CN103164652B - 木马扫描方法及系统 - Google Patents
木马扫描方法及系统 Download PDFInfo
- Publication number
- CN103164652B CN103164652B CN201110421200.0A CN201110421200A CN103164652B CN 103164652 B CN103164652 B CN 103164652B CN 201110421200 A CN201110421200 A CN 201110421200A CN 103164652 B CN103164652 B CN 103164652B
- Authority
- CN
- China
- Prior art keywords
- scanning
- trojan
- record
- trojan horse
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 393
- 230000000694 effects Effects 0.000 abstract description 4
- 238000001514 detection method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种木马扫描方法及系统。该木马扫描方法包括以下步骤:在开启扫描后,判断是否为首次扫描,若是,则执行扫描,将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器,若否,则读取本地和/或服务器记录的木马扫描记录,再根据所述木马扫描记录执行扫描,再将本次记录扫描得到的木马扫描记录记录到本地和/或上传到服务器。上述木马扫描方法及系统,当不为首次扫描时,读取本地和/或服务器记录的扫描得到的木马扫描记录,根据该记录执行扫描,因木马活动在一定时期内有一定规律,根据本地记录的木马扫描记录执行扫描,可提高检测木马的命中率。
Description
【技术领域】
本发明涉及计算机安全领域,特别涉及一种木马扫描方法及系统。
【背景技术】
木马扫描工具通常对终端设备中进行木马扫描的模式主要有三种:全盘扫描模式、自定义扫描模式和快速扫描模式。全盘扫描模式是指对全盘系统进行扫描,由于全盘文件较多,所需扫描时间较长,一般执行一次所耗费的时间长达几小时,一般不会频繁执行。自定义扫描模式是指根据用户指定扫描路径、文件或更详细的扫描内容,可针对性扫描。快速扫描模式一般是指只针对系统内存、启动对象以及系统关键目录等位置进行扫描,扫描时间较短,适合经常执行。
木马是指侵入计算机,能够伺机盗取帐号密码的恶意程序,是计算机病毒中的一种特定类型。然而,因木马种类千差万别,且木马在日益更新,木马可能会被植入到快速扫描不易扫描到的地方,使得快速扫描无法发现木马,且没有针对不同用户的习惯进行扫描,降低了检测木马的命中率。
【发明内容】
基于此,有必要提供一种能提高木马检测命中率的木马扫描方法。
一种木马扫描方法,包括以下步骤:
在开启扫描后,判断是否为首次扫描
若是,则执行扫描,并将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器,
若否,则读取本地和/或服务器记录的木马扫描记录,根据所述木马扫描记录执行扫描,再将本次扫描得到的木马扫描记录记录到本地和/或上传服务器。
优选地,还包括步骤:获取用户标识,将所述用户标识以及对应的记录的本次扫描得到的木马扫描记录上传到服务器。
优选地,在判断不为首次扫描的步骤之后,还包括步骤:判断用户是否登录,若是,则获取用户标识,从服务器拉取与所述用户标识对应的上传的木马扫描记录,根据所述从服务器拉取的木马扫描记录执行扫描,记录扫描得到的木马扫描记录,并将所述用户标识及对应的本次扫描得到的木马扫描记录更新到服务器上,若否,则执行所述读取本地记录的木马扫描记录,再根据所述本地记录的木马扫描记录执行扫描,记录本次扫描得到的木马扫描记录的步骤。
优选地,在所述判断不为首次扫描且用户登录的步骤之后,还包括步骤:
判断用户是否登录,若是,则获取用户标识,从服务器拉取与所述用户标识对应上传的木马扫描记录;
读取本地记录的扫描得到的木马扫描记录,比较所述服务器上拉取的木马扫描记录和读取的本地的木马扫描记录,得到最新的木马扫描记录;
根据所述最新的木马扫描记录执行扫描,记录本次扫描得到的木马扫描记录,并据此更新所述服务器或本地的木马扫描记录。
