一种确定危险文件所对应的行为信息的方法和装置

1.一种在计算机设备中确定危险文件所对应的行为信息的方法，其中，该方法包括：
当检测到存在危险文件时，在所述计算机设备的虚拟环境中运行所述危险文件，其中，所述虚拟环境中包括与该计算机设备的真实环境中的至少一个真实API相同的至少一个虚拟API；
在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息；
根据所述危险文件所对应的行为信息，对所述计算机设备的真实环境进行修复；
其中，该方法还包括：
在所述虚拟环境中获得运行的危险文件所释放的至少一个文件；
其中，在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息的步骤包括：
在所述虚拟环境中，对所述危险文件以及所述至少一个文件的行为进行监测，并将监测所述危险文件获得的行为信息以及监测所述至少一个文件获得的行为信息作为所述危险文件所对应的行为信息；
其中，根据所述危险文件所对应的行为信息，对所述计算机设备的系统环境进行修复的步骤包括：
根据所述危险文件所对应的行为信息，确定相应的修复操作信息；
根据所述修复操作信息，对所述计算机设备的真实环境进行修复，以快速且全面地修复所述危险文件以及所述危险文件所释放的其他危险文件对真实环境的破坏。
2.根据权利要求1所述的方法，其中，所述至少一个虚拟API包括能够读取当前活动应用的应用读取虚拟API，在所述虚拟环境中运行所述危险文件的步骤包括：
当所述危险文件调用所述应用读取虚拟API时，向所述危险文件提供当前活动的应用信息。
3.根据权利要求1所述的方法，其中，所述行为信息包括以下至少一项：
-与文件操作行为相关的信息；
-与注册表操作行为相关的信息；
-与进程操作行为相关的信息；
-与线程操作行为相关的信息。
4.根据权利要求1所述的方法，其中，所述修复操作信息包括以下至少一项：
-与文件修复操作相关的信息；
-与注册表修复操作相关的信息；
-与进程修复操作相关的信息；
-与线程修复操作相关的信息。
5.根据权利要求1至4中任一项所述的方法，其中，该方法还包括：
当满足预定关闭条件时，关闭所述虚拟环境。
6.根据权利要求5所述的方法，其中，所述预定关闭条件包括以下至少一项：
-所述危险文件在虚拟环境中执行进程退出操作；
-所述危险文件在虚拟环境中的运行时间超过预定时间。
7.一种在计算机设备中确定危险文件所对应的行为信息的装置，其中，该装置包括：
用于当检测到存在危险文件时，在所述计算机设备的虚拟环境中运行所述危险文件的装置，其中，所述虚拟环境中包括与该计算机设备的真实环境中的至少一个真实API相同的至少一个虚拟API；
用于在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息的装置；
用于根据所述危险文件所对应的行为信息，对所述计算机设备的真实环境进行修复的装置；
其中，该装置还包括：
用于在所述虚拟环境中获得运行的危险文件所释放的至少一个文件的装置；
其中，用于在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息的装置包括：
用于在虚拟环境中，对所述危险文件以及所述至少一个文件的行为进行监测，并将监测所述危险文件获得的行为信息以及监测所述至少一个文件获得的行为信息作为所述危险文件所对应的行为信息的装置；
其中，用于根据所述危险文件所对应的行为信息，对所述计算机设备的系统环境进行修复的装置包括：
用于根据所述危险文件所对应的行为信息，确定相应的修复操作信息的装置；
用于根据所述修复操作信息，对所述计算机设备的真实环境进行修复，以快速且全面地修复所述危险文件以及所述危险文件所释放的其他危险文件对真实环境的破坏的装置。
8.根据权利要求7所述的装置，其中，所述至少一个虚拟API包括能够读取当前活动应用的应用读取虚拟API，用于在所述虚拟环境中运行所述危险文件的装置包括：
用于当所述危险文件调用所述应用读取虚拟API时，向所述危险文件提供当前活动的应用信息的装置。
9.根据权利要求7所述的装置，其中，所述行为信息包括以下至少一项：
-与文件操作行为相关的信息；
-与注册表操作行为相关的信息；
-与进程操作行为相关的信息；
-与线程操作行为相关的信息。
10.根据权利要求7所述的装置，其中，所述修复操作信息包括以下至少一项：
-与文件修复操作相关的信息；
-与注册表修复操作相关的信息；
-与进程修复操作相关的信息；
-与线程修复操作相关的信息。
11.根据权利要求7至10中任一项所述的装置，其中，该装置还包括：
用于当满足预定关闭条件时，关闭所述虚拟环境的装置。
12.根据权利要求11所述的装置，其中，所述预定关闭条件包括以下至少一项：
-所述危险文件在虚拟环境中执行进程退出操作；
-所述危险文件在虚拟环境中的运行时间超过预定时间。

一种确定危险文件所对应的行为信息的方法和装置
技术领域
[0001] 本发明涉及计算机技术领域，尤其涉及一种用于在计算机设备中确定危险文件所对应的行为信息的方法和装置。
背景技术
[0002] 现有技术中，计算机设备中检测到危险文件时，往往仅对危险文件执行简单的删除操作。然而，危险文件在计算机设备中运行时，往往会对计算机设备的系统环境执行破坏行为(如对注册表项、计划任务、可执行文件等执行的破坏行为)，故简单地删除危险文件，并不能使得计算机设备还原到原先正常的系统环境。
[0003] 此外，该等破坏行为仅能通过人工分析危险文件以及危险文件的运行过程来获得，这需要用户投入大量的时间和精力，处理周期较长，效率极低，且容易由于人工分析的不全面或者危险文件的部分逻辑未被触发，而使得危险文件的所有破坏行为不能被完全获得。
发明内容
[0004] 本发明的目的是提供一种用于在计算机设备中确定危险文件所对应的行为信息的方法和装置。
