CN104573518A - 文件扫描方法、装置、服务器及系统 - Google Patents
文件扫描方法、装置、服务器及系统 Download PDFInfo
- Publication number
- CN104573518A CN104573518A CN201510037384.9A CN201510037384A CN104573518A CN 104573518 A CN104573518 A CN 104573518A CN 201510037384 A CN201510037384 A CN 201510037384A CN 104573518 A CN104573518 A CN 104573518A
- Authority
- CN
- China
- Prior art keywords
- compressed package
- file
- described compressed
- virus
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
- G06F16/1824—Distributed file systems implemented using Network-attached Storage [NAS] architecture
- G06F16/183—Provision of network file services by network file servers, e.g. by using NFS, CIFS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本发明公开了一种文件扫描方法、装置、服务器及系统,其中,所述方法包括:向服务器发送查询请求,查询请求包含当前扫描到的压缩包的特征值;接收服务器返回的响应消息并根据接收到的响应消息进行处理,其中,如果接收到服务器返回的包含压缩包的病毒信息的第一响应消息,则根据压缩包的病毒信息确定与压缩包相关的病毒文件;其中,服务器根据特征值从预存储的压缩包数据中查询压缩包的扫描结果,如果压缩包的扫描结果显示压缩包与病毒相关,则根据压缩包的扫描结果生成第一响应消息,压缩包数据包含不同压缩包的特征值及相应的扫描结果。采用发明,能有效地降低扫描过程中的IO开销和CPU开销,提高了文件扫描效率。
Description
技术领域
本发明涉及文件扫描领域,更为具体而言,涉及一种文件扫描方法、装置、服务器及系统。
背景技术
现有的文件扫描技术在扫描到压缩文件时会对压缩文件进行解压缩,然后对解压出的文件进行病毒扫描识别。但在用户环境中被解压出的文件中白文件(即非病毒的文件)的比例非常大,因此现有扫描技术实际上做了很多无用功,这也增加了扫描过程中的输入输出(IO)开销和中央处理器(CPU)开销,降低了文件扫描效率。
发明内容
为了解决现有的文件扫描技术所存在的缺陷,本发明实施方式提供一种文件扫描方法、装置、服务器及系统,能够降低文件扫描过程中的IO开销和CPU开销,提高文件扫描效率。
一方面,本发明提供了一种文件扫描方法,包括:
向服务器发送查询请求,所述查询请求包含当前扫描到的压缩包的特征值;
接收所述服务器返回的响应消息并根据接收到的响应消息进行处理,其中,如果接收到所述服务器返回的包含所述压缩包的病毒信息的第一响应消息,则根据所述压缩包的病毒信息确定与所述压缩包相关的病毒文件;
其中,所述服务器根据所述特征值从预存储的压缩包数据中查询所述压缩包的扫描结果,如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则根据所述压缩包的扫描结果生成所述第一响应消息,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果。
在本发明实施例的一种实现方式中,根据所述压缩包的病毒信息确定与所述压缩包相关的病毒文件,包括:
当所述压缩包的病毒信息包含用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第二标志时,根据所述第二标志确定所述压缩包中的病毒文件;或当所述压缩包的病毒信息包含用于表示所述压缩包为病毒文件的标志时,根据该标志确定所述压缩包为病毒文件。
在本发明实施例的另一实现方式中,所述方法还包括:
如果接收到所述服务器返回的包含指示信息的第二响应消息,则根据所述指示信息确定扫描所述压缩包中的哪个/哪些文件;其中,在所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关时,所述服务器根据预设策略生成所述第二响应消息。
在本发明实施例的再一实现方式中,
根据所述指示信息确定扫描所述压缩包中的哪个/哪些文件,包括:当所述指示信息包含用于表示无需扫描任何文件的标志时,不扫描所述压缩包中的任何文件;或,
当所述指示信息包含用于表示需扫描所有文件的标志时,解压所述压缩包并扫描所述压缩包中的所有文件;或,
当所述指示信息包含用于表示需扫描所述压缩包中的灰文件的第三标志以及用于表示所述灰文件的第四标志时,根据所述第四标志解压并扫描所述灰文件,其中,所述灰文件是指未确定是否为病毒文件的文件;或,
当所述指示信息包含用于表示需根据扫描级别确定扫描对象的标志时,根据扫描级别确定解压并扫描所述压缩包中的所有文件或不扫描所述压缩包中的任何文件。
另一方面,本发明提供一种文件扫描方法,包括:
接收文件扫描装置发送的查询请求,所述查询请求包含所述文件扫描装置当前扫描到的压缩包的特征值;
根据所述特征值从预存储的压缩包数据中查询所述压缩包的扫描结果,其中,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果;
如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则根据所述压缩包的扫描结果生成包含所述压缩包的病毒信息的第一响应消息;
将所述第一响应消息发送给所述文件扫描装置。
