技術領域

本發明涉及病毒文件的識別掃描領域，更為具體而言，涉及一種識別病毒文件的方法及裝置。

背景技術

隨著計算機網絡的飛速發展，病毒文件也在以越來越快的速度進行傳播和變異。其中，VB病毒(visual?basic)是通過VB?Script(VB腳本)程序編寫而成的一種病毒，其腳本語言功能非常強大，它們利用Windows系統的開放性特點，通過調用一些現成的Windows對象、組件，可以直接對文件系統、注冊表等進行控制，功能非常強大。并且，VB腳本病毒存在形形色色的加密方法，而且被加密的病毒通常無法通過格式判斷，如果進行頻繁的嘗試性解密，會造成對計算機中無格式的數據文件計算量過大；如果諸如哈希之類一對一的識別方法，效率較低。

因此，面對當前加密的VB腳本病毒識別效率低，存在安全威脅的問題，亟需一種可有效識別該病毒文件的方法和裝置。

發明內容

為了解決當前加密的VB腳本病毒識別效率低，存在安全威脅的問題，本發明的實施方式提供了一種識別病毒文件的方法及裝置。

一方面，本發明實施方式提供了一種識別病毒文件的方法，所述方法包括：

當腳本宿主程序執行被加密的腳本文件時，通過調用系統函數進行自解密處理，并得到解密后的數據；

調用腳本病毒引擎對所述數據進行掃描，判斷是否為病毒，如果是，則對所述腳本文件進行病毒報警。

相應的，本發明實施方式還提供了一種識別病毒文件的裝置，所述裝置包括：

調用解密模塊，用于當腳本宿主程序執行被加密的腳本文件時，通過調用系統函數進行自解密處理，并得到解密后的數據；

病毒判斷模塊，用于調用腳本病毒引擎對所述數據進行掃描，判斷是否為病毒，如果是，則向對所述腳本文件進行病毒報警。

實施本發明的各種實施方式具有以下有益效果：可有效地對加密病毒文件在其自解密過程中進行識別，從而提高了病毒識別效率，阻擋了病毒威脅。

附圖說明

圖1是根據本發明實施方式的識別病毒文件的方法的流程圖；

圖2是本發明的一種識別病毒文件的方法的實施例的流程圖；

圖3是根據本發明實施方式的識別病毒文件的裝置的架構圖；

圖4示出了圖3所示的調用解密模塊100的框圖。

具體實施方式

以下結合附圖和具體實施方式對本發明的各個方面進行詳細闡述。其中，眾所周知的模塊、單元及其相互之間的連接、鏈接、通信或操作沒有示出或未作詳細說明。并且，所描述的特征、架構或功能可在一個或一個以上實施方式中以任何方式組合。本領域技術人員應當理解，下述的各種實施方式只用于舉例說明，而非用于限制本發明的保護范圍。還可以容易理解，本文所述和附圖所示的各實施方式中的模塊或單元或處理方式可以按各種不同配置進行組合和設計。

圖1是根據本發明實施方式的識別病毒文件的方法的流程圖；參見圖1，所述方法包括：

S1，當腳本宿主程序執行被加密的腳本文件時，通過調用系統函數進行自解密處理，并得到解密后的數據，所述腳本宿主程序是指腳本文件所運行時依賴的對象，所述調用系統函數是指調用微軟視窗操作系統文檔化與文檔化的接口，所述自解密處理是指微軟視窗操作系統(windows系統)主動執行解密函數對加密數據進行的解密；其中，得到解密后的數據包括：在所述自解密處理之后，通過API?hook(鉤子)技術獲得并提取所述解密后的數據，所述API?hook技術是通過修改原有API執行流程，使其進入修改者的目的代碼中執行非原有API流程，所述API是微軟視窗操作系統提供的應用程序編程接口；所述自解密處理通過修改原有API執行過程，得到操作系統解密后的時機，獲取操作系統解密后的數據；所述自解密處理包括：對所述解密后的腳本文件，判斷其被執行解密標志(flag)是否被設置，如果否，則執行被修改API中被覆蓋的代碼后返回原程序執行被修改的API?hook內存地址后面的代碼；如果是，則得到所述解密后的數據，經過上述flag的判斷，可知存在該標志則表示數據經過解密，不存在該標志表示數據不存在解密過程，故掃描的次數不同，前者效率更高，可使所述數據更加優化，提高數據處理效率。所述獲取解密后的數據包括：獲取解密后的數據，并對所述數據中的字符進行轉碼處理(例如：將所述字符串由Unicode編碼轉為ASCII編碼)，經過轉碼后的數據所匹配的數據相對較少，可更加便于進行病毒掃描。