一种木马扫描方法包括如下步骤:获取待扫描文件;从获取的待扫描文件中逐一提取待扫描文件的属性信息;将提取的属性信息与存储的属性信息进行比对,判断待扫描文件的属性信息与存储的属性信息是否相同,若否,则扫描与提取的属性信息对应的待扫描文件。上述木马扫描方法及系统中当待扫描文件的属性信息与预先存储的属性信息不相同时,对这一待扫描文件进行安全性扫描,以判定是否标识为正常状态,未对属性信息与预先存储的属性信息相同的待扫描文件进行安全性扫描,属性信息与预先存储的属性信息相同的待扫描文件未被修改的概率非常大,因此,需要进行扫描的文件数量大大减少,灵活地降低了资源耗费,并且保证了文件的安全性,提升文件扫描速度。
【技术实现步骤摘要】
木马扫描方法及系统
本专利技术涉及数据处理技术,特别是涉及一种木马扫描方法及系统。
技术介绍
为了维护系统安全,常常通过运行杀毒软件来实现文件的安全性扫描,识别出影响安全的可疑文件。用户在完成了一次安全性扫描之后还会不定期或者定期地再次进行安全性扫描。用户所进行的多次安全性扫描中判定结果为正常的文件仍然会与其他发生了更改的文件一起进入下一次安全性扫描,例如,杀毒软件在计算机中运行通过文件的特征识别判定出正常文件和可疑文件,并且对可疑文件进行了处理;在杀毒软件的下一次运行中, 还会对这些正常文件以及计算机中进行了添加、修改等操作的文件进行扫描。每一次安全性扫描都一个复杂的过程,耗费了大量的系统资源和时间资源,且对于正常文件而言若没有发生被修改的状况或者未发生任何变化,是不会由上一次扫描结果判定为正常的文件变为可疑文件的。扫描的文件中大多数文件都是正常文件,可疑文件仅为所有扫描文件中的少数数据文件,在多次安全性扫描过程中不断地重复扫描正常文件,而实际需要进行安全性扫描的文件其实仅限于发生了修改或者变化的文件,因此为提高扫描速度,在安全性扫描的过程中只对发生了修改或者变化的文件进行扫描,传统的实现方式是在NTFS文件系统中通过USN(Update Service Number Journal or Change Journal,简称更新序列号)日志记录 NTFS分区中文件的所有更改,在进行文件的安全性扫描之前可通过查询USN日志获知哪些文件发生了变化,进而扫描这些发生了变化的文件。但是,这一传统的实现方式不能使用在除了 NTFS文件系统之外的其它文件系统中,缺乏灵活性。
技术实现思路
基于此,有必要提供一种能灵活地降低资源耗费的木马扫描方法。此外,还有必要提供一种能灵活地降低资源耗费的木马扫描系统。一种木马扫描方法,包括如下步骤获取待扫描文件;从所述获取的待扫描文件中逐一提取待扫描文件的属性信息;将所述提取的属性信息与存储的属性信息进行比对,判断所述提取的属性信息与存储的属性信息是否相同,若否,则扫描与所述提取属性信息对应的待扫描文件;所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。优选地,所述将所述提取的属性信息与存储的属性信息进行比对的步骤之后还包括当判断到所述提取的属性信息与存储的属性信息相同时,从所述获取的待扫描文 件中移除与所述提取的属性信息对应的待扫描文件。优选地,所述将所述提取的属性信息与存储的信息进行比对的步骤之前还包括获取木马扫描结果;从所述木马扫描结果中提取标识为正常状态的文件;逐一获取所述标识为正常状态的文件所对应的属性信息,并存储。优选地,所述存储的步骤为缓存每一个标识为正常状态的文件所对应的属性信息。优选地,所述属性信息为属性值,所述属性值唯一标识对应的属性信息;所述将所 述提取的属性信息与存储的属性信息进行比对的步骤之前还包括对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值;计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。优选地,所述对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值 的步骤之后还包括从所述提取的属性信息中提取待扫描文件的文件路径名,并对文件路径名进行计 算得到所述待扫描文件对应的信息摘要值;所述计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值的步 骤之后还包括从所述获取的文件的属性信息中提取文件路径名,并对所述文件路径名进行计算 得到所述获取的文件所对应的信息摘要值;以所述获取的文件所对应的信息摘要值为索引建立所述信息摘要值与所述获取 的文件所对应的属性值之间的对应关系,并存储所述对应关系。优选地,所述将所述待扫描文件的属性信息与存储的属性信息进行比对的步骤 为对所述存储的信息摘要值进行查询,所述查询得到的信息摘要值与所述待扫描文 件对应的信息摘要值相同; 从存储的对应关系中获取与查询到的信息摘要值存在对应关系的存储的属性 值;判断待扫描文件对应的属性值与存储的属性值是否相同,若否,则进入所述扫描 与所述提取的属性信息对应的待扫描文件的步骤,若是,则进入所述从所述获取的待扫描 文件中移除所述待扫描文件的步骤。—种木马扫描系统,包括文件枚举模块,用于获取待扫描文件;信息获取模块,用于从所述获取的待扫描文件中逐一提取待扫描文件的属性信比对模块,用于将所述提取的属性信息与存储的属性信息进行比对,判断所述提 取的属性信息与存储的属性信息是否相同,若否,则通知扫描模块;所述扫描模块用于扫描与所述属性信息对应的待扫描文件;所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。优选地,还包括文件移除模块,用于当判断到所述提取的属性信息与存储的属性信息相同时,从 所述获取的待扫描文件中移除与所述提取的属性信息对应的待扫描文件。