病毒文件的确定方法、装置、设备及存储介质与流程

1.本发明涉及计算机安全技术领域，尤其涉及一种病毒文件的确定方法、装置、设备及存储介质。


背景技术：

2.目前用户进程行为分析是业内对恶意软件分析的一种常见方法。现有技术中在对恶意软件分析时都是采用对静态进程树中的运行文件进行分析，且静态进程树仅能看到进程间的相互关系，无法对关联文件进行病毒检测，从而降低了查找病毒文件的工作效率。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提供了一种病毒文件的确定方法、装置、设备及存储介质，旨在解决如何提高查找病毒文件的工作效率的技术问题。
5.为实现上述目的，本发明提供了一种病毒文件的确定方法，所述病毒文件的确定方法包括：
6.在接收到扫描文件启动指令时，根据所述扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻；
7.在扫描进程停止时，获取所述扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息；
8.根据所述标识信息从多个可执行文件中选取目标文件，并根据所述目标文件确定关联文件；
9.按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件。
10.可选地，所述根据所述标识信息从多个可执行文件中选取目标文件的步骤，包括：
11.根据所述标识信息确定病毒评分结果，并根据所述病毒评分结果确定目标病毒标识等级；
12.根据所述目标病毒标识等级从多个可执行文件中选取目标文件。
13.可选地，所述根据所述病毒评分结果确定目标病毒标识等级的步骤，包括：
14.根据所述病毒评分结果从病毒标识等级映射关系表中查找样本病毒标识等级，并将所述样本病毒标识等级作为所述标识信息对应的目标病毒标识等级，所述病毒标识等级映射关系表中存在多个标识信息和多个样本病毒标识等级。
15.可选地，所述根据所述目标病毒标识等级从多个可执行文件中选取目标文件的步骤，包括：
16.判断所述目标病毒标识等级是否高于预设安全标识等级；
17.在所述目标病毒标识等级高于所述预设安全标识等级时，根据所述目标病毒标识等级确定预设病毒文件选取规则；
18.根据所述预设病毒文件选取规则从多个可执行文件中选取目标文件。
19.可选地，所述根据所述目标文件确定关联文件的步骤，包括：
20.确定所述目标文件的目标节点信息；
21.根据所述目标病毒标识等级和所述目标节点信息确定关联文件。
22.可选地，所述根据所述目标病毒标识等级和所述目标节点信息确定关联文件的步骤，包括：
23.根据所述目标病毒标识等级确定预设关联文件选取规则；
24.根据所述预设关联文件选取规则和所述目标节点信息从多个可执行文件中选取关联文件。
25.可选地，所述根据所述预设关联文件选取规则和所述目标节点信息从多个可执行文件中选取关联文件的步骤，包括:
26.获取多个可执行文件对应的节点信息；
27.根据多个节点信息和所述目标节点信息确定关联节点信息；
28.根据所述预设关联文件选取规则和所述关联节点信息从多个可执行文件中选取关联文件。
29.可选地，所述根据所述预设关联文件选取规则和所述关联节点信息从多个可执行文件中选取关联文件的步骤之后，还包括：
30.对所述关联文件进行文件内容分析，获得关联文件类型信息；
31.判断所述关联文件类型信息是否满足预设类型条件；
32.在所述关联文件类型信息满足所述预设类型条件时，执行所述按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件的步骤。
33.可选地，所述对所述关联文件进行文件内容分析，获得关联文件类型信息的步骤之前，还包括：
34.获取所述关联文件的关联文件名信息；
35.判断所述关联文件名信息是否满足预设命名条件；
36.在所述关联文件名信息满足所述预设命名条件时，执行所述对所述关联文件进行文件内容分析，获得关联文件类型信息的步骤。
37.可选地，所述按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件的步骤，包括：
38.获取所述关联文件对应的md5码；
39.按照预设病毒检测规则对所述md5码进行检测，以获得md5码检测结果；
40.根据所述md5码检测结果确定病毒文件。
41.可选地，所述根据所述md5码检测结果确定病毒文件的步骤，包括：
42.根据所述md5码检测结果获得危险病毒分值；
43.根据所述危险病毒分值对所述关联文件进行标识处理，获得关联标识信息；
44.根据所述关联标识信息和所述关联文件确定病毒文件。
45.可选地，所述获取所述扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息的步骤，包括：
46.获取所述扫描进程启动时刻对应的多个初始文件，并获取多个初始文件的文件关
键信息；
47.根据预设可执行文件选取规则和所述文件关键信息从多个初始文件中选取多个可执行文件，并获取多个可执行文件的标识信息。
48.此外，为实现上述目的，本发明还提出一种病毒文件的确定装置，所述病毒文件的确定装置包括：
49.获取模块，用于在接收到扫描文件启动指令时，根据所述扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻；
