一种针对文件包的病毒处理方法及装置.pdf

本发明实施例公开了一种针对文件包的病毒处理方法及装置，其中，所述方法包括：调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描，确定所述文件包中目标文件的文件特征，所述文件特征至少包括：所述目标文件的文件路径和/或所述目标文件的完整性标识；根据所述终端中预置的病毒库中的特征信息对所述确定的文件路径和/或完整性标识进行检测比对，在检测比对的结果为所述文件特征满足匹配条件时，则确定所述目标文件为病毒文件；按照病毒查杀规则对确定的所述病毒文件进行查杀处理。采用本发明，可以简便、快捷完成文件包的病毒查杀成功率，提升了变种样本查杀率，降低了误报。

1.一种针对文件包的病毒处理方法，其特征在于，包括：
调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描，确定所述文件包中目标
文件的文件特征，所述文件特征至少包括：所述目标文件的文件路径和/或所述目标文件的
完整性标识；
根据所述终端中预置的病毒库中的特征信息对所述确定的文件路径和/或完整性标识
进行检测比对，在检测比对的结果为所述文件特征满足匹配条件时，则确定所述目标文件
为病毒文件；
按照病毒查杀规则对确定的所述病毒文件进行查杀处理。
2.如权利要求1所述的方法，其特征在于，当确定的所述文件特征包括所述目标文件的
文件路径时，对所述文件特征中包括的所述目标文件的文件路径进行检测比对，包括：
检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配；
若检测结果为匹配，则所述文件特征满足匹配条件；
其中，所述检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是
否匹配，包括：
判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否相同；或
者，判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配符的路径
信息相对应。
3.如权利要求2所述的方法，其特征在于，所述文件特征中包括所述目标文件的多个子
文件的文件路径，所述对文件特征中包括的所述目标文件的文件路径进行检测比对，具体
包括：
分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录
的路径信息相同；或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记
录的包括通配符的路径信息相对应。
4.如权利要求1所述的方法，其特征在于，当确定的所述文件特征包括所述目标文件的
完整性标识时，对所述文件特征中包括的所述目标文件的完整性标识进行检测比对，包括：
检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同；
若相同，则所述文件特征满足匹配条件。
5.如权利要求1-4任一项所述的方法，其特征在于，所述调用终端中的病毒搜索引擎对
终端中存储的文件包进行扫描，确定所述文件包中目标文件的文件特征之前，还包括：
获取所述文件包中目标文件的消息摘要标识，并将所述消息摘要标识发送给云服务
器；
如果所述云服务器根据对所述消息摘要标识进行检测后返回的检测结果为无法确定
是否为病毒文件，则触发执行所述调用终端中的病毒搜索引擎对终端中存储的文件包进行
扫描，确定所述文件包中目标文件的文件特征。
6.如权利要求5所述的方法，其特征在于，还包括：
如果所述云服务器返回的检测结果为满足摘要匹配条件，则确定所述目标文件为病毒
文件；
如果所述云服务器返回的检测结果为不满足摘要匹配条件，则确定所述目标文件为普
通文件。
7.一种针对文件包的病毒处理装置，其特征在于，包括：
扫描模块，用于调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描，确定所
述文件包中目标文件的文件特征；
确定模块，用于根据所述终端中预置的病毒库中的特征信息对所述确定的文件路径
和/或完整性标识进行检测比对，在检测比对的结果为所述文件特征满足匹配条件时，则确
定所述目标文件为病毒文件；
处理模块，用于按照病毒查杀规则对确定的所述病毒文件进行查杀处理。
8.如权利要求7所述的装置，其特征在于，所述确定模块包括：
检测单元，用于在确定的所述文件特征包括所述目标文件的文件路径时，检测所述目
标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配；
确定单元，用于在所述检测单元的检测结果为相匹配时，则所述文件特征满足匹配条
件，确定所述目标文件为病毒文件；
所述检测单元，在用于检测所述目标文件的文件路径与终端中预置的病毒库中记录的
路径信息是否匹配时，具体用于判断所述目标文件的文件路径与终端中预置的病毒库中记
录的路径信息是否相同；或者，判断所述目标文件的文件路径是否与终端中预置的病毒库
中记录的包括通配符的路径信息相对应。
9.如权利要求8所述的装置，其特征在于，所述文件特征中包括所述目标文件的多个子
文件的文件路径，所述检测单元，具体用于分别判断所述目标文件的各个子文件的文件路
径是否与终端中预置的病毒库中记录的路径信息相同；或者分别判断所述目标文件的文件
路径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。
10.如权利要求7所述的装置，其特征在于，所述确定模块包括：
检测单元，用于在确定的所述文件特征包括所述目标文件的完整性标识时，检测所述
目标文件的完整性标识与所述病毒库中记录的完整性特征信息是否相同；
确定单元，用于在所述检测单元的检测结果为相同时，则所述文件特征满足匹配条件，
确定所述目标文件为病毒文件。
11.如权利要求7-10任一项所述的装置，其特征在于，
所述处理模块，还用于获取所述文件包中目标文件的消息摘要标识，并将所述消息摘
要标识发送给云服务器；如果所述云服务器根据对所述消息摘要标识进行检测后返回的检
测结果为无法确定是否为病毒文件，则通知所述扫描模块。
12.如权利要求11所述的装置，其特征在于，
所述处理模块，还用于如果所述云服务器返回的检测结果为满足摘要匹配条件，则确
定所述目标文件为病毒文件；如果所述云服务器返回的检测结果为不满足摘要匹配条件，
则确定所述目标文件为普通文件。

