本发明专利技术提供一种可执行文件查杀加速方法,该方法包括:收集可执行文件列表;根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;根据所述列表和信息验证所述白名单文件是否组建成功;客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果。本发明专利技术通过使用白名单,提高了杀毒软件的查杀可执行文件的速度,达到文件监控对系统在执行文件的时候,对操作系统干扰最小化。
【技术实现步骤摘要】
【专利摘要】本专利技术提供一种可执行文件查杀加速方法,该方法包括:收集可执行文件列表;根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;根据所述列表和信息验证所述白名单文件是否组建成功;客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果。本专利技术通过使用白名单,提高了杀毒软件的查杀可执行文件的速度,达到文件监控对系统在执行文件的时候,对操作系统干扰最小化。【专利说明】
本专利技术涉及网络安全
,尤其涉及。
技术介绍
对于主机反病毒安全软件来讲,分成静态防御和动态防御两大基本技术,这两个方面是对抗病毒传播的基石。其中,动态防御是保障用户机器安全的一项重要技术,文件监控又是动态防御体系中的重要组成部分。文件监控中,有一项重要功能就是当一个可执行文件在被系统执行的时候,应该首先辨别这个可执行文件是否是恶意程序,其中包括进程文件(exe)和动态链接库文件(dll),处于安全性考虑,这个步骤一般是阻塞住可执行文件的执行流程,等待查杀完毕,如果不是病毒,则放行可执行文件并继续执行。一般来讲,用户机器中病毒文件所占有的比例是很小的。如果用户不访问恶意网站,或者本身操作系统没有太多的漏洞,不会感染太多的病毒。所以在一般的用户场景下,程序查杀的都是正常文件。为了提高查杀效率,现有技术中,当文件监控拦截了执行动作后,文件监控查杀执行文件,然后将查杀结果写入一个缓存,当下次这个文件再执行的时候,直接命中缓存,达到不重复查杀的目的。这样使得文件监控查杀可执行文件,对系统的影响减小。然而这种方案必须建立在客户机器上文件监控已经查杀了可执行文件的基础上,因为如果用户第一次安装杀毒软件,这个加速cache实际上必须等到用户执行了相关文件之后才能建立。用户首次启动杀毒软件的时候,文件监控还是会拖慢系统的执行速度。
技术实现思路
(一)技术问题本专利技术要解决的问题是:可执行文件在执行时候,提高杀毒软件的查杀可执行文件的速度,达到文件监控对系统在执行文件的时候,对操作系统干扰最小化。(二)技术方案本专利技术提供一种可执行文件查杀加速方法,该方法包括:收集可执行文件列表;根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;根据所述列表和信息验证所述白名单文件是否组建成功;客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果。可选的,根据所述列表采样可执行文件的信息进一步包括:一次性运行所述列表中的可执行文件,监控每个所述可执行文件在操作系统中加载到内存的内存区间数据;将所有的内存区间数据进行合并;将合并后的内存区间数据与可执行文件进行映射,获得可执行文件的文件区间、映射文件内容以及基本信息;计算上述信息的hash值。可选的,该方法还包括:将可执行文件的文件区间、文件内容以及基本信息以key-value方式存储到数据库中,其中key为文件全内容hash值,value为映射文件内容hash值和文件区间数据。可选的,收集可执行文件列表进一步包括:统计出操作系统常用核心进程文件和动态链接库文件;收集与运行软件相关的加载进程文件和其动态链接文件;根据上述文件建立可执行文件列表。可选的,根据所述列表和信息验证所述白名单文件是否组建成功进一步包括:计算所述列表中任一文件的全内容hash,根据所述全内容hash在所述数据库中查找先关文件内存区间数据;根据内存区间数据,计算相关区间的内存映射数据hash ;将所述内存映射hash与数据库中相应的hash进行比较,以判断所述内存映射hash是否完整。