WO2015007224A1

WO2015007224A1 - 基于云安全的恶意程序查杀的方法、装置和服务器

Info

Publication number: WO2015007224A1
Application number: PCT/CN2014/082400
Authority: WO
Inventors: 孔庆龙
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2013-07-18
Filing date: 2014-07-17
Publication date: 2015-01-22
Also published as: US20160164887A1; US10027704B2; CN103390130B; CN103390130A

Abstract

公开了一种査杀恶意程序的方法、装置和服务器。方法包括：启动扫描任务，对待扫描的对象执行扫描操作；计算扫描的文件的索引标识，将索引标识发送给服务器，接收服务器返回的依据索引标识所査找到的与扫描的文件相对应的脚本；执行接收的脚本对扫描的文件进行査杀。解决了因为终端査杀引擎版本更新过程消耗时间较长而导致恶意程序扩散的问题，以及因为对恶意程序査杀操作错误而造成査杀后终端中系统或应用无法正常工作的问题。

Description

基于云安全的恶意程序查杀的方法、装置和服务器

技术领域本发明涉及计算机安全领域，具体涉及一种基于云安全的恶意程序査杀的方法、装置和服务器。

背景技术随着算机的普及，用户端基本上都需要安装杀毒软件对计算机内的文件进行扫描。在杀毒软件进行扫描时，需要大量的 CPU运算和磁盘操作，使得扫描过程漫长而且影响系统速度。而对于计算机里的文件，有很多文件都是相同的，比如 Windows 的文件，很多软件的安装包文件，帮助文件， ϊΐ缩文件等。

传统的查杀恶意程序的技术方案为基于特征码的查杀方式。该查杀方式主要依赖于特征库模式。特库由 Γ商收集到的恶意程序样本的特征码组成，特征码是分析工程师认恶意程序中分祈得出的恶意程序与安全程序的区别特征，例如，该特码可以为截取的一段类似亍 "搜索关键词" 的程序代码。当进行恶意程序判定时，读取文件，并将读取的文件与特征库中的特征码进行匹配，如果发现文件程序代码被命中，则判定该文件程序为恶意程序。

但是，现今全球恶意程序数量呈几何级增长，基于这种爆发式的增速，特征库的生成往往滞后与网络中恶意程序的增长。

现有技术中，当出现新的恶意程序后，需要对新的恶意程序样本进行分析，根据分析结果对各个终端的查杀引擎进行版本更新，该更新过程消耗时间较长，恶意程序容易利用该更新时长进行扩散。

此外，现有技术中当判定文件为恶意程序后，对恶意程序的查杀，例如清除等操作, 由终端本地的查杀引擎进行，该查杀操作通常为通用操作，对处理的文件没有针对性，会因为查杀操作错误，而造成查杀后终端中系统或应用无法正常工作。发明内容鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的查杀恶意程序的方法、装置和服务器。依据本发明的一个方面，提供了一种基于云安全的恶意程序查杀的方法，所述方法包括：

启动扫描任务，对待扫描的对象执行扫描操作；

it算扫描的文件的索引标识，将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本；

执行接收的脚本对扫描的文件进行查杀。

根据本发明的另一方面，提供了一种基于云安全的恶意程序查杀的装置，所述装置包括：

通信单元，适于向服务器发送信息，以及接收服务器返回的信息；

扫描单元，适于启动扫描任务，对待扫描的对象执行扫描操作，计算扫描的文件的索引标识，通过通信单元将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本；

查杀单元，适于执行接收的脚本对扫描的文件进行查杀。

根据本发明的另一方面，提供了一种基于云安全的恶意程序查杀的服务器，所述服务器包括；

存储单元，适亍存储用亍查杀文件的脚本；

通信单元，适亍接收索引标识；

查找单元，适亍依据接收的索引标识从存储单元中查找对应的脚本；

所述通信单元，还适于返回查找到的脚本。

根据本发明的又一方面，提供了一种计算机程序，包括计算机可读代码，当所述计算机可读代码在终端设备上运行时，导致所述终端设备执行根据上述任一个所述的基于云安全的恶意程序查杀的方法。

