用于端点扫描的多功能代理制造技术

提供一种用于扫描电子存储的文件的方法、装置和存储指令的存储介质。扫描计算机可读存储介质中存储的文件。基于扫描，针对两个或更多个软件功能，对该文件执行通用分析。基于扫描，针对相应软件功能，对该文件执行软件功能专用分析。基于通用分析和软件功能专用分析，针对两个或更多个软件功能，作出有关该文件的两个或更多个判定。两个或更多个判定。两个或更多个判定。

【技术实现步骤摘要】
【国外来华专利技术】用于端点扫描的多功能代理
[0001]本专利申请要求在2019年12月19日提交且题为“用于端点扫描的多功能代理”的美国非临时性专利申请号16/720，245的优先权，其通过引用明确地并入本文。


[0002]本公开一般涉及搜索计算机可读介质的文件用于实现软件功能。

技术介绍

[0003]软件产品过往被用于管理文件，包括排序、搜索和保护文件。示例软件产品包括防病毒软件、端点数据丢失防护、数字数据取证分析、电子文件探索(eDiscove叻等。这些软件功能中的每一个都需要用户计算设备(端点)来遍历文件系统中的所有或特定目录。一般来说，每个产品都有安装在用户模式下的软件代理。此外，每个软件产品可能由不同的供应商提供。通常，当两个软件功能/代理由同一供应商提供时，它们可能由不同的产品团队开发。即使供应商可以将两个软件功能集成到一个中，集成的代理仍会针对这两个软件功能两次遍历目录。

技术实现思路

[0004]本公开的一个方面涉及一种用于为多个软件功能扫描文件的方法。该方法包括扫描计算机可读存储介质中存储的文件。基于扫描，针对两个或更多个软件功能，对文件执行通用分析。基于扫描，针对相应软件功能，对文件执行软件功能专用分析。基于通用分析和软件功能专用分析，针对两个或更多个软件功能，作出有关该文件的两个或更多个判定。
[0005]在一些实施例中，通用分析包括文件类型识别、文件内容提取、解包文件、解压文件以及文件内容与库的内容匹配的其中之一。
[0006]在一些实施例中，该方法还包括识别用于扫描的多个根文件夹；通过递归地遍历每个根文件夹，确定相应根文件夹是否包括子文件夹或文件；响应于确定相应根文件夹包含子文件夹，递归地遍历该子文件夹；并且响应于确定相应根文件夹包含该文件，扫描该文件。
[0007]在一些实施例中，对文件执行通用分析或软件功能专用分析包括为文件生成文件指纹。
[0008]在一些实施例中，该文件的文件指纹通过以下步骤来生成：获取该文件的字符串；获得该字符串的第一序列；基于第一序列生成第一散列；获得该字符串的第二序列，该第二序列是由第一序列移位得到的；基于第二序列生成第二散列；并且基于第一散列和第二散列生成文件的文件指纹。
[0009]在一些实施例中，第一序列和第二序列彼此移位预定长度的字符。在一些实施例中，使用相同散列函数来生成第一散列和第二散列。
[0010]在一些实施例中，对文件执行通用分析或软件功能专用分析包括根据文件指纹与参考文件指纹计算相似度值；确定相似度值是否大于预定阈值；并且响应于确定相似度值
大于预定阈值，生成用于相应软件功能的结果。
[0011]在又一方面，提供一种装置。该装置包括一个或多个处理器，以及被配置成存储由该一个或多个处理器可执行的指令的存储器。该一个或多个处理器被配置成执行指令，这些指令执行包括以下的操作：扫描计算机可读存储介质中存储的文件；基于该扫描，针对两个或更多个软件功能，对文件执行通用分析。基于该扫描，针对相应软件功能，对文件执行软件功能专用分析。并且基于通用分析和软件功能专用分析，针对两个或更多个软件功能，作出有关该文件的两个或更多个判定。
[0012]在又一方面中，提供一种非瞬态计算机可读存储介质。该非瞬态计算机可读介质存储指令，这些指令在被一个或多个处理器执行时，使该一个或多个处理器执行包括以下的操作：扫描计算机可读存储介质中存储的文件；基于该扫描，针对两个或更多个软件功能，对文件执行通用分析。基于该扫描，针对相应软件功能，对文件执行软件功能专用分析。并且基于通用分析和软件功能专用分析，为两个或更多个软件功能作出有关该文件的两个或更多个决策。
[0013]考虑下文参考附图的描述和所附权利要求，所有这些附图构成本说明书的一部分，将显见到本文公开的装置、系统、方法和非瞬态计算机可读介质以及相关结构元件的操作方法和功能的这些和其它特征。然而，应该明确地认识到，这些附图仅用于说明和描述的目的，并且并不旨在界定本公开的限制。要认识到的是，前文的概述和下文的详细描述仅是示例性和说明性的，并且不作为如权利要求所述的本公开的限制。
[0014]附图简要说明
[0015]参考附图可以更容易地理解本公开的非限制性实施例，其中：
[0016]图1示出了根据一个示例实施例的文件扫描系统的框图。
[0017]图2示出了根据一个示例实施例的，示例字符串和多个示例字符串部分。
[0018]图3A示出了根据一个示例实施例的，从字符串进行序列的示例选择。
[0019]图3B示出了根据一个示例实施例的示例序列部分。
[0020]图4是示出根据一个示例实施例的，用于以一次扫描对文件执行两个或更多个软件功能的方法的流程图。
[0021]图5是示出根据一个示例实施例的，用于扫描文件资料库中的文件的方法的流程图。
[0022]图6是示出根据一个示例实施例的，用于对文件执行通用分析或软件功能专用分析的方法的流程图。
[0023]图7是示出根据一个示例实施例的，用于为文件生成文件指纹的方法的流程图。
[0024]图8是示出根据一个示例实施例的，用于使用文件的文件指纹以生成用于一个或多个软件功能的分析结果的方法的流程图。
[0025]图9是示出根据一个示例实施例的，可以在其中实现本文描述的任何实施例的计算机系统的框图。
具体实施方式
[0026]现在将参考附图详细描述本公开的非限制性实施例。应该认识到，可以将本文公开的任何实施例的特定特征和方面与本文公开的任何其它实施例的特定特征和方面一起
使用和/或进行组合。还应该认识到，此类实施例是举例说明，并且仅仅是说明本公开的范围内的少数实施例。本公开相关领域的技术人员易见的多种改变和修改被视为落在所附权利要求中进一步限定的本公开的精神、范围和设想内。
[0027]端点设备可以提供多个软件功能来管理其文件。每个软件功能需要扫描/遍历与端点设备相关联的文件的全部或部分以便为相应软件功能作出判定。例如，当采用防病毒软件以保护端点免受恶意软件攻击保护时，防病毒软件可以周期性地启用其扫描模块以扫描端点设备的文件系统。当调用另一个软件功能时，例如eDiscovery时，该软件功能开始为其自身的目的进行整个文件系统的新扫描。由此，可能针对多个软件功能多次扫描文件。
[0028]本文公开的技术能够扫描一次文件，为多个软件功能，例如防病毒、端点数据丢失防护、数字数据取证分析、eDiscovery，作出多个判定。例如，防病毒软件功能可以执行文件扫描来进行文件类型识别、文件内容提取、解包文件、解压文件、静态文件内容检查以及动态文件内容检查。静态文件内容检查可以包括子序列匹配、字符串匹配和恶意软件签名匹配。在某些情况下，字符串匹配可以通过精确字符串匹配或正则表达式(RegEx)匹配来执行。每个文件对于这些操作至少被扫描一次，以便使防病毒软件功能能够对文件作出判定，例如，该文件是否被恶意软件感染。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：扫描计算机可读存储介质中存储的文件；基于所述扫描，针对两个或更多个软件功能，对所述文件执行通用分析；基于所述扫描，针对相应的所述软件功能，对所述文件执行软件功能专用分析；以及基于所述通用分析和所述软件功能专用分析，针对所述两个或更多个软件功能，作出有关所述文件的两个或更多个判定。2.根据权利要求1所述的方法，其中，所述通用分析包括文件类型识别、文件内容提取、解包文件、解压文件以及文件内容与库的内容匹配的其中一项。3.根据权利要求1所述的方法，其中，扫描所述文件包括：识别多个根文件夹以进行扫描；递归地遍历每个根文件夹以确定相应根文件夹是否包含子文件夹或所述文件；响应于确定所述相应根文件夹包含子文件夹，递归地遍历所述子文件夹；以及响应于确定所述相应根文件夹包括所述文件，扫描所述文件。4.根据权利要求1所述的方法，其中，对所述文件执行所述通用分析或所述软件功能专用分析包括生成所述文件的文件指纹。5.根据权利要求4所述的方法，其中，通过以下步骤生成所述文件的所述文件指纹：获得所述文件的字符串；获取所述字符串的第一个序列；基于所述第一序列生成第一散列；获得所述字符串的第二序列，所述第二序列是由所述第一序列移位得到的；基于所述第二序列生成第二散列；以及基于所述第一散列和所述第二散列生成所述文件的所述文件指纹。6.根据权利要求5所述的方法，其中，所述第一序列和所述第二序列彼此移位预定长度的字符。7.根据权利要求5所述的方法，还包括：使用相同散列函数来生成所述第一散列和所述第二散列。8.根据权利要求5所述的方法，其中，对所述文件执行所述通用分析或所述软件功能专用分析包括：根据所述文件指纹和参考文件指纹计算相似度值；确定所述相似度值是否大于预定阈值；以及响应于确定所述相似度值大于所述预定阈值，生成针对相应软件功能的结果。9.一种装置，包括：一个或多个处理器；存储器，所述存储器被配置成存储可由所述一个或多个处理器执行的指令，其中，所述一个或多个处理器被配置成执行用于实现包括以下操作的指令：扫描计算机可读存储介质中存储的文件；基于所述扫描，针对两个或更多个软件功能，对所述文件执行通用分析；基于所述扫描，针对相应的所述软件功能，对所述文件执行软件功能专用分析；以及基于所述通用分析和所述软件功能专用分析，针对所述两个或更多个软件功能，作出
有关所述文件的两个或更多个判定。10.根据权利要求9所述的装置，其中，所述通用分析包括文件类型识别、文件内容提取、解包文件、解压文件以及文件内容与库的内容匹配的其中一项。11.根据权利...

【专利技术属性】
技术研发人员：任力伟，陈璟，
申请(专利权)人：北京嘀嘀无限科技发展有限公司，
类型：发明
国别省市：