CN105631327A - 病毒查杀方法和系统、及客户端 - Google Patents
病毒查杀方法和系统、及客户端 Download PDFInfo
- Publication number
- CN105631327A CN105631327A CN201510946692.3A CN201510946692A CN105631327A CN 105631327 A CN105631327 A CN 105631327A CN 201510946692 A CN201510946692 A CN 201510946692A CN 105631327 A CN105631327 A CN 105631327A
- Authority
- CN
- China
- Prior art keywords
- file
- client
- target killing
- server
- killing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种病毒查杀方法和系统、及客户端,涉及互联网安全技术领域,其中,方法包括:客户端监控系统启动过程中加载的模块,并确定各模块是否安全;客户端将系统环境信息发送给服务器,以便服务器根据所述系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件;客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全;客户端根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。本发明实施例可以实现对病毒的有效查杀。
Description
技术领域
本发明涉及互联网安全技术领域,尤其是一种病毒查杀方法和系统、及客户端。
背景技术
随着互联网安全技术的发展,云查杀已经越来越普及。在云查杀中,各个客户端与服务器保持着即时的通讯,当有一个客户端发现未知恶意文件时,服务端也就是云端,迅速把恶意文件的特征入库并下发到其他客户端,这样就以最快的速度扼杀了病毒木马的传播。云查杀相比传统的查杀方式具有更强的及时性和更强大的对未知病毒的探测性,可以把安全领域带入了一个崭新的更高的“云端”。
目前,所有的云查杀技术都是通过扫描注册表和系统中的文件,将其特征例如MD5(消息摘要算法第五版)等上传到服务器的云端进行比对,如果发现是有问题的文件,就清除注册表相关项,并删除对应文件。这种方法对以往的病毒木马有良好的查杀效果。但是,本发明的发明人发现,由于新的病毒木马采用了新的对抗和隐藏技术,导致目前的云查杀不能将其检测出来。
例如,BYSHELL木马是一个无进程、无DLL(DynamicLinkLibrary,动态链接库)、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和注册表启动项,然后在关机时恢复。由于木马在启动后删除了自身的文件和注册表启动项,导致在云查杀的时候根本无法查杀,而在关机前,木马可以再回写自身,从而绕过了云查杀。又例如,利用白文件的木马,比如a.exe是个白程序,会通过LoadLibrary加载其可能用到的b.dll,但由于没有对b.dll进行验证,导致木马可以替换b.dll,从而达到加载木马的目的。另外,其也可以在加载后删除自身,然后关机时回写等,并抹掉自身的DLL模块,以内存代码方式存在和执行。
因此,有必要提出一种方案能够对实现对上述病毒的有效查杀。
发明内容
本发明实施例所要解决的一个技术问题是:提供一种病毒查杀方法和系统、及客户端,以实现对病毒的有效查杀。
本发明实施例提供的一种病毒查杀方法,包括:客户端监控系统启动过程中加载的模块,并确定各模块是否安全;客户端将系统环境信息发送给服务器,以便服务器根据所述系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件;客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全;客户端根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。
在基于本发明上述方法的另一个实施例中,所述客户端监控系统启动过程中加载的模块,并确定各模块是否安全包括:客户端记录各模块所在的路径和文件特征;客户端将各模块的文件特征发送给服务器,以便服务器根据各模块的文件特征确定各模块是否安全;客户端接收服务器返回的各模块是否安全的结果。
在基于本发明上述方法的另一个实施例中,所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:客户端扫描目标查杀文件的文件特征并发送给服务器;服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;客户端接收服务器返回的所述目标查杀文件是否安全的结果。
在基于本发明上述方法的另一个实施例中,所述服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全包括:服务器判断根据目标查杀文件的文件特征是否能确定目标查杀文件是否安全;若根据目标查杀文件的文件特征能确定目标查杀文件是否安全,则服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;若根据目标查杀文件的文件特征不能确定目标查杀文件是否安全,则服务器向客户端获取目标查杀文件及其上下文环境的属性,并根据目标查杀文件的文件特征、目标查杀文件及其上下文环境的属性确定目标查杀文件是否安全。
在基于本发明上述方法的另一个实施例中,还包括:服务器接收客户端上传的样本文件;服务器计算每个样本文件被鉴别为可疑的概率;服务器根据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序;服务器从排序后的全部样本文件中抽取若干个样本文件作为目标查杀文件。
在基于本发明上述方法的另一个实施例中,还包括:客户端计算接收到的目标查杀文件被鉴别为可疑的概率;客户端根据每个目标查杀文件被鉴别为可疑的概率对全部目标查杀文件进行排序;客户端从排序后的全部目标查杀文件中抽取若干个目标查杀文件作为所述目标查杀文件,并上传给服务器。
在基于本发明上述方法的另一个实施例中,所述扫描信息还包括扫描条件;所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:客户端根据扫描条件对所述目标查杀文件进行筛选;客户端对筛选后的目标查杀文件进行扫描以确定筛选后的目标查杀文件是否安全。
