技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域，具體涉及一種用于檢測(cè)和清除計(jì)算機(jī)宏病毒的方法和裝置。

背景技術(shù)

計(jì)算機(jī)病毒是在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能的數(shù)據(jù)，其會(huì)影響計(jì)算機(jī)的正常使用，并且能夠自我復(fù)制，計(jì)算機(jī)病毒通常以一組計(jì)算機(jī)指令或者程序代碼的形式呈現(xiàn)。計(jì)算機(jī)病毒殺毒引擎是判斷特定程序行為是否為病毒程序（或可疑程序）的技術(shù)機(jī)制。殺毒引擎是殺毒軟件的主要部分，是檢測(cè)和發(fā)現(xiàn)病毒的程序，而病毒庫(kù)是已經(jīng)發(fā)現(xiàn)的病毒的特征集合。在殺毒過(guò)程中，用病毒庫(kù)中的特征去對(duì)照系統(tǒng)中的所有程序或文件，對(duì)于符合這些特征的程序或文件，即判定為病毒。

宏語(yǔ)言是一類編程語(yǔ)言，其全部或多數(shù)計(jì)算是由擴(kuò)展宏完成的。宏語(yǔ)言在文本處理程序中應(yīng)用普遍，主要用來(lái)擴(kuò)展文本處理程序的功能。例如，Microsoft?Office就采用宏語(yǔ)言實(shí)現(xiàn)對(duì)表格進(jìn)行動(dòng)態(tài)計(jì)算、設(shè)計(jì)交互窗口等宏功能。但是，病毒制作者也可能利用宏語(yǔ)言功能強(qiáng)大、開發(fā)簡(jiǎn)單的優(yōu)點(diǎn)，將其用于開發(fā)宏病毒。

宏病毒是一種寄存在文檔文件或文檔模板文件的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔文件或文檔模板文件，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在文檔模板上。從此以后，所有自動(dòng)保存的文檔文件都會(huì)感染上這種宏病毒，而且，如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到其計(jì)算機(jī)上。由于宏病毒隱藏于數(shù)據(jù)文件內(nèi)部，且其使用的腳本語(yǔ)法靈活多變，完成一個(gè)功能有很多種寫法，因而識(shí)別一個(gè)文件是否包含有宏病毒非常困難。

宏病毒感染、發(fā)作在先，而反病毒機(jī)制在后，并且宏語(yǔ)言是一種腳本，稍作修改即可產(chǎn)生變種，甚至可以在傳播過(guò)程中對(duì)自身進(jìn)行修改，每傳播一次就變化一次，因此，現(xiàn)有的反病毒機(jī)制很難跟上宏病毒變化的速度，對(duì)未知宏病毒基本無(wú)檢測(cè)能力，反病毒效果很差。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本發(fā)明，以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法和裝置。

依據(jù)本發(fā)明的一個(gè)方面，提供了一種檢測(cè)和清除計(jì)算機(jī)宏病毒的方法，包括：遍歷預(yù)先定義的目錄，以識(shí)別文檔模板文件；基于包含已知宏病毒特征碼的預(yù)先定義的病毒數(shù)據(jù)庫(kù)，對(duì)識(shí)別出的文檔模板文件進(jìn)行病毒檢測(cè)處理；對(duì)于檢測(cè)出病毒的文檔模板文件，進(jìn)行病毒清除處理；以及刪除進(jìn)行病毒清除處理后的文檔模板文件。

可選地，根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法還包括：在有文檔模板文件被檢測(cè)出病毒的情況下，刪除未檢測(cè)出病毒的文檔模板文件。

可選地，根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法還包括：基于所述預(yù)先定義的病毒數(shù)據(jù)庫(kù)，對(duì)計(jì)算機(jī)中的文檔文件進(jìn)行病毒檢測(cè)處理；對(duì)于檢測(cè)出病毒的文檔文件，進(jìn)行病毒清除處理。

可選地，根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法還包括：在所述對(duì)于檢測(cè)出病毒的文檔模板文件進(jìn)行病毒清除處理的步驟之前，將檢測(cè)出病毒的文檔模板文件備份到隔離區(qū)。

可選地，根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法還包括：在所述刪除進(jìn)行病毒清除處理后的文檔模板文件的步驟之前，將進(jìn)行病毒清除處理后的文檔模板文件備份到隔離區(qū)。

可選地，在根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法中，所述遍歷預(yù)先定義的目錄以識(shí)別文檔模板文件的步驟包括：檢測(cè)所述預(yù)先定義的目錄中的文件是否包含宏代碼，并且將包含宏代碼的文件識(shí)別為文檔模板文件。

可選地，在根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法中，所述基于包含已知宏病毒特征碼的預(yù)先定義的病毒數(shù)據(jù)庫(kù)對(duì)識(shí)別出的文檔模板文件進(jìn)行病毒檢測(cè)處理的步驟包括：基于所述已知宏病毒特征碼，對(duì)所述文檔模板文件進(jìn)行定位處理和匹配處理，在所述文檔模板文件與已知宏病毒特征碼匹配的情況下，判定該文檔模板文件感染了宏病毒。

可選地，在根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法中，所述預(yù)先定義的目錄是文檔處理軟件保存文檔模板文件的默認(rèn)目錄。

可選地，在根據(jù)本發(fā)明的實(shí)施例的檢測(cè)和清除計(jì)算機(jī)宏病毒的方法中，所述宏代碼是VBA宏代碼。

依據(jù)本發(fā)明的另一方面，還提供了一種檢測(cè)和清除計(jì)算機(jī)宏病毒的裝置，包括：遍歷模塊，適于遍歷預(yù)先定義的目錄，以識(shí)別文檔模板文件；病毒檢測(cè)模塊（203），適于基于包含已知宏病毒特征碼的預(yù)先定義的病毒數(shù)據(jù)庫(kù)，對(duì)識(shí)別出的文檔模板文件進(jìn)行病毒檢測(cè)處理；病毒清除模塊，適于對(duì)于檢測(cè)出病毒的文檔模板文件，進(jìn)行病毒清除處理；以及刪除模塊，適于刪除進(jìn)行病毒清除處理后的文檔模板文件。