50.所述获取模块，还用于在扫描进程停止时，获取所述扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息；
51.选取模块，用于根据所述标识信息从多个可执行文件中选取目标文件，并根据所述目标文件确定关联文件；
52.确定模块，用于按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件。
53.可选地，所述选取模块，还用于根据所述标识信息确定病毒评分结果，并根据所述病毒评分结果确定目标病毒标识等级；
54.所述选取模块，还用于根据所述目标病毒标识等级从多个可执行文件中选取目标文件。
55.可选地，所述选取模块，还用于根据所述病毒评分结果从病毒标识等级映射关系表中查找样本病毒标识等级，并将所述样本病毒标识等级作为所述标识信息对应的目标病毒标识等级，所述病毒标识等级映射关系表中存在多个标识信息和多个样本病毒标识等级。
56.可选地，所述选取模块，还用于判断所述目标病毒标识等级是否高于预设安全标识等级；
57.所述选取模块，还用于在所述目标病毒标识等级高于所述预设安全标识等级时，根据所述目标病毒标识等级确定预设病毒文件选取规则；
58.所述选取模块，还用于根据所述预设病毒文件选取规则从多个可执行文件中选取目标文件。
59.可选地，所述选取模块，还用于确定所述目标文件的目标节点信息；
60.所述选取模块，还用于根据所述目标病毒标识等级和所述目标节点信息确定关联文件。
61.可选地，所述选取模块，还用于根据所述目标病毒标识等级确定预设关联文件选取规则；
62.所述选取模块，还用于根据所述预设关联文件选取规则和所述目标节点信息从多个可执行文件中选取关联文件。
63.此外，为实现上述目的，本发明还提出一种病毒文件的确定设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的病毒文件的确定程序，所述病毒文件的确定程序配置为实现如上文所述的病毒文件的确定方法的步骤。
64.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有病毒文件的确定程序，所述病毒文件的确定程序被处理器执行时实现如上文所述的病毒文件的
确定方法的步骤。
65.本发明首先在接收到扫描文件启动指令时，根据扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻，然后在扫描进程停止时，获取扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息，之后根据标识信息从多个可执行文件中选取目标文件，并根据目标文件确定关联文件，最后按照预设病毒检测规则对关联文件进行检测，以确定病毒文件。相较于现有技术，仅能查看进程间的相互关系，不能精准确定病毒文件，而本技术中根据扫描进程启动时刻对应的多个可执行文件确定目标文件，之后根据目标文件确定关联文件，并按照预设病毒检测规则对关联文件进行检测，以确定病毒文件，实现了精准确定病毒文件，进而提高了查找病毒文件的工作效率。
附图说明
66.图1是本发明实施例方案涉及的硬件运行环境的病毒文件的确定设备的结构示意图；
67.图2为本发明病毒文件的确定方法第一实施例的流程示意图；
68.图3为本发明病毒文件的确定方法第二实施例的流程示意图；
69.图4为本发明病毒文件的确定方法第三实施例的流程示意图；
70.图5为本发明病毒文件的确定装置第一实施例的结构框图。
71.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
72.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
73.参照图1，图1为本发明实施例方案涉及的硬件运行环境的病毒文件的确定设备结构示意图。
74.如图1所示，该病毒文件的确定设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(w ireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的非易失性存储器(non-volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
75.本领域技术人员可以理解，图1中示出的结构并不构成对病毒文件的确定设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
76.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及病毒文件的确定程序。
77.在图1所示的病毒文件的确定设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明病毒文件的确定设备中的处理器1001、存储器1005可以设置在病毒文件的确定设备中，所述病毒文件的确定设备通过处理器1001调用存储器1005中存储的病毒文件的确定程序，并执行本发明实施例提供的
病毒文件的确定方法。
78.本发明实施例提供了一种病毒文件的确定方法，参照图2，图2为本发明病毒文件的确定方法第一实施例的流程示意图。
79.本实施例中，所述病毒文件的确定方法包括以下步骤：
