识别病毒文件的方法及装置.pdf

本发明公开了一种识别病毒文件的方法及装置，所述方法包括：当脚本宿主程序执行被加密的脚本文件时，通过调用系统函数进行自解密处理，并得到解密后的数据；调用脚本病毒引擎对所述数据进行扫描，判断是否为病毒，如果是，则对所述脚本文件进行病毒报警。通过采用本发明中的软件排序方法及系统，可有效地对加密病毒文件在其自解密过程中进行识别，从而提高了病毒识别效率，阻挡了病毒威胁。

权利要求书
1.  一种识别病毒文件的方法，其特征在于，所述方法包括：
当脚本宿主程序执行被加密的脚本文件时，通过调用系统函数进行自解 密处理，并得到解密后的数据；
调用脚本病毒引擎对所述数据进行扫描，判断是否为病毒，如果是，则 对所述脚本文件进行病毒报警。

2.  如权利要求1所述的方法，其特征在于，所述得到解密后的数据包括：
在所述自解密处理之后，通过API hook技术获得并提取所述解密后的数 据。

3.  如权利要求1所述的方法，其特征在于，所述自解密处理包括：
对所述解密后的脚本文件，判断其被执行解密标志是否被设置，如果否， 则返回原程序执行；如果是，则获取所述解密后的数据。

4.  如权利要求3所述的方法，其特征在于，所述获取解密后的数据包括：
获取所述解密后的数据，并对所述数据中的字符进行转码处理。

5.  如权利要求4所述的方法，其特征在于，所述对所述数据中的字符进 行转码处理包括：
将所述字符由Unicode编码转为ASCII编码。

6.  一种识别病毒文件的装置，其特征在于，所述装置包括：
调用解密模块，用于当脚本宿主程序执行被加密的脚本文件时，通过调 用系统函数进行自解密处理，并得到解密后的数据；
病毒判断模块，用于调用脚本病毒引擎对所述数据进行扫描，判断是否 为病毒，如果是，则对所述脚本文件进行病毒报警。

7.  如权利要求6所述的装置，其特征在于，所述调用解密模块包括：
解密单元，用于所述调用系统函数进行自解密处理；
提取单元，用于通过hook技术获得并提取所述解密后的数据。

8.  如权利要求7所述的装置，其特征在于，所述调用解密模块还包括：
执行解密标志单元，用于对所述解密后的脚本文件，判断其被执行解密 标志是否被设置，如果否，则返回原程序执行；如果是，则获取所述解密后 的数据。