根据本发明的再一方面，提供了一种计算机可读介质，其中存储了如上所述的计算机程序。

根据本发明的技术方案， β动扫描任务，对待扫描的对象执行扫描操作，计算扫描的文件的索引标识，将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本，执行接收的脚本对扫描的文件进行查杀。由此，能够从服务器获得脚本，执行该脚本来对恶意程序进行及时查杀，而无需等待终端的查杀引擎进行版本更新后才能够对新出现的恶意程序进行查杀；并该脚本是根据文件的索引标识查找到的，脚本与文件相对应，对文件具有针对性，能够避免因为查杀操作错误，而造成查杀后终端中系统或应用无法正常工作。

因此，采用本发明中技术方案，解决了因为终端查杀引擎版本更新过程消耗时间较长而导致恶意程序扩散的问题，以及因为对恶意程序查杀操作错误而造成查杀后终端中系统或应用无法正常工作的问题。并且，取得了对恶意程序进行及时查杀，减少恶意程序扩散范围，以及避免对恶意程序进行错误查杀操作，保证终端中系统或应用正常工作的有益效果。上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个 ^图中，用相同的参考符号表示相同的部件。在图中- 图 1示出了根据本发明一个实施例的基于云安全的恶意程序查杀的装置的结构图；图 2示出了根据本发明一个实施例的基于云安全的恶意程序查杀的服务器的结构图；图 3示出了根据本发明一个实施例的基于云安全的恶意程序查杀的系统的结构图；图 4示出了根据本发明一个实施例的基于云安全的恶意程序查杀的方法的流程图；图 5示出了根据本发明另一个实施例的基于云安全的恶意程序查杀的方法的流程图；图 6示意性地示出了用亍执行根据本发明的方法的终端设备的框图；以及

图 7示意性地示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元。具体实施例下靣将参照图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公幵的范围完整的传达给本领域的技术人员。参见图 1，示出了根据本发明一个实施例的基于云安全的恶意程序查杀的装置的结构。装置 100包括：通信单元 110、扫描単元 120和查杀单元 130。

通信单元 1 10, 适于向服务器 2()()发送信息，以及接收服务器 200返回的信息。扫描单元 120, 适于启动扫描任务，对待扫描的对象执行扫描操作，计算扫描的文件的索引标识，通过通信单元 110将索引标识发送给服务器 200，接收服务器 200返回的依据索引标识所查找到的与扫描的文件相对应的脚本。

举例而言，可以通过定^或用户操作触发等方式启动扫描任务。即扫描单元 120定时启动扫描任务，或在接收到用户操作指示时动扫描任务。扫描的对象可以为内存，引导扇区， BIOS (基本输入输出系统）等。对内存扫描时，通过枚举进程空间和进程模块来匹配内存特征码，计算某些内存段，内存模块的摘要；对引导扇区扫描时，可以通过文件系统提供的接口 API读取特定的区块和引导代码，匹配特征码和计算特定区块的摘要；对 BIOS扫描时，可以使用系统提供的相关 API读取特定的区块和代码段，得匹配特征码和计算特定区块的摘要。通过该扫描所得信息，本地引擎可以判定出感染的文件。

本发明中还可以通过服务器判定扫描的文件是否被感染，具体如下所述。

举例而言，扫描单元 120具体适于计算扫描的文件的全文和 /或签名的加密值，以所述加密值为索引标识。例如，扫描单元 120在对待扫描的对象执行扫描操作的同时计算出文件的全文或签名的 M)5 (消息摘要算法第五版），或者文件的全文或签名的 SHA1 (哈希值）。该 M)5或 SHA1为索引标识。具体地，扫描单元 120可以通过配置确定计算全文还是签名的 MD5或 SHA1 , 或者对全文和签名同时†算 M)5或 SHA1。该配置可以是服务器 200下发的配置文件中的配置，其中包括文件类型和注册表位置等条件进行不同配置。