在基于本发明上述方法的另一个实施例中,所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:判断所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致;若所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致,则判断客户端中保存的文件属性信息对应的文件是否为恶意文件;若客户端中保存的文件属性信息对应的文件为恶意文件,则判定所述目标查杀文件为不安全文件;若客户端中保存的文件属性信息对应的文件为非恶意文件,则判定所述目标查杀文件为安全文件。
在基于本发明上述方法的另一个实施例中,所述客户端根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀包括:若所述目标查杀文件不安全,则客户端清除或修复所述目标查杀文件;若所述目标查杀文件安全、且与所述目标查杀文件相关的模块中存在不安全的模块,则客户端清除或修复所述目标查杀文件;若与所述目标查杀文件不相关的模块中存在不安全的模块,则客户端将不安全模块的启动项清除并强制重启系统。
在基于本发明上述方法的另一个实施例中,所述客户端修复所述目标查杀文件包括:客户端将所述目标查杀文件的名称和版本号上传到服务器,以便服务器判断所述目标查杀文件是否支持修复;若所述目标查杀文件支持修复,则客户端将所述目标查杀文件的文件信息上传到服务器,以便服务器根据所述目标查杀文件的文件信息提供文件下载接口,所述文件信息包括文件目录、文件名称和版本号中的一项或多项信息;客户端根据服务器提供的文件下载接口下载新文件以替代所述目标查杀文件。
本发明实施例提供的一种客户端,包括:第一扫描单元,用于监控系统启动过程中加载的模块,并确定各模块是否安全;发送单元,用于将系统环境信息发送给服务器,以便服务器根据所述系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件;第二扫描单元,用于对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全;病毒查杀单元,用于根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。
在基于本发明上述客户端的另一个实施例中,所述第一扫描单元包括:记录模块,用于记录各模块所在的路径和文件特征;发送模块,用于将各模块的文件特征发送给服务器,以便服务器根据各模块的文件特征确定各模块是否安全;接收模块,用于接收服务器返回的各模块是否安全的结果。
在基于本发明上述客户端的另一个实施例中,所述第二扫描单元包括:扫描模块,用于扫描目标查杀文件的文件特征并发送给服务器,以便服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;接收模块,用于接收服务器返回的所述目标查杀文件是否安全的结果。
在基于本发明上述客户端的另一个实施例中,还包括:计算单元,用于计算接收到的目标查杀文件被鉴别为可疑的概率;排序单元,用于根据每个目标查杀文件被鉴别为可疑的概率对全部目标查杀文件进行排序;抽取单元,用于从排序后的全部目标查杀文件中抽取若干个目标查杀文件作为所述目标查杀文件,并上传给服务器。
在基于本发明上述客户端的另一个实施例中,所述扫描信息还包括扫描条件;所述第二扫描单元具体用于:根据扫描条件对所述目标查杀文件进行筛选;对筛选后的目标查杀文件进行扫描以确定筛选后的目标查杀文件是否安全。
在基于本发明上述客户端的另一个实施例中,所述第二扫描单元具体用于:判断所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致;若所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致,则判断客户端中保存的文件属性信息对应的文件是否为恶意文件;若客户端中保存的文件属性信息对应的文件为恶意文件,则判定所述目标查杀文件为不安全文件;若客户端中保存的文件属性信息对应的文件为非恶意文件,则判定所述目标查杀文件为安全文件。
在基于本发明上述客户端的另一个实施例中,所述病毒查杀单元具体用于:若所述目标查杀文件不安全,则清除或修复所述目标查杀文件;若所述目标查杀文件安全、且与所述目标查杀文件相关的模块中存在不安全的模块,则清除或修复所述目标查杀文件;若与所述目标查杀文件不相关的模块中存在不安全的模块,则将不安全模块的启动项清除并强制重启系统。
在基于本发明上述客户端的另一个实施例中,所述病毒查杀单元包括:上传模块,用于将所述目标查杀文件的名称和版本号上传到服务器,以便服务器判断所述目标查杀文件是否支持修复;若所述目标查杀文件支持修复,则将所述目标查杀文件的文件信息上传到服务器,以便服务器根据所述目标查杀文件的文件信息提供文件下载接口,所述文件信息包括文件目录、文件名称和版本号中的一项或多项信息;下载模块,用于根据服务器提供的文件下载接口下载新文件以替代所述目标查杀文件。
本发明实施例提供的一种病毒查杀系统,包括:上述任意一个实施例所述的客户端和服务器;所述服务器,用于根据系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件。
在基于本发明上述系统的另一个实施例中,所述服务器还用于接收客户端上传的样本文件;计算每个样本文件被鉴别为可疑的概率;根据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序;从排序后的全部样本文件中抽取若干个样本文件作为目标查杀文件。
在基于本发明上述系统的另一个实施例中,所述服务器,还用于判断根据目标查杀文件的文件特征是否能确定目标查杀文件是否安全;若根据目标查杀文件的文件特征能确定目标查杀文件是否安全,则根据目标查杀文件的文件特征确定目标查杀文件是否安全;若根据目标查杀文件的文件特征不能确定目标查杀文件是否安全,则向客户端获取目标查杀文件及其上下文环境的属性,并根据目标查杀文件的文件特征、目标查杀文件及其上下文环境的属性确定目标查杀文件是否安全。
在基于本发明上述系统的另一个实施例中,所述服务器,还用于根据客户端上传的目标查杀文件的名称和版本号判断所述目标查杀文件是否支持修复;根据客户端上传的所述目标查杀文件的文件信息提供文件下载接口,所述文件信息包括文件目录、文件名称和版本号中的一项或多项信息。
基于本发明上述实施例提供的病毒查杀方法和系统、及客户端,一方面,客户端根据服务器下发的扫描信息对目标查杀文件进行扫描,提高了扫描效率;另一方面,客户端在进行病毒查杀时,结合了目标查杀文件是否安全的结果以及系统启动过程中加载的模块是否安全的结果,从而可以对诸如byshell在现有的扫描中无法去除启动信息而关机能够回写的木马病毒进行查杀,另外,也可以对利用白文件的木马病毒进行查杀,实现了对病毒的有效查杀,具有良好的查杀效果。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1是本发明病毒查杀方法一个实施例的流程图;
图2是本发明病毒查杀方法另一个实施例的流程图;
图3是本发明病毒查杀方法中修复目标查杀文件的方法的一个例子;
图4是本发明客户端一个实施例的结构示意图;
图5是本发明客户端另一个实施例的结构示意图;
