WO2013041016A1

WO2013041016A1 - 处理计算机病毒的方法和装置

Info

Publication number: WO2013041016A1
Application number: PCT/CN2012/081574
Authority: WO
Inventors: 谢重阳; 付旻; 邹贵强
Original assignee: 北京奇虎科技有限公司
Priority date: 2011-09-19
Filing date: 2012-09-19
Publication date: 2013-03-28
Also published as: US20160014144A1; US20150020203A1; US10165001B2

Abstract

公开了一种多杀毒引擎并行杀毒方法。多杀毒引擎中包括至少一个第一杀毒引擎和至少一个第二杀毒引擎。多杀毒引擎并行杀毒方法包括：调用第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，第一扫描结果中包括第一分类文件中的确定文件（101）；调用第二杀毒引擎，对待查杀文件中除第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果（102）；输出第一扫描结果和第二扫描结果（103）。还公开了一种多杀毒引擎并行杀毒装置、一种处理计算机病毒的方法以及一种处理计算机病毒的装置。本方案采用并行杀毒的方式，根据不同杀毒引擎的查杀特点，通过第一杀毒引擎对第一分类文件进行查杀，第一杀毒引擎无法查杀的文件再通过第二杀毒引擎进行查杀，因此可以有效利用系统资源，使得多个杀毒引擎不会重复对同一文件进行扫描。

Description

处理计算机病毒的方法和装置

本申请要求于 2011 年 9 月 19 号提交中国专利局、申请号为 201110278462.6、发明名称为 "多杀毒引擎并行杀毒方法及系统"，以及要求于 2011年 9月 19号提交中国专利局、申请号为 201110277746.3、发明名称为 "处理计算机病毒的方法及装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及计算机技术领域，尤其涉及一种处理计算机病毒的方法和装置以及多杀毒引擎并行杀毒方法和装置。背景技术

计算机病毒是编制或者在计算机程序中插入的破坏计算机功能的数据，其会影响计算机的正常使用并且能够自我复制，通常以一组计算机指令或者程序代码的形式呈现。而杀毒引擎就是一套判断特定程序行为是否为病毒程序（包括可疑程序）的技术机制。杀毒引擎是杀毒软件的主要部分，是检测和发现病毒的程序，而病毒库是已经发现的病毒的特征集合。在杀毒过程中，用病毒库中的特征去对照机器中的所有程序或文件，对于符合这些特征的程序或文件，判定为病毒。

发明人在对现有技术的研究过程中发现，每一次釆用杀毒引擎进行杀毒的过程均相互独立，即无论前一次釆用杀毒引擎对文件进行扫描后输出何种结果，下一次仍然釆用杀毒引擎对所有文件进行扫描，前后两次扫描过程中发现的病毒文件类型可能相同。由此可知，虽然杀毒引擎具有杀毒功能强大的特点，但是每次釆用杀毒引擎对所有文件进行扫描时，都将占用大量的系统资源。发明内容鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减緩上述问题的处理计算机病毒的方法和装置以及多杀毒引擎并行杀毒方法和装置。

根据本发明的一个方面，提供了一种多杀毒引擎并行杀毒方法，所述多杀毒引擎中包括至少一个第一杀毒引擎和至少一个第二杀毒引擎，所述方法包括：

调用所述第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，所述第一扫描结果中包括所述第一分类文件中的确定文件；

调用所述第二杀毒引擎，对所述待查杀文件中除所述第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果；

输出所述第一扫描结果和第二扫描结果。

根据本发明的另一个方面，提供了一种多杀毒引擎并行杀毒装置，所述多杀毒引擎中包括至少一个第一杀毒引擎和至少一个第二杀毒引擎，所述装置包括：

第一调用单元，用于调用所述第一杀毒引擎；

第一扫描单元，用于通过所述第一杀毒引擎对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，所述第一扫描结果中包括所述第一分类文件中的确定文件；

第二调用单元，用于调用所述第二杀毒引擎；

第二扫描单元，用于通过所述第二杀毒引擎对所述待查杀文件中除所述第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果；

输出单元，用于输出所述第一扫描结果和第二扫描结果。

根据本发明的另一方面，提供了一种处理计算机病毒的方法，其中，预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同，所述方法包括：

获取待扫描文件；按照所述若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对所述待扫描文件进行扫描。

根据本发明的另一方面，提供了一种处理计算机病毒的装置，包括：设置单元，用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同；

获取单元，用于获取待扫描文件；

扫描单元，用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调用相应的病毒扫描方式对所述待扫描文件进行扫描。

根据本发明的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器根据权利要求 1-6中的任一项所述的多杀毒引擎并行杀毒方法和 /或执行根据权利要求 12-17中的任一项所述的处理计算机病毒的方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了如权利要求 22所述的计算机程序。

本申请实施例应用至少一个第一杀毒引擎和至少一个第二杀毒引擎进行多杀毒引擎并行杀毒，其中调用第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，第一扫描结果中包括第一分类文件中的确定文件，调用第二杀毒引擎，对待查杀文件中除第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果，输出第一扫描结果和第二扫描结果。本申请实施例应用多个杀毒引擎进行杀毒时，釆用并行杀毒的方式，根据不同杀毒引擎的查杀特点，通过第一杀毒引擎对第一分类文件进行查杀，第一杀毒引擎无法查杀的文件再通过第二杀毒引擎进行查杀，因此可以有效利用系统资源，使得多个杀毒引擎不会重复对同一文件进行扫描。