优选地,在判断不为首次扫描且用户登录的步骤之后,还包括步骤:从服务器获取最新木马特征信息;
所述根据所述最新的木马扫描记录执行扫描的步骤变为:将得到的最新的木马扫描记录与最新木马特征信息合并,再根据合并后的信息执行扫描。
优选地,在判断为首次扫描的步骤之后,还包括步骤:从服务器获取最新木马特征信息;所述执行扫描的步骤具体为:根据获取的最新木马特征信息执行扫描。
优选地,所述木马扫描记录包括木马位置和木马特征信息。
优选地,所述木马位置包括木马位置全路径,所述木马特征信息包括木马信息摘要值、木马文件、木马文件名、木马文件信息、PE和非PE属性。
此外,还有必要提供一种能提高木马检测命中率的木马扫描系统。
一种木马扫描系统,包括:
判断模块,用于在开启扫描后,判断是否为首次扫描;
执行模块,用于在所述判断模块判断为首次扫描时执行扫描;
读取模块,用于在判断模块判断不为首次扫描时,读取本地和/或服务器记录的木马扫描记录,所述执行模块还用于根据所述本地和/或服务器记录的木马扫描记录执行扫描;
记录模块,用于将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器。
优选地,还包括获取模块,所述获取模块用于获取用户标识,所述记录模块用于将所述用户标识以及对应的记录的本次扫描得到的木马扫描记录上传到服务器。
优选地,还包括拉取模块,所述判断模块还用于在判断不为首次扫描之后,进一步判断用户是否登录,所述获取模块还用于在所述判断模块判断用户登录时,获取用户标识,所述拉取模块用于从服务器拉取与所述用户标识对应的上传的木马扫描记录,所述执行模块还用于根据所述从服务器拉取的木马扫描记录执行扫描,所述记录模块还用于记录本次扫描得到的木马扫描记录,并将所述用户标识及对应的本次扫描得到的木马扫描记录更新到服务器上。
优选地,还包括比较模块,所述读取模块还用于在所述判断模块判断不为首次扫描且用户登录之后,读取本地记录的扫描得到的木马扫描记录,所述比较模块用于比较所述服务器上拉取的木马扫描记录和读取的本地的木马扫描记录,得到最新的木马扫描记录;所述执行模块还用于根据所述最新的木马扫描记录执行扫描,所述记录模块还用于记录本次扫描得到的木马扫描记录,并据此更新所述服务器或本地的木马扫描记录。
优选地,所述获取模块还用于在所述判断模块判断不为首次扫描且用户登录之后,从服务器获取最新木马特征信息;所述执行模块还用于将得到的最新的木马扫描记录与最新木马特征信息合并,再根据合并后的信息执行扫描。
优选地,所述获取模块用于在所述判断模块判断为首次扫描之后,从服务器获取最新木马特征信息;所述执行模块还用于根据获取的最新木马特征信息执行扫描。
优选地,所述木马扫描记录包括木马位置和木马特征信息。
优选地,所述木马位置包括木马位置全路径,所述木马特征信息包括木马信息摘要值、木马文件、木马文件名、木马文件信息、PE和非PE属性。
上述木马扫描方法及系统,当不为首次扫描时,读取本地记录的扫描得到的木马扫描记录,根据该记录执行扫描,因木马活动在一定时期内有一定规律,根据本地记录的木马扫描记录执行扫描,可提高检测木马的命中率。
【附图说明】
图1为一个实施例中木马扫描方法的流程图;
图2为另一个实施例中木马扫描方法的流程图;
图3为另一个实施例中木马扫描方法的流程图;
图4为一个实施例中木马扫描系统的内部结构示意图;
图5为另一个实施例中木马扫描系统的内部结构示意图。
【具体实施方式】
下面结合具体的实施例及附图对木马扫描方法及系统的技术方案进行详细的描述,以使其更加清楚。
如图1所示,在一个实施例中,一种木马扫描方法,包括以下步骤:
步骤S110,开启扫描。
本实施例中,执行木马查杀扫描功能的应用程序有多种,如电脑管家等,可开启扫描。本实施例中,采用快速扫描模式进行扫描。
步骤S120,判断是否为首次扫描,若是,执行步骤S130,若否,执行步骤S140。
本实施例中,判断为首次扫描时,执行通常的快速扫描模式,扫描系统内存、启动对象以及系统关键目录等位置;判断不为首次扫描时,因每次扫描后会记录扫描得到的木马扫描记录,可获取该木马扫描记录,然后按照该木马扫描记录进行扫描,可提高木马检测的命中率,因木马感染后,在一定时期内活动有一定的规律,不会快速变化,如此根据以前扫描得到的木马扫描记录,进行扫描,可提高木马检测的命中率。
步骤S130,执行扫描,并将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器。