[0005] 根据本发明的一个方面，提供一种在计算机设备中确定危险文件所对应的行为信息的方法，其中，该方法包括：
[0006] 当检测到存在危险文件时，在所述计算机设备的虚拟环境中运行所述危险文件，其中，所述虚拟环境中包括与该计算机设备的真实环境中的至少一个真实API相同的至少一个虚拟API；
[0007] 在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息。
[0008] 根据本发明的另一个方面，还提供了一种在计算机设备中确定危险文件所对应的行为信息的装置，其中，该装置包括：
[0009] 用于当检测到存在危险文件时，在所述计算机设备的虚拟环境中运行所述危险文件的装置，其中，所述虚拟环境中包括与该计算机设备的真实环境中的至少一个真实API相同的至少一个虚拟API；
[0010] 用于在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息的装置。
[0011] 与现有技术相比，本发明具有以下优点：1)能够通过在计算机设备的虚拟环境中运行危险文件，来获得危险文件的行为信息，该过程不需要进行人工分析，大大节省了获得行为信息所需的时间；2)由于可通过虚拟API来的虚拟执行来记录危险文件的所有操作行为，使得计算机设备所获得的行为信息是全面的，从而避免由于行为信息不全面而使得计算机设备的真实环境不能被全面修复；3)在虚拟环境中运行危险文件不会影响到计算机设备的真实环境，且虚拟环境在计算机设备中的占用空间极小，并且，虚拟环境中可无需真正执行虚拟API的功能，而仅需能够返回与在真实环境中调用该虚拟API所对应的真实API相同的反馈结果，这使得危险文件能够更快速地在虚拟环境运行，进而快速地获得危险文件的行为信息；4)计算机设备可根据在虚拟环境中所获得的、危险文件的行为信息，来对计算机设备的真实环境进行修复，以快速且全面地修复危险文件以及危险文件所释放的其他危险文件对真实环境的破坏。
附图说明
[0012] 通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：
[0013] 图1为本发明一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的方法的流程示意图；
[0014] 图2为本发明另一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的方法的流程示意图；
[0015] 图3为本发明一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的装置的结构示意图；
[0016] 图4为本发明另一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的装置的结构示意图。
[0017] 附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
[0018] 下面结合附图对本发明作进一步详细描述。
[0019] 图1为本发明一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的方法的流程示意图。
[0020] 其中，本实施例的方法主要通过计算机设备来实现；所述计算机设备包括网络设备和用户设备。其中，所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机；所述网络设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN(Virtual Private Network，虚拟专用网络)网络等。所述用户设备包括但不限于PC(Personal Computer，个人电脑)机、平板电脑、智能手机、PDA(Personal Digital Assistant，掌上电脑)、IPTV(Internet Protocol Television，网络协议电视)等。
[0021] 需要说明的是，所述计算机设备仅为举例，其他现有的或今后可能出现的计算机设备如可适用于本发明，也应包含在本发明保护范围以内，并以引用方式包含于此。
[0022] 根据本实施例的方法包括步骤S1和步骤S2。
[0023] 在步骤S1中，当检测到存在危险文件时，计算机设备在该计算机设备的虚拟环境中运行该危险文件。
[0024] 其中，所述危险文件包括任何具有危险性的文件，如病毒文件、木马文件等。
[0025] 其中，所述虚拟环境用于虚拟计算机设备的真实环境，所述虚拟环境中包括与真实环境中的至少一个真实API(Application Program Interface，应用程序编程接口)相同的至少一个虚拟API。其中，所述虚拟API能够在虚拟环境中被调用，且能够返回与在真实环境中调用该虚拟API所对应的真实API相同的反馈结果。其中，所述真实环境用于表示计算机设备中真实运行的系统环境；例如，计算机设备中真实运行的Windows操作系统所对应的系统环境。其中，所述真实API用于表示真实环境中的API；例如，计算机设备中真实运行的Windows操作系统中的系统API。
[0026] 例如，计算机设备的真实环境中存在以下真实API：DeleteFile，该真实API用于在该真实环境中删除指定文件，且返回用于指示成功执行删除操作的反馈结果；该计算机设备的虚拟环境中具有与该真实API对应的虚拟API，在虚拟环境中调用该虚拟API，同样返回用于指示成功执行删除操作的反馈结果。
[0027] 需要说明的是，优选地，在虚拟环境中调用虚拟API时，该虚拟API的功能并未真正的被执行，而仅需虚拟出调用与虚拟API相对应的真实API的效果。例如，在上述举例中，在虚拟环境中调用与DeleteFile相对应的虚拟API，该虚拟API并未在虚拟环境中执行删除指定文件的操作，而是在被调用时直接返回用于指示成功执行删除操作的反馈结果，以虚拟出调用DeleteFile的效果。