在本发明实施例的一种实现方式中,如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则根据所述压缩包的扫描结果生成包含所述压缩包的病毒信息的第一响应消息,包括:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第二标志;或,当所述压缩包的扫描结果显示所述压缩包为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包为病毒文件的标志。
在本发明实施例的另一种实现方式中,所述方法还包括:
如果所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关,则根据预设策略生成包含指示信息的第二响应消息,所述指示信息用于指示所述文件扫描装置扫描所述压缩包中的哪个/哪些文件;将所述第二响应消息发送给所述文件扫描装置。
在本发明实施例的再一种实现方式中,如果所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关,则根据预设策略生成包含指示信息的第二响应消息,包括:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为灰文件时,所述灰文件是指未确定是否为病毒文件的文件,根据预设策略生成这样的第二响应消息:该第二响应消息中的指示信息包含用于表示无需扫描任何文件的标志,或,该第二响应消息中的指示信息包含用于表示需扫描所有文件的标志,或,该第二响应消息中的指示信息包含用于表示需扫描所述压缩包中的所述灰文件的第三标志以及用于表示所述灰文件的第四标志,或,该第二响应消息中的指示信息包含用于表示需按照扫描级别确定扫描所有文件或不扫描任何文件的标志。
相应地,本发明还提供一种文件扫描装置,包括:
发送模块,用于向服务器发送查询请求,所述查询请求包含当前扫描到的压缩包的特征值;
接收模块,用于接收所述服务器返回的包含所述压缩包的病毒信息的第一响应消息,其中,所述服务器根据所述特征值从预存储的压缩包数据中查询所述压缩包的扫描结果,如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则所述服务器根据所述压缩包的扫描结果生成所述第一响应消息,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果;
处理模块,用于根据所述压缩包的病毒信息确定与所述压缩包相关的病毒文件。
在本发明实施例的一种实现方式中,所述处理模块包括用于执行以下处理的第一处理子模块:
当所述压缩包的病毒信息包含用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第二标志时,根据所述第二标志确定所述压缩包中的病毒文件;或当所述压缩包的病毒信息包含用于表示所述压缩包为病毒文件的标志时,根据该标志确定所述压缩包为病毒文件。
在本发明实施例的另一种实现方式中,所述接收模块还用于,接收所述服务器返回的包含指示信息的第二响应消息,其中,在所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关时,所述服务器根据预设策略生成所述第二响应消息;所述处理模块还用于,根据所述指示信息确定扫描所述压缩包中的哪个/哪些文件。
在本发明实施例的再一种实现方式中,所述处理模块包括用于执行以下处理的第二子模块:
当所述指示信息包含用于表示无需扫描任何文件的标志时,不扫描所述压缩包中的任何文件;或,当所述指示信息包含用于表示需扫描所有文件的标志时,解压所述压缩包并扫描所述压缩包中的所有文件;或,当所述指示信息包含用于表示需扫描所述压缩包中的灰文件的第三标志以及用于表示所述灰文件的第四标志时,根据所述第四标志解压并扫描所述灰文件,其中,所述灰文件是指未确定是否为病毒文件的文件;或,当所述指示信息包含用于表示需根据扫描级别确定扫描对象的标志时,根据扫描级别确定解压并扫描所述压缩包中的所有文件或不扫描所述压缩包中的任何文件。
相应地,本发明还提供一种服务器,包括:
存储模块,用于保存压缩包数据,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果;
接收模块,用于接收文件扫描装置发送的查询请求,所述查询请求包含所述文件扫描装置当前扫描到的压缩包的特征值;
查询模块,用于根据所述特征值从所述压缩包数据中查询所述压缩包的扫描结果;
处理模块,用于在所述压缩包的扫描结果显示所述压缩包与病毒相关时,根据所述压缩包的扫描结果生成包含所述压缩包的病毒信息的第一响应消息;
发送模块,用于将所述第一响应消息发送给所述文件扫描装置。
在本发明实施例的一种实现方式中,所述处理模块包括用于执行以下处理的第一处理子模块:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第一标志;或,当所述压缩包的扫描结果显示所述压缩包为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包为病毒文件的标志。
在本发明实施例的另一种实现方式中,所述处理模块还用于,在所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关时,根据预设策略生成包含指示信息的第二响应消息,所述指示信息用于指示所述文件扫描装置扫描所述压缩包中的哪个/哪些文件;所述发送模块还用于,将所述第二响应消息发送给所述文件扫描装置。
在本发明实施例的再一种实现方式中,所述处理模块包括用于执行以下处理的第二处理子模块:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为灰文件时,所述灰文件是指未确定是否为病毒文件的文件,根据预设策略生成这样的第二响应消息;该第二响应消息中的指示信息包含用于表示无需扫描任何文件的标志,或,该第二响应消息中的指示信息包含用于表示需扫描所有文件的标志,或,该第二响应消息中的指示信息包含用于表示需扫描所述压缩包中的所述灰文件的第三标志以及用于表示所述灰文件的第四标志,或,该第二响应消息中的指示信息包含用于表示需按照扫描级别确定扫描所有文件或不扫描任何文件的标志。