木马扫描记录包括木马位置和特征信息。木马位置是指木马存在于终端设备(计算机)中的位置全路径,如可位于D:\program\abc中。木马特征信息可包括木马信息摘要值、木马文件、木马文件名、文件信息、PE和非PE属性等中至少一种。其中,PE是指Windows系统中可执行属性,非PE是指Windows系统中不可执行属性。执行步骤S130后可结束。
步骤S140,读取本地和/或服务器记录的木马扫描记录,根据该木马扫描记录执行扫描,再将记录本次扫描得到的木马扫描记录记录到本地和/或上传到服务器。
本实施例中,因用户上网的习惯一般不会改变,如中过钓鱼木马,下次可能还会中钓鱼木马,故获取到本地和/或服务器记录的历史扫描得到的木马扫描记录,如木马位置和木马特征信息,再次扫描该位置,提高了木马检测的命中率,再次扫描检测的木马特征信息,也提高了木马检测的命中率。
进一步的,在一个实施例中,在步骤S130和步骤S140中将木马扫描记录上传到服务器的步骤具体为:获取用户标识,将用户标识及对应的记录的本次扫描得到的木马扫描记录上传到服务器。本实施例中,用户标识是标示用户唯一身份的标记,如即时通信标识、扫描工具注册的用户帐号等。在服务器上将用户标识与对应的木马扫描记录建立对应关系,以便后续拉取。
在一个实施例中,如图2所示,一种木马扫描方法,包括以下步骤:
步骤S200,开启扫描。
该步骤同步骤S110。
步骤S202,判断是否为首次扫描,若是,执行步骤S204,并结束,若否,执行步骤S211。
步骤S202同步骤S120。
步骤S204,执行扫描,将本次扫描得到的木马扫描记录记录到本地。
步骤S206,判断用户是否登录,若是,则执行步骤S208,否则结束。
本实施例中,可将用户标识与扫描得到的木马扫描记录关联在一起,因用户标识唯一,上传到服务器后,可根据用户标识对木马扫描记录进行相应的管理。
步骤S208,获取用户标识,将该用户标识及对应的记录的本次扫描得到的木马扫描记录上传到服务器,并结束。
本实施例中,判断为首次扫描后,执行扫描,记录扫描得到的木马扫描记录,判断出用户登录时,将用户标识及对应的本次扫描得到的木马扫描记录上传到服务器,即在服务器上存储用户标识与扫描得到的木马扫描记录的对应关系,以便后续用户采用其他终端设备上网时,从服务器上获取对应的扫描得到的木马扫描记录。用户标识可为即时通信标识,如即时通信帐号,也可为扫描工具的注册帐号等。木马扫描记录包括木马位置和特征信息,木马位置是指木马存在于终端设备(计算机)中的位置全路径,如可位于E:\program\abc中。木马特征信息可包括木马信息摘要值、木马文件、木马文件名、文件信息、PE和非PE属性等中至少一种。其中,PE是指Windows系统中可执行属性,非PE是指Windows系统中不可执行属性。
步骤S211,判断用户是否登录,若是,则执行步骤S213,若否,则执行步骤S220。
本实施例中,若用户登录了服务器,则获取用户标识,从服务器上拉取与用户标识对应的扫描得到的木马扫描记录,如此方便同一用户在不同终端设备上访问类似网络,可能中同样的木马,针对用户的访问习惯扫描检测,提高木马检测的命中率。
步骤S213,获取用户标识,从服务器拉取与该用户标识对应的上传的木马扫描记录。
步骤S215,读取本地记录的扫描得到的木马扫描记录。
本实施例中,步骤S213和步骤S215可同时执行。
步骤S217,比较从服务器拉取的木马扫描记录和读取的本地记录的木马扫描记录,得到最新的木马扫描记录,根据最新的木马扫描记录执行扫描,并将该用户标识及对应的本次扫描得到的木马扫描记录更新到本地和/或服务器上。
本实施例中,将读取的本地记录的扫描得到的木马扫描记录与服务器上拉取的扫描得到的木马扫描记录进行比较,可采用将木马扫描记录的更新时间进行比较,得出更新时间在后的木马扫描记录,根据该更新时间在后的木马扫描记录执行扫描,再将用户标识及本次扫描得到的木马扫描记录更新到本地和/或服务器上。
步骤S220,读取本地记录的扫描得到的木马扫描记录。
步骤S222,根据该本地记录的扫描得到的木马扫描记录执行扫描,记录本次扫描得到的木马扫描记录。
此外,在一个实施例中,步骤S215可省略,则步骤S217变为:根据从服务器拉取的扫描得到的木马扫描记录执行扫描,并将本次扫描得到的木马扫描记录更新到服务器上。