一种针对文件包的病毒处理方法及装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种针对文件包的病毒处理方法及装置。

背景技术

传统的病毒查杀方式主要对某个目标文件中的恶意代码相关的特征进行检测比
对，与恶意代码无关特征不进行处理。

现有技术需要确定文件的指定代码，实现方式较为复杂。并且，当指定代码发生变
化时，则不能够实现文件的匹配查找，例如，在病毒产生变种，恶意代码产生变异时，则无法
实现对这类病毒的查杀。

发明内容

本发明实施例提供一种针对文件包的病毒处理方法及装置，可简单、快捷地完成
文件包中关于目标文件的病毒查杀处理。

一方面，本发明实施例提供了一种针对文件包的病毒处理方法，包括：调用终端中
的病毒搜索引擎对终端中存储的文件包进行扫描，确定所述文件包中目标文件的文件特
征；根据所述终端中预置的病毒库中的特征信息对所述确定的文件路径和/或完整性标识
进行检测比对，在检测比对的结果为所述文件特征满足匹配条件时，则确定所述目标文件
为病毒文件；按照病毒查杀规则对确定的所述病毒文件进行查杀处理；其中，对所述确定的
文件特征进行检测比对至少包括：对所述文件特征中包括的所述目标文件的文件路径和/
或所述目标文件的完整性标识进行检测比对。

另一方面，本发明实施例相应地提供了一种针对文件包的病毒处理装置，包括：扫
描模块，用于调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描，确定所述文件
包中目标文件的文件特征；确定模块，用于根据所述终端中预置的病毒库中的特征信息对
所述确定的文件路径和/或完整性标识进行检测比对，在检测比对的结果为所述文件特征
满足匹配条件时，则确定所述目标文件为病毒文件；处理模块，用于按照病毒查杀规则对确
定的所述病毒文件进行查杀处理；其中，所述确定模块在用于对所述确定的文件特征进行
检测比对时，具体用于对所述文件特征中包括的所述目标文件的文件路径和/或所述目标
文件的完整性标识进行检测比对。

本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为
匹配查找的文件特征来进行查找匹配，当满足条件时，即可认为该目标文件为病毒文件，即
可进行后续的对该目标文件的病毒查杀等处理，实现方式简便、快捷，可在一定程度上提升
病毒的查杀率，并提升了变种样本查杀率，较好地降低了病毒误报。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本
发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以
根据这些附图获得其他的附图。

图1是本发明实施例的一种针对文件包的病毒处理方法的流程示意图；

图2是本发明实施例的另一种针对文件包的病毒处理方法的流程示意图；

图3是本发明实施例的关于是否满足匹配条件的判断方法流程示意图；

图4是本发明实施例的一种针对文件包的病毒处理装置的结构组成示意图；

图5是本发明实施例的一种智能终端的结构组成示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他
实施例，都属于本发明保护的范围。