相应地,本发明还提供一种文件扫描系统,其包括前文所述的根据本发明实施例或其实现方式的文件扫描装置,以及根据本发明实施例或其实现方式的服务器。
采用本发明的各种实施例具有以下有益效果:
由文件扫描装置根据从服务器获取的响应消息直接确定压缩包是否为病毒或直接确定压缩包中的病毒文件,从而无需对压缩包进行解压扫描处理即可获得扫描结果;由文件扫描装置根据从服务器获取的响应消息确定压缩包中的扫描对象,从而能针对性地进行解压扫描处理,减少文件扫描数。总体来讲,采用本发明能有效降低IO和CPU开销,提高文件扫描效率。
附图说明
图1是根据本发明实施例的一种文件扫描方法的流程示意图;
图2是根据本发明实施例的一种文件扫描装置的方块示意图;
图3是根据本发明实施例的一种服务器的方块示意图;
图4是根据本发明实施例的一种文件扫描系统的方块示意图。
具体实施方式
以下结合附图和具体实施方式对本发明的各个方面进行详细阐述。其中,众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。并且,所描述的特征、架构或功能可在一个或一个以上实施方式中以任何方式组合。本领域技术人员应当理解,下述的各种实施方式只用于举例说明,而非用于限制本发明的保护范围。还可以容易理解,本文所述和附图所示的各实施方式中的模块或单元或步骤可以按各种不同配置进行组合和设计。
图1是根据本发明实施例的一种文件扫描方法的流程示意图,参照图1,所述方法包括:
100:文件扫描装置向服务器发送查询请求,查询请求包含当前扫描到的压缩包的特征值,该特征值用于唯一标识所述压缩包。
可选地,在本实施例的一种实现方式中,可以根据压缩包中各个文件的文件属性计算特征值。例如,对压缩包内的虚拟文件系统中的文件树抓取快照,将各个节点的文件属性(例如:文件大小、文件创建时间、文件最后修改时间和文件CRC32(一种校验值))按顺序存储于文件树快照之后,通过哈希算法对该文件树快照计算一个具有唯一性的特征值(设为特征值1)。或者,在本实施例的另一种实现方式中,可以根据压缩包的内容计算特征值。例如,根据压缩包的文件大小除以预设的分块数(例如,7、11、13等)得到分块大小,从每块数据读取0x400(0x400仅为示例,也可以是其它值,优选为硬盘每扇区包含字节数的整数倍)字节拼接(不限制拼接方式)并写入一个缓冲区,并将文件大小保存至缓冲区内,然后通过哈希算法计算具有唯一性的特征值(设为特征值2)。或者,在本实施例的再一种实现方式中,可以拼接前述特征值1和特征值2(即将特征值1和特征值2拼接成一个字符串),将拼接后的字符串作为压缩包的特征值(设为特征值3)。当然,在本实施例的其它实现方式中,可以采用任何现有方法计算特征值。
102:服务器接收查询请求,根据其中的特征值从预存储的压缩包数据查询压缩包的扫描结果。
在本实施例中,服务器预存储有压缩包数据,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果。可选地,在本实施例的一种实现方式中,压缩包的扫描结果可以包含以下信息:压缩包是否为病毒、压缩包中是否包含病毒文件以及压缩包中病毒文件的标志(例如,病毒文件在压缩包中的序号、文件名等)等。
104:如果压缩包的扫描结果显示压缩包与病毒相关,则根据压缩包的扫描结果生成包含压缩包的病毒信息的第一响应消息。
可选地,在本实施例的一种实现方式中,压缩包与病毒相关的情况包括:压缩包自身即为病毒文件的情况以及压缩包包含病毒文件的情况。
106:服务器将第一响应消息发送给文件扫描装置。
108:文件扫描装置接收第一响应消息,根据其中的压缩包的病毒信息确定与压缩包相关的病毒文件。
采用本发明实施例提供的文件扫描方法,在扫描压缩包时,由文件扫描装置根据从服务器获取的响应消息直接确定压缩包是否为病毒或直接确定压缩包中的病毒文件,从而无需对压缩包进行解压扫描处理即可获得扫描结果。总体来讲,能有效降低IO和CPU开销,提高文件扫描效率。
可选地,在本实施例的一种实现方式中,在104中,当压缩包的扫描结果显示压缩包中的至少一个文件为病毒文件时,说明压缩包与病毒相关。此时,可以根据压缩包的扫描结果生成第一响应消息,在该第一响应消息中,压缩包的病毒信息包含用于表示压缩包包含病毒文件的第一标志以及用于表示压缩包中的病毒文件的第二标志。
相应地,在108中,文件扫描装置可根据该第一响应消息中的第二标志确定压缩包中的病毒文件。也就是说,在接收到本实现方式中的第一响应消息的情况下,文件扫描装置无需扫描压缩包中的文件即可确定压缩包中的病毒文件。之后,可以获取病毒文件的文件路径进行报警并根据用户的操作确定是否删除病毒文件。
可选地,在本实施例的一种实现方式中,在104中,当压缩包的扫描结果显示压缩包为病毒文件时,说明压缩包与病毒相关。此时,可以根据压缩包的扫描结果生成第一响应消息,在该第一响应消息中,压缩包的病毒信息包含用于表示压缩包为病毒文件的标志。
相应地,在108中,文件扫描装置根据该第一响应消息中用于表示压缩包为病毒文件的标志,确定压缩包为病毒文件。也就是说,在接收到本实现方式中的第一响应消息的情况下,文件扫描装置无需扫描压缩包中的文件即可确定压缩包为病毒文件。之后可以进行报警以及删除等处理。
可选地,在本实施例的一种实现方式中,在104中,如果压缩包的扫描结果显示未确定压缩包是否与病毒相关,则根据预设策略生成包含指示信息的第二响应消息,所述指示信息用于指示文件扫描装置扫描压缩包中的哪个/哪些文件。相应地,在108中,如果文件扫描装置接收到第二响应消息,则根据其中的指示信息确定扫描压缩包中的哪个/哪些文件,从而能避免不必要的扫描(例如,在一些实现方式中可以避免对已确定不是病毒文件的文件进行扫描),提高扫描效率。
