一种扫描文件的方法和终端设备转让专利
申请号 : CN201210374390.X
文献号 : CN103699837B
文献日 : 2016-12-21
发明人 : 刘桂泽
申请人 : 腾讯科技(深圳)有限公司
摘要 :
本发明实施例公开了一种扫描文件的方法和终端设备,以实现根据终端设备的系统的安全状况智能选择系统的扫描模式,从而提高扫描的效率。本发明实施例方法包括:通过预扫描模式判断是否执行全盘扫描;当通过预扫描模式判断不需要执行全盘扫描时,判断用户是否选择深度扫描;当判断用户选择深度扫描时,执行深度扫描。
权利要求 :
1.一种扫描文件的方法,其特征在于,包括:通过预扫描模式判断是否执行全盘扫描;
当通过预扫描模式判断不需要执行全盘扫描时,判断用户是否选择深度扫描;
当判断用户选择深度扫描时,执行深度扫描;
其中,所述通过预扫描模式判断是否执行全盘扫描的步骤包括:判断系统上是否存在感染全盘程序的木马特征;
当判断系统上不存在感染全盘程序的木马特征时,判断是否存在系统DLL被劫持的特征;当判断存在系统DLL被劫持的特征时,判断需要执行全盘扫描;
当判断系统上存在感染全盘程序的木马特征时,判断需要执行全盘扫描。
2.根据权利要求1所述的方法,其特征在于:包括:当通过预扫描模式判断需要执行全盘扫描时,执行全盘扫描。
3.根据权利要求1所述的方法,其特征在于:包括:当判断用户不选择深度扫描时,执行快速扫描。
4.根据权利要求1所述的方法,其特征在于:所述通过预扫描模式判断是否执行全盘扫描的步骤包括:当判断不存在系统DLL被劫持的特征时,判断是否存在其它全盘扫描的先验特征;所述其它全盘扫描的先验特征为:通过样本运营收集、用户反馈发现的新的具有全盘感染行为的木马特征;
当判断不存在其它全盘扫描的先验特征时,判断不需要执行全盘扫描;
当判断存在其它全盘扫描的先验特征时,判断需要执行全盘扫描。
5.根据权利要求1所述的方法,其特征在于:所述深度扫描的扫描位置包括快速扫描的系统关键位置、系统活跃进程路径回溯和软件卸载项路径回溯。
6.一种应用扫描文件的终端设备,其特征在于,所述终端设备包括:预扫描单元,用于通过预扫描模式判断是否执行全盘扫描;
判断单元,用于当通过预扫描模式判断不需要执行全盘扫描时,判断用户是否选择深度扫描;
深度扫描单元,用于当判断用户选择深度扫描时,执行深度扫描;
其中,所述预扫描单元包括:
选择模块,用于选择预扫描模式;
第一判断单元,用于判断系统上是否存在感染全盘程序的木马特征;
第二判断单元,用于当所述第一判断单元判断系统上不存在感染全盘程序的木马特征时,判断是否存在系统DLL被劫持的特征;当判断存在系统DLL被劫持的特征时,判断需要执行全盘扫描;
第三判断单元,用于当所述第二判断单元判断不存在系统DLL被劫持的特征时,判断是否存在其它全盘扫描的先验特征;所述其它全盘扫描的先验特征为:通过样本运营收集、用户反馈发现的新的具有全盘感染行为的木马特征;
所述第三判断单元还用于当判断不存在其它全盘扫描的先验特征时,判断不需要执行全盘扫描;当判断存在其它全盘扫描的先验特征时,判断需要执行全盘扫描。
7.根据权利要求6所述的终端设备,其特征在于:还包括:全盘扫描单元,用于当所述预扫描单元通过预扫描模式判断需要执行全盘扫描时,执行全盘扫描。
8.根据权利要求7所述的终端设备,其特征在于:还包括:快速扫描单元,用于当所述判断单元判断用户不选择深度扫描时,执行快速扫描。
9.根据权利要求6所述的终端设备,其特征在于:还包括:所述第一判断单元还用于判断系统上存在感染全盘程序的木马特征时,判断需要执行全盘扫描。
说明书 :
一种扫描文件的方法和终端设备
技术领域
[0001] 本发明涉及通信技术领域,尤其涉及一种扫描文件的方法和终端设备。
背景技术
[0002] 在现实生活中,木马程序为了实现盗取用户信息、破坏系统正常运行的目的通常会选择系统的一些关键路径进行栖身,多数木马还会将自身注册为自启动程序,在系统启动时尽早的获得运行机会。但是,一些顽固类型的木马程序不仅会在关键目录释放恶意文件,它们甚至会感染系统上的所有程序,只要有一个被感染过的程序没有被清除,整个系统都将面临再次被木马控制的风险。
[0003] 现有的扫描方法最常用的是两种,第一种是快速扫描,这是应用最广的扫描方法。该方法对系统的关键目录文件、自启动的注册表项、自启动的程序、系统内存环境等进行扫描检测,用于识别常规的流行木马;第二种是全盘扫描,这种扫描方法在快速扫描的基础之上,对系统内所有的硬盘文件进行扫描,包括程序、文档、压缩包等,能够最大限度的识别出系统上存在的木马。
[0004] 然而,快速扫描的方法只对系统敏感位置的文件和程序进行扫描检测,那么当木马潜藏在非敏感位置,或者木马在敏感位置和非敏感位置都释放了恶意文件的情况下,这种扫描方法就会出现遗漏,造成木马清除不彻底的后果;而全盘扫描的方法要扫描系统上的所有文件和程序,扫描的文件数目会达到几万到几十万不等,因此扫描耗时会很长,且在这段时间内,系统的大部分资源如内存、磁盘I/O、CPU等都被扫描程序占用,严重影响其它程序的响应灵敏度。
[0005] 因而,现有的扫描方法的扫描效率比较低。
发明内容
[0006] 本发明实施例提供了一种扫描文件的方法和终端设备,以实现根据终端设备的系统的安全状况智能选择系统的扫描模式,从而提高扫描的效率。
[0007] 本发明实施例提供了一种扫描文件的方法,包括:
[0008] 通过预扫描模式判断是否执行全盘扫描;
[0009] 当通过预扫描模式判断不需要执行全盘扫描时,判断用户是否选择深度扫描;
[0010] 当判断用户选择深度扫描时,执行深度扫描。
[0011] 本发明实施例还提供了一种应用扫描文件的终端设备,所述终端设备包括:
[0012] 预扫描单元,用于通过预扫描模式判断是否执行全盘扫描;
[0013] 判断单元,用于当通过预扫描模式判断不需要执行全盘扫描时,判断用户是否选择深度扫描;
[0014] 深度扫描单元,用于当判断用户选择深度扫描时,执行深度扫描。
[0015] 从以上技术方案可以看出,本发明实施例具有以下优点:在扫描之前,先通过预扫描模式判断是否需要全盘扫描,当不需要全盘扫描时,再根据用户的选择扫描模式进行扫描,以实现根据终端设备的系统的安全状况智能选择系统的扫描模式,从而提高扫描的效率。
附图说明
[0016] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
[0017] 图1为本发明实施例提供的扫描文件的方法的流程图;
[0018] 图2为本发明实施例提供的扫描文件的方法的具体流程图;
[0019] 图3为本发明实施例提供的应用于扫描文件的终端设备的结构图;
[0020] 图4为本发明实施例提供的应用于扫描文件的终端设备的预扫描单元的结构图。
具体实施方式
[0021] 下面将结合附图对本发明的实施例进行详细说明。
[0022] 图1为本发明实施例提供的扫描文件的方法的流程图。
[0023] 在本实施例中,在终端设备对其硬盘上的系统文件和存储文件开始扫描之前,需要对硬盘上的系统文件和存储文件做一个预先判断,以确定后续的扫描流程。在本实施例中,该终端设备可以为个人电脑或平板电脑或手机。
[0024] 在本实施例中,步骤S10,通过预扫描模式判断是否执行全盘扫描。
[0025] 在本实施例中,该预扫描模式为一个通过预定的判定策略对当前的终端设备上的系统状况进行诊断的模式。该预定的判定策略包括:通过经验规则库对系统上的敏感位置进行检测,以判断系统上是否存在感染全盘程序的木马特征,和/或,对应用软件存放目录进行快速检测,以判断是否存在系统DLL被劫持的特征,和/或,判断是否存在其它全盘扫描的先验特征。在本实施例中,当上述的判断条件都不满足时,即,判断系统上不存在感染全盘程序的木马特征、判断不存在系统DLL被劫持的特征以及判断不存在其它全盘扫描的先验特征时,则说明终端设备的系统安全状况比较正常,不需要进行全盘扫描;当判断系统上存在感染全盘程序的木马特征;或,判断存在系统DLL被劫持的特征,或判断存在其它全盘扫描的先验特征时,此时,说明终端设备的系统安全状况不正常,需要进行全盘扫描。
[0026] 在本实施例中,当通过预扫描模式判断需要执行全盘扫描时,执行步骤S12;当通过预扫描模式判断不需要执行全盘扫描时,执行步骤S14。
[0027] 在本实施例中,步骤S12,执行全盘扫描。在本实施例中,该全盘扫描是对系统内所有的硬盘文件进行扫描,包括程序、文档、压缩包等等,能够最大限度的识别出系统上存在木马。
[0028] 步骤S14,判断用户是否选择深度扫描。在本实施例中,该深度扫描的扫描范围包括:快速扫描的系统关键位置、系统活跃进程路径回溯和软件卸载项路径回溯。该路径回溯是指:若初始路径为C:\program files\tencent\qq\bin\qq.exe,那么它的回溯路径是c:\program files\tencent。上述的三种扫描范围基本上涵盖了系统上所有程序文件出现的位置,可以避免对大量非程序目录、个人文件目录等的扫描操作,从而可以提升扫描性能。
[0029] 在本实施例中,移动终端可以通过显示的方式提示用户是否选择深度扫描。当用户选择深度扫描时,移动终端可以获知用户的选择。
[0030] 在本实施例中,当用户选择深度扫描时,执行步骤S16;当用户不选择深度扫描时,执行步骤S18。
[0031] 在本实施例中,步骤S16,执行深度扫描。在本实施例中,终端设备可以扫描以下三个范围:快速扫描的系统关键位置、系统活跃进程路径回溯和软件卸载项路径回溯。该深度扫描的扫描位置能够覆盖到系统上所有的程序文件,相较快速扫描的优势是能够发现更多的隐藏木马,但扫描时间较长;相对较全盘扫描的优势是耗时显著缩短、资源占用少。
[0032] 在本实施例中,步骤S18,执行快速扫描。在本实施例中,当用户没有选择深度扫描时,终端设备可以默认此时,需要采用快速扫描。在本实施例中,快速扫描是对系统的关键目录文件、自启动的注册表项、自启动的程序、系统内存环境等进行扫描检测,以识别常规的流行木马。
[0033] 通过本发明实施例提供的技术方案,在开始扫描之前,先通过预扫描模式对系统的安全状况作一个初步判断,当安全状况不好时,通过全盘扫描彻底检测木马,当安全状况较好时,可以通过快速扫描,以耗费很少的资源进行快速扫描,也可以通过深度扫描,以发现更多的隐藏木马。
[0034] 同时,通过本发明实施例提供的技术方案,在扫描之前,先通过预扫描模式判断是否需要全盘扫描,当不需要全盘扫描时,再根据用户的选择扫描模式进行扫描,以实现根据终端设备的系统的安全状况智能选择系统的扫描模式,从而提高扫描的效率。
[0035] 图2为本发明实施例提供的扫描文件的方法的具体流程图。
[0036] 在本实施例中,在终端设备对其硬盘上的系统文件和存储文件开始扫描之前,需要对硬盘上的系统文件和存储文件做一个预先判断,以确定后续的扫描流程。
[0037] 在本实施例中,可以通过用户在终端设备上选择预扫描模式,也可以是当用户选择扫描功能时,终端设备默认先选择预扫描模式,再进入其它的扫描模式。
[0038] 在本实施例中,步骤S20,选择预扫描模式。
[0039] 步骤S21,判断是否存在感染全盘程序文件的木马特征。在本实施例中,当判断存在感染全盘程序文件的木马特征时,执行步骤S22,此时,说明终端设备的系统安全状况不正常;当判断不存在感染全盘程序文件的木马特征时,执行步骤S23。
[0040] 其中,需要全盘扫描的木马特征可以具体包括:存在伪装文件夹的exe,即这种exe的名称跟同目录下的其它文件夹同名,且该种类exe的图标是文件夹图标。但需要全盘扫描的木马特征不限于当前的举例。
[0041] 步骤S22,执行全盘扫描。该全盘扫描是对系统内所有的硬盘文件进行扫描,包括程序、文档、压缩包等等,能够最大限度的识别出系统上存在木马。
[0042] 步骤S23,判断是否存在系统DLL被劫持的木马特征。在本实施例中,当判断存在系统DLL被劫持的木马特征时,执行步骤S22,此时,说明终端设备的系统安全状况不正常;当判断不存在系统DLL被劫持的木马特征时,执行步骤S24。
[0043] 需要理解的是,存在系统DLL被劫持的现象,所谓系统DLL被劫持是指:木马在每一款软件的安装目录下都释放了与系统DLL同名的文件,如usp10.dll、lpk.dll等,这样程序运行时就会加载这些木马释放的DLL而不是操作系统的正规DLL,木马从而达到了被机器上所有程序加载的目的;因此,需要对存在系统DLL被劫持的木马特征,需要进行全盘扫描。
[0044] 步骤S24,判断是否存在其它全盘扫描的先验特征。在本实施例中,当判断存在其它全盘扫描的先验特征时,执行步骤S22,此时,说明终端设备的系统安全状况不正常;当判断不存在其它全盘扫描的先验特征时,执行步骤S25,则说明经过前面的三次判断后,终端设备的系统安全状况比较正常。
[0045] 需要说明的是,其它需要进行全盘扫描的先验特征,可以是指通过样本运营收集、用户反馈等方法发现的新的具有全盘感染行为的木马特征,这是需要不断运营维护的。一种具体的举例可以是感染型病毒,这类病毒会感染机器上的所有EXE。
[0046] 步骤S25,判断用户是否选择深度扫描。在本实施例中,当判断用户选择深度扫描时,执行步骤S26;当判断用户不选择深度扫描时,执行步骤S27。
[0047] 在本实施例中,移动终端可以通过显示的方式提示用户是否选择深度扫描。当用户选择深度扫描时,移动终端可以获知用户的选择。在本实施例中,当用户没有选择深度扫描时,终端设备可以默认此时,需要采用快速扫描。
[0048] 步骤S26,执行深度扫描。
[0049] 本发明定义的深度扫描是指介于全盘扫描和快速扫描之间的一种扫描方式,可以理解为在扫描系统关键位置的基础之上,再扫描系统上的所有可运行程序所在的目录,相较于全盘扫描的区别是不会扫描文档、图片、多媒体等非程序目录,大大节省扫描时间。
[0050] 在本实施例中,该深度扫描的扫描范围包括:快速扫描的系统关键位置、系统活跃进程路径回溯和软件卸载项路径回溯。该路径回溯是指:若初始路径为C:\program files\tencent\qq\bin\qq.exe,那么它的回溯路径是c:\program files\tencent。上述的三种扫描范围基本上涵盖了系统上所有程序文件出现的位置,可以避免对大量非程序目录、个人文件目录等的扫描操作,从而可以提升扫描性能。
[0051] 步骤S27,执行快速扫描。在本实施例中,当用户没有选择深度扫描时,终端设备可以默认此时,需要采用快速扫描。在本实施例中,快速扫描是对系统的关键目录文件、自启动的注册表项、自启动的程序、系统内存环境等进行扫描检测,以识别常规的流行木马。
[0052] 通过本发明实施例提供的技术方案,在开始扫描之前,先通过预扫描模式对系统的安全状况作一个初步判断,当安全状况不好时,通过全盘扫描彻底检测木马,当安全状况较好时,可以通过快速扫描,以耗费很少的资源进行快速扫描,也可以通过深度扫描,以发现更多的隐藏木马。
[0053] 同时,通过本发明实施例提供的技术方案,在扫描之前,先通过预扫描模式判断是否需要全盘扫描,当不需要全盘扫描时,再根据用户的选择扫描模式进行扫描,以实现根据终端设备的系统的安全状况智能选择系统的扫描模式,从而提高扫描的效率。
[0054] 图3为本发明实施例提供的应用于扫描文件的终端设备的结构图。
[0055] 在本实施例中,终端设备包括预扫描单元30、全盘扫描单元32、判断单元34、快速扫描单元38、深度扫描单元36。在本实施例中,该终端设备可以为个人电脑或平板电脑或手机。
[0056] 在本实施例中,预扫描单元30用于通过预扫描模式判断是否执行全盘扫描。在本实施例中,该预扫描模式为一个通过预定的判定策略对当前的终端设备上的系统状况进行诊断的模式。该预定的判定策略包括:通过经验规则库对系统上的敏感位置进行检测,以判断系统上是否存在感染全盘程序的木马特征,和/或,对应用软件存放目录进行快速检测,以判断是否存在系统DLL被劫持的特征,和/或,判断是否存在其它全盘扫描的先验特征。在本实施例中,当上述的判断条件都不满足时,即,判断系统上不存在感染全盘程序的木马特征、判断不存在系统DLL被劫持的特征以及判断不存在其它全盘扫描的先验特征时,则说明终端设备的系统安全状况比较正常,不需要进行全盘扫描;当判断系统上存在感染全盘程序的木马特征;或,判断存在系统DLL被劫持的特征,或判断存在其它全盘扫描的先验特征时,此时,说明终端设备的系统安全状况不正常,需要进行全盘扫描。
[0057] 全盘扫描单元32用于当该预扫描单元30通过预扫描模式判断需要执行全盘扫描时,执行全盘扫描,即,对系统内所有的硬盘文件进行扫描,包括程序、文档、压缩包等等,能够最大限度的识别出系统上存在木马。
[0058] 判断单元34用于当该预扫描单元30通过预扫描模式判断不需要执行全盘扫描时,判断用户是否选择深度扫描。在本实施例中,移动终端可以通过显示的方式提示用户是否选择深度扫描。当用户选择深度扫描时,移动终端可以获知用户的选择;在本实施例中,当用户没有选择深度扫描时,终端设备可以默认此时,需要采用快速扫描。
[0059] 深度扫描单元36用于当该判断单元34判断用户选择深度扫描时,执行深度扫描。在本实施例中,该深度扫描的扫描范围包括:快速扫描的系统关键位置、系统活跃进程路径回溯和软件卸载项路径回溯。该路径回溯是指:若初始路径为C:\program files\tencent\qq\bin\qq.exe,那么它的回溯路径是c:\program files\tencent。上述的三种扫描范围基本上涵盖了系统上所有程序文件出现的位置,可以避免对大量非程序目录、个人文件目录等的扫描操作,从而可以提升扫描性能。
[0060] 快速扫描单元38用于当该判断单元34判断用户不选择深度扫描时,执行快速扫描。在本实施例中,快速扫描是对系统的关键目录文件、自启动的注册表项、自启动的程序、系统内存环境等进行扫描检测,以识别常规的流行木马。
[0061] 通过本发明实施例提供的技术方案,在开始扫描之前,先通过预扫描模式对系统的安全状况作一个初步判断,当安全状况不好时,通过全盘扫描彻底检测木马,当安全状况较好时,可以通过快速扫描,以耗费很少的资源进行快速扫描,也可以通过深度扫描,以发现更多的隐藏木马。
[0062] 同时,通过本发明实施例提供的技术方案,在扫描之前,先通过预扫描模式判断是否需要全盘扫描,当不需要全盘扫描时,再根据用户的选择扫描模式进行扫描,以实现根据终端设备的系统的安全状况智能选择系统的扫描模式,从而提高扫描的效率。
[0063] 图4为本发明实施例提供的应用于扫描文件的终端设备的预扫描单元的结构图。
[0064] 在本实施例中,该预扫描单元包括选择模块300、第一判断模块302、第二判断模块304、第三判断模块306。
[0065] 在本实施例中,选择模块300用于选择预扫描模式。在本实施例中,可以通过用户在终端设备上选择预扫描模式,也可以是当用户选择扫描功能时,终端设备默认先选择预扫描模式,再进入其它的扫描模式。
[0066] 第一判断模块302用于判断是否存在感染全盘程序文件的木马特征。
[0067] 第二判断模块304用于当该第一判断模块302判断不存在感染全盘程序文件的木马特征时,判断是否存在系统DLL被劫持的木马特征。
[0068] 第三判断模块306用于当该第二判断模块304判断不存在系统DLL被劫持的木马特征时,判断是否存在其它全盘扫描的先验特征。当第三判断模块306判断不存在其它全盘扫描的先验特征时,说明经过前面的三次判断后,终端设备的系统安全状况比较正常。
[0069] 当第一判断模块302判断存在感染全盘程序文件的木马特征,或,当该第一判断模块302判断不存在感染全盘程序文件的木马特征时,第二判断模块304判断存在系统DLL被劫持的木马特征,或,当该第二判断模块304判断不存在系统DLL被劫持的木马特征时,第三判断模块306判断存在其它全盘扫描的先验特征时,此时,说明终端设备的系统安全状况不正常,需要进行全盘扫描。
[0070] 通过本发明实施例提供的技术方案,在开始扫描之前,先通过预扫描模式对系统的安全状况作一个初步判断,当安全状况不好时,通过全盘扫描彻底检测木马,当安全状况较好时,可以通过快速扫描,以耗费很少的资源进行快速扫描,也可以通过深度扫描,以发现更多的隐藏木马。
[0071] 同时,通过本发明实施例提供的技术方案,在扫描之前,先通过预扫描模式判断是否需要全盘扫描,当不需要全盘扫描时,再根据用户的选择扫描模式进行扫描,以实现根据终端设备的系统的安全状况智能选择系统的扫描模式,从而提高扫描的效率。
[0072] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0073] 以上对本发明所提供的一种基于二维码访问网页的方法和移动终端进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。