CN104063662A - 处理计算机病毒的方法及装置 - Google Patents
处理计算机病毒的方法及装置 Download PDFInfo
- Publication number
- CN104063662A CN104063662A CN201410268281.9A CN201410268281A CN104063662A CN 104063662 A CN104063662 A CN 104063662A CN 201410268281 A CN201410268281 A CN 201410268281A CN 104063662 A CN104063662 A CN 104063662A
- Authority
- CN
- China
- Prior art keywords
- file
- scanned
- scan mode
- scanning
- virus scan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 177
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000008569 process Effects 0.000 claims description 37
- 230000002155 anti-virotic effect Effects 0.000 claims description 17
- 230000004048 modification Effects 0.000 claims description 16
- 238000012986 modification Methods 0.000 claims description 16
- 230000008878 coupling Effects 0.000 claims description 5
- 238000010168 coupling process Methods 0.000 claims description 5
- 238000005859 coupling reaction Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 5
- 230000013011 mating Effects 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请实施例公开了一种处理计算机病毒的方法及装置,预先设置若干病毒扫描方式,所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同,所述方法包括:获取待扫描文件;按照所述若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对所述待扫描文件进行扫描。应用本申请实施例对文件进行病毒扫描,由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式,因此可以先通过占用系统资源较少的病毒扫描方式,例如内存扫描方式对文件进行扫描,从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量,由此提高系统的病毒扫描速度,节约系统资源。
Description
本发明专利申请是申请日为2011年9月9日、申请号为201110277746.3、名称为“处理计算机病毒的方法及装置”的中国发明专利申请的分案申请。
技术领域
本申请涉及计算机技术领域,特别是涉及一种处理计算机病毒的方法及装置。
背景技术
计算机病毒是编制或者在计算机程序中插入的破坏计算机功能的数据,其会影响计算机的正常使用并且能够自我复制,通常以一组计算机指令或者程序代码的形式呈现。而杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑程序)的技术机制。杀毒引擎是杀毒软件的主要部分,是检测和发现病毒的程序,而病毒库是已经发现的病毒的特征集合。在杀毒过程中,用病毒库中的特征去对照机器中的所有程序或文件,对于符合这些特征的程序或文件,判定为病毒。
发明人在对现有技术的研究过程中发现,每一次采用杀毒引擎进行杀毒的过程均相互独立,即无论前一次采用杀毒引擎对文件进行扫描后输出何种结果,下一次仍然采用杀毒引擎对所有文件进行扫描,前后两次扫描过程中发现的病毒文件类型可能相同。由此可知,虽然杀毒引擎具有杀毒功能强大的特点,但是每次采用杀毒引擎对所有文件进行扫描时,都将占用大量的系统资源。
发明内容
本申请实施例提供了一种处理计算机病毒的方法及装置,以解决现有杀毒引擎每一次杀毒都对所有文件进行扫描,占用大量系统资源的问题。
为了解决上述技术问题,本申请实施例公开了如下技术方案:
一种处理计算机病毒的方法,预先设置若干病毒扫描方式,所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同,所述方法包括:
获取待扫描文件;
按照所述若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对所述待扫描文件进行扫描。
所述若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式,所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式;
所述调用相应的病毒扫描方式对所述待扫描文件进行扫描包括:
调用所述第一病毒扫描方式对所述待扫描文件进行扫描,获得所述待扫描文件中的确定文件;
调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它文件进行扫描。
所述若干病毒扫描方式按照占用系统资源从小到大顺序排列,包括下述至少两种方式:
根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式,所述扫描结果包括确定为恶意文件或非恶意文件的文件属性信息,所述文件属性信息包括文件大小、文件修改时间和文件路径;
通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式;
通过杀毒引擎进行病毒扫描的引擎扫描方式。