[0028] 优选地，所述虚拟环境不需要对计算机设备中的注册表和环境变量等进行配置，故不需要执行相应的安装操作，即可直接被启动并运行。需要说明的是，所述虚拟环境可在多种场景下被启动，如，在计算机设备开机时自动启动、当计算机设备中执行扫描操作时自动启动、当检测到存在危险文件时自动启动、根据用户操作来被启动等。需要说明的是，优选地，所述虚拟环境每次被启动后均被还原为其初始环境；更优选地，虚拟环境启动之后，在每个危险文件运行完成之后，虚拟环境可自动执行初始化操作，或者可根据用户操作来执行初始化操作，以将该虚拟环境还原为初始环境。
[0029] 进一步需要说明的是，所述虚拟环境在计算机设备中的占用空间可以极小(如占用空间约为10M)，且其运行不会影响计算机设备的真实系统的运行。优选地，所述占用空间的大小可根据危险文件在虚拟环境中的行为(如危险文件释放其他文件的行为)而发生变化。
[0030] 具体地，当检测到存在危险文件时，计算机设备将该危险文件提供给该计算机设备的虚拟环境，并在该虚拟环境中运行该危险文件。
[0031] 例如，当检测到计算机设备中存在病毒文件时，计算机设备将该病毒文件提供给该计算机设备的虚拟环境，并在该虚拟环境中运行该病毒文件。
[0032] 优选地，虚拟环境中的至少一个虚拟API包括能够读取当前活动应用的应用读取虚拟API，所述步骤S1进一步包括：当危险文件调用应用读取虚拟API时，计算机设备向危险文件提供当前活动的应用信息。
[0033] 其中，所述应用读取虚拟API包括任何用于读取当前活动应用的虚拟API，如与真实系统中的CreateToolhelp32Snapshot相对应的虚拟API，该CreateToolhelp32Snapshot在真实系统中用于获取所有当前活动进程的信息。
[0034] 其中，所述应用信息包括任何用于指示当前活动应用的信息，如当前活动应用的应用名称、当前活动应用的进程ID等。
[0035] 具体地，在虚拟环境中运行危险文件的过程中，当该危险文件调用应用读取虚拟API，计算机设备通过该读取虚拟API向危险文件返回当前活动的应用信息。
[0036] 例如，在虚拟环境中运行病毒文件file1，当file1调用应用读取虚拟API，计算机设备通过该应用读取虚拟API向file1返回当前活动的应用信息，该应用信息用于指示当前活动应用包括APP1和APP2。
[0037] 需要说明的是，应用读取虚拟API可采用多种方式获得当前活动的应用信息。
[0038] 作为一个示例，应用读取虚拟API通过用户对虚拟环境的进程配置，来获取当前活动的应用信息。例如，用户对虚拟环境中的进程列表进行配置，在该进程列表中添加应用APP1和APP2，则应用读取虚拟API根据该进程列表可读取到当前活动的应用包括APP1和APP2。
[0039] 作为另一个示例，应用读取虚拟API触发从计算机设备的真实环境中获得当前活动的应用信息。例如，应用读取虚拟API触发在计算机设备的真实环境中调用与该应用读取虚拟API对应的真实API，并根据该真实API的返回结果获得当前活动的应用信息。
[0040] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何当检测到存在危险文件时，在所述计算机设备的虚拟环境中运行所述危险文件的实现方式，均应包含在本发明的范围内。
[0041] 在步骤S2中，计算机设备在虚拟环境中对危险文件的行为进行监测，获得危险文件所对应的行为信息。
[0042] 具体地，计算机设备可通过监测并记录危险文件在虚拟环境中执行的行为，来获得危险文件所对应的行为信息。
[0043] 优选地，计算机设备在虚拟环境中，基于危险文件在运行过程中所调用的虚拟API，来对该危险文件的行为进行监测，获得该危险文件所对应的行为信息。
[0044] 例如，计算机设备在虚拟环境中，通过危险文件在运行过程中所调用的虚拟API，记录危险文件的所有使得虚拟环境发送变化的行为，并获得该等行为所对应的行为信息。
[0045] 其中，所述行为信息包括任何与危险文件在虚拟环境中的操作行为相关的信息。
优选地，所述行为信息包括但不限于：
[0046] 1)与文件操作行为相关的信息。
[0047] 其中，所述文件操作行为包括任何能够对文件执行的操作行为，如创建、更新、删除文件等。优选地，所述与文件操作行为相关的信息包括但不限于：用于指示文件的操作行为类型(如创建、更新、删除操作行为)的信息、被操作的文件名称、被操作的文件的路径信息等。
[0048] 2)与注册表操作行为相关的信息。
[0049] 其中，所述注册表操作行为包括任何能够对注册表执行的操作行为，如创建、设置、删除注册表项等。优选地，所述与注册表操作行为相关的信息包括但不限于：用于指示注册表的操作行为类型(如创建、设置、删除操作行为)的信息、被操作的注册表项、注册表项对应的值等。
[0050] 3)与进程操作行为相关的信息。
[0051] 其中，所述进程操作行为包括任何能够对进程执行的操作行为，如创建和关闭进程、跨进程写入等。优选地，所述与进程操作行为相关的信息包括但不限于用于指示线程的操作行为类型(如创建和关闭进程、跨进程写入)的信息、被操作的进程的标识ID、被操作的进程对应的路径信息等。
[0052] 4)与线程操作行为相关的信息。
[0053] 其中，所述线程操作行为包括任何能够对线程执行的操作行为，如线程注入等。优选地，所述与线程操作行为相关的信息包括但不限于：用于指示线程的操作行为类型的信息、被操作的线程的标识ID、被操作的线程所对应的特征值等；其中，所述特征值用于指示线程的特征，优选地，所述特征值为线程的代码长度所对应的校验值；例如，线程的代码长度为0x100，特征值为该代码长度所对应的CRC(Cyclic Redundancy Check，循环冗余校验码)32值。
