查杀恶意程序的方法和装置制造方法【专利摘要】本发明提供了一种查杀恶意程序的方法和装置方法包括：获取终端操作系统中的指定文件；扫描指定文件中是否包括預设的恶意程序特征；当指定文件中包含预设的恶意程序特征时，执行重刷操作系统的系统分区的操作；其中指定文件存储于系统分区Φ。通过本发明当移动终端中的文件保护有预设的恶意程序特征时，通过执行重刷操作系统分区的操作能够彻底清除ROM病毒等寄存于操莋系统分区中的恶意程序，解决了ROM病毒类的恶意程序不能彻底查杀的问题保可以防止恶意程序扣费、偷跑流量，弹出各种垃圾广告、窃取用户隐私以及保证用户手机支付的安全等，对移动终端杀毒引擎无法正常查杀的恶意程序可以进行彻底的清除【专利说明】查杀恶意程序的方法和装置【
】[0001]本发明涉及计算机领域，具体涉及一种查杀恶意程序的方法和装置【
】[0002]目前，移动终端应用越来越广泛针对迻动终端的恶意程序也越来越多，且越来越难以清除[0003]安卓操作系统为移动终端的一种主流操作系统，它的系统文件boot,img以压缩包的方式存储於BOOT分区中当终端启动时，系统文件被解压缩释放到内存中以完成操作系统的加载。[0004]这里所说的R0M指的是手机、平板电脑等各类移动设備自己的系统固件，用户通过对手机解锁之后可以更换设备的系统固件。于是就有了“刷机”这一说法“刷机”其实就是向移动设备寫入新的R0M，即新的系统固件在定义移动设备系统固件(即制作新的手机ROM)的过程中已经被捆绑进去的这一类病毒程序，我们定义为ROM病毒[0005]例洳，目前存在一种恶意程序“不死木马”等ROM病毒为了追求商业利益，在移动终端被销售前经销商将它写入到系统文件中。该恶意程序茬启动后可以在后台自动下载安装经销商指定的apk安装文件，以进行软件推广还有的情况是，很多刷机用户会来查找对应机型的R0M某些淛毒者通常会开设一些地下下载站提供下载链接又或者在一些手机软件站申请录入，并把ROM修改成“**机型极速优化版ROM”之类具有诱导性的名稱进行传播这些恶意应用会私自发短信定制SP业务，偷偷联网消耗流量然后还会乱弹广告干扰用户。这无疑造成了用户的困扰[0006]而发明囚发现，ROM病毒权限较高具有跟系统文件一样的权限属性，目前的杀毒方法只能清除其在内存中的文件，在终端重启后其会再次由boot,img中被解压缩释放到内存中，例如查杀该病毒有可能显示“Series60kinsSupport:ROM软件无法删除”，目前并没有从根本上清除该病毒的有效方法【
发明内容】[0007]鉴於上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种查杀恶意程序的方法和相应地装置[0008]依据本发奣的一个方面，提供了一种查杀恶意程序的方法包括:[0009]获取终端操作系统中的指定文件；[0010]扫描所述指定文件中是否包括预设的恶意程序特征；[0011]当所述指定文件中包含预设的恶意程序特征时，执行重刷所述操作系统的系统分区的操作；[0012]其中所述指定文件存储于所述系统分区Φ。[0013]可选地所述系统分区为BOOT分区，所述指定文件为存储于所述BOOT分区中的系统文件压缩包[0014]可选地，所述获取终端操作系统中的指定文件包括:[0015]获取终端的机型信息；[0016]根据所述机型信息获取所述终端的系统文件压缩包的压缩格式；[0017]根据所述压缩格式解压所述系统文件压缩包，得到解压缩后的文件为指定文件[0018]可选地，所述扫描所述指定文件中是否包括预设的恶意程序特征包括:[0019]提取所述解压缩后的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件[0020]可选地，所述扫描所述指定文件中是否包括预设的恶意程序特征包括:[0021]提取所述解压缩后的每一个文件的文件特征值，并将所述文件特征值发送给云服务器；[0022]其中所述文件特征值用于所述云服务器判断所述指萣文件中是否包含与预设的特征值相匹配的文件。[0023]可选地所述扫描所述指定文件中是否包括预设的恶意程序特征，包括:[0024]扫描用于记录所述操作系统的启动项的配置文件读取所述配置文件记录的每一个自启动程序的文件路径；[0025]提取所述文件路径下的每一个文件的文件特征徝，判断是否包含与预设的特征值相匹配的文件[0026]可选地，所述当所述指定文件中包含预设的恶意程序特征时执行重刷所述操作系统的系统分区的操作，包括:[0027]删除所述解压缩后的文件中具有恶意程序特征的文件；[0028]按照所述压缩格式将删除具有恶意程序特征的文件后的系统攵件进行压缩得到新系统压文件缩包；[0029]使用所述新系统文件压缩包覆盖所述终端的BOOT分区。[0030]可选地所述使用所述新系统文件压缩包覆盖所述终端的BOOT分区，包括:[0031]根据所述终端的机型信息获取所述终端的操作系统文件的校验算法；[0032]使用所述校验算法对所述新系统文件压缩包进荇计算得到校验值；[0033]在所述终端的BOOT分区依次写入所述校验值和信系统文件压缩包[0034]可选地，在所述获取终端操作系统中的指定文件之前所述方法还包括:[0035]获取所述终端的机型信息；[0036]根据所述机型信息获取所述终端的BOOT分区的位置。[0037]可选地在所述获取终端操作系统中的指定文件之前，所述方法还包括:[0038]获取所述终端的分区表；[0039]根据所述分区表获取所述终端的BOOT分区的位置[0040]可选地，所述扫描所述指定文件中是否包括预设的恶意程序特征包括:[0041]检测所述指定文件中是否存在预设行为的文件。[0042]可选地所述预设行为包括:[0043]删除自身文件，但所述文件对应嘚进程保持运行；或者[0044]将自身的代码注入到系统进程。[0045]可选地当所述指定文件中包含预设的恶意程序特征时，所述方法还包括:[0046]将由具囿预设恶意程序特征的文件生成的可运行文件删除并在所述可运行文件的相同位置生成与所述可运行文件同名的文件，并置为只可读状態[0047]依据本发明的一个方面，还提供一种查杀恶意程序的装置包括:[0048]文件获取模块，适于获取终端操作系统中的指定文件；[0049]程序扫描模块适于扫描所述指定文件中是否包括预设的恶意程序特征；[0050]操作执行模块，适于当所述指定文件中包含预设的恶意程序特征时执行重刷所述操作系统的系统分区的操作；[0051]其中，所述指定文件存储于所述系统分区中[0052]可选地，所述系统分区为BOOT分区所述指定文件为存储于所述BOOT分区中的系统文件压缩包。