處理計算機病毒的方法及裝置制造方法
【專利摘要】本申請實施例公開了一種處理計算機病毒的方法及裝置���,預先設置若干病毒掃描方式���,所述若干病毒掃描方式在進行文件掃描時所占用的系統(tǒng)資源不同�,所述方法包括:獲取待掃描文件��;按照所述若干病毒掃描方式占用系統(tǒng)資源從小到大的順序�,調用相應的病毒掃描方式對所述待掃描文件進行掃描。應用本申請實施例對文件進行病毒掃描�,由于按照占用系統(tǒng)資源從小到大的順序調用相應的病毒掃描方式,因此可以先通過占用系統(tǒng)資源較少的病毒掃描方式��,例如內存掃描方式對文件進行掃描�,從而減少占用系統(tǒng)資源較大的病毒掃描方式所需掃描的文件數(shù)量,由此提高系統(tǒng)的病毒掃描速度�,節(jié)約系統(tǒng)資源。
【專利說明】處理計算機病毒的方法及裝置
[0001] 本發(fā)明專利申請是申請日為2011年9月9日��、申請?zhí)枮?01110277746. 3���、名稱為 "處理計算機病毒的方法及裝置"的中國發(fā)明專利申請的分案申請���。
【技術領域】
[0002] 本申請涉及計算機【技術領域】,特別是涉及一種處理計算機病毒的方法及裝置��。
【背景技術】
[0003] 計算機病毒是編制或者在計算機程序中插入的破壞計算機功能的數(shù)據(jù)�,其會影響 計算機的正常使用并且能夠自我復制����,通常以一組計算機指令或者程序代碼的形式呈現(xiàn)���。 而殺毒引擎就是一套判斷特定程序行為是否為病毒程序(包括可疑程序)的技術機制��。殺 毒引擎是殺毒軟件的主要部分���,是檢測和發(fā)現(xiàn)病毒的程序,而病毒庫是已經(jīng)發(fā)現(xiàn)的病毒的 特征集合����。在殺毒過程中,用病毒庫中的特征去對照機器中的所有程序或文件����,對于符合這 些特征的程序或文件,判定為病毒�。
[0004] 發(fā)明人在對現(xiàn)有技術的研究過程中發(fā)現(xiàn),每一次采用殺毒引擎進行殺毒的過程均 相互獨立��,即無論前一次采用殺毒引擎對文件進行掃描后輸出何種結果�,下一次仍然采用 殺毒引擎對所有文件進行掃描�����,前后兩次掃描過程中發(fā)現(xiàn)的病毒文件類型可能相同。由此 可知��,雖然殺毒引擎具有殺毒功能強大的特點���,但是每次采用殺毒引擎對所有文件進行掃 描時���,都將占用大量的系統(tǒng)資源。
【發(fā)明內容】
[0005] 本申請實施例提供了一種處理計算機病毒的方法及裝置���,以解決現(xiàn)有殺毒引擎每 一次殺毒都對所有文件進行掃描���,占用大量系統(tǒng)資源的問題。
[0006] 為了解決上述技術問題�,本申請實施例公開了如下技術方案:
[0007] -種處理計算機病毒的方法,預先設置若干病毒掃描方式�����,所述若干病毒掃描方 式在進行文件掃描時所占用的系統(tǒng)資源不同��,所述方法包括:
[0008] 獲取待掃描文件;
[0009] 按照所述若干病毒掃描方式占用系統(tǒng)資源從小到大的順序��,調用相應的病毒掃描 方式對所述待掃描文件進行掃描�����。
[0010] 所述若干病毒掃描方式至少包括第一病毒掃描方式和第二病毒掃描方式����,所述第 一病毒掃描方式占用的系統(tǒng)資源小于所述第二病毒掃描方式;
[0011] 所述調用相應的病毒掃描方式對所述待掃描文件進行掃描包括:
[0012] 調用所述第一病毒掃描方式對所述待掃描文件進行掃描�,獲得所述待掃描文件中 的確定文件;
[0013] 調用所述第二病毒掃描方式僅對所述待掃描文件中除所述確定文件以外的其它 文件進行掃描��。
[0014] 所述若干病毒掃描方式按照占用系統(tǒng)資源從小到大順序排列���,包括下述至少兩種 方式:
[0015] 根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描的內存掃描方式�,所述掃 描結果包括確定為惡意文件或非惡意文件的文件屬性信息����,所述文件屬性信息包括文件大 小、文件修改時間和文件路徑�����;
[0016] 通過預先保存的黑名單和白名單中的至少一種名單進行病毒掃描的名單掃描方 式;
[0017] 通過殺毒引擎進行病毒掃描的引擎掃描方式�。
[0018] 所述按照若干病毒掃描方式占用系統(tǒng)資源從小到大的順序��,調用相應的病毒掃描 方式對待掃描的文件進行掃描包括:
[0019] 調用所述內存掃描方式對所述待掃描文件進行掃描��,獲得包含第一確定文件的第 一掃描結果�;
[0020] 調用所述名單掃描方式僅對所述待掃描文件中除所述第一確定文件的其它文件 進行掃描,獲得包含第二確定文件的第二掃描結果�;