本申请实施例中预先设置若干病毒扫描方式，这些病毒扫描方式在进行文件扫描时所占用的系统资源不同，获取待扫描文件，按照若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对待扫描文件进行扫描。应用本申请实施例对文件进行病毒扫描，由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式，因此可以先通过占用系统资源较少的病毒扫描方式，例如内存扫描方式对文件进行扫描，从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量，由此提高系统的病毒扫描速度，节约系统资源；进一步，由于占用系统资源较小的内存扫描方式可以保存前一次扫描的扫描结果，因此再次扫描时，可以通过内存扫描方式确定大部分文件的扫描结果，从而进一步提升扫描速度。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图 1示意性示出了根据本发明一个实施例的多杀毒引擎并行杀毒方法的流程图；

图 2示意性示出了根据本发明一个实施例的多杀毒引擎并行杀毒方法的流程图；

图 3示意性示出了根据本发明一个实施例的多杀毒引擎并行杀毒方法的流程图；

图 4示意性示出了根据本发明一个实施例的多杀毒引擎并行杀毒装置的框图；

图 5示意性示出了图 4中第一扫描单元的框图；

图 6示意性示出了根据本发明一个实施例的处理计算机病毒的方法的流程图；

图 7示意性示出了根据本发明一个实施例的处理计算机病毒的方法的流程图；

图 8示意性示出了根据本发明一个实施例的处理计算机病毒的方法的流程图；

图 9示意性示出了根据本发明一个实施例的处理计算机病毒的装置的框图；

图 10 示意性示出了根据本发明一个实施例的处理计算机病毒的装置的框图；

图 11示意性地示出了用于执行根据本发明的方法的服务器的框图；以及

图 12 示意性地示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元。具体实施方式

下面结合附图和具体的实施方式对本发明作进一步的描述。

在多杀毒引擎中，包括了至少一个第一杀毒引擎和至少一个第二杀毒引擎。

参见图 1 , 为本申请多杀毒引擎并行杀毒方法的第一实施例流程图：步骤 101 : 调用第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，第一扫描结果中包括第一分类文件中的确定文件。

本申请实施例中，第一分类文件优选为 PE类型文件；至少一个第一杀毒引擎包括：用于查杀 PE ( Portable Execute, 可移植执行体）类型文件的云查杀引擎，和 /或 QVM ( Qihoo Virtual Machine, 人工智能引擎）引擎。其中， PE类型文件通常指 Windows操作系统上的程序文件，常见的 PE类型文件包括 EXE、 DLL, OCX, SYS、 COM等类型文件。

本申请实施例中，并行杀毒过程表示当第一杀毒引擎在查杀过程中，可以将已查杀过的文件中的未确定文件输入到第二杀毒引擎中进行查杀，而不必等到第一杀毒引擎查杀完所有待查杀文件，再由第二杀毒引擎进行查杀。同理；如果第一杀毒引擎至少有两个，则至少两个第一杀毒引擎之间的查杀过程也釆用前述并行查杀的方式。

进一步，本申请实施例中由于第一杀毒引擎对第一分类文件进行扫描，因此可以根据第一分类文件的分类特征识别待查杀文件中的第一分类文件，再由第一杀毒引擎进行查杀；或者，第一杀毒引擎具有识别第一分类文件的功能，在查杀过程中对属于第一分类文件的待查杀文件进行查杀，其它文件则输入到第二杀毒引擎中进行查杀。

步骤 102: 调用第二杀毒引擎，对待查杀文件中除所述第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果。

第二杀毒引擎主要指对除第一分类文件外的其它文件进行扫描的杀毒引擎，需要说明的是，该第二杀毒引擎可以具有对所有分类文件进行查杀的能力，本实施例通过并行查杀的方式减少每一种杀毒引擎的查杀数量，从而提高查杀速度，以便有效利用系统资源。本实施例中第二杀毒引擎可以包括至少一个杀毒引擎，例如，该第二杀毒引擎可以为 Bit Defender杀毒引擎，和 /或小红伞杀毒引擎，和 /或其它现有已存在的杀毒引擎等。

第一杀毒引擎和第二杀毒引擎之间的并行查杀过程可以具体描述如下：顺序获取待查杀文件中预设数量的文件，通过第一杀毒引擎对预设数量的文件中的第一分类文件进行扫描，得到包括预设数量的文件中的确定文件的第一扫描结果，本实施例中的确定文件主要指可以由第一文件确定的恶意文件和 /或非恶意文件；将预设数量的文件中除确定文件以外的其它文件输入到第二杀毒引擎，由第二杀毒引擎进行扫描；当未扫描完所有待查杀文件时，返回顺序获取待查杀文件中预设数量的文件的步骤，直至通过第一杀毒引擎扫描完所有待查杀文件。