举例而言,在压缩包的扫描结果显示压缩包中的至少一个文件为灰文件(灰文件是指未确定是否为病毒文件的文件)的情况下,在根据预设策略生成的第二响应消息(设为消息a)中,指示信息可以包含用于表示无需扫描任何文件的标志,此时,文件扫描装置可根据该标志确定不扫描压缩包中的任何文件;或者,在根据预设策略生成的第二响应消息(设为消息b)中,指示信息可以包含用于表示需扫描所有文件的标志,此时,文件扫描装置可以根据该标志解压压缩包并扫描其中的所有文件;或者,在根据预设策略生成的第二响应消息(设为消息c)中,指示信息可以包含用于表示需扫描压缩包中的灰文件的第三标志以及用于表示所述灰文件的第四标志,此时,文件扫描装置可根据第四标志解压并扫描相应的灰文件;或者,在根据预设策略生成的第二响应消息(设为消息d)中,指示信息可以包含用于表示需根据扫描级别确定扫描对象的标志,此时,文件扫描装置可以根据在文件扫描装置端预设的扫描级别确定解压并扫描压缩包中的所有文件或不扫描压缩包中的任何文件,例如,扫描级别可以分为快速扫描和严格扫描,文件扫描装置根据用户选择的扫描级别确定扫描对象。在本发明中不对扫描级别做具体限制。
在本实现方式中,预设策略可以由服务器设置,例如,服务器根据压缩包中灰文件数与文件总数的比例,确定在第二响应消息中包含怎样的指示信息;或者,服务器根据文件扫描装置所在的设备(例如,计算机)的配置信息(配置信息可以由设备主动上传至服务器),确定在第二响应消息中包含怎样的指示信息;或者,服务器根据压缩包的类型(例如,压缩包可分为固实类压缩包和非固实类压缩包),确定在第二响应消息中包含怎样的指示信息。
示例性地,预设策略可以遵循以下规则:低配置计算机(比大众用户硬件配置低的计算机)对固实压缩包默认不解压,对非固实压缩包在灰文件小于压缩包内文件数一定比例时针对灰文件进行解压,如果大于这个比例则不解压;高配置计算机(比大众用户硬件配置高的计算机)默认对固实压缩包进行强制解压(即,解压并扫描压缩包中的所有文件),对非固实压缩包中的灰文件进行解压;标准配置计算机(与大众用户硬件配置相同的计算机)对固实压缩包强制解压,对非固实压缩包在灰文件小于压缩包内文件数一定比例时针对灰文件进行解压,如果大于这个比例则强制解压;如果未获取计算机配置信息,则忽略以由文件扫描装置根据扫描等级进行处理;等。
当然,以上仅为举例,本领域技术人员可以根据需要或实际运营情况灵活地设置或变更预设策略。但不论采用什么策略,只要基于本实现方式提供的思想来生成第二响应消息,均落在本发明的保护范围内。
可选地,在本实施例的一种实现方式中,当压缩包的扫描结果显示压缩包同时包含病毒文件和灰文件时,服务器生成的响应消息可以包含用于表示压缩包包含病毒文件和灰文件的标志、用于表示病毒文件的标志以及用于表示灰文件的标志,文件扫描装置可以根据用于表示病毒文件的标志直接确定哪些文件为病毒文件,以及根据用于表示灰文件的标志确定解压扫描哪个/哪些文件。
可选地,在本实施例的一种实现方式中,如果压缩包的扫描结果显示压缩包不包含任何病毒文件并且压缩包本身也不是病毒,则服务器向文件扫描装置返回用于表示无需解压的响应消息,此时,文件扫描装置无需对压缩包进行解压扫描处理。如果从压缩包数据中未查询到压缩包扫描结果,则服务器向文件扫描装置返回用于表示需扫描所有文件的响应消息,此时,文件扫描装置解压扫描压缩包中的所有文件。
可选地,在本实施例的一种实现方式中,服务器可以通过以下方式获取压缩包数据:首先,服务器从其它服务器(例如,软件开发商的服务器、文件服务器等)或从用户获取压缩包;其后,服务器按照预设方法(与文件扫描装置计算特征值的方法一致)计算获取的压缩包的特征值;之后,服务器对获取的压缩包进行解压扫描得到各压缩包的扫描结果,并保存特征值与扫描结果。当然,服务器也可以直接使用从第三方获取的压缩包数据。
示例性地,本发明中的服务器可以如下格式保存压缩包的特征值及扫描结果。
参照上述表格,在压缩包数据中,可以为不同压缩包分配不同的ID并选择性地保存压缩包格式。压缩包属性一栏用于记录压缩包的整体特点,例如,“黑”表示压缩包为病毒,“白”表示压缩包不是病毒也不包含病毒文件,“灰”表示压缩包包含未确定是否为病毒文件的文件;“包含黑”表示压缩包包含病毒文件。客户端解压缩控制一栏用于记录当压缩包为“灰”时的策略,例如,如果为“不解压”/“强制解压”/“针对性解压”/“忽略”,则服务器据以生成前文提及的消息a/消息b/消息c/消息d。现有技术采用的压缩包全文MD5和全文sha1以及本发明前文提及的特征值1、特征值2和特征值3均可以作为压缩包的特征值。压缩包文件数一栏用于记录压缩包中包含的文件总数,包括PE(可移植执行体,portable-execute)文件数和非PE文件数。其它三栏分别记录压缩包中的白文件(非病毒文件)数、灰文件数和黑文件(病毒文件)数。服务器可以根据上述表格中各栏的内容得知或确定压缩包是否与病毒相关。本段落中提及的“黑”、“白”、“灰”、“不解压”、“强制解压”、“针对性解压”、“忽略”在实际生产中均可以用相应的标志(例如“00”、“01”之类)表示,对此不做详细说明。
以上对根据本发明的方法实施例进行了说明,下面结合附图对根据本发明实施例的装置实施例进行说明。
图2是根据本发明实施例的一种文件扫描装置的方块示意图,参照图2,文件扫描装置2包括发送模块21、接收模块22和处理模块23,下面分别进行说明。
发送模块21,用于向服务器发送查询请求,查询请求包含当前扫描到的压缩包的特征值。
接收模块22,用于接收服务器返回的包含压缩包的病毒信息的第一响应消息,其中,服务器根据所述特征值从预存储的压缩包数据中查询压缩包的扫描结果,如果压缩包的扫描结果显示压缩包与病毒相关,则服务器根据压缩包的扫描结果生成第一响应消息,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果。
处理模块23,用于根据所述压缩包的病毒信息确定与所述压缩包相关的病毒文件。
可选地,在本实施例的一种实现方式中,文件扫描装置2还可以包括计算模块,用于根据压缩包中各个文件的文件属性计算特征值,或,根据压缩包的内容计算特征值。