在一个实施例中,图3所示的木马扫描方法与图2所示的木马扫描方法区别在于,增加了从服务器上获取的最新的木马特征信息,将本地记录的扫描得到的木马扫描记录执行扫描和从服务器上拉取的与用户标识对应的扫描得到的木马扫描记录进行比较,得到最新的木马扫描记录后,将最新的木马扫描记录与从服务器上获取的最新木马特征信息合并,再根据合并的信息执行扫描。具体包括以下步骤:
步骤S300,开启扫描。
该步骤同步骤S110。
步骤S302,判断是否为首次扫描,若是,执行步骤S304,并结束,若否,执行步骤S311。
步骤S302同步骤S120。
步骤S304,从服务器获取最新木马特征信息。
木马特征信息包括但不限于木马位置全路径、木马信息摘要值、木马文件、木马文件名、木马文件信息等。
步骤S306,根据获取的最新木马特征信息执行扫描,记录本次扫描得到的木马扫描记录。
步骤S308,判断用户是否登录,若是,则执行步骤S310,否则结束。
本实施例中,可将用户标识与扫描得到的木马扫描记录关联在一起,因用户标识唯一,上传到服务器后,可根据用户标识对木马扫描记录进行相应的管理。
步骤S310,获取用户,将该用户标识及对应的记录的本次扫描得到的木马扫描记录上传到服务器,并结束。
本实施例中,判断为首次扫描后,执行扫描,记录扫描得到的木马扫描记录,判断出用户登录时,将用户标识及对应的本次扫描得到的木马扫描记录上传到服务器,即在服务器上存储用户标识与扫描得到的木马扫描记录的对应关系,以便后续用户采用其他终端设备上网时,从服务器上获取对应的扫描得到的木马扫描记录。
步骤S311,判断用户是否登录,若是,则执行步骤S313,若否,则执行步骤S330。
本实施例中,若用户登录了服务器,则从服务器上拉取与用户标识对应的扫描得到的木马扫描记录,如此方便同一用户在不同终端设备上访问类似网络,可能中同样的木马,针对用户的访问习惯扫描检测,提高木马检测的命中率。
步骤S313,获取用户标识,从服务器拉取与该用户标识对应的扫描得到的木马扫描记录。
步骤S315,从服务器获取最新木马特征信息。
本实施例中,服务器上的木马特征信息有更新,终端需得到最新的木马特征信息,最新木马特征信息可为更新时间在后的木马特征信息,根据该最新的木马特征信息进行扫描已提高木马检测的命中率。
步骤S317,读取本地记录的木马扫描记录。
本实施例中,步骤S313、步骤S315和步骤S317可同时执行。
步骤S319,比较从服务器拉取的木马扫描记录和读取的本地记录的木马扫描记录,得到最新的木马扫描记录,将最新的木马扫描记录与最新木马特征信息合并,根据合并后的信息执行扫描,并将用户标识及对应的本次扫描得到的木马扫描记录更新到本地和/或服务器上。
本实施例中,将读取的本地记录的扫描得到的木马扫描记录与服务器上拉取的扫描得到的木马扫描记录进行比较,可采用将木马扫描记录的更新时间进行比较,得出更新时间在后的木马扫描记录,根据该更新时间在后的木马扫描记录执行扫描,再将用户标识及本次扫描得到的木马扫描记录更新到本地和/或服务器上。
步骤S330,读取本地记录的扫描得到的木马扫描记录。
步骤S332,从服务器获取最新木马特征信息。
步骤S334,将从服务器获取的最新木马特征信息与该本地记录的扫描得到的木马扫描记录合并,根据合并后的信息执行扫描,记录本次扫描得到的木马扫描记录。
本实时例中,将本地记录的扫描得到的木马扫描记录和从服务器上获取的最新木马特征信息合并后,得到两者的合并的信息,根据该合并的信息执行扫描,提高了检测木马的命中率。
此外,在一个实施例中,当判断不为首次扫描且用户登录时,获取用户标识,从服务器拉取与该用户标识对应的扫描得到的木马扫描记录,然后从服务器获取最新的木马特征信息,可将从服务器拉取的木马扫描记录与最新木马特征信息合并,根据合并后的信息执行扫描。
如图4所示,在一个实施例中,一种木马扫描系统,包括判断模块10、执行模块20、记录模块30和读取模块40。其中,
判断模块10用于在开启扫描后,判断是否为首次扫描。本实施例中,执行木马查杀扫描功能的应用程序有多种,如电脑管家等。本实施例中,采用快速扫描模式进行扫描。
执行模块20用于在判断模块10判断为首次扫描时执行扫描。执行模块20执行通常的快速扫描模式,扫描系统内存、启动对象以及系统关键目录等位置。
记录模块30用于将扫描得到的木马扫描记录记录到本地和/或服务器。木马扫描记录包括木马位置和特征信息。木马位置是指木马存在于终端设备(计算机)中的位置全路径,如可位于D:\program\abc中。木马特征信息可包括木马信息摘要值、木马文件、木马文件名、文件信息、PE和非PE属性等中至少一种。其中,PE是指Windows系统中可执行属性,非PE是指Windows系统中不可执行属性。