可选的,根据所述列表和信息验证所述白名单文件是否组建成功还包括:任取一个白名单文件;根据所述白名单文件中的区间计算所有黑文件的hash值;判断所述hash值是否命中数据库中的hash值;如果命中,则调整区间,重新计算所有黑文件的hash值,如果没有,则判断白名单文件正常;当判断所述内存映射hash完整并且白名单文件正常时,则验证所述白名单文件组建成功。可选的,所述客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果进一步包括:文件监控装置监控可执行文件的运行;当监控到可执行文件运行后,检查本地缓存中是否有所述文件;如果有,则直接利用本地缓存中的结果,如果没有,则检查是否在所述验证组建成功的白名单文件中,如果是,则将相关的结果写入本地缓存中,如果否,则中止可执行文件的运行流程并进行查杀。本专利技术还提供一种可执行文件查杀加速装置,该装置包括:收集单元,用于收集可执行文件列表;采样单元,用于根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;验证单元,用于根据所述列表和信息验证所述白名单文件是否组建成功;其中所述组建成功的白名单文件应用于查找引擎以直接获取一正在执行文件的查杀结果。可选的,所述采样单元进一步包括:监控子单元,用于在一次性运行所述列表中的可执行文件时监控每个所述可执行文件在操作系统中加载到内存的内存区间数据;采样子单元,用于根据所述内存区间数据采样可执行文件的信息。可选的,所述采样子单元进一步包括:合并单元,用于将所有的内存区间数据进行合并;映射单元,用于将合并后的内存区间数据与可执行文件进行映射,并获得可执行文件的文件区间、文件内容以及基本信息。可选的,该装置还包括存储单元,用于将可执行文件的文件区间、文件内容以及基本信息以key-value方式存储到数据库中,其中key为文件全内容hash, value为内存映射数据hash和内存区间数据,所述内存映射数据是内存区间数据映射到文件上的数据。可选的,所述收集单元进一步包括:统计单元,用于统计出操作系统常用核心进程文件和动态链接库文件;收集子单元,用于收集与运行软件相关的加载进程文件和其动态链接文件;列表产生单元,用于根据上述文件建立可执行文件列表。(三)技术效果本专利技术通过使用自动生成的白名单,提高了杀毒软件的查杀可执行文件的速度,达到文件监控对系统在执行文件的时候,对操作系统干扰最小化。【专利附图】【附图说明】图1表示本专利技术中可执行文件查杀加速方法的流程图;图2表示本专利技术中自动产生白名单文件的流程图;图3表示本专利技术中执行文件查杀时的流程图;图4表示本专利技术中可执行文件查杀加速装置的结构图;图5表示本专利技术中可执行文件查杀加速装置的详细结构图。【具体实施方式】本专利技术提供一种可执行文件查杀加速方法,如图1所示,该方法包括:收集可执行文件列表(SI);根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件(S2);根据所述列表和信息验证所述白名单文件是否组建成功(S3);客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果(S4)。通过上述方案,可以达到在拦截可执行文件的过程中,杀毒软件通过自动生成的白名单直接获取白名单中列出的可执行文件的查杀结果,从而占用较少的处理资源,也不需要中止可执行文件的运行,对操作系统的影响最小。经过统计发现,文件监控的可执行动作拦截,大部分都是拦截了操作系统的核心文件,同时这些核心文件都会在操作系统中,当进程启动的时候被反复加载很多遍。而且一个操作系统中,大部分的文件都是正常文件,病毒和恶意文件占有的比例很小。因而上述可执行文件应包括与操本文档来自技高网...
【技术保护点】
一种可执行文件查杀加速方法,其特征在于,该方法包括:收集可执行文件列表;根据所述列表采样可执行文件的信息,并利用所述信息建立白名单文件;根据所述列表和信息验证所述白名单文件是否组建成功;客户端查找引擎利用所述组建成功的白名单文件直接获取一正在执行文件的查杀结果。
【技术特征摘要】
【专利技术属性】
技术研发人员:郭祎斌,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。