可选地,在本实施例的一种实现方式中,如图2中的虚线框所示,处理模块23可以包括第一处理子模块231。
第一处理子模块231,用于执行以下处理:当压缩包的病毒信息包含用于表示压缩包包含病毒文件的第一标志和用于表示压缩包中的病毒文件的第二标志时,根据第二标志确定压缩包中的病毒文件;或当压缩包的病毒信息包含用于表示压缩包为病毒文件的标志时,根据该标志确定压缩包为病毒文件。
可选地,在本实施例的一种实现方式中,接收模块22还用于接收服务器返回的包含指示信息的第二响应消息,其中,在压缩包的扫描结果显示未确定压缩包是否与病毒相关时,所述服务器根据预设策略生成所述第二响应消息。此时,处理模块23还用于根据所述指示信息确定扫描压缩包中的哪个/哪些文件。进一步可选地,如图2中的虚线框所示,处理模块23可以包括第二处理子模块232。第二处理子模块232,用于执行以下处理:当指示信息包含用于表示无需扫描任何文件的标志时,不扫描压缩包中的任何文件;或,当指示信息包含用于表示需扫描所有文件的标志时,解压压缩包并扫描压缩包中的所有文件;或,当指示信息包含用于表示需扫描压缩包中的灰文件的第三标志以及用于表示灰文件的第四标志时,根据第四标志解压并扫描灰文件,其中,灰文件是指未确定是否为病毒文件的文件;或,当指示信息包含用于表示需根据扫描级别确定扫描对象的标志时,根据扫描级别确定解压并扫描压缩包中的所有文件或不扫描压缩包中的任何文件。
在本实施例及其各种实现方式中,关于各个模块/子模块所执行处理的详细说明请参见方法实施例中的相应说明,此处不赘述。
采用本发明实施例提供的文件扫描装置2,能够在文件扫描过程中降低IO消耗,提高文件扫描效率。
图3是根据本发明实施例的一种服务器的方块示意图,参照图3,服务器3包括存储模块31、接收模块32、查询模块33、处理模块34和发送模块35。下面分别进行说明。
存储模块31,用于保存压缩包数据,压缩包数据包含不同压缩包的特征值及相应的扫描结果。
接收模块32,用于接收文件扫描装置发送的查询请求,查询请求包含文件扫描装置当前扫描到的压缩包的特征值。
查询模块33,用于根据特征值从压缩包数据中查询压缩包的扫描结果。
处理模块34,用于在压缩包的扫描结果显示压缩包与病毒相关时,根据压缩包的扫描结果生成包含压缩包的病毒信息的第一响应消息。
发送模块35,用于将第一响应消息发送给文件扫描装置。
可选地,在本实施例的一种实现方式中,如图3中虚线框所示,处理模块34包括第一处理子模块341。
第一处理子模块341,用于执行以下处理:当压缩包的扫描结果显示所述压缩包中的至少一个文件为病毒文件时,根据压缩包的扫描结果生成这样的第一响应消息,在该第一响应消息中,压缩包的病毒信息包含:用于表示所述压缩包包含病毒文件的第一标志以及用于表示压缩包中的病毒文件的第一标志;或,当所述压缩包的扫描结果显示所述压缩包为病毒文件时,根据压缩包的扫描结果生成这样的第一响应消息,在该第一响应消息中,压缩包的病毒信息包含用于表示压缩包为病毒文件的标志。
可选地,在本实施例的一种实现方式中,处理模块34还用于,在压缩包的扫描结果显示未确定压缩包是否与病毒相关时,根据预设策略生成包含指示信息的第二响应消息,所述指示信息用于指示文件扫描装置扫描压缩包中的哪个/哪些文件;发送模块35还用于将第二响应消息发送给文件扫描装置。进一步可选地,如图3中虚线框所示,处理模块34可包括第二处理子模块342。
第二处理子模块342用于执行以下处理:当压缩包的扫描结果显示压缩包中的至少一个文件为灰文件时,灰文件是指未确定是否为病毒文件的文件,根据预设策略生成这样的第二响应消息;该第二响应消息中的指示信息包含用于表示无需扫描任何文件的标志,或,该第二响应消息中的指示信息包含用于表示需扫描所有文件的标志,或,该第二响应消息中的指示信息包含用于表示需扫描压缩包中的灰文件的第三标志以及用于表示灰文件的第四标志,或,该第二响应消息中的指示信息包含用于表示需按照扫描级别确定扫描所有文件或不扫描任何文件的标志。
在本实施例或其各种实现方式中,关于各个模块/子模块所执行处理的详细说明请参见方法实施例中的相应说明,此处不赘述。
采用本发明实施例提供的服务器3,能够与文件扫描装置2配合,提高文件扫描效率。
图4是根据本发明实施例的一种文件扫描系统的方块示意图,参照图4,文件扫描系统包括文件扫描装置2和服务器3,关于二者的说明请参见前文相应说明,此处不赘述。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,智能手机或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (17)
1.一种文件扫描方法,其特征在于,所述方法包括:
向服务器发送查询请求,所述查询请求包含当前扫描到的压缩包的特征值;
接收所述服务器返回的响应消息并根据接收到的响应消息进行处理,其中,如果接收到所述服务器返回的包含所述压缩包的病毒信息的第一响应消息,则根据所述压缩包的病毒信息确定与所述压缩包相关的病毒文件;
其中,所述服务器根据所述特征值从预存储的压缩包数据中查询所述压缩包的扫描结果,如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则根据所述压缩包的扫描结果生成所述第一响应消息,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果。
2.如权利要求1所述的方法,其特征在于,根据所述压缩包的病毒信息确定与所述压缩包相关的病毒文件,包括:
当所述压缩包的病毒信息包含用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第二标志时,根据所述第二标志确定所述压缩包中的病毒文件;或
当所述压缩包的病毒信息包含用于表示所述压缩包为病毒文件的标志时,根据该标志确定所述压缩包为病毒文件。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