[0021] 調用所述引擎掃描方式僅對所述其它文件中除所述第二確定文件的剩余文件進 行掃描,獲得包含第三確定文件的第三掃描結果��。
[0022] 采用內存掃描方式對所述待掃描文件進行掃描包括:
[0023] 獲取待掃描文件的文件屬性信息����;
[0024] 將所述文件屬性信息與緩存中保存的文件屬性信息進行匹配;
[0025] 當待掃描文件的文件屬性與緩存中保存的文件屬性匹配時�����,將所述待掃描文件確 定為惡意文件或非惡意文件��,當待掃描文件的文件屬性與緩存中保存的文件屬性不匹配 時��,將所述待掃描文件確定為通過名單掃描方式進行掃描的其它文件�����。
[0026] 通過預先保存的黑名單對經(jīng)過內存掃描方式掃描后的除所述第一確定文件的其 它文件進行掃描包括:
[0027] 將所述其它文件中的每一個文件的文件名與所述黑名單中預先保存的文件名進 行比較,當某個文件的文件名與所述預先保存的文件名匹配時���,確定所述某個文件為屬于 所述第二確定文件的惡意文件����;
[0028] 通過預先保存的白名單對經(jīng)過內存掃描方式掃描后的除所述第一確定文件的其 它文件進行掃描包括:
[0029] 將所述其它文件中的每一個文件的文件名與所述白名單中預先保存的文件名進 行比較�,當某個文件的文件名與所述預先保存的文件名匹配時,確定所述某個文件為屬于 所述第二確定文件的非惡意文件�����。
[0030] 還包括:
[0031] 根據(jù)待掃描文件的掃描結果����,將所述第二確定文件和第三確定文件的文件屬性存 入緩存中。
[0032] 一種處理計算機病毒的裝置���,所述裝置包括:
[0033] 設置單元�����,用于預先設置若干病毒掃描方式�,所述若干病毒掃描方式在進行文件 掃描時所占用的系統(tǒng)資源不同;
[0034] 獲取單元��,用于獲取待掃描文件�����;
[0035] 掃描單元�����,用于按照所述若干病毒掃描方式占用系統(tǒng)資源從小到達的順序�����,調用 相應的病毒掃描方式對所述待掃描文件進行掃描��。
[0036] 所述設置單兀中設置的若干病毒掃描方式至少包括第一病毒掃描方式和第二病 毒掃描方式��,所述第一病毒掃描方式占用的系統(tǒng)資源小于所述第二病毒掃描方式���;
[0037] 所述掃描單元包括:
[0038] 第一調用掃描單元,用于調用所述第一病毒掃描方式對所述待掃描文件進行掃 描����,獲得所述待掃描文件中的確定文件���;
[0039] 第二調用掃描單元,用于調用所述第二病毒掃描方式僅對所述待掃描文件中除所 述確定文件以外的其它文件進行掃描��,獲得第二掃描結果�。
[0040] 所述設置單元設置的若干病毒掃描方式按照占用系統(tǒng)資源從小到達順序排列,包 括下述至少兩種方式 :
[0041] 根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描的內存掃描方式��,所述掃 描結果包括確定為惡意文件或非惡意文件的文件屬性��,所述文件屬性包括文件大小���、文件 修改時間和文件路徑����;
[0042] 通過預先保存的黑名單和白名單中的至少一種名單進行病毒掃描的名單掃描方 式����;
[0043] 通過少度引擎進行病毒掃描的引擎掃描方式。
[0044] 所述掃描單元包括:
[0045] 第一掃描單元�,用于調用所述內存掃描方式對所述待掃描文件進行掃描,獲得包 含第一確定文件的第一掃描結果��;
[0046] 第二掃描單元�,用于調用所述名單掃描方式僅對所述待掃描文件中除所述第一確 定文件的其它文件進行掃描�,獲得包含第二確定文件的第二掃描結果�;
[0047] 第三掃描單元,用于調用所述引擎掃描方式僅對所述其它文件中除所述第二確定 文件的剩余文件進行掃描����,獲得包含第三確定文件的第三掃描結果。
[0048] 第一掃描單元包括:
[0049] 信息獲取單元�,用于獲取待掃描文件的文件屬性信息;
[0050] 信息匹配單元�����,用于將所述文件屬性信息與緩存中保存的文件屬性信息進行匹 配����;
[0051] 結果確定單元�,用于當待掃描文件的文件屬性與緩存中保存的文件屬性匹配時, 將所述待掃描文件確定為惡意文件或非惡意文件���,當待掃描文件的文件屬性與緩存中保存 的文件屬性不匹配時��,將所述待掃描文件確定為通過名單掃描方式進行掃描的其它文件����。
[0052] 所述第二掃描單元包括至少一個下述單元:
[0053] 黑名單掃描單元,用于將所述其它文件中的每一個文件的文件名與所述黑名單中 預先保存的文件名進行比較��,當某個文件的文件名與所述預先保存的文件名匹配時�,確定 所述某個文件為屬于所述第二確定文件的惡意文件;