图6是本发明客户端又一个实施例的结构示意图;
图7是本发明客户端再一个实施例的结构示意图;
图8是本发明客户端还一个实施例的结构示意图;
图9是本发明病毒查杀系统一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1是本发明病毒查杀方法一个实施例的流程图。如图1所示,该实施例的方法包括如下步骤:
步骤102,客户端监控系统启动过程中加载的模块,并确定各模块是否安全。
这里,在系统启动过程中加载的模块可以包括但不限于驱动程序、应用程序(.EXE)、动态链接库(.DLL)等。
在实际应用中,客户端可以通过预设的进程列表对登录过程或支付过程中的危险进程进行监控;或者通过预设的安全的可执行文件列表对登录过程或支付过程中传输的可执行文件进行监控;或者对登录过程或支付过程中的浏览器的调用行为进行监控;或者对登录过程或支付过程中的键盘输入内容的调用进行监控;或者对登录过程或支付过程中客户端传输的数据对象进行监控,例如,当监控到客户端向与登录过程或支付过程无关的对象传输与登录或支付相关的数据时,则拦截所传输的数据对象;或者对登录过程或支付过程中所开启的网页进行监控,例如,在登录过程或支付过程中,用户开启的支付网页可能为恶意第三方伪造的与真实支付网页类似的网页,因此可以对所开启的网页进行监控等。
在一个具体实现方式中,该步骤可以通过如下方式来实现:
首先,客户端记录各模块所在的路径和文件特征,其中,文件特征例如可以是MD5(消息摘要算法第五版)值、SHA1(安全哈希算法)值或通过其他算法对从各模块中抽取的某些内容进行计算得到的特征。文件特征还可以包括该文件可能加载的DLL信息和DLL的描述信息,根据DLL描述信息可以确定该文件是否被木马感染成一个安全性未知的或者危险的文件;或者,文件特征还可以包括判断指定文件/目录是否存在,文件属性是否满足条件(例如文件的MD5值是否为指定的值),指定注册表键/值是否存在,注册表键/值内容是否满足条件,指定进程/服务是否存在等。对于应用程序模块来说,客户端可以记录应用程序所在的路径和文件特征;而对于动态链接库模块来说,除了记录模块所在的路径和文件特征外,还可以记录模块所在进程EXE的文件所在的路径和文件特征。
另外,客户端还可以记录加载的模块的如下信息中的一项或多项:执行程序的文件名称信息、文件描述信息、文件大小信息、文件版本信息、文件特征值信息、内部名称信息、公司名称信息、版权声明信息、产品名称信息、产品版本信息、数字签名公司信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。
然后,客户端将各模块的文件特征发送给服务器,以便服务器根据各模块的文件特征确定各模块是否安全。例如,当网络可用时,客户端可以将各模块的文件特征发送给服务器,服务器可以将各模块的文件特征与数据库中的特征进行比对,如果发现某个模块的文件特征与数据库中的特征能够匹配,则判定该模块不安全,否则,判定该模块安全。另外,服务器根据各模块的文件特征确定各模块是否安全时,在确定预先给定的多个文件是否属于恶意文件类型时,可以根据情况参照一条提取的属性特征或多条属性特征的组合进行判断,这里,提取的属性特征可以包括以下信息中的至少一项:导入导出表和/或代码段循环冗余校验码CRC。在确定待确定的多个文件是否属于普通文件类型时,提取的属性特征至少包括代码段CRC。先保存的每个类型的文件所对应的属性特征信息可以包括以下信息中的至少一个:文件结构、编译器信息、版本信息、数字签名、代码段CRC、导入导出表CRC、SectionCRC、附加数据偏移、Tls值、图标、作者开发环境、制作CRC规则步骤及描述。
之后,客户端接收服务器返回的各模块是否安全的结果。
另外,在确定出各模块中存在不安全的模块后,还可以及时提醒用户进行云查杀,从而达到木马预警的目的。
步骤104,客户端将系统环境信息发送给服务器,以便服务器根据系统环境信息返回扫描信息,其中,扫描信息包括目标查杀文件。
例如,用户主动进行手动查杀或者根据提醒进行手动查杀,或者客户端自动启动查杀功能时,客户端先将系统环境信息发送给服务器。这里,系统环境信息可以包括以下信息中的一项或多项:操作系统版本信息、系统补丁安装信息、软件安装信息、驱动安装信息、活动进程和服务信息。服务器可以根据系统环境信息与服务器中预先配置的条件进行判断,从而确定向客户端返回的扫描信息,该扫描信息包括客户端要进行扫描的目标查杀文件。
在一个实施例中,服务器可以根据如下方式确定扫描信息中的目标查杀文件:服务器接收客户端上传的样本文件;服务器计算每个样本文件被鉴别为可疑的概率,也即不安全的概率;服务器根据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序,例如按照概率的大小进行降序排列;服务器从排序后的全部样本文件中抽取若干个样本文件作为目标查杀文件,例如抽取概率最大的若干个样本文件作为目标查杀文件。
步骤106,客户端对目标查杀文件进行扫描以确定目标查杀文件是否安全。
在实际应用中,服务器可以将技术人员根据恶意病毒利用的位置,例如游戏安装目录、常用软件的安装目录等编写的一段文本或脚本发送给客户端,客户端收到后执行对目标查杀文件的扫描。在一个实施例中,客户端可以对本地引擎内置的扫描位置和扫描信息包括的目标查杀文件均进行扫描。另外,在一个实施例中,为了进一步提高扫描效率,上述扫描信息还可以包括扫描条件;相应地,该实施例中,客户端可以首先根据扫描条件对目标查杀文件进行筛选;然后,客户端对筛选后的目标查杀文件进行扫描以确定筛选后的目标查杀文件是否安全。
可选地,客户端对目标查杀文件进行扫描之前可以进行如下筛选操作:客户端计算接收到的目标查杀文件被鉴别为可疑的概率;客户端根据每个目标查杀文件被鉴别为可疑的概率对全部目标查杀文件进行排序;客户端从排序后的全部目标查杀文件中抽取若干个目标查杀文件作为后续进行扫描的目标查杀文件,并上传给服务器,以便服务器在下一次返回的扫描信息中更新目标查杀文件。
步骤108,客户端根据目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。
具体地,若目标查杀文件不安全,则客户端可以清除或修复目标查杀文件;若目标查杀文件安全、且与目标查杀文件相关的模块中存在不安全的模块,则表明目标查杀文件有可能被木马病毒利用,此时,客户端可以清除或修复目标查杀文件,而按照现有的方式则不做处理;若与目标查杀文件不相关的模块中存在不安全的模块,则客户端可以将不安全模块的启动项清除并强制重启系统,以使得木马没机会回写自身。当然,在目标查杀文件安全、各模块也均安全的情况下,客户端可以不做处理。
另外,也可以在客户端中预设白名单和黑名单列表。对于未在白名单列表中的进程,可以将其直接作为危险进程进行拦截,也可以对用户进行提示,由用户选择允许该进程的执行,或者阻止该进程的执行;或者,可以向用户提供限制这些进程执行的功能,其包括但不限于冻结进程、隔离进程、终止进程。对于在黑名单列表中的当前进程,则可以将当前进程作为危险进程进行拦截。对于既不在白名单也不在黑名单中的进程,可以对用户进行提示,由用户选择是否阻止这些进程的运行,防止未知进程中可能存在的危险进程。