80.步骤s10：在接收到扫描文件启动指令时，根据所述扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻。
81.易于理解的是，本实施例的执行主体可以是具有数据处理、网络通讯和程序运行等功能的病毒文件的确定设备，也可以为其他具有相似功能的计算机设备等，本实施例并不加以限制。
82.可以理解的是，扫描文件启动指令可以为用户触发进程启动指令，之后可以根据进程启动指令启动扫描进程，该扫描进程可以为用户使用软件的行为进程，并将用户触发进程启动指令时，扫描进程启动对应对应的扫描进程启动时刻进行记录，扫描进程启动时刻可以为2020年8月3号09:00，还可以为2020年8月3号09:07等，本实施例并不加以限制。
83.需要说明的是，每个用户在进行软件的行为进程分析时，预先在用户移动终端上预先安装软件行为分析程序，之后软件行为分析程序会对移动终端上当前用户操作的软件进行分析，软件行为分析程序还可查看该用户所有的行为进程分析列表等。
84.在具体实现中，用户在移动终端上按照软件行为分析程序，之后软件行为分析程序可以对该用户移动终端上新安装或新下载软件对应的可执行文件进行扫描，还可以根据预先设定的周期时间对用户移动终端上可执行文件进行定期扫描等。
85.预先设定的周期时间可以为用户自定义设置，可以为30天，还可以为15天等，本实施例并不加以限制。
86.步骤s20：在扫描进程停止时，获取所述扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息。
87.可执行文件可以为用户行为进程启动时可运行的文件，例如后缀名为.exe的文件等。
88.可执行文件的标识信息为可执行文件安全程度对应的标识信息，该标识信息可以为软件行为分析程序对可执行文件自动分析，并利用颜色标识进行添加的标识或利用字符标识进行添加的标识等，本实施例并不加以限制。
89.假设利用颜色标识判定可执行文件对应的安全程度，可将灰色和绿色设为安全文件标识，将红色设为完全病毒文件标识，将黄色设为重度病毒文件标识，将蓝色设为中度病毒文件标识等，本实施例并不加以限制。
90.为了能够获取精准的可执行文件，获取扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息的步骤，可以为获取扫描进程启动时刻对应的多个初始文件，并获取多个初始文件的文件关键信息，根据预设可执行文件选取规则和文件关键信息从多个初始文件中选取多个可执行文件，并获取多个可执行文件的标识信息等。
91.初始文件可以理解为当前用户移动终端运行文件，文件关键信息可以为文件运行时长，可以为2s，还可以为3s等。
92.预设可执行文件选取规则可以为当前运行文件的预设参考运行时长，可以为5s，还可以为1min等，本实施例并不加以限制。
93.假设初始文件存在a、b、c及d，预设参考运行时长可以为3s，若初始文件a运行时长为1s，初始文件b运行时长为2s，初始文件c运行时长为5s，初始文件d运行时长为6s，则初始文件a和b低于预设参考运行时长，可不对初始文件a和b进行扫描监控和病毒文件分析；初始文件c和d高于预设参考运行时长，可将初始文件c和d作为可执行文件，并获取可执行文件c和d对应的标识信息等。
94.步骤s30：根据所述标识信息从多个可执行文件中选取目标文件，并根据所述目标文件确定关联文件。
95.目标文件可以为带有标识信息的病毒文件，可以为完全病毒文件，也可以为重度病毒文件，还可以为中度病毒文件等，本实施例并不加以限制。
96.假设多个可执行文件分别为可执行文件1、可执行文件2、可执行文件3及可执行文件4，可执行文件1中的标识信息为绿色标识，可执行文件2中的标识信息为灰色标识，可执行文件3中的标识信息为红色标识，可执行文件4中的标识信息为黄色标识，则红色标识和黄色标识均为病毒文件标识，则可执行文件3和可执行文件4为病毒文件即目标文件等。
97.为了能够精准获取目标文件，根据标识信息从多个可执行文件中选取目标文件的步骤可以为，根据标识信息确定病毒评分结果，并根据病毒评分结果确定目标病毒标识等级，最后根据目标病毒标识等级从多个可执行文件中选取目标文件等。
98.病毒评分结果可以为对可执行文件的病毒评价分值，从安全到完全病毒的分值可以设定1-10，1-4为安全文件，5-10为病毒文件。
99.根据病毒评分结果确定目标病毒标识等级的步骤可以为，根据病毒评分结果从病毒标识等级映射关系表中查找样本病毒标识等级，并将样本病毒标识等级作为标识信息对应的目标病毒标识等级，病毒标识等级映射关系表中存在多个标识信息和多个样本病毒标识等级等。
100.样本病毒标识等级可以为安全等级、中度病毒等级及重度病毒等级等，假设病毒评分结果为1-4，则病毒标识等级映射关系表中对应的样本病毒标识等级为安全等级；假设病毒评分结果为5-6，则病毒标识等级映射关系表中对应的样本病毒标识等级为中度病毒等级；假设病毒评分结果为7-8，则病毒标识等级映射关系表中对应的样本病毒标识等级为重度病毒等级；假设病毒评分结果为9-10，则病毒标识等级映射关系表中对应的样本病毒标识等级为完全病毒等级等。
101.需要说明的是，根据目标病毒标识等级从多个可执行文件中选取目标文件的步骤为，判断目标病毒标识等级是否高于预设安全标识等级，在目标病毒标识等级高于预设安全标识等级时，根据目标病毒标识等级确定预设病毒文件选取规则，之后根据预设病毒文件选取规则从多个可执行文件中选取目标文件等。
