[发明专利]检测和清除计算机宏病毒的方法和装置

说明书

技术领域

本发明涉及计算机安全领域，具体涉及一种用于检测和清除计算机宏病毒的方法和装置。

背景技术

计算机病毒是在计算机程序中插入的破坏计算机功能的数据，其会影响计算机的正常使用，并且能够自我复制，计算机病毒通常以一组计算机指令或者程序代码的形式呈现。计算机病毒杀毒引擎是判断特定程序行为是否为病毒程序（或可疑程序）的技术机制。杀毒引擎是杀毒软件的主要部分，是检测和发现病毒的程序，而病毒库是已经发现的病毒的特征集合。在杀毒过程中，用病毒库中的特征去对照系统中的所有程序或文件，对于符合这些特征的程序或文件，即判定为病毒。

宏语言是一类编程语言，其全部或多数计算是由扩展宏完成的。宏语言在文本处理程序中应用普遍，主要用来扩展文本处理程序的功能。例如，Microsoft Office就采用宏语言实现对表格进行动态计算、设计交互窗口等宏功能。但是，病毒制作者也可能利用宏语言功能强大、开发简单的优点，将其用于开发宏病毒。

宏病毒是一种寄存在文档文件或文档模板文件的宏中的计算机病毒。一旦打开这样的文档文件或文档模板文件，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在文档模板上。从此以后，所有自动保存的文档文件都会感染上这种宏病毒，而且，如果其他用户打开了感染病毒的文档，宏病毒又会转移到其计算机上。由于宏病毒隐藏于数据文件内部，且其使用的脚本语法灵活多变，完成一个功能有很多种写法，因而识别一个文件是否包含有宏病毒非常困难。

宏病毒感染、发作在先，而反病毒机制在后，并且宏语言是一种脚本，稍作修改即可产生变种，甚至可以在传播过程中对自身进行修改，每传播一次就变化一次，因此，现有的反病毒机制很难跟上宏病毒变化的速度，对未知宏病毒基本无检测能力，反病毒效果很差。

发明内容

鉴于上述问题，提出了本发明，以便提供一种克服上述问题或者至少部分地解决上述问题的检测和清除计算机宏病毒的方法和装置。

依据本发明的一个方面，提供了一种检测和清除计算机宏病毒的方法，包括：遍历预先定义的目录，以识别文档模板文件；基于包含已知宏病毒特征码的预先定义的病毒数据库，对识别出的文档模板文件进行病毒检测处理；对于检测出病毒的文档模板文件，进行病毒清除处理；以及删除进行病毒清除处理后的文档模板文件。

可选地，根据本发明的实施例的检测和清除计算机宏病毒的方法还包括：在有文档模板文件被检测出病毒的情况下，删除未检测出病毒的文档模板文件。

可选地，根据本发明的实施例的检测和清除计算机宏病毒的方法还包括：基于所述预先定义的病毒数据库，对计算机中的文档文件进行病毒检测处理；对于检测出病毒的文档文件，进行病毒清除处理。

可选地，根据本发明的实施例的检测和清除计算机宏病毒的方法还包括：在所述对于检测出病毒的文档模板文件进行病毒清除处理的步骤之前，将检测出病毒的文档模板文件备份到隔离区。

可选地，根据本发明的实施例的检测和清除计算机宏病毒的方法还包括：在所述删除进行病毒清除处理后的文档模板文件的步骤之前，将进行病毒清除处理后的文档模板文件备份到隔离区。

可选地，在根据本发明的实施例的检测和清除计算机宏病毒的方法中，所述遍历预先定义的目录以识别文档模板文件的步骤包括：检测所述预先定义的目录中的文件是否包含宏代码，并且将包含宏代码的文件识别为文档模板文件。

可选地，在根据本发明的实施例的检测和清除计算机宏病毒的方法中，所述基于包含已知宏病毒特征码的预先定义的病毒数据库对识别出的文档模板文件进行病毒检测处理的步骤包括：基于所述已知宏病毒特征码，对所述文档模板文件进行定位处理和匹配处理，在所述文档模板文件与已知宏病毒特征码匹配的情况下，判定该文档模板文件感染了宏病毒。

可选地，在根据本发明的实施例的检测和清除计算机宏病毒的方法中，所述预先定义的目录是文档处理软件保存文档模板文件的默认目录。

可选地，在根据本发明的实施例的检测和清除计算机宏病毒的方法中，所述宏代码是VBA宏代码。

依据本发明的另一方面，还提供了一种检测和清除计算机宏病毒的装置，包括：遍历模块，适于遍历预先定义的目录，以识别文档模板文件；病毒检测模块（203），适于基于包含已知宏病毒特征码的预先定义的病毒数据库，对识别出的文档模板文件进行病毒检测处理；病毒清除模块，适于对于检测出病毒的文档模板文件，进行病毒清除处理；以及删除模块，适于删除进行病毒清除处理后的文档模板文件。