[发明专利]一种病毒检测方法、装置、电子设备及存储介质

说明书

本申请公开了一种病毒检测方法、装置、一种电子设备及一种存储介质，所述病毒检测方法包括检测访问恶意域名的目标进程；获取进程关联信息，并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程；对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作，本申请能够准确定位病毒文件。

技术领域

本申请涉及网络安全技术领域，特别涉及一种病毒检测方法、装置、一种电子设备及一种存储介质。

背景技术

计算机病毒(Computer Virus)指计算机程序中插入的用于破坏计算机功能或者数据的代码，计算机病毒具有传染性，能够实现较大范围的恶意入侵，造成大量计算机数据丢失或系统崩溃。

僵尸网络(Botnet)为一种将大量主机感染bot程序(僵尸程序)的病毒，能够在控制者和被感染主机之间所形成的一个可一对多控制的网络。相关技术中，通常采用防火墙检测访问异常域名的方式检测僵尸网络病毒，但是无法找到异常域名的访问发起者无法删除原始病毒文件从而造成反复感染。

因此，如何准确定位病毒文件是本领域技术人员目前需要解决的技术问题。

发明内容

本申请的目的是提供一种病毒检测方法、装置、一种电子设备及一种存储介质，能够提高系统的病毒检测效率，避免同一病毒文件反复感染。

为解决上述技术问题，本申请提供一种病毒检测方法，该病毒检测方法包括：

检测访问恶意域名的目标进程；

获取进程关联信息，并根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程；

对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作。

可选的，在检测访问恶意域名的目标进程之前，还包括：

查询所有进程的域名访问记录；

相应的，检测访问恶意域名的目标进程包括：

将所述域名访问记录对应的域名与预设域名名单中的域名执行匹配操作，并根据匹配结果确定访问所述恶意域名的目标进程。

可选的，在对所述目标进程和所述关联进程对应的进程文件执行病毒检测操作之后，还包括：

根据病毒检测结果确定包括病毒程序的目标进程对应的进程文件，并对包括所述病毒程序的进程文件进行处理。

可选的，还包括：

判断包括所述病毒程序的目标进程是否存在服务进程的进程文件；

若存在，删除所述目标进程对应的服务进程的进程文件。

可选的，所述目标进程包括访问CC域名的进程和/或用于对Http协议解析得到CC域名的进程。

可选的，所述进程关联信息包括父子进程关联信息和/或远程线程注入信息；

相应的，生成所述进程关联信息的过程包括：

根据监测到的进程创建信息和进程销毁信息生成所述父子进程关联信息；

和/或，根据监测到的线程创建信息和线程销毁信息生成所述远程线程注入信息。

可选的，根据所述进程关联信息对所述目标进程执行溯源操作得到所述目标进程的关联进程包括：

判断所述目标进程中是否包括其他进程远程注入的线程；