其中，对全文进行加密值^算时，索引标识中包括特征码和摘要信息。因此，服务器可以根据索引标识中信息检测文件是否被感染，并返回对该感染的文件进行查杀的脚本。因此，当接收到文件对应的脚本 B寸，能够确定该文件为被感染的文件。

通信单元 110将 ϋ算的扫描的文件的 MD5或 SM1发送给服务器 200。服务器 200接收到 MD5或 SM1后，在规则列表中查找接收到的 MD5或 SHA1 , 查找到后，将列表中指定的脚本下发给装置 100。脚本所执行的操作为针对 MD5或 SHA1所对应的恶意程序的查杀。

具体地，可以通过脚本语言或者 XML (可扩展标记语言）， Jason等格式实现的脚本类型。

例如，脚本中的查杀操作包括判断扫描的文件是否为被感染的系统文件或应用文件，如果是，则对扫描的文件进行修复，否则，删除扫描的文件。具体的修复操作包括：清除对函数调用的拦截（也被称为摘除系统钩子），恢复硬盘主引导（mbr) 记录，或清理壳代码（shel l code ) 。所述删除扫描的文件的操作包括删除整个文件或艄除文件中问题部分，例如删除文件中钩子。

查杀单元 130, 适于执行接收的脚本对扫描的文件进行查杀。

具体而言，查杀单元 130接收到脚本后，确定扫描的文件为被感染的文件；执行接收的脚本，根据扫描的文件的路径判断扫描的文件是否为系统文件或应用文件，如果是，则对扫描的文件进行修复，否则，删除扫描的文件。查杀单元 130确定扫描的文件的感染的病毒的类型，根据感染的病毒的类型确定对扫描的文件进行修复的方式，所述方式包括：修复系统文件，修复应用文件，清除对函数调用的拦截，恢复硬盘主引导记录，或清理壳代码。

其中，扫描单元 120在计算出扫描的文件的加密值后，可以继续进行后续的文件的扫描，无需等到查杀单元 130接收脚本完成查杀后，再进行后续的文件扫描。由此，可以有效的利用资源，减少等待，加快扫描速度。

根据本发明的实施例，能够从服务器获得脚本，执行该脚本来对恶意程序进行及时查杀，而无需等待终端的查杀引擎进行版本更新后才能够对新出现的恶意程序进行查杀；并且该脚本是根据文件的索引标识查找到的，脚本与文件相对应，对文件具有针对性，能够避免因为查杀操作错误，而造成查杀后终端中系统或应用无法正常工作。因此，采用本发明中技术方案，解决了因为终端查杀引擎版本更新过程消耗时间较长而导致恶意程序扩散的问题，以及因为对恶意程序查杀操作错误而造成查杀后终端中系统或应用无法正常工作的问题。并且，取得了对恶意程序进行及时查杀，减少恶意程序扩散范園，以及避免对恶意程序进行错误查杀操作，保证终端中系统或应用正常工作的有益效果。

此外，采用服务器下载脚本的方式进行文件查杀，利于处理未知的白利用。恶意程序伪装成正常的文件以便躲过查杀被称为白利用。因为，脚本对亍文件的针对性强，能够对文件进行精确查杀操作，因此对将处于灰色地带的文件进行精确判定，进而能够对采用白利用的恶意程序进行查杀。在本发明的另一个实施例中，除了通过脚本文件对扫描的文件进行查杀外，还通过通^规则对扫描的文件进行查杀。

扫描单元 120 ,还适于通过通信单元 110从服务器 200下载^于对文件进行查杀的通用规则；将扫描的文件与通用规则进行匹配，确定扫描的文件所对应的通用规则中的查杀操作。

举例而言，扫描单元 120通过服务器 200认证后，从服务器 200下载通用规则。通用规则包括：匹配特征和对应的查杀操作；匹配特征包括：文件中信息的特征和文件所执行的操作特征。例如，操作特征可以为挂钩子，释放恶意代码等操作。