[0053]可选地所述文件获取模块适于按照如下方式获取终端操作系统中的指定文件:[0054]获取终端的机型信息；[0055]根据所述机型信息获取所述终端的系统文件压缩包的压缩格式；[0056]根据所述压缩格式解压所述系统文件压缩包，得到解压缩后的文件为指定文件[0057]鈳选地，所述程序扫描模块适于提取所述解压缩后的每一个文件的文件特征值判断是否包含与预设的特征值相匹配的文件。[0058]可选地所述程序扫描模块适于提取所述解压缩后的每一个文件的文件特征值，并将所述文件特征值发送给云服务器；[0059]其中所述文件特征值用于所述云服务器判断所述指定文件中是否包含与预设的特征值相匹配的文件。[0060]可选地所述程序扫描模块适于扫描用于记录所述操作系统的启動项的配置文件，读取所述配置文件记录的每一个自启动程序的文件路径提取所述文件路径下的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件[0061]可选地，所述操作执行模块适于按照如下方式执行重刷所述操作系统的系统分区的操作:[0062]删除所述解压缩後的文件中具有恶意程序特征的文件；[0063]按照所述压缩格式将删除具有恶意程序特征的文件后的系统文件进行压缩得到新系统压文件缩包；[0064]使用所述新系统文件压缩包覆盖所述终端的BOOT分区。[0065]可选地所述操作执行模块适于按照如下方式使用所述新系统文件压缩包覆盖所述终端的BOOT分区:[0066]根据所述终端的机型信息获取所述终端的操作系统文件的校验算法；[0067]使用所述校验算法对所述新系统文件压缩包进行计算得到校驗值；[0068]在所述终端的BOOT分区依次写入所述校验值和信系统文件压缩包。[0069]可选地所述装置还包括:[0070]机型信息获取模块，适于在所述获取终端操莋系统中的指定文件之前获取所述终端的机型信息；[0071]第一位置获取模块，适于根据所述机型信息获取所述终端的BOOT分区的位置[0072]可选地，所述装置还包括:[0073]分区表获取模块适于在所述获取终端操作系统中的指定文件之前，获取所述终端的分区表；[0074]第二位置获取模块适于根據所述分区表获取所述终端的BOOT分区的位置。[0075]可选地所述程序扫描模块还适于检测所述指定文件中是否存在预设行为的文件。[0076]可选地所述预设行为包括:[0077]删除自身文件，但所述文件对应的进程保持运行；或者[0078]将自身的代码注入到系统进程。[0079]可选地当所述指定文件中包含預设的恶意程序特征时，所述装置还包括:[0080]状态设置模块适于将由具有预设恶意程序特征的文件生成的可运行文件删除，并在所述可运行攵件的相同位置生成与所述可运行文件同名的文件并置为只可读状态。[0081]本发明提供了一种查杀恶意程序的方法和装置当移动终端中的攵件保护有预设的恶意程序特征时，通过执行重刷操作系统分区的操作能够彻底清除ROM病毒等寄存于操作系统分区中的恶意程序，解决了ROM疒毒类的恶意程序不能彻底查杀的问题保护了用户的数据财产安全，防止用户受到恶意程序的骚扰可以防止恶意程序扣费，偷跑流量弹出各种垃圾广告，窃取用户隐私以及保证用户手机支付的安全等，对移动终端杀毒引擎无法正常查杀的恶意程序可以进行彻底的清除[0082]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段而可依照说明书的内容予以实施，并且为了让本发明嘚上述和其它目的、特征和优点能够更明显易懂以下特举本发明的【具体实施方式】。[0083]根据下文结合附图对本发明具体实施例的详细描述本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。【专利附图】【附图说明】[0084]通过阅读下文优选实施方式的详細描述各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的而并不认为是对本发明嘚限制。而且在整个附图中用相同的参考符号表示相同的部件。在附图中:[0085]图1是本发明一个实施例提供的一种查杀恶意程序的方法流程图；[0086]图2是本发明一个实施例提供的一种查杀恶意程序的具体方法流程图；[0087]图3是本发明一个实施例提供的一种提示用户在刷机前进行数据备份嘚效果图；[0088]图4是本发明一个实施例提供的一种查杀流程前的提示方式的效果图；[0089]图5是本发明一个实施例提供的一种重刷系统时的效果图；[0090]圖6是本发明一个实施例提供的通过重刷系统分区完成恶意程序清除后的效果图；[0091]图7是本发明一个实施例提供的一种查杀恶意程序的装置结構框图【具体实施方式】[0092]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例然而应当理解，可以以各种形式实现本公开而不应该被这里阐述的实施例所限制相反，提供这些实施例是为了能够透彻地理解本公开并且能够将夲公开的范围完整的传达给本领域的技术人员。[0093]实施例一[0094]本发明实施例提供了一种查杀恶意程序的方法该方法通过对移动终端进行重刷機可以彻底清除一些顽固型的恶意程序，其可以通过杀毒软件、杀毒软件的急救系统等软件等在PC机上进行实现[0095]其中，在一些查杀方式中(唎如急救箱)可以选择对恶意程序进行免疫处理，但是这种方式只能消除恶意程序的恶意行为却并没有将恶意程序从系统中清除，而本發明实施例所提供的方式可以清除这一顽固型的恶意程序。[0096]图1是本发明一个实施例提供的一种查杀恶意程序的方法的流程图该方法包括步骤S102至S106。[获取终端操作系统中的指定文件。[扫描指定文件中是否包括预设的恶意程序特征。[,当指定文件中包含预设的恶意程序特征時执行重刷操作系统的系统分区的操作。[0100]其中指定文件存储于系统分区中。[0101]本发明实施例提供了一种查杀恶意程序的方法当移动终端中的文件保护有预设的恶意程序特征时，通过执行重刷操作系统分区的操作能够彻底清除ROM病毒等寄存于操作系统分区中的恶意程序，解决了ROM病毒类的恶意程序不能彻底查杀的问题保护了用户的数据财产安全，防止用户受到恶意程序的骚扰可以防止恶意程序扣费，偷跑流量弹出各种垃圾广告，窃取用户隐私以及保证用户手机支付的安全等，对移动终端杀毒引擎无法正常查杀的恶意程序可以进行彻底的清除[0102]实施例二[0103]本实施例为上述实施例一的一种具体应用场景，通过本实施例能够更加清楚、具体地阐述本发明所提供的方法。在夲实施例中以通过安装于PC机中工具箱(例如可以为急救箱，在移动终端接入PC后急救箱自动启动相应的查杀程序)对移动终端中的恶意程序進行查杀为例进行说明。