病毒行为的监测方法、装置、电子设备及存储介质与流程

1.本说明书实施例涉及计算机技术领域，特别涉及一种病毒行为的监测方法、装置、电子设备及存储介质。


背景技术：

2.随着计算机技术在社会生活中各个领域的广泛运用，病毒也如同其附属品一样接踵而来。由于这些病毒所具有的感染性、复制性及破坏性，其已成为困扰计算机使用的一个重大问题。
3.目前，通过监测病毒的软件或程序对终端设备上的病毒行为进行监测时，会将监测结果以日志的形式记录为文本。在利用记录病毒行为的日志对病毒进行溯源时，由于日志包含的信息比较繁杂、对病毒行为的展示不够直观以及日志可能会被病毒篡改等原因，会导致对病毒溯源不准确。


技术实现要素：

4.为了能够准确对病毒进行溯源，本说明书实施例提供了一种病毒行为的监测方法、装置、电子设备及存储介质。
5.第一方面，本说明书实施例提供了一种病毒行为的监测方法，应用于第一终端设备，包括：
6.响应于监测到所述第一终端设备出现病毒行为，对所述第一终端设备进行病毒行为的录屏操作；
7.对经录屏操作得到的文件内容进行加密；
8.将加密后的文件内容上传至第二终端设备，以利用所述第二终端设备对所述文件内容进行播放。
9.在一种可能的设计中，所述监测到所述第一终端设备出现病毒行为，包括：
10.监测到所述第一终端设备对病毒行为的弹窗提示。
11.在一种可能的设计中，所述对所述第一终端设备进行病毒行为的录屏操作，包括：
12.将病毒在所述第一终端设备的后台病毒行为展示到所述第一终端设备的前台，以进行录屏操作。
13.在一种可能的设计中，在所述对所述第一终端设备进行病毒行为的录屏操作之后和在所述对经录屏操作得到的文件内容进行加密之前，还包括：
14.响应于达到在开启录屏操作后的第一预设时长，结束录屏操作；和/或，
15.响应于达到在开启录屏操作后的第二预设时长且在所述第二预设时长内未监测到所述第一终端设备对病毒行为的弹窗提示，结束录屏操作；和/或，
16.响应于经录屏操作得到的文件内容的存储容量达到预设阈值，结束录屏操作。
17.在一种可能的设计中，所述文件内容为视频文件；
18.所述对经录屏操作得到的文件内容进行加密，包括：
19.针对经录屏操作得到的视频文件中的每一个视频帧，对当前视频帧中的桌面信息和/或通过鼠标点击打开的文件信息进行遮蔽处理；
20.将经遮蔽处理得到的视频文件进行加密。
21.在一种可能的设计中，所述文件内容为视频文件；
22.所述对经录屏操作得到的文件内容进行加密，包括：
23.针对经录屏操作得到的视频文件中的每一个视频帧，将含有鼠标光标的视频帧进行二次处理；其中，所述二次处理包括删除处理和/或加密处理；
24.将经二次处理得到的视频文件进行加密。
25.在一种可能的设计中，所述文件内容为视频文件；
26.在所述对经录屏操作得到的文件内容进行加密之后和在所述将加密后的文件内容上传至第二终端设备之前，还包括：
27.将加密后的视频文件进行格式转换，得到目标视频文件；其中，所述目标视频文件的格式不包括影音格式；
28.所述将加密后的文件内容上传至第二终端设备，包括：
29.将所述目标视频文件上传至第二终端设备。
30.第二方面，本说明书实施例还提供了一种病毒行为的监测装置，应用于第一终端设备，包括：
31.录屏模块，用于响应于监测到所述第一终端设备出现病毒行为，对所述第一终端设备进行病毒行为的录屏操作；
32.加密模块，用于对经录屏操作得到的文件内容进行加密；
33.上传模块，用于将加密后的文件内容上传至第二终端设备，以利用所述第二终端设备对所述文件内容进行播放。
34.第三方面，本说明书实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
35.第四方面，本说明书实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