优选地,还包括结果获取模块,用于获取木马扫描结果;提取模块,用于从木马扫描结果中提取标识为正常状态的文件;所述信息获取模块还用于逐一获取所述标识为正常状态的文件所对应的属性信 息,并存储。优选地,所述信息获取模块还用于缓存每一个标识为正常状态的文件所对应的属性信息。优选地,所述属性信息为属性值,所述属性值唯一标识对应的属性信息,所述系统 还包括属性值计算模块,用于对所述提取的属性信息进行计算得到所述待扫描文件对应 的属性值,并计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。优选地,还包括摘要值计算模块,用于从所述提取的属性信息中提取待扫描文件的文件路径名, 并对所述待扫描文件的文件路径名进行计算得到所述待扫描文件对应的信息摘要值;所述摘要值计算模块还用于从所述获取的文件的属性信息中提取文件路径名,并 对所述文件路径名进行计算得到所述获取的文件所对应的信息摘要值;关系建立模块,用于以所述获取的文件所对应的信息摘要值为索引建立所述信息 摘要值与所述获取的文件所对应的属性值之间的对应关系,并存储所述对应关系。优选地,所述比对模块包括查询单元,用于对所述存储的信息摘要值进行查询,所述查询得到的信息摘要值 与所述待扫描文件对应的信息摘要值相同;属性值比对单元,用于从存储的对应关系中获取与查询到的信息摘要值存在对应 关系的存储的属性值;判断单元,用于判断待扫描文件对应的属性值与存储的属性值是否相同,若否,则 通知所述扫描模块,若是,则通知所述文件移除模块。上述木马扫描方法及系统中,当待扫描文件的属性信息与预先存储的属性信息不 相同时,对这一待扫描文件进行安全性扫描,以判定这一待扫描文件是否标识为正常状态, 未对属性信息与预先存储的属性信息相同的待扫描文件进行安全性扫描,由于属性信息与 预先存储的属性信息相同的待扫描文件未被修改的概率非常大,因此,进行安全性扫描的 待扫描文件大大减少,灵活地降低了资源耗费,并且也保证了文件的安全性,提升文件扫描 速度。上述木马扫描方法及系统中,属性信息为根据属性信息计算得到的属性值,与包 含了多种信息的属性信息相比较,属性值只是一串字符,在存储的过程中可避免存储数据 过大的问题发生,降低占用的资源。上述木马扫描方法及系统中,对于木马扫描结果中标识为正常状态的文件,根据属性信息中的文件路径名进行计算得到相应的信息摘要值,并本文档来自技高网...
【技术保护点】
一种木马扫描方法,包括如下步骤:获取待扫描文件;从所述获取的待扫描文件中逐一提取待扫描文件的属性信息;将所述提取的属性信息与存储的属性信息进行比对,判断所述提取的属性信息与存储的属性信息是否相同,若否,则扫描与所述提取的属性信息对应的待扫描文件;所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。
【技术特征摘要】
1.一种木马扫描方法,包括如下步骤获取待扫描文件;从所述获取的待扫描文件中逐一提取待扫描文件的属性信息;将所述提取的属性信息与存储的属性信息进行比对,判断所述提取的属性信息与存储的属性信息是否相同,若否,则扫描与所述提取的属性信息对应的待扫描文件;所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。2.根据权利要求1所述的木马扫描方法,其特征在于,所述将所述待扫描文件的属性信息与存储的属性信息进行比对的步骤之后还包括当判断到所述提取的属性信息与存储的属性信息相同时,从所述获取的待扫描文件中移除与所述提取的属性信息对应的待扫描文件。3.根据权利要求1所述的木马扫描方法,其特征在于,所述将所述提取的属性信息与存储的信息进行比对的步骤之前还包括获取木马扫描结果;从所述木马扫描结果中提取标识为正常状态的文件;逐一获取所述标识为正常状态的文件所对应的属性信息,并存储。4.根据权利要求3所述的木马扫描方法,其特征在于,所述存储的步骤为缓存每一个标识为正常状态的文件所对应的属性信息。5.根据权利要求3所述的木马扫描方法,其特征在于,所述属性信息为属性值,所述属性值唯一标识对应的属性信息;所述将所述提取的属性信息与存储的属性信息进行比对的步骤之前还包括对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值;计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。6.根据权利要求5所述的木马扫描方法,其特征在于,所述对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值的步骤之后还包括从所述提取的属性信息中提取待扫描文件的文件路径名,并对文件路径名进行计算得到所述待扫描文件对应的信息摘要值;所述计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值的步骤之后还包括从所述获取的文件的属性信息中提取文件路径名,并对所述文件路径名进行计算得到所述获取的文件所对应的信息摘要值;以所述获取的文件所对应的信息摘要值为索引建立所述信息摘要值与所述获取的文件所对应的属性值之间的对应关系,并存储所述对应关系。7.根据权利要求6所述的木马扫描方法,其特征在于,所述将所述待扫描文件的属性信息与存储的属性信息进行比对的步骤为对所述存储的信息摘要值进行查询,所述查询得到的信息摘要值与所述待扫描文件对应的信息摘要值相同;从存储的对应关系中获取与查询到的信息摘要值存在对应关系的存储的属性值; 判断待扫描文件对应的属性值与存储的属性值是否相同,若否,则进入所述扫描与所述提取的属性信息对应的待扫描文件的步骤,若是,...
【专利技术属性】
技术研发人员:彭宁,宋爱元,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。