9.  如权利要求8所述的装置，其特征在于，所述调用解密模块还包括：
转码单元，用于获取所述解密后的数据，并对所述数据中的字符进行转 码处理。

10.  如权利要求9所述的装置，其特征在于，所述对所述字符进行转码 处理包括：
将所述字符由Unicode编码转为ASCII编码。

说明书识别病毒文件的方法及装置
技术领域
本发明涉及病毒文件的识别扫描领域，更为具体而言，涉及一种识别病 毒文件的方法及装置。
背景技术
随着计算机网络的飞速发展，病毒文件也在以越来越快的速度进行传播 和变异。其中，VB病毒(visual basic)是通过VB Script(VB脚本)程序编写 而成的一种病毒，其脚本语言功能非常强大，它们利用Windows系统的开放性 特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册 表等进行控制，功能非常强大。并且，VB脚本病毒存在形形色色的加密方法， 而且被加密的病毒通常无法通过格式判断，如果进行频繁的尝试性解密，会 造成对计算机中无格式的数据文件计算量过大；如果诸如哈希之类一对一的 识别方法，效率较低。
因此，面对当前加密的VB脚本病毒识别效率低，存在安全威胁的问题， 亟需一种可有效识别该病毒文件的方法和装置。
发明内容
为了解决当前加密的VB脚本病毒识别效率低，存在安全威胁的问题，本 发明的实施方式提供了一种识别病毒文件的方法及装置。
一方面，本发明实施方式提供了一种识别病毒文件的方法，所述方法包 括：
当脚本宿主程序执行被加密的脚本文件时，通过调用系统函数进行自解 密处理，并得到解密后的数据；
调用脚本病毒引擎对所述数据进行扫描，判断是否为病毒，如果是，则 对所述脚本文件进行病毒报警。
相应的，本发明实施方式还提供了一种识别病毒文件的装置，所述装置 包括：
调用解密模块，用于当脚本宿主程序执行被加密的脚本文件时，通过调 用系统函数进行自解密处理，并得到解密后的数据；
病毒判断模块，用于调用脚本病毒引擎对所述数据进行扫描，判断是否 为病毒，如果是，则向对所述脚本文件进行病毒报警。
实施本发明的各种实施方式具有以下有益效果：可有效地对加密病毒文 件在其自解密过程中进行识别，从而提高了病毒识别效率，阻挡了病毒威胁。
附图说明
图1是根据本发明实施方式的识别病毒文件的方法的流程图；
图2是本发明的一种识别病毒文件的方法的实施例的流程图；
图3是根据本发明实施方式的识别病毒文件的装置的架构图；
图4示出了图3所示的调用解密模块100的框图。
具体实施方式
以下结合附图和具体实施方式对本发明的各个方面进行详细阐述。其中， 众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或 未作详细说明。并且，所描述的特征、架构或功能可在一个或一个以上实施 方式中以任何方式组合。本领域技术人员应当理解，下述的各种实施方式只 用于举例说明，而非用于限制本发明的保护范围。还可以容易理解，本文所 述和附图所示的各实施方式中的模块或单元或处理方式可以按各种不同配置 进行组合和设计。
图1是根据本发明实施方式的识别病毒文件的方法的流程图；参见图1， 所述方法包括：
S1，当脚本宿主程序执行被加密的脚本文件时，通过调用系统函数进行 自解密处理，并得到解密后的数据，所述脚本宿主程序是指脚本文件所运行 时依赖的对象，所述调用系统函数是指调用微软视窗操作系统文档化与文档 化的接口，所述自解密处理是指微软视窗操作系统(windows系统)主动执行 解密函数对加密数据进行的解密；其中，得到解密后的数据包括：在所述自 解密处理之后，通过API hook(钩子)技术获得并提取所述解密后的数据， 所述API hook技术是通过修改原有API执行流程，使其进入修改者的目的代 码中执行非原有API流程，所述API是微软视窗操作系统提供的应用程序编 程接口；所述自解密处理通过修改原有API执行过程，得到操作系统解密后 的时机，获取操作系统解密后的数据；所述自解密处理包括：对所述解密后 的脚本文件，判断其被执行解密标志(flag)是否被设置，如果否，则执行被 修改API中被覆盖的代码后返回原程序执行被修改的API hook内存地址后面 的代码；如果是，则得到所述解密后的数据，经过上述flag的判断，可知存 在该标志则表示数据经过解密，不存在该标志表示数据不存在解密过程，故 扫描的次数不同，前者效率更高，可使所述数据更加优化，提高数据处理效 率。所述获取解密后的数据包括：获取解密后的数据，并对所述数据中的字 符进行转码处理(例如：将所述字符串由Unicode编码转为ASCII编码)，经 过转码后的数据所匹配的数据相对较少，可更加便于进行病毒扫描。
S2，调用脚本病毒引擎对所述数据进行扫描，判断是否为病毒，如果是， 则对脚本解析器执行的脚本文件进行病毒报警，如果不是，则执行被修改API 中被覆盖的代码后返回原程序执行被修改的API hook内存地址后面的代码。
通过采用本发明的所述方法，可有效地对加密病毒文件在其自解密过程 中进行识别，从而提高了病毒识别效率，阻挡了病毒威胁。
