專利名稱:掃描方法����、設備和系統(tǒng)以及云端管理方法和設備的制作方法
技術領域:
本發(fā)明涉及網絡信息安全技術領域����,具體涉及一種掃描方法����、設備和系統(tǒng)以及云端管理方法和設備。
背景技術:
現(xiàn)有的惡意程序查殺方法���,大多由本地引擎根據內置的掃描位置進行掃描����,把本地無法識別的未知程序文件的M D 5等特征發(fā)送給云端服務器����,由云端服務器根據客戶端發(fā)送的程序文件特征進行比對并判斷是否為惡意程序,如果是惡意程序客戶端本地引擎再根據內置客戶端本地的清除邏輯清理惡意程序����。然而在惡意程序與安全軟件白熱化的持續(xù)對抗中,惡意程序作者總會找到操作系統(tǒng)新的可利用的點和安全軟件忽視的點從而繞過安全軟件的檢測和查殺����。此時安全廠商拿到惡意程序的樣本后����,通常需要修改本地引擎才能查殺新的惡意程序���,從拿到樣本到人工分析然后把新版本引擎程序文件升級到所有客戶端����,在這期間惡意程序已經大面積傳播���。
發(fā)明內容
鑒于上述問題����,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的掃描方法����、設備和系統(tǒng)以及云端管理方法和設備����。依據本發(fā)明的一個方面,提供了一種用于惡意程序查殺的掃描設備����,包括第一傳輸接口���,被配置為向服務器端設備傳輸信息,以及接收服務器端設備傳輸?shù)男畔?���;第一掃描器,被配置為根據已知掃描邏輯對客戶端設備進行掃描���,并將掃描得到的未知程序文件的特征數(shù)據通過第一傳輸接口傳輸至服務器端設備���;以及第二掃描器,被配置為通過傳輸接口獲得服務器端設備傳輸?shù)牡诙呙鑳热葜甘?��,第二掃描內容指示包括對未知程序文件的指定屬性?或未知程序文件的上下文環(huán)境的指定屬性進行掃描���,以及根據第二掃描內容指示進行掃描。根據本發(fā)明的又一方面����,提供了一種用于惡意程序查殺的云端管理設備,包括第二傳輸接口����,被配置為向客戶端設備傳輸信息����,以及接收客戶端設備傳輸?shù)男畔?���;第一匹配器,被配置為通過第二傳輸接口獲得客戶端設備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據���,并據此在已知的惡意程序特征數(shù)據記錄中進行匹配����;以及第二指示器���,被配置為當?shù)谝黄ヅ淦魑茨芷ヅ涞揭阎涗洉r生成第二掃描內容指示����,第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進行掃描����,并通過第二傳輸接口傳輸至客戶端設備����。根據本發(fā)明的又一方面����,提供了一種基于云安全的惡意程序掃描系統(tǒng)����,包括如上任一的用于惡意程序查殺的掃描設備,以及如上任一的用于惡意程序查殺的云端管理設備���。根據本發(fā)明的又一方面����,提供了一種用于惡意程序查殺的掃描方法����,包括根據已知掃描邏輯對客戶端設備進行掃描,并將掃描得到的未知程序文件的特征數(shù)據傳輸至服務器端設備���;獲得服務器端設備傳輸?shù)牡诙呙鑳热葜甘?���,第二掃描內容指示包括對未知程序文件的指定屬性?或未知程序文件的上下文環(huán)境的指定屬性進行掃描���;以及根據第二掃描內容指示對客戶端設備進行掃描���。根據本發(fā)明的又一方面���,提供了一種用于惡意程序查殺的云端管理方法,包括獲得客戶端設備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據���,并據此在已知的惡意程序特征數(shù)據記錄中進行匹配����;當根據未知程序文件的特征數(shù)據未能匹配到已知記錄時���,生成第二掃描內容指示���,第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進行掃描;將第二掃描內容指示傳輸至客戶端設備���。根據本發(fā)明的又一方面����,提供了一種基于云安全的惡意程序掃描方法���,包括客戶端設備根據已知掃描邏輯進行掃描����,并將掃描得到的未知程序文件的特征數(shù)據傳輸至服務器端設備���;服務器端設備根據據未知程序文件的特征數(shù)據在已知的惡意程序特征數(shù)據記錄中進行匹配����;當根據未知程序文件的特征數(shù)據未能匹配到已知記錄時���,生成第二掃描內容指示���,第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進行掃描,以及將第二掃描內容指示傳輸至客戶端設備����;客戶端設備根據第二掃描內容指示對客戶端設備進行掃描。根據本發(fā)明提供的實施例可以看出���,在僅通過未知程序文件的基本特征數(shù)據(如文件名����、MD5、SHAl或根據文件內容計算出的其他特征等)無法判斷是否為惡意程序或者無法找到準確的修復方案時���,可以再通過要求客戶端設備進一步掃描未知程序文件的簽名����、版本等指定屬性和/或未知程序文件的上下文環(huán)境的屬性來做進一步判斷����,從而能更準確的判斷出客戶端自己無法確定是否安全的未知程序文件。由于采用這種方案����,云端服務器及時下發(fā)個性化的掃描內容,并根據程序文件的屬性及其所在上下文環(huán)境的屬性從服務器端動態(tài)獲取查殺方法���,避免了通過升級本地特征庫和引擎程序才能檢測和清除新生惡意程序���,從而加快了對新生惡意程序的打擊速度,有效地遏制了其快速蔓延���。上述說明僅是本發(fā)明技術方案的概述���,為了能夠更清楚了解本發(fā)明的技術手段����,而可依照說明書的內容予以實施���,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂����,以下特舉本發(fā)明的具體實施方式
。
通過閱讀下文優(yōu)選實施方式的詳細描述���,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了����。附圖僅用于示出優(yōu)選實施方式的目的����,而并不認為是對本發(fā)明的限制。而且在整個附圖中����,用相同的參考符號表示相同的部件。在附圖中圖1示出了根據本發(fā)明一個實施例的基于云安全的惡意程序掃描系統(tǒng)����;圖2示出了根據本發(fā)明一個實施例的基于云安全的惡意程序掃描方法流程圖����;以及圖3示出了根據本發(fā)明又一個實施例的基于云安全的惡意程序查殺方法流程圖����。