所述按照若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对待扫描的文件进行扫描包括:
调用所述内存扫描方式对所述待扫描文件进行扫描,获得包含第一确定文件的第一扫描结果;
调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描,获得包含第二确定文件的第二扫描结果;
调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩余文件进行扫描,获得包含第三确定文件的第三扫描结果。
采用内存扫描方式对所述待扫描文件进行扫描包括:
获取待扫描文件的文件属性信息;
将所述文件属性信息与缓存中保存的文件属性信息进行匹配;
当待扫描文件的文件属性与缓存中保存的文件属性匹配时,将所述待扫描文件确定为恶意文件或非恶意文件,当待扫描文件的文件属性与缓存中保存的文件属性不匹配时,将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
通过预先保存的黑名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文件进行扫描包括:
将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的恶意文件;
通过预先保存的白名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文件进行扫描包括:
将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的非恶意文件。
还包括:
根据待扫描文件的扫描结果,将所述第二确定文件和第三确定文件的文件属性存入缓存中。
一种处理计算机病毒的装置,所述装置包括:
设置单元,用于预先设置若干病毒扫描方式,所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同;
获取单元,用于获取待扫描文件;
扫描单元,用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序,调用相应的病毒扫描方式对所述待扫描文件进行扫描。
所述设置单元中设置的若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式,所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式;
所述扫描单元包括:
第一调用扫描单元,用于调用所述第一病毒扫描方式对所述待扫描文件进行扫描,获得所述待扫描文件中的确定文件;
第二调用扫描单元,用于调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
所述设置单元设置的若干病毒扫描方式按照占用系统资源从小到达顺序排列,包括下述至少两种方式:
根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式,所述扫描结果包括确定为恶意文件或非恶意文件的文件属性,所述文件属性包括文件大小、文件修改时间和文件路径;
通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式;
通过少度引擎进行病毒扫描的引擎扫描方式。
所述扫描单元包括:
第一扫描单元,用于调用所述内存扫描方式对所述待扫描文件进行扫描,获得包含第一确定文件的第一扫描结果;
第二扫描单元,用于调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描,获得包含第二确定文件的第二扫描结果;
第三扫描单元,用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩余文件进行扫描,获得包含第三确定文件的第三扫描结果。
第一扫描单元包括:
信息获取单元,用于获取待扫描文件的文件属性信息;
信息匹配单元,用于将所述文件属性信息与缓存中保存的文件属性信息进行匹配;
结果确定单元,用于当待扫描文件的文件属性与缓存中保存的文件属性匹配时,将所述待扫描文件确定为恶意文件或非恶意文件,当待扫描文件的文件属性与缓存中保存的文件属性不匹配时,将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
所述第二扫描单元包括至少一个下述单元:
黑名单扫描单元,用于将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的恶意文件;
白名单扫描单元,用于将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的非恶意文件。
还包括:
存储单元,用于根据所述第二扫描单元和第三扫描单元的扫描结果,将所述第二确定文件和第三确定文件的文件属性存入缓存中。
由上述实施例可以看出,本申请实施例中预先设置若干病毒扫描方式,这些病毒扫描方式在进行文件扫描时所占用的系统资源不同,获取待扫描文件,按照若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对待扫描文件进行扫描。应用本申请实施例对文件进行病毒扫描,由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式,因此可以先通过占用系统资源较少的病毒扫描方式,例如内存扫描方式对文件进行扫描,从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量,由此提高系统的病毒扫描速度,节约系统资源;进一步,由于占用系统资源较小的内存扫描方式可以保存前一次扫描的扫描结果,因此再次扫描时,可以通过内存扫描方式确定大部分文件的扫描结果,从而进一步提升扫描速度。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请处理计算机病毒的方法的第一实施例流程图;
图2为本申请处理计算机病毒的方法的第二实施例流程图;
图3为本申请处理计算机病毒的方法的第三实施例流程图;
图4为本申请处理计算机病毒的装置的第一实施例框图;
图5为本申请处理计算机病毒的装置的第二实施例框图。
具体实施方式
