[发明专利]结合文件识别的病毒检测方法

权利要求书

1.一种结合文件识别的病毒检测方法，其特征在于，包括以下步骤：

S1、加载真实文件类型信息库；

S2、根据待检测文件的文件头标识和所述真实文件类型信息库内数据判断待检测文件的魔数类别magic_type；

S3、判断已确定magic_type的待检测文件的文件类型file_type；

S4、仅在文件类型file_type为可执行文件时，对文件执行防病毒检测。

2.如权利要求1所述的结合文件识别的病毒检测方法，其特征在于，S1中，在所述真实文件类型信息库已有的情况下，加载真实文件类型信息库具体包括：

S1-1、读取所述真实文件类型信息库；

S1-2、解析所述真实文件类型信息库内的真实文件信息；

S1-3、将解析的真实文件信息作为真实文件数据进行加载。

3.如权利要求2所述的结合文件识别的病毒检测方法，其特征在于，所述真实文件数据包括：固定偏移量、固定偏移量匹配文件标识、不固定偏移量匹配文件标识、是否区分大小写，以及是否跳过空格。

4.如权利要求3所述的结合文件识别的病毒检测方法，其特征在于，S2中，根据待检测文件的文件头标识和所述真实文件类型信息库内数据判断待检测文件的魔数类别magic_type，具体包括：

S2-1、将待检测文件的前1024字节数据遍历，并与所述真实文件数据遍历比较；

S2-2、根据待检测文件的分类不同，对待检测文件的字节数据进行处理；

S2-3、将处理后的字节数据通过与真实文件类型信息库中的数据进行匹配，通过固定偏移量、固定偏移量匹配文件标识、不固定偏移量匹配文件标识，以及是否大小写数据对处理后的字节数据进行匹配后得到所述待检测文件的魔数类别magic_type。

5.如权利要求4所述的结合文件识别的病毒检测方法，其特征在于，S2-1中，将待检测文件的前1024字节数据遍历前还包括对所述字节数据的预处理，所述预处理包括：所述待检测文件的原始报文的MAC层、IP层协议解析和碎片重组，传输层协议解析和流重组，应用协议解析，以及典型的网络协议的解析。

6.如权利要求4所述的结合文件识别的病毒检测方法，其特征在于，S2-2中，根据待检测文件的分类不同对待检测文件的字节数据进行的处理具体包括：是否区分大小写和是否跳过空格。

7.如权利要求1所述的结合文件识别的病毒检测方法，其特征在于，S3中，判断已确定magic_type的待检测文件的文件类型file_type，具体包括：

S3-1、由S2得到的所述待检测文件的魔数类别magic_type得到与所述待检测文件同类的文件的文件拓展名的集合；

S3-2、将获取的文件拓展名与所述文件拓展名的集合做匹配，即得到所述待检测文件的文件类型。

8.如权利要求1所述的结合文件识别的病毒检测方法，其特征在于，S4中，仅在文件类型file_type为可执行文件时，对所述待检测文件执行防病毒检测具体包括：待检测文件类型为可执行文件的文件是否为病毒文件，是，则将所述病毒文件隔离；否，则结束所述待检测文件的检测。