36.本说明书实施例提供了一种病毒行为的监测方法、装置、电子设备及存储介质，响应于监测到第一终端设备出现病毒行为，通过对第一终端设备进行病毒行为的录屏操作，然后对经录屏操作得到的文件内容进行加密，再将加密后的文件内容上传至第二终端设备，以利用第二终端设备对文件内容进行播放，从而通过录屏的方式可以有效记录病毒行为，并为后续的样本分析提供了有价值的信息参考。
附图说明
37.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
38.图1是本说明书一实施例提供的一种病毒行为的监测方法流程图；
39.图2是本说明书一实施例提供的一种电子设备的硬件架构图；
40.图3是本说明书一实施例提供的一种病毒行为的监测装置结构图。
具体实施方式
41.为使本说明书实施例的目的、技术方案和优点更加清楚，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本说明书一部分实施例，而不是全部的实施例，基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本说明书保护的范围。
42.如前所述，通过监测病毒的软件或程序对终端设备上的病毒行为进行监测时，会将监测结果以日志的形式记录为文本。在利用记录病毒行为的日志对病毒进行溯源时，由于日志包含的信息比较繁杂、对病毒行为的展示不够直观以及日志可能会被病毒篡改等原因，会导致对病毒溯源不准确。
43.为了解决该技术问题，发明人在研发过程中考虑到：可以借助对终端设备进行病毒行为的录屏操作，并对完成录屏操作的文件内容进行加密，从而通过录屏的方式可以有效记录病毒行为，并为后续的样本分析提供了有价值的信息参考。
44.下面介绍本说明书实施例的发明构思。
45.请参考图1，本说明书实施例提供了一种病毒行为的监测方法，应用于第一终端设备，该方法包括：
46.步骤100：响应于监测到第一终端设备出现病毒行为，对第一终端设备进行病毒行为的录屏操作；
47.步骤102：对经录屏操作得到的文件内容进行加密；
48.步骤104：将加密后的文件内容上传至第二终端设备，以利用第二终端设备对文件内容进行播放。
49.本说明书实施例中，响应于监测到所述第一终端设备出现病毒行为，通过对第一终端设备进行病毒行为的录屏操作，然后对经录屏操作得到的文件内容进行加密，再将加密后的文件内容上传至第二终端设备，以利用第二终端设备对文件内容进行播放，从而通过录屏的方式可以有效记录病毒行为，并为后续的样本分析提供了有价值的信息参考。
50.下面描述图1所示的各个步骤的执行方式。
51.针对步骤100：
52.可以理解的是，第一终端设备和第二终端设备可以是计算机、服务器中的任一个，在此不进行具体限定。
53.还可以理解的是，病毒行为包括但不限于：注册表增加启动项(即当终端设备重启之后，病毒会自动运行)；注册服务；释放文件(即先自我复制了一个副本，然后再将此副本移动至另外一个地方)；修改释放的exe为隐藏文件、系统文件；加密文件，勒索敲诈；感染exe(例如利用copyfile等api将病毒复制进exe中，如果双击打开exe，终端设备就会中病毒)；检测杀软进程(例如遍历所有进程，查看终端设备中的文件名是否存在杀毒软件的名称，如果发现存在，则会给这些窗口发送退出进程的api)；系统相关进程(例如任务管理器、
注册表编辑器等)；拷贝病毒到系统目录(是为了将自己隐藏起来,一般在系统目录下面)。常见的病毒有:感染性病毒、木马、蠕虫、勒索病毒和apt等。
54.在本说明书的一个实施例中，步骤“监测到所述第一终端设备出现病毒行为”，具体可以包括：
55.监测到第一终端设备对病毒行为的弹窗提示。
56.在本实施例中，由于很多普通的场景是不需要进行屏幕录制的，通常是疑似病毒行为开始时，此时录制的信息才有参考价值。因此，考虑到长时间录制屏幕及录制后的文件对系统性能和磁盘空间占用的影响，可以在监测到第一终端设备对病毒行为的弹窗提示时，对第一终端设备进行病毒行为的录屏操作。以安天智甲终端监控系统为例，当智甲感知到病毒行为而进行弹窗提示时，此时默认开启屏幕录制。
57.当然，除了可以利用第一终端设备对病毒行为的弹窗提示来表征第一终端设备出现病毒行为之外，还可以未出现弹出提示。例如，可以直接通过后台程序检测到第一终端设备存在病毒行为时，进行录屏操作。