具體實施例方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例���,然而應當理解���,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制。相反����,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠將本公開的范圍完整的傳達給本領域的技術人員���。本發(fā)明實施例可以應用于計算機系統(tǒng)/服務器���,其可與眾多其它通用或專用計算系統(tǒng)環(huán)境或配置一起操作。適于與計算機系統(tǒng)/服務器一起使用的眾所周知的計算系統(tǒng)、環(huán)境和/或配置的例子包括但不限于個人計算機系統(tǒng)����、服務器計算機系統(tǒng)、瘦客戶機����、厚客戶機、手持或膝上設備���、基于微處理器的系統(tǒng)、機頂盒���、可編程消費電子產品���、網絡個人電腦、小型計算機系統(tǒng)����、大型計算機系統(tǒng)和包括上述任何系統(tǒng)的分布式云計算技術環(huán)境,等
坐寸ο計算機系統(tǒng)/服務器可以在由計算機系統(tǒng)執(zhí)行的計算機系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語境下描述����。通常,程序模塊可以包括例程、程序���、目標程序���、組件、邏輯���、數(shù)據結構等等���,它們執(zhí)行特定的任務或者實現(xiàn)特定的抽象數(shù)據類型。計算機系統(tǒng)/服務器可以在分布式云計算環(huán)境中實施����,分布式云計算環(huán)境中,任務是由通過通信網絡鏈接的遠程處理設備執(zhí)行的���。在分布式云計算環(huán)境中���,程序模塊可以位于包括存儲設備的本地或遠程計算系統(tǒng)存儲介質上。請參閱圖1����,其示出了根據本發(fā)明一個實施例的基于云安全的惡意程序掃描系統(tǒng)����,包括用于惡意程序查殺的掃描設備110���,以及用于惡意程序查殺的云端管理設備210���,其中,掃描設備Iio可以設置于客戶端����,比如客戶端設備100中,云端管理設備210可以設置于服務器端���,比如服務器端設備200中。掃描設備110可以和云端管理設備210進行通信���,具體而言����,掃描設備110中的第一傳輸接口 112可以向服務器端設備200傳輸信息���,以及接收服務器端設備200傳輸?shù)男畔?��;云端管理設備的第二傳輸接口 218可以向客戶端設備100傳輸信息����,以及接收客戶端設備100傳輸?shù)男畔?���。其中,掃描設備Iio可以包括環(huán)境信息讀取器112���、第一掃描器114����、第二掃描器116以及第一傳輸接口 118���。云端管理設備210可以包括第一指示器212����、第一匹配器214����、第二指示器216以及第二傳輸接口 218。首先���,環(huán)境信息讀取器112讀取客戶端設備100當前的系統(tǒng)環(huán)境信息���,并通過第一傳輸接口 118傳輸至服務器端設備200的第二傳輸接口 218����?��?蛻舳嗽O備100當前的環(huán)境系統(tǒng)信息可以包括很多���,比如操作系統(tǒng)的版本信息、系統(tǒng)補丁安裝信息����、軟件安裝信息、驅動安裝信息以及活動進程和服務信息等信息中的任意一種或多種���。其中,操作系統(tǒng)有很多種���,比如 windows 98>windows2003>windows XP 以及 Windows Vista等����,不同操作系統(tǒng)對應的版本信息也不同,因此通過操作系統(tǒng)的版本信息���,服務器端設備200就可以知道客戶端設備100當前運行的是哪種具體版本的操作系統(tǒng)���。活動進程即為系統(tǒng)中正在運行的進程����,可以通過調用相應的API (Application Programming Interface,應用程序編程接口)函數(shù)等多種手段在系統(tǒng)中查詢到當正在運行的各種進程信息,以及進程相關的標識符����,用戶名,cpu占用率����,內存占用率,描述信息等���。在客戶端設備100初始化本地引擎和網絡環(huán)境之后����,環(huán)境信息讀取器112就可以讀取當前的系統(tǒng)環(huán)境信息���,并傳輸至服務端設備200���。位于服務器端設備200中的云端管理設備210中的第二傳輸接口 218接收到客戶端設備100當前的系統(tǒng)環(huán)境信息之后���,傳輸給第一指示器212,進而第一指示器212根據新生惡意程序的特性和客戶端設備100傳輸?shù)南到y(tǒng)環(huán)境信息生成第一掃描內容指示����。其中,新生惡意程序的特性可以有很多種����,比如根據最新惡意程序的流行趨勢分析出的新生惡意程序利用特定位置進行隱藏和/或攻擊的特征信息,比如新生惡意程序通常利用的位置����,如某游戲的安裝目錄、常用軟件的安裝目錄���、某些特定的注冊表項等���。進而����,服務器端設備200可以根據新生惡意程序通常利用的隱藏和/或攻擊位置���,結合客戶端設備上報的當前系統(tǒng)環(huán)境信息,就可以給出針對該客戶端設備個性化的掃描內容指示����,即第一掃描內容指示。比如通過客戶端設備100上報的軟件安裝信息發(fā)現(xiàn)該客戶端設備100安裝了某個游戲軟件����,而根據新生惡意程序的特性知道當前很多惡意程序都是利用該游戲軟件的安裝目錄進行隱藏或惡意替換文件,則服務器端設備200就會在第一掃描內容指示中要求客戶端設備100掃描該游戲安裝目錄下的內容����,以便發(fā)現(xiàn)該客戶端設備100中可疑的未知程序文件?���?梢钥闯觯捎诘谝粧呙鑳热葜甘静粌H僅依據服務器端掌握的新生惡意程序的特性���,還要結合客戶端設備100的具體系統(tǒng)環(huán)境信息���,因此第一掃描內容指示是個性化的����,有針對性的����,針對不同的客戶端設備100下發(fā)的第一掃描內容指示往往是不同的。在第一掃描內容指示中至少包括對指定位置的內容進行掃描并要求告知掃描到的未知程序文件的特征數(shù)據����,具體而言,第一掃描內容指示可以是根據新生惡意程序的特性和客戶端設備100當前的系統(tǒng)環(huán)境信息生成的一段文本或腳本���,即通過該指示可以告知客戶端設備100需要掃描哪些內容����,以及上報哪些掃描結果���。應當注意的是����,第一掃描內容指示可以是不附帶任何條件的指示����,也可以是附條件的指示����。如果是附條件的指示����,則只有在滿足預置條件時����,客戶端設備100中的掃描設備110才根據第一掃描內容指示進行掃描。