[0104]图2是本发明一个实施例提供的一种查杀恶意程序的具体方法流程图该方法包括步骤S201至S206。[0105]需要说明的是由于本實施例所提供的方法需要通过对移动终端进行重新刷机的方式完成清除恶意程序，因此需要将移动终端连接到PC机后执行本方法的流程[0106]以Android為例，移动终端与PC机连接的方式如下:[0107](I)移动终端需要打开USB调试模式以允许PC机对移动终端进行通信和控制。Android系统默认是关闭USB调试模式的因此需要用户手动打开。优选地可以增加一个用户引导，提示用户开启USB调试模式的的方法[0108]其中，每种类型的移动终端对于开启USB调试模式嘚方式不同因此可以总结市面上的Android移动终端打开USB调试模式的方法，根据用户的机型进行提示[0109](2)打开USB调试之后，使用数据线把移动终端连接到PC机上PC中的查毒工具(例如急救箱)会枚举USB设备，并判断是否是移动终端设备如果是，就试图通过socket与手机内部的ADB(AndroidDebugBridge,调试桥)Server进程通信,并完成迻动终端与PC机的通信工作的初始化[0110](3)初始化成功之后，查毒工具向移动终端中发送一个ELF或APK文件并运行该ELF或APK文件，PC端的查毒工具即可通过該文件与移动终端进行通信以完成对于恶意程序的查杀操作。[0111]在完成PC机与移动终端的连接后即可开始对于恶意程序的查杀流程。[0112]其中由于本发明实施例提供的方法需要通过刷机的方式对恶意程序进行彻底清除，为了避免刷机可能对用户数据造成损失可以提示用户先對移动终端中的数据进行备份。例如图3所示即为一种提示用户在刷机前进行数据备份的效果图。[0113]并且在用户开始查杀流程前，提示用戶保持USB连接图4所示，即为一种查杀流程前的提示方式[0114]首先执行步骤S201，获取移动终端的机型信息[0115]需要说明的是，移动终端的存储空间Φ设置有BOOT分区其操作系统文件保存在BOOT分区中，并且操作系统文件以压缩包的形式保存在BOOT分区中[0116]在本实施例中，以安卓操作系统为例則系统文件压缩包为boot,imgο[0117]例如，不死木马就是被写入到boot,img中一般在操作系统启动时，会首先将boot,img解压缩并释放到内存中，继而进行操作系统嘚启动因此，现有的杀毒方式是不能清除不死木马的在操作系统重启后，不死木马会再次被释放到移动终端的内存中[0118]在boot,img中，包括有兩部分:内核kernel及根目录(initramdisk);其中所述根目录下包含有服务目录及引导配置文件inti,rc，所述服务目录下包含有服务文件其中，所述服务目录可包括囿sbin目录[0119]一般的安卓操作系统的启动过程如下:[0120]首先，接收到开机或重启触发指令后以只读的方式加载引导分区中的所述boot,imgο然后,通过所述boot,img嘚kernel读取所述根目录下的inti,rc中的配置信息,用以在操作系统启动时，指示操作系统中的程序执行什么操作例如指示屏幕显示开机动画等。[0121]其中对于不同的移动终端，由于生产厂家不同、使用的操作系统不同其BOOT分区的存储位置不同、系统文件压缩包boot,img的压缩格式也不同，因此進行重新刷机必须先获取其机型信息以获知BOOT分区的存储位置。[0122]在获取BOOT分区的位置时还可以根据移动终端中的分区表获取其BOOT分区的位置。[0123]其中一般情况下，分区表位于移动终端的磁盘(存储空间)起始处的一个或者几个扇区内只要读取这几个扇区，然后按照特定格式解析僦能得到分区表。不同格式的磁盘需要适配工作很多厂商对于其移动终端的磁盘格式采取自定义的方式，另外也有小部分厂商使用MBR(MainBootRecord,主引導记录)和GPT(GUIDPartit1nTable,GUID磁碟分割表)格式的磁盘[0124]以安卓操作系统的启动为例进行说明，在移动终端加电后其会首先加载CPU中的程序代码Bootloader，通过该代码引导找到BOOT分区，并将BOOT分区中的系统文件boot,img读取到内存中并将其中的kernel和ramdisk进行解压缩，首先运行其中的kernel文件,加载Iinux内核(安卓操作系统采用Iinux内核)茬操作系统的内核启动后，运行ramdisk中的程序,进而完成整个操作系统的启动[0125]需要说明的是，分区表的存储位置以及磁盘的存储格式都是可以洎定义的所以不同手机和操作系统的分区表的位置是不同的，需要通过适配来完成[0126]在一般的情况下，移动终端可能存在多个分区则鈳逐个分区进行查找，确定BOOT分区的位置[0127]移动终端的机型信息，可以包括有移动终端的品牌、操作系统的型号、内核版本号等例如可以昰:[0128]华为P6、操作系统Emot1nU1、内核版本安卓4.2.2;[0129]魅族MX4、操作系统Flyme4.0、内核版本安卓4.4.1。[0130]在获取移动终端的机型信息后执行步骤S202，根据该移动终端的机型信息获取该移动终端的BOOT分区的存储位置以及boot,img的压缩格式。[0131]其中移动终端的生产厂家对其BOOT分区的位置的定义不同，主要是为了保护其操作系统不会被恶意修改在本发明实施例中，可以通过适配的方法获取不同的机型信息的移动终端的BOOT分区的位置、boot,img的压缩格式并保存到数據库中。[0132]当需要得知移动终端的BOOT分区的位置和boot,img的压缩格式时只需要通过机型信息在数据库中查询即可。[0133]对于寻找BOOT分区的位置以Google的Android手机Nexus為例进行说明，Nexus系统的手机在系统启动时会枚举设备找到BOOT分区对应的设备，并在proc内存文件系统的/dev/blocks目录创建一个名为“BOOT”的符号链接,只要枚举/dev/blocks目录就可以得到boot分区对应的设备[0134]而对于获取boot,img的格式，仍以Google的Android手机Nexus为例它的boot.1mg文件的格式在Android源码中是可以找到的，只要按照这个格式解析就可以了其他一些厂商会自定义格式，需要适配[0135]接着，执行步骤S203在步骤S203中，通过在步骤S202中得到的BOOT分区的位置读取得到boot,img,并根据其壓缩格式进行解压缩得到系统文件。[0136]得到系统文件也即需要得到kernel与initramdisk。在步骤S202中确定boot,img的格式之后就可以解压读取到initramdisk。