本发明涉及软件检测领域,具体涉及一种软件的处理方法、系统、设备以及存储介质。
背景技术:
现有技术中对恶意软件的处理往往是在新型病毒入侵时,杀毒软件厂商检测到有新的恶意软件产生,然后厂商对此恶意软件进行分析,并入恶意软件库,同时用户更新恶意软件病毒库,当在用户端上检测到有软件与恶意软件病毒库中的软件相匹配,就认定此软件为恶意软件,然后采取策略进行防护。
这中依赖于恶意软件病毒库的方式由于病毒的不断演进和变化,恶意软件病毒库会越来越庞大,而且这是一种事后处理的方式,对于新型病毒没有起到很好的防护作用。
技术实现要素:
有鉴于此,为了克服上述问题的至少一个方面,本发明实施例的提出一种软件的处理方法,包括以下步骤:
获取软件运行时产生的多个行为的信息;
将所述多个行为的信息与异常行为库中行为的信息进行匹配;
响应于所述多个行为的信息中若干个行为的信息匹配到所述异常行为库中行为的信息,将所述若干个行为的信息记录到行为记录表;
将所述行为记录表返回管理平台;
根据所述管理平台发出的指令对所述软件做出处理。
在一些实施例中,获取软件运行时产生的多个行为的信息,还包括:
获取黑名单;
判断软件是否在所述黑名单中;
响应于所述软件没有在所述黑名单中,获取所述多个行为的信息。
在一些实施例中,还包括:
响应于所述软件在所述黑名单中,结束所述软件的运行。
在一些实施例中,获取软件运行时产生的多个行为的信息,进一步包括:
获取所述管理平台下发的监控策略;
根据所述监控策略确定多个待监控对象;
在内核层和/或应用层插入钩子,以在所述软件运行时返回所述多个待监控对象的相关信息;
根据所述多个待监控对象的相关信息确定所述软件运行时产生的多个行为的信息。
在一些实施例中,将所述行为记录表返回管理平台,进一步包括:
根据所述行为记录表中的所述若干个行为的信息确定威胁值;
判断所述威胁值是否大于阈值;
响应于所述威胁值大于阈值,将所述行为记录表返回所述管理平台。
在一些实施例中,根据所述管理平台发出的指令对所述软件做出处理,进一步包括:
响应于接收到所述管理平台发出的继续运行的指令,则将所述软件继续运行;
响应于接收到所述管理平台发出的禁止运行的指令,则关闭所述软件。
在一些实施例中,响应于接收到所述管理平台发出的禁止运行的指令,则关闭所述软件,进一步还包括:
将所述软件加入黑名单;
利用所述行为记录表中的若干个行为的信息确定所述软件造成的破坏;
根据所述软件造成的破坏执行对应的修复文件。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种软件处理的系统,包括:
获取模块,所述获取模块配置为获取软件运行时产生的多个行为的信息;
匹配模块,所述匹配模块配置为将所述多个行为的信息与异常行为库中行为的信息进行匹配;
记录模块,所述记录模块配置为响应于所述多个行为的信息中若干个行为的信息匹配到所述异常行为库中行为的信息,将所述若干个行为的信息记录到行为记录表;
发送模块,所述发送模块配置为将所述行为记录表返回管理平台;
处理模块,所述处理模块配置为根据所述管理平台发出的指令对所述软件做出处理。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如上所述的任一种软件的处理方法的步骤。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时执行如上所述的任一种软件的处理方法的步骤。
本发明具有以下有益技术效果之一:本发明提出的方案通过将获取的软件运行时产生的行为信息与异常行为库中的行为信息进行对比,以记录软件运行时产生的异常行为信息,从而确定是否禁止该软件运行。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明的实施例提供的软件的处理方法的流程示意图;
图2为本发明的实施例提供的用于软件处理的系统的结构示意图;
图3为本发明的另一实施例提供的用于软件处理的系统的结构示意图;
图4为本发明的另一实施例提供的数据采集模块的流程图;
图5为本发明的另一实施例提供的行为分析模块的流程图;
图6为本发明的另一实施例提供的响应模块的流程图;
图7为本发明的另一实施例提供的管理平台的策略下发模块的流程图;
图8为本发明的实施例提供的计算机设备的结构示意图;
图9为本发明的实施例提供的计算机可读存储介质的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