在对APK(AndroidPackage，安卓安装包)等文件包进行病毒查杀的场景中，需要在
该APK包中进行检测比对以确定该APK包中是否存在病毒文件。在本发明实施例中，具体可
以基于目标文件的文件路径和/或诸如SHA1(Secure Hash Algorithm，安全哈希算法)等完
整性标识来对文件包中的目标文件进行匹配确定，以便于根据匹配确定的结果完成对终端
中某个文件包的病毒查杀处理。

本发明实施例中，在对文件包中的某个目标文件进行匹配时，具体的匹配检测方
式至少包括：判断目标文件的文件特征是否满足预置的匹配条件，具体可以为：判断文件包
中目标文件的文件路径是否与病毒库中记录的路径信息相同或相对应；或者判断所述目标
文件的完整性标识与病毒库中记录的完整性特征信息是否相同。

可以同时或者先后对目标文件的文件路径、目标文件的完整性标识进行匹配，只
有当所述目标文件的文件路径和完整性标识都与病毒库中的相关信息之间的关系满足匹
配条件后，才认为所述目标文件为病毒文件。在本发明实施例的基于文件路径、完整性标识
进行的文件匹配的基础上，还可以增加其他的特征匹配方式，例如目标文件的消息摘要标
识如MD5等特征进行匹配。其中，所述完整性标识可以为所述目标文件的SHA1值。

具体的请参见图1，是本发明实施例的一种针对文件包的病毒处理方法的流程示
意图，本发明实施例的所述方法可以应用在智能手机、平板电脑、智能可穿戴设备等智能终
端中，具体可以由终端中的处理器来执行。本发明实施例的所述方法包括如下步骤。

S101：调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描，确定所述文
件包中目标文件的文件特征。所述终端中存储的文件包包括用户下载的应用安装包，例如，
文件包为在安卓系统中的APK包。所述目标文件的文件特征至少包括该目标文件在文件包
中记录的文件路径等特征。

对于终端中存储的文件包，可以先将该文件包解压缩到内存当中，然后根据文件
包中各个具体文件在内存中的存储位置确定出各个具体文件的文件路径等特征。例如，针
对APK包，在进行特征扫描的过程中，可以首先识别该文件包的格式是否为指定的文件格
式，例如是否为APK文件格式，在确定为APK文件格式的文件包后，将APK包内的所有文件解
压到内存当中，并将其中的每一个文件作为目标文件，根据该文件包中每个目标文件在内
存中的路径来确定目标文件的文件路径。

另外，在其他实施例中，文件包中还可以预先配置一个目录文件用于记录该文件
包中各个目标文件的文件路径，当然，该目录文件还可以用于保存例如SHA1等文件特征。例
如，在APK包中，预先配置有META-INF(在安卓系统中的一个信息包)目录，会保存着
MANIFEST.MF(在安卓系统中的一个文件清单列表)文件，在此文件中，会保存此APK文件包
内所有文件的文件路径，并保存了SHA1值。因此，只需要解析MANIFEST.MF文件，即可确定出
APK文件包中目标文件的文件特征。

S102：根据所述终端中预置的病毒库中的特征信息对所述确定的文件特征进行检
测比对，在检测比对的结果为所述文件特征满足匹配条件时，则确定所述目标文件为病毒
文件。在本发明实施例中，对所述确定的文件特征进行检测比对至少包括：对所述文件特征
中包括的所述目标文件的文件路径和/或所述目标文件的完整性标识进行检测比对。

预先在杀毒应用中设置一个病毒库，该病毒库中配置了各种已知病毒文件的特征
信息，病毒库中的特征信息为已知病毒文件的文件路径、和/或完整性标识等信息。可以预
先收集各种已知病毒文件的路径特征、SHA1等信息并存储到所述病毒库中，以便于在所述
S102中进行检测比对。

当确定的所述文件特征包括所述目标文件的文件路径时，对所述文件特征中包括
的所述目标文件的文件路径进行检测比对，包括：检测所述目标文件的文件路径与终端中
预置的病毒库中记录的路径信息是否匹配；若匹配，则检测比对的结果为所述文件特征满
足匹配条件；其中，所述检测所述目标文件的文件路径与终端中预置的病毒库中记录的路
径信息是否匹配，包括：判断所述目标文件的文件路径与终端中预置的病毒库中记录的路
径信息是否相同；或者，判断所述目标文件的文件路径是否与终端中预置的病毒库中记录
的包括通配符的路径信息相对应。

