掃描方法、設備和系統以及雲端管理方法和設備的製作方法

2023-10-23 23:51:42 2

專利名稱：掃描方法、設備和系統以及雲端管理方法和設備的製作方法
技術領域：
本發明涉及網絡信息安全技術領域，具體涉及一種掃描方法、設備和系統以及雲端管理方法和設備。
背景技術：
現有的惡意程序查殺方法，大多由本地引擎根據內置的掃描位置進行掃描，把本地無法識別的未知程序文件的M D 5等特徵發送給雲端伺服器，由雲端伺服器根據客戶端發送的程序文件特徵進行比對並判斷是否為惡意程序，如果是惡意程序客戶端本地引擎再根據內置客戶端本地的清除邏輯清理惡意程序。然而在惡意程序與安全軟體白熱化的持續對抗中，惡意程序作者總會找到作業系統新的可利用的點和安全軟體忽視的點從而繞過安全軟體的檢測和查殺。此時安全廠商拿到惡意程序的樣本後，通常需要修改本地引擎才能查殺新的惡意程序，從拿到樣本到人工分析然後把新版本引擎程序文件升級到所有客戶端，在這期間惡意程序已經大面積傳播。

發明內容
鑑於上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的掃描方法、設備和系統以及雲端管理方法和設備。依據本發明的一個方面，提供了一種用於惡意程序查殺的掃描設備，包括第一傳輸接口，被配置為向伺服器端設備傳輸信息，以及接收伺服器端設備傳輸的信息；第一掃描器，被配置為根據已知掃描邏輯對客戶端設備進行掃描，並將掃描得到的未知程序文件的特徵數據通過第一傳輸接口傳輸至伺服器端設備；以及第二掃描器，被配置為通過傳輸接口獲得伺服器端設備傳輸的第二掃描內容指示，第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描，以及根據第二掃描內容指示進行掃描。根據本發明的又一方面，提供了一種用於惡意程序查殺的雲端管理設備，包括第二傳輸接口，被配置為向客戶端設備傳輸信息，以及接收客戶端設備傳輸的信息；第一匹配器，被配置為通過第二傳輸接口獲得客戶端設備傳輸的未知程序文件的特徵數據，並據此在已知的惡意程序特徵數據記錄中進行匹配；以及第二指示器，被配置為當第一匹配器未能匹配到已知記錄時生成第二掃描內容指示，第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描，並通過第二傳輸接口傳輸至客戶端設備。根據本發明的又一方面，提供了一種基於雲安全的惡意程序掃描系統，包括如上任一的用於惡意程序查殺的掃描設備，以及如上任一的用於惡意程序查殺的雲端管理設備。根據本發明的又一方面，提供了一種用於惡意程序查殺的掃描方法，包括根據已知掃描邏輯對客戶端設備進行掃描，並將掃描得到的未知程序文件的特徵數據傳輸至伺服器端設備；獲得伺服器端設備傳輸的第二掃描內容指示，第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描；以及根據第二掃描內容指示對客戶端設備進行掃描。根據本發明的又一方面，提供了一種用於惡意程序查殺的雲端管理方法，包括獲得客戶端設備傳輸的未知程序文件的特徵數據，並據此在已知的惡意程序特徵數據記錄中進行匹配；當根據未知程序文件的特徵數據未能匹配到已知記錄時，生成第二掃描內容指示，第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描；將第二掃描內容指示傳輸至客戶端設備。根據本發明的又一方面，提供了一種基於雲安全的惡意程序掃描方法，包括客戶端設備根據已知掃描邏輯進行掃描，並將掃描得到的未知程序文件的特徵數據傳輸至伺服器端設備；伺服器端設備根據據未知程序文件的特徵數據在已知的惡意程序特徵數據記錄中進行匹配；當根據未知程序文件的特徵數據未能匹配到已知記錄時，生成第二掃描內容指示，第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描，以及將第二掃描內容指示傳輸至客戶端設備；客戶端設備根據第二掃描內容指示對客戶端設備進行掃描。根據本發明提供的實施例可以看出，在僅通過未知程序文件的基本特徵數據(如文件名、MD5、SHAl或根據文件內容計算出的其他特徵等)無法判斷是否為惡意程序或者無法找到準確的修複方案時，可以再通過要求客戶端設備進一步掃描未知程序文件的籤名、版本等指定屬性和/或未知程序文件的上下文環境的屬性來做進一步判斷，從而能更準確的判斷出客戶端自己無法確定是否安全的未知程序文件。由於採用這種方案，雲端伺服器及時下發個性化的掃描內容，並根據程序文件的屬性及其所在上下文環境的屬性從伺服器端動態獲取查殺方法，避免了通過升級本地特徵庫和引擎程序才能檢測和清除新生惡意程序，從而加快了對新生惡意程序的打擊速度，有效地遏制了其快速蔓延。上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，並且為了讓本發明的上述和其它目的、特徵和優點能夠更明顯易懂，以下特舉本發明的具體實施方式
。


通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對於本領域普通技術人員將變得清楚明了。附圖僅用於示出優選實施方式的目的，而並不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中圖1示出了根據本發明一個實施例的基於雲安全的惡意程序掃描系統；圖2示出了根據本發明一個實施例的基於雲安全的惡意程序掃描方法流程圖；以及圖3示出了根據本發明又一個實施例的基於雲安全的惡意程序查殺方法流程圖。