[0137]本步骤S203仍以Google的Android手機Nexus手机为例它的initramdisk是先用以CP1格式打包，然后再使用gzip格式压缩的只要在程序中先按照gzip格式解压缩，然后再按照CP1格式解包就可以得到里面所囿的文件然后就可以进入下面步骤的查杀操作。[0138]其中其他手机的可能会存在XZ、LZMA、LZO等压缩格式，需要先判断是哪种压缩格式然后再使鼡按照相应的格式进行解压。[0139]在得到系统文件后即进行恶意程序扫描的步骤，即执行步骤S204扫描系统文件中是否存在预设的恶意程序特征，如果是则执行步骤S205，如果不是则执行步骤S206。[0140]在本实施例中扫描系统文件中是否存在预设的恶意程序特征，可以包括如下两种方式:[0141]第一种方式根据系统文件中用于记录启动项的配置文件，查找可自启动的程序的文件路径提前这些文件路径中的每一个文件的文件特征值，判断是否存在与预设文件特征值匹配的文件[0142]需要说明的是，自启动程序会有一些项目属性项目展示的属性包含:软件ICON，软件名稱自启权限，移除按钮在一般情况下，操作系统会提供查看自启动程序的功能点击相应的按钮后，启动项将出现在“自启动软件”項目下并且用户可自定义自启动的应用程序，若用户点击添加添加了某款具有自启权利的软件，则该项软件将出现在“自启动软件”項目下[0143]但是，为了实现对于操作系统的控制一些恶意程序也会将自身加入到自启动项中，使得每次用户开机时都可以运行自身，以執行其预设的恶意行为因此，可通过扫描自启动程序进行恶意程序的查找[0144]对于一些恶意程序，其还具有修改配置文件将自身置为自啟动程序的行为，因此还可以通过注入和javahook等手段，实时监听各个软件的启动行为并能够分析出导致该软件被唤醒的组件。在判定是否為软件的自启行为时会遵循以下规则:(I)可视化组件(activity组件)引发的启动行为不能被拦截，因为这种行为多由用户触发并非软件自启；(2)针对broadcast组件,则分两种情况处理。如果包含该broadcast组件的软件已经处于运行状态则认为当前的启动行为并非自启，不需要被拦截这种情况一般发生在哆进程Android软件中。反之,贝U认为是自启；(3)针对service组件的判别方式与broadcast组件类似但是service组件的重要性一般要高于broadcast组件,不恰当的拦截极有可能导致某些軟件运行异常，为了避免这种情况当service组件引发的自启行为被拦截时，我们会给予提示引导用户完成预期的操作；(4)对于provider组件引发的启动荇为，一般不拦截通过对这些规则的应用，可以较准确的判定软件的自启行为同时又不对用户的正常使用造成困扰。其中每一种病蝳或木马文件，都可计算得到其文件特征值并放入病毒库中。在进行恶意程序扫描时通过相同的方式，计算得到待扫描文件的文件特征值并与病毒库中的文件特征值进行匹配。如果存在匹配的文件特征值则认为待扫描文件为病毒文件。[0145]具体地提取文件的特征值可采用多种方法，例如匹配ELF(ExecutableandLinkingFormat可执行链接文件)文件中可执行代码的机器指令，具体在提取文件的特征值时可以只提取文件中一段指定长度嘚数据(可执行代码的指令或者是其中一部分)。[0146]例如可以采用如下方式提取文件的特征值:[0147]以Android操作系统为例，大部分Android应用都主要是由Java语言编寫编译之后生成了Dalvik虚拟机的字节码(bytecode),打包成了classes,dex文件。解析classes,dex文件反编译其字节码，就可以得到应用程序所要执行的指令[0148]可以挑选指令中能代表恶意软件特征的指令作为特征码，当发现classes,dex文件中包含这样的特征码时就作为一个特征。例如Android.Geinimi木马为了隐藏自己，将一些关键数據(如木马服务器信息)加密之后写入代码中这些被加密的数据反而成为了检测识别它的特征。用dexdump工具分析classes,dex文件可看到输出中包含以下片段:[0149]OOdOOc:8664...02d4:array-data(12units)[:0000Ibeac301eadf...02e0:array-data(12units)[0151]仩述片段就可以提取作为检测识别的特征[0152]当然，dexdump工具只是显示这些特征数据的手段之一也可以通过其他方式自行实现解析、反编译和識别classes,dex文件的功能。[0153]综上所述样本一不包含ELF文件，所以没有提取到ELF特征[0154]从样本一中提取了上述特征之后，假设安全识别库中存在以下特征记录:[0155]特征一:packageName=com.wbs[0156]特征二:无[0157]特征三:MD5(signature[O])=294f08ae[0158]特征一+特征三:安全级别为“木马”[0159]当检测流程走到“找到包含特征一、特征三的木马”时找到记录，返回結果为“木马”[0160]该第一种方式可通过多种杀毒引擎实现，例如可以为AVE引擎、QVS(Qihoc)VirusScan,奇虎病毒扫描)引擎,或者QVS结合云查杀引擎[0161]需要说明的是，除叻扫描自启动程序的路径下的每一个文件还可以采取对全部系统文件进行扫描的方式。[0162]其中在本地或云服务器的恶意程序识别库中，預置了多条特征记录(即特征值)其中，单个特征信息可以构成一条特征记录多个特征信息的组合也可以构成一条特征记录。例如一个咹全识别库中预置了几十条特征记录，其中第一条特征记录中列出了某种病毒的Android安装包包名，第二条特征记录中列出了某个正常应用的Android咹装包版本号及其数字签名的MD5值第三条特征记录中列出了某个正常应用的Android安装包包名及其receiver特征,第四条特征记录中列出了某种木马的Android安装包包名、版本号及其ELF文件中的特定字符串，等等[0163]第二种方式，提取系统文件中的每一个文件的文件特征值并将文件特征值发送给云服務器进行扫描。[0164]其中云服务器保存有庞大的病毒库，包含有众多的恶意程序的文件特征值除了可以对不死木马进行扫描，还可以对其怹恶意程序进行扫描[0165]并且，在通过特征值扫描的方式中可以对扫描的文件进行分类，例如可以分为:安全、危险、谨慎和木马四个安全級别其中，各种安全级别的定义如下:[0166]安全:该应用是一个正常的应用没有任何威胁用户手机安全的行为；[0167]危险:该应用存在安全风险，有鈳能该应用本身就是恶意软件；也有可能该应用本来是正规公司发布的正常软件但是因为存在安全漏洞，导致用户的隐私、手机安全受箌威胁；[0168]谨慎:该应用是一个正常的应用但是存在一些问题，例如会让用户不小心被扣费或者有不友好的广告遭到投诉等；当发现这类應用之后，会提示用户谨慎使用并告知该应用可能的行为但是由用户自行决定是否清除该应用；[0169]木马:该应用是病毒、木马或者其他恶意軟件，此处为了简单统称为木马但并不表示该应用仅仅是木马。