读取模块40用于在判断模块10判断不为首次扫描时,读取本地记录的扫描得到的木马扫描记录,执行模块20还用于根据该本地记录的扫描得到的木马扫描记录执行扫描,记录模块30还用于将本次扫描得到的木马扫描记录到本地和/或服务器。因每次扫描后会记录扫描得到的木马扫描记录,读取模块40读取该木马扫描记录,然后执行模块20根据将该木马扫描记录扫描,可提高木马检测的命中率,因木马感染后,在一定时期内活动有一定的规律,不会快速变化,如此根据历史扫描得到的木马扫描记录,如木马位置和木马特征信息,再次扫描该位置,提高了木马检测的命中率,再次扫描检测的木马特征信息,提高了木马检测的命中率。
进一步的实施例中,如图5所示,上述木马扫描系统,除了包括判断模块10、执行模块20、记录模块30和读取模块40,还包括获取模块50、拉取模块60和比较模块70。其中,
获取模块50获取到用户标识,记录模块30将用户标识及对应的记录的本次扫描得到的木马扫描记录上传到服务器。本实施例中,用户标识是标示用户唯一身份的标记,如即时通信标识、扫描工具注册的用户帐号等。在服务器上将用户标识与对应的木马扫描记录建立对应关系,以便后续拉取。
判断模块10还用于判断用户是否登录。
进一步的,在一个实施例中,获取模块50还用于在判断模块10判断为首次扫描且用户登录时,获取用户标识。记录模块30将该用户标识以及对应的记录的本次扫描得到的木马扫描记录上传到服务器。本实施例中,在服务器上可存储用户标识与扫描得到的木马扫描记录的对应关系,以便后续用户采用其他终端设备上网时,从服务器上获取对应的扫描得到的木马扫描记录。
进一步的,在一个实施例中,获取模块50还用于在判断模块10判断不为首次扫描且用户登录时,获取用户标识;拉取模块60还用于从服务器拉取与该用户标识对应的扫描得到的木马扫描记录。本实施例中,若用户登录了服务器,则拉取模块60从服务器上拉取与该用户标识对应的扫描得到的木马扫描记录,如此方便同一用户在不同终端设备上访问类似网络,可能中同样的木马,针对用户的访问习惯扫描检测,提高木马检测的命中率。
执行模块20还用于根据从服务器上拉取的与该用户标识对应的扫描得到的木马扫描记录执行扫描;记录模块30还用于将用户标识及本次扫描得到的木马扫描记录更新到服务器。此外,记录模块30也可将用户标识及本次扫描得到的木马扫描记录更新到本地。
进一步的,在一个实施例中,在判断模块10判断不为首次扫描且用户登录时,读取模块40还用于读取本地记录的扫描得到木马扫描记录;比较模块70用于比较从服务器拉取的木马扫描记录和读取的本地记录的木马扫描记录,得到最新的木马扫描记录;执行模块20用于根据最新的木马扫描记录执行扫描;记录模块30还用于将该用户标识及对应的本次扫描得到的木马扫描记录更新到本地和/或服务器上。
本实施例中,比较模块70将读取的本地记录的扫描得到的木马扫描记录与服务器上拉取的扫描得到的木马扫描记录进行比较,可采用将木马扫描记录的更新时间进行比较,得出更新时间在后的木马扫描记录;执行模块20根据该更新时间在后的木马扫描记录执行扫描。
进一步的,在一个实施例中,获取模块50还用于在判断模块10判断不为首次扫描且用户登录时,从服务器获取最新木马特征信息。木马位置和特征信息包括但不限于木马位置全路径、木马信息摘要值、木马文件、木马文件名、木马文件信息等。
执行模块20还用于将最新的木马扫描记录与最新木马特征信息合并,根据合并后的信息执行扫描;记录模块30还用于将用户标识及本次扫描得到的木马扫描记录更新到本地和/或服务器上。
此外,在一个实施例中,当判断不为首次扫描且用户登录时,获取模块50还用于获取用户标识及从服务器获取最新的木马特征信息,拉取模块60还用于从服务器拉取与该用户标识对应的扫描得到的木马扫描记录,执行模块20将从服务器拉取的木马扫描记录与最新木马特征信息合并,根据合并后的信息执行扫描。
进一步的,在一个实施例中,获取模块50还用于在判断模块10判断不为首次扫描且用户未登录时,从服务器获取最新木马特征信息;执行模块20还用于将从服务器获取的最新木马特征信息与该本地记录的扫描得到的木马扫描记录合并,根据合并后的信息执行扫描,记录模块30还用于记录本次扫描得到的木马扫描记录。
进一步的,在一个实施例中,获取模块50用于在判断模块10判断为首次扫描时,从服务器获取最新木马特征信息;执行模块20还用于根据获取的最新木马特征信息执行扫描,记录模块30还用于将本次扫描得到的木马扫描记录记录到本地或上传到服务器。