第一掃描指示可以附帶的條件有很多����,比如包括但不限于下述內容中的一種或多種指定文件是否存在、指定目錄是否存在���、程序文件的屬性是否滿足指定條件(比如消息摘要MD5是否為指定值)���、指定注冊表鍵是否存在、指定注冊表鍵值是否存在���、注冊表鍵的內容是否滿足指定條件���、注冊表鍵值的內容是否滿足指定條件(比如是否包含或等于特定字符串或者某個值)����、指定進程是否存在����、指定服務是否存在以及指定服務是否滿足指定的條件(比如是否為特定的服務名稱、特定的服務描述或特定的顯不名稱)等����。服務器端在第一指示器212生成第一掃描內容指示之后,就將該第一掃描內容指示通過第二傳輸接口 218傳輸至客戶端設備100中的第一傳輸接口 118����。然后,位于客戶端設備100中的掃描設備110的第一傳輸接口 118����,將接收到的服務器端設備200至少基于系統(tǒng)環(huán)境信息判斷得到的第一掃描內容指不告知第一掃描器114。進而,第一掃描器114對第一掃描內容指不中的指定位置進行掃描���。前面提到,第一掃描內容指示可以是附條件的指示���,或者稱為掃描條件���,那么第一掃描器114需要先判斷是否滿足第一掃描內容指示所附帶的掃描條件,比如前面提到的那些可選條件����。當?shù)谝粧呙杵?14判斷滿足第一掃描內容附帶的條件時,才對第一掃描內容指示中的指定位置進行掃描����。當然����,如果第一掃描內容指示不是附條件的指示,則第一掃描器114就無需先判斷���,直接按照第一掃描內容中指不的掃描位置掃描即可����?���?蛇x的,第一掃描器114除了按照第一掃描內容指示在客戶端設備100中進行個性化的掃描外����,第一掃描器114還可以對客戶端設備100本地引擎內置的掃描位置進行常規(guī)掃描���。在第一掃描器114完成掃描之后就會發(fā)現(xiàn)未知程序文件,然后提取未知程序文件的特征數(shù)據���,特征數(shù)據可以有很多種���,比如下述信息中的一種或多種對未知程序文件的全部或部分關鍵內容(即從文件中抽取一部分內容)根據特定的算法(如MD5、SHAl或其他算法)計算出的數(shù)據以及文件名等����。程序文件的這些特征數(shù)據,可以理解為是程序文件的基本屬性信息����。第一掃描器114在獲得未知程序文件的特征數(shù)據后,就將未知程序文件的特征數(shù)據通過第一傳輸接口 118傳輸至服務器端設備200中的第二傳輸接口 218���。進而���,服務器端的第二傳輸接口 218將收到的未知程序文件的特征數(shù)據提供給第一匹配器214,第一匹配器214據此在已知的惡意程序查殺數(shù)據庫中進行匹配����,在該數(shù)據庫中記錄有惡意程序的一些特征信息����,此外還可以記錄判斷是否為惡意程序的判斷邏輯���,以及可能的查殺方法(如修復邏輯)等����。其中����,惡意程序的特征可以包括很多信息����,比如文件名、程序文件的摘要����、文件大小、簽名信息����、版本信息等文件的屬性信息����,再比如還可以包括文件所在目錄����、注冊表中的啟動位置、同目錄下或指定目錄下其他文件的屬性等程序文件的上下文環(huán)境屬性����。因為現(xiàn)有惡意程序比較復雜,往往單純通過一兩個特征無法準確判斷是否為惡意程序���,很多情況下需要根據多種特征綜合判斷����,這種綜合判斷未知程序文件是否為惡意程序的邏輯就是前述的判斷邏輯����。查殺方法包括但不限于掃描/判定和修復操作。由于服務器端的存儲量����、運算量以及收集惡意程序特征信息的能力、更新速度都遠遠強于客戶端���,因此���,當客戶端設備100根據本地引擎無法判斷的未知程序文件���,服務器端設備200就可以根據已知的數(shù)據庫判斷出來。如果第一匹配器214在已知的惡意程序查殺數(shù)據庫中匹配成功���,即能夠判斷該未知程序文件是否為惡意程序���,可選的,某些情況還可以匹配出對應的修復邏輯���,則可以將判斷結果和對應的修復邏輯通過第二傳輸接口 218反饋給客戶端設備100的第一傳輸接口118?��?蛇x的����,客戶端設備100還包括查殺器���,客戶端設備100中的第一傳輸接口 118將服務器端設備200基于未知程序文件的特征判斷出其是否為惡意程序的判斷結果和修復邏輯告知查殺器���,查殺器執(zhí)行對應的操作����。比如����,如果判斷結果發(fā)現(xiàn)該未知程序文件是惡意程序,則查殺器根據服務器端設備200返回的修復邏輯對未知程序文件進行修復處理���。修復處理包括但不限于刪除指定的注冊表鍵/值���、修改注冊表鍵/值為指定內容、刪除指定系統(tǒng)服務項����、修復/刪除指定程序文件等。具體到修復指定程序文件����,則根據需要修復的文件類型不同有多種修復方案。比如���,有些需要修復的是系統(tǒng)文件����,有些是常用軟件的程序文件,有些是一般的文件����。修復這些程序文件的基本原理類似,通常都是服務器端根據客戶端需要修復的程序文件的一些屬性信息���,在云端數(shù)據庫中進行匹配���,查找是否有匹配的未感染病毒的程序文件,如果有����,就提供給客戶端進行替換,從而完成修復����。不同文件在具體匹配時可以根據實際需要設置不同的匹配條件���,比如如果是系統(tǒng)文件���,可以要求文件的各種屬性信息(如文件名稱���、版本信息等)全部一致,才算匹配成功���,即成功找到用于修復的替換文件����;而對于非系統(tǒng)的一般文件����,如果云端數(shù)據庫中存儲的是基本版本或者是標準版本,則也可以認為匹配成功����。此外,即便同樣是系統(tǒng)文件���,或者同樣是非系統(tǒng)的一般文件���,也可以根據文件的實際應用環(huán)境不同、要求不同���、或者是操作系統(tǒng)不同而設置不同的匹配條件���。比如����,可能某種系統(tǒng)文件����,就需要文件名稱、版本信息等各種屬性全部一致才算匹配成功����,但另一種系統(tǒng)文件,只需要文件名稱一致���、版本為基本版本或標準版本���,就可以認為是匹配成功。下面再給以一種常用軟件被木馬破壞為例���,詳細說明修復過程中如何對程序文件進行替換����。例如���,木馬破壞了某種常用軟件的程序文件后���,原程序文件的信息已經不可用了。這種情況下服務器端設備200通過客戶端設備100之前提供的有關該軟件的信息����,如軟件名稱,版本����,程序文件的版本、目錄等���,就可以知道需要為客戶端設備100提供哪些替換文件����,進而根據文件名稱���、版本等信息在云端數(shù)據庫中進行匹配����,找出未感染病毒并且匹配的替換文件提供給客戶端設備100,然后客戶端設備100將服務器端設備200提供的未感染病毒����、與本機一致的程序文件,替換原來被破壞的程序文件即可���。如果第一匹配器214在已知的惡意程序查殺數(shù)據庫中未能匹配成功����,即根據未知程序文件的特征數(shù)據無法準確匹配���,則會通知第二指示器216����,進而第二指示器216根據未知程序文件的特征數(shù)據提供的基本信息以及已知新生惡意程序的特性����,繼續(xù)生成第二掃描內容指示。