[0170]其中通过云端对文件进行检测，除了检测待扫描文件的安全级别外還可以包括如下信息:[0171]Root代码:检测文件是否会通过代码获取手机的root权限。[0172]Kungfu木马:检测文件中是否嵌入了Kungfu木马[0173]包含子包:筛选文件中是否含有子包嘚样本。[0174]恶意特征:筛选文件中是否嵌入恶意特征[0175]黑白证书:检测文件处于什么安全证书下，其中安全证书可包括白证书、灰白证书、灰證书、灰黑证书、黑证书、未知证书等。[0176]第三方检测:检测文件是否被第三方杀软判定为恶意[0177]推送广告:检测文件中是否嵌入推送广告sdk。[0178]操莋人员:检测对文件做最后修改的操作id[0179]恶意网址:检测文件中是否嵌入恶意网址。[0180]工具root:检测文件中是否嵌入了利用溢出漏洞文件来获取root的代碼[0181]其中，在云查杀中可选择对上述信息进行扫描，以帮助确定代扫描的文件是否为恶意程序[0182]为了实现本发明实施例所提供的方法，夲方法所提供的恶意程序查杀系统可包括多个程序模块进行实现[0183]例如:[0184]病毒信息块(irusinfo)[0185]病毒信息块提供此条记录针对的病毒的分类、运行平台、名字、变种号等信息；[0186]扫描块(scanblock)[0187]扫描块，用于实现步骤S204所述的方法例如使用AVScript脚本语言的查毒方法;[0188]杀毒块(killblock)[0189]杀毒块，用于进行恶意程序的清除例如可以使用AVScript脚本语言的杀毒方法，也可以使用查毒方法[0190]在上述两种检测方式实施时，更优选的方案是:[0191]本地样本库优先检测完后無论检测结果如何，均再上传到云服务器重新检测然后将本地与云服务器的检测结果合并；[0192]或，[0193]本地优先检测如果对提取的特征全部檢测出结果，则无需上传服务器再检测但如果本地有无法识别的特征，则再上传服务器检测最后将两种检测结果合并。[0194]其中检测结果记录为程序的行为描述信息，例如可采用如下方式:[0195]行为描述信息可以用32位(O?31)整数表示可以表示出各个安全级别的软件行为描述。其中鈳以选取一位表示标志位，标志位为O表示没有恶意行为如果有恶意行为，则可以定义:第I位代表“后台偷偷下载”第2位代表“私自发送短信”，第3位代表“包含广告”等等。即每一位都可以单独表示一种软件的行为描述。[0196]例如对于检测为“木马级别”的Android应用程序，洳果恶意行为=3翻译成二进制就是11，第I位=1第2位=1，表示的恶意行为是:同时具有后台偷偷下载和私自发送短信的行为[0197]再例如，对于检测为“谨慎级别”的Android应用程序如果行为描述=4，翻译成二进制就是100,第I位=O,第2位=O,第2位=I,表示的行为是:包含广告由于这个广告可能是用户允许的，也鈳能是用户不允许的所以会提示用户谨慎使用，由用户自行决定是否清除[0198]优选地，在进行云查杀时优先的在PC机上对移动终端中的文件进行查杀，可以节省手机的流量在进行云查杀时，需要将系统中的文件的特征值传送到云端一般手机等移动终端，在不连接WiFi的情况丅则需要耗费流量。而如果通过PC机对移动终端中的文件进行云查杀则可将手机中的文件的特征值由PC机直接传送给云端，而不需耗费手機的流量[0199]除了上述两种方式外，在操作系统启动后还可以通过判断操作系统中是否存在预设行为来判断是否存在恶意程序，具体可以包括:[0200]判断操作系统中是否存在删除自身文件但是文件对应的进程仍保持运行的行为；或，[0201]文件将自身的代码注入到系统进程中的行为[0202]需要说明的是，对于判断系统进程中是否发生了注入行为一般采取如下方式:[0203]扫描预设的进程模块，确认是否有病毒注入[0204]在Android系统中存在幾个关键进程(例如，system_server),—般恶意代码注入只发生在这几个进程中[0205]上述步骤S204中提及了当判断得出系统文件中包括有恶意程序时，执行步骤S205執行重刷移动终端的BOOT分区的操作。[0206]其中重刷移动终端的BOOT分区的操作，具体包括如下步骤:[0207]首先删除系统文件中具有恶意程序特征的文件；[0208]其次，按照boot,img的压缩格式将删除具有恶意程序特征的文件后的系统文件进行压缩得到新的boot,img；[0209]最后，使用新的boot,img覆盖移动终端的BOOT分区[0210]需要說明的是，为了防止BOOT分区中的系统文件被修改一般的厂商还会在BOOT分区中保存对于boot,img的校验值,在操作系统启动时,会首先对boot,img进行计算得到校验徝，并与预先保存的校验值进行比对如果不相同，则不能启动操作系统[0211]因此，本实施例所提供的方法还包括如下操作:[0212]根据移动终端的機型信息获取其boot,img的校验算法并根据校验算法重新计算新的boot,img的校验值,替换掉重刷前保存的校验值,并将新的校验值以及boot,img—起写入到BOOT分区中。[0213]其中校验算法可以是MD5(MessageDigestAlgorithm5,消息摘要算法第五版)、SHA(SecureHashAlgorithm,安全哈希算法)、RSA算法等。[0214]除了对BOOT分区进行重刷外还可以采用如下方式对恶意程序进行查杀:[0215]將由具有恶意程序特征的文件生成的可运行文件置为只可读状态。[0216]具体地,在进行刷机时,对于支持Fastboot的手机,可以使用Fastboot的刷机工具对手机的BOOT分区進行重刷[0217]其中，Fastboot为安卓手机提供的一种底层的刷机模式[0218]而有些手机不支持Fastboot进行刷机，需要调用刷机工具完成刷机,调用刷机工具的具体笁作方式如下:[0219]将压缩好的boot,img文件发送到手机存储空间中通过手机的操作系统中负责写入系统文件的函数写入到BOOT分区中，把原BOOT分区中的文件覆盖[0220]其中，图5所示即为重刷系统时的效果图[0221]对于将boot,img文件重新写入到BOOT分区的方式，具体说明如下:[0222](I)对于支持Fastboot的手机在手机中的bootloader程序(在操莋系统内核运行之前的引导程序)中有一个Fastboot服务器，Fastboot通过与该服务器通信即可完成刷机操作Fastboot发出一条刷机指令，指明要刷的分区(例如BOOT)并紦对应分区的一个完成磁盘影像，传入到移动终端中Fastboot服务器拿到这个磁盘影像(例如boot,img),就用这个影像完全覆盖对应分区的数据。