102.预设安全标识等级可以为安全等级等，假设多个可执行文件分别为可执行文件1、可执行文件2、可执行文件3及可执行文件4，可执行文件1为安全等级，可执行文件2为安全等级，可执行文件3为完全病毒等级，可执行文件4为重度病毒等级，则完全病毒等级和重度病毒等级均高于安全等级，则将可执行文件3和可执行文件4从多个可执行文件中提取，并将可执行文件3和可执行文件4作为目标文件等。
103.为了能够精准检测病毒文件，根据目标文件确定关联文件的步骤可以为，确定目标文件的目标节点信息，之后根据目标病毒标识等级和目标节点信息确定关联文件。
104.根据目标病毒标识等级和目标节点信息确定关联文件的步骤为，根据目标病毒标识等级确定预设关联文件选取规则，根据预设关联文件选取规则和目标节点信息从多个可执行文件中选取关联文件，预设关联文件选取规则可以为用户自定义设置等。
105.根据预设关联文件选取规则和目标节点信息从多个可执行文件中选取关联文件的步骤，可以为获取多个可执行文件对应的节点信息，之后根据多个节点信息和目标节点信息确定关联节点信息，最后根据预设关联文件选取规则和关联节点信息从多个可执行文件中选取关联文件等。
106.在本实施例中，在进行用户行为分析时，用户进程树引入的时间维度，将每个进程加入时间维度，形成动态进程树，将一维数据变成二维数据进行相关的分析，进而确定病毒文件。假设进程启动时刻对应的多个可执行文件分别为可执行文件a0、a1及a2、可执行文件b0、b1及b2及可执行文件c0、c1及c2，其可执行文件a0为a1的父节点，a2为a1的子节点，可执行文件b0为b1的父节点，b2为b1的子节点，可执行文件c0为c1的父节点，c2为c1的子节点，若b1为病毒文件，则b1的关联文件可以为b0和b2，b1的关联文件还可以为可执行文件a0、a1及a2、可执行文件b0及b2及可执行文件c0、c1及c2等。
107.假设b1为完全病毒文件，则b1的关联文件可以为可执行文件a0、a1及a2、可执行文件b0及b2及可执行文件c0、c1及c2；假设b1为中度病毒文件或重度病毒文件，则可执行文件b1的关联文件可以为b0和b2等。
108.在根据预设关联文件选取规则和关联节点信息从多个可执行文件中选取关联文件的步骤之后，还需要获取关联文件的关联文件名信息，判断关联文件名信息是否满足预设命名条件，在关联文件名信息满足预设命名条件时，对关联文件进行文件内容分析，获得关联文件类型信息，并判断关联文件类型信息是否满足预设类型条件，在关联文件类型信息满足预设类型条件时，判定该关联文件符合病毒检测条件等。
109.步骤s40：按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件。
110.预设病毒检测规则可以为用户自定义设置，可以为专业人员对关联文件进行病毒检测，还可以通过获取关联文件对应的关键信息进行病毒检测等，本实施例并不加以限制。
111.为了能够精准定位病毒文件，按照预设病毒检测规则对关联文件进行检测，以确定病毒文件的步骤可以为，获取关联文件对应的md5码进行检测，以获取md5码检测结果，之后根据md5码检测结果确定病毒文件。
112.根据md5码检测结果确定病毒文件的步骤可以为根据md5码检测结果获取危险病毒分值，根据危险病毒分值对关联文件进行标识处理，获得关联标识信息，最后根据关联标识信息和关联文件确定病毒文件。
113.假设进程启动时刻对应的可执行文件a0、a1及a2安全文件且标识信息均为绿色标识、可执行文件b0及b2为安全文件且标识信息均为灰色标识，b1为病毒文件且标识信息为红色标识，其可执行文件a0为a1的父节点，a2为a1的子节点，可执行文件b0为b1的父节点，b2为b1的子节点，可知b1为病毒文件，则b1的关联文件可以为b0和b2，b1的关联文件为可执行文件a0、a1及a2及可执行文件b0及b2，需要获取可执行文件a0、a1及a2及可执行文件b0及b2对应的md5码，之后将md5码根据预存病毒库内的md5码进行比对，在可执行文件a0的md5码在预存病毒库内的md5码中查找成功时，a0的危险病毒分值为1分，可执行文件a1、a2、b0及b2对应的md5码都不能在预存病毒库内的md5码中查到，需要将a0的绿色标识转换为红色
标识，并将a0作为病毒文件，之后通过专业分析人员对可执行文件a1、a2、b0及b2进行病毒检测，在可执行文件a1和a2被专业分析人员检测出病毒时，将可执行文件a1和a2的绿色标识转换为红色标识，则最终的病毒文件为a0、a1、a2及b1等。
114.在本实施例中，首先在接收到扫描文件启动指令时，根据扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻，然后在扫描进程停止时，获取扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息，之后根据标识信息从多个可执行文件中选取目标文件，并根据目标文件确定关联文件，最后按照预设病毒检测规则对关联文件进行检测，以确定病毒文件。相较于现有技术，仅能查看进程间的相互关系，不能精准确定病毒文件，而本实施例中根据扫描进程启动时刻对应的多个可执行文件确定目标文件，之后根据目标文件确定关联文件，并按照预设病毒检测规则对关联文件进行检测，以确定病毒文件，实现了查找病毒文件的准确性和高效性，进而提高了用户体验。