具體實施例方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這裡闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，並且能夠將本公開的範圍完整的傳達給本領域的技術人員。本發明實施例可以應用於計算機系統/伺服器，其可與眾多其它通用或專用計算系統環境或配置一起操作。適於與計算機系統/伺服器一起使用的眾所周知的計算系統、環境和/或配置的例子包括但不限於個人計算機系統、伺服器計算機系統、瘦客戶機、厚客戶機、手持或膝上設備、基於微處理器的系統、機頂盒、可編程消費電子產品、網絡個人電腦、小型計算機系統、大型計算機系統和包括上述任何系統的分布式雲計算技術環境，等
坐寸ο計算機系統/伺服器可以在由計算機系統執行的計算機系統可執行指令(諸如程序模塊)的一般語境下描述。通常，程序模塊可以包括例程、程序、目標程序、組件、邏輯、數據結構等等，它們執行特定的任務或者實現特定的抽象數據類型。計算機系統/伺服器可以在分布式雲計算環境中實施，分布式雲計算環境中，任務是由通過通信網絡連結的遠程處理設備執行的。在分布式雲計算環境中，程序模塊可以位於包括存儲設備的本地或遠程計算系統存儲介質上。請參閱圖1，其示出了根據本發明一個實施例的基於雲安全的惡意程序掃描系統，包括用於惡意程序查殺的掃描設備110，以及用於惡意程序查殺的雲端管理設備210，其中，掃描設備Iio可以設置於客戶端，比如客戶端設備100中，雲端管理設備210可以設置於伺服器端，比如伺服器端設備200中。掃描設備110可以和雲端管理設備210進行通信，具體而言，掃描設備110中的第一傳輸接口 112可以向伺服器端設備200傳輸信息，以及接收伺服器端設備200傳輸的信息；雲端管理設備的第二傳輸接口 218可以向客戶端設備100傳輸信息，以及接收客戶端設備100傳輸的信息。其中，掃描設備Iio可以包括環境信息讀取器112、第一掃描器114、第二掃描器116以及第一傳輸接口 118。雲端管理設備210可以包括第一指示器212、第一匹配器214、第二指示器216以及第二傳輸接口 218。首先，環境信息讀取器112讀取客戶端設備100當前的系統環境信息，並通過第一傳輸接口 118傳輸至伺服器端設備200的第二傳輸接口 218。客戶端設備100當前的環境系統信息可以包括很多，比如作業系統的版本信息、系統補丁安裝信息、軟體安裝信息、驅動安裝信息以及活動進程和服務信息等信息中的任意一種或多種。其中，作業系統有很多種，比如 windows 98>windows2003>windows XP 以及 Windows Vista等，不同作業系統對應的版本信息也不同，因此通過作業系統的版本信息，伺服器端設備200就可以知道客戶端設備100當前運行的是哪種具體版本的作業系統。活動進程即為系統中正在運行的進程，可以通過調用相應的API (Application Programming Interface,應用程式編程接口)函數等多種手段在系統中查詢到當正在運行的各種進程信息，以及進程相關的標識符，用戶名，cpu佔用率，內存佔用率，描述信息等。在客戶端設備100初始化本地引擎和網絡環境之後，環境信息讀取器112就可以讀取當前的系統環境信息，並傳輸至服務端設備200。位於伺服器端設備200中的雲端管理設備210中的第二傳輸接口 218接收到客戶端設備100當前的系統環境信息之後，傳輸給第一指示器212，進而第一指示器212根據新生惡意程序的特性和客戶端設備100傳輸的系統環境信息生成第一掃描內容指示。其中，新生惡意程序的特性可以有很多種，比如根據最新惡意程序的流行趨勢分析出的新生惡意程序利用特定位置進行隱藏和/或攻擊的特徵信息，比如新生惡意程序通常利用的位置，如某遊戲的安裝目錄、常用軟體的安裝目錄、某些特定的註冊表項等。進而，伺服器端設備200可以根據新生惡意程序通常利用的隱藏和/或攻擊位置，結合客戶端設備上報的當前系統環境信息，就可以給出針對該客戶端設備個性化的掃描內容指示，即第一掃描內容指示。比如通過客戶端設備100上報的軟體安裝信息發現該客戶端設備100安裝了某個遊戲軟體，而根據新生惡意程序的特性知道當前很多惡意程序都是利用該遊戲軟體的安裝目錄進行隱藏或惡意替換文件，則伺服器端設備200就會在第一掃描內容指示中要求客戶端設備100掃描該遊戲安裝目錄下的內容，以便發現該客戶端設備100中可疑的未知程序文件。可以看出，由於第一掃描內容指示不僅僅依據伺服器端掌握的新生惡意程序的特性，還要結合客戶端設備100的具體系統環境信息，因此第一掃描內容指示是個性化的，有針對性的，針對不同的客戶端設備100下發的第一掃描內容指示往往是不同的。在第一掃描內容指示中至少包括對指定位置的內容進行掃描並要求告知掃描到的未知程序文件的特徵數據，具體而言，第一掃描內容指示可以是根據新生惡意程序的特性和客戶端設備100當前的系統環境信息生成的一段文本或腳本，即通過該指示可以告知客戶端設備100需要掃描哪些內容，以及上報哪些掃描結果。應當注意的是，第一掃描內容指示可以是不附帶任何條件的指示，也可以是附條件的指示。如果是附條件的指示，則只有在滿足預置條件時，客戶端設備100中的掃描設備110才根據第一掃描內容指示進行掃描。第一掃描指示可以附帶的條件有很多，比如包括但不限於下述內容中的一種或多種指定文件是否存在、指定目錄是否存在、程序文件的屬性是否滿足指定條件(比如消息摘要MD5是否為指定值)、指定註冊表鍵是否存在、指定註冊表鍵值是否存在、註冊表鍵的內容是否滿足指定條件、註冊表鍵值的內容是否滿足指定條件(比如是否包含或等於特定字符串或者某個值)、指定進程是否存在、指定服務是否存在以及指定服務是否滿足指定的條件(比如是否為特定的服務名稱、特定的服務描述或特定的顯不名稱)等。伺服器端在第一指示器212生成第一掃描內容指示之後，就將該第一掃描內容指示通過第二傳輸接口 218傳輸至客戶端設備100中的第一傳輸接口 118。