[发明专利]一种恶意代码查杀方法、装置和存储介质

说明书

本发明提出一种恶意代码查杀方法、装置和存储介质，涉及计算机系统安全技术领域。该方法包括以下步骤：将恶意代码特征库与第一恶意代码查杀程序融合，形成第二恶意代码查杀程序；读取所述第二恶意代码查杀程序中的恶意代码特征数据到内存；调用所述第二恶意代码查杀程序，遍历全盘文件，将所述文件与内存上的所述恶意代码特征数据进行对比；如果与所述恶意代码特征数据匹配，则判定为恶意代码；如果与所述恶意代码特征数据不匹配，则判定为非恶意代码。该方法用于解决磁盘中单独存储的恶意代码特征库文件被分析及逆向破解的问题。本发明同时还提供一种恶意文件查杀装置和计算机可读存储介质，均具有上述有益效果。

技术领域

本发明涉及计算机系统安全技术领域，具体地说，涉及一种恶意代码查杀方法、装置和存储介质。

背景技术

随着移动互联网的高速发展，各类智能设备已经逐渐在人们的生活与工作中得到普及，各种威胁也随之而来，其中恶意代码是常见威胁之一。目前检测恶意代码的主流方法有：特征代码法、校验和法、行为监测法、软件模拟法、启发式扫描，这些方法依据原理的不同，实现时所需的开销、检测范围各不相同，各有所长。而特征代码法是检测已知恶意代码的最简单、最直接的方法。

传统的特征代码法在每次运行恶意代码查杀工具的时候，读取磁盘中某一处提前采集好的已知恶意代码特征库文件数据存入到内存，然后再打开被检测文件，基于一定规则计算文件的特征码，检测文件的特征码是不是在恶意代码数据库中，如果发现在恶意代码特征代码，即可断定被查文件感染何种恶意代码，并且在需要的时候更新替换磁盘上的恶意代码特征库文件。可以看出，传统特征代码法的恶意代码查杀工具本身和恶意代码特征库是两个独立的文件，二者缺一不可。该方式存在问题是恶意代码特征库文件在磁盘上，存在被分析、逆向破解的风险。一旦恶意代码特征库被恶意程序解密，之后再运行恶意代码查杀工具，则难以扫描出恶意代码，用户误以为操作系统依然安全，存在巨大的安全隐患。

发明内容

本发明提供一种恶意代码查杀方法、装置和存储介质，通过将恶意代码特征库文件和恶意代码查杀工具文件融合成整体，加大恶意代码特征库被暴露、破解难度，解决恶意代码特征库文件被分析及逆向破解的问题。

本发明的实施例内容如下：

本发明提出一种恶意代码检测方法，包括以下步骤：

将恶意代码特征库与第一恶意代码查杀程序融合，形成第二恶意代码查杀程序；读取所述第二恶意代码查杀程序中的恶意代码特征数据到内存；调用所述第二恶意代码查杀程序，遍历全盘文件，将所述文件与内存上的所述恶意代码特征数据进行对比；如果与所述恶意代码特征数据匹配，则判定为恶意代码；如果与所述恶意代码特征数据不匹配，则判定为非恶意代码。

进一步地，所述将恶意代码特征库与第一恶意代码查杀程序融合，包括以下步骤：读取所述恶意代码特征库文件数据；计算所述恶意代码特征库文件大小；根据所述恶意代码特征库文件大小创建所述第一恶意代码查杀程序的新增PE(Portable Executable，可移植可执行体)节区；将所述恶意代码特征库写入所述新增的PE节区，形成所述第二恶意代码查杀程序。

进一步地，将所述恶意代码特征库写入所述新增的PE节区之前对所述恶意代码特征库进行加密。

进一步地，读取所述第二恶意代码查杀程序中的恶意代码特征数据后，将其存放于内存映射表Map中。

进一步地，所述遍历全盘文件，包括以下步骤：根据运行所述恶意代码查杀程序的设备所能支持的磁盘IO最大线程数量，创建线程池；创建一个遍历所述磁盘的线程，负责给所述磁盘IO线程池分配任务；唤醒所述线程池中空闲线程，依次读取所述磁盘中的文件，并计算对应的特征码。

进一步地，在所述计算对应特征码之前，判断磁盘中的数据是否为文件，如果不是文件，则不计算特征码，继续读取下一文件。