上述木马扫描方法及系统,当不为首次扫描时,读取本地和/或服务器记录的扫描得到的木马扫描记录,根据该记录执行扫描,因木马活动在一定时期内有一定规律,根据本地记录的木马扫描记录执行扫描,可提高检测木马的命中率。
另外,将用户标识与对应的记录的扫描得到的木马扫描记录上传到服务器,再次扫描时,从服务器上拉取相应的木马扫描记录,进行扫描,如此针对不同用户的访问习惯,可进一步提高检测木马的命中率;比较从服务器上拉取的记录的扫描得到的木马扫描记录和本地记录的木马扫描记录,得出最新的木马扫描记录,根据最新木马扫描记录进行扫描,可进一步提高检测木马的命中率;将服务器上最新木马特征信息与最新的木马扫描记录合并,如此获取最新木马情况,根据合并后的信息扫描,更进一步提高检测木马的命中率。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (16)
1.一种木马扫描方法,包括以下步骤:
在开启扫描后,判断是否为首次扫描,
若是,则执行扫描,并将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器,
若否,则获取用户标识,读取与所述用户标识对应的本地和/或服务器记录的木马扫描记录,根据所述木马扫描记录执行扫描,再将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器。
2.根据权利要求1所述的木马扫描方法,其特征在于,还包括步骤:获取用户标识,将所述用户标识以及对应的记录的本次扫描得到的木马扫描记录上传到服务器。
3.根据权利要求1或2所述的木马扫描方法,其特征在于,在判断不为首次扫描的步骤之后,还包括步骤:判断用户是否登录,若是,则获取用户标识,从服务器拉取与所述用户标识对应的上传的木马扫描记录,根据所述从服务器拉取的木马扫描记录执行扫描,记录本次扫描得到的木马扫描记录,并将所述用户标识及对应的本次扫描得到的木马扫描记录更新到服务器上,若否,则执行所述读取本地记录的木马扫描记录,再根据所述本地记录的木马扫描记录执行扫描,记录本次扫描得到的木马扫描记录的步骤。
4.根据权利要求1或2所述的木马扫描方法,其特征在于,在判断不为首次扫描的步骤之后,还包括步骤:
判断用户是否登录,若是,则获取用户标识,从服务器拉取与所述用户标识对应上传的木马扫描记录;
读取本地记录的扫描得到的木马扫描记录,比较所述服务器上拉取的木马扫描记录和读取的本地的木马扫描记录,得到最新的木马扫描记录;
根据所述最新的木马扫描记录执行扫描,记录本次扫描得到的木马扫描记录,并据此更新所述服务器或本地的木马扫描记录。
5.根据权利要求4所述的木马扫描方法,其特征在于,在判断不为首次扫描且用户登录的步骤之后,还包括步骤:从服务器获取最新木马特征信息;
所述根据所述最新的木马扫描记录执行扫描的步骤变为:将得到的最新的木马扫描记录与最新木马特征信息合并,再根据合并后的信息执行扫描。
6.根据权利要求1所述的木马扫描方法,其特征在于,在判断为首次扫描的步骤之后,还包括步骤:从服务器获取最新木马特征信息;所述执行扫描的步骤具体为:根据获取的最新木马特征信息执行扫描。
7.根据权利要求1所述的木马扫描方法,其特征在于,所述木马扫描记录包括木马位置和木马特征信息。
8.根据权利要求7所述的木马扫描方法,其特征在于,所述木马位置包括木马位置全路径,所述木马特征信息包括木马信息摘要值、木马文件、木马文件名、木马文件信息、PE和非PE属性。
9.一种木马扫描系统,其特征在于,包括:
判断模块,用于在开启扫描后,判断是否为首次扫描;
执行模块,用于在所述判断模块判断为首次扫描时执行扫描;
获取模块,用于在判断模块判断不为首次扫描时,获取用户标识;
读取模块,用于在判断模块判断不为首次扫描时,读取与所述用户标识对应的本地和/或服务器记录的木马扫描记录,所述执行模块还用于根据所述本地和/或服务器记录的木马扫描记录执行扫描;
记录模块,用于将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器。
10.根据权利要求9所述的木马扫描系统,其特征在于,所述获取模块用于首次扫描时,获取用户标识,所述记录模块还用于将所述用户标识以及对应的记录的本次扫描得到的木马扫描记录上传到服务器。
