技術領域

本發明實施例涉及計算機技術領域，特別是涉及一種開機過程的處理方法和系統。

背景技術

開機啟動項是Windows系統下一個非常常見的功能，它讓一些應用程序隨著Windows系統的啟動而啟動。將一些常用的程序，以及這些程序加載過程中調用的DLL（Dynamic?Link?Library，動態鏈接庫）文件等添加到開機啟動項中，使這些常用的程序在開機時就運行，不用用戶手動啟動，非常方便。

實際情況中，開機啟動項的功能會被一些程序濫用甚至惡意使用，一些程序未經用戶允許，便將自身或是其他的程序、DLL文件，加入到用戶的開機啟動項中，其中可能會存在病毒木馬程序或文件，從而給用戶計算機帶來一定的危險。

計算機開機后，系統的啟動項文件夾或是相關注冊表中記錄有各個啟動項。現有技術中，多通過判斷上述位置中各個啟動項文件的危險級別，來進一步清理可疑的啟動項。但是，有些木馬或者其他類型的惡意程序會偽裝成看似正常的、與某個程序相關的DLL文件添加在啟動項中，開機的時候，該程序運行，該木馬劫持的DLL文件也會運行，并且運行后即會自行退出啟動項。在開機后掃描啟動項文件夾或是相關注冊表的時候，所有的啟動項文件都是安全文件，無法找出木馬劫持的相關文件，因此，這種清理方式具有滯后性。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的開機過程的處理方法和系統。

根據本發明的一個方面，提供了一種開機過程的處理方法，包括：

獲取計算機開機過程中所加載的進程信息，所述進程信息包括進程命令行和進程加載的程序文件；

將所述進程信息與計算機操作系統記錄的啟動項信息進行匹配，獲得開機啟動項所加載的程序文件，所述啟動項信息包括開機啟動項和對應的進程命令行；

獲取所述程序文件的安全屬性；

依據所述程序文件的安全屬性對相應的開機啟動項進行清理，并依據所述程序文件的安全屬性，以及預置的與所述安全屬性相對應的程序清理策略，對各程序文件進行清理。

本發明實施例中，所述將進程信息與計算機操作系統記錄的啟動項信息進行匹配，獲得開機啟動項所加載的程序文件的步驟包括：

讀取計算機操作系統記錄的啟動項信息；

將所述啟動項信息中的進程命令行與所述進程信息中的進程命令行進行匹配；

從所述啟動項信息中查找與相匹配的進程命令行對應的開機啟動項，并從所述進程信息中查找與所述相匹配的進程命令行對應的程序文件，得出所述開機啟動項所加載的程序文件。

本發明實施例中，所述讀取計算機操作系統記錄的啟動項信息的步驟包括：

讀取計算機操作系統啟動項注冊表中的鍵值項，其中，所述鍵值項的名稱為開機啟動項，所述鍵值項的鍵值為相應的進程命令行；

和/或，讀取計算機操作系統目錄下的啟動項文件夾中各個文件，其中，文件名稱為開機啟動項，文件的屬性信息中包括相應的進程命令行。

本發明實施例中，所述依據程序文件的安全屬性對相應的開機啟動項進行清理的步驟包括：

依據所述程序文件的安全屬性確定對應的開機啟動項的安全屬性；

依據各開機啟動項的安全屬性確定待清理的開機啟動項；

刪除系統啟動項注冊表中待清理的開機啟動項的鍵值；

和/或，刪除系統目錄下啟動項文件夾中待清理的啟動項對應的各個文件。

本發明實施例中，所述依據各開機啟動項的安全屬性確定待清理的開機啟動項的步驟包括：

若開機啟動項的安全屬性為安全文件或未知文件，則所述開機啟動項不是待清理的開機啟動項；

若開機啟動項的安全屬性為危險文件，則所述開機啟動項為待清理的開機啟動項。

本發明實施例中，所述啟動項信息中包括各個父進程對應的進程命令行，所述進程信息中包括父進程和/或子進程所加載的程序文件，所述進程信息中還包括父進程和子進程的對應關系。

本發明實施例中，所述將進程信息與計算機操作系統記錄的啟動項信息進行匹配，獲得開機啟動項所加載的程序文件的步驟還包括：

依據進程信息中父進程和子進程的對應關系，提取父進程對應的子進程的程序文件，將所述父進程和子進程分別對應的程序文件作為開機啟動項對應的程序文件。

本發明實施例中，在所述獲取程序文件的安全屬性的步驟之前，所述方法還包括：

去除與系統文件具備相同名稱的程序文件；