[0054] 白名單掃描單元�����,用于將所述其它文件中的每一個文件的文件名與所述白名單中 預先保存的文件名進行比較�,當某個文件的文件名與所述預先保存的文件名匹配時,確定 所述某個文件為屬于所述第二確定文件的非惡意文件�。
[0055] 還包括:
[0056] 存儲單元,用于根據(jù)所述第二掃描單元和第三掃描單元的掃描結果�����,將所述第二 確定文件和第三確定文件的文件屬性存入緩存中��。
[0057] 由上述實施例可以看出�,本申請實施例中預先設置若干病毒掃描方式,這些病毒 掃描方式在進行文件掃描時所占用的系統(tǒng)資源不同�,獲取待掃描文件,按照若干病毒掃描 方式占用系統(tǒng)資源從小到大的順序����,調用相應的病毒掃描方式對待掃描文件進行掃描����。應 用本申請實施例對文件進行病毒掃描�,由于按照占用系統(tǒng)資源從小到大的順序調用相應的 病毒掃描方式,因此可以先通過占用系統(tǒng)資源較少的病毒掃描方式����,例如內存掃描方式對 文件進行掃描,從而減少占用系統(tǒng)資源較大的病毒掃描方式所需掃描的文件數(shù)量�����,由此提 高系統(tǒng)的病毒掃描速度��,節(jié)約系統(tǒng)資源�����;進一步��,由于占用系統(tǒng)資源較小的內存掃描方式可 以保存前一次掃描的掃描結果�����,因此再次掃描時���,可以通過內存掃描方式確定大部分文件 的掃描結果����,從而進一步提升掃描速度�。
【專利附圖】
【附圖說明】
[0058] 為了更清楚地說明本申請實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn) 有技術描述中所需要使用的附圖作簡單地介紹�,顯而易見地,對于本領域普通技術人員而 言����,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。
[0059] 圖1為本申請?zhí)幚碛嬎銠C病毒的方法的第一實施例流程圖;
[0060] 圖2為本申請?zhí)幚碛嬎銠C病毒的方法的第二實施例流程圖��;
[0061] 圖3為本申請?zhí)幚碛嬎銠C病毒的方法的第三實施例流程圖�;
[0062] 圖4為本申請?zhí)幚碛嬎銠C病毒的裝置的第一實施例框圖;
[0063] 圖5為本申請?zhí)幚碛嬎銠C病毒的裝置的第二實施例框圖����。
【具體實施方式】
[0064] 本發(fā)明如下實施例提供了處理計算機病毒的方法及裝置。本申請實施例中由于按 照占用系統(tǒng)資源從小到大的順序調用相應的病毒掃描方式��,因此可以先通過占用系統(tǒng)資源 較少的病毒掃描方式,從而減少占用系統(tǒng)資源較大的病毒掃描方式所需掃描的文件數(shù)量�, 由此提高系統(tǒng)的病毒掃描速度,節(jié)約系統(tǒng)資源��。
[0065] 為了使本【技術領域】的人員更好地理解本發(fā)明實施例中的技術方案����,并使本發(fā)明實 施例的上述目的、特征和優(yōu)點能夠更加明顯易懂�����,下面結合附圖對本發(fā)明實施例中技術方 案作進一步詳細的說明����。
[0066] 參見圖1,為本申請?zhí)幚碛嬎銠C病毒的方法的第一實施例流程圖:
[0067] 步驟101 :預先設置若干病毒掃描方式�����,若干病毒掃描方式在進行文件掃描時所 占用的系統(tǒng)資源不同�����。
[0068] 其中�����,若干病毒掃描方式按照占用系統(tǒng)資源從小到大順序排列���,包括下述至少兩 種方式:根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描的內存掃描方式��,其中掃 描結果包括確定為惡意文件或非惡意文件的文件屬性信息����,文件屬性信息包括文件大小���、 文件修改時間和文件路徑�����;通過預先保存的黑名單和白名單中的至少一種名單進行病毒掃 描的名單掃描方式���;通過殺毒引擎進行病毒掃描的引擎掃描方式。
[0069] 步驟102 :獲取待掃描文件��。
[0070] 步驟103 :按照若干病毒掃描方式占用系統(tǒng)資源從小到大的順序���,調用相應的病 毒掃描方式對待掃描文件進行掃描�����。
[0071] 其中�,當若干病毒掃描方式至少包括第一病毒掃描方式和第二病毒掃描方式,且 第一病毒掃描方式占用的系統(tǒng)資源小于第二病毒掃描方式時�����,先調用第一病毒掃描方式對 待掃描文件進行掃描��,獲得待掃描文件中的確定文件�����,然后調用第二病毒掃描方式僅對待 掃描文件中除確定文件以外的其它文件進行掃描����。其中,確定文件指確定為惡意文件或非 惡意文件的文件���。