进一步具体地，所述文件特征中可以包括所述目标文件的多个子文件的文件路
径，所述对文件特征中包括的所述目标文件的文件路径进行检测比对，具体包括：分别判断
所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的路径信息相
同；或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通配
符的路径信息相对应。例如，某个已知的病毒文件中包括了几个子文件(包括图片JPG文件
和超文本标记语言XML文件)，其文件路径如下：

res/drawable/wormhole.GIF；

res/drawable/abc.xml；

res/layout/abc_action_menu_layout.xml；

在所述病毒库中进行路径信息的添加(可以由人工添加的方式添加到病毒库中)
时，可以任意选其中1条或N条作为特征(N＝2或3)，具体可以同时将各个子文件的上述路径
即：res/drawable/wormhole.GIF；res/drawable/abc.xml；res/layout/abc_action_menu_
layout.xml均作为路径信息添加到病毒库中。那么后续在进行比对时，如果进行病毒查杀
处理的所述文件包中某个目标文件的多个子文件的文件路径与病毒库中添加的上述三个
路径信息均相同，则可以认为所述目标文件为病毒文件。

而当确定的所述文件特征包括所述目标文件的完整性标识时，对所述文件特征中
包括的所述目标文件的完整性标识进行检测比对，包括：检测所述目标文件的完整性标识
与所述病毒库中记录的完整性特征信息是否相同；若相同，则检测比对的结果为所述文件
特征满足匹配条件。

S103：按照病毒查杀规则对确定的所述病毒文件进行查杀处理。

具体的，在病毒库中保存了各种已知病毒文件在文件包中记录的路径信息、以及
SHA1等文件特征。在对终端中下载的APK包进行查杀时，搜索引擎对该APK包进行扫描，将该
APK包中的各个文件分别作为目标文件，扫描得到各目标文件的文件路径和SHA1值。并判断
在所述病毒库中已经保存的病毒文件的文件路径和SHA1值等是否与某个目标文件的文件
路径和SHA1值等对应相同，若是，则确定所述目标文件为病毒文件，该病毒文件需要进行查
杀处理。查杀处理包括删除APK包中的该病毒文件，并向用户发出存在病毒的提示；或者提
示用户是否进行查杀删除等处理。

本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为
匹配查找的文件特征来进行查找匹配，当满足条件时，即可认为该目标文件为病毒文件，即
可进行后续的对该目标文件的病毒查杀等处理，实现方式简便、快捷，可在一定程度上提升
病毒的查杀率，并提升了变种样本查杀率，较好地降低了病毒误报。

请参见图2，是本发明实施例的另一种针对文件包的病毒处理方法的流程示意图，
本发明实施例的所述方法可以应用在智能手机、平板电脑、智能可穿戴设备等智能终端中，
具体可以由终端中的处理器来执行。本发明实施例的所述方法包括如下步骤。

S201：获取所述文件包中目标文件的消息摘要标识，并将所述消息摘要标识发送
给云服务器。所述的消息摘要标识主要包括目标文件的MD5码，所述云服务器主要是指能够
进行消息摘要标识比对并得出比对结果的服务器，例如，杀毒应用服务器。

云服务器根据终端上的病毒应用上传的消息摘要标识，在预设的消息摘要标识数
据库(例如包括大量已知病毒文件的消息摘要标识的病毒库)中进行标识查找。所述消息摘
要标识数据库中可以包括第一数据库，用于记录各种已知病毒文件的消息摘要标识。所述
消息摘要标识数据库中还包括第二数据库，用于记录各种已知的普通文件的消息摘要标
识，例如各种已知的不是病毒文件的XML(ExteileMarkuLaguage，一种扩展性标识语言)文
件的消息摘要标识。

在本发明实施例中，如果云服务器在所述第一数据库中找到与该上传的消息摘要
标识一致的标识，则检测结果为满足摘要匹配条件，返回满足摘要匹配条件的检测结果。如
果云服务器在第二数据库中找到与该上传的消息摘要标识一致的标识，则检测结果为不满
足摘要匹配条件，则向上传消息摘要标识的终端返回不满足摘要匹配条件的检测结果，不
满足摘要匹配条件表明：该上传的消息摘要对应的目标文件为普通文件，普通文件是指该
文件不是病毒文件。