因為通過第一指示器已經知道了未知程序文件的特征數(shù)據等基本屬性信息����,然后再結合當前惡意程序的特性,比如這類未知程序文件如果是惡意程序����,一般還具有哪些特性���,比如該未知程序文件的簽名信息可能不是指定名稱����、該未知程序文件所在目錄或相關目錄下的其他文件屬性可能是指定屬性等。具體而言����,第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進行掃描。例如���,第二掃描內容指示可以僅要求客戶端設備100掃描未知程序文件的指定屬性并上報����,也可以僅要求客戶端設備100掃描未知程序文件的上下文環(huán)境的指定屬性并上報���,還可以要求客戶端設備100將其他指定屬性和上下文環(huán)境的指定屬性一并上報���。應當注意,未知程序文件的指定屬性包括但不限于下述信息中的一種或多種特征數(shù)據����、文件大小���、安全級別、簽名信息以及版本信息等����。需要說明的是,雖然此前客戶端設備100根據服務器端的第一掃描內容指示掃描后已經上報過未知程序文件的特征數(shù)據這一基本屬性了���,但是由于客戶端設備100和服務器端設備200可能不是長連接����,因此后續(xù)客戶端設備100在根據服務器端第二掃描內容指示掃描后上報未知程序文件的指定屬性信息時����,有可能還需要再將未知程序文件的特征數(shù)據等基本信息再上報一次。因此第二掃描內容指示中���,可能既有要求掃描并上報未知程序文件特征數(shù)據以外的其他指定屬性的內容����,又有要求掃描并上報未知程序文件特征數(shù)據的內容����。當然���,如果客戶端設備100和服務器端設備200之間是長連接,那么第二掃描內容指示中也可以不要求客戶端設備100再上報一次曾經上報過的未知程序文件的特征數(shù)據等基本信息���。安全級別包括但不限于惡意(即屬于黑名單)、安全(即屬于白名單���、可信)���、未知以及可疑等。未知程序文件的上下文環(huán)境的屬性包括但不限于下述信息中的一種或多種未知程序文件所在目錄的信息����、指定注冊表鍵值的信息、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息���、以及指定進程的運行狀態(tài)等����。第二指示器216在生成第二掃描內容指示后���,通過第二傳輸接口 218傳輸至客戶端設備100中的第一傳輸接口 118����,進而第一傳輸接口 118再將第二掃描內容指示通知第二掃描器116。第二掃描器116再根據第二掃描內容指示對未知程序文件的指定屬性信息和/或上下文環(huán)境的屬性信息進行掃描���,最后將掃描結果傳輸至服務器端設備200的第二傳輸接口 218����。在本發(fā)明的一個實施例中���,第二傳輸接口 218將接收到的第二掃描器116提供的掃描結果再告知第二指示器216����,進而第二指示器216據此在已知的惡意程序查殺數(shù)據庫中進行分析比對����,前面已經給出過惡意程序查殺數(shù)據庫的具體內容,由此可知���,因為此次客戶端設備100提供的未知程序文件的掃描結果包含了更多的信息����,比如包含了未知程序文件的簽名信息、安全級別���、版本信息等其他屬性����,或者包含了未知程序文件的上下文環(huán)境的各種屬性信息���,再或者未知程序文件的其他屬性和上下文環(huán)境的屬性都掃描到了����,那么第二指示器216就可以根據這些更全面的信息���,以及惡意程序查殺數(shù)據庫中的特征信息及判斷邏輯進一步分析判斷該未知程序文件是否為惡意程序文件,如果判斷是惡意程序還可以進一步查看是否有對應的修復邏輯���。修復邏輯包括但不限于下述邏輯中的一種或多種刪除指定的注冊表鍵和/或鍵值����、修改注冊表鍵和/或鍵值為指定內容���、刪除指定系統(tǒng)服務項以及修復或刪除指定程序文件���。進而����,第二指示器216通過第二傳輸接口 218將未知程序文件是否為惡意程序文件的判斷結果傳輸至客戶端設備100����。進一步,如果判斷結果是惡意程序���,并且在已知的惡意程序查殺數(shù)據庫中能夠找到匹配的修復邏輯���,則也將匹配的修復邏輯通過第二傳輸接口218傳輸至客戶端設備?���?蛻舳说膾呙柙O備110還包括第一處理器,第一處理器通過第一傳輸接口 118獲得服務器端設備200中第二指示器提供的未知程序文件是否為惡意程序文件的判斷結果���,并根據該判斷結果進行相應的處理����。比如,如果判斷結果是安全的程序文件����,則不用再對未知程序文件進行查殺處理;如果判斷結果是惡意程序���,并且第二指示器216提供了修復邏輯����,則可以提示用戶����,并詢問用戶是否進行修復,在得到用戶的確認后根據該修復邏輯對未知程序文件進行修復處理����。在本發(fā)明的另一個實施例中����,為了減少客戶端設備100和服務器端設備200之間的通信,第二指示器216還可以在將第二掃描內容指示告知客戶端設備100的同時���,將與第二掃描內容指示相關的判斷邏輯���,甚至與判斷邏輯相關的修復邏輯一起發(fā)送給客戶端設備100���。具體而言,因為第二掃描內容指示主要包括對未知程序文件的特征數(shù)據以外的其他指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進行掃描����,因此服務器端可以預知客戶端設備100按照第二掃描內容指示掃描后可能會得到哪些掃描結果,然后根據惡意程序查殺數(shù)據庫可以判斷出什么樣的掃描結果表明該未知程序文件是惡意程序���,因此可以查找出與第二掃描內容指示相關的判斷邏輯���,即如何根據后續(xù)的掃描結果判斷出該未知程序文件是否是惡意程序。如果是惡意程序����,則還可以進一步根據已知的惡意程序查殺數(shù)據庫查找是否有與上述第二掃描內容指示、判斷邏輯相關的修復邏輯���。處于客戶端的掃描設備110還可以包括第二處理器���,第二處理器通過傳輸接口118獲得服務器端第二指示器216提供的與第二掃描內容指示相關的判斷邏輯,然后根據該判斷邏輯以及第二掃描器116按照第二掃描內容指示掃描后得到的掃描結果���,判斷該未知程序文件是否為惡意程序���,并進行相應的處理���。比如,如果判斷結果為該未知程序文件是惡意程序���,并且服務器端的第二指示器216還發(fā)送了與判斷邏輯相關的修復邏輯���,則可以在第二掃描器116提供的掃描結果滿足該修復邏輯時,根據該修復邏輯進行相應的修復處理���。其余處理的具體內容與上個實施例中第一處理器做所的相應處理類似���,不再贅述?��?梢钥闯鲈谶@個實施例中����,第二掃描器116就不再需要將按照第二掃描內容指示對未知程序文件進行掃描后的結果上傳到服務器端設備了���,而是直接提供給第二處理器即可����。