[发明专利]一种宏病毒查杀的方法和装置

权利要求书

1.一种宏病毒查杀的方法，包括： 

安全设备通过计算设备的处理器解析待查杀文档的文档结构；所述文档结构包括文档的数据流对应的目录结构； 

依据解析得到的文档结构从所述待查杀文档中提取宏代码； 

将处理器提取的宏代码与行为代码库中的行为代码进行匹配；其中，所述行为代码用于表示实现固定的宏病毒行为所需的宏代码； 

依据匹配结果判别所述待查杀文档是否感染宏病毒； 

依据解析得到的文档结构对感染宏病毒的待查杀文档进行修复处理。 

2.如权利要求1所述的方法，其特征在于，所述待查杀文档为复合文档、WORD文档或者EXCEL文档； 

则所述解析待查杀文档的文档结构的步骤，包括：解析得到待查杀文档的树形目录结构； 

则所述依据解析得到的文档结构从所述待查杀文档中提取宏代码的步骤，包括： 

遍历所述树形目录结构中的每一个目录项； 

将每一个目录项的名称与特定宏目录的名称进行匹配； 

针对匹配成功的目录项，读取其子目录项的流数据，并从中解压缩出对应的宏代码； 

所述依据解析得到的文档结构对感染宏病毒的待查杀文档进行修复处理的步骤，包括： 

修改所述感染宏病毒的待查杀文档中宏病毒对应匹配成功的目录项的名称； 

针对所述匹配成功的目录项，将其宏代码清除； 

针对所述匹配成功的目录项，将其删除或改名。 

3.如权利要求2所述的方法，其特征在于，所述待查杀文档为EXCEL文档； 

则所述依据解析得到的文档结构对感染宏病毒的待查杀文档进行修复处理的步骤，还包括： 

在所述EXCEL文档感染宏病毒时，修改其workbook目录项的流数据中的描述字段，以不影响所述EXCEL文档的正常打开。 

4.如权利要求1所述的方法，其特征在于，所述待查杀文档为PPT文档； 

则所述解析待查杀文档的文档结构的步骤，包括： 

解析得到PPT文档的目录结构；所述PPT文档的目录结构包括POWERPOINT DOCUMENT目录项； 

解析所述POWERPOINT DOCUMENT目录项下的流数据，并从解析结果中查找复合对象结构； 

对所述复合对象结构中存放的数据进行解压缩，得到相应的解压缩数据；所述解压缩后数据对应的文档包括如下文档中的一项或多项：PPT文档和PPT内嵌文档，所述PPT内嵌文档包括复合文档、WORD文档和EXCEL文档中的一项或多项； 

以所述解压缩后数据对应的文档作为待查杀文档，解析得到相应的目录结构； 

所述依据解析得到的文档结构从所述待查杀文档中提取宏代码的步骤，包括： 

遍历所述待查杀文档的目录结构中的每一个目录项； 

将每一个目录项的名称与特定宏目录的名称进行匹配； 

针对匹配成功的目录项，读取其子目录项的流数据，并从中解压缩出对应的宏代码； 

所述依据解析得到的文档结构对感染宏病毒的待查杀文档进行修复处理的步骤，包括： 

在所述解压缩后数据对应的文档包括PPT内嵌文档时，依据解析得到PPT内嵌文档的文档结构对感染宏病毒的PPT内嵌文档进行修复处理，将修复处理后PPT内嵌文档压缩，并填充到相应的复合对象结构中；和/或 

在所述解压缩后数据对应的文档包括PPT文档时，减小复合对象结构中的length字段，并添加一新结构，其中，所述减小和添加的新结构所对应 的长度为感染宏病毒的PPT文档的宏代码对应的长度。