，这些操作均可能对系统构成直接威胁。而Word、Excel文档在指令安全性以及完整性上的检测功能很弱，因此，破坏系统的指令就很容易被执行，而对于新变种产生的宏病毒，企业必须对全网的防护软件进行统一的升级才能及时的防护，但这对于企业中的管理员来讲并不是一件简单的事情。

除此之外，内网中如果感染了宏病毒还会造成单位的打印机无法正常使用、内网设备跨平台交叉感染等危害，因此，防治企业内网中的宏病毒在整个企业的防病毒策略中至关重要。

现行的解决企业内部宏病毒的方法是通过在内网的客户端上部署查杀工具进行查杀，但是，由于宏病毒的变种极快，要想跟随宏病毒的变种速度，需要以相当过程更快的速度更新宏病毒库，这就使得终端保存的宏病毒库不断变得庞大臃肿，影响查杀效率，甚至影响终端系统的正常运行。另外，如果内网的终端不能够连接互联网，那么只能连接管理端进行更新宏病毒库，查杀效率更低，无法快速抵御变种的宏病毒。总之，需要更有效的方式来抵御宏病毒在企业网内部的传播。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的宏病毒查杀方法及系统，能够更有效地抵御宏病毒在企业网内部的传播。

依据本发明的一个方面，提供了一种宏病毒查杀方法，应用于企业版病毒查杀应用程序中，其中，所述企业版病毒查杀应用程序包括安装在企业用户管理控制中心计算设备上的企业版服务端，以及安装在企业用户终端设备上的企业版客户端，通过企业版服务端实现对各个企业版客户端所在用户终端设备的统一管理，所述方法包括：

所述企业版客户端对打开特定类型文档的操作进行监控；所述特定类型文档包括办公软件文档；

当监控到打开目标文档的请求时，对所述请求进行拦截，并将所述目标文档上传到企业版服务端；

所述企业版服务端判断所述目标文档中是否含有宏病毒；

根据判断结果向所述企业版客户端返回处理指令。

可选地，所述根据判断结果向所述企业版客户端返回处理指令包括：

如果判断结果为所述目标文档中不含有宏病毒，则向所述企业版客户端返回将所述请求放行的指令。

可选地，所述根据判断结果向所述企业版客户端返回处理指令包括：

如果判断结果为所述目标文档中含有宏病毒，则将所述目标文档中的宏病毒清除，得到安全文档；

向所述企业版客户端返回所述安全文档，以及返回丢弃所述请求、用所述安全文档替换所述目标文档并打开所述安全文档的指令。

可选地，还包括：