例如，装置 100与服务器 200连接，在装置 100在服务器 200侧通过认证后, 扫描单元 120通过通信单元 110向服务器 200发送下载请求，以在服务器 200中进行查询，下载通用规则。服务器 200根据下载请求查询到请求的通用规则，将查询到的通用规则发送给装置 100。通用规则中包括针对所有 PE文件（可执行文件）的普适性匹配规则。匹配规则中定义匹配中某种特征则采用对应的查杀操作。匹配规则支持行为特征描述，如存在加载 DL 钩子行为等，还支持静态特征描述，如文件名或文件后缀、版本信息、签名信息等。

查杀单元 130，具体适亍当扫描单元 120没有从服务器 200接收到与扫描的文件相对应的脚本时，按确定的扫描的文件所对应的通用规则中的查杀操作对扫描文件进行查杀。

以下对于使用通过规则进行文件查杀进行举例说明。

扫描到 svchost进程。其中，进程文件： svchost„ dl l，进程名称： Trojan. W32, Agent , svchost. exe是一个属亍 Windows操作系统的系统程序，用于执行 DLL文件。该程序关系到系统的正常运行。同时， svchost. exe也有可能是 W32. Welchia. Worm病毒，它利用 WindowsLSASS漏洞，制造缓冲区溢出，导致终端关机。由通用规则触发对其所加载的 DLL 文件进行检测，判断 DLL的签名信息是否合法，是否存在 Shel lcode注入。所述 Shel lcode 是一段代码（也可以是填充数据），用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另夕卜， Shel lcode可以作为数据发送给受攻击服务。当判断为是，即匹配命中通用规则后，应用对应的查杀操作对文件进行查杀。

在本实施例中，当没有査找到对应的脚本 ^1% 使^通用规则对文件进行查杀。其中，通用规则具有普适性，脚本对于文件更具有针对性，因此脚本的优先级比通用规则更高。当获取到文件对应的脚本，则直接执行该脚本对文件进行查杀；当没有获取到文件对应的脚本时，使用通用规则对文件进行查杀。

在本实施例中，通用规则依照静态特征、行为特征等各种手段进行判断，可以对未知恶意程序进行查杀，把未知恶意程序扼杀于初始传播阶段。参见图 2,示出了根据本发明一个实施例的基于云安全的恶意程序查杀的服务器 200 的结构图。服务器 200包括；存储单元 210、通信单元 220和查找单元 230。

存储单元 210，适于存储用于查杀文件的脚本。

通信单元 220，适于接收装置 100发送的索引标识。查找单元 230, 适于依据接收的索引标识从存储单元 210中查找对应的脚本。

通信单元 220, 还适于将查找到的脚本返回给装置 100。

本实施 ί到中，服务器 200能够向装置 100下发脚本，使得装置 100执行该脚本来对恶意程序进行及时查杀，而无需等待终端的查杀引擎进行版本更新后才能够对新出现的恶意程序进行查杀；并且该脚本是根据文件的索引标识查找到的，脚本与文件相对应，对文件具有针对性，能够避免因为查杀操错误，而造成查杀后终端中系统或应用无法正常工作。

在另一实施例中，存储单元 210，还适亍存储通用规则。通信单元 220，还适亍接收装置 100发送的下载请求。查找单元 230, 还适于根据下载请求查找通用规则。通信单元 220 , 还适于将查找到的通用规则返回给装置 100。

在本实施例中，服务器还能够为装置下发通用规则，通用规则依照静态特征、行为特征等各种手段进行判断，可以对未知恶意程序进行查杀，把未知恶意程序扼杀于初始

参见图 3，示出了根据本发明一个实施例的基亍云安全的恶意程序查杀的系统的结构图。该系统包括如前所述的服务器 200和多个装置 100。本实施例中，服务器 200和装置丄00间可以直接连接，也可以通过网络连接，在此没有特别限制。参见图 4,示出了根据本发明一个实施例的基于云安全的恶意程序查杀的方法的流程图。方法包括如下步骤。

步骤 S410, 启动扫描任务，对待扫描的对象执行扫描操作。

举例而言，可以通过定时或用户操作触发等方式启动扫描任务。

扫描的对象可以为内存，引导扇区， BIOS (基本输入输出系统）等。

对内存扫描时，通过枚举进程空间和进程模块来匹配内存特征码，计算某些内存段，内存模块的摘要；对引导扇区扫描时，可以通过文件系统提供的接口 ΑΡΓ读取特定的区块和引导代码，匹配特征码和计算特定区块的摘要；对 BIOS扫描时，可以使用系统提供的相关 API读取特定的区块和代码段，得匹配特征码和计算特定区块的摘要。通过该扫描所得信息，本地引擎可以判定出感染的文件。

歩骤 S420, 计算扫描的文件的索引标识，将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本。

举例而言，在歩骤 S420中计算扫描的文件的全文和 /或签名的加密值，以所述加密值为索引标识。例如，在对待扫描的对象执行扫描操作的同^计算出文件的全文或签名的 MD5 (消息摘要算法第五版），或者文件的全文或签名的 SHA1 (哈希值）。该 MD5或 SHA1为索引标识。具体地，可以通过配置确定 t算全文还是签名的 MD5或 SHA1 , 或者对全文和签名同时计算 MD5或 SHA 1。该配置可以是服务器下发的配置文件中的配置，其中包括文件类型和注册表位置等条件进行不同配置。将计算的扫描的文件的 MD5或 SHA1发送给服务器。服务器接收到 MD5或 SM1后，在规则列表中查找接收到的 MD5或 SHA1_，查找到后，将列表中指定的脚本下发给装置。脚本所执行的操作为针对 MD5或 SM1所对应的恶意程序的查杀。具体地，可以通过脚本语言或者 XML (可扩展标记语言） , Jason等格式实现脚本类型。

其中，对全文进行加密值计算时，索引标识中包括特征码和摘要信息。因此，服务器可以根据索引标识中信息检测文件是否被感染，并返回对该感染的文件进行查杀的脚本。因此，当接收到文件对应的脚本^ , 能够确定该文件为被感染的文件。

例如，脚本中的查杀操作包括判断扫描的文件是否为被感染的系统文件或应用文件，如果是，则对扫描的文件进行修复，否则，删除扫描的文件。具体的修复操作包括；清除对函数调用的拦截（也被称为摘除系统钩子），恢复硬盘主弓！导（nibr) 记录，或清理壳代码（shel lcode ) 。所述删除扫描的文件的操包括删除整个文件或删除文件中问题部分，例如删除文件中钩子。

歩骤 S430, 执行接收的脚本对扫描的文件进行查杀。

具体而言，在步骤 S430中，接收到脚本后，确定扫描的文件为被感染的文件；执行接收的脚本，根据扫描的文件的路径判断扫描的文件是否为系统文件或应用文件，如果是，则对扫描的文件进行修复，否则，删除扫描的文件。确定扫描的文件的感染的病毒的类型，根据感染的病毒的类型确定对扫描的文件进行修复的方式，所述方式包括：修复系统文件，修复应用文件，清除对函数调用的拦截，恢复硬盘主引导记录，或清理壳代码。

其中，在计算出扫描的文件的加密值后，可以继续进行后续的文件的扫描，无需等到接收脚本完成查杀后，再进行后续的文件扫描。由此，可以有效的利用资源，减少等待，加快扫描速度。

根据本发明的实施例，能够从服务器获得脚本，执行该脚本来对恶意程序进行及时查杀，而无需等待终端的查杀引擎进行版本更新后才能够对新出现的恶意程序进行查杀；并且该脚本是根据文件的索引标识查找到的，脚本与文件相对应，对文件具有针对性，能够避免因为查杀操作错误，而造成查杀后终端中系统或应用无法正常工作。因此，采用本发明中技术方案，解决了因为终端查杀引擎版本更新过程消耗时间较长而导致恶意程序扩散的问题，以及因为对恶意程序查杀操作错误而造成查杀后终端中系统或应用无法正常工作的问题。并且，取得了对恶意程序进行及时查杀，减少恶意程序扩散范圈，以及避免对恶意程序进行错误查杀操作，保证终端中系统或应用正常工作的有益效果。

此外，采用服务器下载脚本的方式进行文件查杀，利于处理未知的白利用。恶意程序伪装成正常的文件以便躲过查杀被称为白利用。因为，脚本对于文件的针对性强，能够对文件进行精确查杀操作，因此对将处亍灰色地带的文件进行精确判定，进而能够对采用白利用的恶意程序进行查杀。在本发明的另一个实施例中，除了通过脚本文件对扫描的文件进行查杀外，还通过通] ¾规则对扫描的文件进行查杀。

参见图 5，示出了根据本发明另一个实施例的基于云安全的恶意程序查杀的方法的流程图。

步骤 S510 , 启动扫描任务，对待扫描的对象抉行扫描操作。

步骤 S520 , 从服务器下载用于对文件进行查杀的通用规则，将扫描的文件与通用规则进行匹配，确定扫描的文件所对应的通用规则中的查杀操。

举例而言，通用规则包括：匹配特征和对应的查杀操作。匹配特征包括：文件中信息的特征和文件所执行的操作特征。

例如，操特征可以为挂钩子，释放恶意代码等操作。

在步骤 S520中，装置与服务器连接，在装置在服务器侧通过认证后，装置向服务器发送下载请求，以在服务器中进行查询，下载通用规则。服务器根据下载请求查询到请求的通用规则，将查询到的通用规则发送给装置。通用规则中包括针对所有 PE文件（可执行文件）的普适性匹配规则。匹配规则中定义匹配中某种特征则采用对应的查杀操作。匹配规则支持行为特征描述，如存在加载 DLL、钩子行为等，还支持静态特征描述，如文件名或文件后缀、版本信息、签名信息等。

步骤 S530 , 计算扫描的文件的索引标识，将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本。

步骤 S540 , 判断是否从服务器接收到与扫描的文件相对应的脚本，如果是，则执行步骤 S550 , 否则，执行步骤 S560。

步骤 S550 , 抉行接收的脚本对扫描的文件进行查杀。

步骤 S560 , 按确定的扫描的文件所对应的通 ^规则中的查杀操作对扫描文件进行查杀。

以下对于使用通过规则进行文件查杀进行举 ί到说明。

扫描到 svchost进程。其中，进程文件 svchost. dl !. ,进程名称: Trojan. W32. Agent, svchost. exe是一个属于 Windows操作系统的系统程序，用亍执行 DLL文件。该程序关系到系统的正常运行。同^ , svchost. exe也有可能是 W32. Welchia. Worm病毒，它利用 WindowsLSASS漏洞，制造缓冲区溢出，导致终端关机。由通用规则触发对其所加载的 DLL 文件进行检测，判断 DLL的签名信息是否合法，是否存在 Shel lcode注入。所述 Shel lcode 是一段代码（也可以是填充数据），用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另外， Shel lcode可以作为数据发送给受攻击服务。当判断为是，即匹配命中通用规则后，应用对应的查杀操作对文件进行查杀。

在本实施例中，当没有查找到对应的脚本 B寸，使用通用规则对文件进行查杀。其中，通用规则具有普适性，脚本对于文件更具有针对性，因此脚本的优先级比通用规则更高。当获取到文件对应的脚本，则直接执行该脚本对文件进行查杀；当没有获取到文件对应的脚本 ff†, 使用通用规则对文件进行查杀。

根据本发明实施例中所述的装置，其中，

所述查杀单元，具体适亍接收到脚本后，确定扫描的文件为被感染的文件；执行接收的脚本，根据扫描的文件的路径判断扫描的文件是否为系统文件或应用文件，如果是，则对扫描的文件进行修复，否则，删除扫描的文件。

根据本发明实施例中所述的装置，其中，

所述查杀单元，具体适于确定扫描的文件的感染的病毒的类型，根据感染的病毒的类型确定对扫描的文件进行修复的方式，所述方式包括：修复系统文件，修复应用文件，清除对函数调用的拦截，恢复硬盘主引导记录，或清理壳代码。

根据本发明实施例中所述的装置，其中，

所述扫描单元，具体适亍通过服务器认证后，从服务器下载通用规则。

根据本发明实施例中所述的装置，其中，

所述通用规则包括：匹配特征和对应的查杀操作；

所述匹配特征包括：文件中信息的特征和文件所执行的操作特征。

根据本发明实施例的基亍云安全的恶意程序查杀的服务器，所述服务器包括- 存储单元，适亍存储用亍查杀文件的脚本；

通信单元，适亍接收索引标识；

― 1 ()― 查找单元，适于依据接收的索引标识从存储单元中查找对应的脚本- 所述通信单元，还适于返回查找到的脚本。

根据本发明实施 ί到中所述的服务器，其中，

所述存储单元，还适于存储通用规则；

所述通信单元，还适于接收下载请求；

所述查找单元，还适于根据下载请求查找通用规则；

所述通信单元，还适于返回查找到的通用规则。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基亍在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并— 上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并 ϋ把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特 ¾Ε和 /或过程或者单元中的至少一些是相互排斥之外，可以采^ 任何组合对本说明书（包括伴随的权利要求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书（包括俘随的权利要求、摘要和 Pf†图）中公开的每个特征可以由提供相同、等同或相似目的的替代特 ¾E来代替。

- i 1 - 此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施 ί到的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP )来实现根据本发明实施例的基于云安全的恶意程序查杀的装置、服务器和系统的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如， ϋ算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图 6示意性地示出了用于执行根据本发明的方法的终端设备的框图。该终端设备包括处理器 610和以存储器 620形式的计算机程序产品或者计算机可读介质。存储器 620可以是渚如闪存、 EEPROM (电可擦除可编程只读存储器）、 EP醒、硬盘或者 ROM 之类的电子存储器。存储器 620具有用于执行上述方法中的任何方法步骤的程序代码 631_ 的存储空间 630。例如，用于程序代码的存储空间 630可以包括分别用于实现上面的方法中的各种步骤的各个程序代码 631。这些程序代码可以从一个或者多个†算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘（CD ) 、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图 7所述的便携式或者固定存储单元。该存储单元可以具有与图 6的终端设备中的存储器 620类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码 63Γ ，即可以由例如诸如 610之类的处理器读取的代码，这些代码当由终端设备运行时，导致该终端设备执行上面所描述的方法中的各个步骤。

本文中所称的 "一个实施例" 、 "实施例"或者 "一个或者多个实施例"意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里 "在一个实施例中" 的词语例子不一定全指同一个实施例。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

1 0 应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并— 本领域技术人员在不脱离所权利要求的范围的情况下可设计 ¾替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词 "包含"不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词 "一"或 "一个"不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若千装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对亍本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims

权利要求一种基于云安全的恶意程序查杀的方法，所述方法包括：

动扫描任务，对待扫描的对象执行扫描操作；

^算扫描的文件的索引标识，将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本；

执行接收的脚本对扫描的文件进行查杀。

2、根据权利要求 1所述的方法，其中，

所述启动扫描任务，对待扫描的对象执行扫描操作后还包括：

丛服务器下载用于对文件进行查杀的通用规则；

将扫描的文件与通用规则进行匹配，确定扫描的文件所对应的通用规则中的查杀操作；

所述执行接收的脚本对扫描的文件进行查杀具体包括：

当没有从服务器接收到与扫描的文件相对应的脚本^, 按确定的扫描的文件所对应的通用规则中的查杀操作对扫描文件进行查杀。

3、根据权利要求 ί所述的方法，其中，

所述 t算扫描的文件的索引标识具体包括；

算扫描的文件的全文和 /或签名的加密值，以所述加密值为索引标识。

4、根据权利要求 ί所述的方法，其中，

所述执行接牧的脚本对扫描的文件进行查杀具体包括：

接收到脚本后，确定扫描的文件为被感染的文件；

执行接收的脚本，根据扫描的文件的路径判断扫描的文件是否为系统文件或应用文件，如果是，则对扫描的文件进行修复，否则，删除扫描的文件。

5、根据权利要求 4所述的方法，其中，

所述对扫描的文件进行修复具体包括：

确定扫描的文件的感染的病毒的类型，根据感染的病毒的类型确定对扫描的文件进行修复的方式，所述方式包括：修复系统文件，修复应用文件，清除对函数调用的拦截，恢复硬盘主引导记录，或清理壳代码。

6、根据权利要求 2所述的方法，其中，

所述丛服务器下载用于对文件进行查杀的通用规则具体包括- 通过服务器认证后，从服务器下载通用规则。

7、根据权利要求 2所述的方法，其中，

所述通用规则包括；匹配特征和对应的查杀操作- 所述匹配特征包括：文件中信息的特征和文件所执行的操作特征。

8、一种基于云安全的恶意程序查杀的装置，所述装置包括：

查杀单元，适于执行接收的脚本对扫描的文件进行查杀。

9、根据权利要求 8所述的装置，其中，

所述扫描单元，还适于通过通信单元从服务器载用于对文件进行查杀的通用规则；将扫描的文件与通用规则进行匹配，确定扫描的文件所对应的通用规则中的查杀操作；所述查杀单元，具体适亍当扫描单元没有从服务器接收到与扫描的文件相对应的脚本时，按确定的扫描的文件所对应的通用规则中的查杀操作对扫描文件进行查杀。

丄0、根据权利要求 8所述的装置，其中，

所述扫描单元，具体适于算扫描的文件的全文和 /或签名的加密值，以所述加密值为索引标识。

1 K 根据权利要求 8所述的装置，其中，

所述查杀单元，具体适于接收到脚本后，确定扫描的文件为被感染的文件；执行接收的脚本，根据扫描的文件的路径判断扫描的文件是否为系统文件或应用文件，如果是, 则对扫描的文件进行修复，否则，删除扫描的文件。

12、根据权利要求 11所述的装置，其中，

所述查杀单元，具体适亍确定扫描的文件的感染的病毒的类型，根据感染的病毒的类型确定对扫描的文件进行修复的方式，所述方式包括：修复系统文件，修复应用文件，清除对函数调用的拦截，恢复硬盘主引导记录，或清理壳代码。

13、根据权利要求 9所述的装置，其中，

14、根据权利要求 9所述的装置，其中，

所述通用规则包括：匹配特征和对应的查杀操作；所述匹配特征包括；文件中信息的特征和文件所执行的操作特征。

15、一种基于云安全的恶意程序查杀的服务器，所述服务器包括；

存储单元，适于存储用于查杀文件的脚本；

通信单元，适于接收索引标识；

查找单元，适于依据接收的索引标识丛存储单元中查找对应的脚本；

所述通信单元，还适于返回查找到的脚本。

16、根据权利要求 15所述的服务器，其中，

所述存储单元，还适于存储通用规则；

所述通信单元，还适于接收下载请求；

所述查找单元，还适于根据下载请求查找通用规则；

所述通信单元，还适于返回查找到的通用规则。

17、一种计算机程序，包括 ϋ算机可读代码，当所述计算机可读代码在终端设备上运行时，导致所述终端设备执行根据权利要求 1 7 中的任一个所述的基于云安全的恶意程序查杀的方法。

18、一种计算机可读介质，其中存储了如权利要求 17所述的计算机程序。