本发明如下实施例提供了处理计算机病毒的方法及装置。本申请实施例中由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式,因此可以先通过占用系统资源较少的病毒扫描方式,从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量,由此提高系统的病毒扫描速度,节约系统资源。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图1,为本申请处理计算机病毒的方法的第一实施例流程图:
步骤101:预先设置若干病毒扫描方式,若干病毒扫描方式在进行文件扫描时所占用的系统资源不同。
其中,若干病毒扫描方式按照占用系统资源从小到大顺序排列,包括下述至少两种方式:根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式,其中扫描结果包括确定为恶意文件或非恶意文件的文件属性信息,文件属性信息包括文件大小、文件修改时间和文件路径;通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式;通过杀毒引擎进行病毒扫描的引擎扫描方式。
步骤102:获取待扫描文件。
步骤103:按照若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对待扫描文件进行扫描。
其中,当若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式,且第一病毒扫描方式占用的系统资源小于第二病毒扫描方式时,先调用第一病毒扫描方式对待扫描文件进行扫描,获得待扫描文件中的确定文件,然后调用第二病毒扫描方式仅对待扫描文件中除确定文件以外的其它文件进行扫描。其中,确定文件指确定为恶意文件或非恶意文件的文件。
具体的,当同时采用内存扫描方式、名单扫描方式和引擎扫描方式对待扫描文件进行扫描时,首先调用内存扫描方式对待扫描文件进行扫描,获得包含第一确定文件的第一扫描结果,然后调用名单扫描方式仅对待扫描文件中除第一确定文件的其它文件进行扫描,获得包含第二确定文件的第二扫描结果,最后调用引擎扫描方式仅对其它文件中除第二确定文件的剩余文件进行扫描,获得包含第三确定文件的第三扫描结果。
参见图2,为本申请处理计算机病毒的方法的第二实施例流程图,该实施例详细描述了采用三种扫描方式对待扫描文件进行扫描的过程:
步骤201:预先设置按照占用系统资源从小到大顺序排列的内存扫描方式、名单扫描方式和引擎扫描方式。
其中,内存扫描方式指根据缓存中保存的已扫描文件的扫描结果进行病毒扫描,扫描结果包括确定为恶意文件或非恶意文件的文件属性信息,文件属性信息包括文件大小、文件修改时间和文件路径等;名单扫描方式指通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描;引擎扫描方式指通过杀毒引擎进行病毒扫描的引擎扫描方式。
步骤202:获取待扫描文件。
步骤203:调用内存扫描方式对待扫描文件进行扫描,获得包含第一确定文件的第一扫描结果。
获取待扫描文件的文件属性信息,例如文件大小、文件修改时间和文件路径等。系统中文件属性记录了该文件最后一次被修改后的文件大小、修改时间和文件路径等属性信息,属性信息根据文件的修改进行实时更新。
将文件属性信息与缓存中保存的文件属性信息进行匹配,当待扫描文件的文件属性与缓存中保存的文件属性匹配时,将待扫描文件确定为恶意文件或非恶意文件,当待扫描文件的文件属性与缓存中保存的文件属性不匹配时,将待扫描文件确定为通过名单扫描方式进行扫描的其它文件。由于文件属性信息包括多种信息,因此在进行匹配时可以按照预设顺序对每一种属性信息进行逐一匹配,例如,先匹配文件大小,其次匹配文件修改时间,最后匹配文件路径等。其中,当某一文件的所有属性信息都与缓存中保存的文件属性信息一致时,才确定该文件的文件属性与缓存中保存的文件属性匹配,当某一文件的任意一种属性信息与缓存中保存的文件属性信息不一致时,则确定该文件的文件属性与缓存中保存的文件属性不匹配。
由于内存扫描方式是根据缓存中保存的已扫描文件的扫描结果进行病毒扫描,因此通过匹配获得的第一扫描结果中的确定文件是根据前次扫描已经确定为恶意文件和非恶意文件的文件集合。由于内存信息读取速度快,且前后两次扫描过程中病毒文件发生的变化不大,因此通过内存扫描方式可以对系统中的大部分文件进行查杀,因此提升了查杀速度,节约了系统资源。
步骤204:调用名单扫描方式仅对待扫描文件中除第一确定文件的其它文件进行扫描,获得包含第二确定文件的第二扫描结果。
通过预先保存的黑名单进行扫描时,将其它文件中的每一个文件的文件名与黑名单中预先保存的文件名进行比较,当某个文件的文件名与预先保存的文件名匹配时,确定某个文件为属于第二确定文件的恶意文件;通过预先保存的白名单进行扫描时,将其它文件中的每一个文件的文件名与白名单中预先保存的文件名进行比较,当某个文件的文件名与预先保存的文件名匹配时,确定某个文件为属于第二确定文件的非恶意文件。
其中,白名单通常由用户在客户端进行维护,用户将确定为非恶意的文件加入到白名单中进行保存,白名单中可以记录文件的文件名和文件路径等信息;黑名单通常由杀毒软件提供方进行维护,根据监控将确定的恶意文件加入到黑名单中进行保存。
步骤205:调用引擎扫描方式仅对其它文件中除第二确定文件的剩余文件进行扫描,获得包含第三确定文件的第三扫描结果。
采用引擎扫描方式对剩余文件进行扫描时,可以采用的杀毒引擎可以包括:云查杀引擎,QVM(Qihoo Virtual Machine,人工智能引擎)引擎,小红伞杀毒引擎等任意现有已存在的杀毒引擎。
步骤206:根据待扫描文件的扫描结果,将第二确定文件和第三确定文件的文件属性存入缓存中。
由于本次扫描过程中,通过名单扫描方式和引擎扫描方式得到的扫描结果中的确定文件与在缓存中保存的确定文件不同,因此为了进一步提高下一次病毒扫描速度,将第二确定文件和第三确定文件的文件属性,包括文件大小、文件修改时间及文件路径等记录到缓存中,则下一次对这些文件可以直接通过占用系统资源最少的内存扫描方式进行扫描。
参见图3,为本申请处理计算机病毒的方法的第三实施例流程图,该实施例详细示出了通过内存扫描方式对待扫描文件进行扫描的过程:
步骤301:缓存中预先保存已扫描文件的扫描结果,该扫描结果包括确定为恶意文件或非恶意文件的文件属性信息,文件属性信息包括文件大小、文件修改时间和文件路径。
步骤302:顺序获取待扫描文件中的一个文件。
步骤303:获取该文件的文件大小、文件修改时间和文件路径。
系统中文件的文件属性记录了该文件最后一次被修改后的文件大小、修改时间和文件路径等属性信息,属性信息根据文件的修改进行实时更新。
步骤304:判断该文件的文件大小是否与预先保存的文件大小匹配,若是,则执行步骤305,否则,执行步骤309。
步骤305:判断该文件的文件修改时间是否与预先保存的文件修改时间匹配,若是,则执行步骤306;否则,执行步骤309。
步骤306:判断该文件的文件路径是否与预先保存的文件路径匹配,若是,则执行步骤307;否则,执行步骤309。
步骤307:根据匹配结果将该文件确定为恶意文件或非恶意文件。
当某一文件的所有属性信息都与缓存中保存的文件属性信息一致时,才确定该文件的文件属性与缓存中保存的文件属性匹配,此时如果内存中相匹配的文件属性信息对应的文件为恶意文件,则该文件的扫描结果即为恶意文件,如果内存中匹配的文件属性信息对应的文件为非恶意文件,则该文件的扫描结果即为非恶意文件。
由于内存扫描方式是根据缓存中保存的已扫描文件的扫描结果进行病毒扫描,因此通过匹配获得的第一扫描结果中的确定文件是根据前次扫描已经确定为恶意文件和非恶意文件的文件集合。由于内存信息读取速度快,且前后两次扫描过程中病毒文件发生的变化不大,因此通过内存扫描方式可以对系统中的大部分文件进行查杀,因此提升了查杀速度,节约了系统资源。
步骤308:将该文件确定为需要通过其它扫描方式进行扫描的文件。
当某一文件的任意一种属性信息与缓存中保存的文件属性信息不一致时,则确定该文件的文件属性与缓存中保存的文件属性不匹配。此时,说明该文件为需要通过除内存扫描方式的其它扫描方式进行扫描,例如,通过前述实施例中示出的名单扫描方式,和/或引擎扫描方式。
步骤309:是否匹配完所有待扫描文件,若是,则结束流程,否则,返回步骤302。
由上述本申请实施例可见,在对文件进行病毒扫描时,由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式,因此可以先通过占用系统资源较少的病毒扫描方式,例如内存扫描方式对文件进行扫描,从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量,由此提高系统的病毒扫描速度,节约系统资源;进一步,由于占用系统资源较小的内存扫描方式可以保存前一次扫描的扫描结果,因此再次扫描时,可以通过内存扫描方式确定大部分文件的扫描结果,从而进一步提升扫描速度。
与本申请处理计算机病毒的方法的实施例相对应,本申请还提供了处理计算机病毒的装置的实施例。
参见图4,为本申请处理计算机病毒的装置的第一实施例框图:
该装置包括:设置单元410、获取单元420和扫描单元430。
其中,设置单元410,用于预先设置若干病毒扫描方式,所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同;
获取单元420,用于获取待扫描文件;
扫描单元430,用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序,调用相应的病毒扫描方式对所述待扫描文件进行扫描。
其中,所述设置单元410中设置的若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式,所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式;
所述扫描单元430可以具体包括(图4中未示出):
第一调用扫描单元,用于调用所述第一病毒扫描方式对所述待扫描文件进行扫描,获得所述待扫描文件中的确定文件;
第二调用扫描单元,用于调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
参见图5,为本申请处理计算机病毒的装置的第二实施例框图:
该装置包括:设置单元510、获取单元520、扫描单元530和存储单元540。
其中,设置单元510,用于预先设置若干病毒扫描方式,所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同;其中,所述设置单元设置的若干病毒扫描方式按照占用系统资源从小到达顺序排列,包括下述至少两种方式:根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式,所述扫描结果包括确定为恶意文件或非恶意文件的文件属性,所述文件属性包括文件大小、文件修改时间和文件路径;通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式;通过少度引擎进行病毒扫描的引擎扫描方式;
获取单元520,用于获取待扫描文件;
扫描单元530,用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序,调用相应的病毒扫描方式对所述待扫描文件进行扫描;该扫描单元530可以包括:第一扫描单元531,用于调用所述内存扫描方式对所述待扫描文件进行扫描,获得包含第一确定文件的第一扫描结果;第二扫描单元532,用于调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描,获得包含第二确定文件的第二扫描结果;第三扫描单元533,用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩余文件进行扫描,获得包含第三确定文件的第三扫描结果;
存储单元540,用于根据所述第二扫描单元和第三扫描单元的扫描结果,将所述第二确定文件和第三确定文件的文件属性存入缓存中。
具体的,第一扫描单元531可以包括(图5中未示出):
信息获取单元,用于获取待扫描文件的文件属性信息;
信息匹配单元,用于将所述文件属性信息与缓存中保存的文件属性信息进行匹配;
结果确定单元,用于当待扫描文件的文件属性与缓存中保存的文件属性匹配时,将所述待扫描文件确定为恶意文件或非恶意文件,当待扫描文件的文件属性与缓存中保存的文件属性不匹配时,将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