11.根据权利要求10所述的木马扫描系统,其特征在于,还包括拉取模块,所述判断模块还用于在判断不为首次扫描之后,进一步判断用户是否登录,所述获取模块还用于在所述判断模块判断用户登录时,获取用户标识,所述拉取模块用于从服务器拉取与所述用户标识对应的上传的木马扫描记录,所述执行模块还用于根据所述从服务器拉取的木马扫描记录执行扫描,所述记录模块还用于记录本次扫描得到的木马扫描记录,并将所述用户标识及对应的本次扫描得到的木马扫描记录更新到服务器上。
12.根据权利要求11所述的木马扫描系统,其特征在于,还包括比较模块,所述读取模块还用于在所述判断模块判断不为首次扫描且用户登录之后,读取本地记录的扫描得到的木马扫描记录,所述比较模块用于比较所述服务器上拉取的木马扫描记录和读取的本地的木马扫描记录,得到最新的木马扫描记录;所述执行模块还用于根据所述最新的木马扫描记录执行扫描,所述记录模块还用于记录本次扫描得到的木马扫描记录,并据此更新所述服务器或本地的木马扫描记录。
13.根据权利要求12所述的木马扫描系统,其特征在于,所述获取模块还用于在所述判断模块判断不为首次扫描且用户登录之后,从服务器获取最新木马特征信息;所述执行模块还用于将得到的最新的木马扫描记录与最新木马特征信息合并,再根据合并后的信息执行扫描。
14.根据权利要求11所述的木马扫描系统,其特征在于,所述获取模块还用于在所述判断模块判断为首次扫描后,从服务器获取最新木马特征信息;所述执行模块还用于根据获取的最新木马特征信息执行扫描。
15.根据权利要求9所述的木马扫描系统,其特征在于,所述木马扫描记录包括木马位置和木马特征信息。
16.根据权利要求9所述的木马扫描系统,其特征在于,所述木马位置包括木马位置全路径,所述木马特征信息包括木马信息摘要值、木马文件、木马文件名、木马文件信息、PE和非PE属性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110421200.0A CN103164652B (zh) | 2011-12-15 | 2011-12-15 | 木马扫描方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110421200.0A CN103164652B (zh) | 2011-12-15 | 2011-12-15 | 木马扫描方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103164652A CN103164652A (zh) | 2013-06-19 |
CN103164652B true CN103164652B (zh) | 2015-07-29 |
Family
ID=48587731
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110421200.0A Active CN103164652B (zh) | 2011-12-15 | 2011-12-15 | 木马扫描方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103164652B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212469A (zh) * | 2006-12-28 | 2008-07-02 | 朗迅科技公司 | Ims网的抗病毒系统 |
CN102171987A (zh) * | 2008-10-29 | 2011-08-31 | 国际商业机器公司 | 检测运行在计算机系统上的恶意软件的存在的系统、方法及程序产品 |
CN102272771A (zh) * | 2008-12-31 | 2011-12-07 | 微软公司 | 恶意软件数据的共享储存库 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7549055B2 (en) * | 2003-05-19 | 2009-06-16 | Intel Corporation | Pre-boot firmware based virus scanner |
US7836500B2 (en) * | 2005-12-16 | 2010-11-16 | Eacceleration Corporation | Computer virus and malware cleaner |
-
2011