58.此外，除了利用第一终端设备自动对病毒行为进行录屏操作之外，在本说明书的一个实施例中，录屏操作还可以是基于用户(即操作人员)的触发操作，例如用户对第一终端设备发起的启动指令。
59.需要说明的是，操作人员通过手动开启录制的情形适用于操作人员暂离第一终端设备或较长时间不使用第一终端设备的场景。在此场景下，操作人员开启屏幕录制后，屏幕录制程序启动并开始录制。
60.在本说明书的一个实施例中，步骤“对第一终端设备进行病毒行为的录屏操作”具体可以包括：
61.将病毒在第一终端设备的后台病毒行为展示到第一终端设备的前台，以进行录屏操作。
62.在本实施例中，为了可以在第一终端设备的后台病毒行为进行录屏，例如在杀毒软件监测到第一终端设备存在病毒时，可以跟踪该病毒，并将该病毒在后台病毒行为展示(或运行)到前台。
63.举例来说，在杀毒软件监测到病毒在后台修改配置文件时，第一终端设备可以在其前台打开该配置文件，从而可以方便进行录屏操作。
64.在本说明书的一个实施例中，在步骤100之后和步骤102之前，具体还可以包括：
65.响应于达到在开启录屏操作后的第一预设时长，结束录屏操作。
66.在本实施例中，考虑到长时间录制屏幕及录制后的文件对系统性能和磁盘空间占用的影响，可以在达到在开启录屏操作后的第一预设时长，结束录屏操作。
67.在一些实施方式中，第一预设时长可以是1、2或3小时，在此对第一预设时长的具体数值不进行限定。
68.在本说明书的一个实施例中，在步骤100之后和步骤102之前，具体还可以包括：
69.响应于达到在开启录屏操作后的第二预设时长且在第二预设时长内未监测到第一终端设备对病毒行为的弹窗提示，结束录屏操作。
70.在本实施例中，考虑到长时间录制屏幕及录制后的文件对系统性能和磁盘空间占用的影响，可以在达到在开启录屏操作后的第二预设时长且在第二预设时长内未监测到第
一终端设备对病毒行为的弹窗提示，结束录屏操作。
71.通常而言，杀毒软件在监测到病毒之后，为了防止病毒入侵第一终端设备，杀毒软件会优先杀死病毒，以阻止病毒产生后续的病毒行为。但是，病毒一般不会只发起一次攻击，而是会发起多次攻击，其中每次攻击第一终端设备的位置也有所不同。因此，需要在达到在开启录屏操作后的第二预设时长且在第二预设时长内未监测到第一终端设备对病毒行为的弹窗提示时，才结束录屏操作。
72.需要说明的是，虽然杀毒软件会杀死病毒，但是杀毒软件仍然可以得到该病毒在攻击第一终端设备时所处的位置和病毒想要进行的操作(不过该操作可能在执行过程中被杀毒软件阻止)。也就是说，杀毒软件虽然杀死了病毒，但是也会录制到该病毒的病毒行为。
73.在一些实施方式中，第二预设时长可以是1、2或3小时，在此对第一预设时长的具体数值不进行限定。
74.在本说明书的一个实施例中，在步骤100之后和步骤102之前，具体还可以包括：
75.响应于经录屏操作得到的文件内容的存储容量达到预设阈值，结束录屏操作。
76.在本实施例中，考虑到长时间录制屏幕及录制后的文件对系统性能和磁盘空间占用的影响，可以在经录屏操作得到的文件内容的存储容量达到预设阈值，结束录屏操作。
77.在一些实施方式中，预设阈值可以是100、200或300m，在此对预设阈值的具体数值不进行限定。
78.针对步骤102：
79.可以理解的是，文件内容可以包括流式文件(即处于录制过程中的文件)和视频文件(即已经录制好的文件)。下面分别对视频文件和流式文件对应的处理进行介绍。
80.在文件内容为流式文件时，在本说明书的一个实施例中，步骤102具体可以包括：
81.在录屏操作的过程中，对实时得到的流式文件进行加密。
82.在本实施例中，在流式传输时，影音媒体文件由第一终端设备向第二终端设备发送时，第二终端设备不必等到整个文件全部下载完毕，而只需经过几秒或十几秒的启动延时既可进行播放。当影音媒体文件在第二终端设备上播放时，文件的剩余部分将在后台服务器继续下载。流式文件的传输不仅使启动延时成十倍、百倍地缩短，而且不需要太大的缓存容量，也可以避免接收端必须等待整个文件全部从互联网上下载才能播放的缺点。此外，通过对流式文件进行加密，可以保证流式传输过程中的文件安全性。