具体的,第二扫描单元532可以包括(图5中未示出):
黑名单扫描单元,用于将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的恶意文件;
白名单扫描单元,用于将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的非恶意文件。
通过对以上实施方式的描述可知,本申请实施例中预先设置若干病毒扫描方式,这些病毒扫描方式在进行文件扫描时所占用的系统资源不同,获取待扫描文件,按照若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对待扫描文件进行扫描。应用本申请实施例对文件进行病毒扫描,由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式,因此可以先通过占用系统资源较少的病毒扫描方式,例如内存扫描方式对文件进行扫描,从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量,由此提高系统的病毒扫描速度,节约系统资源;进一步,由于占用系统资源较小的内存扫描方式可以保存前一次扫描的扫描结果,因此再次扫描时,可以通过内存扫描方式确定大部分文件的扫描结果,从而进一步提升扫描速度。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种处理计算机病毒的方法,其特征在于,预先设置若干病毒扫描方式,所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同,所述方法包括:
获取待扫描文件;
按照所述若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对所述待扫描文件进行扫描。
2.根据权利要求1所述的方法,其特征在于,所述若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式,所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式;
所述调用相应的病毒扫描方式对所述待扫描文件进行扫描包括:
调用所述第一病毒扫描方式对所述待扫描文件进行扫描,获得所述待扫描文件中的确定文件;
调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它文件进行扫描。
3.根据权利要求1所述的方法,其特征在于,所述若干病毒扫描方式按照占用系统资源从小到大顺序排列,包括下述至少两种方式:
根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式,所述扫描结果包括确定为恶意文件或非恶意文件的文件属性信息,所述文件属性信息包括文件大小、文件修改时间和文件路径;
通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式;
通过杀毒引擎进行病毒扫描的引擎扫描方式。
4.根据权利要求3所述的方法,其特征在于,所述按照若干病毒扫描方式占用系统资源从小到大的顺序,调用相应的病毒扫描方式对待扫描的文件进行扫描包括:
调用所述内存扫描方式对所述待扫描文件进行扫描,获得包含第一确定文件的第一扫描结果;
调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描,获得包含第二确定文件的第二扫描结果;
调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件以外的剩余文件进行扫描,获得包含第三确定文件的第三扫描结果。
5.根据权利要求4所述的方法,其特征在于,采用内存扫描方式对所述待扫描文件进行扫描包括:
获取待扫描文件的文件属性信息;
将所述文件属性信息与缓存中保存的文件属性信息进行匹配;
当待扫描文件的文件属性与缓存中保存的文件属性匹配时,将所述待扫描文件确定为恶意文件或非恶意文件,当待扫描文件的文件属性与缓存中保存的文件属性不匹配时,将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
6.根据权利要求4所述的方法,其特征在于,
通过预先保存的黑名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文件进行扫描包括:
将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的恶意文件;
通过预先保存的白名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文件进行扫描包括:
将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的非恶意文件。
7.根据权利要求4所述的方法,其特征在于,还包括:
根据待扫描文件的扫描结果,将所述第二确定文件和第三确定文件的文件属性存入缓存中。
8.一种处理计算机病毒的装置,其特征在于,所述装置包括:
设置单元,用于预先设置若干病毒扫描方式,所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同;
获取单元,用于获取待扫描文件;
扫描单元,用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序,调用相应的病毒扫描方式对所述待扫描文件进行扫描。
9.根据权利要求8所述的装置,其特征在于,所述设置单元中设置的若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式,所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式;
所述扫描单元包括:
第一调用扫描单元,用于调用所述第一病毒扫描方式对所述待扫描文件进行扫描,获得所述待扫描文件中的确定文件;
第二调用扫描单元,用于调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它文件进行扫描,获得第二扫描结果。
10.根据权利要求8所述的装置,其特征在于,所述设置单元设置的若干病毒扫描方式按照占用系统资源从小到达顺序排列,包括下述至少两种方式:
