技術領域

本發明涉及計算機安全技術領域，具體涉及一種染毒文件的處理方法和系統。

背景技術

隨著計算機技術的不斷發展，目前無論在日常生活中還是在工作中，計算機都已經成為人們不可或缺的伙伴，為人們的工作和生活帶來了很多的便利，但是在這之中有一個不和諧的因素，那就是計算機病毒。

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。一旦染上病毒，計算機通常表現為其文件被增加、刪除、改變名稱或屬性、移動到其它目錄下，病毒對計算機文件的這些操作，可能會導致正常的程序無法運行、計算機操作系統崩潰、計算機被遠程控制、用戶信息被盜用等一系列的問題。

為了保證計算機的安全運行，需要對計算機中感染病毒的文件進行病毒查殺，以防止和清除病毒的破壞。現有技術中的病毒，往往通過占用文件句柄、設置文件只讀屬性、使文件處于刪除狀態等手段給染毒文件加上了加鎖，采用常規手段無法破解加鎖。

現有技術一種殺毒方法，枚舉操作系統下所有的進程，并枚舉各進程打開的文件句柄，通過查看文件句柄來找到加上獨占鎖的染毒文件；該方法能夠查殺出加上獨占鎖的染毒文件，但是進程和文件句柄的枚舉比較耗時，殺毒效率不高。

現有技術另一種殺毒方法，使用一些未公開方法查殺加上內核鎖的染毒文件；但是，未公開方法容易與操作系統中其它程序不兼容，引發操作系統出現藍屏等不穩定的問題，進而影響殺毒效率。

總之，需要本領域技術人員迫切解決的一個技術問題就是：如何能夠提高殺毒效率。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種染毒文件的處理方法和系統。

依據本發明的一個方面，提供了一種染毒文件的處理方法，包括：

獲取文件系統讀取失敗的文件，作為待處理文件；

獲取所述待處理文件在磁盤上的簇分布信息；

依據所述簇分布信息，從磁盤上讀取所述待處理文件的數據；

將讀取出的數據寫入臨時文件；

分析所述臨時文件的安全性，若所述臨時文件不安全，則對所述臨時文件及對應待處理文件執行清理操作。

可選地，所述獲取所述待處理文件在磁盤上的簇分布信息的步驟，包括：

以讀屬性打開所述待處理文件，得到相應的句柄；

基于設備驅動接口函數的磁盤驅動控制碼功能，獲取與所述句柄相應的所述待處理文件在磁盤上的簇分布信息。

可選地，所述依據所述簇分布信息，從磁盤上讀取所述待處理文件的數據的步驟，包括：

依據所述待處理文件的路徑，獲取所述待處理文件對應的磁盤分區；

依據所述簇分布信息，得到所述待處理文件在對應的磁盤分區上的簇偏移；

在所述待處理文件對應的磁盤分區對應位置上讀取與所述簇偏移相應的數據。

可選地，所述文件系統讀取失敗的文件包括ERROR_SHARING_VIOLATION32對應的文件和ERROR_LOCK_VIOLATION33對應的文件。

可選地，所述獲取文件系統讀取失敗的文件，作為待處理文件的步驟，包括：

讀取文件后綴名，通過文件后綴名來判定所述文件是否為PE文件，若是，則使用文件系統讀取所述文件，若讀取失敗則將所述文件作為待處理文件；或者，

判定文件大小，若所述文件大于第一文件閾值，則使用文件系統讀取所述文件，若讀取失敗則將所述文件作為待處理文件。

可選地，所述分析所述臨時文件的安全性的步驟，包括：

計算所述臨時文件的特征值；

根據白名單和所計算的所述臨時文件的特征值，監測所述臨時文件是否可信任；所述白名單至少包括可信任文件的特征值；

在監測結果為肯定的情況下，確定所述臨時文件安全；

在監測結果為否定的情況下，利用殺毒引擎分析所述臨時文件是否安全。

可選地，所述清理操作包括：禁用所述臨時文件及對應待處理文件的啟動項，或者，粉碎所述臨時文件及對應待處理文件。

可選地，所述粉碎所述臨時文件及對應待處理文件的步驟，包括：

依據所述臨時文件及對應待處理文件的路徑在對象管理器中查找對應的文件對象解析例程；

依據查找得到的文件對象解析例程生成I/O請求包，并發送至預置的文件系統下層設備的原始地址；

由文件系統下層設備依據所述I/O請求包對所述臨時文件及對應待處理文件執行粉碎操作。