然後，位於客戶端設備100中的掃描設備110的第一傳輸接口 118，將接收到的伺服器端設備200至少基於系統環境信息判斷得到的第一掃描內容指不告知第一掃描器114。進而,第一掃描器114對第一掃描內容指不中的指定位置進行掃描。前面提到,第一掃描內容指示可以是附條件的指示，或者稱為掃描條件，那麼第一掃描器114需要先判斷是否滿足第一掃描內容指示所附帶的掃描條件，比如前面提到的那些可選條件。當第一掃描器114判斷滿足第一掃描內容附帶的條件時，才對第一掃描內容指示中的指定位置進行掃描。當然，如果第一掃描內容指示不是附條件的指示，則第一掃描器114就無需先判斷，直接按照第一掃描內容中指不的掃描位置掃描即可。可選的，第一掃描器114除了按照第一掃描內容指示在客戶端設備100中進行個性化的掃描外，第一掃描器114還可以對客戶端設備100本地引擎內置的掃描位置進行常規掃描。在第一掃描器114完成掃描之後就會發現未知程序文件，然後提取未知程序文件的特徵數據，特徵數據可以有很多種，比如下述信息中的一種或多種對未知程序文件的全部或部分關鍵內容(即從文件中抽取一部分內容)根據特定的算法(如MD5、SHAl或其他算法)計算出的數據以及文件名等。程序文件的這些特徵數據，可以理解為是程序文件的基本屬性信息。第一掃描器114在獲得未知程序文件的特徵數據後，就將未知程序文件的特徵數據通過第一傳輸接口 118傳輸至伺服器端設備200中的第二傳輸接口 218。進而，伺服器端的第二傳輸接口 218將收到的未知程序文件的特徵數據提供給第一匹配器214，第一匹配器214據此在已知的惡意程序查殺資料庫中進行匹配，在該資料庫中記錄有惡意程序的一些特徵信息，此外還可以記錄判斷是否為惡意程序的判斷邏輯，以及可能的查殺方法(如修復邏輯)等。其中，惡意程序的特徵可以包括很多信息，比如文件名、程序文件的摘要、文件大小、籤名信息、版本信息等文件的屬性信息，再比如還可以包括文件所在目錄、註冊表中的啟動位置、同目錄下或指定目錄下其他文件的屬性等程序文件的上下文環境屬性。因為現有惡意程序比較複雜，往往單純通過一兩個特徵無法準確判斷是否為惡意程序，很多情況下需要根據多種特徵綜合判斷，這種綜合判斷未知程序文件是否為惡意程序的邏輯就是前述的判斷邏輯。查殺方法包括但不限於掃描/判定和修復操作。由於伺服器端的存儲量、運算量以及收集惡意程序特徵信息的能力、更新速度都遠遠強於客戶端，因此，當客戶端設備100根據本地引擎無法判斷的未知程序文件，伺服器端設備200就可以根據已知的資料庫判斷出來。如果第一匹配器214在已知的惡意程序查殺資料庫中匹配成功，即能夠判斷該未知程序文件是否為惡意程序，可選的，某些情況還可以匹配出對應的修復邏輯，則可以將判斷結果和對應的修復邏輯通過第二傳輸接口 218反饋給客戶端設備100的第一傳輸接口118。可選的，客戶端設備100還包括查殺器，客戶端設備100中的第一傳輸接口 118將伺服器端設備200基於未知程序文件的特徵判斷出其是否為惡意程序的判斷結果和修復邏輯告知查殺器，查殺器執行對應的操作。比如，如果判斷結果發現該未知程序文件是惡意程序，則查殺器根據伺服器端設備200返回的修復邏輯對未知程序文件進行修復處理。修復處理包括但不限於刪除指定的註冊表鍵/值、修改註冊表鍵/值為指定內容、刪除指定系統服務項、修復/刪除指定程序文件等。具體到修復指定程序文件，則根據需要修復的文件類型不同有多種修複方案。比如，有些需要修復的是系統文件，有些是常用軟體的程序文件，有些是一般的文件。修復這些程序文件的基本原理類似，通常都是伺服器端根據客戶端需要修復的程序文件的一些屬性信息，在雲端資料庫中進行匹配，查找是否有匹配的未感染病毒的程序文件，如果有，就提供給客戶端進行替換，從而完成修復。不同文件在具體匹配時可以根據實際需要設置不同的匹配條件，比如如果是系統文件，可以要求文件的各種屬性信息(如文件名稱、版本信息等)全部一致，才算匹配成功，即成功找到用於修復的替換文件；而對於非系統的一般文件，如果雲端資料庫中存儲的是基本版本或者是標準版本，則也可以認為匹配成功。此外，即便同樣是系統文件，或者同樣是非系統的一般文件，也可以根據文件的實際應用環境不同、要求不同、或者是作業系統不同而設置不同的匹配條件。比如，可能某種系統文件，就需要文件名稱、版本信息等各種屬性全部一致才算匹配成功，但另一種系統文件，只需要文件名稱一致、版本為基本版本或標準版本，就可以認為是匹配成功。下面再給以一種常用軟體被木馬破壞為例，詳細說明修復過程中如何對程序文件進行替換。例如，木馬破壞了某種常用軟體的程序文件後，原程序文件的信息已經不可用了。這種情況下伺服器端設備200通過客戶端設備100之前提供的有關該軟體的信息，如軟體名稱，版本，程序文件的版本、目錄等，就可以知道需要為客戶端設備100提供哪些替換文件，進而根據文件名稱、版本等信息在雲端資料庫中進行匹配，找出未感染病毒並且匹配的替換文件提供給客戶端設備100，然後客戶端設備100將伺服器端設備200提供的未感染病毒、與本機一致的程序文件，替換原來被破壞的程序文件即可。如果第一匹配器214在已知的惡意程序查殺資料庫中未能匹配成功，即根據未知程序文件的特徵數據無法準確匹配，則會通知第二指示器216，進而第二指示器216根據未知程序文件的特徵數據提供的基本信息以及已知新生惡意程序的特性，繼續生成第二掃描內容指示。因為通過第一指示器已經知道了未知程序文件的特徵數據等基本屬性信息，然後再結合當前惡意程序的特性，比如這類未知程序文件如果是惡意程序，一般還具有哪些特性，比如該未知程序文件的籤名信息可能不是指定名稱、該未知程序文件所在目錄或相關目錄下的其他文件屬性可能是指定屬性等。