通過上述實施例可以看出���,如果掃描設備110只包括環(huán)境信息讀取器112���、第一掃描器114、第二掃描器116以及第一傳輸接口���,則其為單純的惡意程序掃描設備����,如果還包括第一處理器或第二處理器����,則該掃描設備本質上是能夠完成惡意程序查殺的設備,可以理解為是用于惡意程序的查殺設備����。請參閱圖2,其示出了根據本發(fā)明一個實施例的基于云安全的惡意程序掃描方法流程圖����。該方法包括位于客戶端側的一部分流程����,還包括位于服務器端側的一部分流程����,在客戶端側的流程即為用于惡意程序查殺的掃描方法,在服務器端側的流程即為用于惡意程序查殺的云端管理方法���。該方法始于步驟S210���,在S210中讀取客戶端設備當前的系統(tǒng)環(huán)境信息,并傳輸至服務器端設備���。系統(tǒng)環(huán)境信息包括但不限于操作系統(tǒng)的版本信息���、系統(tǒng)補丁安裝信息、軟件安裝信息���、驅動安裝信息以及活動進程和服務信息等信息中的任意一種或多種����。本步驟可以通過前述掃描設備Iio中的環(huán)境信息讀取器112來實現(xiàn)���,相關的技術實現(xiàn)可以參考前述環(huán)境信息讀取器112在各實施例中的相關描述����,此處不再贅述����。然后,在步驟S220中服務器端設備獲得客戶端設備的系統(tǒng)環(huán)境信息����,根據新生惡意程序的特性和客戶端設備傳輸?shù)南到y(tǒng)環(huán)境信息生成第一掃描內容指示,該第一掃描內容指示至少包括對指定位置的內容進行掃描并告知掃描到的未知程序文件的特征數(shù)據���,以及將該第一掃描內容指示傳輸至客戶端設備���。本步驟可以通過前述位于服務器端的云端管理設備210中的第一指示器212實現(xiàn),相關技術實現(xiàn)也請參考第一指示器212在前述各實施例中的描述���,此處不再贅述���?���?蛻舳嗽O備在通過步驟S220獲得服務器端設備基于其上傳的系統(tǒng)環(huán)境信息判斷的第一掃描內容指示之后����,在步驟S230中對第一掃描內容指示中的指定位置進行掃描,并至少將掃描得到的未知程序文件的特征數(shù)據再傳輸至服務器端設備����,以便服務器端設備據此進行進一步的判斷。本步驟可以通過位于客戶端的掃描設備110中的第一掃描器114予以實現(xiàn)����,相關技術實現(xiàn)也請參考第一掃描器114在前述各實施例中的描述,此處不再贅述���。服務器端設備在通過步驟S230獲得客戶端設備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據之后����,在步驟S240中根據未知程序文件的特征數(shù)據在已知的惡意程序查殺數(shù)據庫中進行匹配���,判斷該未知程序文件是否為惡意程序����。如果匹配成功,判斷出該未知程序文件是惡意程序����,則還可以進一步查找是否有對應的修復邏輯���,如果有����,則可以將判斷結果和修復邏輯一并傳輸至客戶端����;如果沒有找到對應的修復邏輯,則可以只將判斷結果傳輸至客戶端設備���。本步驟可以通過前述位于服務器端的云端管理設備210中的第一匹配器214實現(xiàn)���,相關技術實現(xiàn)也請參考第一匹配器214在前述各實施例中的描述,此處不再贅述����。如果服務器端設備根據已知的惡意程序查殺數(shù)據庫無法匹配到已知記錄,即無法判斷該未知程序文件是否是惡意程序,則在步驟S250中生成第二掃描內容指示����,第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性進行掃描,然后將第二掃描內容指示傳輸至客戶端設備����。可以看出����,服務器端設備之所以還要向客戶端設備發(fā)送第二掃描內容指示,是為了獲得更多的未知程序文件相關的信息����,以便做更進一步的判斷。本步驟可以通過前述位于服務器端的云端管理設備210中的第二指示器216實現(xiàn)����,相關技術實現(xiàn)也請參考第一指示器212在前述各實施例中的描述,此處不再贅述����。客戶端設備在通過步驟S250獲得第二掃描內容指示后����,在步驟S260中根據第二掃描內容指示進行掃描����,從而獲知未知程序文件的指定屬性和/或未知程序文件的上下文環(huán)境的指定屬性����。例如,未知程序文件的指定屬性包括但不限于下述信息中的一種或多種未知程序文件的特征數(shù)據���、文件大小、安全級別����、簽名信息以及版本信息等。再例如���,未知程序文件的上下文環(huán)境的屬性包括但不限于下述信息中的一種或多種未知程序文件所在目錄的信息���、注冊表中的啟動位置的信息、與該程序文件同目錄或指定目錄下的其他文件的屬性信息����、以及指定進程的運行狀態(tài)等���。在步驟S260之后,在本發(fā)明的一個實施例中���,首先客戶端設備將按照第二掃描內容指示進行掃描后的掃描結果傳輸至服務器端設備���,該步驟可以通過前述各實施例中的第二掃描器116執(zhí)行,相關技術特征可以參看該部件的描述����,此處不再贅述;進而服務器端設備獲得客戶端設備按照第二掃描內容指示掃描獲得的掃描結果之后����,根據這個掃描結果在已經的惡意程序查殺數(shù)據庫中進一步分析比對,再次判斷未知程序文件是否為惡意程序���,然后將判斷結果(如惡意���、安全、未知���、可疑)���、和/或����、與該掃描結果匹配的修復邏輯傳輸至客戶端設備���。服務器端執(zhí)行該步驟可以通過前述各實施例中的云端管理設備210中的第二指示器216予以執(zhí)行���,相關技術特征可以參看該部件的描述,此處不再贅述���。應當注意的是���,不是所有判斷出是惡意程序的情況下都能找到對應的修復邏輯���,所以在找到的情況下����,判斷結果和修復邏輯可以一起傳輸至客戶端設備���;在沒找到修復邏輯的情況下���,可以只將判斷結果傳輸至客戶端供其或用戶參考���;還有可能只傳輸修復邏輯,因為客戶端收到修復邏輯即可理解為未知程序文件就是惡意程序���,否則服務器端設備不會向其反饋針對該未知程序文件的修復邏輯���。在客戶端設備獲得服務器端設備反饋的未知程序文件是否為惡意程序的判斷結果之后,便可以根據該判斷結果進行相應的處理���。比如���,通過彈窗等安全提醒手段提醒用戶,或者在用戶確認后根據修復邏輯進行修復處理����。客戶端設備執(zhí)行該步驟可以通過前述各實施例中掃描設備110中的第一處理器執(zhí)行����,相關技術特征可以參看該部件的描述,此處不再贅述���。從這個實施例后續(xù)步驟描述可以看出����,客戶端設備需要向服務器端設備至少傳輸兩次掃描結果,以便服務器端設備根據掃描結果做判斷���。為了減少客戶端設備和服務器端設備之間的通信次數(shù)���,提高效率,還可以在本發(fā)明又一個實施例中采用下述流程處理���。