專利名稱:掃描方法�、設(shè)備和系統(tǒng)以及云端管理方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,具體涉及一種掃描方法���、設(shè)備和系統(tǒng)以及云端管理方法和設(shè)備�。
背景技術(shù):
現(xiàn)有的惡意程序查殺方法,大多由本地引擎根據(jù)內(nèi)置的掃描位置進(jìn)行掃描�����,把本地?zé)o法識別的未知程序文件的M D 5等特征發(fā)送給云端服務(wù)器��,由云端服務(wù)器根據(jù)客戶端發(fā)送的程序文件特征進(jìn)行比對并判斷是否為惡意程序���,如果是惡意程序客戶端本地引擎再根據(jù)內(nèi)置客戶端本地的清除邏輯清理惡意程序�。然而在惡意程序與安全軟件白熱化的持續(xù)對抗中����,惡意程序作者總會找到操作系統(tǒng)新的可利用的點和安全軟件忽視的點從而繞過安全軟件的檢測和查殺。此時安全廠商拿到惡意程序的樣本后�,通常需要修改本地引擎才能查殺新的惡意程序,從拿到樣本到人工分析然后把新版本引擎程序文件升級到所有客戶端�,在這期間惡意程序已經(jīng)大面積傳播。
發(fā)明內(nèi)容
鑒于上述問題�,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的掃描方法、設(shè)備和系統(tǒng)以及云端管理方法和設(shè)備�����。依據(jù)本發(fā)明的一個方面,提供了一種用于惡意程序查殺的掃描設(shè)備�,包括第一傳輸接口,被配置為向服務(wù)器端設(shè)備傳輸信息���,以及接收服務(wù)器端設(shè)備傳輸?shù)男畔?�;第一掃描器,被配置為根?jù)已知掃描邏輯對客戶端設(shè)備進(jìn)行掃描����,并將掃描得到的未知程序文件的特征數(shù)據(jù)通過第一傳輸接口傳輸至服務(wù)器端設(shè)備;以及第二掃描器�,被配置為通過傳輸接口獲得服務(wù)器端設(shè)備傳輸?shù)牡诙呙鑳?nèi)容指示,第二掃描內(nèi)容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描����,以及根據(jù)第二掃描內(nèi)容指示進(jìn)行掃描。根據(jù)本發(fā)明的又一方面����,提供了一種用于惡意程序查殺的云端管理設(shè)備,包括第二傳輸接口����,被配置為向客戶端設(shè)備傳輸信息�����,以及接收客戶端設(shè)備傳輸?shù)男畔?���;第一匹配器���,被配置為通過第二傳輸接口獲得客戶端設(shè)備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據(jù)���,并據(jù)此在已知的惡意程序特征數(shù)據(jù)記錄中進(jìn)行匹配;以及第二指示器�����,被配置為當(dāng)?shù)谝黄ヅ淦魑茨芷ヅ涞揭阎涗洉r生成第二掃描內(nèi)容指示�����,第二掃描內(nèi)容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描���,并通過第二傳輸接口傳輸至客戶端設(shè)備��。根據(jù)本發(fā)明的又一方面�����,提供了一種基于云安全的惡意程序掃描系統(tǒng)��,包括如上任一的用于惡意程序查殺的掃描設(shè)備����,以及如上任一的用于惡意程序查殺的云端管理設(shè)備。根據(jù)本發(fā)明的又一方面��,提供了一種用于惡意程序查殺的掃描方法��,包括根據(jù)已知掃描邏輯對客戶端設(shè)備進(jìn)行掃描�����,并將掃描得到的未知程序文件的特征數(shù)據(jù)傳輸至服務(wù)器端設(shè)備���;獲得服務(wù)器端設(shè)備傳輸?shù)牡诙呙鑳?nèi)容指示,第二掃描內(nèi)容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描���;以及根據(jù)第二掃描內(nèi)容指示對客戶端設(shè)備進(jìn)行掃描���。根據(jù)本發(fā)明的又一方面����,提供了一種用于惡意程序查殺的云端管理方法��,包括獲得客戶端設(shè)備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據(jù)�,并據(jù)此在已知的惡意程序特征數(shù)據(jù)記錄中進(jìn)行匹配;當(dāng)根據(jù)未知程序文件的特征數(shù)據(jù)未能匹配到已知記錄時���,生成第二掃描內(nèi)容指示��,第二掃描內(nèi)容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描���;將第二掃描內(nèi)容指示傳輸至客戶端設(shè)備。根據(jù)本發(fā)明的又一方面���,提供了一種基于云安全的惡意程序掃描方法���,包括客戶端設(shè)備根據(jù)已知掃描邏輯進(jìn)行掃描,并將掃描得到的未知程序文件的特征數(shù)據(jù)傳輸至服務(wù)器端設(shè)備�����;服務(wù)器端設(shè)備根據(jù)據(jù)未知程序文件的特征數(shù)據(jù)在已知的惡意程序特征數(shù)據(jù)記錄中進(jìn)行匹配����;當(dāng)根據(jù)未知程序文件的特征數(shù)據(jù)未能匹配到已知記錄時�����,生成第二掃描內(nèi)容指示���,第二掃描內(nèi)容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描,以及將第二掃描內(nèi)容指示傳輸至客戶端設(shè)備����;客戶端設(shè)備根據(jù)第二掃描內(nèi)容指示對客戶端設(shè)備進(jìn)行掃描。根據(jù)本發(fā)明提供的實施例可以看出�����,在僅通過未知程序文件的基本特征數(shù)據(jù)(如文件名�、MD5�����、SHAl或根據(jù)文件內(nèi)容計算出的其他特征等)無法判斷是否為惡意程序或者無法找到準(zhǔn)確的修復(fù)方案時���,可以再通過要求客戶端設(shè)備進(jìn)一步掃描未知程序文件的簽名���、版本等指定屬性和/或未知程序文件的上下文環(huán)境的屬性來做進(jìn)一步判斷�����,從而能更準(zhǔn)確的判斷出客戶端自己無法確定是否安全的未知程序文件�����。由于采用這種方案�����,云端服務(wù)器及時下發(fā)個性化的掃描內(nèi)容����,并根據(jù)程序文件的屬性及其所在上下文環(huán)境的屬性從服務(wù)器端動態(tài)獲取查殺方法����,避免了通過升級本地特征庫和引擎程序才能檢測和清除新生惡意程序,從而加快了對新生惡意程序的打擊速度����,有效地遏制了其快速蔓延。上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,而可依照說明書的內(nèi)容予以實施����,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂����,以下特舉本發(fā)明的具體實施方式
。
通過閱讀下文優(yōu)選實施方式的詳細(xì)描述����,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的����,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中���,用相同的參考符號表示相同的部件�����。在附圖中圖1示出了根據(jù)本發(fā)明一個實施例的基于云安全的惡意程序掃描系統(tǒng);圖2示出了根據(jù)本發(fā)明一個實施例的基于云安全的惡意程序掃描方法流程圖;以及圖3示出了根據(jù)本發(fā)明又一個實施例的基于云安全的惡意程序查殺方法流程圖��。
具體實施例方式下面將參照附圖更詳細(xì)地描述本公開的示例性實施例���。雖然附圖中顯示了本公開的示例性實施例��,然而應(yīng)當(dāng)理解����,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制����。相反,提供這些實施例是為了能夠更透徹地理解本公開��,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員��。本發(fā)明實施例可以應(yīng)用于計算機(jī)系統(tǒng)/服務(wù)器�,其可與眾多其它通用或?qū)S糜嬎阆到y(tǒng)環(huán)境或配置一起操作。適于與計算機(jī)系統(tǒng)/服務(wù)器一起使用的眾所周知的計算系統(tǒng)�����、環(huán)境和/或配置的例子包括但不限于個人計算機(jī)系統(tǒng)�、服務(wù)器計算機(jī)系統(tǒng)、瘦客戶機(jī)、厚客戶機(jī)�、手持或膝上設(shè)備、基于微處理器的系統(tǒng)���、機(jī)頂盒����、可編程消費電子產(chǎn)品����、網(wǎng)絡(luò)個人電腦、小型計算機(jī)系統(tǒng)���、大型計算機(jī)系統(tǒng)和包括上述任何系統(tǒng)的分布式云計算技術(shù)環(huán)境�,等
坐寸ο計算機(jī)系統(tǒng)/服務(wù)器可以在由計算機(jī)系統(tǒng)執(zhí)行的計算機(jī)系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語境下描述���。通常����,程序模塊可以包括例程����、程序、目標(biāo)程序��、組件�����、邏輯�����、數(shù)據(jù)結(jié)構(gòu)等等�����,它們執(zhí)行特定的任務(wù)或者實現(xiàn)特定的抽象數(shù)據(jù)類型���。計算機(jī)系統(tǒng)/服務(wù)器可以在分布式云計算環(huán)境中實施����,分布式云計算環(huán)境中�����,任務(wù)是由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行的�。在分布式云計算環(huán)境中��,程序模塊可以位于包括存儲設(shè)備的本地或遠(yuǎn)程計算系統(tǒng)存儲介質(zhì)上�。請參閱圖1�,其示出了根據(jù)本發(fā)明一個實施例的基于云安全的惡意程序掃描系統(tǒng),包括用于惡意程序查殺的掃描設(shè)備110����,以及用于惡意程序查殺的云端管理設(shè)備210,其中��,掃描設(shè)備Iio可以設(shè)置于客戶端�,比如客戶端設(shè)備100中,云端管理設(shè)備210可以設(shè)置于服務(wù)器端�,比如服務(wù)器端設(shè)備200中。掃描設(shè)備110可以和云端管理設(shè)備210進(jìn)行通信���,具體而言�,掃描設(shè)備110中的第一傳輸接口 112可以向服務(wù)器端設(shè)備200傳輸信息���,以及接收服務(wù)器端設(shè)備200傳輸?shù)男畔?���;云端管理設(shè)備的第二傳輸接口 218可以向客戶端設(shè)備100傳輸信息���,以及接收客戶端設(shè)備100傳輸?shù)男畔?���。其中����,掃描設(shè)備Iio可以包括環(huán)境信息讀取器112、第一掃描器114����、第二掃描器116以及第一傳輸接口 118。云端管理設(shè)備210可以包括第一指示器212���、第一匹配器214��、第二指示器216以及第二傳輸接口 218�����。首先�����,環(huán)境信息讀取器112讀取客戶端設(shè)備100當(dāng)前的系統(tǒng)環(huán)境信息����,并通過第一傳輸接口 118傳輸至服務(wù)器端設(shè)備200的第二傳輸接口 218?����?蛻舳嗽O(shè)備100當(dāng)前的環(huán)境系統(tǒng)信息可以包括很多�����,比如操作系統(tǒng)的版本信息�����、系統(tǒng)補(bǔ)丁安裝信息��、軟件安裝信息�����、驅(qū)動安裝信息以及活動進(jìn)程和服務(wù)信息等信息中的任意一種或多種��。其中��,操作系統(tǒng)有很多種�����,比如 windows 98>windows2003>windows XP 以及 Windows Vista等,不同操作系統(tǒng)對應(yīng)的版本信息也不同��,因此通過操作系統(tǒng)的版本信息�����,服務(wù)器端設(shè)備200就可以知道客戶端設(shè)備100當(dāng)前運行的是哪種具體版本的操作系統(tǒng)�����?�;顒舆M(jìn)程即為系統(tǒng)中正在運行的進(jìn)程���,可以通過調(diào)用相應(yīng)的API (Application Programming Interface,應(yīng)用程序編程接口)函數(shù)等多種手段在系統(tǒng)中查詢到當(dāng)正在運行的各種進(jìn)程信息,以及進(jìn)程相關(guān)的標(biāo)識符�,用戶名,cpu占用率�,內(nèi)存占用率,描述信息等���。在客戶端設(shè)備100初始化本地引擎和網(wǎng)絡(luò)環(huán)境之后�,環(huán)境信息讀取器112就可以讀取當(dāng)前的系統(tǒng)環(huán)境信息,并傳輸至服務(wù)端設(shè)備200����。位于服務(wù)器端設(shè)備200中的云端管理設(shè)備210中的第二傳輸接口 218接收到客戶端設(shè)備100當(dāng)前的系統(tǒng)環(huán)境信息之后,傳輸給第一指示器212��,進(jìn)而第一指示器212根據(jù)新生惡意程序的特性和客戶端設(shè)備100傳輸?shù)南到y(tǒng)環(huán)境信息生成第一掃描內(nèi)容指示�����。其中����,新生惡意程序的特性可以有很多種,比如根據(jù)最新惡意程序的流行趨勢分析出的新生惡意程序利用特定位置進(jìn)行隱藏和/或攻擊的特征信息�����,比如新生惡意程序通常利用的位置�����,如某游戲的安裝目錄�����、常用軟件的安裝目錄、某些特定的注冊表項等���。進(jìn)而��,服務(wù)器端設(shè)備200可以根據(jù)新生惡意程序通常利用的隱藏和/或攻擊位置�����,結(jié)合客戶端設(shè)備上報的當(dāng)前系統(tǒng)環(huán)境信息����,就可以給出針對該客戶端設(shè)備個性化的掃描內(nèi)容指示�,即第一掃描內(nèi)容指示���。比如通過客戶端設(shè)備100上報的軟件安裝信息發(fā)現(xiàn)該客戶端設(shè)備100安裝了某個游戲軟件���,而根據(jù)新生惡意程序的特性知道當(dāng)前很多惡意程序都是利用該游戲軟件的安裝目錄進(jìn)行隱藏或惡意替換文件,則服務(wù)器端設(shè)備200就會在第一掃描內(nèi)容指示中要求客戶端設(shè)備100掃描該游戲安裝目錄下的內(nèi)容���,以便發(fā)現(xiàn)該客戶端設(shè)備100中可疑的未知程序文件����。可以看出���,由于第一掃描內(nèi)容指示不僅僅依據(jù)服務(wù)器端掌握的新生惡意程序的特性��,還要結(jié)合客戶端設(shè)備100的具體系統(tǒng)環(huán)境信息�,因此第一掃描內(nèi)容指示是個性化的��,有針對性的�����,針對不同的客戶端設(shè)備100下發(fā)的第一掃描內(nèi)容指示往往是不同的���。在第一掃描內(nèi)容指示中至少包括對指定位置的內(nèi)容進(jìn)行掃描并要求告知掃描到的未知程序文件的特征數(shù)據(jù)��,具體而言����,第一掃描內(nèi)容指示可以是根據(jù)新生惡意程序的特性和客戶端設(shè)備100當(dāng)前的系統(tǒng)環(huán)境信息生成的一段文本或腳本����,即通過該指示可以告知客戶端設(shè)備100需要掃描哪些內(nèi)容�,以及上報哪些掃描結(jié)果���。應(yīng)當(dāng)注意的是����,第一掃描內(nèi)容指示可以是不附帶任何條件的指示�����,也可以是附條件的指示����。如果是附條件的指示,則只有在滿足預(yù)置條件時�,客戶端設(shè)備100中的掃描設(shè)備110才根據(jù)第一掃描內(nèi)容指示進(jìn)行掃描。第一掃描指示可以附帶的條件有很多�,比如包括但不限于下述內(nèi)容中的一種或多種指定文件是否存在��、指定目錄是否存在�����、程序文件的屬性是否滿足指定條件(比如消息摘要MD5是否為指定值)��、指定注冊表鍵是否存在、指定注冊表鍵值是否存在�����、注冊表鍵的內(nèi)容是否滿足指定條件���、注冊表鍵值的內(nèi)容是否滿足指定條件(比如是否包含或等于特定字符串或者某個值)�、指定進(jìn)程是否存在��、指定服務(wù)是否存在以及指定服務(wù)是否滿足指定的條件(比如是否為特定的服務(wù)名稱�、特定的服務(wù)描述或特定的顯不名稱)等。服務(wù)器端在第一指示器212生成第一掃描內(nèi)容指示之后�����,就將該第一掃描內(nèi)容指示通過第二傳輸接口 218傳輸至客戶端設(shè)備100中的第一傳輸接口 118��。然后��,位于客戶端設(shè)備100中的掃描設(shè)備110的第一傳輸接口 118�����,將接收到的服務(wù)器端設(shè)備200至少基于系統(tǒng)環(huán)境信息判斷得到的第一掃描內(nèi)容指不告知第一掃描器114��。進(jìn)而,第一掃描器114對第一掃描內(nèi)容指不中的指定位置進(jìn)行掃描。前面提到,第一掃描內(nèi)容指示可以是附條件的指示���,或者稱為掃描條件���,那么第一掃描器114需要先判斷是否滿足第一掃描內(nèi)容指示所附帶的掃描條件,比如前面提到的那些可選條件��。當(dāng)?shù)谝粧呙杵?14判斷滿足第一掃描內(nèi)容附帶的條件時�����,才對第一掃描內(nèi)容指示中的指定位置進(jìn)行掃描��。當(dāng)然�����,如果第一掃描內(nèi)容指示不是附條件的指示���,則第一掃描器114就無需先判斷����,直接按照第一掃描內(nèi)容中指不的掃描位置掃描即可���?��?蛇x的,第一掃描器114除了按照第一掃描內(nèi)容指示在客戶端設(shè)備100中進(jìn)行個性化的掃描外�����,第一掃描器114還可以對客戶端設(shè)備100本地引擎內(nèi)置的掃描位置進(jìn)行常規(guī)掃描����。在第一掃描器114完成掃描之后就會發(fā)現(xiàn)未知程序文件,然后提取未知程序文件的特征數(shù)據(jù)����,特征數(shù)據(jù)可以有很多種,比如下述信息中的一種或多種對未知程序文件的全部或部分關(guān)鍵內(nèi)容(即從文件中抽取一部分內(nèi)容)根據(jù)特定的算法(如MD5�、SHAl或其他算法)計算出的數(shù)據(jù)以及文件名等。程序文件的這些特征數(shù)據(jù)�,可以理解為是程序文件的基本屬性信息。第一掃描器114在獲得未知程序文件的特征數(shù)據(jù)后�����,就將未知程序文件的特征數(shù)據(jù)通過第一傳輸接口 118傳輸至服務(wù)器端設(shè)備200中的第二傳輸接口 218�。進(jìn)而���,服務(wù)器端的第二傳輸接口 218將收到的未知程序文件的特征數(shù)據(jù)提供給第一匹配器214,第一匹配器214據(jù)此在已知的惡意程序查殺數(shù)據(jù)庫中進(jìn)行匹配���,在該數(shù)據(jù)庫中記錄有惡意程序的一些特征信息����,此外還可以記錄判斷是否為惡意程序的判斷邏輯�,以及可能的查殺方法(如修復(fù)邏輯)等。其中����,惡意程序的特征可以包括很多信息,比如文件名�、程序文件的摘要、文件大小�、簽名信息�、版本信息等文件的屬性信息,再比如還可以包括文件所在目錄����、注冊表中的啟動位置���、同目錄下或指定目錄下其他文件的屬性等程序文件的上下文環(huán)境屬性�����。因為現(xiàn)有惡意程序比較復(fù)雜,往往單純通過一兩個特征無法準(zhǔn)確判斷是否為惡意程序���,很多情況下需要根據(jù)多種特征綜合判斷����,這種綜合判斷未知程序文件是否為惡意程序的邏輯就是前述的判斷邏輯����。查殺方法包括但不限于掃描/判定和修復(fù)操作。由于服務(wù)器端的存儲量����、運算量以及收集惡意程序特征信息的能力、更新速度都遠(yuǎn)遠(yuǎn)強(qiáng)于客戶端���,因此�,當(dāng)客戶端設(shè)備100根據(jù)本地引擎無法判斷的未知程序文件��,服務(wù)器端設(shè)備200就可以根據(jù)已知的數(shù)據(jù)庫判斷出來���。如果第一匹配器214在已知的惡意程序查殺數(shù)據(jù)庫中匹配成功�����,即能夠判斷該未知程序文件是否為惡意程序����,可選的,某些情況還可以匹配出對應(yīng)的修復(fù)邏輯�����,則可以將判斷結(jié)果和對應(yīng)的修復(fù)邏輯通過第二傳輸接口 218反饋給客戶端設(shè)備100的第一傳輸接口118��?����?蛇x的��,客戶端設(shè)備100還包括查殺器��,客戶端設(shè)備100中的第一傳輸接口 118將服務(wù)器端設(shè)備200基于未知程序文件的特征判斷出其是否為惡意程序的判斷結(jié)果和修復(fù)邏輯告知查殺器���,查殺器執(zhí)行對應(yīng)的操作����。比如,如果判斷結(jié)果發(fā)現(xiàn)該未知程序文件是惡意程序�,則查殺器根據(jù)服務(wù)器端設(shè)備200返回的修復(fù)邏輯對未知程序文件進(jìn)行修復(fù)處理��。修復(fù)處理包括但不限于刪除指定的注冊表鍵/值���、修改注冊表鍵/值為指定內(nèi)容��、刪除指定系統(tǒng)服務(wù)項����、修復(fù)/刪除指定程序文件等���。具體到修復(fù)指定程序文件�����,則根據(jù)需要修復(fù)的文件類型不同有多種修復(fù)方案�。比如�����,有些需要修復(fù)的是系統(tǒng)文件,有些是常用軟件的程序文件�,有些是一般的文件。修復(fù)這些程序文件的基本原理類似�,通常都是服務(wù)器端根據(jù)客戶端需要修復(fù)的程序文件的一些屬性信息,在云端數(shù)據(jù)庫中進(jìn)行匹配��,查找是否有匹配的未感染病毒的程序文件�����,如果有����,就提供給客戶端進(jìn)行替換,從而完成修復(fù)�����。不同文件在具體匹配時可以根據(jù)實際需要設(shè)置不同的匹配條件�,比如如果是系統(tǒng)文件,可以要求文件的各種屬性信息(如文件名稱�、版本信息等)全部一致,才算匹配成功���,即成功找到用于修復(fù)的替換文件���;而對于非系統(tǒng)的一般文件��,如果云端數(shù)據(jù)庫中存儲的是基本版本或者是標(biāo)準(zhǔn)版本��,則也可以認(rèn)為匹配成功�。此外���,即便同樣是系統(tǒng)文件,或者同樣是非系統(tǒng)的一般文件��,也可以根據(jù)文件的實際應(yīng)用環(huán)境不同��、要求不同�����、或者是操作系統(tǒng)不同而設(shè)置不同的匹配條件�����。比如�,可能某種系統(tǒng)文件����,就需要文件名稱�����、版本信息等各種屬性全部一致才算匹配成功�,但另一種系統(tǒng)文件,只需要文件名稱一致���、版本為基本版本或標(biāo)準(zhǔn)版本����,就可以認(rèn)為是匹配成功���。下面再給以一種常用軟件被木馬破壞為例�,詳細(xì)說明修復(fù)過程中如何對程序文件進(jìn)行替換�����。例如���,木馬破壞了某種常用軟件的程序文件后�����,原程序文件的信息已經(jīng)不可用了�����。這種情況下服務(wù)器端設(shè)備200通過客戶端設(shè)備100之前提供的有關(guān)該軟件的信息�,如軟件名稱,版本��,程序文件的版本����、目錄等,就可以知道需要為客戶端設(shè)備100提供哪些替換文件��,進(jìn)而根據(jù)文件名稱�、版本等信息在云端數(shù)據(jù)庫中進(jìn)行匹配�,找出未感染病毒并且匹配的替換文件提供給客戶端設(shè)備100,然后客戶端設(shè)備100將服務(wù)器端設(shè)備200提供的未感染病毒����、與本機(jī)一致的程序文件,替換原來被破壞的程序文件即可���。如果第一匹配器214在已知的惡意程序查殺數(shù)據(jù)庫中未能匹配成功�,即根據(jù)未知程序文件的特征數(shù)據(jù)無法準(zhǔn)確匹配,則會通知第二指示器216���,進(jìn)而第二指示器216根據(jù)未知程序文件的特征數(shù)據(jù)提供的基本信息以及已知新生惡意程序的特性��,繼續(xù)生成第二掃描內(nèi)容指示��。因為通過第一指示器已經(jīng)知道了未知程序文件的特征數(shù)據(jù)等基本屬性信息���,然后再結(jié)合當(dāng)前惡意程序的特性,比如這類未知程序文件如果是惡意程序��,一般還具有哪些特性����,比如該未知程序文件的簽名信息可能不是指定名稱、該未知程序文件所在目錄或相關(guān)目錄下的其他文件屬性可能是指定屬性等�����。具體而言����,第二掃描內(nèi)容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描���。例如,第二掃描內(nèi)容指示可以僅要求客戶端設(shè)備100掃描未知程序文件的指定屬性并上報��,也可以僅要求客戶端設(shè)備100掃描未知程序文件的上下文環(huán)境的指定屬性并上報����,還可以要求客戶端設(shè)備100將其他指定屬性和上下文環(huán)境的指定屬性一并上報。應(yīng)當(dāng)注意����,未知程序文件的指定屬性包括但不限于下述信息中的一種或多種特征數(shù)據(jù)、文件大小�����、安全級別�����、簽名信息以及版本信息等����。需要說明的是���,雖然此前客戶端設(shè)備100根據(jù)服務(wù)器端的第一掃描內(nèi)容指示掃描后已經(jīng)上報過未知程序文件的特征數(shù)據(jù)這一基本屬性了�,但是由于客戶端設(shè)備100和服務(wù)器端設(shè)備200可能不是長連接,因此后續(xù)客戶端設(shè)備100在根據(jù)服務(wù)器端第二掃描內(nèi)容指示掃描后上報未知程序文件的指定屬性信息時�,有可能還需要再將未知程序文件的特征數(shù)據(jù)等基本信息再上報一次。因此第二掃描內(nèi)容指示中����,可能既有要求掃描并上報未知程序文件特征數(shù)據(jù)以外的其他指定屬性的內(nèi)容,又有要求掃描并上報未知程序文件特征數(shù)據(jù)的內(nèi)容�����。當(dāng)然���,如果客戶端設(shè)備100和服務(wù)器端設(shè)備200之間是長連接��,那么第二掃描內(nèi)容指示中也可以不要求客戶端設(shè)備100再上報一次曾經(jīng)上報過的未知程序文件的特征數(shù)據(jù)等基本信息��。安全級別包括但不限于惡意(即屬于黑名單)�、安全(即屬于白名單�、可信)、未知以及可疑等�����。未知程序文件的上下文環(huán)境的屬性包括但不限于下述信息中的一種或多種未知程序文件所在目錄的信息、指定注冊表鍵值的信息�����、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息��、以及指定進(jìn)程的運行狀態(tài)等�����。第二指示器216在生成第二掃描內(nèi)容指示后�,通過第二傳輸接口 218傳輸至客戶端設(shè)備100中的第一傳輸接口 118,進(jìn)而第一傳輸接口 118再將第二掃描內(nèi)容指示通知第二掃描器116����。第二掃描器116再根據(jù)第二掃描內(nèi)容指示對未知程序文件的指定屬性信息和/或上下文環(huán)境的屬性信息進(jìn)行掃描,最后將掃描結(jié)果傳輸至服務(wù)器端設(shè)備200的第二傳輸接口 218�����。在本發(fā)明的一個實施例中��,第二傳輸接口 218將接收到的第二掃描器116提供的掃描結(jié)果再告知第二指示器216�,進(jìn)而第二指示器216據(jù)此在已知的惡意程序查殺數(shù)據(jù)庫中進(jìn)行分析比對�����,前面已經(jīng)給出過惡意程序查殺數(shù)據(jù)庫的具體內(nèi)容,由此可知����,因為此次客戶端設(shè)備100提供的未知程序文件的掃描結(jié)果包含了更多的信息,比如包含了未知程序文件的簽名信息��、安全級別��、版本信息等其他屬性�,或者包含了未知程序文件的上下文環(huán)境的各種屬性信息,再或者未知程序文件的其他屬性和上下文環(huán)境的屬性都掃描到了��,那么第二指示器216就可以根據(jù)這些更全面的信息�����,以及惡意程序查殺數(shù)據(jù)庫中的特征信息及判斷邏輯進(jìn)一步分析判斷該未知程序文件是否為惡意程序文件�,如果判斷是惡意程序還可以進(jìn)一步查看是否有對應(yīng)的修復(fù)邏輯。修復(fù)邏輯包括但不限于下述邏輯中的一種或多種刪除指定的注冊表鍵和/或鍵值�����、修改注冊表鍵和/或鍵值為指定內(nèi)容、刪除指定系統(tǒng)服務(wù)項以及修復(fù)或刪除指定程序文件�����。進(jìn)而��,第二指示器216通過第二傳輸接口 218將未知程序文件是否為惡意程序文件的判斷結(jié)果傳輸至客戶端設(shè)備100��。進(jìn)一步����,如果判斷結(jié)果是惡意程序,并且在已知的惡意程序查殺數(shù)據(jù)庫中能夠找到匹配的修復(fù)邏輯���,則也將匹配的修復(fù)邏輯通過第二傳輸接口218傳輸至客戶端設(shè)備���。客戶端的掃描設(shè)備110還包括第一處理器���,第一處理器通過第一傳輸接口 118獲得服務(wù)器端設(shè)備200中第二指示器提供的未知程序文件是否為惡意程序文件的判斷結(jié)果���,并根據(jù)該判斷結(jié)果進(jìn)行相應(yīng)的處理。比如�����,如果判斷結(jié)果是安全的程序文件,則不用再對未知程序文件進(jìn)行查殺處理���;如果判斷結(jié)果是惡意程序,并且第二指示器216提供了修復(fù)邏輯�,則可以提示用戶,并詢問用戶是否進(jìn)行修復(fù)��,在得到用戶的確認(rèn)后根據(jù)該修復(fù)邏輯對未知程序文件進(jìn)行修復(fù)處理��。在本發(fā)明的另一個實施例中����,為了減少客戶端設(shè)備100和服務(wù)器端設(shè)備200之間的通信,第二指示器216還可以在將第二掃描內(nèi)容指示告知客戶端設(shè)備100的同時��,將與第二掃描內(nèi)容指示相關(guān)的判斷邏輯�,甚至與判斷邏輯相關(guān)的修復(fù)邏輯一起發(fā)送給客戶端設(shè)備100。具體而言�,因為第二掃描內(nèi)容指示主要包括對未知程序文件的特征數(shù)據(jù)以外的其他指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描,因此服務(wù)器端可以預(yù)知客戶端設(shè)備100按照第二掃描內(nèi)容指示掃描后可能會得到哪些掃描結(jié)果���,然后根據(jù)惡意程序查殺數(shù)據(jù)庫可以判斷出什么樣的掃描結(jié)果表明該未知程序文件是惡意程序���,因此可以查找出與第二掃描內(nèi)容指示相關(guān)的判斷邏輯����,即如何根據(jù)后續(xù)的掃描結(jié)果判斷出該未知程序文件是否是惡意程序���。如果是惡意程序��,則還可以進(jìn)一步根據(jù)已知的惡意程序查殺數(shù)據(jù)庫查找是否有與上述第二掃描內(nèi)容指示�����、判斷邏輯相關(guān)的修復(fù)邏輯���。處于客戶端的掃描設(shè)備110還可以包括第二處理器,第二處理器通過傳輸接口118獲得服務(wù)器端第二指示器216提供的與第二掃描內(nèi)容指示相關(guān)的判斷邏輯����,然后根據(jù)該判斷邏輯以及第二掃描器116按照第二掃描內(nèi)容指示掃描后得到的掃描結(jié)果,判斷該未知程序文件是否為惡意程序�����,并進(jìn)行相應(yīng)的處理�。比如�����,如果判斷結(jié)果為該未知程序文件是惡意程序���,并且服務(wù)器端的第二指示器216還發(fā)送了與判斷邏輯相關(guān)的修復(fù)邏輯,則可以在第二掃描器116提供的掃描結(jié)果滿足該修復(fù)邏輯時�,根據(jù)該修復(fù)邏輯進(jìn)行相應(yīng)的修復(fù)處理�。其余處理的具體內(nèi)容與上個實施例中第一處理器做所的相應(yīng)處理類似,不再贅述���?����?梢钥闯鲈谶@個實施例中��,第二掃描器116就不再需要將按照第二掃描內(nèi)容指示對未知程序文件進(jìn)行掃描后的結(jié)果上傳到服務(wù)器端設(shè)備了�,而是直接提供給第二處理器即可��。通過上述實施例可以看出�,如果掃描設(shè)備110只包括環(huán)境信息讀取器112、第一掃描器114�、第二掃描器116以及第一傳輸接口�,則其為單純的惡意程序掃描設(shè)備����,如果還包括第一處理器或第二處理器,則該掃描設(shè)備本質(zhì)上是能夠完成惡意程序查殺的設(shè)備����,可以理解為是用于惡意程序的查殺設(shè)備。請參閱圖2���,其示出了根據(jù)本發(fā)明一個實施例的基于云安全的惡意程序掃描方法流程圖�����。該方法包括位于客戶端側(cè)的一部分流程�,還包括位于服務(wù)器端側(cè)的一部分流程�,在客戶端側(cè)的流程即為用于惡意程序查殺的掃描方法,在服務(wù)器端側(cè)的流程即為用于惡意程序查殺的云端管理方法�����。該方法始于步驟S210���,在S210中讀取客戶端設(shè)備當(dāng)前的系統(tǒng)環(huán)境信息��,并傳輸至服務(wù)器端設(shè)備�����。系統(tǒng)環(huán)境信息包括但不限于操作系統(tǒng)的版本信息��、系統(tǒng)補(bǔ)丁安裝信息�����、軟件安裝信息���、驅(qū)動安裝信息以及活動進(jìn)程和服務(wù)信息等信息中的任意一種或多種。本步驟可以通過前述掃描設(shè)備Iio中的環(huán)境信息讀取器112來實現(xiàn)��,相關(guān)的技術(shù)實現(xiàn)可以參考前述環(huán)境信息讀取器112在各實施例中的相關(guān)描述���,此處不再贅述����。然后��,在步驟S220中服務(wù)器端設(shè)備獲得客戶端設(shè)備的系統(tǒng)環(huán)境信息�����,根據(jù)新生惡意程序的特性和客戶端設(shè)備傳輸?shù)南到y(tǒng)環(huán)境信息生成第一掃描內(nèi)容指示,該第一掃描內(nèi)容指示至少包括對指定位置的內(nèi)容進(jìn)行掃描并告知掃描到的未知程序文件的特征數(shù)據(jù)�����,以及將該第一掃描內(nèi)容指示傳輸至客戶端設(shè)備�����。本步驟可以通過前述位于服務(wù)器端的云端管理設(shè)備210中的第一指示器212實現(xiàn)����,相關(guān)技術(shù)實現(xiàn)也請參考第一指示器212在前述各實施例中的描述,此處不再贅述��?��?蛻舳嗽O(shè)備在通過步驟S220獲得服務(wù)器端設(shè)備基于其上傳的系統(tǒng)環(huán)境信息判斷的第一掃描內(nèi)容指示之后��,在步驟S230中對第一掃描內(nèi)容指示中的指定位置進(jìn)行掃描��,并至少將掃描得到的未知程序文件的特征數(shù)據(jù)再傳輸至服務(wù)器端設(shè)備�����,以便服務(wù)器端設(shè)備據(jù)此進(jìn)行進(jìn)一步的判斷���。本步驟可以通過位于客戶端的掃描設(shè)備110中的第一掃描器114予以實現(xiàn)����,相關(guān)技術(shù)實現(xiàn)也請參考第一掃描器114在前述各實施例中的描述����,此處不再贅述。服務(wù)器端設(shè)備在通過步驟S230獲得客戶端設(shè)備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據(jù)之后���,在步驟S240中根據(jù)未知程序文件的特征數(shù)據(jù)在已知的惡意程序查殺數(shù)據(jù)庫中進(jìn)行匹配��,判斷該未知程序文件是否為惡意程序。如果匹配成功��,判斷出該未知程序文件是惡意程序��,則還可以進(jìn)一步查找是否有對應(yīng)的修復(fù)邏輯�,如果有,則可以將判斷結(jié)果和修復(fù)邏輯一并傳輸至客戶端��;如果沒有找到對應(yīng)的修復(fù)邏輯,則可以只將判斷結(jié)果傳輸至客戶端設(shè)備����。本步驟可以通過前述位于服務(wù)器端的云端管理設(shè)備210中的第一匹配器214實現(xiàn),相關(guān)技術(shù)實現(xiàn)也請參考第一匹配器214在前述各實施例中的描述���,此處不再贅述���。如果服務(wù)器端設(shè)備根據(jù)已知的惡意程序查殺數(shù)據(jù)庫無法匹配到已知記錄,即無法判斷該未知程序文件是否是惡意程序���,則在步驟S250中生成第二掃描內(nèi)容指示���,第二掃描內(nèi)容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描,然后將第二掃描內(nèi)容指示傳輸至客戶端設(shè)備�。可以看出���,服務(wù)器端設(shè)備之所以還要向客戶端設(shè)備發(fā)送第二掃描內(nèi)容指示��,是為了獲得更多的未知程序文件相關(guān)的信息���,以便做更進(jìn)一步的判斷。本步驟可以通過前述位于服務(wù)器端的云端管理設(shè)備210中的第二指示器216實現(xiàn),相關(guān)技術(shù)實現(xiàn)也請參考第一指示器212在前述各實施例中的描述���,此處不再贅述��?����?蛻舳嗽O(shè)備在通過步驟S250獲得第二掃描內(nèi)容指示后�����,在步驟S260中根據(jù)第二掃描內(nèi)容指示進(jìn)行掃描�,從而獲知未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性����。例如,未知程序文件的指定屬性包括但不限于下述信息中的一種或多種未知程序文件的特征數(shù)據(jù)�����、文件大小��、安全級別�����、簽名信息以及版本信息等�����。再例如��,未知程序文件的上下文環(huán)境的屬性包括但不限于下述信息中的一種或多種未知程序文件所在目錄的信息�����、注冊表中的啟動位置的信息�����、與該程序文件同目錄或指定目錄下的其他文件的屬性信息���、以及指定進(jìn)程的運行狀態(tài)等���。在步驟S260之后,在本發(fā)明的一個實施例中�,首先客戶端設(shè)備將按照第二掃描內(nèi)容指示進(jìn)行掃描后的掃描結(jié)果傳輸至服務(wù)器端設(shè)備,該步驟可以通過前述各實施例中的第二掃描器116執(zhí)行����,相關(guān)技術(shù)特征可以參看該部件的描述�,此處不再贅述�;進(jìn)而服務(wù)器端設(shè)備獲得客戶端設(shè)備按照第二掃描內(nèi)容指示掃描獲得的掃描結(jié)果之后,根據(jù)這個掃描結(jié)果在已經(jīng)的惡意程序查殺數(shù)據(jù)庫中進(jìn)一步分析比對��,再次判斷未知程序文件是否為惡意程序����,然后將判斷結(jié)果(如惡意、安全����、未知、可疑)���、和/或�����、與該掃描結(jié)果匹配的修復(fù)邏輯傳輸至客戶端設(shè)備����。服務(wù)器端執(zhí)行該步驟可以通過前述各實施例中的云端管理設(shè)備210中的第二指示器216予以執(zhí)行��,相關(guān)技術(shù)特征可以參看該部件的描述��,此處不再贅述���。應(yīng)當(dāng)注意的是�����,不是所有判斷出是惡意程序的情況下都能找到對應(yīng)的修復(fù)邏輯��,所以在找到的情況下����,判斷結(jié)果和修復(fù)邏輯可以一起傳輸至客戶端設(shè)備��;在沒找到修復(fù)邏輯的情況下����,可以只將判斷結(jié)果傳輸至客戶端供其或用戶參考;還有可能只傳輸修復(fù)邏輯���,因為客戶端收到修復(fù)邏輯即可理解為未知程序文件就是惡意程序���,否則服務(wù)器端設(shè)備不會向其反饋針對該未知程序文件的修復(fù)邏輯���。在客戶端設(shè)備獲得服務(wù)器端設(shè)備反饋的未知程序文件是否為惡意程序的判斷結(jié)果之后,便可以根據(jù)該判斷結(jié)果進(jìn)行相應(yīng)的處理�。比如,通過彈窗等安全提醒手段提醒用戶��,或者在用戶確認(rèn)后根據(jù)修復(fù)邏輯進(jìn)行修復(fù)處理�����?����?蛻舳嗽O(shè)備執(zhí)行該步驟可以通過前述各實施例中掃描設(shè)備110中的第一處理器執(zhí)行�����,相關(guān)技術(shù)特征可以參看該部件的描述��,此處不再贅述�。從這個實施例后續(xù)步驟描述可以看出,客戶端設(shè)備需要向服務(wù)器端設(shè)備至少傳輸兩次掃描結(jié)果�����,以便服務(wù)器端設(shè)備根據(jù)掃描結(jié)果做判斷。為了減少客戶端設(shè)備和服務(wù)器端設(shè)備之間的通信次數(shù)��,提高效率����,還可以在本發(fā)明又一個實施例中采用下述流程處理�����。在本發(fā)明的又一個實施例中����,在前述步驟S250中,服務(wù)器端設(shè)備除了生成第二掃描內(nèi)容指示并發(fā)送至客戶端設(shè)備之外���,服務(wù)器端設(shè)備還根據(jù)已知的惡意程序查殺數(shù)據(jù)庫獲得與第二掃描內(nèi)容指示相關(guān)的判斷邏輯和/或修復(fù)邏輯�,然后將判斷邏輯和/或修復(fù)邏輯以及第二掃描內(nèi)容指示一起傳輸至客戶端設(shè)備�。該步驟可以通過前述各實施例的云端管理設(shè)備210中的第二指示器216予以實現(xiàn),相關(guān)技術(shù)實現(xiàn)可以參考該部件的相關(guān)描述���,此處不再贅述����。可以看出�����,在步驟S250之后�����,客戶端設(shè)備至少已經(jīng)接收到了第二掃描內(nèi)容指示和與第二掃描內(nèi)容指示相關(guān)的判斷邏輯����,還有可能也一并接收到了與第二掃描內(nèi)容指示相關(guān)修復(fù)邏輯,因此客戶端設(shè)備在通過步驟S260按照第二掃描內(nèi)容指示進(jìn)行掃描獲得掃描結(jié)果之后�,客戶端設(shè)備就可以根據(jù)服務(wù)器端設(shè)備傳輸?shù)呐c第二掃描內(nèi)容指示相關(guān)的判斷邏輯以及掃描結(jié)果,判斷該未知程序文件是否為惡意程序�����,如果是����,進(jìn)一步檢測服務(wù)器端設(shè)備是否還同時傳輸了相關(guān)修復(fù)邏輯,如果有則繼續(xù)根據(jù)修復(fù)邏輯對未知程序文件進(jìn)行修復(fù)處理�����,比如刪除指定的注冊表鍵和/或鍵值、修改注冊表鍵和/或鍵值為指定內(nèi)容�����、刪除指定系統(tǒng)服務(wù)項�����,以及修復(fù)或刪除指定程序文件等�����。該步驟可以通過前面各實施例的掃描設(shè)備110中的第二處理器予以執(zhí)行�,相關(guān)技術(shù)實現(xiàn)可以參考前述該步驟的相關(guān)描述���,此處不再贅述�����。
在本發(fā)明的又一個實施例中��,給出了一種基于云安全的惡意程序查殺方法����,請參閱圖3所不流程圖。該流程始于步驟S310�,客戶端初始化本地引擎和網(wǎng)絡(luò)環(huán)境。然后�����,執(zhí)行步驟S320�,客戶端讀取系統(tǒng)環(huán)境信息發(fā)送給服務(wù)器端。進(jìn)而�,執(zhí)行步驟S330,服務(wù)器端根據(jù)客戶端的系統(tǒng)環(huán)境信息與預(yù)置的掃描內(nèi)容的條件進(jìn)行判斷���,把需要掃描的內(nèi)容發(fā)送給客戶端�����。此處需要掃描的內(nèi)容就相當(dāng)于前述各實施例中的第一掃描內(nèi)容指示����。然后執(zhí)行步驟S340�����,客戶端執(zhí)行本地引擎內(nèi)置的掃描內(nèi)容和服務(wù)器端返回的掃描內(nèi)容,獲得未知程序文件的特征�����,比如文件名�、MD5或者SHA等。然后執(zhí)行步驟S350�,客戶端設(shè)備把未知程序文件的特征發(fā)送給服務(wù)器端。此后��,執(zhí)行步驟S360���,服務(wù)器端根據(jù)程序文件的特征和/或程序文件的上下文環(huán)境的屬性在數(shù)據(jù)庫中進(jìn)行查找��。然后進(jìn)入步驟S370,判斷是否在數(shù)據(jù)庫中發(fā)現(xiàn)匹配記錄����,即是否找到對應(yīng)的查殺方法,包括但不限于掃描/判定動作和修復(fù)動作�����。如果找到匹配記錄�,則執(zhí)行步驟S380 ;如果沒有找到匹配記錄,則執(zhí)行步驟S400。步驟S380 :服務(wù)器端把對應(yīng)的查殺方法返回至客戶端���。然后執(zhí)行步驟S390�����。步驟S390 :客戶端根據(jù)服務(wù)器端返回的查殺方法執(zhí)行相應(yīng)動作���。然后結(jié)束。步驟S400:服務(wù)器端判斷是否需要進(jìn)一步檢查客戶端未知程序文件的其他屬性�,比如步驟S350反饋過的未知程序文件特征以外的其他屬性,和/或未知程序文件的上下文環(huán)境的屬性等�。如果是,則繼續(xù)執(zhí)行步驟S410��,���;如果否��,則直接結(jié)束��。步驟S410:客戶端根據(jù)服務(wù)器端返回的檢查條件收集需要的程序文件的指定屬性和其上下文環(huán)境的屬性�,然后發(fā)送給服務(wù)器端���。然后返回執(zhí)行步驟S360����,直到流程結(jié)束。在本發(fā)明的又一個實施例中��,給出了一個惡意程序查殺的具體實例�����。例如某影音軟件xxxUpdate. exe會加載同目錄下xxxUpdate. dll,該影音軟件在中國是一款安裝量非常大的軟件�����,但沒有對自身的程序文件做足夠的保護(hù)和防篡改檢查��,所以惡意程序m可以利用該影音軟件的這個安全漏洞����,把xxxUpdate. dll替換為惡意程序���。采用本方案的檢測和查殺步驟如下首先,客戶端把xxxUpdate. dll的文件名和MD5值發(fā)送給服務(wù)器端��;然后�,服務(wù)器端根據(jù)文件名和MD5值匹配到有對應(yīng)的查殺方法,于是進(jìn)一步向客戶端發(fā)出掃描指示(相當(dāng)于前述各實施例中的第二掃描內(nèi)容指示)����、判斷邏輯和修復(fù)邏輯。其中����,掃描指示中要求檢查是此文件的安全級別是否為可信,文件的公司簽名名稱是不是“北京XXX有限公司”;判斷邏輯中指明如果此文件的安全級別不為可信�����、且公司簽名名稱不是“北京XXX有限公司”���,則判斷該文件遭惡意程序篡改��,是惡意程序�����;對應(yīng)的修復(fù)邏輯中指出如果掃描結(jié)果滿足判斷邏輯�,判斷該文件是惡意程序�,則對應(yīng)的修復(fù)動作是禁止xxxUpdate. exe隨系統(tǒng)啟動,并把xxxUpdate. dll替換為原版文件���。最后��,客戶端根據(jù)上面的掃描內(nèi)容對該文件進(jìn)行掃描���,并且根據(jù)掃描結(jié)果以及服務(wù)器端提供的判斷邏輯判斷該文件是否為惡意程序��,如果是��,則把惡意程序報告給用戶�,當(dāng)用戶選擇清除時執(zhí)行服務(wù)器端返回的查殺動作�,比如修復(fù)處理。在本發(fā)明的另一個實施例中����,客戶端設(shè)備并不向服務(wù)器端設(shè)備上報當(dāng)前的系統(tǒng)環(huán)境信息,進(jìn)而服務(wù)器端也就不需要根據(jù)客戶端設(shè)備上報的系統(tǒng)環(huán)境信息生成第一掃描內(nèi)容指示��,然后讓客戶端上設(shè)備根據(jù)第一掃描內(nèi)容指示進(jìn)行掃描�。取而代之的是,客戶端設(shè)備直接根據(jù)已知的掃描邏輯(比如本地引擎的掃描邏輯或者此前服務(wù)器端告知的掃描邏輯)進(jìn)行掃描�����,然后直接將掃描得到的無法判斷是否安全的可疑的未知程序文件上報至服務(wù)器端設(shè)備�,其余的處理過程就與前述各實施例中描述的一樣,故不再贅述���。通過前述本發(fā)明提供的各個實施例可以看出����,本發(fā)明實施例在僅通過可疑的未知程序文件的文件名�、MD5、SHA等無法判斷是否為惡意程序或者無法找到準(zhǔn)確的修復(fù)方案時�,可以再通過要求客戶端設(shè)備進(jìn)一步掃描未知程序文件的簽名、版本等其他屬性和/或未知程序文件的上下文環(huán)境的屬性來做進(jìn)一步判斷�,從而能更準(zhǔn)確的判斷出客戶端自己無法確定是否安全的未知程序文件。由于采用這種方案�,無論是客戶端將進(jìn)一步掃描的各種屬性結(jié)果發(fā)送到服務(wù)器端來判斷,還是服務(wù)器端直接將與掃描結(jié)果相關(guān)的判斷邏輯�、修復(fù)邏輯一并發(fā)送給客戶端,讓其自己判斷���,本質(zhì)都是云端服務(wù)器及時下發(fā)個性化的掃描內(nèi)容�����,并根據(jù)程序文件的屬性及其所在上下文環(huán)境的屬性從服務(wù)器端動態(tài)獲取查殺方法����,避免了通過升級本地特征庫和引擎程序才能檢測和清除新生惡意程序,從而加快了對新生惡意程序的打擊速度��,有效地遏制了其快速蔓延���。在此提供的算法和顯示不與任何特定計算機(jī)����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)��。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述�,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外�����,本發(fā)明也不針對任何特定編程語言����。應(yīng)當(dāng)明白,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式���。在此處所提供的說明書中�����,說明了大量具體細(xì)節(jié)�����。然而��,能夠理解��,本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐�。在一些實例中,并未詳細(xì)示出公知的方法�����、結(jié)構(gòu)和技術(shù)�����,以便不模糊對本說明書的理解。類似地�����,應(yīng)當(dāng)理解��,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個����,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例�、圖、或者對其的描述中���。然而����,并不應(yīng)將該公開的方法解釋成反映如下意圖即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征�。更確切地說,如下面的權(quán)利要求書所反映的那樣�����,發(fā)明方面在于少于前面公開的單個實施例的所有特征�����。因此,遵循具體實施方式
的權(quán)利要求書由此明確地并入該具體實施方式
��,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例���。本領(lǐng)域那些技術(shù)人員可以理解,可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中��?��?梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件��,以及此外可以把它們分成多個子模塊或子單元或子組件����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合�����。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求���、摘要和附圖)中公開的每個特征可以由提供相同��、等同或相似目的的替代特征來代替���。此外,本領(lǐng)域的技術(shù)人員能夠理解�,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例�。例如,在下面的權(quán)利要求書中�,所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個部件實施例可以以硬件實現(xiàn)�,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)�。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的掃描設(shè)備或系統(tǒng)或云端管理設(shè)備中的一些或者全部部件的一些或者全部功能�。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計算機(jī)程序和計算機(jī)程序產(chǎn)品)��。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機(jī)可讀介質(zhì)上�,或者可以具有一個或者多個信號的形式���。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供��,或者以任何其他形式提供��。應(yīng)該注意的是上述實施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例���。在權(quán)利要求中��,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制���。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件��。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機(jī)來實現(xiàn)��。在列舉了若干裝置的單元權(quán)利要求中��,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)���。單詞第一���、第二����、以及第三等的使用不表示任何順序�����?�?蓪⑦@些單詞解釋為名稱��。
權(quán)利要求
1.一種掃描設(shè)備�����,用于查殺惡意程序���,該掃描設(shè)備包括 第一傳輸接口�,被配置為向服務(wù)器端設(shè)備傳輸信息����,以及接收所述服務(wù)器端設(shè)備傳輸?shù)男畔ⅲ? 第一掃描器���,被配置為根據(jù)已知掃描邏輯對所述客戶端設(shè)備進(jìn)行掃描,并將掃描得到的未知程序文件的特征數(shù)據(jù)通過所述第一傳輸接口傳輸至所述服務(wù)器端設(shè)備�����;以及 第二掃描器�,被配置為通過所述傳輸接口獲得所述服務(wù)器端設(shè)備傳輸?shù)牡诙呙鑳?nèi)容指示,所述第二掃描內(nèi)容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描����,以及根據(jù)所述第二掃描內(nèi)容指示進(jìn)行掃描。
2.根據(jù)權(quán)利要求1所述的掃描設(shè)備�, 所述第二掃描器還被配置為將按照所述第二掃描內(nèi)容指示進(jìn)行掃描后的掃描結(jié)果,通過所述第一傳輸接口傳輸至所述服務(wù)器端設(shè)備�;所述掃描設(shè)備還包括第一處理器�����,被配置為通過所述第一傳輸接口獲得所述服務(wù)器端設(shè)備基于所述第二掃描器提供的掃描結(jié)果確定的所述未知程序文件是否為惡意程序的判斷結(jié)果���,并根據(jù)所述判斷結(jié)果進(jìn)行相應(yīng)的處理��。
或者�����, 所述掃描設(shè)備還包括第二處理器���,被配置為通過所述第一傳輸接口獲得所述服務(wù)器端設(shè)備告知的與所述第二掃描內(nèi)容指示相關(guān)的判斷邏輯�����,并根據(jù)所述第二掃描器提供的掃描結(jié)果和所述判斷邏輯判斷所述未知程序文件是否為惡意程序����,以及進(jìn)行相應(yīng)的處理���。
3.根據(jù)權(quán)利要求2所述的掃描設(shè)備����, 所述第一處理器還被配置為獲得所述服務(wù)器端設(shè)備發(fā)送的與所述第二掃描器提供的掃描結(jié)果相關(guān)的修復(fù)邏輯���,并根據(jù)所述修復(fù)邏輯進(jìn)行相應(yīng)的修復(fù)處理���; 所述第二處理器還被配置為獲得所述服務(wù)器端設(shè)備發(fā)送的與所述判斷邏輯相關(guān)的修復(fù)邏輯,并在所述第二掃描器提供的掃描結(jié)果滿足所述修復(fù)邏輯時,根據(jù)所述修復(fù)邏輯進(jìn)行相應(yīng)的修復(fù)處理��。
4.根據(jù)權(quán)利要求1至3中任一項所述的掃描設(shè)備 所述程序文件的特征數(shù)據(jù)包括下述信息中的一種或多種對所述未知程序文件的全部或部分關(guān)鍵內(nèi)容采用特定算法獲得的數(shù)據(jù)���、文件名�; 所述未知程序文件的指定屬性包括下述信息中的一種或多種特征數(shù)據(jù)�����、文件大小���、安全級別�����、簽名信息以及版本信息�。
5.根據(jù)權(quán)利要求1至4中任一項所述的掃描設(shè)備�,所述未知程序文件的上下文環(huán)境的屬性包括下述信息中的一種或多種 所述未知程序文件所在目錄的信息、注冊表中的啟動位置的信息���、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息、指定進(jìn)程的運行狀態(tài)����。
6.一種云端管理設(shè)備��,用于查殺惡意程序�,該云端管理設(shè)備包括 第二傳輸接口����,被配置為向客戶端設(shè)備傳輸信息,以及接收所述客戶端設(shè)備傳輸?shù)男畔ⅲ? 第一匹配器��,被配置為通過所述第二傳輸接口獲得所述客戶端設(shè)備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據(jù)�����,并據(jù)此在已知的惡意程序特征數(shù)據(jù)記錄中進(jìn)行匹配�;以及 第二指示器,被配置為當(dāng)所述第一匹配器未能匹配到已知記錄時生成第二掃描內(nèi)容指示����,所述第二掃描內(nèi)容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描,并通過所述第二傳輸接口傳輸至所述客戶端設(shè)備�。
7.根據(jù)權(quán)利要求6所述的云端管理設(shè)備,還包括 所述第二指示器還被配置為通過所述第二傳輸接口獲得所述客戶端設(shè)備按照所述第二掃描內(nèi)容指示掃描后得到的掃描結(jié)果�����,并據(jù)此判斷所述未知程序文件是否為惡意程序,并將判斷結(jié)果通過所述第二傳輸接口傳輸至所述客戶端設(shè)備�; 或者, 所述第二指示器還被配置為將與所述第二掃描內(nèi)容指示相關(guān)的判斷邏輯一起通過所述第二傳輸接口傳輸至所述客戶端設(shè)備��,所述判斷邏輯是用以判斷所述未知程序文件是否為惡意程序的邏輯����。
8.根據(jù)權(quán)利要求6或7所述的云端管理設(shè)備,所述第一掃描內(nèi)容指示是附條件的指示�,所述條件包括下述內(nèi)容中的一種或多種 指定文件是否存在、指定目錄是否存在�����、程序文件的屬性是否滿足指定條件�、指定注冊表鍵是否存在、指定注冊表鍵值是否存在�����、注冊表鍵的內(nèi)容是否滿足指定條件�����、注冊表鍵值的內(nèi)容是否滿足指定條件��、指定進(jìn)程是否存在�����、以及指定服務(wù)是否存在�。
9.根據(jù)權(quán)利要求6至8中任一項所述的云端管理設(shè)備,所述修復(fù)邏輯包括下述邏輯中的一種或多種 刪除指定的注冊表鍵和/或鍵值����、修改注冊表鍵和/或鍵值為指定內(nèi)容、刪除指定系統(tǒng)服務(wù)項�����,以及修復(fù)或刪除指定程序文件��。
10.根據(jù)權(quán)利要求6至9中任一項所述的云端管理設(shè)備���,所述未知程序文件的上下文環(huán)境的屬性包括下述信息中的一種或多種 所述未知程序文件所在目錄的信息��、安全級別信息�����、注冊表中的啟動位置的信息�����、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息����、以及指定進(jìn)程的運行狀態(tài)。
11.一種基于云安全的惡意程序掃描系統(tǒng)����,包括如權(quán)利要求1至5中任一項所述的用于惡意程序查殺的掃描設(shè)備,以及如權(quán)利要求6至10中任一項所述的用于惡意程序查殺的云端管理設(shè)備����。
12.—種掃描方法,用于查殺惡意程序,該掃描方法包括 根據(jù)已知掃描邏輯對所述客戶端設(shè)備進(jìn)行掃描,并將掃描得到的未知程序文件的特征數(shù)據(jù)傳輸至所述服務(wù)器端設(shè)備���; 獲得所述服務(wù)器端設(shè)備傳輸?shù)牡诙呙鑳?nèi)容指示�,所述第二掃描內(nèi)容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描�;以及 根據(jù)所述第二掃描內(nèi)容指示對所述客戶端設(shè)備進(jìn)行掃描。
13.根據(jù)權(quán)利要求12所述的掃描方法�����,還包括 將按照所述第二掃描內(nèi)容指示進(jìn)行掃描后的掃描結(jié)果傳輸至服務(wù)器端設(shè)備���;獲得所述服務(wù)器端設(shè)備基于該掃描結(jié)果確定的所述未知程序文件是否為惡意程序的判斷結(jié)果���,并根據(jù)所述判斷結(jié)果進(jìn)行相應(yīng)的處理; 或者�, 獲得所述服務(wù)器端設(shè)備告知的與所述第二掃描內(nèi)容指示相關(guān)的判斷邏輯,并根據(jù)按照第二掃描內(nèi)容指示進(jìn)行掃描后的掃描結(jié)果和所述判斷邏輯確定所述未知程序文件是否為惡意程序���,以及進(jìn)行相應(yīng)的處理��。
14.一種云端管理方法����,用于查殺惡意程序�,該云端管理方法包括 獲得客戶端設(shè)備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據(jù),并據(jù)此在已知的惡意程序特征數(shù)據(jù)記錄中進(jìn)行匹配���; 當(dāng)根據(jù)所述未知程序文件的特征數(shù)據(jù)未能匹配到已知記錄時����,生成第二掃描內(nèi)容指示��,所述第二掃描內(nèi)容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描�; 將所述第二掃描內(nèi)容指示傳輸至所述客戶端設(shè)備�。
15.根據(jù)權(quán)利要求14所述的云端管理方法�,還包括 獲得所述客戶端設(shè)備按照所述第二掃描內(nèi)容指示掃描后獲得的掃描結(jié)果,并據(jù)此判斷所述未知程序文件是否為惡意程序���,將判斷結(jié)果和/或與所述掃描結(jié)果匹配的修復(fù)邏輯傳輸至所述客戶端設(shè)備����; 或者�, 將與所述第二掃描內(nèi)容指示相關(guān)的判斷邏輯和/或修復(fù)邏輯,與所述第二掃描內(nèi)容指示一起傳輸至所述客戶端設(shè)備����。
16.—種基于云安全的惡意程序掃描方法,包括 客戶端設(shè)備根據(jù)已知掃描邏輯進(jìn)行掃描,并將掃描得到的未知程序文件的特征數(shù)據(jù)傳輸至服務(wù)器端設(shè)備�����; 所述服務(wù)器端設(shè)備根據(jù)所述據(jù)未知程序文件的特征數(shù)據(jù)在已知的惡意程序特征數(shù)據(jù)記錄中進(jìn)行匹配�����; 當(dāng)根據(jù)所述未知程序文件的特征數(shù)據(jù)未能匹配到已知記錄時���,生成第二掃描內(nèi)容指示����,所述第二掃描內(nèi)容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描,以及將所述第二掃描內(nèi)容指示傳輸至所述客戶端設(shè)備; 所述客戶端設(shè)備根據(jù)所述第二掃描內(nèi)容指示對所述客戶端設(shè)備進(jìn)行掃描�。
全文摘要
本發(fā)明公開了一種掃描方法、設(shè)備和系統(tǒng)以及云端管理方法和設(shè)備���,用于查殺惡意程序。其中��,一種掃描方法包括根據(jù)已知掃描邏輯對所述客戶端設(shè)備進(jìn)行掃描����,并將掃描得到的未知程序文件的特征數(shù)據(jù)傳輸至所述服務(wù)器端設(shè)備;獲得所述服務(wù)器端設(shè)備傳輸?shù)牡诙呙鑳?nèi)容指示���,所述第二掃描內(nèi)容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進(jìn)行掃描��;以及根據(jù)所述第二掃描內(nèi)容指示對所述客戶端設(shè)備進(jìn)行掃描��。
文檔編號G06F21/56GK103034808SQ20121050618
公開日2013年4月10日 申請日期2012年11月30日 優(yōu)先權(quán)日2012年11月30日
發(fā)明者江愛軍, 劉智鋒, 孔慶龍, 張波, 姚彤 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司