如果接收到所述服务器返回的包含指示信息的第二响应消息,则根据所述指示信息确定扫描所述压缩包中的哪个/哪些文件;
其中,在所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关时,所述服务器根据预设策略生成所述第二响应消息。
4.如权利要求3所述的方法,其特征在于,根据所述指示信息确定扫描所述压缩包中的哪个/哪些文件,包括:当所述指示信息包含用于表示无需扫描任何文件的标志时,不扫描所述压缩包中的任何文件;或,
当所述指示信息包含用于表示需扫描所有文件的标志时,解压所述压缩包并扫描所述压缩包中的所有文件;或,
当所述指示信息包含用于表示需扫描所述压缩包中的灰文件的第三标志以及用于表示所述灰文件的第四标志时,根据所述第四标志解压并扫描所述灰文件,其中,所述灰文件是指未确定是否为病毒文件的文件;或,
当所述指示信息包含用于表示需根据扫描级别确定扫描对象的标志时,根据扫描级别确定解压并扫描所述压缩包中的所有文件或不扫描所述压缩包中的任何文件。
5.一种文件扫描方法,其特征在于,所述方法包括:
接收文件扫描装置发送的查询请求,所述查询请求包含所述文件扫描装置当前扫描到的压缩包的特征值;
根据所述特征值从预存储的压缩包数据中查询所述压缩包的扫描结果,其中,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果;
如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则根据所述压缩包的扫描结果生成包含所述压缩包的病毒信息的第一响应消息;
将所述第一响应消息发送给所述文件扫描装置。
6.如权利要求5所述的方法,其特征在于,如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则根据所述压缩包的扫描结果生成包含所述压缩包的病毒信息的第一响应消息,包括:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第二标志;或,
当所述压缩包的扫描结果显示所述压缩包为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包为病毒文件的标志。
7.如权利要求5或6所述的方法,其特征在于,所述方法还包括:
如果所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关,则根据预设策略生成包含指示信息的第二响应消息,所述指示信息用于指示所述文件扫描装置扫描所述压缩包中的哪个/哪些文件;
将所述第二响应消息发送给所述文件扫描装置。
8.如权利要求7所述的方法,其特征在于,如果所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关,则根据预设策略生成包含指示信息的第二响应消息,包括:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为灰文件时,所述灰文件是指未确定是否为病毒文件的文件,根据预设策略生成这样的第二响应消息:
该第二响应消息中的指示信息包含用于表示无需扫描任何文件的标志,或,
该第二响应消息中的指示信息包含用于表示需扫描所有文件的标志,或,
该第二响应消息中的指示信息包含用于表示需扫描所述压缩包中的所述灰文件的第三标志以及用于表示所述灰文件的第四标志,或,
该第二响应消息中的指示信息包含用于表示需按照扫描级别确定扫描所有文件或不扫描任何文件的标志。
9.一种文件扫描装置,其特征在于,所述文件扫描装置包括:
发送模块,用于向服务器发送查询请求,所述查询请求包含当前扫描到的压缩包的特征值;
接收模块,用于接收所述服务器返回的包含所述压缩包的病毒信息的第一响应消息,其中,所述服务器根据所述特征值从预存储的压缩包数据中查询所述压缩包的扫描结果,如果所述压缩包的扫描结果显示所述压缩包与病毒相关,则所述服务器根据所述压缩包的扫描结果生成所述第一响应消息,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果;
处理模块,用于根据所述压缩包的病毒信息确定与所述压缩包相关的病毒文件。
10.如权利要求9所述的装置,其特征在于,所述处理模块包括用于执行以下处理的第一处理子模块:
当所述压缩包的病毒信息包含用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第二标志时,根据所述第二标志确定所述压缩包中的病毒文件;或
当所述压缩包的病毒信息包含用于表示所述压缩包为病毒文件的标志时,根据该标志确定所述压缩包为病毒文件。
11.如权利要求9或10所述的装置,其特征在于,
所述接收模块还用于,接收所述服务器返回的包含指示信息的第二响应消息,其中,在所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关时,所述服务器根据预设策略生成所述第二响应消息;
所述处理模块还用于,根据所述指示信息确定扫描所述压缩包中的哪个/哪些文件。
12.如权利要求11所述的装置,其特征在于,所述处理模块包括用于执行以下处理的第二子模块:
当所述指示信息包含用于表示无需扫描任何文件的标志时,不扫描所述压缩包中的任何文件;或,
当所述指示信息包含用于表示需扫描所有文件的标志时,解压所述压缩包并扫描所述压缩包中的所有文件;或,
当所述指示信息包含用于表示需扫描所述压缩包中的灰文件的第三标志以及用于表示所述灰文件的第四标志时,根据所述第四标志解压并扫描所述灰文件,其中,所述灰文件是指未确定是否为病毒文件的文件;或,
当所述指示信息包含用于表示需根据扫描级别确定扫描对象的标志时,根据扫描级别确定解压并扫描所述压缩包中的所有文件或不扫描所述压缩包中的任何文件。
13.一种服务器,其特征在于,所述服务器包括:
存储模块,用于保存压缩包数据,所述压缩包数据包含不同压缩包的特征值及相应的扫描结果;
