[发明专利]查杀恶意程序的方法和装置

说明书

技术领域

本发明涉及计算机领域，具体涉及一种查杀恶意程序的方法和装置。

背景技术

目前，移动终端应用越来越广泛，针对移动终端的恶意程序也越来越多，且越来越难以清除。

安卓操作系统为移动终端的一种主流操作系统，它的系统文件boot.img以压缩包的方式存储于BOOT分区中，当终端启动时，系统文件被解压缩释放到内存中，以完成操作系统的加载。

这里所说的ROM，指的是手机、平板电脑等各类移动设备自己的系统固件，用户通过对手机解锁之后，可以更换设备的系统固件。于是就有了“刷机”这一说法，“刷机”其实就是向移动设备写入新的ROM，即新的系统固件。在定义移动设备系统固件(即制作新的手机ROM)的过程中已经被捆绑进去的这一类病毒程序，我们定义为ROM病毒。

例如，目前存在一种恶意程序“不死木马”等ROM病毒，为了追求商业利益，在移动终端被销售前，经销商将它写入到系统文件中。该恶意程序在启动后，可以在后台自动下载安装经销商指定的apk安装文件，以进行软件推广，还有的情况是，很多刷机用户会来查找对应机型的ROM，某些制毒者通常会开设一些地下下载站提供下载链接又或者在一些手机软件站申请录入，并把ROM修改成“**机型极速优化版ROM”之类具有诱导性的名称进行传播。这些恶意应用会私自发短信定制SP业务，偷偷联网消耗流量，然后还会乱弹广告干扰用户。这无疑造成了用户的困扰。

而发明人发现，ROM病毒权限较高，具有跟系统文件一样的权限属性，目前的杀毒方法，只能清除其在内存中的文件，在终端重启后，其会再次由boot.img中被解压缩释放到内存中，例如，查杀该病毒有可能显示“Series60kinsSupport:ROM软件无法删除”，目前并没有从根本上清除该病毒的有效方法。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种查杀恶意程序的方法和相应地装置。

依据本发明的一个方面，提供了一种查杀恶意程序的方法，包括：

获取终端操作系统中的指定文件；

扫描所述指定文件中是否包括预设的恶意程序特征；

当所述指定文件中包含预设的恶意程序特征时，执行重刷所述操作系统的系统分区的操作；

其中，所述指定文件存储于所述系统分区中。

可选地，所述系统分区为BOOT分区，所述指定文件为存储于所述BOOT分区中的系统文件压缩包。

可选地，所述获取终端操作系统中的指定文件，包括：

获取终端的机型信息；

根据所述机型信息获取所述终端的系统文件压缩包的压缩格式；

根据所述压缩格式解压所述系统文件压缩包，得到解压缩后的文件为指定文件。

可选地，所述扫描所述指定文件中是否包括预设的恶意程序特征，包括：

提取所述解压缩后的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件。

可选地，所述扫描所述指定文件中是否包括预设的恶意程序特征，包括：

提取所述解压缩后的每一个文件的文件特征值，并将所述文件特征值发送给云服务器；

其中，所述文件特征值用于所述云服务器判断所述指定文件中是否包含与预设的特征值相匹配的文件。

可选地，所述扫描所述指定文件中是否包括预设的恶意程序特征，包括：

扫描用于记录所述操作系统的启动项的配置文件，读取所述配置文件记录的每一个自启动程序的文件路径；

提取所述文件路径下的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件。

可选地，所述当所述指定文件中包含预设的恶意程序特征时，执行重刷所述操作系统的系统分区的操作，包括：

删除所述解压缩后的文件中具有恶意程序特征的文件；

按照所述压缩格式将删除具有恶意程序特征的文件后的系统文件进行压缩，得到新系统压文件缩包；

使用所述新系统文件压缩包覆盖所述终端的BOOT分区。

可选地，所述使用所述新系统文件压缩包覆盖所述终端的BOOT分区，包括：

根据所述终端的机型信息获取所述终端的操作系统文件的校验算法；

使用所述校验算法对所述新系统文件压缩包进行计算得到校验值；

在所述终端的BOOT分区依次写入所述校验值和信系统文件压缩包。

可选地，在所述获取终端操作系统中的指定文件之前，所述方法还包括：

获取所述终端的机型信息；