根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式,所述扫描结果包括确定为恶意文件或非恶意文件的文件属性,所述文件属性包括文件大小、文件修改时间和文件路径;
通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式;
通过少度引擎进行病毒扫描的引擎扫描方式。
11.根据权利要求10所述的装置,其特征在于,所述扫描单元包括:
第一扫描单元,用于调用所述内存扫描方式对所述待扫描文件进行扫描,获得包含第一确定文件的第一扫描结果;
第二扫描单元,用于调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描,获得包含第二确定文件的第二扫描结果;
第三扫描单元,用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩余文件进行扫描,获得包含第三确定文件的第三扫描结果。
12.根据权利要求11所述的装置,其特征在于,第一扫描单元包括:
信息获取单元,用于获取待扫描文件的文件属性信息;
信息匹配单元,用于将所述文件属性信息与缓存中保存的文件属性信息进行匹配;
结果确定单元,用于当待扫描文件的文件属性与缓存中保存的文件属性匹配时,将所述待扫描文件确定为恶意文件或非恶意文件,当待扫描文件的文件属性与缓存中保存的文件属性不匹配时,将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
13.根据权利要求11所述的装置,其特征在于,所述第二扫描单元包括至少一个下述单元:
黑名单扫描单元,用于将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的恶意文件;
白名单扫描单元,用于将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比较,当某个文件的文件名与所述预先保存的文件名匹配时,确定所述某个文件为属于所述第二确定文件的非恶意文件。
14.根据权利要求11所述的装置,其特征在于,还包括:
存储单元,用于根据所述第二扫描单元和第三扫描单元的扫描结果,将所述第二确定文件和第三确定文件的文件属性存入缓存中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410268281.9A CN104063662B (zh) | 2011-09-19 | 2011-09-19 | 处理计算机病毒的方法及装置 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110277746.3A CN102346827B (zh) | 2011-09-19 | 2011-09-19 | 处理计算机病毒的方法及装置 |
| CN201410268281.9A CN104063662B (zh) | 2011-09-19 | 2011-09-19 | 处理计算机病毒的方法及装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110277746.3A Division CN102346827B (zh) | 2011-09-19 | 2011-09-19 | 处理计算机病毒的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104063662A true CN104063662A (zh) | 2014-09-24 |
| CN104063662B CN104063662B (zh) | 2017-05-03 |
Family
ID=51551370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410268281.9A Active CN104063662B (zh) | 2011-09-19 | 2011-09-19 | 处理计算机病毒的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104063662B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104778411A (zh) * | 2015-04-22 | 2015-07-15 | 百度在线网络技术(北京)有限公司 | 病毒扫描方法和病毒扫描装置 |
| WO2021189252A1 (zh) * | 2020-03-24 | 2021-09-30 | 深圳市欢太科技有限公司 | 镜像安全扫描系统、方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
| US20050033975A1 (en) * | 2001-08-17 | 2005-02-10 | Pasi Lahti | Preventing virus infection in a computer system |
| CN101651678A (zh) * | 2009-09-11 | 2010-02-17 | 北京锐安科技有限公司 | 网络中动态合并及分别执行合并pe文件的方法及其系统 |
| CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和系统 |
| CN102346827A (zh) * | 2011-09-19 | 2012-02-08 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
-
2011
- 2011-09-19 CN CN201410268281.9A patent/CN104063662B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
| US20050033975A1 (en) * | 2001-08-17 | 2005-02-10 | Pasi Lahti | Preventing virus infection in a computer system |
| CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和系统 |