在本發(fā)明的又一個實施例中����,在前述步驟S250中����,服務器端設備除了生成第二掃描內容指示并發(fā)送至客戶端設備之外����,服務器端設備還根據已知的惡意程序查殺數(shù)據庫獲得與第二掃描內容指示相關的判斷邏輯和/或修復邏輯,然后將判斷邏輯和/或修復邏輯以及第二掃描內容指示一起傳輸至客戶端設備����。該步驟可以通過前述各實施例的云端管理設備210中的第二指示器216予以實現(xiàn)���,相關技術實現(xiàn)可以參考該部件的相關描述,此處不再贅述����。可以看出����,在步驟S250之后,客戶端設備至少已經接收到了第二掃描內容指示和與第二掃描內容指示相關的判斷邏輯���,還有可能也一并接收到了與第二掃描內容指示相關修復邏輯���,因此客戶端設備在通過步驟S260按照第二掃描內容指示進行掃描獲得掃描結果之后,客戶端設備就可以根據服務器端設備傳輸?shù)呐c第二掃描內容指示相關的判斷邏輯以及掃描結果����,判斷該未知程序文件是否為惡意程序,如果是����,進一步檢測服務器端設備是否還同時傳輸了相關修復邏輯����,如果有則繼續(xù)根據修復邏輯對未知程序文件進行修復處理����,比如刪除指定的注冊表鍵和/或鍵值、修改注冊表鍵和/或鍵值為指定內容���、刪除指定系統(tǒng)服務項����,以及修復或刪除指定程序文件等���。該步驟可以通過前面各實施例的掃描設備110中的第二處理器予以執(zhí)行���,相關技術實現(xiàn)可以參考前述該步驟的相關描述,此處不再贅述���。
在本發(fā)明的又一個實施例中���,給出了一種基于云安全的惡意程序查殺方法���,請參閱圖3所不流程圖����。該流程始于步驟S310,客戶端初始化本地引擎和網絡環(huán)境���。然后���,執(zhí)行步驟S320,客戶端讀取系統(tǒng)環(huán)境信息發(fā)送給服務器端���。進而���,執(zhí)行步驟S330,服務器端根據客戶端的系統(tǒng)環(huán)境信息與預置的掃描內容的條件進行判斷����,把需要掃描的內容發(fā)送給客戶端。此處需要掃描的內容就相當于前述各實施例中的第一掃描內容指示���。然后執(zhí)行步驟S340���,客戶端執(zhí)行本地引擎內置的掃描內容和服務器端返回的掃描內容���,獲得未知程序文件的特征,比如文件名����、MD5或者SHA等。然后執(zhí)行步驟S350����,客戶端設備把未知程序文件的特征發(fā)送給服務器端。此后���,執(zhí)行步驟S360���,服務器端根據程序文件的特征和/或程序文件的上下文環(huán)境的屬性在數(shù)據庫中進行查找。然后進入步驟S370���,判斷是否在數(shù)據庫中發(fā)現(xiàn)匹配記錄����,即是否找到對應的查殺方法���,包括但不限于掃描/判定動作和修復動作���。如果找到匹配記錄,則執(zhí)行步驟S380 ;如果沒有找到匹配記錄���,則執(zhí)行步驟S400���。步驟S380 :服務器端把對應的查殺方法返回至客戶端。然后執(zhí)行步驟S390����。步驟S390 :客戶端根據服務器端返回的查殺方法執(zhí)行相應動作。然后結束���。步驟S400:服務器端判斷是否需要進一步檢查客戶端未知程序文件的其他屬性���,比如步驟S350反饋過的未知程序文件特征以外的其他屬性,和/或未知程序文件的上下文環(huán)境的屬性等���。如果是����,則繼續(xù)執(zhí)行步驟S410,����;如果否,則直接結束����。步驟S410:客戶端根據服務器端返回的檢查條件收集需要的程序文件的指定屬性和其上下文環(huán)境的屬性,然后發(fā)送給服務器端���。然后返回執(zhí)行步驟S360����,直到流程結束����。在本發(fā)明的又一個實施例中,給出了一個惡意程序查殺的具體實例���。例如某影音軟件xxxUpdate. exe會加載同目錄下xxxUpdate. dll,該影音軟件在中國是一款安裝量非常大的軟件���,但沒有對自身的程序文件做足夠的保護和防篡改檢查,所以惡意程序m可以利用該影音軟件的這個安全漏洞����,把xxxUpdate. dll替換為惡意程序���。采用本方案的檢測和查殺步驟如下首先,客戶端把xxxUpdate. dll的文件名和MD5值發(fā)送給服務器端;然后����,服務器端根據文件名和MD5值匹配到有對應的查殺方法����,于是進一步向客戶端發(fā)出掃描指示(相當于前述各實施例中的第二掃描內容指示)、判斷邏輯和修復邏輯���。其中���,掃描指示中要求檢查是此文件的安全級別是否為可信,文件的公司簽名名稱是不是“北京XXX有限公司”;判斷邏輯中指明如果此文件的安全級別不為可信���、且公司簽名名稱不是“北京XXX有限公司”���,則判斷該文件遭惡意程序篡改,是惡意程序����;對應的修復邏輯中指出如果掃描結果滿足判斷邏輯����,判斷該文件是惡意程序����,則對應的修復動作是禁止xxxUpdate. exe隨系統(tǒng)啟動,并把xxxUpdate. dll替換為原版文件����。最后,客戶端根據上面的掃描內容對該文件進行掃描����,并且根據掃描結果以及服務器端提供的判斷邏輯判斷該文件是否為惡意程序,如果是����,則把惡意程序報告給用戶,當用戶選擇清除時執(zhí)行服務器端返回的查殺動作����,比如修復處理。在本發(fā)明的另一個實施例中����,客戶端設備并不向服務器端設備上報當前的系統(tǒng)環(huán)境信息����,進而服務器端也就不需要根據客戶端設備上報的系統(tǒng)環(huán)境信息生成第一掃描內容指示����,然后讓客戶端上設備根據第一掃描內容指示進行掃描。取而代之的是���,客戶端設備直接根據已知的掃描邏輯(比如本地引擎的掃描邏輯或者此前服務器端告知的掃描邏輯)進行掃描,然后直接將掃描得到的無法判斷是否安全的可疑的未知程序文件上報至服務器端設備����,其余的處理過程就與前述各實施例中描述的一樣,故不再贅述����。通過前述本發(fā)明提供的各個實施例可以看出,本發(fā)明實施例在僅通過可疑的未知程序文件的文件名���、MD5���、SHA等無法判斷是否為惡意程序或者無法找到準確的修復方案時����,可以再通過要求客戶端設備進一步掃描未知程序文件的簽名����、版本等其他屬性和/或未知程序文件的上下文環(huán)境的屬性來做進一步判斷,從而能更準確的判斷出客戶端自己無法確定是否安全的未知程序文件����。由于采用這種方案,無論是客戶端將進一步掃描的各種屬性結果發(fā)送到服務器端來判斷����,還是服務器端直接將與掃描結果相關的判斷邏輯、修復邏輯一并發(fā)送給客戶端���,讓其自己判斷����,本質都是云端服務器及時下發(fā)個性化的掃描內容���,并根據程序文件的屬性及其所在上下文環(huán)境的屬性從服務器端動態(tài)獲取查殺方法���,避免了通過升級本地特征庫和引擎程序才能檢測和清除新生惡意程序����,從而加快了對新生惡意程序的打擊速度����,有效地遏制了其快速蔓延。