一种计算机病毒的监控方法和装置制造方法及图纸

本发明专利技术公开了一种计算机病毒的监控方法和装置，其中所述方法包括当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件；若是，获取所述威胁文件的特征信息并发送至控制进程；控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的扫描策略；控制进程返回所述匹配的扫描策略。本发明专利技术可以从源头掐断病毒感染源，及时地阻止感染型病毒的传播。

【技术实现步骤摘要】

本专利技术涉及计算机安全
，具体涉及一种计算机病毒的监控方法以及一种计算机病毒的监控装置。
技术介绍
随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，计算机病毒具有破坏性，复制性和传染性等特点。计算机一旦染上病毒，通常表现为计算机的文件被增加、删除、改变名称或属性、移动到其它目录下，病毒对计算机文件的这些操作，可能会导致正常的程序无法运行、计算机操作系统崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。为了保证计算机的安全运行，需要对计算机中感染病毒的文件进行病毒查杀，以防止和清除病毒的破坏。杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑程序)的技术机制，一般而言，杀毒引擎按照用户当前所选择的扫描模式，对用户设备中的所有或部分程序或文件发起扫描，用其病毒库(病毒的特征集合)中的特征去对比相应的程序或文件，对于符合病毒特征的程序或文件，判定为病毒。杀毒引擎在检测到具体被感染的文件并在感染发生时提示用户，用户可以根据杀毒引擎提供的扫描模式手动选择扫描模式，对文件进行扫描，然而用户往往并不确切知道容易发生计算机病毒感染的文件或目录的位置，从而不知选择何种扫描模式更符合计算机当前的状态，导致不能及时地阻止感染型病毒的传播。因此，本领域技术人员迫切需要解决的技术问题是提供一种计算机病毒的监控机制，从而能够及时监控计算机病毒对文件的感染，从源头上掐断计算机病毒感染源，阻止计算机病毒的传播。专利技术内容鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种计算机病毒的监控方法和相应的一种计算机病毒的监控装置。依据本专利技术的一个方面，提供了一种计算机病毒的监控方法，包括当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件；若是，获取所述威胁文件的特征信息并发送至控制进程；控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的扫描策略；控制进程返回所述匹配的扫描策略。可选地,所述扫描策略包括扫描位置,所述方法还包括在接收到用户触发的扫描策略时，在所述扫描位置中执行相应的扫描操作。可选地，所述当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件的步骤包括底层驱动拦截所述基于文件的危险行为；底层驱动获取所述发起危险行为的进程信息，并将所述进程信息发送至监控进监控进程获取所述危险行为对应的文件的文件类型；监控进程判断所述文件类型是否为预设的文件类型；若是，则将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若否，则将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，则将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，判断为所述危险行为对应的文件不为威胁文件。可选地，所述预设的扫描策略包括锁定扫描策略以及全盘扫描策略，所述控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的病毒扫描策略的步骤包括控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；若所述多个威胁文件对应的危险行为的进程信息为同一进程信息，引导计算机设备执行锁定扫描策略；阻止所述发起危险行为的进程继续执行相应的危险行为；引导计算机设备执行全盘扫描策略。可选地，所述预设的扫描策略包括快速扫描策略，所述控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的病毒扫描策略的步骤包括控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；若所述多个威胁文件对应的危险行为的进程信息为不同的多个进程信息，引导计算机设备执行快速扫描策略。可选地，所述预设的扫描策略包括外接磁盘扫描策略，所述控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的病毒扫描策略的步骤包括控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件的路径；若所述威胁文件的路径都为外接磁盘路径，引导计算机设备执行外接磁盘扫描策略。可选地，所述基于文件的危险行为包括创建文件、文件改写、文件运行、写文件的行为。根据本专利技术的另一方面，提供了一种计算机病毒的监控装置，包括威胁文件判断模块，适于当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件，若是，则调用控制进程触发模块；控制进程触发模块，适于获取所述威胁文件的特征信息并发送至控制进程；位于控制进程的扫描策略提取模块，适于接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的扫描策略；位于控制进程的扫描策略返回模块，适于返回所述匹配的扫描策略。可选地，所述扫描策略包括扫描位置，所述装置还包括执行模块，适于在接收到用户触发的扫描策略时，在所述扫描位置中执行相应的扫描操作。可选地，所述威胁文件判断模块包括位于底层驱动的拦截子模块，适于拦截所述基于文件的危险行为；位于底层驱动的进程信息发送子模块，适于获取所述发起危险行为的进程信息，并将所述进程信息发送至监控进程；位于监控进程的文件类型获取子模块，适于获取所述危险行为对应的文件的文件类型；位于监控进程的判断子模块，适于判断所述文件类型是否为预设的文件类型；若是，则调用位于监控进程的第一匹配子模块；若否，则调用位于监控进程的第二匹配子模块；位于监控进程的第一匹配子模块，适于将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，则调用位于监控进程的第二匹配子模块；位于监控进程的第二匹配子模块，适于将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，判断为所述危险行为对应的文件不为威胁文件。可选地，所述预设的扫描策略包括锁定扫描策略以及全盘扫描策略，所述位于控制进程的扫描策略提取模块包括第一接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；锁定扫描引导执行子模块，适于在所述多个威胁文件对应的危险行为的进程信息为同一进程信息时，引导计算机设备执行锁定扫描策略；危险行为阻止子模块，适于阻止所述发起危险行为的进程继续执行相应的危险行为；全盘扫描策略引导执行子模块，适于引导计算机设备执行全盘扫描策略。可选地，所述预设的扫描策略包括快速扫描策略，所述位于控制进程的扫描策略提取模块包括第二接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进本文档来自技高网...

