[发明专利]一种宏病毒查杀的方法和装置

说明书

技术领域

本发明涉及数据安全技术领域，具体涉及一种宏病毒查杀的方法和装置。

背景技术

随着计算机的普及和移动互联网的发展，网络信息时代已经来临。病毒作为信息的一种形式，具有繁殖、感染、破坏等特性，威胁着用户的信息安全。计算机文档，即WORD，EXCEL等文字编辑软件产生的文件，被人们广泛使用，而宏病毒作为专用于破坏计算机文档信息安全的新型病毒，逐渐走进人们的视线。其中，使用宏语言编写的宏病毒主要作用于计算机文档的宏代码中，威胁着计算机文档的安全。

现有技术中，通过对计算机文档的全文搜索，查询宏病毒的存在，首先，获取宏病毒的特征代码，其次，用获取的宏病毒特征代码与计算机文档的全部代码进行匹配，直到找到与该特征代码相同的代码段，即可以认为该计算机文档感染了宏病毒。同时，在确定了计算机文档已经感染宏病毒的情况下，只是简单的将被感染的计算机文档删除。

现有技术的全文搜索宏病毒的方法，忽略了宏病毒只作用于计算机文档的宏代码中的特性，无针对性的宏病毒搜索方法，盲目扩大了搜索范围，无疑大大降低了宏病毒的搜索效率。同时，删除被感染的计算机文档容易造成信息的丢失。

发明内容

本发明提供了一种宏病毒查杀的方法和装置，只针对计算机文档的宏代码部分进行宏病毒的查杀，大大提高宏病毒的搜索效率。同时，将被感染的计算机文档中的宏病毒信息删除，使得计算机文档中的原信息被完好保存，防止信息的丢失。

本发明提供一种宏病毒查杀的方法，所述方法包括：

获取待查文档的数据流；

在所述数据流中存在宏标识的情况下，判断所述待查文档是否为宏病毒文档，如果是，则将所述宏病毒文档转化成无毒文档。

优选地，所述判断所述待查文档是否为宏病毒文档之前，还包括：

预设宏病毒特征组，所述宏病毒特征组包括至少一个宏病毒特征。

优选地，所述判断所述待查文档是否为宏病毒文档，包括：

判断所述待查文档是否包括所述宏病毒特征组中的任一宏病毒特征。

优选地，所述判断所述待查文档是否包括所述宏病毒特征组中的任一宏病毒特征，包括：

在所述待查文档包括宏子流的情况下，判断所述宏子流中是否包括所述宏病毒特征组中的任一宏病毒特征；

在所述待查文档不包括宏子流或者所述宏子流中不包括所述宏病毒特征组中的任一宏病毒特征的情况下，判断所述待查文档是否包括脚本流，如果是，则判断所述脚本流是否包括所述宏病毒特征组中的任一宏病毒特征；

或者，

在所述待查文档包括脚本流的情况下，判断所述脚本流中是否包括所述宏病毒特征组中的任一宏病毒特征；

在所述待查文档不包括脚本流或者所述脚本流中不包括所述宏病毒特征组中的任一宏病毒特征的情况下，判断所述待查文档是否包括宏子流，如果是，则判断所述宏子流是否包括所述宏病毒特征组中的任一宏病毒特征。

优选地，所述方法还包括：

在所述数据流中不存在宏标识的情况下，将所述待查文档确定为无毒文档。

优选地，所述将所述宏病毒文档转化成无毒文档，包括：

删除所述宏病毒文档中的宏信息，所述宏信息包括宏子流和/或脚本流，以及删除所述宏病毒文档中的宏标识；

将所述宏病毒文档确定为无毒文档。

本发明还提供一种宏病毒查杀的装置，所述装置包括：

第一获取模块，用于获取待查文档的数据流；

第一判断模块，用于在所述数据流中存在宏标识的情况下，判断所述待查文档是否为宏病毒文档；

转化模块，用于在所述第一判断模块的结果为是时，将所述宏病毒文档转化成无毒文档。

优选地，所述装置还包括：

预设模块，用于预设宏病毒特征组，所述宏病毒特征组包括至少一个宏病毒特征。

优选地，所述第一判断模块具体用于：

在所述数据流中存在宏标识的情况下，判断所述待查文档是否包括所述宏病毒特征组中的任一宏病毒特征。

优选地，所述第一判断模块，包括：

第一判断子模块，用于在所述待查文档包括宏子流的情况下，判断所述宏子流中是否包括所述宏病毒特征组中的任一宏病毒特征；

第二判断子模块，用于在所述待查文档不包括宏子流或者所述宏子流中不包括所述宏病毒特征组中的任一宏病毒特征的情况下，判断所述待查文档是否包括脚本流；

第三判断子模块，用于在所述第二判断子模块的结果为是时，判断所述脚本流是否包括所述宏病毒特征组中的任一宏病毒特征；