[0072] 具體的����,當同時采用內存掃描方式��、名單掃描方式和引擎掃描方式對待掃描文件 進行掃描時���,首先調用內存掃描方式對待掃描文件進行掃描�����,獲得包含第一確定文件的第 一掃描結果�,然后調用名單掃描方式僅對待掃描文件中除第一確定文件的其它文件進行掃 描����,獲得包含第二確定文件的第二掃描結果,最后調用引擎掃描方式僅對其它文件中除第 二確定文件的剩余文件進行掃描�����,獲得包含第三確定文件的第三掃描結果���。
[0073] 參見圖2,為本申請?zhí)幚碛嬎銠C病毒的方法的第二實施例流程圖��,該實施例詳細描 述了采用三種掃描方式對待掃描文件進行掃描的過程:
[0074] 步驟201 :預先設置按照占用系統(tǒng)資源從小到大順序排列的內存掃描方式��、名單 掃描方式和引擎掃描方式��。
[0075] 其中����,內存掃描方式指根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描, 掃描結果包括確定為惡意文件或非惡意文件的文件屬性信息�,文件屬性信息包括文件大 小、文件修改時間和文件路徑等��;名單掃描方式指通過預先保存的黑名單和白名單中的至 少一種名單進行病毒掃描���;引擎掃描方式指通過殺毒引擎進行病毒掃描的引擎掃描方式��。
[0076] 步驟202 :獲取待掃描文件��。
[0077] 步驟203 :調用內存掃描方式對待掃描文件進行掃描��,獲得包含第一確定文件的 第一掃描結果���。
[0078] 獲取待掃描文件的文件屬性信息,例如文件大小��、文件修改時間和文件路徑等�。系 統(tǒng)中文件屬性記錄了該文件最后一次被修改后的文件大小、修改時間和文件路徑等屬性信 息�����,屬性信息根據(jù)文件的修改進行實時更新。
[0079] 將文件屬性信息與緩存中保存的文件屬性信息進行匹配�����,當待掃描文件的文件屬 性與緩存中保存的文件屬性匹配時����,將待掃描文件確定為惡意文件或非惡意文件�����,當待掃 描文件的文件屬性與緩存中保存的文件屬性不匹配時�,將待掃描文件確定為通過名單掃描 方式進行掃描的其它文件。由于文件屬性信息包括多種信息��,因此在進行匹配時可以按照 預設順序對每一種屬性信息進行逐一匹配�,例如,先匹配文件大小���,其次匹配文件修改時 間�����,最后匹配文件路徑等��。其中��,當某一文件的所有屬性信息都與緩存中保存的文件屬性信 息一致時���,才確定該文件的文件屬性與緩存中保存的文件屬性匹配�,當某一文件的任意一 種屬性信息與緩存中保存的文件屬性信息不一致時�,則確定該文件的文件屬性與緩存中保 存的文件屬性不匹配。
[0080] 由于內存掃描方式是根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描�����,因 此通過匹配獲得的第一掃描結果中的確定文件是根據(jù)前次掃描已經(jīng)確定為惡意文件和非 惡意文件的文件集合���。由于內存信息讀取速度快�,且前后兩次掃描過程中病毒文件發(fā)生的 變化不大���,因此通過內存掃描方式可以對系統(tǒng)中的大部分文件進行查殺��,因此提升了查殺 速度���,節(jié)約了系統(tǒng)資源。
[0081] 步驟204 :調用名單掃描方式僅對待掃描文件中除第一確定文件的其它文件進行 掃描����,獲得包含第二確定文件的第二掃描結果��。
[0082] 通過預先保存的黑名單進行掃描時���,將其它文件中的每一個文件的文件名與黑名 單中預先保存的文件名進行比較��,當某個文件的文件名與預先保存的文件名匹配時�����,確定 某個文件為屬于第二確定文件的惡意文件����;通過預先保存的白名單進行掃描時,將其它文 件中的每一個文件的文件名與白名單中預先保存的文件名進行比較���,當某個文件的文件名 與預先保存的文件名匹配時��,確定某個文件為屬于第二確定文件的非惡意文件�。
[0083] 其中��,白名單通常由用戶在客戶端進行維護��,用戶將確定為非惡意的文件加入到 白名單中進行保存,白名單中可以記錄文件的文件名和文件路徑等信息�;黑名單通常由殺 毒軟件提供方進行維護,根據(jù)監(jiān)控將確定的惡意文件加入到黑名單中進行保存����。
[0084] 步驟205 :調用引擎掃描方式僅對其它文件中除第二確定文件的剩余文件進行掃 描,獲得包含第三確定文件的第三掃描結果���。
[0085] 采用引擎掃描方式對剩余文件進行掃描時���,可以采用的殺毒引擎可以包括:云查 殺引擎,QVM(Qih 〇〇 Virtual Machine����,人工智能引擎)引擎,小紅傘殺毒引擎等任意現(xiàn)有已 存在的殺毒引擎����。