[0054] 需要说明的是，上述行为信息仅为举例，而非对本发明的限制，本领域技术人员应能理解，任何与危险文件在虚拟环境中的行为相关的信息均应包含在本发明所述的行为信息的范围内。
[0055] 作为一种优选方案，本实施例的方法还包括步骤S4，所述步骤S2进一步包括步骤S21。
[0056] 在步骤S4中，计算机设备在虚拟环境中获得危险文件所释放的至少一个文件。
[0057] 例如，计算机设备在虚拟环境中，获得危险文件file2在运行过程中所释放的以下文件：ser2vet.exe、autorun.inf。
[0058] 在步骤S21中，计算机设备在虚拟环境中，对危险文件以及危险文件所释放的至少一个文件的行为进行监测，获得所述危险文件所对应的行为信息。
[0059] 例如，在步骤S4中，计算机设备获得危险文件file2所释放的以下危险文件：
ser2vet.exe、autorun.inf；在步骤S21中，计算机设备在虚拟环境中，分别对file2、ser2vet.exe、autorun.inf的行为进行监测，来获得该3个危险的行为信息，并将所获得的行为信息作为危险文件file2所对应的行为信息。
[0060] 需要说明的是，计算机设备对危险文件所释放的每个文件的行为进行监测的方式，与前述步骤S2中对危险文件的行为进行监测的方式相同或相似，在此不再赘述。
[0061] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息的实现方式，均应包含在本发明的范围内。
[0062] 作为一种优选方案，本实施例的方法还包括步骤S5。
[0063] 在步骤S5中，当满足预定关闭条件时，计算机设备关闭虚拟环境。
[0064] 其中，所述预定关闭条件包括任何预定的用于指示关闭虚拟环境的条件。优选地，所述预定关闭条件包括但不限于：
[0065] 1)所述危险文件在虚拟环境中执行进程退出操作。
[0066] 其中，所述进程退出操作包括任何用于指示退出危险文件的进程的操作；优选地，所述进程退出操作包括但不限于危险文件的自删除操作、用户在虚拟环境中执行的删除危险文件的操作等。
[0067] 2)所述危险文件在虚拟环境中的运行时间超过预定时间。
[0068] 例如，预定时间为5s，则当危险文件在虚拟环境中的运行时间超过5s时，满足预定关闭条件。
[0069] 需要说明的是，上述预定关闭条件仅为举例，而非对本发明的限制，本领域技术人员应能理解，任何预定的用于指示关闭虚拟环境的条件均应包含在本发明所述的预定关闭条件的范围内。
[0070] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何当满足预定关闭条件时，关闭虚拟环境的实现方式，均应包含在本发明的范围内。
[0071] 根据本实施例的方案，能够通过在计算机设备的虚拟环境中运行危险文件，来获得危险文件的行为信息，该过程不需要进行人工分析，大大节省了获得行为信息所需的时间；并且，由于可通过虚拟API来的虚拟执行来记录危险文件的所有操作行为，使得计算机设备所获得的行为信息是全面的，从而避免由于行为信息不全面而使得计算机设备的真实环境不能被全面修复。
[0072] 此外，在虚拟环境中运行危险文件不会影响到计算机设备的真实环境，且虚拟环境在计算机设备中的占用空间极小，并且，虚拟环境中可无需真正执行虚拟API的功能，而仅需能够返回与在真实环境中调用该虚拟API所对应的真实API相同的反馈结果，这使得危险文件能够更快速地在虚拟环境运行，进而快速地获得危险文件的行为信息。
[0073] 图2为本发明一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的方法的流程示意图。其中，本实施例的方法主要通过计算机设备来实现；其中，参照图1所示实施例中对计算机设备所作的任何说明，均已引用的方式包含于此。
[0074] 根据本实施例的方法包括步骤S1、步骤S2和步骤S3。其中，所述步骤S1和所述步骤S2已在参照图1中予以详述，在此不再赘述。
[0075] 在步骤S3中，计算机设备根据危险文件所对应的行为信息，对该计算机设备的真实环境进行修复。
[0076] 具体地，计算机设备可在多种场景下根据危险文件所对应的行为信息，对该计算机设备的真实环境进行修复。
[0077] 例如，计算机设备在步骤S2之后，直接执行步骤S3对计算机设备的真实环境进行修复。
[0078] 又例如，计算机设备在步骤S2之后，当根据用户的操作确定清除危险文件时，直接执行步骤S3来在清除危险文件的同时对计算机设备的真实环境进行修复。
[0079] 再例如，计算机设备在清除危险文件之后，当根据用户的操作确定需要对真实环境进行修复时，执行步骤S3对计算机设备的真实环境进行修复。
[0080] 优选地，在步骤S3中，计算机设备根据危险文件所对应的行为信息，直接执行与该行为信息所指示的操作行为相反的操作，来对该计算机设备的真实环境进行还原修复。
[0081] 例如，危险文件的行为信息包括用于指示创建文件的信息、被创建的文件的路径信息。则在步骤S3中，计算机设备根据该行为信息，在该路径信息所指示的文件路径下删除所创建的文件，以将真实环境还原为危险文件运行前的状态。
[0082] 又例如，危险文件的行为信息包括用于指示删除注册表项的信息、被删除的注册表项。则在步骤S3中，计算机设备根据该行为信息还原被删除的注册表项，以将真实环境还原为危险文件运行前的状态。
[0083] 作为步骤S3的一种优选方案，所述步骤S3进一步包括步骤S31和步骤S32。
[0084] 在步骤S31中，计算机设备根据危险文件所对应的行为信息，确定相应的修复操作信息。