本实施例提供的病毒查杀方法,一方面,客户端根据服务器下发的扫描信息对目标查杀文件进行扫描,提高了扫描效率;另一方面,按照现有的病毒查杀方法,在系统启动早期并且网络未准备好时,大量木马病毒利用该真空期进行工作。而本实施例的客户端在进行病毒查杀时,结合了目标查杀文件是否安全的结果以及系统启动过程中加载的模块是否安全的结果,从而可以对诸如byshell在现有的扫描中无法去除启动信息而关机能够回写的木马病毒进行查杀,另外,也可以对利用白文件的木马病毒进行查杀,实现了对病毒的有效查杀,具有良好的查杀效果。
图1所示步骤106可以通过不同的方式来实现,本发明提供了两种示例性的实现方式,下面分别作出说明。
在一个具体实施例中,可以判断目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致;若目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致,则判断客户端中保存的文件属性信息对应的文件是否为恶意文件;若客户端中保存的文件属性信息对应的文件为恶意文件,则判定目标查杀文件为不安全文件;若客户端中保存的文件属性信息对应的文件为非恶意文件,则判定目标查杀文件为安全文件。
在另一个具体实施例中,可以如图2所示,该实施例中的步骤106可以包括:
步骤116,客户端扫描目标查杀文件的文件特征并发送给服务器。
与上类似地,文件特征例如可以是MD5值等。
步骤126,服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全。
在一个实现方式中,服务器可以直接根据目标查杀文件的文件特征确定目标查杀文件是否安全。
在另一个实现方式中,服务器先判断根据目标查杀文件的文件特征是否能确定目标查杀文件是否安全。例如,服务器将目标查杀文件的文件特征与数据库中的特征进行分析对比,如果发现数据库中存在匹配记录,判定可以根据目标查杀文件的文件特征能确定目标查杀文件是否安全,则服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;否则,判定根据目标查杀文件的文件特征不能确定目标查杀文件是否安全,服务器向客户端获取进一步需要的条件,例如目标查杀文件的属性和目标查杀文件的上下文环境的属性,然后根据目标查杀文件的文件特征、目标查杀文件的属性和目标查杀文件上下文环境的属性确定目标查杀文件是否安全。
步骤136,客户端接收服务器返回的目标查杀文件是否安全的结果。
在确定目标查杀文件是否安全之后,可以执行后续步骤108客户端根据目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀的操作,具体实现可以参照图1所示实施例的描述,在此不再赘述。
如上所述,在目标查杀文件不安全,或者目标查杀文件安全、而与目标查杀文件相关的模块中存在不安全的模块的情况下,可以判定目标查杀文件被病毒破坏,此时,客户端可以清除或修复目标查杀文件。本发明还提供了一种示例性的修复目标查杀文件的方法,下面结合图3进行说明。
图3是本发明病毒查杀方法中修复目标查杀文件的方法的一个例子。如图3所示,该方法包括如下步骤:
步骤302,客户端将目标查杀文件的名称和版本号上传到服务器。
步骤304,服务器判断目标查杀文件是否支持修复;若是,即目标查杀文件支持修复,则执行步骤306;若否,即目标查杀文件不支持修复,则执行步骤310。
步骤306,客户端将目标查杀文件的文件信息上传到服务器,以便服务器根据目标查杀文件的文件信息提供文件下载接口,其中,文件信息可以包括但不限于文件目录、文件名称和版本号中的一项或多项信息。服务器根据文件信息提供合适的下载接口。
步骤308,客户端根据服务器提供的文件下载接口下载新文件以替代目标查杀文件,从而实现目标查杀文件的修复。
步骤310,收集目标查杀文件的相关数据,例如文件名称等。
因此,本发明实施例可以通过图1或图2所示的病毒查杀方法确定出目标查杀文件或与其相关的模块不安全,然后可以通过图3所示的方法对目标查杀文件进行修复。
在其他的实施例中,客户端还可以根据服务器下发的查杀方法对目标查杀文件进行查杀,例如对目标查杀文件的属性和上下文环境的属性进行扫描,在目标查杀文件不安全的情况下,可以通过如下方式进行修复:删除指定的注册表键/值、将指定的注册表键/值修改为指定内容、删除指定系统服务项、修复或删除指定程序文件等。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。与上述病毒查杀方法对应地,本发明还提供了一种客户端和病毒查杀系统,对于客户端和系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
图4是本发明客户端一个实施例的结构示意图。该实施例的客户端可用于实现本发明上述各方法实施例。如图4所示,该实施例的客户端包括第一扫描单元401、发送单元402、第二扫描单元403和病毒查杀单元404,下面分别对这几个单元的功能进行说明。
第一扫描单元401可以用于监控系统启动过程中加载的模块,并确定各模块是否安全。
发送单元402可以用于将系统环境信息发送给服务器,以便服务器根据系统环境信息返回扫描信息,扫描信息包括目标查杀文件。
第二扫描单元403可以用于对目标查杀文件进行扫描以确定目标查杀文件是否安全。在一个实施例中,扫描信息还可以包括扫描条件;相应地,第二扫描单元403可以具体用于根据扫描条件对目标查杀文件进行筛选;对筛选后的目标查杀文件进行扫描以确定筛选后的目标查杀文件是否安全。
病毒查杀单元404可以用于根据目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。具体地,作为一个非限制性实施例,病毒查杀单元404可以具体用于:若目标查杀文件不安全,则清除或修复目标查杀文件;若目标查杀文件安全、且与目标查杀文件相关的模块中存在不安全的模块,则清除或修复目标查杀文件;若与目标查杀文件不相关的模块中存在不安全的模块,则将不安全模块的启动项清除并强制重启系统。
本实施例提供的客户端,一方面,可以根据服务器下发的扫描信息对目标查杀文件进行扫描,提高了扫描效率;另一方面,在进行病毒查杀时,结合了目标查杀文件是否安全的结果以及系统启动过程中加载的模块是否安全的结果,从而可以对诸如byshell在现有的扫描中无法去除启动信息而关机能够回写的木马病毒进行查杀,另外,也可以对利用白文件的木马病毒进行查杀,实现了对病毒的有效查杀,具有良好的查杀效果。
图5是本发明客户端另一个实施例的结构示意图。如图5所示,该实施例中的第一扫描单元401可以包括记录模块411、发送模块421和接收模块431,其中:
记录模块411可以用于记录各模块所在的路径和文件特征;
发送模块421可以用于将各模块的文件特征发送给服务器,以便服务器根据各模块的文件特征确定各模块是否安全;
接收模块431可以用于接收服务器返回的各模块是否安全的结果。
第二扫描单元403的功能可以通过不同的方式来实现,在一个实现方式中,第二扫描单元403具体可以用于:判断所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致;若所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致,则判断客户端中保存的文件属性信息对应的文件是否为恶意文件;若客户端中保存的文件属性信息对应的文件为恶意文件,则判定所述目标查杀文件为不安全文件;若客户端中保存的文件属性信息对应的文件为非恶意文件,则判定所述目标查杀文件为安全文件。
在另一个实现方式中,如图6所示,为本发明客户端又一个实施例的结构示意图。如图6所示,该实施例中的第二扫描单元403可以包括扫描模块413和接收模块423,其中:
扫描模块413可以用于扫描目标查杀文件的文件特征并发送给服务器,以便服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;
接收模块423可以用于接收服务器返回的目标查杀文件是否安全的结果。
图7是本发明客户端再一个实施例的结构示意图。如图7所示,该实施例中的病毒查杀单元404可以包括上传模块414和下载模块424,其中:
上传模块414可以用于将目标查杀文件的名称和版本号上传到服务器,以便服务器判断目标查杀文件是否支持修复;若目标查杀文件支持修复,则将目标查杀文件的文件信息上传到服务器,以便服务器根据目标查杀文件的文件信息提供文件下载接口,其中,文件信息包括文件目录、文件名称和版本号中的一项或多项信息;
下载模块424可以用于根据服务器提供的文件下载接口下载新文件以替代目标查杀文件。
图8是本发明客户端还一个实施例的结构示意图。如图8所示,该实施例的客户端还可以包括计算单元801、排序单元802和抽取单元803,其中:
计算单元801用于计算接收到的目标查杀文件被鉴别为可疑的概率;
排序单元802用于根据每个目标查杀文件被鉴别为可疑的概率对全部目标查杀文件进行排序;
抽取单元803用于从排序后的全部目标查杀文件中抽取若干个目标查杀文件作为所述目标查杀文件,并上传给服务器。
图9是本发明病毒查杀系统一个实施例的结构示意图。如图9所示,该实施例的系统可以包括上述任意一个实施例所述的客户端901和服务器902;其中,服务器902用于根据系统环境信息返回扫描信息,扫描信息包括目标查杀文件。
本发明病毒查杀系统的另一个实施例中,服务器902还可以用于接收客户端上传的样本文件;计算每个样本文件被鉴别为可疑的概率;根据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序;从排序后的全部样本文件中抽取若干个样本文件作为目标查杀文件。
本发明病毒查杀系统的另一个实施例中,服务器902还可以用于判断根据目标查杀文件的文件特征是否能确定目标查杀文件是否安全;若根据目标查杀文件的文件特征能确定目标查杀文件是否安全,则根据目标查杀文件的文件特征确定目标查杀文件是否安全;若根据目标查杀文件的文件特征不能确定目标查杀文件是否安全,则向客户端获取目标查杀文件及其上下文环境的属性,并根据目标查杀文件的文件特征、目标查杀文件及其上下文环境的属性确定目标查杀文件是否安全。
本发明病毒查杀系统的又一个实施例中,服务器902还可以用于根据客户端上传的目标查杀文件的名称和版本号判断目标查杀文件是否支持修复;根据客户端上传的目标查杀文件的文件信息提供文件下载接口,文件信息包括文件目录、文件名称和版本号中的一项或多项信息。
本发明实施例提供了以下技术方案:
1、一种病毒查杀方法,包括:
客户端监控系统启动过程中加载的模块,并确定各模块是否安全;
客户端将系统环境信息发送给服务器,以便服务器根据所述系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件;
客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全;
客户端根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。
2、根据1所述的方法,所述客户端监控系统启动过程中加载的模块,并确定各模块是否安全包括:
客户端记录各模块所在的路径和文件特征;
客户端将各模块的文件特征发送给服务器,以便服务器根据各模块的文件特征确定各模块是否安全;
客户端接收服务器返回的各模块是否安全的结果。
3、根据1所述的方法,所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:
客户端扫描目标查杀文件的文件特征并发送给服务器;
服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;
客户端接收服务器返回的所述目标查杀文件是否安全的结果。
4、根据3所述的方法,所述服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全包括:
服务器判断根据目标查杀文件的文件特征是否能确定目标查杀文件是否安全;
若根据目标查杀文件的文件特征能确定目标查杀文件是否安全,则服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;
若根据目标查杀文件的文件特征不能确定目标查杀文件是否安全,则服务器向客户端获取目标查杀文件及其上下文环境的属性,并根据目标查杀文件的文件特征、目标查杀文件及其上下文环境的属性确定目标查杀文件是否安全。
5、根据1所述的方法,还包括:
服务器接收客户端上传的样本文件;
服务器计算每个样本文件被鉴别为可疑的概率;
服务器根据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序;
服务器从排序后的全部样本文件中抽取若干个样本文件作为目标查杀文件。
6、根据1所述的方法,在客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全之前,还包括:
客户端计算接收到的目标查杀文件被鉴别为可疑的概率;
客户端根据每个目标查杀文件被鉴别为可疑的概率对全部目标查杀文件进行排序;
客户端从排序后的全部目标查杀文件中抽取若干个目标查杀文件作为所述目标查杀文件,并上传给服务器。
7、根据1所述的方法,所述扫描信息还包括扫描条件;
所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:
客户端根据扫描条件对所述目标查杀文件进行筛选;
客户端对筛选后的目标查杀文件进行扫描以确定筛选后的目标查杀文件是否安全。
8、根据1所述的方法,所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:
判断所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致;
