[发明专利]BootKit病毒确定方法、装置、计算机设备及介质

说明书

本申请公开了一种BootKit病毒确定方法、装置、计算机设备及计算机可读存储介质，为确定是否感染的BootKit病毒的类型，本申请针对确定感染了已知BootKit病毒的场景，充分利用了已知BootKit病毒的变种通常保留相应已知BootKit病毒的引导区，使得payload对应的偏移地址不变，而仅对payload中存储的恶意代码进行修改的实际情况。在成功定位和剥离出实际恶意代码后，就可以据此确定感染的BootKit病毒的类型。上述步骤可全程自动化执行，无需人工介入，能够有效减少由于人的不稳定性带来的误判，提升确定效率。

技术领域

本申请涉及计算机病毒确定技术领域，特别涉及一种BootKit病毒确定方法、装置、计算机设备及计算机可读存储介质。

背景技术

MBR，英文全称为：Master Boot Record，中文名为：主引导记录，是指存放在计算机启动磁盘的第一个扇区中的一段引导代码，MBR的主要作用是告诉处于启动状态的计算机到硬盘到哪一个位置去寻找操作系统。VBR，英文全称为：Volume Boot Record，中文名为：卷引导记录，VBR的主要作用是声明计算机操作系统在当前分区里的具体位置，以便计算机从这个具体位置加载操作系统。

从上述对MBR和VBR的描述可以看出，其两者是确保计算机正常启动非常重要的部分。而BootKit病毒则是专门感染MBR以及VBR的一类病毒的总称，通常由引导部分(也称引导区)加payload构成，引导部分负责让计算机优先加载病毒(即为恶意代码提权)，恶意代码存储于payload中。

由于MBR和VBR以非数据文件形式存在，无法像传统有独立载体的病毒一样简单的定位和剥离，给判别计算机是否感染了BootKit病毒和判别感染了什么样的BootKit病毒带来了较大的困难。基于上述原因，在相关技术中，往往需要病毒分析和处理人员首先通过远程控制的方式访问到用户的计算机设备，再结合自身经验对该计算机设备进行针对性的测试，最终确定是否感染了BootKit病毒和感染了什么类型的BootKit病毒。相比于已知的BootKit病毒，基于已知BootKit病毒衍变出的变种则使人工判别的方式变的更加困难和低效率。且由于人的不稳定性，还容易造成误判。

因此，如何克服上述现有技术缺陷，提供一种人工介入更少、判断更准确、效率更高的BootKit病毒确定方法，是本领域技术人员亟待解决的问题。

发明内容

有鉴于此，本申请提供了一种BootKit病毒确定方法、装置、计算机设备及计算机可读存储介质，旨在通过提供一种可以自动化执行的处理流程，减少BootKit病毒在确定过程中人工的介入，减少由于人的不稳定性带来的误判，提升处理效率。

为实现上述目的，本申请第一方面提供了一种BootKit病毒确定方法，包括：

根据实际引导记录确定感染的是否为已知BootKit病毒；

若感染了已知BootKit病毒，则根据所述已知BootKit病毒的引导区确定存储恶意代码的payload的偏移地址；

根据所述偏移地址从所述实际引导记录中提取得到实际恶意代码，以根据所述实际恶意代码确定感染的BootKit病毒的类型。

为实现上述目的，本申请第二方面提供了一种BootKit病毒确定装置，包括

已知BootKit病毒感染确定单元，用于根据实际引导记录确定感染的是否为已知BootKit病毒；

偏移地址确定单元，用于当感染了已知BootKit病毒时，根据所述已知BootKit病毒的引导区确定存储恶意代码的payload的偏移地址；

实际恶意代码提取单元，用于根据所述偏移地址从所述实际引导记录中提取得到实际恶意代码，以根据所述实际恶意代码确定感染的BootKit病毒的准确类型。