115.参考图3，图3为本发明病毒文件的确定方法第二实施例的流程示意图。
116.基于上述第一实施例，在本实施例中，所述步骤s30，还包括：
117.步骤s301：根据所述标识信息确定病毒评分结果，并根据所述病毒评分结果确定目标病毒标识等级。
118.可执行文件的标识信息为可执行文件安全程度对应的标识信息，该标识信息可以为软件行为分析程序对可执行文件自动分析，并利用颜色标识进行添加的标识或利用字符标识进行添加的标识等，本实施例并不加以限制。
119.假设利用颜色标识判定可执行文件对应的安全程度，可将灰色和绿色设为安全文件标识，将红色设为完全病毒文件标识，将黄色设为重度病毒文件标识，将蓝色设为中度病毒文件标识等，本实施例并不加以限制。
120.病毒评分结果可以为对可执行文件的病毒评价分值，从安全到完全病毒的分值可以设定1-10，1-4为安全文件，5-10为病毒文件。
121.根据病毒评分结果确定目标病毒标识等级的步骤可以为，根据病毒评分结果从病毒标识等级映射关系表中查找样本病毒标识等级，并将样本病毒标识等级作为标识信息对应的目标病毒标识等级，病毒标识等级映射关系表中存在多个标识信息和多个样本病毒标识等级等。
122.样本病毒标识等级可以为安全等级、中度病毒等级及重度病毒等级等，假设病毒评分结果为1-4，则病毒标识等级映射关系表中对应的样本病毒标识等级为安全等级；假设病毒评分结果为5-6，则病毒标识等级映射关系表中对应的样本病毒标识等级为中度病毒等级；假设病毒评分结果为7-8，则病毒标识等级映射关系表中对应的样本病毒标识等级为重度病毒等级；假设病毒评分结果为9-10，则病毒标识等级映射关系表中对应的样本病毒标识等级为完全病毒等级等。
123.步骤s302：根据所述目标病毒标识等级从多个可执行文件中选取目标文件，并根据所述目标文件确定关联文件。
124.需要说明的是，根据目标病毒标识等级从多个可执行文件中选取目标文件的步骤为，判断目标病毒标识等级是否高于预设安全标识等级，在目标病毒标识等级高于预设安全标识等级时，根据目标病毒标识等级确定预设病毒文件选取规则，之后根据预设病毒文件选取规则从多个可执行文件中选取目标文件等。
125.预设安全标识等级可以为安全等级等，假设多个可执行文件分别为可执行文件1、可执行文件2、可执行文件3及可执行文件4，可执行文件1为安全等级，可执行文件2为安全等级，可执行文件3为完全病毒等级，可执行文件4为重度病毒等级，则完全病毒等级和重度病毒等级均高于安全等级，则将可执行文件3和可执行文件4从多个可执行文件中提取，并将可执行文件3和可执行文件4作为目标文件等。
126.为了能够精准检测病毒文件，根据目标文件确定关联文件的步骤可以为，确定目标文件的目标节点信息，之后根据目标病毒标识等级和目标节点信息确定关联文件。
127.根据目标病毒标识等级和目标节点信息确定关联文件的步骤为，根据目标病毒标识等级确定预设关联文件选取规则，根据预设关联文件选取规则和目标节点信息从多个可执行文件中选取关联文件，预设关联文件选取规则可以为用户自定义设置等。
128.根据预设关联文件选取规则和目标节点信息从多个可执行文件中选取关联文件的步骤，可以为获取多个可执行文件对应的节点信息，之后根据多个节点信息和目标节点信息确定关联节点信息，最后根据预设关联文件选取规则和关联节点信息从多个可执行文件中选取关联文件等。
129.在本实施例中，在进行用户行为分析时，用户进程树引入的时间维度，将每个进程加入时间维度，形成动态进程树，将一维数据变成二维数据进行相关的分析，进而确定病毒文件。假设进程启动时刻对应的多个可执行文件分别为可执行文件a0、a1及a2、可执行文件b0、b1及b2及可执行文件c0、c1及c2，其可执行文件a0为a1的父节点，a2为a1的子节点，可执行文件b0为b1的父节点，b2为b1的子节点，可执行文件c0为c1的父节点，c2为c1的子节点，若b1为病毒文件，则b1的关联文件可以为b0和b2，b1的关联文件还可以为可执行文件a0、a1及a2、可执行文件b0及b2及可执行文件c0、c1及c2等。
130.假设b1为完全病毒文件，则b1的关联文件可以为可执行文件a0、a1及a2、可执行文件b0及b2及可执行文件c0、c1及c2；假设b1为中度病毒文件或重度病毒文件，则可执行文件b1的关联文件可以为b0和b2等。
131.在根据预设关联文件选取规则和关联节点信息从多个可执行文件中选取关联文件的步骤之后，还需要获取关联文件的关联文件名信息，判断关联文件名信息是否满足预设命名条件，在关联文件名信息满足预设命名条件时，对关联文件进行文件内容分析，获得关联文件类型信息，并判断关联文件类型信息是否满足预设类型条件，在关联文件类型信息满足预设类型条件时，判定该关联文件符合病毒检测条件等。
132.在本实施例中，首先根据标识信息确定病毒评分结果，并根据病毒评分结果确定目标病毒标识等级，然后根据目标病毒标识等级从多个可执行文件中选取目标文件，并根据目标文件确定关联文件。相较于现有技术中，仅能对当前目标文件进行分析，并不能精准查找关联的病毒文件，而本实施例中是根据目标文件确定关联文件，并对关联文件进行分析，进而提高了查找病毒文件的工作效率。
133.参考图4，图4为本发明病毒文件的确定方法第三实施例的流程示意图。
134.基于上述第一实施例，在本实施例中，所述步骤s40，还包括：