83.在文件内容为视频文件时，在本说明书的一个实施例中，步骤102具体可以包括：
84.针对经录屏操作得到的视频文件中的每一个视频帧，对当前视频帧中的桌面信息和/或通过鼠标点击打开的文件信息进行遮蔽处理；
85.将经遮蔽处理得到的视频文件进行加密。
86.在本实施例中，由于经录屏得到的视频文件可能会涉及到隐私的文件信息，为了避免隐私泄露，在得到视频文件后，可以对视频文件中的每一个视频帧的关键信息(即桌面信息和/或通过鼠标点击打开的文件信息)进行遮蔽处理，从而可以只保留病毒行为的视频帧。
87.在一些实施方式中，遮蔽处理包括马赛克和/或添加图层处理。
88.需要说明的是，由于病毒行为一般没有鼠标光标，而用户操作有鼠标光标，因此文件信息在该场景中可以指的是通过鼠标点击打开的文件信息。也就是说，未通过鼠标点击
打开的文件信息的行为即为病毒行为。
89.在文件内容为视频文件时，在本说明书的一个实施例中，步骤102具体可以包括：
90.针对经录屏操作得到的视频文件中的每一个视频帧，将含有鼠标光标的视频帧进行二次处理；其中，二次处理包括删除处理和/或加密处理；
91.将经二次处理得到的视频文件进行加密。
92.在本实施例中，如前所述，由于病毒行为一般没有鼠标光标，而用户操作有鼠标光标，因此可以将用户操作对应的视频帧进行删除处理和/或加密处理，以避免隐私泄露，从而可以只保留病毒行为的视频帧。
93.在文件内容为视频文件时，在本说明书的一个实施例中，在步骤102之后和步骤104之前，还可以包括：
94.将加密后的视频文件进行格式转换，得到目标视频文件；其中，目标视频文件的格式不包括影音格式；
95.步骤104具体可以包括：
96.将目标视频文件上传至第二终端设备。
97.在本实施例中，考虑到录制后的影音媒体文件可能会被病毒识别并删除，因此可以将录制且加密后的文件的格式转换为非常规的影音格式，这样第二终端设备就可以对接收到的经加密和格式转换后的目标文件内容进行正常播放。
98.其中，常规的影音格式包括但不限于avi、wmv、mpeg、mp4、m4v、mov、asf、flv、f4v、rmvb、rm、3gp、vob等。
99.针对步骤104：
100.在步骤104中，第二终端设备在接收到经加密和格式转换后的目标视频文件，就可以根据第一终端设备和第二终端设备事先预定好的解码和解密规则，来对目标视频文件进行解码和解密，这样在第一终端设备录制得到的视频文件就可以在第二终端设备上正常播放，以为后续的样本分析提供了有价值的信息参考。
101.如图2、图3所示，本说明书实施例提供了一种病毒行为的监测装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图2所示，为本说明书实施例提供的一种病毒行为的监测装置所在电子设备的一种硬件架构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的电子设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图3所示，作为一个逻辑意义上的装置，是通过其所在电子设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
102.如图3所示，本实施例提供的一种病毒行为的监测装置，包括：
103.录屏模块300，用于响应于监测到第一终端设备出现病毒行为，对第一终端设备进行病毒行为的录屏操作；
104.加密模块302，用于对经录屏操作得到的文件内容进行加密；
105.上传模块304，用于将加密后的文件内容上传至第二终端设备，以利用第二终端设备对文件内容进行播放。
106.在本说明书实施例中，录屏模块300可用于执行上述方法实施例中的步骤100，加密模块302可用于执行上述方法实施例中的步骤102，上传模块304可用于执行上述方法实
施例中的步骤104。
107.在本说明书的一个实施例中，录屏模块300在执行监测到第一终端设备出现病毒行为时，用于执行如下操作：
