[发明专利]一种宏病毒检测方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，特别涉及一种宏病毒检测方法及装置。

背景技术

计算机科学中的宏，是指在数据文件中被程序语言允许使用的指令序列。宏病毒，是指寄存在数据文件或数据文件模版上，用宏语言编写的恶意指令序列，当用户打开被宏病毒感染的数据文件或者对被宏病毒感染的数据文件进行操作（例如保存、删除等）时，会将其激活，使其运行，从而造成其想要达到的后果。

随着计算机和互联网的发展，越来越多的人使用办公软件，带有宏病毒的数据文件很容易从地球的一端传播到另一端，因此宏病毒其影响范围和危害性不可小觑，对宏病毒的检测和清除已经成为当前计算机安全技术领域中一个非常重要的部分。

现有两种对宏病毒进行检测的方法，一种方法是利用杀毒软件对数据文件进行静态分析，利用复合数据文件格式对数据文件的结构进行分解识别，提取数据文件中所有宏的特征码，将提取的数据文件中所有宏的特征码与病毒库中宏病毒的特征码的进行对比匹配，如果匹配，则将匹配的宏清除；另一种方法是利用杀毒软件的主动防御功能来实时监控数据文件处理程序的行为，如果检测到有恶意行为，则截获该行为，暂停数据文件处理程序的执行，向用户提示该行为执行的结果以及可能造成的后果，只有当用户对该行为进行处理后，数据文件处理程序方可继续执行。

然而，在实际应用中，利用杀毒软件对数据文件进行静态分析对宏病毒进行检测的方法，要求杀毒软件能识别所有数据文件的结构并分析，但是由于不同的应用程序具有不同的数据文件结构，此种方法在实际应用中很难实现；另外，如果数据文件经过加密处理，即使杀毒软件能识别该数据文件的结构，但也无法获得该数据文件结构的具体内容，导致不能对数据文件的结构进行分析。这就造成此方法在对宏病毒进行检测时覆盖面较小。

利用杀毒软件的主动防御功能来实时监控数据文件处理程序行为的方法，会导致用户在对数据文件进行操作时，占用较高的系统资源，影响机器的整体性能。另外检测到的“恶意行为”，有可能是用户的正常操作行为，也有可能是真正意义上的恶意行为，但是行为监控的方法不能对二者进行加以区分，为了保证安全，只好频繁的示警，提示用户进行相应的处理，导致用户体验效果不佳。

发明内容

本发明实施例的目的在于提供一种宏病毒检测方法及装置，提高对宏病毒进行检测的数据文件的覆盖面，提高用户的体验效果，减少系统资源占用。

为达到上述目的，本发明实施例公开了一种宏病毒检测方法，包括：

在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

利用调用的宏病毒检测模块，对目标数据文件进行检测。

较佳的，所述调用预先注册为所述数据文件处理程序插件的宏病毒检测模块，包括：

检测目标数据文件中有无宏模块；

当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

所述利用调用的宏病毒检测模块，对目标数据文件进行检测，包括：

利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。

较佳的，所述利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测，包括：

提取每一宏模块的特征；

利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；

如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。

较佳的，还包括：

在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；

如果满足预设的微特征匹配条件，则向用户输出非确定性宏病毒告警信息。

较佳的，所述预设的微特征匹配条件，包括：

提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。

较佳的，还包括：

分析特征匹配的宏模块的执行过程以及执行后的结果；

检测系统中，是否存在分析出来的结果；

如果是，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。

为达到上述目的，本发明实施例还公开了一种宏病毒检测装置，包括：

调用单元，用于在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；