135.步骤s401：获取所述关联文件对应的md5码。
136.应理解的是每个可执行文件都具有对应的md5码，在可执行文件出现病毒时，该可执行文件对应的md5也会发生变化。
137.在具体实现中，为了能够准确对目标文件对应的关联文件进行病毒检测，需要先获取当前时刻每个关联文件对应的md5码等。
138.步骤s402：按照预设病毒检测规则对所述md5码进行检测，以获得md5码检测结果。
139.预设病毒检测规则可以为用户自定义设置，可以为专业人员对关联文件进行病毒检测，还可以通过获取关联文件对应的关键信息进行病毒检测等，本实施例并不加以限制。
140.需要说明的是，md5码检测结果可以为md5码检测成功信息或md5码检测失败信息，md5码检测结果还可以包括危险病毒分值等。
141.假设进程启动时刻对应的可执行文件a0、a1及a2安全文件且标识信息均为绿色标识、可执行文件b0及b2为安全文件且标识信息均为灰色标识，b1为病毒文件且标识信息为红色标识，其可执行文件a0为a1的父节点，a2为a1的子节点，可执行文件b0为b1的父节点，b2为b1的子节点，可知b1为病毒文件，则b1的关联文件可以为b0和b2，b1的关联文件为可执行文件a0、a1及a2及可执行文件b0及b2，需要获取可执行文件a0、a1及a2及可执行文件b0及b2对应的md5码，之后将md5码根据预存病毒库内的md5码进行比对，在可执行文件a0的md5码在预存病毒库内的md5码中查找成功时，会输出a0的危险病毒分值为1分和md5码检测成功信息等；在可执行文件a1、a2、b0及b2的md5码未在预存病毒库内的md5码中查找成功时，会输出a1、a2、b0及b2的危险病毒分值均为0分和md5码检测失败信息等。
142.步骤s403：根据所述md5码检测结果确定病毒文件。
143.根据md5码检测结果确定病毒文件的步骤可以为，根据md5码检测结果获得危险病毒分值，之后根据危险病毒分值对关联文件进行标识处理，获得关联标识信息，最后根据关联标识信息和关联文件确定病毒文件。
144.假设a0的md5码检测结果为危险病毒分值为1和md5码检测成功信息时，将a0作为病毒文件，可执行文件a1、a2、b0及b2对应的md5码都不能在预存病毒库内的md5码中查到，则可执行文件a1、a2、b0及b2对应的md5码检测结果为危险病毒分值为0和md5码检测失败信息，之后通过专业分析人员对可执行文件a1、a2、b0及b2进行病毒检测，在可执行文件a1和a2被专业分析人员检测出病毒时，将可执行文件a1和a2的绿色标识转换为红色标识，则最终的病毒文件为a0、a1及a2等。
145.在本实施例中，首先获取关联文件对应的md5码，然后按照预设病毒检测规则对md5码进行检测，以获得md5码检测结果，最后根据md5码检测结果确定病毒文件，实现了精准查找病毒文件，提高了用户体验。
146.参照图5，图5为本发明病毒文件的确定装置第一实施例的结构框图。
147.如图5所示，本发明实施例提出的病毒文件的确定装置包括：
148.获取模块5001，用于在接收到扫描文件启动指令时，根据所述扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻；
149.所述获取模块5001，还用于在扫描进程停止时，获取所述扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息；
150.选取模块5002，用于根据所述标识信息从多个可执行文件中选取目标文件，并根据所述目标文件确定关联文件；
151.确定模块5003，用于按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件。
152.在本实施例中，首先在接收到扫描文件启动指令时，根据扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻，然后在扫描进程停止时，获取扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息，之后根据标识信息从多个可执行文件中选取目标文件，并根据目标文件确定关联文件，最后按照预设病毒检测规则对关联文件进行检测，以确定病毒文件。相较于现有技术，仅能查看进程间的相互关系，不能精准确定病毒文件，而本实施例中根据扫描进程启动时刻对应的多个可执行文件确定目标文件，之后根据目标文件确定关联文件，并按照预设病毒检测规则对关联文件进行检测，以确定病毒文件，实现了查找病毒文件的准确性和高效性，进而提高了用户体验。
153.进一步地，所述选取模块5002，还用于根据所述标识信息确定病毒评分结果，并根据所述病毒评分结果确定目标病毒标识等级；
154.所述选取模块5002，还用于根据所述目标病毒标识等级从多个可执行文件中选取目标文件。
155.进一步地，所述选取模块5002，还用于根据所述病毒评分结果从病毒标识等级映射关系表中查找样本病毒标识等级，并将所述样本病毒标识等级作为所述标识信息对应的目标病毒标识等级，所述病毒标识等级映射关系表中存在多个标识信息和多个样本病毒标识等级。
156.进一步地，所述选取模块5002，还用于判断所述目标病毒标识等级是否高于预设安全标识等级；
157.所述选取模块5002，还用于在所述目标病毒标识等级高于所述预设安全标识等级时，根据所述目标病毒标识等级确定预设病毒文件选取规则；