如果云服务器在整个消息摘要标识数据库中均未找到与该上传的消息摘要标识
一致的标识，则不确定该上传的消息摘要标识是否满足摘要匹配条件，可以向终端返回无
法确定是否为病毒文件的检测结果。

S202：如果所述云服务器返回的检测结果为满足摘要匹配条件，则确定所述目标
文件为病毒文件。后续可以通过直接查杀的方式或者提示给用户选择的方式对所述目标文
件进行处理。

S203：如果所述云服务器返回的检测结果为不满足摘要匹配条件，则确定所述目
标文件为普通文件。确定所述目标文件为普通文件具体可以是指：该目标文件为安全的文
件，不是病毒，在本发明实施例中，后续可以不需要针对该普通文件做任何处理。

S204：如果所述云服务器根据对所述消息摘要标识进行检测后返回的检测结果为
无法确定是否为病毒文件，则触发执行所述调用终端中的病毒搜索引擎对终端中存储的文
件包进行扫描，确定所述文件包中目标文件的文件特征。如果云服务器返回的结果为无法
确定，则需要进一步地调用终端中的杀毒应用以便于进行基于上述的文件路径、完整性标
识等文件特征来对文件包中的目标文件进行检测比对以及相关处理。具体的，基于文件特
征来确定文件包中的病毒文件请参见下述关于图3的实施例的详细描述。

下面针对文件路径、SHA1值来确定APK等文件包中的目标文件是否为病毒文件来
进行详细说明。

请参见图3，是本发明实施例的关于是否满足匹配条件的判断方法流程示意图，本
发明实施例的所述方法可以对应于上述的图1所对应实施例中的S102。具体的，所述方法包
括如下步骤。

S301：调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描，确定所述文
件包中目标文件的文件特征。在本发明实施例中，需要同时获取所述目标文件的文件路径
和完整性标识，本发明实施例中完整性标识为SHA1值。如上述，在安卓系统中可以从该文件
包的MANIFEST.MF文件中获取该文件包中所有文件的文件路径和SHA1值。

S302：检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是
否匹配。检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配
具体可以包括：判断所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是
否相同；或者，判断所述目标文件的文件路径是否与终端中预置的病毒库中记录的包括通
配符的路径信息相对应。其中的通配符可以通过符号“*”来表示，在本发明实施例中，所述
通配符是一种特殊语句，用来实现模糊匹配查找以及检测比对，在目标文件的文件路径与
病毒库中的路径信息进行比对时，可以使用该通配符来代替一个或多个真正字符，例如，在
病毒库中记录了一个包括通配符“*”的文件路径为：assets/the*/a.dat，那么，文件包中的
目标文件的路径特征只要包括了assets/the/a.dat，即可认为文件路径与所述病毒库中记
录的包括通配符的路径信息相对应，该文件路径满足匹配条件，例如，文件路径为assets/
theone/a.dat的目标文件与所述病毒库中记录的包括通配符的路径信息相对应，两者相匹
配满足匹配条件。

另外，在文件包中的目标文件下，还可能存在多个子文件，为了确保对该目标文件
进行是否为病毒文件的确认的准确性，可以将该目标文件中所有的子文件的文件路径均与
病毒库中记录的路径信息进行匹配，如果都匹配上(例如：每一个子文件的文件路径在病毒
库中都存在对应的路径信息与之相同，或者每一个子文件的文件路径在病毒库中都存在对
应的包括通配符的路径信息与之对应)，才会确认所述目标文件的路径信息与所述病毒库
中记录的路径信息匹配。也就是说，具体的，所述文件特征中包括所述目标文件的多个子文
件的文件路径，所述对文件特征中包括的所述目标文件的文件路径进行检测比对，具体包
括：分别判断所述目标文件的各个子文件的文件路径是否与终端中预置的病毒库中记录的
路径信息相同；或者分别判断所述目标文件的文件路径是否与终端中预置的病毒库中记录
的包括通配符的路径信息相对应。

S303：若检测结果为匹配，则进一步检测所述目标文件的完整性标识与所述病毒
库中记录的完整性特征信息是否相同。完整性标识具体为SHA1值，所述S303具体在病毒库
中查找是否与所述SHA1值相同的完整性特征信息(也是一个已知的SHA1值)，若是，则检测
结果为相同。