具體而言，第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描。例如，第二掃描內容指示可以僅要求客戶端設備100掃描未知程序文件的指定屬性並上報，也可以僅要求客戶端設備100掃描未知程序文件的上下文環境的指定屬性並上報，還可以要求客戶端設備100將其他指定屬性和上下文環境的指定屬性一併上報。應當注意，未知程序文件的指定屬性包括但不限於下述信息中的一種或多種特徵數據、文件大小、安全級別、籤名信息以及版本信息等。需要說明的是，雖然此前客戶端設備100根據伺服器端的第一掃描內容指示掃描後已經上報過未知程序文件的特徵數據這一基本屬性了，但是由於客戶端設備100和伺服器端設備200可能不是長連接，因此後續客戶端設備100在根據伺服器端第二掃描內容指示掃描後上報未知程序文件的指定屬性信息時，有可能還需要再將未知程序文件的特徵數據等基本信息再上報一次。因此第二掃描內容指示中，可能既有要求掃描並上報未知程序文件特徵數據以外的其他指定屬性的內容，又有要求掃描並上報未知程序文件特徵數據的內容。當然，如果客戶端設備100和伺服器端設備200之間是長連接，那麼第二掃描內容指示中也可以不要求客戶端設備100再上報一次曾經上報過的未知程序文件的特徵數據等基本信息。安全級別包括但不限於惡意(即屬於黑名單)、安全(即屬於白名單、可信)、未知以及可疑等。未知程序文件的上下文環境的屬性包括但不限於下述信息中的一種或多種未知程序文件所在目錄的信息、指定註冊表鍵值的信息、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息、以及指定進程的運行狀態等。第二指示器216在生成第二掃描內容指示後，通過第二傳輸接口 218傳輸至客戶端設備100中的第一傳輸接口 118，進而第一傳輸接口 118再將第二掃描內容指示通知第二掃描器116。第二掃描器116再根據第二掃描內容指示對未知程序文件的指定屬性信息和/或上下文環境的屬性信息進行掃描，最後將掃描結果傳輸至伺服器端設備200的第二傳輸接口 218。在本發明的一個實施例中，第二傳輸接口 218將接收到的第二掃描器116提供的掃描結果再告知第二指示器216，進而第二指示器216據此在已知的惡意程序查殺資料庫中進行分析比對，前面已經給出過惡意程序查殺資料庫的具體內容，由此可知，因為此次客戶端設備100提供的未知程序文件的掃描結果包含了更多的信息，比如包含了未知程序文件的籤名信息、安全級別、版本信息等其他屬性，或者包含了未知程序文件的上下文環境的各種屬性信息，再或者未知程序文件的其他屬性和上下文環境的屬性都掃描到了，那麼第二指示器216就可以根據這些更全面的信息，以及惡意程序查殺資料庫中的特徵信息及判斷邏輯進一步分析判斷該未知程序文件是否為惡意程序文件，如果判斷是惡意程序還可以進一步查看是否有對應的修復邏輯。修復邏輯包括但不限於下述邏輯中的一種或多種刪除指定的註冊表鍵和/或鍵值、修改註冊表鍵和/或鍵值為指定內容、刪除指定系統服務項以及修復或刪除指定程序文件。進而，第二指示器216通過第二傳輸接口 218將未知程序文件是否為惡意程序文件的判斷結果傳輸至客戶端設備100。進一步，如果判斷結果是惡意程序，並且在已知的惡意程序查殺資料庫中能夠找到匹配的修復邏輯，則也將匹配的修復邏輯通過第二傳輸接口218傳輸至客戶端設備。客戶端的掃描設備110還包括第一處理器，第一處理器通過第一傳輸接口 118獲得伺服器端設備200中第二指示器提供的未知程序文件是否為惡意程序文件的判斷結果，並根據該判斷結果進行相應的處理。比如，如果判斷結果是安全的程序文件，則不用再對未知程序文件進行查殺處理；如果判斷結果是惡意程序，並且第二指示器216提供了修復邏輯，則可以提示用戶，並詢問用戶是否進行修復，在得到用戶的確認後根據該修復邏輯對未知程序文件進行修復處理。在本發明的另一個實施例中，為了減少客戶端設備100和伺服器端設備200之間的通信，第二指示器216還可以在將第二掃描內容指示告知客戶端設備100的同時，將與第二掃描內容指示相關的判斷邏輯，甚至與判斷邏輯相關的修復邏輯一起發送給客戶端設備100。具體而言，因為第二掃描內容指示主要包括對未知程序文件的特徵數據以外的其他指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描，因此伺服器端可以預知客戶端設備100按照第二掃描內容指示掃描後可能會得到哪些掃描結果，然後根據惡意程序查殺資料庫可以判斷出什麼樣的掃描結果表明該未知程序文件是惡意程序，因此可以查找出與第二掃描內容指示相關的判斷邏輯，即如何根據後續的掃描結果判斷出該未知程序文件是否是惡意程序。如果是惡意程序，則還可以進一步根據已知的惡意程序查殺資料庫查找是否有與上述第二掃描內容指示、判斷邏輯相關的修復邏輯。處於客戶端的掃描設備110還可以包括第二處理器，第二處理器通過傳輸接口118獲得伺服器端第二指示器216提供的與第二掃描內容指示相關的判斷邏輯，然後根據該判斷邏輯以及第二掃描器116按照第二掃描內容指示掃描後得到的掃描結果，判斷該未知程序文件是否為惡意程序，並進行相應的處理。比如，如果判斷結果為該未知程序文件是惡意程序，並且伺服器端的第二指示器216還發送了與判斷邏輯相關的修復邏輯，則可以在第二掃描器116提供的掃描結果滿足該修復邏輯時，根據該修復邏輯進行相應的修復處理。其餘處理的具體內容與上個實施例中第一處理器做所的相應處理類似，不再贅述。可以看出在這個實施例中，第二掃描器116就不再需要將按照第二掃描內容指示對未知程序文件進行掃描後的結果上傳到伺服器端設備了，而是直接提供給第二處理器即可。