接收模块,用于接收文件扫描装置发送的查询请求,所述查询请求包含所述文件扫描装置当前扫描到的压缩包的特征值;
查询模块,用于根据所述特征值从所述压缩包数据中查询所述压缩包的扫描结果;
处理模块,用于在所述压缩包的扫描结果显示所述压缩包与病毒相关时,根据所述压缩包的扫描结果生成包含所述压缩包的病毒信息的第一响应消息;
发送模块,用于将所述第一响应消息发送给所述文件扫描装置。
14.如权利要求13所述的服务器,其特征在于,所述处理模块包括用于执行以下处理的第一处理子模块:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包包含病毒文件的第一标志以及用于表示所述压缩包中的病毒文件的第一标志;或,
当所述压缩包的扫描结果显示所述压缩包为病毒文件时,根据所述压缩包的扫描结果生成这样的第一响应消息,该第一响应消息中的所述压缩包的病毒信息包含:用于表示所述压缩包为病毒文件的标志。
15.如权利要求13或14所述的服务器,其特征在于:
所述处理模块还用于,在所述压缩包的扫描结果显示未确定所述压缩包是否与病毒相关时,根据预设策略生成包含指示信息的第二响应消息,所述指示信息用于指示所述文件扫描装置扫描所述压缩包中的哪个/哪些文件;
所述发送模块还用于,将所述第二响应消息发送给所述文件扫描装置。
16.如权利要求15所述的服务器,其特征在于,所述处理模块包括用于执行以下处理的第二处理子模块:
当所述压缩包的扫描结果显示所述压缩包中的至少一个文件为灰文件时,所述灰文件是指未确定是否为病毒文件的文件,根据预设策略生成这样的第二响应消息;
该第二响应消息中的指示信息包含用于表示无需扫描任何文件的标志,或,
该第二响应消息中的指示信息包含用于表示需扫描所有文件的标志,或,
该第二响应消息中的指示信息包含用于表示需扫描所述压缩包中的所述灰文件的第三标志以及用于表示所述灰文件的第四标志,或,
该第二响应消息中的指示信息包含用于表示需按照扫描级别确定扫描所有文件或不扫描任何文件的标志。。
17.一种文件扫描系统,其特征在于,所述文件扫描系统包括如权利要求9~12中任一项所述的文件扫描装置和如权利要求13~16中任一项所述的服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510037384.9A CN104573518B (zh) | 2015-01-23 | 2015-01-23 | 文件扫描方法、装置、服务器及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510037384.9A CN104573518B (zh) | 2015-01-23 | 2015-01-23 | 文件扫描方法、装置、服务器及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104573518A true CN104573518A (zh) | 2015-04-29 |
| CN104573518B CN104573518B (zh) | 2019-03-26 |
Family
ID=53089556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510037384.9A Active CN104573518B (zh) | 2015-01-23 | 2015-01-23 | 文件扫描方法、装置、服务器及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104573518B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105279258A (zh) * | 2015-10-21 | 2016-01-27 | Tcl集团股份有限公司 | 一种均衡分布的文件存储方法及系统 |
| CN106254497A (zh) * | 2016-08-19 | 2016-12-21 | 北京金山安全管理系统技术有限公司 | 一种对黑文件查询中的黑文件进行统计的方法 |
| CN109145602A (zh) * | 2018-07-06 | 2019-01-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种勒索软件攻击的防护方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101308533A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 病毒查杀的方法、装置和系统 |
| CN101930515A (zh) * | 2010-08-27 | 2010-12-29 | 奇智软件(北京)有限公司 | 一种对压缩文件进行安全解压缩的系统及方法 |
| CN102982284A (zh) * | 2012-11-30 | 2013-03-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
| CN103177217A (zh) * | 2013-04-08 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种文件扫描方法、系统及客户端和服务器 |
| CN103530557A (zh) * | 2013-03-12 | 2014-01-22 | Tcl集团股份有限公司 | 一种基于云端海量样本的病毒apk的扫描方法及系统 |
-
2015
- 2015-01-23 CN CN201510037384.9A patent/CN104573518B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101308533A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 病毒查杀的方法、装置和系统 |