158.所述选取模块5002，还用于根据所述预设病毒文件选取规则从多个可执行文件中选取目标文件。
159.进一步地，所述选取模块5002，还用于确定所述目标文件的目标节点信息；
160.所述选取模块5002，还用于根据所述目标病毒标识等级和所述目标节点信息确定关联文件。
161.进一步地，所述选取模块5002，还用于根据所述目标病毒标识等级确定预设关联文件选取规则；
162.所述选取模块5002，还用于根据所述预设关联文件选取规则和所述目标节点信息从多个可执行文件中选取关联文件。
163.进一步地，所述选取模块5002，还用于获取多个可执行文件对应的节点信息；
164.所述选取模块5002，还用于根据多个节点信息和所述目标节点信息确定关联节点信息；
165.所述选取模块5002，还用于根据所述预设关联文件选取规则和所述关联节点信息从多个可执行文件中选取关联文件。
166.进一步地，所述选取模块5002，还用于对所述关联文件进行文件内容分析，获得关联文件类型信息；
167.所述选取模块5002，还用于判断所述关联文件类型信息是否满足预设类型条件；
168.所述选取模块5002，还用于在所述关联文件类型信息满足所述预设类型条件时，执行所述按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件的操作。
169.进一步地，所述选取模块5002，还用于获取所述关联文件的关联文件名信息；
170.所述选取模块5002，还用于判断所述关联文件名信息是否满足预设命名条件；
171.所述选取模块5002，还用于在所述关联文件名信息满足所述预设命名条件时，执行所述对所述关联文件进行文件内容分析，获得关联文件类型信息的操作。
172.进一步地，所述确定模块5003，还用于获取所述关联文件对应的md5码；
173.所述确定模块5003，还用于按照预设病毒检测规则对所述md5码进行检测，以获得md5码检测结果；
174.所述确定模块5003，还用于根据所述md5码检测结果确定病毒文件。
175.进一步地，所述确定模块5003，还用于根据所述md5码检测结果获得危险病毒分值；
176.所述确定模块5003，还用于根据所述危险病毒分值对所述关联文件进行标识处理，获得关联标识信息；
177.所述确定模块5003，还用于根据所述关联标识信息和所述关联文件确定病毒文件。
178.进一步地，所述获取模块5001，还用于获取所述扫描进程启动时刻对应的多个初始文件，并获取多个初始文件的文件关键信息；
179.所述获取模块5001，还用于根据预设可执行文件选取规则和所述文件关键信息从多个初始文件中选取多个可执行文件，并获取多个可执行文件的标识信息
180.本发明病毒文件的确定装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。
181.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
182.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
183.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
184.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
185.本发明还公开了a1、一种病毒文件的确定方法，所述病毒文件的确定方法包括：
186.在接收到扫描文件启动指令时，根据所述扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻；
187.在扫描进程停止时，获取所述扫描进程启动时刻对应的多个可执行文件及多个可
执行文件的标识信息；
188.根据所述标识信息从多个可执行文件中选取目标文件，并根据所述目标文件确定关联文件；
189.按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件。
190.a2、如权利要求a1所述的方法，所述根据所述标识信息从多个可执行文件中选取目标文件的步骤，包括：
191.根据所述标识信息确定病毒评分结果，并根据所述病毒评分结果确定目标病毒标识等级；
192.根据所述目标病毒标识等级从多个可执行文件中选取目标文件。
193.a3、如权利要求a2所述的方法，所述根据所述病毒评分结果确定目标病毒标识等级的步骤，包括：
194.根据所述病毒评分结果从病毒标识等级映射关系表中查找样本病毒标识等级，并将所述样本病毒标识等级作为所述标识信息对应的目标病毒标识等级，所述病毒标识等级映射关系表中存在多个标识信息和多个样本病毒标识等级。
195.a4、如权利要求a2所述的方法，所述根据所述目标病毒标识等级从多个可执行文件中选取目标文件的步骤，包括：
196.判断所述目标病毒标识等级是否高于预设安全标识等级；
197.在所述目标病毒标识等级高于所述预设安全标识等级时，根据所述目标病毒标识等级确定预设病毒文件选取规则；
198.根据所述预设病毒文件选取规则从多个可执行文件中选取目标文件。
199.a5、如权利要求a2-a4任一项所述的方法，所述根据所述目标文件确定关联文件的步骤，包括：
200.确定所述目标文件的目标节点信息；
201.根据所述目标病毒标识等级和所述目标节点信息确定关联文件。