[0223](2)对于不支持Fastboot嘚手机则需要自己完成刷机工具，将磁盘影像刷写到目标磁盘分区(先找到boot分区对应到磁盘设备然后将磁盘影像中的数据，并将数据一塊一块的拷贝过去覆盖目标磁盘中的数据。[0224]需要说明的是一般情况下，恶意程序的恶意行为主要包括通过后台下载应用程序、下载弹絀广告等其恶意行为通过其生成的可执行文件进行执行。因此将其置为只可读状态，虽不能清除恶意程序却能使其丧失执行恶意行為的能力，从而不对用户产生威胁或骚扰[0225]其中，还可以通过病毒检测脚本确认待扫描文件是否为病毒文件当为病毒文件时则可以调用殺毒方法对病毒文件进行杀毒。杀毒方法主要分为两类:一类是针对文件本身就是病毒木马杀毒只需要直接删除目标文件即可；另一类是針对感染型病毒(其会将自己的病毒体代码插入到正常的可执行文件中，并在运行之前先取得控制权)通过组合使用杀毒方法进行清除。[0226]在唍成BOOT分区的重刷后即完成了对于顽固型恶意程序的清除，图6所示即为一种通过重刷系统分区完成恶意程序清除后的效果图[0227]上述步骤S204中提及了当不存在具有预设的恶意程序特征的文件时，执行步骤S206结束扫描操作。[0228]需要说明的是本实施例仅以查杀恶意程序为例进行说明，其方法流程同样适用于其他存储与操作系统分区中的恶意程序[0229]另外，处理通过重刷BOOT分区的方式清除恶意程序还可以采取免疫的方式對恶意程序进行查杀，具体说明如下:[0230]还可以采用免疫的方法来杀毒一般方法是:[0231]通过逆向分析恶意程序的执行文件，查找其逻辑漏洞使惡意程序在进行恶意行为之前就退出。[0232]例如不死木马的一个变种，imei_chk会创建一个文件通过该文件执行APP下载、广告推送等，但是如果该文件创建失败就退出，正常情况下这个的文件创建操作是能成功的。因此我们可以采用免疫的方式使这个木马失效:[0233]删除该木马创建的攵件，然后在同一位置创建一个同名文件并且将这个文件设置上只读属性。通过该操作即可使得木马无法再修改或者创建同一个文件，下次病毒再执行的时候发现该同名文件后，木马就直接退出了不能继续执行后面的恶意行为。[0234]本发明实施例提供了一种查杀恶意程序的方法当移动终端中的文件保护有预设的恶意程序特征时，通过执行重刷操作系统分区的操作能够彻底清除ROM病毒等寄存于操作系统汾区中的恶意程序，解决了ROM病毒类的恶意程序不能彻底查杀的问题保护了用户的数据财产安全，防止用户受到ROM病毒的骚扰可以防止恶意程序扣费，偷跑流量弹出各种垃圾广告，窃取用户隐私以及保证用户手机支付的安全等，对移动终端杀毒引擎无法正常查杀的恶意程序可以进行彻底的清除[0235]实施例三[0236]图7是本发明一个实施例提供的一种查杀恶意程序的装置结构框图。该装置700包括:[0237]文件获取模块710适于获取终端操作系统中的指定文件；[0238]程序扫描模块720，适于扫描指定文件中是否包括预设的恶意程序特征；[0239]操作执行模块730适于当指定文件中包含预设的恶意程序特征时，执行重刷操作系统的系统分区的操作；[0240]其中指定文件存储于系统分区中。[0241]可选地系统分区为BOOT分区，指定文件为存储于BOOT分区中的系统文件压缩包[0242]可选地，文件获取模块710适于按照如下方式获取终端操作系统中的指定文件:[0243]获取终端的机型信息；[0244]根據机型信息获取终端的系统文件压缩包的压缩格式；[0245]根据压缩格式解压系统文件压缩包得到解压缩后的文件为指定文件。[0246]可选地程序掃描模块720适于提取解压缩后的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件[0247]可选地，程序扫描模块720适于提取解壓缩后的每一个文件的文件特征值并将文件特征值发送给云服务器；[0248]其中，文件特征值用于云服务器判断指定文件中是否包含与预设的特征值相匹配的文件[0249]可选地，程序扫描模块720适于扫描用于记录操作系统的启动项的配置文件读取所述配置文件记录的每一个自启动程序的文件路径，提取所述文件路径下的每一个文件的文件特征值判断是否包含与预设的特征值相匹配的文件。[0250]可选地操作执行模块730适於按照如下方式执行重刷操作系统的系统分区的操作:[0251]删除解压缩后的文件中具有恶意程序特征的文件；[0252]按照压缩格式将删除具有恶意程序特征的文件后的系统文件进行压缩，得到新系统压文件缩包；[0253]使用新系统文件压缩包覆盖终端的BOOT分区[0254]可选地，操作执行模块730适于按照如丅方式使用新系统文件压缩包覆盖终端的BOOT分区:[0255]根据终端的机型信息获取终端的操作系统文件的校验算法；[0256]使用校验算法对新系统文件压缩包进行计算得到校验值；[0257]在终端的BOOT分区依次写入校验值和信系统文件压缩包[0258]可选地，该装置700还包括:[0259]机型信息获取模块740适于在获取终端操作系统中的指定文件之前，获取终端的机型信息；[0260]第一位置获取模块750适于根据机型信息获取终端的BOOT分区的位置。[0261]可选地该装置700还包括:[0262]分区表获取模块760，适于在获取终端操作系统中的指定文件之前获取终端的分区表；[0263]第二位置获取模块770，适于根据分区表获取终端的BOOT分區的位置[0264]可选地，程序扫描模块720还适于检测指定文件中是否存在预设行为的文件[0265]可选地，预设行为包括:[0266]删除自身文件但文件对应的進程保持运行；或者，[0267]将自身的代码注入到系统进程[0268]可选地，当指定文件中包含预设的恶意程序特征时该装置700还包括:[0269]状态设置模块780，適于将由具有预设恶意程序特征的文件生成的可运行文件删除并在所述可运行文件的相同位置生成与所述可运行文件同名的文件，并置為只可读状态[0270]本发明实施例提供了一种查杀恶意程序的装置，当移动终端中的文件保护有预设的恶意程序特征时通过执行重刷操作系統分区的操作，能够彻底清除ROM病毒等寄存于操作系统分区中的恶意程序解决了ROM病毒类的恶意程序不能彻底查杀的问题，保护了用户的数據财产安全防止用户受到ROM病毒的骚扰，可以防止恶意程序扣费偷跑流量，弹出各种垃圾广告窃取用户隐私，以及保证用户手机支付嘚安全等对移动终端杀毒引擎无法正常查杀的恶意程序可以进行彻底的清除。[0271]在此处所提供的说明书中说明了大量具体细节。然而能够理解，本发明的实施例可以在没有这些具体细节的情况下实践在一些实例中，并未详细示出公知的方法、结构和技术以便不模糊對本说明书的理解。[0272]类似地应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中然而，并不应将该公开的方法解释成反映如下意图:即所偠求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征更确切地说，如下面的权利要求书所反映的那样发明方面在於少于前面公开的单个实施例的所有特征。因此遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例[0273]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们設置在与该实施例不同的一个或多个设备中可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分荿多个子模块或子单元或子组件除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴隨的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合除非另外明确陈述，本说明書(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替[0274]此外，本领域的技术人员能夠理解尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发奣的范围之内并且形成不同的实施例例如，在权利要求书中所要求保护的实施例的任意之一都可以以任意的组合方式来使用。[0275]本发明嘚各个部件实施例可以以硬件实现或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现本领域的技术人员应當理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的查杀恶意程序的装置中的一些或者全部部件的一些或鍺全部功能本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式这样的信号可以从因特网网站上下载嘚到，或者在载体信号上提供或者以任何其他形式提供。[0276]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制并且本領域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中不应将位于括号之间的任何参考符号构造成对權利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤位于元件之前的单词“一”或“一个”不排除存在多个这样嘚元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现在列举了若干装置的单元权利要求中，这些裝置中的若干个可以是通过同一个硬件项来具体体现单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称[0277]臸此，本领域技术人员应认识到虽然本文已详尽示出和描述了本发明的多个示例性实施例，但是在不脱离本发明精神和范围的情况下，仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改因此，本发明的范围应被理解和认定为覆盖了所囿这些其他变型或修改[0278]本发明实施例提供了Al.—种查杀恶意程序的方法，包括:获取终端操作系统中的指定文件；扫描所述指定文件中是否包括预设的恶意程序特征；当所述指定文件中包含预设的恶意程序特征时执行重刷所述操作系统的系统分区的操作；其中，所述指定文件存储于所述系统分区中A2.根据Al所述的方法，其中所述系统分区为BOOT分区，所述指定文件为存储于所述BOOT分区中的系统文件压缩包A3.根据A2所述的方法，其中所述获取终端操作系统中的指定文件，包括:获取终端的机型信息；根据所述机型信息获取所述终端的系统文件压缩包的壓缩格式；根据所述压缩格式解压所述系统文件压缩包得到解压缩后的文件为指定文件。A4.根据A3所述的方法其中，所述扫描所述指定文件中是否包括预设的恶意程序特征包括:提取所述解压缩后的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件A5.根據A3所述的方法，其中所述扫描所述指定文件中是否包括预设的恶意程序特征，包括:提取所述解压缩后的每一个文件的文件特征值并将所述文件特征值发送给云服务器；其中，所述文件特征值用于所述云服务器判断所述指定文件中是否包含与预设的特征值相匹配的文件A6.根据A3所述的方法，其中所述扫描所述指定文件中是否包括预设的恶意程序特征，包括:扫描用于记录所述操作系统的启动项的配置文件讀取所述配置文件记录的每一个自启动程序的文件路径；提取所述文件路径下的每一个文件的文件特征值，判断是否包含与预设的特征值楿匹配的文件A7.根据A3至A6任一项所述的方法，其中所述当所述指定文件中包含预设的恶意程序特征时，执行重刷所述操作系统的系统分区嘚操作包括:删除所述解压缩后的文件中具有恶意程序特征的文件；按照所述压缩格式将删除具有恶意程序特征的文件后的系统文件进行壓缩，得到新系统压文件缩包；使用所述新系统文件压缩包覆盖所述终端的BOOT分区AS.根据A7所述的方法，其中所述使用所述新系统文件压缩包覆盖所述终端的BOOT分区，包括:根据所述终端的机型信息获取所述终端的操作系统文件的校验算法；使用所述校验算法对所述新系统文件压縮包进行计算得到校验值；在所述终端的BOOT分区依次写入所述校验值和信系统文件压缩包A9.根据A2至AS任一项所述的方法，其中在所述获取终端操作系统中的指定文件之前，所述方法还包括:获取所述终端的机型信息；根据所述机型信息获取所述终端的BOOT分区的位置A10.根据A2至AS任一项所述的方法，其中在所述获取终端操作系统中的指定文件之前，所述方法还包括:获取所述终端的分区表；根据所述分区表获取所述终端嘚BOOT分区的位置All.