- 2011-12-15 CN CN201110421200.0A patent/CN103164652B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212469A (zh) * | 2006-12-28 | 2008-07-02 | 朗迅科技公司 | Ims网的抗病毒系统 |
CN102171987A (zh) * | 2008-10-29 | 2011-08-31 | 国际商业机器公司 | 检测运行在计算机系统上的恶意软件的存在的系统、方法及程序产品 |
CN102272771A (zh) * | 2008-12-31 | 2011-12-07 | 微软公司 | 恶意软件数据的共享储存库 |
Also Published As
Publication number | Publication date |
---|---|
CN103164652A (zh) | 2013-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9614862B2 (en) | System and method for webpage analysis | |
CN103559299B (zh) | 清理文件的方法、装置及移动终端 | |
KR101441472B1 (ko) | 액세스 감시 방법, 정보 처리 장치, 및 액세스 감시 프로그램을 저장한 컴퓨터 판독 가능한 매체 | |
US9531734B2 (en) | Method and apparatus for intercepting or cleaning-up plugins | |
EP2650809B1 (en) | Information processing device and information processing method | |
US20140245438A1 (en) | Download resource providing method and device | |
Gianazza et al. | Puppetdroid: A user-centric ui exerciser for automatic dynamic analysis of similar android applications | |
CN104391743A (zh) | 优化移动终端的运行速度的方法和装置 | |
JP3954642B1 (ja) | 画面保存システム | |
CN103020521B (zh) | 木马扫描方法及系统 | |
CN104199688A (zh) | 一种移动终端及其控制刷机的方法和装置 | |
US20080148375A1 (en) | Authentication system, authentication device, and authentication method | |
CN111190962B (zh) | 一种文件同步方法、装置及本地终端 | |
CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
CN102222199A (zh) | 应用程序身份识别方法及系统 | |
WO2015081791A1 (zh) | 内核级恶意软件查杀的方法和装置 | |
CN103607413A (zh) | 一种网站后门程序检测的方法及装置 | |
US8381300B2 (en) | Offline extraction of configuration data | |
CN105138881A (zh) | 锁屏方法及装置 | |
CN109995751B (zh) | 上网设备标记方法、装置及存储介质、计算机设备 | |
CN110806980A (zh) | 一种检测方法、装置、设备及存储介质 | |
EP2728472B1 (en) | User terminal, reliability management server, and method and program for preventing unauthorized remote operation | |
CN103164652B (zh) | 木马扫描方法及系统 | |
CN110955894B (zh) | 一种恶意内容检测方法、装置、电子设备及可读存储介质 | |
CN105787302B (zh) | 一种应用程序的处理方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |