[发明专利]病毒检测方法和装置

权利要求书

1.一种病毒检测方法，其特征在于，包括：

获取待检测文件的文件样本特征；其中，所述待检测文件为可能存在病毒的文件或者可能被误杀的文件；

将所述文件样本特征存储至搜索引擎中，以利用所述搜索引擎对所述待检测文件的文件样本特征进行病毒检测；

基于接收的第一文件病毒特征，对存储在所述搜索引擎中的文件样本特征执行搜索；其中，所述搜索引擎能够提供多个病毒分析人员从多个登陆点输入的多个文件病毒特征，并对接收到的多个文件病毒特征在文件样本特征中进行分布式搜索；

当搜索到与所述第一文件病毒特征对应的文件样本特征时，将搜索得到的文件样本特征对应的文件作为第一搜索结果，并输出所述第一搜索结果；

对所述第一搜索结果进行再次判断，如果所述第一搜索结果出现异常，则将病毒分析人员输入的所述第一文件病毒特征修改为第二文件病毒特征；其中，所述第二文件病毒特征与所述第一文件病毒特征不同；

如果确定所述第一搜索结果不存在异常，接收第二文件病毒特征；其中，所述第二文件病毒特征是基于所述第一搜索结果，对所述第一文件病毒特征进行修改所得到的文件病毒特征；

基于所述第二文件病毒特征，对存储在所述搜索引擎中的文件样本特征进行全面搜索，并将搜索得到的与所述第二文件病毒特征匹配的文件样本特征对应的文件作为病毒可疑文件，以得到第二搜索结果；

在得到所述病毒可疑文件之后，对所述病毒可疑文件进行再次分析，以确定病毒可疑文件中的病毒文件和非病毒文件；以及，

对所述病毒可疑文件进行检测，筛选出被误判的病毒可疑文件，得到没有被误判的病毒可疑文件。

2.根据权利要求1所述的病毒检测方法，其特征在于，在基于接收的第一文件病毒特征，对存储在所述搜索引擎中的文件样本特征执行搜索之前，所述方法还包括：接收病毒分析人员输入的所述第一文件病毒特征；以及，

在得到第二搜索结果之后，所述方法还包括：

输出所述第二搜索结果。

3.根据权利要求2所述的病毒检测方法，其特征在于，其中：

所述接收病毒分析人员输入的所述第一文件病毒特征，包括：同时接收多个病毒分析人员输入的多个第一文件病毒特征；

对应地，所述方法还包括：利用所述搜索引擎对与所述多个第一文件病毒特征匹配的文件样本特征同时进行搜索，并将搜索得到的与所述多个第一文件病毒特征匹配的文件样本特征对应的文件作为病毒可疑文件。

4.根据权利要求1所述的病毒检测方法，其特征在于，在将搜索得到的与所述第二文件病毒特征匹配的文件样本特征对应的文件作为病毒可疑文件，以得到第二搜索结果之后，所述病毒检测方法还包括：

对所述病毒可疑文件进行检测，得到检测结果；

根据所述检测结果判断所述病毒可疑文件是否是白名单中的文件；

如果判断出所述病毒可疑文件不是所述白名单中的文件，则确定所述病毒可疑文件是病毒文件；以及

如果判断出所述病毒可疑文件是所述白名单中的文件，则确定所述病毒可疑文件不是病毒文件。

5.根据权利要求1所述的病毒检测方法，其特征在于，所述获取待检测文件的文件样本特征，包括：提取所述待检测文件的以下样本特征：

所述待检测文件的证书信息；

所述待检测文件的资源名信息；

所述待检测文件的类名信息；以及

所述待检测文件的文件大小信息。