在此提供的算法和顯示不與任何特定計算機����、虛擬系統(tǒng)或者其它設備固有相關。各種通用系統(tǒng)也可以與基于在此的示教一起使用���。根據上面的描述����,構造這類系統(tǒng)所要求的結構是顯而易見的����。此外���,本發(fā)明也不針對任何特定編程語言����。應當明白,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內容����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。在此處所提供的說明書中����,說明了大量具體細節(jié)。然而,能夠理解���,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中���,并未詳細示出公知的方法����、結構和技術���,以便不模糊對本說明書的理解���。類似地���,應當理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個���,在上面對本發(fā)明的示例性實施例的描述中���,本發(fā)明的各個特征有時被一起分組到單個實施例、圖����、或者對其的描述中。然而���,并不應將該公開的方法解釋成反映如下意圖即所要求保護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征����。更確切地說���,如下面的權利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征���。因此���,遵循具體實施方式
的權利要求書由此明確地并入該具體實施方式
����,其中每個權利要求本身都作為本發(fā)明的單獨實施例����。本領域那些技術人員可以理解,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中���?��?梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權利要求���、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合���。除非另外明確陳述,本說明書(包括伴隨的權利要求���、摘要和附圖)中公開的每個特征可以由提供相同���、等同或相似目的的替代特征來代替����。此外����,本領域的技術人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征����,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內并且形成不同的實施例。例如���,在下面的權利要求書中����,所要求保護的實施例的任意之一都可以以任意的組合方式來使用���。本發(fā)明的各個部件實施例可以以硬件實現(xiàn)���,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)����。本領域的技術人員應當理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據本發(fā)明實施例的掃描設備或系統(tǒng)或云端管理設備中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如���,計算機程序和計算機程序產品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質上����,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網網站上下載得到����,或者在載體信號上提供,或者以任何其他形式提供����。應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制,并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例����。在權利要求中���,不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包含”不排除存在未列在權利要求中的元件或步驟���。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現(xiàn)����。在列舉了若干裝置的單元權利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)����。單詞第一、第二���、以及第三等的使用不表示任何順序���。可將這些單詞解釋為名稱���。
權利要求
1.一種掃描設備����,用于查殺惡意程序,該掃描設備包括 第一傳輸接口���,被配置為向服務器端設備傳輸信息,以及接收所述服務器端設備傳輸?shù)男畔ⅲ? 第一掃描器����,被配置為根據已知掃描邏輯對所述客戶端設備進行掃描,并將掃描得到的未知程序文件的特征數(shù)據通過所述第一傳輸接口傳輸至所述服務器端設備����;以及 第二掃描器,被配置為通過所述傳輸接口獲得所述服務器端設備傳輸?shù)牡诙呙鑳热葜甘?��,所述第二掃描內容指示包括對所述未知程序文件的指定屬性?或所述未知程序文件的上下文環(huán)境的指定屬性進行掃描����,以及根據所述第二掃描內容指示進行掃描����。
2.根據權利要求1所述的掃描設備, 所述第二掃描器還被配置為將按照所述第二掃描內容指示進行掃描后的掃描結果����,通過所述第一傳輸接口傳輸至所述服務器端設備���;所述掃描設備還包括第一處理器,被配置為通過所述第一傳輸接口獲得所述服務器端設備基于所述第二掃描器提供的掃描結果確定的所述未知程序文件是否為惡意程序的判斷結果���,并根據所述判斷結果進行相應的處理���。
或者, 所述掃描設備還包括第二處理器���,被配置為通過所述第一傳輸接口獲得所述服務器端設備告知的與所述第二掃描內容指示相關的判斷邏輯���,并根據所述第二掃描器提供的掃描結果和所述判斷邏輯判斷所述未知程序文件是否為惡意程序,以及進行相應的處理���。
3.根據權利要求2所述的掃描設備���, 所述第一處理器還被配置為獲得所述服務器端設備發(fā)送的與所述第二掃描器提供的掃描結果相關的修復邏輯,并根據所述修復邏輯進行相應的修復處理����; 所述第二處理器還被配置為獲得所述服務器端設備發(fā)送的與所述判斷邏輯相關的修復邏輯����,并在所述第二掃描器提供的掃描結果滿足所述修復邏輯時����,根據所述修復邏輯進行相應的修復處理。
4.根據權利要求1至3中任一項所述的掃描設備 所述程序文件的特征數(shù)據包括下述信息中的一種或多種對所述未知程序文件的全部或部分關鍵內容采用特定算法獲得的數(shù)據���、文件名; 所述未知程序文件的指定屬性包括下述信息中的一種或多種特征數(shù)據���、文件大小����、安全級別���、簽名信息以及版本信息����。