根据本发明的一个方面,本发明的实施例提出一种软件的处理方法,如图1所示,其可以包括步骤:s1,获取软件运行时产生的多个行为的信息;s2,将所述多个行为的信息与异常行为库中行为的信息进行匹配;s3,响应于所述多个行为的信息中若干个行为的信息匹配到所述异常行为库中行为的信息,将所述若干个行为的信息记录到行为记录表;s4,将所述行为记录表返回管理平台;s5,根据所述管理平台发出的指令对所述软件做出处理。
本发明提出的方案通过将获取的软件运行时产生的行为信息与异常行为库中的行为信息进行对比,以记录软件运行时产生的异常行为信息,从而确定是否禁止该软件运行。
在一些实施例中,步骤s1(在获取软件运行时产生的多个行为的信息),还包括:
获取黑名单;
判断软件是否在所述黑名单中;
响应于所述软件没有在所述黑名单中,获取所述多个行为的信息。
在一些实施例中,方法还包括:
响应于所述软件在所述黑名单中,结束所述软件的运行。
具体的,黑白名单主要是为了提高监控的效率,如果一个软件判断为恶意软件,将此软件放入黑名单,则宿主机上的所有虚拟机都会参考此黑名单,对此恶意软件完成快速防御。这样,当宿主机上的虚拟机运行软件时,首先通过黑名单判断该软件是否在黑名单中,如果在黑名单中,则直接禁止该软件运行,如果没在则获取该软件运行时产生的多个行为的信息。
在一些实施例中,在步骤s1获取软件运行时产生的多个行为的信息中,进一步包括:
获取所述管理平台下发的监控策略;
根据所述监控策略确定多个待监控对象;
在内核层和/或应用层插入钩子,以在所述软件运行时返回所述多个待监控对象的相关信息;
根据所述多个待监控对象的相关信息确定所述软件运行时产生的多个行为的信息。
具体的,可以首先获取管理平台下发的监控策略或者获取默认的监控策略,监控策略中指定了在内核层和应用层哪些函数、文件、注册表、服务、进程、网络需要进行监控。然后根据监控策略在内核层插入钩子(hooks),这些hooks可以在函数调用的过程中获取函数执行的信息包括函数名称、参数、返回值,文件,进程,网络相关等信息,同时监控根据策略在应用层插入hooks,和上述流程一样会获取应用层的系统函数的信息,最后对在应用层和内核层获取的函数信息,文件,进程,网络等信息进行格式化后进行步骤s2-s5。
在一些实施例中,在步骤s3,将所述行为记录表返回管理平台中,可以进一步包括:
根据所述行为记录表中的所述若干个行为的信息确定威胁值;
判断所述威胁值是否大于阈值;
响应于所述威胁值大于阈值,将所述行为记录表返回所述管理平台。
具体的,根据hooks在应用层和内核层获取的函数信息,文件,进程,网络等信息与异常行为库中的行为的信息进行匹配。一般异常行为库中会记录恶意软件的一般恶意行为,这些行为记录了应用层或内核层的函数信息,文件,进程,网络等信息,并且每条行为都有一个威胁值。如果由数据采集模块发送的信息匹配到行为库中的一条行为,那么就会为此监控的虚拟机的进程增加对应的威胁值,如果威胁值达到一个阈值,那么则将行为记录表返回所述管理平台。即如果匹配到异常行为库中的行为,将获取的行为的信息存储在一个行为记录表中,此表与异常行为库不同,是专门记录匹配到异常行为库中某条行为的虚拟机上的异常行为的信息。这些信息可以为管理平台提供要展示的数据。
在一些实施例中,在步骤s5中,根据所述管理平台发出的指令对所述软件做出处理,进一步包括:
响应于接收到所述管理平台发出的继续运行的指令,则将所述软件继续运行;
响应于接收到所述管理平台发出的禁止运行的指令,则关闭所述软件。
在一些实施例中,响应于接收到所述管理平台发出的禁止运行的指令,则关闭所述软件,进一步还包括:
将所述软件加入黑名单;
利用所述行为记录表中的若干个行为的信息确定所述软件造成的破坏;
根据所述软件造成的破坏执行对应的修复文件。
具体的,当行为记录表中记录的若干个行为的信息对应的威胁值大于阈值,则上传到管理平台,管理平台在获取到软件的行为信息后,可以展现给用户或管理员以供分析软件的行为轨迹,然后根据行为轨迹制定软件的运行策略,即可以将监控的软件继续运行或将软件禁止,并加入黑名单。若该软件需禁止并需加入黑名单,则通知宿主机,更新黑名单,并通过宿主机,通知到其他所有宿主机上的虚拟机上,以对在其他宿主机中的虚拟机上运行的相同的软件做出同样的处理。同时根据软件的运行轨迹,通过轨迹逆向退出恶意软软件造成的破坏,并对收到破坏的虚拟机执行下发修复脚本。
基于同一发明构思,根据本发明的另一个方面,如图2所示,本发明的实施例还提供了一种软件处理的系统400,包括:
获取模块401,所述获取模块401配置为获取软件运行时产生的多个行为的信息;
匹配模块402,所述匹配模块402配置为将所述多个行为的信息与异常行为库中行为的信息进行匹配;
记录模块403,所述记录模块403配置为响应于所述多个行为的信息中若干个行为的信息匹配到所述异常行为库中行为的信息,将所述若干个行为的信息记录到行为记录表;