步骤 103: 输出第一扫描结果和第二扫描结果。

参见图 2, 为本申请多杀毒引擎并行杀毒方法的第二实施例流程图：步骤 201 : 调用第一杀毒引擎。

本实施例中，第一杀毒引擎可以指代一种类型的杀毒引擎，从数量上来说，其可以为一个或者多个，本申请实施例不进行限制。例如，该第一杀毒引擎可以是专门用于查杀 PE类型文件的杀毒引擎，优选的，包括云查杀引擎，和 /或 QVM引擎。

步骤 202: 顺序获取待查杀文件中预设数量的文件。

应用本实施例对待查杀文件进行扫描时，无需等待第一杀毒引擎查杀完所有文件后，再由第二杀毒引擎进行查杀。因此，本申请实施例可以预先设定一个文件获取数量，例如，每次获取 100个文件，即每一次向第一杀毒引擎输入 100个文件进行查杀。

步骤 203 : 根据第一分类文件的分类特征识别预设数量的文件中的第一分类文件。第一杀毒引擎具有识别第一分类文件的功能，因此对于输入到第一杀毒引擎中的预设数量的文件，该第一杀毒引擎逐个进行查杀，其中，对于每一个文件，该第一杀毒引擎首先根据第一分类文件的分类特征识别该文件是否为第一分类文件。

步骤 204: 通过第一杀毒引擎对预设数量的文件中的第一分类文件进行扫描，得到包括预设数量的文件中的确定文件的第一扫描结果。

第一杀毒引擎根据对文件的识别结果，如果当前待查杀文件是第一分类文件，则按照杀毒引擎中保存的黑名单，和 /或白名单对该文件进行查杀，如果难以通过保存的黑名单，和 /或白名单确定该文件的属性，则将该文件输入第二杀毒引擎进行查杀；如果当前待查杀文件不是第一分类文件，则直接输入到第二杀毒引擎进行扫描。

步骤 205 : 将预设数量的文件中除该确定文件以外的其它文件输入到第二杀毒引擎，同时执行步骤 206和步骤 207。

由于本实施例中第一杀毒引擎和第二杀毒引擎并行杀毒，因此对于经过第一杀毒引擎扫描后的预设数量文件中的不确定文件则输入到第二杀毒引擎中进行查杀，因此执行步骤 207; 同时，由于第一杀毒引擎每次扫描预设数量的文件，因此需要判断是否扫描完所有待查杀文件，以便在没有查杀完所有文件时，返回步骤 202继续由第一杀毒引擎对未查杀的文件进行扫描。

步骤 206: 判断第一杀毒引擎是否扫描完所有待查杀文件，若是，则执行步骤 207; 否则，返回步骤 202。

步骤 207: 通过第二杀毒引擎对待查杀文件中除第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果。

步骤 208: 输出第一扫描结果和第二扫描结果。

参见图 3 , 为本申请多杀毒引擎并行杀毒方法的第三实施例流程图，该实施例以第一杀毒引擎为云查杀引擎和 QVM引擎为例进行描述：

步骤 301 : 调用云查杀引擎。

步骤 302: 通过云查杀引擎保存的黑名单和白名单对待查杀文件中的 PE类型文件进行扫描，过滤与黑名单匹配的恶意文件，以及与白名单匹配的非恶意文件。

云查杀引擎内预先保存了黑名单和白名单，黑名单中包含了已经确认的恶意 PE类型文件，白名单中包含了已经确认的非恶意 PE类型文件。在查杀 PE 类型文件时，首先对输入的待查杀文件的类别进行判断，如果是 PE类型文件，则将该文件与黑名单和白名单进行匹配，如果不是 PE类型文件，则将该文件输入下一个杀毒引擎进行查杀。

本实施例中， PE类型文件是一种可以被 WINDOWS操作系统直接加载运行的程序，这类文件的运行无需系统对其进行解释，或者无需其它软件进行支持。 PE类型文件的结构中包含了大量的 PE信息，可以基于这些 PE信息提取 PE文件的结构特征。其中， PE文件的结构特征可以包括： PE 文件头特征、 PE 标准头特征、 PE可选头特征、数据目录特征、常用节表特征。

步骤 303 : 将待查杀文件中除通过云查杀引擎过滤的恶意文件和非恶意文件外的其它文件输入 QVM引擎。

步骤 304: 调用 QVM引擎。

步骤 305: 通过 QVM引擎保存的黑名单对其它文件中的 PE类型文件进行扫描，过滤与黑名单匹配的恶意文件。

QVM 引擎中预先保存了黑名单，黑名单中包含来了已经确认的恶意 PE类型文件，虽然都可以对 PE类型文件进行查杀，但是 QVM引擎和云查杀引擎的查杀能力有所不同，因此经过云查杀后不确定的文件可以由 QVM引擎进行进一步查杀。

步骤 306:将其它文件中除通过 QVM引擎过滤的恶意文件外的文件输入所述第二杀毒引擎。

步骤 307: 调用第二杀毒引擎。

步骤 308: 对待查杀文件中除第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果。

步骤 309: 输出第一扫描结果和第二扫描结果。

需要说明的是，上述实施例中，云查杀引擎、 QVM引擎以及第二杀毒引擎之间釆用并行查杀的方式，即从云查杀引擎开始，其顺序对待查杀文件中预设数量的文件进行查杀，查杀结果中不确定的文件输入 QVM 引擎进行查杀， QVM引擎难以确定的文件输入到第二杀毒引擎中进行查杀；云查杀引擎在将查杀结果中不确定的文件输入 QVM 引擎后，再次对下一批预设数量的文件进行查杀，也即各个杀毒 ^ I擎同时进行查杀。由上述实施例可见，本申请在应用多个杀毒引擎进行杀毒时，釆用并行杀毒的方式，根据不同杀毒引擎的查杀特点，通过第一杀毒引擎对第一分类文件进行查杀，第一杀毒引擎无法查杀的文件再通过第二杀毒引擎进行查杀，因此可以有效利用系统资源，使得多个杀毒引擎不会重复对同一文件进行扫描。