| CN101930515A (zh) * | 2010-08-27 | 2010-12-29 | 奇智软件(北京)有限公司 | 一种对压缩文件进行安全解压缩的系统及方法 |
| CN102982284A (zh) * | 2012-11-30 | 2013-03-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
| CN103530557A (zh) * | 2013-03-12 | 2014-01-22 | Tcl集团股份有限公司 | 一种基于云端海量样本的病毒apk的扫描方法及系统 |
| CN103177217A (zh) * | 2013-04-08 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种文件扫描方法、系统及客户端和服务器 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105279258A (zh) * | 2015-10-21 | 2016-01-27 | Tcl集团股份有限公司 | 一种均衡分布的文件存储方法及系统 |
| CN105279258B (zh) * | 2015-10-21 | 2020-01-14 | Tcl集团股份有限公司 | 一种均衡分布的文件存储方法及系统 |
| CN106254497A (zh) * | 2016-08-19 | 2016-12-21 | 北京金山安全管理系统技术有限公司 | 一种对黑文件查询中的黑文件进行统计的方法 |
| CN106254497B (zh) * | 2016-08-19 | 2019-03-26 | 北京金山安全管理系统技术有限公司 | 一种对黑文件查询中的黑文件进行统计的方法 |
| CN109145602A (zh) * | 2018-07-06 | 2019-01-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种勒索软件攻击的防护方法及装置 |
| CN109145602B (zh) * | 2018-07-06 | 2020-06-02 | 成都亚信网络安全产业技术研究院有限公司 | 一种勒索软件攻击的防护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104573518B (zh) | 2019-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021164178A1 (zh) | 基于云技术的文件分片上传方法、装置、设备及存储介质 | |
| US20210209373A1 (en) | Media authentication using distributed ledger | |
| WO2019075978A1 (zh) | 数据传输方法、装置、计算机设备和存储介质 | |
| US20130007008A1 (en) | Hash algorithm-based data storage method and system | |
| CN109766707B (zh) | 基于区块链的数据处理方法、装置、设备和介质 | |
| CN102693297B (zh) | 数据处理方法、节点和提取、转换和加载etl系统 | |
| CN106161633B (zh) | 一种基于云计算环境下打包文件的传输方法及系统 | |
| CN105338090A (zh) | 一种基于WebSocket的断点续传方法及装置 | |
| WO2017215646A1 (zh) | 数据传输方法和装置 | |
| US11461276B2 (en) | Method and device for deduplication | |
| US20200210411A1 (en) | Data storage in blockchain-type ledger | |
| KR20140107705A (ko) | 디지털 문서의 에비던스 저장 방법 및 시스템 | |
| CN113535432B (zh) | 数据分流方法、装置、电子设备及存储介质 | |
| WO2017097106A1 (zh) | 一种文件差量的传输方法以及装置 | |
| CN115146285A (zh) | 一种文件加密、解密方法及装置 | |
| CN113301111A (zh) | 数字孪生方法、边缘计算设备、移动终端及存储介质 | |
| CN115244524A (zh) | 使用可信环境进行不经意传输的方法和装置 | |
| CN108710547B (zh) | 一种数据备份方法、装置、终端及存储介质 | |
| CN104573518A (zh) | 文件扫描方法、装置、服务器及系统 | |
| WO2021027252A1 (zh) | 块链式账本中的数据存储方法、装置及设备 | |
| CN101150593A (zh) | 一种上传数据的方法及系统 | |
| CN105812427A (zh) | 文件上传和下载方法、装置、及文件服务器 | |
| US9418169B2 (en) | Extracting document data from multiple sources for display on a mobile communication device using HTTP request headers having XML strings therein | |
| CN106332556A (zh) | 传输云端文件的方法、终端及云端服务器 | |
| JP2014178734A (ja) | キャッシュ装置、データ書込方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |