创建标记并将其与计算机文件相关联。该标记包括文件中可能被计算机相关病毒和/或恶意软件渗透的数据的地址位置。使用该标记,反病毒程序可标识文件中应当扫描以查找病毒感染的特定部分。在扫描过程中,文件中的其它数据被忽略。
【技术实现步骤摘要】
本专利技术一般涉及计算机病毒检测,尤其涉及病毒扫描。
技术介绍
反病毒(AV)程序被设计成防止计算机病毒感染驻留在文件系统中的文件。一般而言,AV程序位于用户或用户的应用程序与计算机系统之间,以确保被计算机病毒感染的文件不会被写入到文件系统中。如果受感染的文件已经驻留在文件系统上,则AV程序帮助确保它们不被执行或复制到其它计算机。AV程序通过将每一文件与储存在“病毒签名文件”中的“病毒签名”列表进行比较,来扫描计算机文件中的已知病毒。扫描可以在用户请求之后、当诸如应用程序访问大容量存储设备上的文件时,或者在调度的基础上完成。因此,病毒扫描是一项资源密集(CPU和盘I/O)且耗时的任务,尤其是在访问/实时扫描的情况下。通常,用户的文件打开请求必须延迟,直到文件可被扫描且可能被清扫之后。这一资源消耗可导致计算机总体性能的下降,并延缓对用户的响应时间。病毒AV扫描技术目前正用于当今的行业中。这些技术包括自从最后一次病毒扫描起,对每一文件保存一组参数(即“AV”状态)的概念,使得一旦文件被扫描并发现是未受感染的,则不应当再次要求扫描,除非文件被修改。对AV状态选择的参数是可指示病毒渗透到文件中的可能性的参数,诸如文件长度、文件校验和/标志、或最后一次文件写操作的日期。一种常见的AV扫描技术是创建存储器内或盘上高速缓存,它包含在最近一次的AV程序执行期间被扫描的文件的AV状态。只要访问文件,或当调度的扫描到期时,就检查该高速缓存。如果文件的AV状态在该高速缓存中,则对照文件的当前参数检查扫描信息高速缓存中该文件的AV状态参数。如果参数匹配,则病毒扫描是不必要的。如果参数不匹配,或者如果文件的AV状态未被高速缓存,则扫描该文件,并更新高速缓存信息。另一种方法将AV状态(通常只是校验和/标志)储存在外部数据库中,然后当访问文件时,将该外部数据库与AV状态参数的当前值进行比较。该技术通常仅当AV状态信息被彻底保护免遭非授权改变时才是有效的。以上讨论的AV扫描技术一般要求AV程序的设计者理解需要扫描的文件的基本格式。具体地,AV程序设计者评估由各种软件应用程序生成的文件,使得所设计的AV程序可成功地扫描由这些应用程序生成的“文件格式”。当软件应用程序的数目增加,且因此不同文件格式的数目也增加时,AV程序设计者会发现很难赶得上由软件应用程序生成和使用的文件格式数目的增加。
技术实现思路
本专利技术的示例性实施例提供了总体上令计算机相关文件的扫描更加有效的技术。当创建文件时,创建该文件的应用程序将创建一个标记并将其与该文件相关联。或者,可通过被设计成标识可能易受计算机相关病毒感染的地址区域的应用程序来生成标记并将其与现有文件相关联。该标记包括可能被计算机相关病毒和/或恶意软件(malware)渗透的数据的地址位置。使用该标记,反病毒程序可快速标识文件中应当扫描以查找病毒感染的特定部分。文件中的其它数据在扫描过程中被忽略。依照本专利技术的一个示例性方法包括依照与文件相关联的标记扫描文件中的计算机相关病毒,该标记标识文件中易受计算机相关病毒感染的地址位置。依照本专利技术的另一示例性方法包括创建具有与其相关联的数据的计算机文件;评估与该计算机文件相关联的数据以确定可能被至少一个计算机相关病毒破坏的数据;以及生成包括被确定为可被计算机相关病毒破坏的数据的至少一个地址位置的标记。依照本专利技术形成的另一示例性实施例是用于对处理器编程的制品。该制品包括至少一个计算机可读存储设备,该计算机可读存储设备中包括其上嵌入的至少一个计算机程序,该程序促使处理器执行本专利技术的方法,包括上述示例性方法。附图说明当结合附图参考以下详细描述更好地理解本专利技术时,可以更容易明白本专利技术的上述方面和其它附加优点。在附图中图1示出了通过诸如局域网(LAN)或因特网等网络耦合在一起的若干计算机系统; 图2示出了可用做客户机设备、服务器设备或Web服务器的计算机系统的一个示例性例子;图3和4示出了本专利技术的示例性实施例的操作的系统级综览;图5示出了依照本专利技术的一个示例性实施例的文件标记的示例性主体;图6示出了依照本专利技术的一个示例性实施例用于创建包括标记的文件的流程图;以及图7示出了依照本专利技术的一个示例性实施例可用于扫描包括标记的文件的过程的流程图。具体实施例方式在以下对本专利技术的示例性实施例的详细描述中,参考附图,附图中,作为说明示出了本专利技术的示例性实施例。这些实施例是以足够的细节来描述的,以使本领域的技术人员能够实施本专利技术,并且可以理解,可以使用其它实施例,并且可以做出逻辑、机械、电气和其它改变而不脱离本专利技术的范围。因此,以下详细描述不应当被认为是限制的意义,并且本专利技术的范围仅由所附权利要求书来定义。介绍以下描述被分成若干独立的章节。首先,揭示了一个操作环境,并提供了可用于实现本专利技术的示例性实施例的各种硬件示例。接着,揭示了一个系统级综览,其中包括对反病毒程序与储存在计算机文件系统中并具有依照本专利技术的一个实施例的标记的文件之间的交互的讨论。最后,揭示了依照本专利技术的实施例的各种方法。详细参考附图,以协助理解本专利技术的实施例。操作环境以下图1和2的描述旨在提供适用于实现本专利技术的计算机硬件和其它操作组件的综述,但是并非限制可在其中实施本专利技术的适用环境。本领域的普通技术人员可立即理解,本专利技术可以用其它计算机系统配置来实施,包括手持式设备、多处理器系统、基于微处理器或可编程的消费电子产品、网络个人计算机(PC)、小型机、大型机等等。本专利技术也可在分布式计算环境中实施,其中,任务由通过通信网络连接的远程处理设备来执行。图1示出了通过网络16,如局域网(LAN)或因特网耦合在一起的若干计算机系统10。此处所使用的术语“因特网”指的是使用某些协议的网络所组成的网络,这些协议诸如传输控制协议/互联网协议(TCP/IP),以及可能的其它协议,诸如超文本传输协议(HTTP)或构成万维网(WWW)的超文本标记语言(HTML)文档。因特网的物理连接、因特网的协议以及通信过程对本领域的普通技术人员是公知的。对网络16的访问通常由因特网服务供应商(ISP),诸如ISP 18和20来提供。诸如客户机计算机设备24、28、36和38等客户机系统上的用户通过诸如ISP 18和20等因特网服务供应商来获得对因特网的访问。对因特网的访问允许客户机计算机设备的用户交换信息、接收和发送电子邮件、以及查看文档,如以HTML格式准备的文档。这些文档通常由诸如Web服务器22等被认为在因特网“上”的Web服务器来提供。通常,这些Web服务器由诸如ISP 18等ISP来提供。Web服务器22通常是至少一个计算机系统,该计算机系统作为服务器计算机系统来操作,并被配置成用WWW的协议来操作。可任选地,Web服务器22可以是向客户机设备提供对因特网的访问的ISP的一部分。Web服务器22如所示耦合至服务器计算机14,后者耦合至Web内容12。Web内容12可以被认为是媒体数据库。可以理解,虽然在图1中示出了两个计算机系统22和14,但Web服务器22和服务器计算机14可以是具有提供Web服务器功能和服务器功能的不同软件组件的一个计算机系统。客户机计算机设备24、28、36的每一个都可以通过适当的Web浏览软件查看由Web服务器22提供本文档来自技高网...
【技术保护点】
一种方法,包括:依照与文件相关联的标记,扫描所述文件中的计算机相关病毒,所述标记标识了所述文件中易受计算机相关病毒感染影响的数据部分的地址位置。
【技术特征摘要】
US 2004-10-29 10/976,5671.一种方法,包括依照与文件相关联的标记,扫描所述文件中的计算机相关病毒,所述标记标识了所述文件中易受计算机相关病毒感染影响的数据部分的地址位置。2.如权利要求1所述的方法,其特征在于,所述标记是在创建所述文件时被创建并与所述文件相关联的。3.如权利要求1所述的方法,其特征在于,所述标记是在创建所述文件之后被创建并与所述文件相关联的。4.如权利要求1所述的方法,其特征在于,仅扫描由所述标记标识的那些地址位置中的计算机相关病毒。5.如权利要求4所述的方法,其特征在于,还包括如果找到任何病毒,则从所标识的地址位置中移除这些病毒。6.如权利要求1所述的方法,其特征在于,所述标记中所标识的地址位置是所述文件中与可执行计算机代码相关联的地址位置。7.如权利要求1所述的方法,其特征在于,所述标记中标识的地址位置是所述文件中与宏相关联的地址位置。8.如权利要求1所述的方法,其特征在于,所述标记中所标识的地址位置是所述文件中与可执行计算机代码和宏相关联的地址位置。9.一种用于对处理器编程的制品,所述制品包括至少一个计算机可读存储设备...
【专利技术属性】
技术研发人员:M科斯蒂亚,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。