在本发明的一个方面，与本申请多杀毒引擎并行杀毒方法的实施例相对应，本申请还提供了多杀毒引擎并行杀毒装置的实施例。其中，多杀毒引擎中包括至少一个第一杀毒引擎和至少一个第二杀毒引擎。

参见图 4, 为本申请的一个实施例的多杀毒引擎并行杀毒装置的框图。该装置包括：第一调用单元 410、第一扫描单元 420、第二调用单元

430、第二扫描单元 440和输出单元 450。

其中，第一调用单元 410, 用于调用所述第一杀毒引擎；

第一扫描单元 420 , 用于通过所述第一杀毒引擎对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，所述第一扫描结果中包括所述第一分类文件中的确定文件；

第二调用单元 430, 用于调用所述第二杀毒引擎；

第二扫描单元 440 , 用于通过所述第二杀毒引擎对所述待查杀文件中除所述第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果；

输出单元 450, 用于输出所述第一扫描结果和第二扫描结果。

进一步，该装置还可以包括识别单元（图 4中未示出）：用于根据第一分类文件的分类特征识别所述待查杀文件中的第一分类文件。

在应用本申请的一个实施例的多杀毒引擎并行杀毒装置进行杀毒时，优选的，第一分类文件为 PE类型文件，至少一个第一杀毒引擎可以具体为查杀 PE类型文件的云查杀引擎，和 /或 QVM引擎。

其中，当第一杀毒引擎为云查杀引擎时：

所述第一调用单元，具体用于调用所述云查杀引擎；

所述第一扫描单元，具体用于通过所述云查杀引擎保存的黑名单和白名单对所述待查杀文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件，以及与所述白名单匹配的非恶意文件；将所述待查杀文件中除通过云查杀引擎过滤的恶意文件和非恶意文件外的其它文件输入所述第二杀毒引擎。

其中，当第一杀毒引擎为 QVM引擎时：

所述第一调用单元，具体用于调用所述 QVM引擎；

所述第一扫描单元，具体用于通过所述 QVM 引擎保存的黑名单对所述待查杀文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件；将所述待查杀文件中除通过 QVM 引擎过滤的恶意文件外的其它文件输入所述第二杀毒引擎。

其中，当所述第一杀毒引擎为云查杀引擎和 QVM引擎时：

所述第一调用单元，具体用于调用所述云查杀引擎；

所述第一扫描单元，具体用于通过所述云查杀引擎保存的黑名单和白名单对所述待查杀文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件，以及与所述白名单匹配的非恶意文件，所述待查杀文件中除通过云查杀引擎过滤的恶意文件和非恶意文件外的其它文件输入所述 QVM引擎；

所述第一调用单元，还用于调用所述 QVM引擎；

所述第一扫描单元，还用于通过所述 QVM 引擎保存的黑名单对所述其它文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件，将所述其它文件中除通过 QVM 引擎过滤的恶意文件外的文件输入所述第二杀毒引擎。

参见图 5 , 为图 4中第一扫描单元 420的实施例框图：

该第一扫描单元 420包括：

获取文件子单元 421 , 用于顺序获取所述待查杀文件中预设数量的文件；

扫描文件子单元 422, 用于通过所述第一杀毒引擎对所述预设数量的文件中的第一分类文件进行扫描，得到包括所述预设数量的文件中的确定文件的第一扫描结果；

输入文件子单元 423 , 用于将所述预设数量的文件中除所述确定文件以外的其它文件输入到所述第二杀毒引擎；

判断触发子单元 424, 用于当未扫描完所有待查杀文件时，返回触发执行所述获取文件子单元 421 的功能，直至通过所述第一杀毒引擎扫描完所有待查杀文件。通过对以上实施方式的描述可知，本申请实施例应用至少一个第一杀毒引擎和至少一个第二杀毒引擎进行多杀毒引擎并行杀毒，其中调用第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，第一扫描结果中包括第一分类文件中的确定文件，调用第二杀毒引擎，对待查杀文件中除第一分类文件中的确定文件以外的其它文件进行扫描，获得第二扫描结果，输出第一扫描结果和第二扫描结果。本申请实施例应用多个杀毒引擎进行杀毒时，釆用并行杀毒的方式，根据不同杀毒引擎的查杀特点，通过第一杀毒引擎对第一分类文件进行查杀，第一杀毒引擎无法查杀的文件再通过第二杀毒引擎进行查杀，因此可以有效利用系统资源，使得多个杀毒引擎不会重复对同一文件进行扫描。

