本發(fā)明提供一種計算機感染型病毒的通用檢測方法和裝置，所述方法包括：步驟S1：在磁盤的根目錄或其他目錄中創(chuàng)建第一子目錄和第二子目錄；步驟S2：在所述第一子目錄和所述第二子目錄下創(chuàng)建誘餌文件；步驟S3：在系統(tǒng)中安裝監(jiān)控程序，如果所述監(jiān)控程序監(jiān)控到系統(tǒng)中的程序?qū)λ稣T餌文件做變更行為，則攔截監(jiān)控到的變更行為，并判斷所述程序是感染型病毒；步驟S4：對所述病毒的進程進行處理。根據(jù)本發(fā)明的方案，在早期就能有效檢測感染型病毒，避免用戶操作系統(tǒng)環(huán)境的不可逆損壞。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機信息安全領(lǐng)域，尤其涉及一種計算機感染型病毒的通用檢測方法及裝置。

背景技術(shù)

感染型病毒是計算機病毒中的一種，其將自身加入在其它的程序或動態(tài)庫文件中，從而實現(xiàn)隨被感染程序同步運行的功能，進而對感染電腦進行破壞和自身傳播。

當前主機安全軟件對感染型病毒的檢測通常分為兩種，一種是采用靜態(tài)掃描病毒文件特征的方式，這種檢測方式通過掃描文件與病毒庫中的特征進行匹配來檢測病毒，而病毒庫中存儲的是已存在的病毒特征，因此這種檢測方法對于病毒變種以及新出現(xiàn)的病毒無法成功進行檢測。另一種病毒檢測方式是在病毒已感染到系統(tǒng)進程文件時對病毒識別并攔截，但是這種檢測方式存在一個致命的缺陷，那就是在對病毒識別并攔截的時候用戶計算機的一部分文件已經(jīng)被感染，并且被感染的文件不易甚至不可恢復(fù)。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本發(fā)明提出了一種用于計算機感染型病毒的通用檢測方法及裝置，用以解決傳統(tǒng)殺毒軟件對未知感染型病毒的檢測率較低的技術(shù)問題。

根據(jù)本發(fā)明的第一方面，提供一種計算機感染型病毒的通用檢測方法，所述方法包括以下步驟：

步驟S1：在磁盤的根目錄或其他目錄中創(chuàng)建第一子目錄和第二子目錄；其中，所述第一子目錄是操作系統(tǒng)遍歷該根目錄或其他目錄時最先遍歷的子目錄；所述第二子目錄是操作系統(tǒng)遍歷該根目錄或其他目錄時最后遍歷的子目錄；

步驟S2：在所述第一子目錄和所述第二子目錄下創(chuàng)建誘餌文件；

步驟S3：在系統(tǒng)中安裝監(jiān)控程序，如果所述監(jiān)控程序監(jiān)控到系統(tǒng)中的程序?qū)λ稣T餌文件做變更行為，則攔截監(jiān)控到的變更行為，并判斷所述程序是感染型病毒；

步驟S4：對所述病毒的進程進行處理。

進一步地，所述第一子目錄和所述第二子目錄是按照操作系統(tǒng)文件排序規(guī)則命名的。

進一步地，所述步驟S4中，對所述病毒的進程進行處理具體包括：不處理；或，刪除病毒文件；或，結(jié)束所述進程。

進一步地，所述步驟S3中，所述變更行為包括：修改文件內(nèi)容；和/或，重命名文件；和/或，修改文件屬性；和/或，修改文件權(quán)限；和/或，刪除文件。

根據(jù)本發(fā)明第二方面，提供一種計算機感染型病毒的通用檢測裝置，所述裝置包括：

文件目錄創(chuàng)建模塊，用于在磁盤的根目錄或其他目錄中創(chuàng)建第一子目錄和第二子目錄；其中，所述第一子目錄是操作系統(tǒng)遍歷該根目錄或其他目錄時最先遍歷的子目錄；所述第二子目錄是操作系統(tǒng)遍歷該根目錄或其他目錄時最后遍歷的子目錄；

誘餌文件創(chuàng)建模塊，用于在所述第一子目錄和所述第二子目錄下創(chuàng)建誘餌文件；

殺毒模塊，用于在系統(tǒng)中安裝監(jiān)控程序，如果所述監(jiān)控程序監(jiān)控到系統(tǒng)中的程序?qū)λ稣T餌文件做變更行為，則攔截監(jiān)控到的變更行為，并判斷所述程序是感染型病毒；

處理模塊，用于對所述病毒的進程進行處理。

進一步地，所述第一子目錄和所述第二子目錄是按照操作系統(tǒng)文件排序規(guī)則命名的。

進一步地，所述處理模塊對所述病毒的進程進行處理具體包括：不處理；或，刪除病毒文件；或，結(jié)束所述進程。