108.监测到第一终端设备对病毒行为的弹窗提示。
109.在本说明书的一个实施例中，录屏模块300在执行对第一终端设备进行病毒行为的录屏操作时，用于执行如下操作：
110.将病毒在第一终端设备的后台病毒行为展示到第一终端设备的前台，以进行录屏操作。
111.在本说明书的一个实施例中，还包括结束模块，用于执行如下操作：
112.用于响应于达到在开启录屏操作后的第一预设时长，结束录屏操作；和/或，
113.用于响应于达到在开启录屏操作后的第二预设时长且在第二预设时长内未监测到第一终端设备对病毒行为的弹窗提示，结束录屏操作；和/或，
114.用于响应于经录屏操作得到的文件内容的存储容量达到预设阈值，结束录屏操作。
115.在本说明书的一个实施例中，文件内容为视频文件；
116.加密模块302，用于执行如下操作：
117.针对经录屏操作得到的视频文件中的每一个视频帧，对当前视频帧中的桌面信息和/或通过鼠标点击打开的文件信息进行遮蔽处理；
118.将经遮蔽处理得到的视频文件进行加密。
119.在本说明书的一个实施例中，文件内容为视频文件；
120.加密模块302，用于执行如下操作：
121.针对经录屏操作得到的视频文件中的每一个视频帧，将含有鼠标光标的视频帧进行二次处理；其中，二次处理包括删除处理和/或加密处理；
122.将经二次处理得到的视频文件进行加密。
123.在本说明书的一个实施例中，文件内容为流式文件；
124.加密模块302，用于执行如下操作：
125.在录屏操作的过程中，对实时得到的流式文件进行加密。
126.在本说明书的一个实施例中，文件内容为视频文件；
127.还包括：
128.格式转换模块，用于将加密后的视频文件进行格式转换，得到目标视频文件；其中，目标视频文件的格式不包括影音格式；
129.上传模块304，用于执行如下操作：
130.将目标视频文件上传至第二终端设备。
131.可以理解的是，本说明书实施例示意的结构并不构成对一种病毒行为的监测装置的具体限定。在本说明书的另一些实施例中，一种病毒行为的监测装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
132.上述装置内的各模块之间的信息交互、执行过程等内容，由于与本说明书方法实施例基于同一构思，具体内容可参见本说明书方法实施例中的叙述，此处不再赘述。
133.本说明书实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例中的一种病毒行为的监测方法。
134.本说明书实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本说明书任一实施例中的一种病毒行为的监测方法。
135.具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
136.在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本说明书的一部分。
137.用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
138.此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
139.此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
140.需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
141.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
142.最后应说明的是：以上实施例仅用以说明本说明书的技术方案，而非对其限制；尽管参照前述实施例对本说明书进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本说明书各实施例技术方案的精神和范围。