[0085] 其中，所述修复操作信息包括任何与修复操作相关的信息。优选地，所述修复操作信息包括但不限于：
[0086] a)与文件修复操作相关的信息。
[0087] 其中，所述文件修复操作包括任何用于修复文件的操作，如还原文件参数、删除文件等。优选地，所述与文件修复操作相关的信息包括但不限于：用于指示文件的修复操作类型的信息、被操作的文件名称、被还原的文件参数以及该文件参数的值等。
[0088] 优选地，计算机设备在其真实系统中对危险文件以及该危险文件所释放的至少一个文件进行扫描，并根据扫描结果以及危险文件的行为信息，来确定该与文件修复操作相关的信息。
[0089] b)与注册表修复操作相关的信息。
[0090] 其中，所述注册表修复操作包括任何用于修复注册表的操作，如还原、删除注册表项等。优选地，所述与注册表修复操作相关的信息包括但不限于：用于指示注册表的修复操作类型的信息、被操作的注册表项、注册表项对应的值等。
[0091] 优选地，当注册表修复操作为设置注册表项时，计算机设备可通过查询本地知识库来获取该注册表项所对应的默认值，并将该默认值作为该注册表项对应的值。
[0092] c)与进程修复操作相关的信息。
[0093] 其中，所述进程修复操作包括任何用于修复进程的操作，如进程的关闭、重启等。
优选地，所述与进程修复操作相关的信息包括但不限于：用于指示进程的修复操作类型的信息、被操作的进程对应的路径信息等。
[0094] 需要说明的是，当被操作的进程为系统文件时，可直接通过重启该计算机设备，来完成进程修复操作，而无需获得该进程的修复操作信息。
[0095] d)与线程修复操作相关的信息。
[0096] 其中，所述线程修复操作包括任何用于修复线程的操作，如停止线程等。优选地，所述与线程修复操作相关的信息包括但不限于：用于指示线程的修复操作类型的信息、被操作的线程所对应的特征值。
[0097] 需要说明的是，上述修复操作信息仅为举例，而非对本发明的限制，本领域技术人员应能理解，任何与修复操作相关的信息均应包含在本发明所述的修复操作信息的范围内。
[0098] 具体地，在步骤S31中，计算机设备根据危险文件所对应的行为信息所指示的操作行为，确定修复操作信息所指示的修复操作，并进一步根据该修复操作和行为信息，确定修复操作信息。
[0099] 例如，行为信息包括用于指示跨进程写入的信息以及被操作的进程的路径信息；
在步骤S31中，计算机设备根据用于指示跨进程写入操作的信息确定修复操作为重启进程，且根据该修复操作和行为信息，确定修复操作信息包括：用于指示重启进程的信息以及被重启的进程的路径信息。
[0100] 又例如，行为信息包括用于指示线程注入的信息以及被操作的线程所对应的特征值；在步骤S31中，计算机设备根据用于指示线程注入的信息确定修复操作为停止线程，且根据该修复操作和行为信息，确定修复操作信息包括：用于指示停止线程的信息以及被停止的线程所对应的特征值。
[0101] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何根据危险文件所对应的行为信息，确定相应的修复操作信息的实现方式，均应包含在本发明的范围内。
[0102] 在步骤S32中，计算机设备根据修复操作信息，对计算机设备的真实环境进行修复。
[0103] 例如，步骤S31中所确定修复操作信息包括用于指示重启进程的信息以及被操作的进程对应的路径信息。在步骤S32中，计算机设备根据该路径信息查找相应的进程，并重启所查找到的进程。
[0104] 又例如，步骤S31中所确定修复操作信息包括用于指示停止线程的信息以及被操作的线程所对应的特征值。在步骤S32中，计算机设备根据该特征值确定相匹配的线程，并停止该线程。
[0105] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何根据修复操作信息，对计算机设备的真实环境进行修复的实现方式，均应包含在本发明的范围内。
[0106] 优选地，在步骤S3之后，当判断需要重启该计算机设备时，计算机设备向用户呈现用于提示重启该计算机设备的提示信息。
[0107] 根据本实施例的方案，计算机设备可根据在虚拟环境中所获得的、危险文件的行为信息，来对计算机设备的真实环境进行修复，以快速且全面地修复危险文件以及危险文件所释放的其他危险文件对真实环境的破坏。
[0108] 图3为本发明一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的装置的结构示意图。根据本实施例的用于确定危险文件所对应的行为信息的装置(以下简称为“行为确定装置”)包括用于当检测到存在危险文件时，在计算机设备的虚拟环境中运行该危险文件的装置(以下简称为“运行装置1”)、以及用于在虚拟环境中对危险文件的行为进行监测，获得危险文件所对应的行为信息的装置(以下简称为“监测装置2”)。
[0109] 当检测到存在危险文件时，运行装置1在计算机设备的虚拟环境中运行该危险文件。
[0110] 其中，所述危险文件包括任何具有危险性的文件，如病毒文件、木马文件等。
[0111] 其中，所述虚拟环境用于虚拟计算机设备的真实环境，所述虚拟环境中包括与真实环境中的至少一个真实API相同的至少一个虚拟API。其中，所述虚拟API能够在虚拟环境中被调用，且能够返回与在真实环境中调用该虚拟API所对应的真实API相同的反馈结果。
其中，所述真实环境用于表示计算机设备中真实运行的系统环境；例如，计算机设备中真实运行的Windows操作系统所对应的系统环境。其中，所述真实API用于表示真实环境中的API；例如，计算机设备中真实运行的Windows操作系统中的系统API。
[0112] 例如，计算机设备的真实环境中存在以下真实API：DeleteFile，该真实API用于在该真实环境中删除指定文件，且返回用于指示成功执行删除操作的反馈结果；该计算机设备的虚拟环境中具有与该真实API对应的虚拟API，在虚拟环境中调用该虚拟API，同样返回用于指示成功执行删除操作的反馈结果。
