技術領域

本發明涉及計算機安全技術領域，具體涉及一種免疫文件宏病毒的方法和裝置。

背景技術

宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執行，于是宏病毒就會被激活，轉移到計算機上，并駐留在模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到他的計算機上。

由于宏病毒藏于數據文件內，且其使用的腳本語法靈活多變，完成一個功能有很多種寫法，故識別一個文件是否有宏病毒非常困難。

現有技術一種免疫文件宏病毒的方法采用占坑的方法，具體而言，如果發現某一種宏病毒會釋放一個特定名稱的文件，就新建一個同名的文件夾，利用Windows同名文件和文件夾不能共存的方式阻止宏病毒的傳播；該方法僅能免疫特定的、已有的宏病毒，而不能免疫新的、未知的病毒，故免疫效率不高。

現有技術另一種免疫文件宏病毒的方法通過禁用所有宏的方法禁止Office的所有宏功能；該方法會影響正常需要使用宏功能的文件。

總之，需要本領域技術人員迫切解決的一個技術問題就是：如何能夠提高宏病毒的免疫效率。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種免疫文件宏病毒的方法和裝置。

依據本發明的一個方面，提供了一種免疫文件宏病毒的方法，包括：

截獲Office進程的文件行為請求；

依據所述文件行為請求，分析得到相應文件行為的信息；

利用所述文件行為的信息，判斷所述文件行為是否為宏病毒行為；

在所述文件行為是Office進程修改模板文件的宏病毒行為時，允許所截獲的文件行為請求；

在所述文件行為是除Office進程修改模板文件的行為之外的宏病毒行為時，阻止所截獲的文件行為請求。

可選地，所述依據所述文件行為請求，分析得到相應文件行為的信息的步驟，包括：

分析所述文件行為請求中攜帶的應用程序接口API的參數，得到相應文件行為的信息；

所述文件行為的信息至少包括如下信息中的一項或多項：文件路徑，行為名稱，共享方式和文件屬性；所述文件屬性至少包括如下屬性中的一項或多項：普通，只讀，隱藏，加密和壓縮。

可選地，所述利用所述文件行為的信息，判斷所述文件行為是否為宏病毒行為的步驟，包括：

將所述文件行為的信息與已知宏病毒行為的信息進行匹配，若匹配成功，則確定所述文件行為是宏病毒行為。

可選地，所述利用所述文件行為的信息，判斷所述文件行為是否為宏病毒行為的步驟，包括：

依據所述文件行為的信息，判斷所述文件行為對應文件為本次計算機運行期間未被Office進程修改過的已有文件還是被Office進程修改過的新文件；

將所述文件行為的信息和所述文件行為對應文件的判斷結果與已知宏病毒行為的信息進行匹配，若匹配成功，則確定所述文件行為是宏病毒行為。

可選地，所述方法還包括：

若所述文件行為是Office進程修改模板文件的宏病毒行為，則在所述Office進程結束時，判斷修改后的模板文件是否帶有宏，若是，則使用預先備份的不帶有宏的模板文件替換所述修改后的模板文件；

所述判斷修改后的模板文件是否帶有宏的步驟，包括：

以二進制的格式打開所述修改后的模板文件；

判斷所述修改后的模板文件的二進制內容中是否包含有宏標識，若是，則判斷修改后的模板文件帶有宏，否則判斷修改后的模板文件不帶有宏。

可選地，所述方法還包括：

當匹配失敗時，判斷所述文件行為對應文件或目錄是否在白名單數據集中；

當所述文件行為對應文件或目錄在白名單數據集中時，確定所述文件行為不是宏病毒行為；

當所述文件行為對應文件或目錄不在白名單數據集中時，判斷所述文件行為對應文件或目錄是否在黑名單數據集中；

當所述文件行為對應文件或目錄在黑名單數據集中時，確定所述文件行為是宏病毒行為；

當所述文件行為對應文件或目錄不在黑名單數據集中時，判斷所述文件行為對應文件或目錄為本次計算機運行期間未被Office進程修改過的已有文件或目錄還是被Office進程修改過的新文件或目錄；

當所述文件行為對應文件或目錄為本次計算機運行期間未被Office進程修改過的已有文件或目錄時，確定所述文件行為不是宏病毒行為；