[发明专利]病毒识别方法和装置

说明书

技术领域

本公开的实施例涉及计算机技术领域，尤其涉及一种病毒识别方法和装置。

背景技术

计算机及网络技术的迅猛发展极大地促进了信息交互。但是，与此同时，计算机病毒也伴随技术的发展而不断地演化更新，从初期的恶作剧游戏发展到今日，计算机病毒已经严重威胁到了人们对计算机的正常使用。由此，如何防范病毒侵袭已然成为人们关注的一个焦点。

现有技术中进行病毒识别的方式一般是预先建立相应的病毒库，并进行病毒库进行比对，将与病毒库中的病毒匹配的文件认定为病毒；或者人为的设定相应的规则，符合相应的规则的文件认定为病毒。在实施时，通常是对待识别的文件中的部分内容或者全部内容进行相应的哈希运算得到对应的哈希值，之后根据该哈希值与病毒值的对应关系(比如如果一个哈希值对应的文件为病毒，在该哈希值对应的病毒值为1，否则对应的病毒值为0)，确定相应的文件是否为病毒。在对相关技术研究的过程中，发明人发现，以上所述的方式存在如下问题：待识别的文件中的部分内容或者全部内容中的任何一个字段发生变化，都会导致所对应的哈希值发生改变。理论上，为了正确的识别该待识别的文件，就需要预先设置该待识别的文件的哈希值所对应的病毒值。在病毒变种数量非常大的情况下，几乎无法完成相应的标定工作。

发明内容

本公开至少一个实施例的主要目的在于提供一种新的病毒识别方法，可以至少部分的解决上述的问题。

第一方面，本公开的实施例提供了一种病毒文件识别方法，包括：

对待识别的手机文件中的预设关键内容进行特征提取；所述预设关键内容包括可能隐藏有恶意代码的文件内容；

对提取到的特征按照预设哈希算法进行哈希运算；

根据哈希运算结果判断待识别的手机文件是否为病毒文件。

在一些实施例中，所述预设关键内容包括：APP格式文件的尾部注释。

在一些实施例中，所述预设关键内容包括：META-INF内部和/或外部的空目录以及空文件。

在一些实施例中，所述预设关键内容还包括：关键字段。

在一些实施例中，所述手机文件为安卓手机文件。

第二方面，本公开的实施例一种病毒识别装置，包括：

特征提取模块，用于对待识别的手机文件中的预设关键内容进行特征提取；所述预设关键内容包括格式相关特征；

运算模块，用于对提取到的特征按照预设哈希算法进行哈希运算；

判断模块，用于根据哈希运算结果判断待识别的手机文件是否为病毒文件。

在一些实施例中，所述预设关键内容包括包括：APP格式文件的尾部注释。

在一些实施例中，所述预设关键内容包括：META-INF内部和/或外部的空目录以及空文件。

在一些实施例中，所述预设关键内容还包括：用于关键字段。

在一些实施例中，所述手机文件为安卓手机文件。

在本公开至少一个实施例中，首先对待识别文件中的预设关键内容进行提取，之后对提取到的内容进行哈希运算。对于同一类的病毒文件，只要其预设关键内容一致，即使其他部分的内容存在一些差异，这些病毒文件所对应的哈希值也都是一样的。这样就仅需通过设置一个哈希值对应的病毒值，即可完成对一类病毒文件的识别，能够减少相应的标定工作。

附图说明

图1展示了本公开实施例提供的一种病毒识别方法的主要流程；

图2展示了本公开实施例提供的一种病毒识别方法的主要结构。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本公开，并不用于限定本公开。

本公开第一方面的实施例提供了一种病毒识别方法，该方法可以由电子设备中的处理器执行，参见图1，所述方法主要包括如下流程：

步骤S11，对待识别的手机文件中的预设关键内容进行特征提取；所述预设关键内容包括可能隐藏有恶意代码的文件内容；

相关技术领域内的人员均知道的是，一些恶意代码可能隐藏到一些特定的文件中，而这些文件往往不会被系统检测。比如一些恶意代码可能隐藏到 APP格式文件的尾部注释中，或者一些恶意代码可能伪装成META-INF内部和/或外部的空目录以及空文件。发明人在对相关技术研究的过程中发现，一些病毒文件往往在这些内容中会有一些恶意代码，通过提取这部分内容作为预设关键内容的一部分，能够作为病毒文件区分的依据。APP格式文件的尾部注释、META-INF内部和外部的空目录以及空文件中的任意一项或者任意几项都可以作为预设关键内容中的一部分。