[0086] 步驟206 :根據(jù)待掃描文件的掃描結果,將第二確定文件和第三確定文件的文件 屬性存入緩存中�。
[0087] 由于本次掃描過程中,通過名單掃描方式和引擎掃描方式得到的掃描結果中的確 定文件與在緩存中保存的確定文件不同�����,因此為了進一步提高下一次病毒掃描速度,將第 二確定文件和第三確定文件的文件屬性����,包括文件大小、文件修改時間及文件路徑等記錄 到緩存中��,則下一次對這些文件可以直接通過占用系統(tǒng)資源最少的內存掃描方式進行掃 描��。
[0088] 參見圖3,為本申請?zhí)幚碛嬎銠C病毒的方法的第三實施例流程圖��,該實施例詳細示 出了通過內存掃描方式對待掃描文件進行掃描的過程:
[0089] 步驟301 :緩存中預先保存已掃描文件的掃描結果�,該掃描結果包括確定為惡意 文件或非惡意文件的文件屬性信息����,文件屬性信息包括文件大小、文件修改時間和文件路 徑����。
[0090] 步驟302 :順序獲取待掃描文件中的一個文件。
[0091] 步驟303 :獲取該文件的文件大小���、文件修改時間和文件路徑��。
[0092] 系統(tǒng)中文件的文件屬性記錄了該文件最后一次被修改后的文件大小����、修改時間和 文件路徑等屬性信息,屬性信息根據(jù)文件的修改進行實時更新��。
[0093] 步驟304 :判斷該文件的文件大小是否與預先保存的文件大小匹配�����,若是�����,則執(zhí)行 步驟305,否則���,執(zhí)行步驟309���。
[0094] 步驟305 :判斷該文件的文件修改時間是否與預先保存的文件修改時間匹配,若 是���,則執(zhí)行步驟306 ;否則��,執(zhí)行步驟309�����。
[0095] 步驟306 :判斷該文件的文件路徑是否與預先保存的文件路徑匹配�,若是,則執(zhí)行 步驟307 ;否則��,執(zhí)行步驟309���。
[0096] 步驟307 :根據(jù)匹配結果將該文件確定為惡意文件或非惡意文件��。
[0097]當某一文件的所有屬性信息都與緩存中保存的文件屬性信息一致時��,才確定該文 件的文件屬性與緩存中保存的文件屬性匹配����,此時如果內存中相匹配的文件屬性信息對應 的文件為惡意文件����,則該文件的掃描結果即為惡意文件��,如果內存中匹配的文件屬性信息 對應的文件為非惡意文件���,則該文件的掃描結果即為非惡意文件����。
[0098] 由于內存掃描方式是根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描,因 此通過匹配獲得的第一掃描結果中的確定文件是根據(jù)前次掃描已經(jīng)確定為惡意文件和非 惡意文件的文件集合�。由于內存信息讀取速度快,且前后兩次掃描過程中病毒文件發(fā)生的 變化不大���,因此通過內存掃描方式可以對系統(tǒng)中的大部分文件進行查殺���,因此提升了查殺 速度,節(jié)約了系統(tǒng)資源�。
[0099] 步驟308 :將該文件確定為需要通過其它掃描方式進行掃描的文件。
[0100] 當某一文件的任意一種屬性信息與緩存中保存的文件屬性信息不一致時��,則確定 該文件的文件屬性與緩存中保存的文件屬性不匹配�����。此時����,說明該文件為需要通過除內存 掃描方式的其它掃描方式進行掃描,例如��,通過前述實施例中示出的名單掃描方式��,和/或 引擎掃描方式。
[0101] 步驟309 :是否匹配完所有待掃描文件�����,若是���,則結束流程���,否則,返回步驟302���。
[0102] 由上述本申請實施例可見�,在對文件進行病毒掃描時�,由于按照占用系統(tǒng)資源從 小到大的順序調用相應的病毒掃描方式,因此可以先通過占用系統(tǒng)資源較少的病毒掃描方 式�����,例如內存掃描方式對文件進行掃描����,從而減少占用系統(tǒng)資源較大的病毒掃描方式所需 掃描的文件數(shù)量�,由此提高系統(tǒng)的病毒掃描速度�����,節(jié)約系統(tǒng)資源����;進一步���,由于占用系統(tǒng)資 源較小的內存掃描方式可以保存前一次掃描的掃描結果�����,因此再次掃描時�,可以通過內存 掃描方式確定大部分文件的掃描結果�,從而進一步提升掃描速度。
[0103] 與本申請?zhí)幚碛嬎銠C病毒的方法的實施例相對應�����,本申請還提供了處理計算機病 毒的裝置的實施例�����。
[0104] 參見圖4,為本申請?zhí)幚碛嬎銠C病毒的裝置的第一實施例框圖:
[0105] 該裝置包括:設置單元410��、獲取單元420和掃描單元430。