【技术保护点】
一种计算机病毒的监控方法，包括：当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件；若是，获取所述威胁文件的特征信息并发送至控制进程；控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的扫描策略；控制进程返回所述匹配的扫描策略。

【技术特征摘要】
1.一种计算机病毒的监控方法，包括 当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件； 若是，获取所述威胁文件的特征信息并发送至控制进程； 控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的扫描策略； 控制进程返回所述匹配的扫描策略。2.如权利要求1所述的方法，所述扫描策略包括扫描位置，所述方法还包括 在接收到用户触发的扫描策略时，在所述扫描位置执行相应的扫描操作。3.如权利要求1所述的方法，所述当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件的步骤包括 底层驱动拦截所述基于文件的危险行为； 底层驱动获取所述发起危险行为的进程信息，并将所述进程信息发送至监控进程； 监控进程获取所述危险行为对应的文件的文件类型； 监控进程判断所述文件类型是否为预设的文件类型；若是，则将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若否，则将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配； 将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，则将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配； 将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，判断为所述危险行为对应的文件不为威胁文件。4.如权利要求1所述的方法，所述预设的扫描策略包括锁定扫描策略以及全盘扫描策略，所述控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的病毒扫描策略的步骤包括 控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息； 若所述多个威胁文件对应的危险行为的进程信息为同一进程信息，引导计算机设备执行锁定扫描策略； 阻止所述发起危险行为的进程继续执行相应的危险行为； 引导计算机设备执行全盘扫描策略。5.如权利要求1所述的方法，所述预设的扫描策略包括快速扫描策略，所述控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的病毒扫描策略的步骤包括 控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息； 若所述多个威胁文件对应的危险行为的进程信息为不同的多个进程信息，引导计算机设备执行快速扫描策略。6.如权利要求1所述的方法，所述预设的扫描策略包括外接磁盘扫描策略，所述控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的病毒扫描策略的步骤包括 控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件的路径; 若所述威胁文件的路径都为外接磁盘路径，引导计算机设备执行外接磁盘扫描策略。7.如权利要求1-6任一权利要求所述的方法，所述基于文件的危险行为包括创建文件、文件改写、文件运行、写文件的行为。8.一种计算机病毒的监控装置，包括 威胁文件判断模块，适于当监...

【专利技术属性】
技术研发人员：付旻，高祎玮，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：