S304：若检测结果为相同，则确定所述目标文件的文件特征满足匹配条件，确定所
述目标文件为病毒文件。

本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为
匹配查找的文件特征来进行查找匹配，实现方式简便、快捷，并且结合了云服务器进行MD5
码等消息摘要标识并且引入了通配符进行匹配，更好地提升了病毒查杀的成功率，更好地
提升了变种样本查杀率，降低了误报。

下面对本发明实施例的针对文件包的病毒处理装置以及智能终端进行详细描述。

请参见图4，是本发明实施例的一种针对文件包的病毒处理装置的结构组成示意
图，本发明实施例的所述装置可以设置在智能手机、平板电脑、智能可穿戴设备等智能终端
中，所述装置具体可以包括以下模块。

扫描模块401，用于调用终端中的病毒搜索引擎对终端中存储的文件包进行扫描，
确定所述文件包中目标文件的文件特征；

确定模块402，用于根据所述终端中预置的病毒库中的特征信息对所述确定的文
件特征进行检测比对，在检测比对的结果为所述文件特征满足匹配条件时，则确定所述目
标文件为病毒文件；

处理模块403，用于按照病毒查杀规则对确定的所述病毒文件进行查杀处理；

其中，所述确定模块402在用于对所述确定的文件特征进行检测比对时，具体用于
对所述文件特征中包括的所述目标文件的文件路径和/或所述目标文件的完整性标识进行
检测比对。

进一步可选地，本发明实施例的所述确定模块402包括：

检测单元4021，用于在确定的所述文件特征包括所述目标文件的文件路径时，检
测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是否匹配；

确定单元4022，用于在所述检测单元4021的检测比对结果为相匹配时，则所述文
件特征满足匹配条件，确定所述目标文件为病毒文件；

所述检测单元4021，在用于检测所述目标文件的文件路径与终端中预置的病毒库
中记录的路径信息是否匹配时，具体用于判断所述目标文件的文件路径与终端中预置的病
毒库中记录的路径信息是否相同；或者，判断所述目标文件的文件路径是否与终端中预置
的病毒库中记录的包括通配符的路径信息相对应。

进一步可选地，所述文件特征中包括所述目标文件的多个子文件的文件路径，在
此情况下，所述检测单元4021，具体用于分别判断所述目标文件的各个子文件的文件路径
是否与终端中预置的病毒库中记录的路径信息相同；或者分别判断所述目标文件的文件路
径是否与终端中预置的病毒库中记录的包括通配符的路径信息相对应。

进一步可选地，所述确定模块402的所述检测单元4021，还用在确定的所述文件特
征包括所述目标文件的完整性标识时，检测所述目标文件的完整性标识与所述病毒库中记
录的完整性特征信息是否相同。所述确定模块4022，还用于在所述检测单元的检测比对结
果为相同时，则所述文件特征满足匹配条件，确定所述目标文件为病毒文件。

进一步可选地，本发明实施例的所述装置的处理模块403，还用于获取所述文件包
中目标文件的消息摘要标识，并将所述消息摘要标识发送给云服务器；如果所述云服务器
根据对所述消息摘要标识进行检测后返回的检测结果为无法确定是否为病毒文件，则通知
所述扫描模块401。

进一步可选地，所述处理模块403，还用于如果所述云服务器返回的检测结果为满
足摘要匹配条件，则确定所述目标文件为病毒文件；如果所述云服务器返回的检测结果为
不满足摘要匹配条件，则确定所述目标文件为普通文件。

本发明实施例中所述装置的各个模块的具体实现方式可参考图1至图3所对应的
方法实施例中相关步骤的描述，在此不赘述。

本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为
匹配查找的文件特征来进行查找匹配，实现方式简便、快捷，并且结合了云服务器进行MD5
码等消息摘要标识并且引入了通配符进行匹配，更好地提升了病毒查杀的成功率，更好地
提升了变种样本查杀率，降低了误报。

再请参见图5，是本发明实施例的一种智能终端的结构组成示意图，本发明实施例
的所述智能终端可以是智能手机、平板电脑、智能可穿戴设备，该智能终端包括电源、通信
接口、外壳等结构，还包括：处理器501、用户接口502、存储器503，所述处理器501、用户接口
502以及存储器503之间通过总线504相连。