| CN101651678A (zh) * | 2009-09-11 | 2010-02-17 | 北京锐安科技有限公司 | 网络中动态合并及分别执行合并pe文件的方法及其系统 |
| CN102346827A (zh) * | 2011-09-19 | 2012-02-08 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104778411A (zh) * | 2015-04-22 | 2015-07-15 | 百度在线网络技术(北京)有限公司 | 病毒扫描方法和病毒扫描装置 |
| WO2016169189A1 (zh) * | 2015-04-22 | 2016-10-27 | 百度在线网络技术(北京)有限公司 | 病毒扫描方法和病毒扫描装置 |
| CN104778411B (zh) * | 2015-04-22 | 2017-10-27 | 百度在线网络技术(北京)有限公司 | 病毒扫描方法和病毒扫描装置 |
| US10762207B2 (en) | 2015-04-22 | 2020-09-01 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method and device for scanning virus |
| WO2021189252A1 (zh) * | 2020-03-24 | 2021-09-30 | 深圳市欢太科技有限公司 | 镜像安全扫描系统、方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104063662B (zh) | 2017-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102346827B (zh) | 处理计算机病毒的方法及装置 | |
| CN102279917B (zh) | 多杀毒引擎并行杀毒方法及系统 | |
| US11256808B2 (en) | Detecting malware via scanning for dynamically generated function pointers in memory | |
| US10165001B2 (en) | Method and device for processing computer viruses | |
| Wang et al. | Detecting stealth software with strider ghostbuster | |
| KR101693370B1 (ko) | 퍼지 화이트리스팅 안티-멀웨어 시스템 및 방법 | |
| US9245114B2 (en) | Method and system for automatic detection and analysis of malware | |
| CN103559443B (zh) | 多核设备的病毒扫描方法和装置 | |
| US9348998B2 (en) | System and methods for detecting harmful files of different formats in virtual environments | |
| Homayoun et al. | A blockchain-based framework for detecting malicious mobile applications in app stores | |
| US9135443B2 (en) | Identifying malicious threads | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| US8914889B2 (en) | False alarm detection for malware scanning | |
| CN102799811B (zh) | 扫描方法和装置 | |
| US8176556B1 (en) | Methods and systems for tracing web-based attacks | |
| CN104573515A (zh) | 一种病毒处理方法、装置和系统 | |
| US9087194B2 (en) | Providing information to a security application | |
| EP2998902B1 (en) | Method and apparatus for processing file | |
| US7941850B1 (en) | Malware removal system and method | |
| CN102314571B (zh) | 处理计算机病毒的方法及装置 | |
| US20080028462A1 (en) | System and method for loading and analyzing files | |
| CN103473350B (zh) | 文件处理方法及设备 | |
| CN104063662A (zh) | 处理计算机病毒的方法及装置 | |
| CN104063663A (zh) | 计算机病毒扫描方法 | |
| Sun et al. | Automated 3D reconstruction of tree-like structures from two orthogonal views |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Co-patentee after: Beijing Qizhi Business Consulting Co. Ltd. Patentee after: Beijing Qihu Technology Co., Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Co-patentee before: Qizhi Software (Beijing) Co., Ltd. Patentee before: Beijing Qihu Technology Co., Ltd. |