通過上述實施例可以看出，如果掃描設備110隻包括環境信息讀取器112、第一掃描器114、第二掃描器116以及第一傳輸接口，則其為單純的惡意程序掃描設備，如果還包括第一處理器或第二處理器，則該掃描設備本質上是能夠完成惡意程序查殺的設備，可以理解為是用於惡意程序的查殺設備。請參閱圖2，其示出了根據本發明一個實施例的基於雲安全的惡意程序掃描方法流程圖。該方法包括位於客戶端側的一部分流程，還包括位於伺服器端側的一部分流程，在客戶端側的流程即為用於惡意程序查殺的掃描方法，在伺服器端側的流程即為用於惡意程序查殺的雲端管理方法。該方法始於步驟S210，在S210中讀取客戶端設備當前的系統環境信息，並傳輸至伺服器端設備。系統環境信息包括但不限於作業系統的版本信息、系統補丁安裝信息、軟體安裝信息、驅動安裝信息以及活動進程和服務信息等信息中的任意一種或多種。本步驟可以通過前述掃描設備Iio中的環境信息讀取器112來實現，相關的技術實現可以參考前述環境信息讀取器112在各實施例中的相關描述，此處不再贅述。然後，在步驟S220中伺服器端設備獲得客戶端設備的系統環境信息，根據新生惡意程序的特性和客戶端設備傳輸的系統環境信息生成第一掃描內容指示，該第一掃描內容指示至少包括對指定位置的內容進行掃描並告知掃描到的未知程序文件的特徵數據，以及將該第一掃描內容指示傳輸至客戶端設備。本步驟可以通過前述位於伺服器端的雲端管理設備210中的第一指示器212實現，相關技術實現也請參考第一指示器212在前述各實施例中的描述，此處不再贅述。客戶端設備在通過步驟S220獲得伺服器端設備基於其上傳的系統環境信息判斷的第一掃描內容指示之後，在步驟S230中對第一掃描內容指示中的指定位置進行掃描，並至少將掃描得到的未知程序文件的特徵數據再傳輸至伺服器端設備，以便伺服器端設備據此進行進一步的判斷。本步驟可以通過位於客戶端的掃描設備110中的第一掃描器114予以實現，相關技術實現也請參考第一掃描器114在前述各實施例中的描述，此處不再贅述。伺服器端設備在通過步驟S230獲得客戶端設備傳輸的未知程序文件的特徵數據之後，在步驟S240中根據未知程序文件的特徵數據在已知的惡意程序查殺資料庫中進行匹配，判斷該未知程序文件是否為惡意程序。如果匹配成功，判斷出該未知程序文件是惡意程序，則還可以進一步查找是否有對應的修復邏輯，如果有，則可以將判斷結果和修復邏輯一併傳輸至客戶端；如果沒有找到對應的修復邏輯，則可以只將判斷結果傳輸至客戶端設備。本步驟可以通過前述位於伺服器端的雲端管理設備210中的第一匹配器214實現，相關技術實現也請參考第一匹配器214在前述各實施例中的描述，此處不再贅述。如果伺服器端設備根據已知的惡意程序查殺資料庫無法匹配到已知記錄，即無法判斷該未知程序文件是否是惡意程序，則在步驟S250中生成第二掃描內容指示，第二掃描內容指示包括對未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性進行掃描，然後將第二掃描內容指示傳輸至客戶端設備。可以看出，伺服器端設備之所以還要向客戶端設備發送第二掃描內容指示，是為了獲得更多的未知程序文件相關的信息，以便做更進一步的判斷。本步驟可以通過前述位於伺服器端的雲端管理設備210中的第二指示器216實現，相關技術實現也請參考第一指示器212在前述各實施例中的描述，此處不再贅述。客戶端設備在通過步驟S250獲得第二掃描內容指示後，在步驟S260中根據第二掃描內容指示進行掃描，從而獲知未知程序文件的指定屬性和/或未知程序文件的上下文環境的指定屬性。例如，未知程序文件的指定屬性包括但不限於下述信息中的一種或多種未知程序文件的特徵數據、文件大小、安全級別、籤名信息以及版本信息等。再例如，未知程序文件的上下文環境的屬性包括但不限於下述信息中的一種或多種未知程序文件所在目錄的信息、註冊表中的啟動位置的信息、與該程序文件同目錄或指定目錄下的其他文件的屬性信息、以及指定進程的運行狀態等。在步驟S260之後，在本發明的一個實施例中，首先客戶端設備將按照第二掃描內容指示進行掃描後的掃描結果傳輸至伺服器端設備，該步驟可以通過前述各實施例中的第二掃描器116執行，相關技術特徵可以參看該部件的描述，此處不再贅述；進而伺服器端設備獲得客戶端設備按照第二掃描內容指示掃描獲得的掃描結果之後，根據這個掃描結果在已經的惡意程序查殺資料庫中進一步分析比對，再次判斷未知程序文件是否為惡意程序，然後將判斷結果(如惡意、安全、未知、可疑)、和/或、與該掃描結果匹配的修復邏輯傳輸至客戶端設備。伺服器端執行該步驟可以通過前述各實施例中的雲端管理設備210中的第二指示器216予以執行，相關技術特徵可以參看該部件的描述，此處不再贅述。應當注意的是，不是所有判斷出是惡意程序的情況下都能找到對應的修復邏輯，所以在找到的情況下，判斷結果和修復邏輯可以一起傳輸至客戶端設備；在沒找到修復邏輯的情況下，可以只將判斷結果傳輸至客戶端供其或用戶參考；還有可能只傳輸修復邏輯，因為客戶端收到修復邏輯即可理解為未知程序文件就是惡意程序，否則伺服器端設備不會向其反饋針對該未知程序文件的修復邏輯。在客戶端設備獲得伺服器端設備反饋的未知程序文件是否為惡意程序的判斷結果之後，便可以根據該判斷結果進行相應的處理。比如，通過彈窗等安全提醒手段提醒用戶，或者在用戶確認後根據修復邏輯進行修復處理。客戶端設備執行該步驟可以通過前述各實施例中掃描設備110中的第一處理器執行，相關技術特徵可以參看該部件的描述，此處不再贅述。從這個實施例後續步驟描述可以看出，客戶端設備需要向伺服器端設備至少傳輸兩次掃描結果，以便伺服器端設備根據掃描結果做判斷。為了減少客戶端設備和伺服器端設備之間的通信次數，提高效率，還可以在本發明又一個實施例中採用下述流程處理。在本發明的又一個實施例中，在前述步驟S250中，伺服器端設備除了生成第二掃描內容指示並發送至客戶端設備之外，伺服器端設備還根據已知的惡意程序查殺資料庫獲得與第二掃描內容指示相關的判斷邏輯和/或修復邏輯，然後將判斷邏輯和/或修復邏輯以及第二掃描內容指示一起傳輸至客戶端設備。該步驟可以通過前述各實施例的雲端管理設備210中的第二指示器216予以實現，相關技術實現可以參考該部件的相關描述，此處不再贅述。可以看出，在步驟S250之後，客戶端設備至少已經接收到了第二掃描內容指示和與第二掃描內容指示相關的判斷邏輯，還有可能也一併接收到了與第二掃描內容指示相關修復邏輯，因此客戶端設備在通過步驟S260按照第二掃描內容指示進行掃描獲得掃描結果之後，客戶端設備就可以根據伺服器端設備傳輸的與第二掃描內容指示相關的判斷邏輯以及掃描結果，判斷該未知程序文件是否為惡意程序，如果是，進一步檢測伺服器端設備是否還同時傳輸了相關修復邏輯，如果有則繼續根據修復邏輯對未知程序文件進行修復處理，比如刪除指定的註冊表鍵和/或鍵值、修改註冊表鍵和/或鍵值為指定內容、刪除指定系統服務項，以及修復或刪除指定程序文件等。該步驟可以通過前面各實施例的掃描設備110中的第二處理器予以執行，相關技術實現可以參考前述該步驟的相關描述，此處不再贅述。
在本發明的又一個實施例中，給出了一種基於雲安全的惡意程序查殺方法，請參閱圖3所不流程圖。該流程始於步驟S310，客戶端初始化本地引擎和網絡環境。然後，執行步驟S320，客戶端讀取系統環境信息發送給伺服器端。進而，執行步驟S330，伺服器端根據客戶端的系統環境信息與預置的掃描內容的條件進行判斷，把需要掃描的內容發送給客戶端。此處需要掃描的內容就相當於前述各實施例中的第一掃描內容指示。然後執行步驟S340，客戶端執行本地引擎內置的掃描內容和伺服器端返回的掃描內容，獲得未知程序文件的特徵，比如文件名、MD5或者SHA等。然後執行步驟S350，客戶端設備把未知程序文件的特徵發送給伺服器端。此後，執行步驟S360，伺服器端根據程序文件的特徵和/或程序文件的上下文環境的屬性在資料庫中進行查找。然後進入步驟S370，判斷是否在資料庫中發現匹配記錄，即是否找到對應的查殺方法，包括但不限於掃描/判定動作和修復動作。如果找到匹配記錄，則執行步驟S380 ;如果沒有找到匹配記錄，則執行步驟S400。步驟S380 :伺服器端把對應的查殺方法返回至客戶端。然後執行步驟S390。步驟S390 :客戶端根據伺服器端返回的查殺方法執行相應動作。然後結束。步驟S400:伺服器端判斷是否需要進一步檢查客戶端未知程序文件的其他屬性，比如步驟S350反饋過的未知程序文件特徵以外的其他屬性，和/或未知程序文件的上下文環境的屬性等。如果是，則繼續執行步驟S410，；如果否，則直接結束。步驟S410:客戶端根據伺服器端返回的檢查條件收集需要的程序文件的指定屬性和其上下文環境的屬性，然後發送給伺服器端。然後返回執行步驟S360，直到流程結束。在本發明的又一個實施例中，給出了一個惡意程序查殺的具體實例。例如某影音軟體xxxUpdate. exe會加載同目錄下xxxUpdate. dll,該影音軟體在中國是一款安裝量非常大的軟體，但沒有對自身的程序文件做足夠的保護和防篡改檢查，所以惡意程序m可以利用該影音軟體的這個安全漏洞，把xxxUpdate. dll替換為惡意程序。採用本方案的檢測和查殺步驟如下首先,客戶端把xxxUpdate. dll的文件名和MD5值發送給伺服器端；然後，伺服器端根據文件名和MD5值匹配到有對應的查殺方法，於是進一步向客戶端發出掃描指示(相當於前述各實施例中的第二掃描內容指示)、判斷邏輯和修復邏輯。其中，掃描指示中要求檢查是此文件的安全級別是否為可信，文件的公司籤名名稱是不是「北京XXX有限公司」;判斷邏輯中指明如果此文件的安全級別不為可信、且公司籤名名稱不是「北京XXX有限公司」，則判斷該文件遭惡意程序篡改，是惡意程序；對應的修復邏輯中指出如果掃描結果滿足判斷邏輯，判斷該文件是惡意程序，則對應的修復動作是禁止xxxUpdate. exe隨系統啟動，並把xxxUpdate. dll替換為原版文件。最後，客戶端根據上面的掃描內容對該文件進行掃描，並且根據掃描結果以及伺服器端提供的判斷邏輯判斷該文件是否為惡意程序，如果是，則把惡意程序報告給用戶，當用戶選擇清除時執行伺服器端返回的查殺動作，比如修復處理。在本發明的另一個實施例中，客戶端設備並不向伺服器端設備上報當前的系統環境信息，進而伺服器端也就不需要根據客戶端設備上報的系統環境信息生成第一掃描內容指示，然後讓客戶端上設備根據第一掃描內容指示進行掃描。取而代之的是，客戶端設備直接根據已知的掃描邏輯(比如本地引擎的掃描邏輯或者此前伺服器端告知的掃描邏輯)進行掃描，然後直接將掃描得到的無法判斷是否安全的可疑的未知程序文件上報至伺服器端設備，其餘的處理過程就與前述各實施例中描述的一樣，故不再贅述。通過前述本發明提供的各個實施例可以看出，本發明實施例在僅通過可疑的未知程序文件的文件名、MD5、SHA等無法判斷是否為惡意程序或者無法找到準確的修複方案時，可以再通過要求客戶端設備進一步掃描未知程序文件的籤名、版本等其他屬性和/或未知程序文件的上下文環境的屬性來做進一步判斷，從而能更準確的判斷出客戶端自己無法確定是否安全的未知程序文件。由於採用這種方案，無論是客戶端將進一步掃描的各種屬性結果發送到伺服器端來判斷，還是伺服器端直接將與掃描結果相關的判斷邏輯、修復邏輯一併發送給客戶端，讓其自己判斷，本質都是雲端伺服器及時下發個性化的掃描內容，並根據程序文件的屬性及其所在上下文環境的屬性從伺服器端動態獲取查殺方法，避免了通過升級本地特徵庫和引擎程序才能檢測和清除新生惡意程序，從而加快了對新生惡意程序的打擊速度，有效地遏制了其快速蔓延。