[发明专利]用于杀毒软件防误判的方法及装置

说明书

技术领域

本发明涉及计算机领域，尤其涉及一种用于杀毒软件防误判的方法及装置。

背景技术

病毒文件的检出率与白文件的误判率是评判杀毒软件执行效果好坏的两个主要标准。其中，针对白文件防误判问题，现有技术采用的防误判手段主要包括如下两种：

1、使用云端的白名单列表进行联网过滤；

该使用云端的白名单列表进行联网过滤技术，需要用户保持联网状态，无法在断网或内网状态下工作，导致用户在断网或内网状态下无法使用。

2、使用本地的白名单列表进行离网过滤。

该使用本地的白名单列表进行离网过滤技术，该过滤技术采用验证数字签名，且签名和白文件一一对应，则需要个人电脑存储大量的白文件名单，由于个人电脑的存储空间有限，不能够存储大量的白文件的签名，导致无法有效降低白文件的误判率。

发明内容

本发明解决的技术问题之一是提供用于杀毒软件防误判的方法及装置，实现快速、准确且有效的在离网状态下降低杀毒软件的白文件误判率。

根据本发明一方面的一个实施例，提供了一种用于杀毒软件防误判的方法，包括：

提取指定格式文件的指定位置的数据块；

根据所述数据块的哈希值识别出所述指定格式文件的所述指定位置的数据块均为白文件的数据块，则确定所述指定格式文件为白文件；

过滤掉所述白文件。

可选地，提取指定格式文件的指定位置的数据块前，所述方法还包括：

过滤掉不易感染病毒的非指定格式的文件。

可选地，所述指定格式的文件包括：

可移植的可执行文件PE格式的文件。

可选地，根据所述数据块的哈希值识别出所述指定格式文件的所述指定位置的数据块均为白文件的数据块，则确定所述指定格式文件为白文件的方法包括：

使用同一哈希函数计算所述指定位置的数据块的哈希值；

将所述哈希值映射到白名单库对应的位数组中；

若所映射的位置对应的值全为预定值，确定所述指定格式文件的所述指定位置的数据块均为白文件的数据块，进而确定所述指定格式文件为白文件。

可选地，所述指定位置包括：

指定格式文件中易被病毒修改的位置。

可选地，所述指定位置具体包括以下至少一个：

Dos头、Nt头、节表、导入函数、导出函数、资源、代码段、数据段、入口点、最后一个节、附件数据。

可选地，所述方法还包括：

解析指定格式文件的数字签名；

过滤掉数字签名有效的文件。

根据本发明另一方面的一个实施例，提供了一种用于杀毒软件防误判的装置，其中，包括：

用于提取指定格式文件的指定位置的数据块的单元；

用于根据所述数据块的哈希值识别出所述指定格式文件的所述指定位置的数据块均为白文件的数据块，则确定所述指定格式文件为白文件的单元；

用于过滤掉所述白文件的单元。

可选地，所述装置还包括：

用于在提取指定格式文件的指定位置的数据块前，过滤掉不易感染病毒的非指定格式的文件的单元。

可选地，所述指定格式的文件包括：

可移植的可执行文件PE格式的文件。

可选地，用于根据所述数据块的哈希值识别出所述指定格式文件的所述指定位置的数据块均为白文件的数据块，则确定所述指定格式文件为白文件的单元包括：

用于使用同一哈希函数计算所述指定位置的数据块的哈希值的子单元；

用于将所述哈希值映射到白名单库对应的位数组中的子单元；

用于在所映射的位置对应的值全为预定值情况下，确定所述指定格式文件的所述指定位置的数据块均为白文件的数据块，进而确定所述指定格式文件为白文件的子单元。

可选地，所述指定位置包括：

指定格式文件中易被病毒修改的位置。

可选地，所述指定位置具体包括以下至少一个：

Dos头、Nt头、节表、导入函数、导出函数、资源、代码段、数据段、入口点、最后一个节、附件数据。

可选地，所述装置还包括：

用于解析指定格式文件的数字签名的单元；

用于过滤掉数字签名有效的文件的单元。