发送模块404,所述发送模块404配置为将所述行为记录表返回管理平台;
处理模块405,所述处理模块405配置为根据所述管理平台发出的指令对所述软件做出处理。
基于同一发明构思,根据本发明的另一个方面,如图3所示,本发明的实施例还提供了一种软件处理的系统,包括:
异常行为库,异常行为库负责构建一个恶意软件行为库,将恶意软件进分类,然后剥离出每类恶意软件的特征行为,并进行存储记录。
行为分析模块,根据恶意软件行为库,分析恶意行为日志,构建一种能够判断判断是否为恶意软件程序的分析判断模型;
响应模块,响应模块分为宿主机上和虚拟机上两部分,是管理平台与虚拟之间的桥梁,同时也构建行为分析模块与数据采集模块之间的通信桥梁,为分析模块的结果提供及时响应,以根据管理平台下发的策略,在虚拟机上对检测到恶意软件进行处理,如主机修复,进程隔离,虚拟机隔离,恶意文件删除,黑白名单策略执行等操作。
数据采集模块,记录软件的启动、终止以及在系统中的典型行为,包括内核层和应用层的监控,也包括一些网络行为的监控。
黑名单:黑名单主要是为了提高监控的效率,如果一个软件判断为恶意软件,将此软件放入黑名单,则宿主机上的所有云主机都会参考此黑名单,对此恶意软件完成快速防御。
平台展示:主要展示一个软件的执行过程,可以管理员或用户发现恶意软件的执行过程,并可根据执行过程追溯恶意程序破坏操作,可逆向制定主机恢复操作。
在一些实施例中,如图4所示,数据采集模块可以通过响应模块与分析模块进行通信,获得管理平台下发的监控策略,监控策略中指定了在内核层和应用层哪些函数、文件、注册表、服务、进程、网络需要进行监控。
然后根据监控策略在内核层插入hooks,这些hooks可以在函数调用的过程中获取函数执行的信息包括函数名称、参数、返回值,文件,进程,网络相关等信息;
接着根据监控策略在应用层插入hooks,和上述流程一样会在应用层获取相应的信息;
最后将在应用层和内核层获取的函数信息,文件,进程,网络等信息进行格式化,送给行为分析模块。
在一些实施例中,如图5所示,行为分析模块首先接收数据采集模块收集的信息,然后将数据采集格式化,获取可供黑白名单和异常行为库使用的数据,接着进行黑白名单的匹配,如果此进程或文件在黑名单中,直接通知响应模块做出响应处理,如果没有匹配黑名单,获取进程中函数调用的信息,将函数名,函数参数,函数参数值与异常行为库行为进行匹配。一般异常行为库中会记录恶意软件的一般恶意行为,这些行为记录了某个应用层或内核层的函数信息,文件,进程,网络等信息,并且每条行为都有一个威胁值。如果由数据采集模块发送的信息匹配到行为库中的一条行为,那么就会为此监控的虚拟机的进程增加对应的威胁值,如果威胁值达到一个阈值,那么触发响应模块。也即如果匹配到异常行为库中的行为,将数据采集模块发送来的信息存储在一个行为记录表中,此表与异常行为库不同,是专门记录匹配到异常行为库中某条行为的数据采集模块发来的虚拟机上的异常行为信息。这些信息可以为展示平台提供要展示的数据。最后如果检测到的进程的威胁值已经超过阈值,就会通知响应模块。
在一些实施例中,如图6所示,响应模块的主要功能时构建行为分析模块与数据采集模块之间的通信桥梁,为分析模块的结果提供及时响应。如果一个恶意软件是黑名单中的软件,则直接结束恶意软件的运行,如果是通过行为威胁值判定为恶意软件的则将恶意软件属性信息及恶意软件的行为分析发送给管理平台,然后获取管理平台返回的策略,策略的主要目的与两个,一是是否让软件继续运行,这主要是为了解决误报的问题,二是将软件禁止运行,并将获得恢复虚拟机的策略。最后根据策略,执行恶意软件的处理,如关闭恶意软件进程,删除恶意软件文件,删除修复恶意软件修改的注册表,隔离虚拟机,隔离虚拟机网络等。
在一些实施例中,如图7所示,如果是通过行为威胁值判定为恶意软件的则将恶意软件属性信息及恶意软件的行为分析通过响应模块发送给管理平台后,管理平台获取恶意程序的行为轨迹,用户或管理员可以在平台展示模块分析恶意软件的行为轨迹,并制定恶意软件运行策略,然后通过策略下发模块可以将监控的软件继续运行或将软件禁止并加入黑名单。然后通过策略下发模块通知宿主机,以更新黑白名单,并通过宿主机,通知到其他所有宿主机上的虚拟机上的响应模块,对在其他宿主机上的虚拟机运行的相同的软件做出同样的处理,最后根据恶意软件的运行轨迹,通过轨迹逆向退出恶意软软件造成的破坏,对收到破坏的虚拟机执行下发修复脚本给响应模块。
基于同一发明构思,根据本发明的另一个方面,如图8所示,本发明的实施例还提供了一种计算机设备501,包括:
至少一个处理器520;以及
存储器510,存储器510存储有可在处理器上运行的计算机程序511,处理器520执行程序时执行如上的任一种软件的处理方法的步骤。