在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基於在此的示教一起使用。根據上面的描述，構造這類系統所要求的結構是顯而易見的。此外，本發明也不針對任何特定程式語言。應當明白，可以利用各種程式語言實現在此描述的本發明的內容，並且上面對特定語言所做的描述是為了披露本發明的最佳實施方式。在此處所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，並未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。類似地，應當理解，為了精簡本公開並幫助理解各個發明方面中的一個或多個，在上面對本發明的示例性實施例的描述中，本發明的各個特徵有時被一起分組到單個實施例、圖、或者對其的描述中。然而，並不應將該公開的方法解釋成反映如下意圖即所要求保護的本發明要求比在每個權利要求中所明確記載的特徵更多的特徵。更確切地說，如下面的權利要求書所反映的那樣，發明方面在於少於前面公開的單個實施例的所有特徵。因此，遵循具體實施方式
的權利要求書由此明確地併入該具體實施方式
，其中每個權利要求本身都作為本發明的單獨實施例。本領域那些技術人員可以理解，可以對實施例中的設備中的模塊進行自適應性地改變並且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特徵和/或過程或者單元中的至少一些是相互排斥之外，可以採用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特徵以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特徵可以由提供相同、等同或相似目的的替代特徵來代替。此外，本領域的技術人員能夠理解，儘管在此所述的一些實施例包括其它實施例中所包括的某些特徵而不是其它特徵，但是不同實施例的特徵的組合意味著處於本發明的範圍之內並且形成不同的實施例。例如，在下面的權利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。本發明的各個部件實施例可以以硬體實現，或者以在一個或者多個處理器上運行的軟體模塊實現，或者以它們的組合實現。本領域的技術人員應當理解，可以在實踐中使用微處理器或者數位訊號處理器(DSP)來實現根據本發明實施例的掃描設備或系統或雲端管理設備中的一些或者全部部件的一些或者全部功能。本發明還可以實現為用於執行這裡所描述的方法的一部分或者全部的設備或者裝置程序(例如，電腦程式和電腦程式產品)。這樣的實現本發明的程序可以存儲在計算機可讀介質上，或者可以具有一個或者多個信號的形式。這樣的信號可以從網際網路網站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，並且本領域技術人員在不脫離所附權利要求的範圍的情況下可設計出替換實施例。在權利要求中，不應將位於括號之間的任何參考符號構造成對權利要求的限制。單詞「包含」不排除存在未列在權利要求中的元件或步驟。位於元件之前的單詞「一」或「一個」不排除存在多個這樣的元件。本發明可以藉助於包括有若干不同元件的硬體以及藉助於適當編程的計算機來實現。在列舉了若干裝置的單元權利要求中，這些裝置中的若干個可以是通過同一個硬體項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
權利要求
1.一種掃描設備，用於查殺惡意程序，該掃描設備包括 第一傳輸接口，被配置為向伺服器端設備傳輸信息，以及接收所述伺服器端設備傳輸的信息； 第一掃描器，被配置為根據已知掃描邏輯對所述客戶端設備進行掃描，並將掃描得到的未知程序文件的特徵數據通過所述第一傳輸接口傳輸至所述伺服器端設備；以及 第二掃描器，被配置為通過所述傳輸接口獲得所述伺服器端設備傳輸的第二掃描內容指示，所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環境的指定屬性進行掃描，以及根據所述第二掃描內容指示進行掃描。
2.根據權利要求1所述的掃描設備， 所述第二掃描器還被配置為將按照所述第二掃描內容指示進行掃描後的掃描結果，通過所述第一傳輸接口傳輸至所述伺服器端設備；所述掃描設備還包括第一處理器，被配置為通過所述第一傳輸接口獲得所述伺服器端設備基於所述第二掃描器提供的掃描結果確定的所述未知程序文件是否為惡意程序的判斷結果，並根據所述判斷結果進行相應的處理。
或者， 所述掃描設備還包括第二處理器，被配置為通過所述第一傳輸接口獲得所述伺服器端設備告知的與所述第二掃描內容指示相關的判斷邏輯，並根據所述第二掃描器提供的掃描結果和所述判斷邏輯判斷所述未知程序文件是否為惡意程序，以及進行相應的處理。
3.根據權利要求2所述的掃描設備， 所述第一處理器還被配置為獲得所述伺服器端設備發送的與所述第二掃描器提供的掃描結果相關的修復邏輯，並根據所述修復邏輯進行相應的修復處理； 所述第二處理器還被配置為獲得所述伺服器端設備發送的與所述判斷邏輯相關的修復邏輯，並在所述第二掃描器提供的掃描結果滿足所述修復邏輯時，根據所述修復邏輯進行相應的修復處理。
4.根據權利要求1至3中任一項所述的掃描設備 所述程序文件的特徵數據包括下述信息中的一種或多種對所述未知程序文件的全部或部分關鍵內容採用特定算法獲得的數據、文件名； 所述未知程序文件的指定屬性包括下述信息中的一種或多種特徵數據、文件大小、安全級別、籤名信息以及版本信息。
5.根據權利要求1至4中任一項所述的掃描設備，所述未知程序文件的上下文環境的屬性包括下述信息中的一種或多種 所述未知程序文件所在目錄的信息、註冊表中的啟動位置的信息、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息、指定進程的運行狀態。