若所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致,则判断客户端中保存的文件属性信息对应的文件是否为恶意文件;
若客户端中保存的文件属性信息对应的文件为恶意文件,则判定所述目标查杀文件为不安全文件;若客户端中保存的文件属性信息对应的文件为非恶意文件,则判定所述目标查杀文件为安全文件。
9、根据1所述的方法,所述客户端根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀包括:
若所述目标查杀文件不安全,则客户端清除或修复所述目标查杀文件;
若所述目标查杀文件安全、且与所述目标查杀文件相关的模块中存在不安全的模块,则客户端清除或修复所述目标查杀文件;
若与所述目标查杀文件不相关的模块中存在不安全的模块,则客户端将不安全模块的启动项清除并强制重启系统。
10、根据9所述的方法,所述客户端修复所述目标查杀文件包括:
客户端将所述目标查杀文件的名称和版本号上传到服务器,以便服务器判断所述目标查杀文件是否支持修复;
若所述目标查杀文件支持修复,则客户端将所述目标查杀文件的文件信息上传到服务器,以便服务器根据所述目标查杀文件的文件信息提供文件下载接口,所述文件信息包括文件目录、文件名称和版本号中的一项或多项信息;
客户端根据服务器提供的文件下载接口下载新文件以替代所述目标查杀文件。
11、一种客户端,包括:
第一扫描单元,用于监控系统启动过程中加载的模块,并确定各模块是否安全;
发送单元,用于将系统环境信息发送给服务器,以便服务器根据所述系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件;
第二扫描单元,用于对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全;
病毒查杀单元,用于根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。
12、根据11所述的客户端,所述第一扫描单元包括:
记录模块,用于记录各模块所在的路径和文件特征;
发送模块,用于将各模块的文件特征发送给服务器,以便服务器根据各模块的文件特征确定各模块是否安全;
接收模块,用于接收服务器返回的各模块是否安全的结果。
13、根据11所述的客户端,所述第二扫描单元包括:
扫描模块,用于扫描目标查杀文件的文件特征并发送给服务器,以便服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;
接收模块,用于接收服务器返回的所述目标查杀文件是否安全的结果。
14、根据11所述的客户端,还包括:
计算单元,用于计算接收到的目标查杀文件被鉴别为可疑的概率;
排序单元,用于根据每个目标查杀文件被鉴别为可疑的概率对全部目标查杀文件进行排序;
抽取单元,用于从排序后的全部目标查杀文件中抽取若干个目标查杀文件作为所述目标查杀文件,并上传给服务器。
15、根据11所述的客户端,所述扫描信息还包括扫描条件;
所述第二扫描单元具体用于:根据扫描条件对所述目标查杀文件进行筛选;对筛选后的目标查杀文件进行扫描以确定筛选后的目标查杀文件是否安全。
16、根据11所述的客户端,所述第二扫描单元具体用于:
判断所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致;
若所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致,则判断客户端中保存的文件属性信息对应的文件是否为恶意文件;
若客户端中保存的文件属性信息对应的文件为恶意文件,则判定所述目标查杀文件为不安全文件;若客户端中保存的文件属性信息对应的文件为非恶意文件,则判定所述目标查杀文件为安全文件。
17、根据11所述的客户端,所述病毒查杀单元具体用于:
若所述目标查杀文件不安全,则清除或修复所述目标查杀文件;
若所述目标查杀文件安全、且与所述目标查杀文件相关的模块中存在不安全的模块,则清除或修复所述目标查杀文件;
若与所述目标查杀文件不相关的模块中存在不安全的模块,则将不安全模块的启动项清除并强制重启系统。
18、根据11所述的客户端,所述病毒查杀单元包括:
上传模块,用于将所述目标查杀文件的名称和版本号上传到服务器,以便服务器判断所述目标查杀文件是否支持修复;若所述目标查杀文件支持修复,则将所述目标查杀文件的文件信息上传到服务器,以便服务器根据所述目标查杀文件的文件信息提供文件下载接口,所述文件信息包括文件目录、文件名称和版本号中的一项或多项信息;
下载模块,用于根据服务器提供的文件下载接口下载新文件以替代所述目标查杀文件。
19、一种病毒查杀系统,包括:11-18任意一项所述的客户端和服务器;
所述服务器,用于根据系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件。
20、根据19所述的系统,所述服务器还用于接收客户端上传的样本文件;计算每个样本文件被鉴别为可疑的概率;根据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序;从排序后的全部样本文件中抽取若干个样本文件作为目标查杀文件。
21、根据19所述的系统,所述服务器,还用于判断根据目标查杀文件的文件特征是否能确定目标查杀文件是否安全;若根据目标查杀文件的文件特征能确定目标查杀文件是否安全,则根据目标查杀文件的文件特征确定目标查杀文件是否安全;若根据目标查杀文件的文件特征不能确定目标查杀文件是否安全,则向客户端获取目标查杀文件及其上下文环境的属性,并根据目标查杀文件的文件特征、目标查杀文件及其上下文环境的属性确定目标查杀文件是否安全。
22、根据21所述的系统,所述服务器,还用于根据客户端上传的目标查杀文件的名称和版本号判断所述目标查杀文件是否支持修复;根据客户端上传的所述目标查杀文件的文件信息提供文件下载接口,所述文件信息包括文件目录、文件名称和版本号中的一项或多项信息。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
可能以许多方式来实现本发明的方法、客户端和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法、客户端和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种病毒查杀方法,其特征在于,包括:
客户端监控系统启动过程中加载的模块,并确定各模块是否安全;
客户端将系统环境信息发送给服务器,以便服务器根据所述系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件;
客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全;
客户端根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。