在本发明的一个方面，提供了一种处理计算机病毒的方法。

参见图 6, 为本申请处理计算机病毒的方法的第一实施例流程图：步骤 601 : 预先设置若干病毒扫描方式，若干病毒扫描方式在进行文件扫描时所占用的系统资源不同。

其中，若干病毒扫描方式按照占用系统资源从小到大顺序排列，包括下述至少两种方式：根据緩存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，其中扫描结果包括确定为恶意文件或非恶意文件的文件属性信息，文件属性信息包括文件大小、文件修改时间和文件路径；通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式；通过杀毒引擎进行病毒扫描的引擎扫描方式。

步骤 602: 获取待扫描文件。

步骤 603 : 按照若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对待扫描文件进行扫描。

其中，当若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式，且第一病毒扫描方式占用的系统资源小于第二病毒扫描方式时，先调用第一病毒扫描方式对待扫描文件进行扫描，获得待扫描文件中的确定文件，然后调用第二病毒扫描方式仅对待扫描文件中除确定文件以外的其它文件进行扫描。其中，确定文件指确定为恶意文件或非恶意文件的文件。

具体的，当同时釆用内存扫描方式、名单扫描方式和引擎扫描方式对待扫描文件进行扫描时，首先调用内存扫描方式对待扫描文件进行扫描，获得包含第一确定文件的第一扫描结果，然后调用名单扫描方式仅对待扫描文件中除第一确定文件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果，最后调用引擎扫描方式仅对其它文件中除第二确定文件的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果。

参见图 7, 为本申请处理计算机病毒的方法的第二实施例流程图，该实施例详细描述了釆用三种扫描方式对待扫描文件进行扫描的过程：

步骤 701 : 预先设置按照占用系统资源从小到大顺序排列的内存扫描方式、名单扫描方式和引擎扫描方式。

其中，内存扫描方式指根据緩存中保存的已扫描文件的扫描结果进行病毒扫描，扫描结果包括确定为恶意文件或非恶意文件的文件属性信息，文件属性信息包括文件大小、文件修改时间和文件路径等；名单扫描方式指通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描；引擎扫描方式指通过杀毒引擎进行病毒扫描的引擎扫描方式。

步骤 702: 获取待扫描文件。

步骤 703 : 调用内存扫描方式对待扫描文件进行扫描，获得包含第一确定文件的第一扫描结果。

获取待扫描文件的文件属性信息，例如文件大小、文件修改时间和文件路径等。系统中文件属性记录了该文件最后一次被修改后的文件大小、修改时间和文件路径等属性信息，属性信息根据文件的修改进行实时更新。

将文件属性信息与緩存中保存的文件属性信息进行匹配，当待扫描文件的文件属性与緩存中保存的文件属性匹配时，将待扫描文件确定为恶意文件或非恶意文件，当待扫描文件的文件属性与緩存中保存的文件属性不匹配时，将待扫描文件确定为通过名单扫描方式进行扫描的其它文件。由于文件属性信息包括多种信息，因此在进行匹配时可以按照预设顺序对每一种属性信息进行逐一匹配，例如，先匹配文件大小，其次匹配文件修改时间，最后匹配文件路径等。其中，当某一文件的所有属性信息都与緩存中保存的文件属性信息一致时，才确定该文件的文件属性与緩存中保存的文件属性匹配，当某一文件的任意一种属性信息与緩存中保存的文件属性信息不一致时，则确定该文件的文件属性与緩存中保存的文件属性不匹配。

由于内存扫描方式是根据緩存中保存的已扫描文件的扫描结果进行病毒扫描，因此通过匹配获得的第一扫描结果中的确定文件是根据前次扫描已经确定为恶意文件和非恶意文件的文件集合。由于内存信息读取速度快，且前后两次扫描过程中病毒文件发生的变化不大，因此通过内存扫描方式可以对系统中的大部分文件进行查杀，因此提升了查杀速度，节约了系统资源。

步骤 704: 调用名单扫描方式仅对待扫描文件中除第一确定文件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果。

通过预先保存的黑名单进行扫描时，将其它文件中的每一个文件的文件名与黑名单中预先保存的文件名进行比较，当某个文件的文件名与预先保存的文件名匹配时，确定某个文件为属于第二确定文件的恶意文件；通过预先保存的白名单进行扫描时，将其它文件中的每一个文件的文件名与白名单中预先保存的文件名进行比较，当某个文件的文件名与预先保存的文件名匹配时，确定某个文件为属于第二确定文件的非恶意文件。

其中，白名单通常由用户在客户端进行维护，用户将确定为非恶意的文件加入到白名单中进行保存，白名单中可以记录文件的文件名和文件路径等信息；黑名单通常由杀毒软件提供方进行维护，根据监控将确定的恶意文件加入到黑名单中进行保存。

步骤 705 : 调用引擎扫描方式仅对其它文件中除第二确定文件的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果。

釆用引擎扫描方式对剩余文件进行扫描时，可以釆用的杀毒引擎可以包括：云查杀引擎， QVM ( Qihoo Virtual Machine, 人工智能引擎）引擎，小红伞杀毒引擎等任意现有已存在的杀毒引擎。