[0106] 其中�,設置單兀410,用于預先設置若干病毒掃描方式,所述若干病毒掃描方式在 進行文件掃描時所占用的系統(tǒng)資源不同�����;
[0107] 獲取單元420,用于獲取待掃描文件�����;
[0108] 掃描單元430,用于按照所述若干病毒掃描方式占用系統(tǒng)資源從小到達的順序�,調 用相應的病毒掃描方式對所述待掃描文件進行掃描。
[0109] 其中�,所述設置單兀410中設置的若干病毒掃描方式至少包括第一病毒掃描方式 和第二病毒掃描方式,所述第一病毒掃描方式占用的系統(tǒng)資源小于所述第二病毒掃描方 式��;
[0110] 所述掃描單元430可以具體包括(圖4中未示出):
[0111] 第一調用掃描單元��,用于調用所述第一病毒掃描方式對所述待掃描文件進行掃 描�����,獲得所述待掃描文件中的確定文件����;
[0112] 第二調用掃描單元,用于調用所述第二病毒掃描方式僅對所述待掃描文件中除所 述確定文件以外的其它文件進行掃描���,獲得第二掃描結果�。
[0113] 參見圖5,為本申請?zhí)幚碛嬎銠C病毒的裝置的第二實施例框圖:
[0114] 該裝置包括:設置單元510���、獲取單元520�����、掃描單元530和存儲單元540�。
[0115] 其中�,設置單兀510,用于預先設置若干病毒掃描方式,所述若干病毒掃描方式在 進行文件掃描時所占用的系統(tǒng)資源不同�;其中,所述設置單元設置的若干病毒掃描方式按 照占用系統(tǒng)資源從小到達順序排列���,包括下述至少兩種方式:根據(jù)緩存中保存的已掃描文 件的掃描結果進行病毒掃描的內存掃描方式�,所述掃描結果包括確定為惡意文件或非惡意 文件的文件屬性���,所述文件屬性包括文件大小�����、文件修改時間和文件路徑��;通過預先保存的 黑名單和白名單中的至少一種名單進行病毒掃描的名單掃描方式���;通過少度引擎進行病毒 掃描的引擎掃描方式�;
[0116] 獲取單元520,用于獲取待掃描文件��;
[0117] 掃描單元530,用于按照所述若干病毒掃描方式占用系統(tǒng)資源從小到達的順序��,調 用相應的病毒掃描方式對所述待掃描文件進行掃描��;該掃描單元530可以包括:第一掃描 單元531�����,用于調用所述內存掃描方式對所述待掃描文件進行掃描�,獲得包含第一確定文件 的第一掃描結果;第二掃描單元532,用于調用所述名單掃描方式僅對所述待掃描文件中 除所述第一確定文件的其它文件進行掃描�����,獲得包含第二確定文件的第二掃描結果����;第三 掃描單元533,用于調用所述引擎掃描方式僅對所述其它文件中除所述第二確定文件的剩 余文件進行掃描���,獲得包含第三確定文件的第三掃描結果�;
[0118] 存儲單元540,用于根據(jù)所述第二掃描單元和第三掃描單元的掃描結果,將所述第 二確定文件和第三確定文件的文件屬性存入緩存中�。
[0119] 具體的,第一掃描單元531可以包括(圖5中未示出):
[0120] 信息獲取單元�����,用于獲取待掃描文件的文件屬性信息�;
[0121] 信息匹配單元,用于將所述文件屬性信息與緩存中保存的文件屬性信息進行匹 配�;
[0122] 結果確定單元,用于當待掃描文件的文件屬性與緩存中保存的文件屬性匹配時����, 將所述待掃描文件確定為惡意文件或非惡意文件,當待掃描文件的文件屬性與緩存中保存 的文件屬性不匹配時�,將所述待掃描文件確定為通過名單掃描方式進行掃描的其它文件。
[0123] 具體的����,第二掃描單元532可以包括(圖5中未示出):
[0124] 黑名單掃描單元,用于將所述其它文件中的每一個文件的文件名與所述黑名單中 預先保存的文件名進行比較,當某個文件的文件名與所述預先保存的文件名匹配時�,確定 所述某個文件為屬于所述第二確定文件的惡意文件;
[0125] 白名單掃描單元�����,用于將所述其它文件中的每一個文件的文件名與所述白名單中 預先保存的文件名進行比較�����,當某個文件的文件名與所述預先保存的文件名匹配時����,確定 所述某個文件為屬于所述第二確定文件的非惡意文件。
[0126] 通過對以上實施方式的描述可知�����,本申請實施例中預先設置若干病毒掃描方式��, 這些病毒掃描方式在進行文件掃描時所占用的系統(tǒng)資源不同�����,獲取待掃描文件�����,按照若干 病毒掃描方式占用系統(tǒng)資源從小到大的順序,調用相應的病毒掃描方式對待掃描文件進行 掃描��。應用本申請實施例對文件進行病毒掃描��,由于按照占用系統(tǒng)資源從小到大的順序調 用相應的病毒掃描方式��,因此可以先通過占用系統(tǒng)資源較少的病毒掃描方式�,例如內存掃 描方式對文件進行掃描��,從而減少占用系統(tǒng)資源較大的病毒掃描方式所需掃描的文件數(shù) 量�,由此提高系統(tǒng)的病毒掃描速度,節(jié)約系統(tǒng)資源��;進一步�,由于占用系統(tǒng)資源較小的內存 掃描方式可以保存前一次掃描的掃描結果,因此再次掃描時���,可以通過內存掃描方式確定 大部分文件的掃描結果�,從而進一步提升掃描速度�����。
[0127] 本領域的技術人員可以清楚地了解到本發(fā)明實施例中的技術可借助軟件加必需 的通用硬件平臺的方式來實現(xiàn)?����;谶@樣的理解�,本發(fā)明實施例中的技術方案本質上或者 說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品可以存 儲在存儲介質中�����,如R0M/RAM�、磁碟、光盤等�����,包括若干指令用以使得一臺計算機設備(可以 是個人計算機����,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分 所述的方法����。
[0128] 本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同相似的部 分互相參見即可�,每個實施例重點說明的都是與其他實施例的不同之處��。尤其���,對于系統(tǒng)實 施例而言,由于其基本相似于方法實施例����,所以描述的比較簡單,相關之處參見方法實施例 的部分說明即可����。
[0129] 以上所述的本發(fā)明實施方式,并不構成對本發(fā)明保護范圍的限定���。任何在本發(fā)明 的精神和原則之內所作的修改、等同替換和改進等���,均應包含在本發(fā)明的保護范圍之內���。
【權利要求】
1. 一種處理計算機病毒的方法,其特征在于���,預先設置若干病毒掃描方式�,所述若干病 毒掃描方式在進行文件掃描時所占用的系統(tǒng)資源不同,所述方法包括: 獲取待掃描文件���; 按照所述若干病毒掃描方式占用系統(tǒng)資源從小到大的順序��,調用相應的病毒掃描方式 對所述待掃描文件進行掃描���。
2. 根據(jù)權利要求1所述的方法,其特征在于�,所述若干病毒掃描方式至少包括第一病 毒掃描方式和第二病毒掃描方式,所述第一病毒掃描方式占用的系統(tǒng)資源小于所述第二病 毒掃描方式�����; 所述調用相應的病毒掃描方式對所述待掃描文件進行掃描包括: 調用所述第一病毒掃描方式對所述待掃描文件進行掃描�����,獲得所述待掃描文件中的確 定文件��; 調用所述第二病毒掃描方式僅對所述待掃描文件中除所述確定文件以外的其它文件 進行掃描��。
3. 根據(jù)權利要求1所述的方法�,其特征在于,所述若干病毒掃描方式按照占用系統(tǒng)資 源從小到大順序排列�����,包括下述至少兩種方式: 根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描的內存掃描方式,所述掃描結 果包括確定為惡意文件或非惡意文件的文件屬性信息��,所述文件屬性信息包括文件大小����、 文件修改時間和文件路徑; 通過預先保存的黑名單和白名單中的至少一種名單進行病毒掃描的名單掃描方式�����; 通過殺毒引擎進行病毒掃描的引擎掃描方式�����。
4. 根據(jù)權利要求3所述的方法�����,其特征在于�����,所述按照若干病毒掃描方式占用系統(tǒng)資 源從小到大的順序�����,調用相應的病毒掃描方式對待掃描的文件進行掃描包括: 調用所述內存掃描方式對所述待掃描文件進行掃描�����,獲得包含第一確定文件的第一掃 描結果��; 調用所述名單掃描方式僅對所述待掃描文件中除所述第一確定文件的其它文件進行 掃描����,獲得包含第二確定文件的第二掃描結果; 調用所述引擎掃描方式僅對所述其它文件中除所述第二確定文件以外的剩余文件進 行掃描��,獲得包含第三確定文件的第三掃描結果�。
5. 根據(jù)權利要求4所述的方法,其特征在于�����,采用內存掃描方式對所述待掃描文件進 行掃描包括: 獲取待掃描文件的文件屬性信息�����; 將所述文件屬性信息與緩存中保存的文件屬性信息進行匹配; 當待掃描文件的文件屬性與緩存中保存的文件屬性匹配時��,將所述待掃描文件確定為 惡意文件或非惡意文件�,當待掃描文件的文件屬性與緩存中保存的文件屬性不匹配時,將 所述待掃描文件確定為通過名單掃描方式進行掃描的其它文件��。
6. 根據(jù)權利要求4所述的方法���,其特征在于����, 通過預先保存的黑名單對經(jīng)過內存掃描方式掃描后的除所述第一確定文件的其它文 件進行掃描包括: 將所述其它文件中的每一個文件的文件名與所述黑名單中預先保存的文件名進行比 較�,當某個文件的文件名與所述預先保存的文件名匹配時,確定所述某個文件為屬于所述 第二確定文件的惡意文件�����; 通過預先保存的白名單對經(jīng)過內存掃描方式掃描后的除所述第一確定文件的其它文 件進行掃描包括: 將所述其它文件中的每一個文件的文件名與所述白名單中預先保存的文件名進行比 較�����,當某個文件的文件名與所述預先保存的文件名匹配時�����,確定所述某個文件為屬于所述 第二確定文件的非惡意文件��。
7. 根據(jù)權利要求4所述的方法�����,其特征在于�,還包括: 根據(jù)待掃描文件的掃描結果,將所述第二確定文件和第三確定文件的文件屬性存入緩 存中�����。
8. -種處理計算機病毒的裝置���,其特征在于���,所述裝置包括: 設置單元,用于預先設置若干病毒掃描方式���,所述若干病毒掃描方式在進行文件掃描 時所占用的系統(tǒng)資源不同�; 獲取單元��,用于獲取待掃描文件��; 掃描單元,用于按照所述若干病毒掃描方式占用系統(tǒng)資源從小到達的順序�,調用相應 的病毒掃描方式對所述待掃描文件進行掃描。
9. 根據(jù)權利要求8所述的裝置���,其特征在于���,所述設置單元中設置的若干病毒掃描方 式至少包括第一病毒掃描方式和第二病毒掃描方式,所述第一病毒掃描方式占用的系統(tǒng)資 源小于所述第二病毒掃描方式���; 所述掃描單元包括: 第一調用掃描單元���,用于調用所述第一病毒掃描方式對所述待掃描文件進行掃描,獲 得所述待掃描文件中的確定文件��; 第二調用掃描單元�,用于調用所述第二病毒掃描方式僅對所述待掃描文件中除所述確 定文件以外的其它文件進行掃描,獲得第二掃描結果��。
10. 根據(jù)權利要求8所述的裝置����,其特征在于,所述設置單元設置的若干病毒掃描方式 按照占用系統(tǒng)資源從小到達順序排列�����,包括下述至少兩種方式: 根據(jù)緩存中保存的已掃描文件的掃描結果進行病毒掃描的內存掃描方式�����,所述掃描結 果包括確定為惡意文件或非惡意文件的文件屬性����,所述文件屬性包括文件大小、文件修改 時間和文件路徑��; 通過預先保存的黑名單和白名單中的至少一種名單進行病毒掃描的名單掃描方式��; 通過少度引擎進行病毒掃描的引擎掃描方式�。
11. 根據(jù)權利要求10所述的裝置,其特征在于�����,所述掃描單元包括: 第一掃描單元����,用于調用所述內存掃描方式對所述待掃描文件進行掃描,獲得包含第 一確定文件的第一掃描結果�; 第二掃描單元���,用于調用所述名單掃描方式僅對所述待掃描文件中除所述第一確定文 件的其它文件進行掃描,獲得包含第二確定文件的第二掃描結果����; 第三掃描單元,用于調用所述引擎掃描方式僅對所述其它文件中除所述第二確定文件 的剩余文件進行掃描���,獲得包含第三確定文件的第三掃描結果���。
12. 根據(jù)權利要求11所述的裝置,其特征在于����,第一掃描單元包括: 信息獲取單元,用于獲取待掃描文件的文件屬性信息����; 信息匹配單元,用于將所述文件屬性信息與緩存中保存的文件屬性信息進行匹配���; 結果確定單元�,用于當待掃描文件的文件屬性與緩存中保存的文件屬性匹配時�,將所 述待掃描文件確定為惡意文件或非惡意文件�,當待掃描文件的文件屬性與緩存中保存的文 件屬性不匹配時�����,將所述待掃描文件確定為通過名單掃描方式進行掃描的其它文件����。
13. 根據(jù)權利要求11所述的裝置����,其特征在于,所述第二掃描單元包括至少一個下述 單元: 黑名單掃描單元�����,用于將所述其它文件中的每一個文件的文件名與所述黑名單中預先 保存的文件名進行比較����,當某個文件的文件名與所述預先保存的文件名匹配時,確定所述 某個文件為屬于所述第二確定文件的惡意文件�; 白名單掃描單元,用于將所述其它文件中的每一個文件的文件名與所述白名單中預先 保存的文件名進行比較�����,當某個文件的文件名與所述預先保存的文件名匹配時,確定所述 某個文件為屬于所述第二確定文件的非惡意文件���。
14. 根據(jù)權利要求11所述的裝置���,其特征在于,還包括: 存儲單元�,用于根據(jù)所述第二掃描單元和第三掃描單元的掃描結果,將所述第二確定 文件和第三確定文件的文件屬性存入緩存中�。
【文檔編號】G06F21/56GK104063662SQ201410268281
【公開日】2014年9月24日 申請日期:2011年9月19日 優(yōu)先權日:2011年9月19日
【發(fā)明者】周鴻祎, 付旻, 鄒貴強 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司