2.根据权利要求1所述的方法,其特征在于,所述客户端监控系统启动过程中加载的模块,并确定各模块是否安全包括:
客户端记录各模块所在的路径和文件特征;
客户端将各模块的文件特征发送给服务器,以便服务器根据各模块的文件特征确定各模块是否安全;
客户端接收服务器返回的各模块是否安全的结果。
3.根据权利要求1所述的方法,其特征在于,所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:
客户端扫描目标查杀文件的文件特征并发送给服务器;
服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;
客户端接收服务器返回的所述目标查杀文件是否安全的结果。
4.根据权利要求3所述的方法,其特征在于,所述服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全包括:
服务器判断根据目标查杀文件的文件特征是否能确定目标查杀文件是否安全;
若根据目标查杀文件的文件特征能确定目标查杀文件是否安全,则服务器根据目标查杀文件的文件特征确定目标查杀文件是否安全;
若根据目标查杀文件的文件特征不能确定目标查杀文件是否安全,则服务器向客户端获取目标查杀文件及其上下文环境的属性,并根据目标查杀文件的文件特征、目标查杀文件及其上下文环境的属性确定目标查杀文件是否安全。
5.根据权利要求1所述的方法,其特征在于,还包括:
服务器接收客户端上传的样本文件;
服务器计算每个样本文件被鉴别为可疑的概率;
服务器根据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序;
服务器从排序后的全部样本文件中抽取若干个样本文件作为目标查杀文件。
6.根据权利要求1所述的方法,其特征在于,在客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全之前,还包括:
客户端计算接收到的目标查杀文件被鉴别为可疑的概率;
客户端根据每个目标查杀文件被鉴别为可疑的概率对全部目标查杀文件进行排序;
客户端从排序后的全部目标查杀文件中抽取若干个目标查杀文件作为所述目标查杀文件,并上传给服务器。
7.根据权利要求1所述的方法,其特征在于,所述扫描信息还包括扫描条件;
所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:
客户端根据扫描条件对所述目标查杀文件进行筛选;
客户端对筛选后的目标查杀文件进行扫描以确定筛选后的目标查杀文件是否安全。
8.根据权利要求1所述的方法,其特征在于,所述客户端对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全包括:
判断所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致;
若所述目标查杀文件的全部文件属性信息是否与客户端中保存的文件的文件属性信息一致,则判断客户端中保存的文件属性信息对应的文件是否为恶意文件;
若客户端中保存的文件属性信息对应的文件为恶意文件,则判定所述目标查杀文件为不安全文件;若客户端中保存的文件属性信息对应的文件为非恶意文件,则判定所述目标查杀文件为安全文件。
9.一种客户端,其特征在于,包括:
第一扫描单元,用于监控系统启动过程中加载的模块,并确定各模块是否安全;
发送单元,用于将系统环境信息发送给服务器,以便服务器根据所述系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件;
第二扫描单元,用于对所述目标查杀文件进行扫描以确定所述目标查杀文件是否安全;
病毒查杀单元,用于根据所述目标查杀文件是否安全的结果和各模块是否安全的结果进行病毒查杀。
10.一种病毒查杀系统,其特征在于,包括:权利要求9所述的客户端和服务器;
所述服务器,用于根据系统环境信息返回扫描信息,所述扫描信息包括目标查杀文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510946692.3A CN105631327A (zh) | 2015-12-16 | 2015-12-16 | 病毒查杀方法和系统、及客户端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510946692.3A CN105631327A (zh) | 2015-12-16 | 2015-12-16 | 病毒查杀方法和系统、及客户端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105631327A true CN105631327A (zh) | 2016-06-01 |
Family
ID=56046251
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510946692.3A Pending CN105631327A (zh) | 2015-12-16 | 2015-12-16 | 病毒查杀方法和系统、及客户端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105631327A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107025404A (zh) * | 2017-03-28 | 2017-08-08 | 武汉斗鱼网络科技有限公司 | 一种监控进程的方法及装置 |
WO2020220842A1 (zh) * | 2019-04-30 | 2020-11-05 | 中兴通讯股份有限公司 | 应用控制方法、终端及计算机可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7809686B2 (en) * | 2005-10-06 | 2010-10-05 | Guidance Software, Inc. | Electronic discovery system and method |
CN102663288A (zh) * | 2012-03-22 | 2012-09-12 | 奇智软件(北京)有限公司 | 病毒查杀方法及装置 |
CN102810138A (zh) * | 2012-06-19 | 2012-12-05 | 北京奇虎科技有限公司 | 一种用户端文件的修复方法和系统 |
CN102982281A (zh) * | 2012-11-09 | 2013-03-20 | 北京奇虎科技有限公司 | 程序状况检测方法和系统 |
CN102982278A (zh) * | 2012-10-31 | 2013-03-20 | 北京奇虎科技有限公司 | 一种扫描文件的方法、装置和系统 |