步骤 706: 根据待扫描文件的扫描结果，将第二确定文件和第三确定文件的文件属性存入緩存中。

由于本次扫描过程中，通过名单扫描方式和引擎扫描方式得到的扫描结果中的确定文件与在緩存中保存的确定文件不同，因此为了进一步提高下一次病毒扫描速度，将第二确定文件和第三确定文件的文件属性，包括文件大小、文件修改时间及文件路径等记录到緩存中，则下一次对这些文件可以直接通过占用系统资源最少的内存扫描方式进行扫描。

参见图 8 , 为本申请处理计算机病毒的方法的第三实施例流程图，该实施例详细示出了通过内存扫描方式对待扫描文件进行扫描的过程：

步骤 801 : 緩存中预先保存已扫描文件的扫描结果，该扫描结果包括确定为恶意文件或非恶意文件的文件属性信息，文件属性信息包括文件大

Ί、、文件修改时间和文件路径。

步骤 802: 顺序获取待扫描文件中的一个文件。

步骤 803 : 获取该文件的文件大小、文件修改时间和文件路径。

系统中文件的文件属性记录了该文件最后一次被修改后的文件大小、修改时间和文件路径等属性信息，属性信息根据文件的修改进行实时更新。

步骤 804: 判断该文件的文件大小是否与预先保存的文件大小匹配，若是，则执行步骤 805 , 否则，执行步骤 809。

步骤 805 : 判断该文件的文件修改时间是否与预先保存的文件修改时间匹配，若是，则执行步骤 806; 否则，执行步骤 809。

步骤 806: 判断该文件的文件路径是否与预先保存的文件路径匹配，若是，则执行步骤 807; 否则，执行步骤 809。

步骤 807: 根据匹配结果将该文件确定为恶意文件或非恶意文件。当某一文件的所有属性信息都与緩存中保存的文件属性信息一致时，才确定该文件的文件属性与緩存中保存的文件属性匹配，此时如果内存中相匹配的文件属性信息对应的文件为恶意文件，则该文件的扫描结果即为恶意文件，如果内存中匹配的文件属性信息对应的文件为非恶意文件，则该文件的扫描结果即为非恶意文件。

步骤 808: 将该文件确定为需要通过其它扫描方式进行扫描的文件。当某一文件的任意一种属性信息与緩存中保存的文件属性信息不一致时，则确定该文件的文件属性与緩存中保存的文件属性不匹配。此时，说明该文件为需要通过除内存扫描方式的其它扫描方式进行扫描，例如，通过前述实施例中示出的名单扫描方式，和 /或弓！擎扫描方式。

步骤 809: 是否匹配完所有待扫描文件，若是，则结束流程，否则，返回步骤 802。由上述本申请实施例可见，在对文件进行病毒扫描时，由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式，因此可以先通过占用系统资源较少的病毒扫描方式，例如内存扫描方式对文件进行扫描，从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量，由此提高系统的病毒扫描速度，节约系统资源；进一步，由于占用系统资源较小的内存扫描方式可以保存前一次扫描的扫描结果，因此再次扫描时，可以通过内存扫描方式确定大部分文件的扫描结果，从而进一步提升扫描速度。

在本发明的另一方面，与本申请处理计算机病毒的方法的实施例相对应，本申请还提供了处理计算机病毒的装置的实施例。

参见图 9, 为本申请处理计算机病毒的装置的第一实施例框图：该装置包括：设置单元 910、获取单元 920和扫描单元 930。

其中，设置单元 910 , 用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同；

获取单元 920, 用于获取待扫描文件；

扫描单元 930, 用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调用相应的病毒扫描方式对所述待扫描文件进行扫描。

其中，所述设置单元 910中设置的若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式，所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式；

所述扫描单元 930可以具体包括（图 9中未示出）：

第一调用扫描单元，用于调用所述第一病毒扫描方式对所述待扫描文件进行扫描，获得所述待扫描文件中的确定文件；

第二调用扫描单元，用于调用所述第二病毒扫描方式仅对所述待扫描参见图 10, 为本申请处理计算机病毒的装置的第二实施例框图：该装置包括：设置单元 1010、获取单元 1020、扫描单元 1030和存储单元 1040。

其中，设置单元 1010, 用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同；其中，所述设置单元设置的若干病毒扫描方式按照占用系统资源从小到达顺序排列，包括下述至少两种方式：根据緩存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，所述扫描结果包括确定为恶意文件或非恶意文件的文件属性，所述文件属性包括文件大小、文件修改时间和文件路径；通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式；通过杀毒引擎进行病毒扫描的引擎扫描方式；

获取单元 1020, 用于获取待扫描文件；

扫描单元 1030, 用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调用相应的病毒扫描方式对所述待扫描文件进行扫描；该扫描单元 1030 可以包括：第一扫描单元 1031 , 用于调用所述内存扫描方式对所述待扫描文件进行扫描，获得包含第一确定文件的第一扫描结果；第二扫描单元 1032, 用于调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果；第三扫描单元 1033 , 用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果；

存储单元 1040, 用于根据所述第二扫描单元和第三扫描单元的扫描结果，将所述第二确定文件和第三确定文件的文件属性存入緩存中。

具体的，第一扫描单元 1031可以包括（图 10中未示出）：

信息获取单元，用于获取待扫描文件的文件属性信息；

信息匹配单元，用于将所述文件属性信息与緩存中保存的文件属性信息进行匹配；

结果确定单元，用于当待扫描文件的文件属性与緩存中保存的文件属性匹配时，将所述待扫描文件确定为恶意文件或非恶意文件，当待扫描文件的文件属性与緩存中保存的文件属性不匹配时，将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。