6.一種雲端管理設備，用於查殺惡意程序，該雲端管理設備包括 第二傳輸接口，被配置為向客戶端設備傳輸信息，以及接收所述客戶端設備傳輸的信息； 第一匹配器，被配置為通過所述第二傳輸接口獲得所述客戶端設備傳輸的未知程序文件的特徵數據，並據此在已知的惡意程序特徵數據記錄中進行匹配；以及 第二指示器，被配置為當所述第一匹配器未能匹配到已知記錄時生成第二掃描內容指示，所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環境的指定屬性進行掃描，並通過所述第二傳輸接口傳輸至所述客戶端設備。
7.根據權利要求6所述的雲端管理設備，還包括 所述第二指示器還被配置為通過所述第二傳輸接口獲得所述客戶端設備按照所述第二掃描內容指示掃描後得到的掃描結果，並據此判斷所述未知程序文件是否為惡意程序，並將判斷結果通過所述第二傳輸接口傳輸至所述客戶端設備； 或者， 所述第二指示器還被配置為將與所述第二掃描內容指示相關的判斷邏輯一起通過所述第二傳輸接口傳輸至所述客戶端設備，所述判斷邏輯是用以判斷所述未知程序文件是否為惡意程序的邏輯。
8.根據權利要求6或7所述的雲端管理設備，所述第一掃描內容指示是附條件的指示，所述條件包括下述內容中的一種或多種 指定文件是否存在、指定目錄是否存在、程序文件的屬性是否滿足指定條件、指定註冊表鍵是否存在、指定註冊表鍵值是否存在、註冊表鍵的內容是否滿足指定條件、註冊表鍵值的內容是否滿足指定條件、指定進程是否存在、以及指定服務是否存在。
9.根據權利要求6至8中任一項所述的雲端管理設備，所述修復邏輯包括下述邏輯中的一種或多種 刪除指定的註冊表鍵和/或鍵值、修改註冊表鍵和/或鍵值為指定內容、刪除指定系統服務項，以及修復或刪除指定程序文件。
10.根據權利要求6至9中任一項所述的雲端管理設備，所述未知程序文件的上下文環境的屬性包括下述信息中的一種或多種 所述未知程序文件所在目錄的信息、安全級別信息、註冊表中的啟動位置的信息、與所述程序文件同目錄或指定目錄下的其他文件的屬性信息、以及指定進程的運行狀態。
11.一種基於雲安全的惡意程序掃描系統，包括如權利要求1至5中任一項所述的用於惡意程序查殺的掃描設備，以及如權利要求6至10中任一項所述的用於惡意程序查殺的雲端管理設備。
12.—種掃描方法,用於查殺惡意程序,該掃描方法包括 根據已知掃描邏輯對所述客戶端設備進行掃描，並將掃描得到的未知程序文件的特徵數據傳輸至所述伺服器端設備； 獲得所述伺服器端設備傳輸的第二掃描內容指示，所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環境的指定屬性進行掃描；以及 根據所述第二掃描內容指示對所述客戶端設備進行掃描。
13.根據權利要求12所述的掃描方法，還包括 將按照所述第二掃描內容指示進行掃描後的掃描結果傳輸至伺服器端設備；獲得所述伺服器端設備基於該掃描結果確定的所述未知程序文件是否為惡意程序的判斷結果，並根據所述判斷結果進行相應的處理； 或者， 獲得所述伺服器端設備告知的與所述第二掃描內容指示相關的判斷邏輯，並根據按照第二掃描內容指示進行掃描後的掃描結果和所述判斷邏輯確定所述未知程序文件是否為惡意程序，以及進行相應的處理。
14.一種雲端管理方法，用於查殺惡意程序，該雲端管理方法包括 獲得客戶端設備傳輸的未知程序文件的特徵數據，並據此在已知的惡意程序特徵數據記錄中進行匹配； 當根據所述未知程序文件的特徵數據未能匹配到已知記錄時，生成第二掃描內容指示，所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環境的指定屬性進行掃描； 將所述第二掃描內容指示傳輸至所述客戶端設備。
15.根據權利要求14所述的雲端管理方法，還包括 獲得所述客戶端設備按照所述第二掃描內容指示掃描後獲得的掃描結果，並據此判斷所述未知程序文件是否為惡意程序，將判斷結果和/或與所述掃描結果匹配的修復邏輯傳輸至所述客戶端設備； 或者， 將與所述第二掃描內容指示相關的判斷邏輯和/或修復邏輯，與所述第二掃描內容指示一起傳輸至所述客戶端設備。
16.—種基於雲安全的惡意程序掃描方法,包括 客戶端設備根據已知掃描邏輯進行掃描，並將掃描得到的未知程序文件的特徵數據傳輸至伺服器端設備； 所述伺服器端設備根據所述據未知程序文件的特徵數據在已知的惡意程序特徵數據記錄中進行匹配； 當根據所述未知程序文件的特徵數據未能匹配到已知記錄時，生成第二掃描內容指示，所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環境的指定屬性進行掃描，以及將所述第二掃描內容指示傳輸至所述客戶端設備; 所述客戶端設備根據所述第二掃描內容指示對所述客戶端設備進行掃描。
全文摘要
本發明公開了一種掃描方法、設備和系統以及雲端管理方法和設備，用於查殺惡意程序。其中，一種掃描方法包括根據已知掃描邏輯對所述客戶端設備進行掃描，並將掃描得到的未知程序文件的特徵數據傳輸至所述伺服器端設備；獲得所述伺服器端設備傳輸的第二掃描內容指示，所述第二掃描內容指示包括對所述未知程序文件的指定屬性和/或所述未知程序文件的上下文環境的指定屬性進行掃描；以及根據所述第二掃描內容指示對所述客戶端設備進行掃描。
文檔編號G06F21/56GK103034808SQ20121050618
公開日2013年4月10日 申請日期2012年11月30日 優先權日2012年11月30日
發明者江愛軍, 劉智鋒, 孔慶龍, 張波, 姚彤 申請人:北京奇虎科技有限公司, 奇智軟體(北京)有限公司