5.根據權利要求1至4中任一項所述的掃描設備����,所述未知程序文件的上下文環(huán)境的屬性包括下述信息中的一種或多種 所述未知程序文件所在目錄的信息����、注冊表中的啟動位置的信息���、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息���、指定進程的運行狀態(tài)。
6.一種云端管理設備����,用于查殺惡意程序,該云端管理設備包括 第二傳輸接口���,被配置為向客戶端設備傳輸信息���,以及接收所述客戶端設備傳輸?shù)男畔ⅲ? 第一匹配器,被配置為通過所述第二傳輸接口獲得所述客戶端設備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據����,并據此在已知的惡意程序特征數(shù)據記錄中進行匹配;以及 第二指示器���,被配置為當所述第一匹配器未能匹配到已知記錄時生成第二掃描內容指示���,所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進行掃描���,并通過所述第二傳輸接口傳輸至所述客戶端設備。
7.根據權利要求6所述的云端管理設備���,還包括 所述第二指示器還被配置為通過所述第二傳輸接口獲得所述客戶端設備按照所述第二掃描內容指示掃描后得到的掃描結果���,并據此判斷所述未知程序文件是否為惡意程序,并將判斷結果通過所述第二傳輸接口傳輸至所述客戶端設備���; 或者, 所述第二指示器還被配置為將與所述第二掃描內容指示相關的判斷邏輯一起通過所述第二傳輸接口傳輸至所述客戶端設備����,所述判斷邏輯是用以判斷所述未知程序文件是否為惡意程序的邏輯。
8.根據權利要求6或7所述的云端管理設備���,所述第一掃描內容指示是附條件的指示����,所述條件包括下述內容中的一種或多種 指定文件是否存在、指定目錄是否存在����、程序文件的屬性是否滿足指定條件、指定注冊表鍵是否存在����、指定注冊表鍵值是否存在、注冊表鍵的內容是否滿足指定條件���、注冊表鍵值的內容是否滿足指定條件����、指定進程是否存在����、以及指定服務是否存在。
9.根據權利要求6至8中任一項所述的云端管理設備����,所述修復邏輯包括下述邏輯中的一種或多種 刪除指定的注冊表鍵和/或鍵值、修改注冊表鍵和/或鍵值為指定內容����、刪除指定系統(tǒng)服務項����,以及修復或刪除指定程序文件���。
10.根據權利要求6至9中任一項所述的云端管理設備���,所述未知程序文件的上下文環(huán)境的屬性包括下述信息中的一種或多種 所述未知程序文件所在目錄的信息、安全級別信息����、注冊表中的啟動位置的信息、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息���、以及指定進程的運行狀態(tài)���。
11.一種基于云安全的惡意程序掃描系統(tǒng)����,包括如權利要求1至5中任一項所述的用于惡意程序查殺的掃描設備,以及如權利要求6至10中任一項所述的用于惡意程序查殺的云端管理設備���。
12.—種掃描方法,用于查殺惡意程序,該掃描方法包括 根據已知掃描邏輯對所述客戶端設備進行掃描����,并將掃描得到的未知程序文件的特征數(shù)據傳輸至所述服務器端設備; 獲得所述服務器端設備傳輸?shù)牡诙呙鑳热葜甘?���,所述第二掃描內容指示包括對所述未知程序文件的指定屬性?或所述未知程序文件的上下文環(huán)境的指定屬性進行掃描;以及 根據所述第二掃描內容指示對所述客戶端設備進行掃描���。
13.根據權利要求12所述的掃描方法���,還包括 將按照所述第二掃描內容指示進行掃描后的掃描結果傳輸至服務器端設備;獲得所述服務器端設備基于該掃描結果確定的所述未知程序文件是否為惡意程序的判斷結果����,并根據所述判斷結果進行相應的處理; 或者����, 獲得所述服務器端設備告知的與所述第二掃描內容指示相關的判斷邏輯,并根據按照第二掃描內容指示進行掃描后的掃描結果和所述判斷邏輯確定所述未知程序文件是否為惡意程序���,以及進行相應的處理����。
14.一種云端管理方法,用于查殺惡意程序���,該云端管理方法包括 獲得客戶端設備傳輸?shù)奈粗绦蛭募奶卣鲾?shù)據���,并據此在已知的惡意程序特征數(shù)據記錄中進行匹配; 當根據所述未知程序文件的特征數(shù)據未能匹配到已知記錄時����,生成第二掃描內容指示,所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進行掃描����; 將所述第二掃描內容指示傳輸至所述客戶端設備。
15.根據權利要求14所述的云端管理方法���,還包括 獲得所述客戶端設備按照所述第二掃描內容指示掃描后獲得的掃描結果����,并據此判斷所述未知程序文件是否為惡意程序���,將判斷結果和/或與所述掃描結果匹配的修復邏輯傳輸至所述客戶端設備; 或者���, 將與所述第二掃描內容指示相關的判斷邏輯和/或修復邏輯���,與所述第二掃描內容指示一起傳輸至所述客戶端設備���。
16.—種基于云安全的惡意程序掃描方法,包括 客戶端設備根據已知掃描邏輯進行掃描,并將掃描得到的未知程序文件的特征數(shù)據傳輸至服務器端設備����; 所述服務器端設備根據所述據未知程序文件的特征數(shù)據在已知的惡意程序特征數(shù)據記錄中進行匹配; 當根據所述未知程序文件的特征數(shù)據未能匹配到已知記錄時����,生成第二掃描內容指示,所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環(huán)境的指定屬性進行掃描���,以及將所述第二掃描內容指示傳輸至所述客戶端設備; 所述客戶端設備根據所述第二掃描內容指示對所述客戶端設備進行掃描����。
全文摘要
本發(fā)明公開了一種掃描方法���、設備和系統(tǒng)以及云端管理方法和設備���,用于查殺惡意程序����。其中���,一種掃描方法包括根據已知掃描邏輯對所述客戶端設備進行掃描����,并將掃描得到的未知程序文件的特征數(shù)據傳輸至所述服務器端設備���;獲得所述服務器端設備傳輸?shù)牡诙呙鑳热葜甘?���,所述第二掃描內容指示包括對所述未知程序文件的指定屬性?或所述未知程序文件的上下文環(huán)境的指定屬性進行掃描����;以及根據所述第二掃描內容指示對所述客戶端設備進行掃描。
文檔編號G06F21/56GK103034808SQ20121050618
公開日2013年4月10日 申請日期2012年11月30日 優(yōu)先權日2012年11月30日
發(fā)明者江愛軍, 劉智鋒, 孔慶龍, 張波, 姚彤 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司