基于同一发明构思,根据本发明的另一个方面,如图9所示,本发明的实施例还提供了一种计算机可读存储介质601,计算机可读存储介质601存储有计算机程序指令610,计算机程序指令610被处理器执行时执行如上的任一种软件的处理方法的步骤。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,典型地,本发明实施例公开的装置、设备等可为各种电子终端设备,例如手机、个人数字助理(pda)、平板电脑(pad)、智能电视等,也可以是大型终端设备,如服务器等,因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
此外,根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦写可编程rom(eeprom)或快闪存储器。易失性存储器可以包括随机存取存储器(ram),该ram可以充当外部高速缓存存储器。作为例子而非限制性的,ram可以以多种形式获得,比如同步ram(dram)、动态ram(dram)、同步dram(sdram)、双数据速率sdram(ddrsdram)、增强sdram(esdram)、同步链路dram(sldram)、以及直接rambusram(drram)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行:通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在ram存储器、快闪存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在asic中。asic可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
1.一种软件的处理方法,其特征在于,包括以下步骤:
获取软件运行时产生的多个行为的信息;
将所述多个行为的信息与异常行为库中行为的信息进行匹配;
响应于所述多个行为的信息中若干个行为的信息匹配到所述异常行为库中行为的信息,将所述若干个行为的信息记录到行为记录表;
将所述行为记录表返回管理平台;
根据所述管理平台发出的指令对所述软件做出处理。
2.如权利要求1所述的方法,其特征在于,获取软件运行时产生的多个行为的信息,还包括:
获取黑名单;
判断软件是否在所述黑名单中;
响应于所述软件没有在所述黑名单中,获取所述多个行为的信息。
3.如权利要求2所述的方法,其特征在于,还包括:
响应于所述软件在所述黑名单中,结束所述软件的运行。
4.如权利要求1所述的方法,其特征在于,获取软件运行时产生的多个行为的信息,进一步包括:
获取所述管理平台下发的监控策略;
根据所述监控策略确定多个待监控对象;
在内核层和/或应用层插入钩子,以在所述软件运行时返回所述多个待监控对象的相关信息;
根据所述多个待监控对象的相关信息确定所述软件运行时产生的多个行为的信息。
5.如权利要求1所述的方法,其特征在于,将所述行为记录表返回管理平台,进一步包括:
根据所述行为记录表中的所述若干个行为的信息确定威胁值;
判断所述威胁值是否大于阈值;
响应于所述威胁值大于阈值,将所述行为记录表返回所述管理平台。
6.如权利要求1所述的方法,其特征在于,根据所述管理平台发出的指令对所述软件做出处理,进一步包括:
响应于接收到所述管理平台发出的继续运行的指令,则将所述软件继续运行;
响应于接收到所述管理平台发出的禁止运行的指令,则关闭所述软件。
7.如权利要求6所述的方法,其特征在于,响应于接收到所述管理平台发出的禁止运行的指令,则关闭所述软件,进一步还包括:
将所述软件加入黑名单;
利用所述行为记录表中的若干个行为的信息确定所述软件造成的破坏;
根据所述软件造成的破坏执行对应的修复文件。
8.一种软件处理的系统,包括:
获取模块,所述获取模块配置为获取软件运行时产生的多个行为的信息;
匹配模块,所述匹配模块配置为将所述多个行为的信息与异常行为库中行为的信息进行匹配;
记录模块,所述记录模块配置为响应于所述多个行为的信息中若干个行为的信息匹配到所述异常行为库中行为的信息,将所述若干个行为的信息记录到行为记录表;
发送模块,所述发送模块配置为将所述行为记录表返回管理平台;
处理模块,所述处理模块配置为根据所述管理平台发出的指令对所述软件做出处理。
9.一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-7任意一项所述的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行如权利要求1-7任意一项所述的方法的步骤。
技术总结