具体的，第二扫描单元 1032可以包括（图 10中未示出）：

黑名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于所述第二确定文件的恶意文件；

白名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于所述第二确定文件的非恶意文件。

通过对以上实施方式的描述可知，本申请实施例中预先设置若干病毒扫描方式，这些病毒扫描方式在进行文件扫描时所占用的系统资源不同，获取待扫描文件，按照若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对待扫描文件进行扫描。应用本申请实施例对文件进行病毒扫描，由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式，因此可以先通过占用系统资源较少的病毒扫描方式，例如内存扫描方式对文件进行扫描，从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量，由此提高系统的病毒扫描速度，节约系统资源；进一步，由于占用系统资源较小的内存扫描方式可以保存前一次扫描的扫描结果，因此再次扫描时，可以通过内存扫描方式确定大部分文件的扫描结果，从而进一步提升扫描速度。

本发明的各个模块和部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP ) 来实现根据本发明实施例的处理计算机病毒的装置和多杀毒引擎并行杀毒系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图 11示出了可以实现根据本发明的处理计算机病毒的方法和多杀毒引擎并行杀毒方法的服务器，例如应用服务器。该服务器传统上包括处理器 1110和以存储器 1120形式的计算机程序产品或者计算机可读介质。存储器 1120可以是诸如闪存、 EEPROM (电可擦除可编程只读存储器）、 EPROM,硬盘或者 ROM之类的电子存储器。存储器 1120具有用于执行上述方法中的任何方法步骤的程序代码 1131的存储空间 1130。例如，用于程序代码的存储空间 1130可以包括分别用于实现上面的方法中的各种步骤的各个程序代码 1131。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘（CD )、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图 12所述的便携式或者固定存储单元。该存储单元可以具有与图 11的服务器中的存储器 1120类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码 113 Γ , 即可以由例如诸如 1110之类的处理器读取的代码，这些代码当由服务器运行时，导致该服务器执行上面所描述的方法中的各个步骤。

本文中所称的 "一个实施例"、 "实施例" 或者 "一个或者多个实施例" 意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里 "在一个实施例中" 的词语例子不一定全指同一个实施例。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词 "包含" 不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词 "一" 或 "一个" 不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims

权利要求

1、一种多杀毒引擎并行杀毒方法，所述多杀毒引擎中包括至少一个第一杀毒引擎和至少一个第二杀毒引擎，所述方法包括：

输出所述第一扫描结果和第二扫描结果。

2、根据权利要求 1所述的方法，其中，所述对待查杀文件中的第一分类文件进行扫描之前，还包括：

根据第一分类文件的分类特征识别所述待查杀文件中的第一分类文件。

3、根据权利要求 1所述的方法，其中，所述对所述待查杀文件中的第一分类文件进行扫描包括：

顺序获取所述待查杀文件中预设数量的文件；

通过所述第一杀毒引擎对所述预设数量的文件中的第一分类文件进行扫描，得到包括所述预设数量的文件中的确定文件的第一扫描结果；

将所述预设数量的文件中除所述确定文件以外的其它文件输入到所述第二杀毒引擎；

当未扫描完所有待查杀文件时，返回所述顺序获取所述待查杀文件中预设数量的文件的步骤，直至通过所述第一杀毒引擎扫描完所有待查杀文件。

4、根据权利要求 1至 3任意一项所述的方法，其中，所述第一分类文件中的确定文件包括：所述第一分类文件中确定为恶意文件的文件、和 /或确定为非恶意文件的文件。

5、根据权利要求 4所述的方法，其中，

当所述第一杀毒引擎为云查杀引擎时，所述调用所述第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描包括：调用所述云查杀引擎，通过所述云查杀引擎保存的黑名单和白名单对所述待查杀文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件，以及与所述白名单匹配的非恶意文件；将所述待查杀文件中除通过云查杀引擎过滤的恶意文件和非恶意文件外的其它文件输入所述第二杀毒引擎；

当所述第一杀毒引擎为 QVM 引擎时，所述调用所述第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描包括：

调用所述 QVM引擎，通过所述 QVM引擎保存的黑名单对所述待查杀文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件；将所述待查杀文件中除通过 QVM 引擎过滤的恶意文件外的其它文件输入所述第二杀毒引擎。

6、根据权利要求 4所述的方法，其中，当所述第一杀毒引擎为云查杀引擎和 QVM 引擎时，所述调用所述第一杀毒引擎，对待查杀文件中的第一分类文件进行扫描包括：

调用所述云查杀引擎，通过所述云查杀引擎保存的黑名单和白名单对所述待查杀文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件，以及与所述白名单匹配的非恶意文件；

将所述待查杀文件中除通过云查杀引擎过滤的恶意文件和非恶意文件外的其它文件输入所述 QVM引擎；

调用所述 QVM引擎，通过所述 QVM引擎保存的黑名单对所述其它文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件；