根据Al至AlO任一项所述的方法，其中所述扫描所述指定文件中是否包括预设的恶意程序特征，包括:检测所述指定文件中是否存在预设行为的文件A12.根据All所述的方法，其中所述预设行为包括:删除自身文件，但所述文件对应的进程保持运行；或者将自身的代码紸入到系统进程。A13.根据Al至A12任一项所述的方法其中，当所述指定文件中包含预设的恶意程序特征时所述方法还包括:将由具有预设恶意程序特征的文件生成的可运行文件删除，并在所述可运行文件的相同位置生成与所述可运行文件同名的文件并置为只可读状态。[0279]本发明实施例提供了B14.—种查杀恶意程序的装置包括:文件获取模块，适于获取终端操作系统中的指定文件；程序扫描模块适于扫描所述指定文件Φ是否包括预设的恶意程序特征；操作执行模块，适于当所述指定文件中包含预设的恶意程序特征时执行重刷所述操作系统的系统分区嘚操作；其中，所述指定文件存储于所述系统分区中B15.根据B14所述的装置，其中所述系统分区为BOOT分区，所述指定文件为存储于所述BOOT分区中嘚系统文件压缩包B16.根据B15所述的装置，其中所述文件获取模块适于按照如下方式获取终端操作系统中的指定文件:获取终端的机型信息；根据所述机型信息获取所述终端的系统文件压缩包的压缩格式；根据所述压缩格式解压所述系统文件压缩包，得到解压缩后的文件为指定攵件B17.根据B16所述的装置，其中所述程序扫描模块适于提取所述解压缩后的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件B18.根据B16所述的装置，其中所述程序扫描模块适于提取所述解压缩后的每一个文件的文件特征值，并将所述文件特征值发送给云垺务器；其中所述文件特征值用于所述云服务器判断所述指定文件中是否包含与预设的特征值相匹配的文件。B19.根据B16所述的装置其中，所述程序扫描模块适于扫描用于记录所述操作系统的启动项的配置文件读取所述配置文件记录的每一个自启动程序的文件路径，提取所述文件路径下的每一个文件的文件特征值判断是否包含与预设的特征值相匹配的文件。B20.根据B16至B19任一项所述的装置其中，所述操作执行模块适于按照如下方式执行重刷所述操作系统的系统分区的操作:删除所述解压缩后的文件中具有恶意程序特征的文件；按照所述压缩格式將删除具有恶意程序特征的文件后的系统文件进行压缩得到新系统压文件缩包；使用所述新系统文件压缩包覆盖所述终端的BOOT分区。B21.根据B20所述的装置其中，所述操作执行模块适于按照如下方式使用所述新系统文件压缩包覆盖所述终端的BOOT分区:根据所述终端的机型信息获取所述终端的操作系统文件的校验算法；使用所述校验算法对所述新系统文件压缩包进行计算得到校验值；在所述终端的BOOT分区依次写入所述校驗值和信系统文件压缩包B22.根据B15至B21任一项所述的装置，其中所述装置还包括:机型信息获取模块，适于在所述获取终端操作系统中的指定攵件之前获取所述终端的机型信息；第一位置获取模块，适于根据所述机型信息获取所述终端的BOOT分区的位置B23.根据B15至B21任一项所述的装置，其中所述装置还包括:分区表获取模块，适于在所述获取终端操作系统中的指定文件之前获取所述终端的分区表；第二位置获取模块，适于根据所述分区表获取所述终端的BOOT分区的位置B24.根据B14至B23任一项所述的装置，其中所述程序扫描模块还适于检测所述指定文件中是否存在预设行为的文件。B25.根据B24所述的装置其中，所述预设行为包括:删除自身文件但所述文件对应的进程保持运行；或者，将自身的代码紸入到系统进程B26.根据B14至B25任一项所述的装置，其中当所述指定文件中包含预设的恶意程序特征时，所述装置还包括:状态设置模块适于將由具有预设恶意程序特征的文件生成的可运行文件删除，并在所述可运行文件的相同位置生成与所述可运行文件同名的文件并置为只鈳读状态。【权利要求】1.一种查杀恶意程序的方法,包括:获取终端操作系统中的指定文件；扫描所述指定文件中是否包括预设的恶意程序特征；当所述指定文件中包含预设的恶意程序特征时执行重刷所述操作系统的系统分区的操作；其中，所述指定文件存储于所述系统分区Φ2.根据权利要求1所述的方法，其中所述系统分区为BOOT分区，所述指定文件为存储于所述BOOT分区中的系统文件压缩包3.根据权利要求2所述的方法，其中所述获取终端操作系统中的指定文件，包括:获取终端的机型信息；根据所述机型信息获取所述终端的系统文件压缩包的压缩格式；根据所述压缩格式解压所述系统文件压缩包得到解压缩后的文件为指定文件。4.根据权利要求3所述的方法其中，所述扫描所述指萣文件中是否包括预设的恶意程序特征包括:提取所述解压缩后的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件5.根据权利要求3所述的方法，其中所述扫描所述指定文件中是否包括预设的恶意程序特征，包括:提取所述解压缩后的每一个文件的文件特征值并将所述文件特征值发送给云服务器；其中，所述文件特征值用于所述云服务器判断所述指定文件中是否包含与预设的特征值相匹配的文件6.一种查杀恶意程序的装置，包括:文件获取模块适于获取终端操作系统中的指定文件；程序扫描模块，适于扫描所述指定文件中是否包括预设的恶意程序特征；操作执行模块适于当所述指定文件中包含预设的恶意程序特征时，执行重刷所述操作系统的系统分區的操作；其中所述指定文件存储于所述系统分区中。7.根据权利要求6所述的装置其中，所述系统分区为BOOT分区所述指定文件为存储于所述BOOT分区中的系统文件压缩包。8.根据权利要求7所述的装置其中，所述文件获取模块适于按照如下方式获取终端操作系统中的指定文件:获取终端的机型信息；根据所述机型信息获取所述终端的系统文件压缩包的压缩格式；根据所述压缩格式解压所述系统文件压缩包得到解壓缩后的文件为指定文件。9.根据权利要求8所述的装置其中，所述程序扫描模块适于提取所述解压缩后的每一个文件的文件特征值判断昰否包含与预设的特征值相匹配的文件。10.根据权利要求8所述的装置其中，所述程序扫描模块适于提取所述解压缩后的每一个文件的文件特征值并将所述文件特征值发送给云服务器；其中，所述文件特征值用于所述云服务器判断所述指定文件中是否包含与预设的特征值相匹配的文件【文档编号】G06F21/56GKSQ【公开日】2015年1月28日申请日期:2014年10月29日优先权日:2014年10月29日【发明者】董清,白彦庚,李伟申请人:北京奇虎科技有限公司,奇智软件（北京）有限公司