[0113] 需要说明的是，优选地，在虚拟环境中调用虚拟API时，该虚拟API的功能并未真正的被执行，而仅需虚拟出调用与虚拟API相对应的真实API的效果。例如，在上述举例中，在虚拟环境中调用与DeleteFile相对应的虚拟API，该虚拟API并未在虚拟环境中执行删除指定文件的操作，而是在被调用时直接返回用于指示成功执行删除操作的反馈结果，以虚拟出调用DeleteFile的效果。
[0114] 优选地，所述虚拟环境不需要对计算机设备中的注册表和环境变量等进行配置，故不需要执行相应的安装操作，即可直接被启动并运行。需要说明的是，所述虚拟环境可在多种场景下被启动，如，在计算机设备开机时自动启动、当计算机设备中执行扫描操作时自动启动、当检测到存在危险文件时自动启动、根据用户操作来被启动等。需要说明的是，优选地，所述虚拟环境每次被启动后均被还原为其初始环境；更优选地，虚拟环境启动之后，在每个危险文件运行完成之后，虚拟环境可自动执行初始化操作，或者可根据用户操作来执行初始化操作，以将该虚拟环境还原为初始环境。
[0115] 进一步需要说明的是，所述虚拟环境在计算机设备中的占用空间可以极小(如占用空间约为10M)，且其运行不会影响计算机设备的真实系统的运行。优选地，所述占用空间的大小可根据危险文件在虚拟环境中的行为(如危险文件释放其他文件的行为)而发生变化。
[0116] 具体地，当检测到存在危险文件时，运行装置1将该危险文件提供给该计算机设备的虚拟环境，并在该虚拟环境中运行该危险文件。
[0117] 例如，当检测到计算机设备中存在病毒文件时，运行装置1将该病毒文件提供给该计算机设备的虚拟环境，并在该虚拟环境中运行该病毒文件。
[0118] 优选地，虚拟环境中的至少一个虚拟API包括能够读取当前活动应用的应用读取虚拟API，运行装置1进一步包括用于当危险文件调用应用读取虚拟API时，向危险文件提供当前活动的应用信息的装置(以下简称为“提供装置”，图未示)。
[0119] 其中，所述应用读取虚拟API包括任何用于读取当前活动应用的虚拟API，如与真实系统中的CreateToolhelp32Snapshot相对应的虚拟API，该CreateToolhelp32Snapshot在真实系统中用于获取所有当前活动进程的信息。
[0120] 其中，所述应用信息包括任何用于指示当前活动应用的信息，如当前活动应用的应用名称、当前活动应用的进程ID等。
[0121] 具体地，在虚拟环境中运行危险文件的过程中，当该危险文件调用应用读取虚拟API，提供装置通过该读取虚拟API向危险文件返回当前活动的应用信息。
[0122] 例如，在虚拟环境中运行病毒文件file1，当file1调用应用读取虚拟API，提供装置通过该应用读取虚拟API向file1返回当前活动的应用信息，该应用信息用于指示当前活动应用包括APP1和APP2。
[0123] 需要说明的是，应用读取虚拟API可采用多种方式获得当前活动的应用信息。
[0124] 作为一个示例，应用读取虚拟API通过用户对虚拟环境的进程配置，来获取当前活动的应用信息。例如，用户对虚拟环境中的进程列表进行配置，在该进程列表中添加应用APP1和APP2，则应用读取虚拟API根据该进程列表可读取到当前活动的应用包括APP1和APP2。
[0125] 作为另一个示例，应用读取虚拟API触发从计算机设备的真实环境中获得当前活动的应用信息。例如，应用读取虚拟API触发在计算机设备的真实环境中调用与该应用读取虚拟API对应的真实API，并根据该真实API的返回结果获得当前活动的应用信息。
[0126] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何当检测到存在危险文件时，在所述计算机设备的虚拟环境中运行所述危险文件的实现方式，均应包含在本发明的范围内。
[0127] 监测装置2在虚拟环境中对危险文件的行为进行监测，获得危险文件所对应的行为信息。
[0128] 具体地，监测装置2可通过监测并记录危险文件在虚拟环境中执行的行为，来获得危险文件所对应的行为信息。
[0129] 优选地，监测装置2在虚拟环境中，基于危险文件在运行过程中所调用的虚拟API，来对该危险文件的行为进行监测，获得该危险文件所对应的行为信息。
[0130] 例如，监测装置2在虚拟环境中，通过危险文件在运行过程中所调用的虚拟API，记录危险文件的所有使得虚拟环境发送变化的行为，并获得该等行为所对应的行为信息。
[0131] 其中，所述行为信息包括任何与危险文件在虚拟环境中的操作行为相关的信息。
优选地，所述行为信息包括但不限于：
[0132] 1)与文件操作行为相关的信息。
[0133] 其中，所述文件操作行为包括任何能够对文件执行的操作行为，如创建、更新、删除文件等。优选地，所述与文件操作行为相关的信息包括但不限于：用于指示文件的操作行为类型(如创建、更新、删除操作行为)的信息、被操作的文件名称、被操作的文件的路径信息等。
[0134] 2)与注册表操作行为相关的信息。
[0135] 其中，所述注册表操作行为包括任何能够对注册表执行的操作行为，如创建、设置、删除注册表项等。优选地，所述与注册表操作行为相关的信息包括但不限于：用于指示注册表的操作行为类型(如创建、设置、删除操作行为)的信息、被操作的注册表项、注册表项对应的值等。
[0136] 3)与进程操作行为相关的信息。
[0137] 其中，所述进程操作行为包括任何能够对进程执行的操作行为，如创建和关闭进程、跨进程写入等。优选地，所述与进程操作行为相关的信息包括但不限于用于指示线程的操作行为类型(如创建和关闭进程、跨进程写入)的信息、被操作的进程的标识ID、被操作的进程对应的路径信息等。