图2是本发明的一种识别病毒文件的方法的实施例的流程图；参见图2， 所述方法包括：
S10，当微软视窗操作系统中脚本宿主程序(wscript.exe，cscript.exe)执 行时，通过API Hook技术对所有进程启动后装载的vbscript.dll内部调用 “VbsExecute”、“Var::Pvargetvarval”进行修改，所述内部调用是指微软视 窗操作系统未导出或未文档化的API，所述修改类似于上述API hook技术， 可使用X86CPU指令集jmp指令覆盖原程序部分字节，强行跳转到目的代码 中运行，目的代码执行完成后运行执行被覆盖代码跳回原有程序代码运行， 使得执行“VbsExecute”代码时执行步骤S30；执行“Var::Pvargetvarval”代 码时执行步骤S20，vbscript.dll是微软视窗操作系统提供用作VBS脚本解析 执行使用的动态库；
S20，当被修改的“Var::Pvargetvarval”被调用后，首先判断被执行标志 是否被设置，即S21，判断其flag值是否为空，如果否，则执行S50返回原 程序执行；如果是，则执行S22，获取返回的数据结构，以及执行S23，在数 据结构中定位到被解密字符的地址，通过获取其字符长度，并将该字符串由 Unicode编码转为ASCII编码，输出并执行S40；
S30，当被加密的脚本文件执行自解密过程就会进入API hook过程，从 而进入被修改的“VbsExecute”过程；通过执行步骤S31，设置一个被执行标 志(flag)后，则执行步骤S32，返回“VbsExecute”原有的代码执行；
S40，调用脚本病毒引擎对输出数据进行扫描；S41，判断是否为病毒， 如果为病毒则执行S42，对脚本文件进行报毒；如果非病毒则执行S50；
S50，返回“Var::Pvargetvarval”原有代码执行。
图3是根据本发明实施方式的识别病毒文件的装置1的架构图；参见图3， 所述装置1包括：
调用解密模块100，用于当脚本宿主程序执行被加密的脚本文件时，通过 调用系统函数进行自解密处理，并得到解密后的数据，所述脚本宿主程序是 指脚本文件所运行时依赖的对象，所述调用系统函数是指调用微软视窗操作 系统文档化与文档化的接口，所述自解密处理是指微软视窗操作系统 (windows系统)主动执行解密函数对加密数据进行的解密；
病毒判断模块200，用于调用脚本病毒引擎对所述数据进行扫描，判断是 否为病毒，如果是，则对所述脚本文件进行病毒报警，如果不是，则执行被 修改API中被覆盖的代码后返回原程序执行被修改的API hook内存地址后面 的代码。
通过采用本发明的所述装置，可有效地对加密病毒文件在其自解密过程 中进行识别，从而提高了病毒识别效率，阻挡了病毒威胁。
图4示出了图3所示的调用解密模块100的框图；参见图4，所述调用 解密模块100包括：
解密单元110，用于所述调用系统函数进行自解密处理，通过修改原有 API执行过程，得到操作系统解密后的时机，获取操作系统解密后的数据；
提取单元120，用于通过API hook技术获得并提取所述解密后的数据， 所述API hook技术是通过修改原有API执行流程，使其进入修改者的目的代 码中执行非原有API流程。
需要说明的是，所述调用解密模块还可包括：
执行解密标志单元，用于对所述解密后的脚本文件，判断其被执行解密 标志(flag)是否被设置，如果否，则执行被修改API中被覆盖的代码后返回 原程序执行被修改的API hook内存地址后面的代码；如果是，则得到解密后 的数据，经过flag的判断，可知存在该标志则表示数据经过解密，不存在该 标志表示数据不存在解密过程，故扫描的次数不同，前者效率更高，可使数 据更加优化，提高数据处理效率。
转码单元，用于获取所述解密后的数据，并对所述数据中的字符进行转 码处理(例如：将所述字符由Unicode编码转为ASCII编码)。经过转码后的 数据所匹配的数据相对较少，可更加便于进行病毒扫描。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发 明可借助软件结合硬件平台的方式来实现，当然也可以全部通过硬件来实施。 基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可 以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中， 如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可 以是个人计算机，服务器，智能手机或者网络设备等)执行本发明各个实施 例或者实施例的某些部分所述的方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明，并不意味构成限 定。本领域技术人员应当理解，在不脱离所公开的实施方式的基本原理的前 提下，对上述实施方式中的各细节可进行各种变化。因此，本发明的范围只 由权利要求确定，在权利要求中，除非另有说明，所有的术语应按最宽泛合 理的意思进行理解。