CN103034808A (zh) * | 2012-11-30 | 2013-04-10 | 北京奇虎科技有限公司 | 扫描方法、设备和系统以及云端管理方法和设备 |
CN104598806A (zh) * | 2014-11-24 | 2015-05-06 | 北京奇虎科技有限公司 | 一种进行登录检测的方法和装置 |
CN103390130B (zh) * | 2013-07-18 | 2017-04-05 | 北京奇虎科技有限公司 | 基于云安全的恶意程序查杀的方法、装置和服务器 |
-
2015
- 2015-12-16 CN CN201510946692.3A patent/CN105631327A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7809686B2 (en) * | 2005-10-06 | 2010-10-05 | Guidance Software, Inc. | Electronic discovery system and method |
CN102663288A (zh) * | 2012-03-22 | 2012-09-12 | 奇智软件(北京)有限公司 | 病毒查杀方法及装置 |
CN102810138A (zh) * | 2012-06-19 | 2012-12-05 | 北京奇虎科技有限公司 | 一种用户端文件的修复方法和系统 |
CN102982278A (zh) * | 2012-10-31 | 2013-03-20 | 北京奇虎科技有限公司 | 一种扫描文件的方法、装置和系统 |
CN102982281A (zh) * | 2012-11-09 | 2013-03-20 | 北京奇虎科技有限公司 | 程序状况检测方法和系统 |
CN103034808A (zh) * | 2012-11-30 | 2013-04-10 | 北京奇虎科技有限公司 | 扫描方法、设备和系统以及云端管理方法和设备 |
CN103390130B (zh) * | 2013-07-18 | 2017-04-05 | 北京奇虎科技有限公司 | 基于云安全的恶意程序查杀的方法、装置和服务器 |
CN104598806A (zh) * | 2014-11-24 | 2015-05-06 | 北京奇虎科技有限公司 | 一种进行登录检测的方法和装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107025404A (zh) * | 2017-03-28 | 2017-08-08 | 武汉斗鱼网络科技有限公司 | 一种监控进程的方法及装置 |
CN107025404B (zh) * | 2017-03-28 | 2020-04-10 | 武汉斗鱼网络科技有限公司 | 一种监控进程的方法及装置 |
WO2020220842A1 (zh) * | 2019-04-30 | 2020-11-05 | 中兴通讯股份有限公司 | 应用控制方法、终端及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
US9948670B2 (en) | Cloud security-based file processing by generating feedback message based on signature information and file features | |
JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
US10972488B2 (en) | Method and system for modeling all operations and executions of an attack and malicious process entry | |
US8689330B2 (en) | Instant messaging malware protection | |
CN102982284B (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 | |
JP5011436B2 (ja) | コンピュータプログラムの悪意ある行為を見つける方法及び装置 | |
US8108536B1 (en) | Systems and methods for determining the trustworthiness of a server in a streaming environment | |
CN103390130B (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
JP5599892B2 (ja) | リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 | |
CN103034808B (zh) | 扫描方法、设备和系统以及云端管理方法和设备 | |
US20130160126A1 (en) | Malware remediation system and method for modern applications | |
US20180082061A1 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
US8561180B1 (en) | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises | |
CN103617395A (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
CN102663288A (zh) | 病毒查杀方法及装置 | |
GB2531514B (en) | Malware detection method | |
CN108768934B (zh) | 恶意程序发布检测方法、装置以及介质 | |
CN103714269A (zh) | 病毒的识别方法及设备 | |
CN105631327A (zh) | 病毒查杀方法和系统、及客户端 | |
Delosières et al. | Infrastructure for detecting Android malware | |
CN102598008A (zh) | Windows内核改变搜索方法 | |
WO2022133474A1 (en) | Software build system protection engine | |
CN112528286A (zh) | 终端设备安全检测方法、关联设备以及计算机程序产品 | |
Willems | The good and the bad about AV multi scanner services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160601 |