所述总线504可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用
一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所述存储器503可以包括易失性存储器503(volatile memory)，例如，随机存取存
储器(random-access memory，RAM)；存储器503也可以包括非易失性存储器(non-volatile
memory)，例如，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘
(solid-state drive，SSD)；存储器503还可以包括上述种类的存储器的组合。

所述处理器501可以是中央处理器(central processing unit，CPU)。所述存储器
503还用于存储操作系统以及针对文件包的病毒处理的应用。所述处理器501可以调用所述
针对文件包的病毒处理的应用的程序指令，实现如本申请图1至3对应实施例中所示的针对
文件包的病毒处理方法。

所述用户接口502包括触摸屏、物理按键等，用户可以通过用户接口502发起文件
匹配查找或者病毒查杀的操作，以便于触发所述处理器执行本发明实施例的针对文件包的
病毒处理方法。当然，所述处理器501也可以定期自动执行本发明实施例的所述针对文件包
的病毒处理方法，或者所述处理器501也可以在接收到新的文件包时，例如用户新下载的
APK包时，自动执行本发明实施例的所述针对文件包的病毒处理方法。

具体可选地，所述处理器501调用所述存储器503中的指令，用于调用终端中的病
毒搜索引擎对终端中存储的文件包进行扫描，确定所述文件包中目标文件的文件特征；根
据所述终端中预置的病毒库中的特征信息对所述确定的文件特征进行检测比对，在检测比
对的结果为所述文件特征满足匹配条件时，则确定所述目标文件为病毒文件；按照病毒查
杀规则对确定的所述病毒文件进行查杀处理；其中，对所述确定的文件特征进行检测比对
至少包括：对所述文件特征中包括的所述目标文件的文件路径和/或所述目标文件的完整
性标识进行检测比对。

具体可选地，所述处理器501，具体用于在确定的所述文件特征包括所述目标文件
的文件路径时，检测所述目标文件的文件路径与终端中预置的病毒库中记录的路径信息是
否匹配；在检测比对结果为相匹配时，则所述文件特征满足匹配条件，确定所述目标文件为
病毒文件。

具体可选地，所述处理器501，在用于检测所述目标文件的文件路径与终端中预置
的病毒库中记录的路径信息是否匹配时，具体用于判断所述目标文件的文件路径与终端中
预置的病毒库中记录的路径信息是否相同；或者，判断所述目标文件的文件路径是否与终
端中预置的病毒库中记录的包括通配符的路径信息相对应。

具体可选地，所述文件特征中包括所述目标文件的多个子文件的文件路径，所述
处理器501，具体用于分别判断所述目标文件的各个子文件的文件路径是否与终端中预置
的病毒库中记录的路径信息相同；或者分别判断所述目标文件的文件路径是否与终端中预
置的病毒库中记录的包括通配符的路径信息相对应。

具体可选地，所述处理器501，具体用于在确定的所述文件特征包括所述目标文件
的完整性标识时，检测所述目标文件的完整性标识与所述病毒库中记录的完整性特征信息
是否相同，在检测比对结果为相同时，则所述文件特征满足匹配条件，确定所述目标文件为
病毒文件。

具体可选地，所述处理器501，还用于获取所述文件包中目标文件的消息摘要标
识，并将所述消息摘要标识发送给云服务器；如果所述云服务器根据对所述消息摘要标识
进行检测后返回的检测结果为无法确定是否为病毒文件，则触发执行所述对终端中存储的
文件包进行扫描，确定所述文件包中目标文件的文件特征。

具体可选地，所述处理器501，还用于如果所述云服务器返回的检测结果为满足摘
要匹配条件，则确定所述目标文件为病毒文件；如果所述云服务器返回的检测结果为不满
足摘要匹配条件，则确定所述目标文件为普通文件。

本发明实施例通过将文件包中目标文件的文件路径或者SHA1等完整性标识作为
匹配查找的文件特征来进行查找匹配，实现方式简便、快捷，并且结合了云服务器进行MD5
码等消息摘要标识并且引入了通配符进行匹配，更好地提升了病毒查杀的成功率，更好地
提升了变种样本查杀率，降低了误报。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权
利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权
利要求所作的等同变化，仍属于发明所涵盖的范围。