[发明专利]一种处理恶意程序的方法及装置

说明书

技术领域

本发明涉及计算机技术领域，特别涉及一种处理恶意程序的方法及装置。

背景技术

随着杀毒软件技术的发展，一般的恶意程序都难逃被查杀的命运。但是，随着还原类驱动技术的公开，恶意程序就开始利用了这种技术来达到使杀毒软件无法查杀的目的。具体地，在恶意程序上捆绑了携带有还原驱动的文件，这样，恶意程序在感染系统后，将被感染系统所在的磁盘设置为还原模式，此时，虽然可以利用现有的杀毒软件检测到该恶意程序的存在，但是，在进行查杀时，由于现有的杀毒软件都是通过文件系统对恶意程序以及恶意程序上捆绑的文件进行查杀处理，而恶意程序捆绑的还原驱动会在文件系统下层的磁盘过滤驱动中，将对携带有还原驱动的文件的查杀指令拦截下来，并在重启后，所有操作都被还原，导致恶意程序仍然存在，最终查杀失败。

可见，现有的杀毒软件对于系统感染了捆绑了还原驱动的恶意程序后的查杀还显得无能为力。目前，只能通过重新安装系统，或者是从U盘启动，用一个干净的驱动去替换还原驱动这两种方式来查杀恶意程序使得系统恢复，这两种方式操作起来都比较复杂，也比较费时。

因此，目前还比较缺少真正有效的快速的查杀捆绑了还原驱动的恶意程序的方式。

发明内容

本发明提供一种处理恶意程序的方法及装置，用以提高查杀处理恶意程序的效率。

本发明提供一种处理恶意程序的方法，包括：

解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；

加载第一驱动，通过所述第一驱动，与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；

对所述恶意程序进行查杀处理。

本发明提供了一种处理恶意程序的装置，包括：

获取单元，用于解析恶意程序捆绑的第一文件所在的文件系统，获得所述第一文件所在的存储位置；

替换单元，用于加载第一驱动，通过所述第一驱动往与所述存储位置对应的微端口驱动发送指令，将所述恶意程序捆绑的第一文件修改为第二文件，其中，所述第二文件为未感染恶意程序的无功能驱动文件；

查杀单元，用于对所述恶意程序进行查杀处理。

本发明中，系统感染的恶意程序捆绑了第一文件，首先获取该第一文件的存储位置，然后加载第一驱动，通过所述第一驱动直接向与存储位置对应的微端口驱动发送指令，将第一文件替换成未感染恶意程序且无功能的第二文件，然后再对该恶意程序进行查处处理。这样，无论恶意程序捆绑的第一文件具备何种功能，都可不通过文件系统直接通过端口进行替换，替换后的未感染恶意程序且无功能的第二文件不会对系统造成任何不良影响，从而可直接对捆绑了无功能的第二文件的恶意程序进行查杀，将系统恢复正常，无需重新安装系统或从其他外接设备进行启动，大大提高了查杀处理恶意程序使系统恢复正常的效率。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例一中处理恶意程序的流程图；

图2为本发明实施例二中处理恶意程序的流程图；

图3为本发明实施例三中处理恶意程序的流程图；

图4为本发明实施例三中系统感染捆绑了还原驱动文件的恶意程序的示意图；

图5为本发明实施例三中处理恶意程序的示意图；

图6为本发明实施例三中处理恶意程序后系统恢复的示意图；

图7为本发明实施例四中处理恶意程序的装置的结构图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明实施例中，系统感染了捆绑了第一文件的恶意程序，可加载第一驱动，通过该第一驱动直接与第一文件所在的存储位置对应的微端口驱动进行对接，将第一文件替换成无功能的第二文件，这样，无论第一文件具备何种功能，都不再对系统产生任何影响，然后，可直接将捆绑无功能的第二文件的恶意程序进行查杀处理，提高了查杀处理恶意程序的能力。