202.a6、如权利要求a5所述的方法，所述根据所述目标病毒标识等级和所述目标节点信息确定关联文件的步骤，包括：
203.根据所述目标病毒标识等级确定预设关联文件选取规则；
204.根据所述预设关联文件选取规则和所述目标节点信息从多个可执行文件中选取关联文件。
205.a7、如权利要求a6所述的方法，所述根据所述预设关联文件选取规则和所述目标节点信息从多个可执行文件中选取关联文件的步骤，包括:
206.获取多个可执行文件对应的节点信息；
207.根据多个节点信息和所述目标节点信息确定关联节点信息；
208.根据所述预设关联文件选取规则和所述关联节点信息从多个可执行文件中选取关联文件。
209.a8、如权利要求a7所述的方法，所述根据所述预设关联文件选取规则和所述关联节点信息从多个可执行文件中选取关联文件的步骤之后，还包括：
210.对所述关联文件进行文件内容分析，获得关联文件类型信息；
211.判断所述关联文件类型信息是否满足预设类型条件；
212.在所述关联文件类型信息满足所述预设类型条件时，执行所述按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件的步骤。
213.a9、如权利要求a8所述的方法，所述对所述关联文件进行文件内容分析，获得关联文件类型信息的步骤之前，还包括：
214.获取所述关联文件的关联文件名信息；
215.判断所述关联文件名信息是否满足预设命名条件；
216.在所述关联文件名信息满足所述预设命名条件时，执行所述对所述关联文件进行文件内容分析，获得关联文件类型信息的步骤。
217.a10、如权利要求a1所述的方法，所述按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件的步骤，包括：
218.获取所述关联文件对应的md5码；
219.按照预设病毒检测规则对所述md5码进行检测，以获得md5码检测结果；
220.根据所述md5码检测结果确定病毒文件。
221.a11、如权利要求a10所述的方法，所述根据所述md5码检测结果确定病毒文件的步骤，包括：
222.根据所述md5码检测结果获得危险病毒分值；
223.根据所述危险病毒分值对所述关联文件进行标识处理，获得关联标识信息；
224.根据所述关联标识信息和所述关联文件确定病毒文件。
225.a12、如权利要求a1所述的方法，所述获取所述扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息的步骤，包括：
226.获取所述扫描进程启动时刻对应的多个初始文件，并获取多个初始文件的文件关键信息；
227.根据预设可执行文件选取规则和所述文件关键信息从多个初始文件中选取多个可执行文件，并获取多个可执行文件的标识信息。
228.本发明还公开了b13、一种病毒文件的确定装置，所述病毒文件的确定装置包括：
229.获取模块，用于在接收到扫描文件启动指令时，根据所述扫描文件启动指令启动扫描进程，并获得扫描进程启动时刻；
230.所述获取模块，还用于在扫描进程停止时，获取所述扫描进程启动时刻对应的多个可执行文件及多个可执行文件的标识信息；
231.选取模块，用于根据所述标识信息从多个可执行文件中选取目标文件，并根据所述目标文件确定关联文件；
232.确定模块，用于按照预设病毒检测规则对所述关联文件进行检测，以确定病毒文件。
233.b14、如权利要求b13所述的装置，所述选取模块，还用于根据所述标识信息确定病毒评分结果，并根据所述病毒评分结果确定目标病毒标识等级；
234.所述选取模块，还用于根据所述目标病毒标识等级从多个可执行文件中选取目标文件。
235.b15、如权利要求b14所述的装置，所述选取模块，还用于根据所述病毒评分结果从病毒标识等级映射关系表中查找样本病毒标识等级，并将所述样本病毒标识等级作为所述
标识信息对应的目标病毒标识等级，所述病毒标识等级映射关系表中存在多个标识信息和多个样本病毒标识等级。
236.b16、如权利要求b14所述的装置，所述选取模块，还用于判断所述目标病毒标识等级是否高于预设安全标识等级；
237.所述选取模块，还用于在所述目标病毒标识等级高于所述预设安全标识等级时，根据所述目标病毒标识等级确定预设病毒文件选取规则；
238.所述选取模块，还用于根据所述预设病毒文件选取规则从多个可执行文件中选取目标文件。
239.b17、如权利要求b14-b16任一项所述的装置，所述选取模块，还用于确定所述目标文件的目标节点信息；
240.所述选取模块，还用于根据所述目标病毒标识等级和所述目标节点信息确定关联文件。
241.b18、如权利要求b17所述的装置，所述选取模块，还用于根据所述目标病毒标识等级确定预设关联文件选取规则；
242.所述选取模块，还用于根据所述预设关联文件选取规则和所述目标节点信息从多个可执行文件中选取关联文件。
243.本发明还公开了c19、一种病毒文件的确定设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的病毒文件的确定程序，所述病毒文件的确定程序配置为实现如上文所述的病毒文件的确定方法的步骤。
244.本发明还公开了d20、一种存储介质，所述存储介质上存储有病毒文件的确定程序，所述病毒文件的确定程序被处理器执行时实现如上文所述的病毒文件的确定方法的步骤。