[发明专利]一种数据恢复方法及装置

权利要求书

1.一种数据恢复方法，其特征在于，包括：

获取被检测脚本的可执行编码；

对被检测脚本的可执行编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合；所述组合编码脚本集合包括所述被检测脚本可执行编码所对应的至少一个脚本元素；

虚拟执行所述组合编码脚本集合中的脚本元素，根据脚本元素的虚拟执行过程，确定组合编码脚本集合中的恶意脚本感染数据的步骤；

根据所述恶意脚本感染数据的步骤，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据；

其中，根据所述恶意脚本感染数据的过程，将被恶意脚本感染的数据恢复为被恶意脚本感染前的原始数据，包括：

根据所述恶意脚本感染数据的步骤，获取恶意脚本对数据的更改内容，将所述更改内容作为被所述恶意脚本感染后的数据的特征；

根据所述恶意脚本感染数据的步骤，构建所述恶意脚本感染数据的步骤的逆向步骤；

根据所述被恶意脚本感染后的数据的特征，查找计算机中被病毒感染的数据；

按照所述逆向步骤，将查找到的计算机中被病毒感染的数据恢复为被恶意脚本感染前的原始数据。

2.如权利要求1所述的方法，其特征在于，对被检测脚本的可执行编码进行词语分析，根据所述词语分析的结果，构建所述被检测脚本的组合编码脚本集合，包括：

对所述被检测脚本进行词法分析，确定所述被检测脚本中每个词语单元的单词类型集合；所述单词类型集合包括所述词语单元所对应的至少一个单词类型元素；

对所述被检测脚本进行语法分析，确定所述被检测脚本中每个语句单元的语句类型集合；所述语句类型集合包括所述语句单元所对应的至少一个语句类型元素；

根据所述单词类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合。

3.如权利要求2所述的方法，其特征在于，所述方法还包括：

对所述被检测脚本进行表达式分析，确定所述被检测脚本中每个表达式单元的表达式类型集合；所述表达式类型集合包括所述表达式单元所对应的至少一个表达式类型元素；

根据所述单词类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合，包括：

根据所述单词类型集合、表达式类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合。

4.如权利要求3所述的方法，其特征在于，根据单词类型集合、表达式类型集合和所述语句类型集合，构建所述被检测脚本对应的组合编码脚本集合，包括：

从单词类型集合中选取一个单词类型元素，从表达式类型集合中选取一个表达式类型元素，从词句类型集合中选取一个词句类型元素；

将选取的所述单词类型元素、表达式类型元素以及语句类型元素组合成一个组合编码脚本元素；

按照上述步骤，遍历所述单词类型集合、表达式类型集合、词句类型集合中的所有元素组合成组合编码脚本元素，利用所有组合编码脚本元素构成组合编码脚本集合。

5.如权利要求1所述的方法，其特征在于，对被检测脚本的可执行编码进行词语分析，包括：

根据被检测脚本的类型，确定被检测脚本的词语分析引擎；

利用所述词语分析引擎，对所述被检测脚本进行词语分析。