[0138] 4)与线程操作行为相关的信息。
[0139] 其中，所述线程操作行为包括任何能够对线程执行的操作行为，如线程注入等。优选地，所述与线程操作行为相关的信息包括但不限于：用于指示线程的操作行为类型的信息、被操作的线程的标识ID、被操作的线程所对应的特征值等；其中，所述特征值用于指示线程的特征，优选地，所述特征值为线程的代码长度所对应的校验值；例如，线程的代码长度为0x100，特征值为该代码长度所对应的CRC(Cyclic Redundancy Check，循环冗余校验码)32值。
[0140] 需要说明的是，上述行为信息仅为举例，而非对本发明的限制，本领域技术人员应能理解，任何与危险文件在虚拟环境中的行为相关的信息均应包含在本发明所述的行为信息的范围内。
[0141] 作为一种优选方案，本实施例的行为确定装置还包括用于在虚拟环境中获得危险文件所释放的至少一个文件的装置(以下简称为“获得装置”，图未示)，所述监测装置2进一步包括用于在虚拟环境中，对危险文件以及危险文件所释放的至少一个文件的行为进行监测，获得所述危险文件所对应的行为信息的装置(以下简称为“子监测装置”，图未示)。
[0142] 获得装置在虚拟环境中获得危险文件所释放的至少一个文件。
[0143] 例如，获得装置在虚拟环境中，获得危险文件file2在运行过程中所释放的以下文件：ser2vet.exe、autorun.inf。
[0144] 子监测装置在虚拟环境中，对危险文件以及危险文件所释放的至少一个文件的行为进行监测，获得所述危险文件所对应的行为信息。
[0145] 例如，获得装置获得危险文件file2所释放的以下危险文件：ser2vet.exe、autorun.inf；子监测装置在虚拟环境中，分别对file2、ser2vet.exe、autorun.inf的行为进行监测，来获得该3个危险的行为信息，并将所获得的行为信息作为危险文件file2所对应的行为信息。
[0146] 需要说明的是，子监测装置对危险文件所释放的每个文件的行为进行监测的方式，与前述监测装置2中对危险文件的行为进行监测的方式相同或相似，在此不再赘述。
[0147] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何在虚拟环境中对所述危险文件的行为进行监测，获得所述危险文件所对应的行为信息的实现方式，均应包含在本发明的范围内。
[0148] 作为一种优选方案，本实施例的行为确定装置还包括用于当满足预定关闭条件时，关闭虚拟环境的装置(以下简称为“关闭装置”，图未示)。
[0149] 当满足预定关闭条件时，关闭装置关闭虚拟环境。
[0150] 其中，所述预定关闭条件包括任何预定的用于指示关闭虚拟环境的条件。优选地，所述预定关闭条件包括但不限于：
[0151] 1)所述危险文件在虚拟环境中执行进程退出操作。
[0152] 其中，所述进程退出操作包括任何用于指示退出危险文件的进程的操作；优选地，所述进程退出操作包括但不限于危险文件的自删除操作、用户在虚拟环境中执行的删除危险文件的操作等。
[0153] 2)所述危险文件在虚拟环境中的运行时间超过预定时间。
[0154] 例如，预定时间为5s，则当危险文件在虚拟环境中的运行时间超过5s时，满足预定关闭条件。
[0155] 需要说明的是，上述预定关闭条件仅为举例，而非对本发明的限制，本领域技术人员应能理解，任何预定的用于指示关闭虚拟环境的条件均应包含在本发明所述的预定关闭条件的范围内。
[0156] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何当满足预定关闭条件时，关闭虚拟环境的实现方式，均应包含在本发明的范围内。
[0157] 根据本实施例的方案，能够通过在计算机设备的虚拟环境中运行危险文件，来获得危险文件的行为信息，该过程不需要进行人工分析，大大节省了获得行为信息所需的时间；并且，由于可通过虚拟API来的虚拟执行来记录危险文件的所有操作行为，使得计算机设备所获得的行为信息是全面的，从而避免由于行为信息不全面而使得计算机设备的真实环境不能被全面修复。
[0158] 此外，在虚拟环境中运行危险文件不会影响到计算机设备的真实环境，且虚拟环境在计算机设备中的占用空间极小，并且，虚拟环境中可无需真正执行虚拟API的功能，而仅需能够返回与在真实环境中调用该虚拟API所对应的真实API相同的反馈结果，这使得危险文件能够更快速地在虚拟环境运行，进而快速地获得危险文件的行为信息。
[0159] 图4为本发明一个实施例的用于在计算机设备中确定危险文件所对应的行为信息的装置的结构示意图。根据本实施例的行为确定装置包括运行装置1、监测装置2、以及用于根据危险文件所对应的行为信息，对该计算机设备的真实环境进行修复的装置(以下简称为“修复装置3”)。其中，所述运行装置1和监测装置2已在参照图3中予以详述，在此不再赘述。
[0160] 修复装置3根据危险文件所对应的行为信息，对该计算机设备的真实环境进行修复。
[0161] 具体地，修复装置3可在多种场景下根据危险文件所对应的行为信息，对计算机设备的真实环境进行修复。
[0162] 例如，在监测装置2执行操作之后，直修复装置3接执行操作对计算机设备的真实环境进行修复。
[0163] 又例如，在监测装置2执行操作之后，当根据用户的操作确定清除危险文件时，修复装置3直接执行操作来在清除危险文件的同时对计算机设备的真实环境进行修复。
[0164] 再例如，在清除危险文件之后，当根据用户的操作确定需要对真实环境进行修复时，修复装置3执行操作对计算机设备的真实环境进行修复。
[0165] 优选地，修复装置3根据危险文件所对应的行为信息，直接执行与该行为信息所指示的操作行为相反的操作，来对计算机设备的真实环境进行还原修复。