将所述其它文件中除通过 QVM 引擎过滤的恶意文件外的文件输入所述第二杀毒引擎。

7、一种多杀毒引擎并行杀毒装置，所述多杀毒引擎中包括至少一个第一杀毒引擎和至少一个第二杀毒引擎，所述装置包括：

第一调用单元，用于调用所述第一杀毒引擎；

第一扫描单元，用于通过所述第一杀毒引擎对待查杀文件中的第一分类文件进行扫描，获得第一扫描结果，所述第一扫描结果中包括所述第一分类文件中的确定文件；第二调用单元，用于调用所述第二杀毒引擎；

输出单元，用于输出所述第一扫描结果和第二扫描结果。

8、根据权利要求 7所述的装置，其中，还包括：

识别单元，用于根据第一分类文件的分类特征识别所述待查杀文件中的第一分类文件。

9、根据权利要求 7所述的装置，其中，所述第一扫描单元包括：获取文件子单元，用于顺序获取所述待查杀文件中预设数量的文件；扫描文件子单元，用于通过所述第一杀毒引擎对所述预设数量的文件中的第一分类文件进行扫描，得到包括所述预设数量的文件中的确定文件的第一扫描结果；

输入文件子单元，用于将所述预设数量的文件中除所述确定文件以外的其它文件输入到所述第二杀毒引擎；

判断触发子单元，用于当未扫描完所有待查杀文件时，返回触发执行所述获取文件子单元的功能，直至通过所述第一杀毒引擎扫描完所有待查杀文件。

10、根据权利要求 8所述的装置，其中，

所述第一调用单元，具体用于当所述第一当所述第一杀毒引擎为云查杀引擎时，调用所述云查杀引擎；

11、根据权利要求 10所述的装置，其中，

所述第一调用单元，具体用于当所述第一杀毒引擎为 QVM 引擎时，调用所述 QVM引擎；所述第一扫描单元，具体用于通过所述 QVM 引擎保存的黑名单对所述待查杀文件中的 PE类型文件进行扫描，过滤与所述黑名单匹配的恶意文件；将所述待查杀文件中除通过 QVM 引擎过滤的恶意文件外的其它文件输入所述第二杀毒引擎。

12、一种处理计算机病毒的方法，其中，预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同，所述方法包括：

获取待扫描文件；

按照所述若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对所述待扫描文件进行扫描。

13、根据权利要求 12所述的方法，其中，所述若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式，所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式；

所述调用相应的病毒扫描方式对所述待扫描文件进行扫描包括：调用所述第一病毒扫描方式对所述待扫描文件进行扫描，获得所述待扫描文件中的确定文件；

调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它文件进行扫描。

14、根据权利要求 12所述的方法，其中，所述若干病毒扫描方式按照占用系统资源从小到大顺序排列，包括下述至少两种方式：

根据緩存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，所述扫描结果包括确定为恶意文件或非恶意文件的文件属性信息，所述文件属性信息包括文件大小、文件修改时间和文件路径；

通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式；

通过杀毒引擎进行病毒扫描的引擎扫描方式。

15、根据权利要求 14所述的方法，其中，所述按照若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对待扫描的文件进行扫描包括：调用所述内存扫描方式对所述待扫描文件进行扫描，获得包含第一确定文件的第一扫描结果；

调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果；

调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件以外的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果。

16、根据权利要求 15所述的方法，其中，釆用内存扫描方式对所述待扫描文件进行扫描包括：

获取待扫描文件的文件属性信息；

将所述文件属性信息与緩存中保存的文件属性信息进行匹配；当待扫描文件的文件属性与緩存中保存的文件属性匹配时，将所述待扫描文件确定为恶意文件或非恶意文件，当待扫描文件的文件属性与緩存中保存的文件属性不匹配时，将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。

17、根据权利要求 15所述的方法，其中，

通过预先保存的黑名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文件进行扫描包括：

将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于所述第二确定文件的恶意文件；

通过预先保存的白名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文件进行扫描包括：

将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于所述第二确定文件的非恶意文件。

18、一种处理计算机病毒的装置，包括：

设置单元，用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同；

获取单元，用于获取待扫描文件；扫描单元，用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调用相应的病毒扫描方式对所述待扫描文件进行扫描。

19、根据权利要求 18所述的装置，其中，所述设置单元中设置的若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式，所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式；

所述扫描单元包括：

第二调用扫描单元，用于调用所述第二病毒扫描方式仅对所述待扫描

20、根据权利要求 19所述的装置，其中，所述设置单元设置的若干病毒扫描方式按照占用系统资源从小到达顺序排列，包括下述至少两种方式：根据緩存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，所述扫描结果包括确定为恶意文件或非恶意文件的文件属性，所述文件属性包括文件大小、文件修改时间和文件路径；

通过少度引擎进行病毒扫描的引擎扫描方式。

21、根据权利要求 20所述的装置，其中，所述扫描单元包括：第一扫描单元，用于调用所述内存扫描方式对所述待扫描文件进行扫描，获得包含第一确定文件的第一扫描结果；

第二扫描单元，用于调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果；

第三扫描单元，用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果。

22、一种计算机程序，包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 1-6 中的任一项所述的多杀毒引擎并行杀毒方法和 /或执行根据权利要求 12-17中的任一项所述的处理计算机病毒的方法。

23、一种计算机可读介质，其中存储了如权利要求 22所述的计算机程序。