[0166] 例如，危险文件的行为信息包括用于指示创建文件的信息、被创建的文件的路径信息。则修复装置3根据该行为信息，在该路径信息所指示的文件路径下删除所创建的文件，以将真实环境还原为危险文件运行前的状态。
[0167] 又例如，危险文件的行为信息包括用于指示删除注册表项的信息、被删除的注册表项。则修复装置3根据该行为信息还原被删除的注册表项，以将真实环境还原为危险文件运行前的状态。
[0168] 作为修复装置3的一种优选方案，所述修复装置3进一步包括用于根据危险文件所对应的行为信息，确定相应的修复操作信息的装置(以下简称为“确定装置”，图未示)、以及用于根据修复操作信息，对计算机设备的真实环境进行修复的装置(以下简称为“子修复装置”，图未示)。
[0169] 确定装置根据危险文件所对应的行为信息，确定相应的修复操作信息。
[0170] 其中，所述修复操作信息包括任何与修复操作相关的信息。优选地，所述修复操作信息包括但不限于：
[0171] a)与文件修复操作相关的信息。
[0172] 其中，所述文件修复操作包括任何用于修复文件的操作，如还原文件参数、删除文件等。优选地，所述与文件修复操作相关的信息包括但不限于：用于指示文件的修复操作类型的信息、被操作的文件名称、被还原的文件参数以及该文件参数的值等。
[0173] 优选地，确定装置在计算机设备的真实系统中对危险文件以及该危险文件所释放的至少一个文件进行扫描，并根据扫描结果以及危险文件的行为信息，来确定该与文件修复操作相关的信息。
[0174] b)与注册表修复操作相关的信息。
[0175] 其中，所述注册表修复操作包括任何用于修复注册表的操作，如还原、删除注册表项等。优选地，所述与注册表修复操作相关的信息包括但不限于：用于指示注册表的修复操作类型的信息、被操作的注册表项、注册表项对应的值等。
[0176] 优选地，当注册表修复操作为设置注册表项时，确定装置可通过查询本地知识库来获取该注册表项所对应的默认值，并将该默认值作为该注册表项对应的值。
[0177] c)与进程修复操作相关的信息。
[0178] 其中，所述进程修复操作包括任何用于修复进程的操作，如进程的关闭、重启等。
优选地，所述与进程修复操作相关的信息包括但不限于：用于指示进程的修复操作类型的信息、被操作的进程对应的路径信息等。
[0179] 需要说明的是，当被操作的进程为系统文件时，可直接通过重启该计算机设备，来完成进程修复操作，而无需获得该进程的修复操作信息。
[0180] d)与线程修复操作相关的信息。
[0181] 其中，所述线程修复操作包括任何用于修复线程的操作，如停止线程等。优选地，所述与线程修复操作相关的信息包括但不限于：用于指示线程的修复操作类型的信息、被操作的线程所对应的特征值。
[0182] 需要说明的是，上述修复操作信息仅为举例，而非对本发明的限制，本领域技术人员应能理解，任何与修复操作相关的信息均应包含在本发明所述的修复操作信息的范围内。
[0183] 具体地，确定装置根据危险文件所对应的行为信息所指示的操作行为，确定修复操作信息所指示的修复操作，并进一步根据该修复操作和行为信息，确定修复操作信息。
[0184] 例如，行为信息包括用于指示跨进程写入的信息以及被操作的进程的路径信息；
确定装置根据用于指示跨进程写入操作的信息确定修复操作为重启进程，且根据该修复操作和行为信息，确定修复操作信息包括：用于指示重启进程的信息以及被重启的进程的路径信息。
[0185] 又例如，行为信息包括用于指示线程注入的信息以及被操作的线程所对应的特征值；确定装置根据用于指示线程注入的信息确定修复操作为停止线程，且根据该修复操作和行为信息，确定修复操作信息包括：用于指示停止线程的信息以及被停止的线程所对应的特征值。
[0186] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何根据危险文件所对应的行为信息，确定相应的修复操作信息的实现方式，均应包含在本发明的范围内。
[0187] 子修复装置根据修复操作信息，对计算机设备的真实环境进行修复。
[0188] 例如，确定装置所确定修复操作信息包括用于指示重启进程的信息以及被操作的进程对应的路径信息。子修复装置根据该路径信息查找相应的进程，并重启所查找到的进程。
[0189] 又例如，确定装置所确定修复操作信息包括用于指示停止线程的信息以及被操作的线程所对应的特征值。子修复装置根据该特征值确定相匹配的线程，并停止该线程。
[0190] 需要说明的是，上述举例仅为更好地说明本发明的技术方案，而非对本发明的限制，本领域技术人员应该理解，任何根据修复操作信息，对计算机设备的真实环境进行修复的实现方式，均应包含在本发明的范围内。
[0191] 优选地，修复装置3执行操作之后，当判断需要重启该计算机设备时，计算机设备向用户呈现用于提示重启该计算机设备的提示信息。
[0192] 根据本实施例的方案，计算机设备可根据在虚拟环境中所获得的、危险文件的行为信息，来对计算机设备的真实环境进行修复，以快速且全面地修复危险文件以及危险文件所释放的其他危险文件对真实环境的破坏。
[0193] 需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，本发明的各个装置可采用专用集成电路(ASIC，Application Specific Integrated Circuit)或任何其他类似硬件设备来实现。在一个实施例中，本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM(random access memory，随机存储器)存储器，磁或光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。
[0194] 对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。