木马扫描方法及系统的制作方法

专利名称：木马扫描方法及系统的制作方法
木马扫描方法及系统技术领域：
本发明涉及数据处理技术，特别是涉及一种木马扫描方法及系统。背景技术：
为了维护系统安全，常常通过运行杀毒软件来实现文件的安全性扫描，识别出影响安全的可疑文件。用户在完成了一次安全性扫描之后还会不定期或者定期地再次进行安全性扫描。
用户所进行的多次安全性扫描中判定结果为正常的文件仍然会与其他发生了更改的文件一起进入下一次安全性扫描，例如，杀毒软件在计算机中运行通过文件的特征识别判定出正常文件和可疑文件，并且对可疑文件进行了处理；在杀毒软件的下一次运行中， 还会对这些正常文件以及计算机中进行了添加、修改等操作的文件进行扫描。每一次安全性扫描都一个复杂的过程，耗费了大量的系统资源和时间资源，且对于正常文件而言若没有发生被修改的状况或者未发生任何变化，是不会由上一次扫描结果判定为正常的文件变为可疑文件的。
扫描的文件中大多数文件都是正常文件，可疑文件仅为所有扫描文件中的少数数据文件，在多次安全性扫描过程中不断地重复扫描正常文件，而实际需要进行安全性扫描的文件其实仅限于发生了修改或者变化的文件，因此为提高扫描速度，在安全性扫描的过程中只对发生了修改或者变化的文件进行扫描，传统的实现方式是在NTFS文件系统中通过USN(Update Service Number Journal or Change Journal,简称更新序列号)日志记录 NTFS分区中文件的所有更改，在进行文件的安全性扫描之前可通过查询USN日志获知哪些文件发生了变化，进而扫描这些发生了变化的文件。
但是，这一传统的实现方式不能使用在除了 NTFS文件系统之外的其它文件系统中，缺乏灵活性。
发明内容
基于此，有必要提供一种能灵活地降低资源耗费的木马扫描方法。
此外，还有必要提供一种能灵活地降低资源耗费的木马扫描系统。
一种木马扫描方法，包括如下步骤
获取待扫描文件；
从所述获取的待扫描文件中逐一提取待扫描文件的属性信息；
将所述提取的属性信息与存储的属性信息进行比对，判断所述提取的属性信息与存储的属性信息是否相同，若否，则扫描与所述提取属性信息对应的待扫描文件；
所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。
优选地，所述将所述提取的属性信息与存储的属性信息进行比对的步骤之后还包括
当判断到所述提取的属性信息与存储的属性信息相同时，从所述获取的待扫描文 件中移除与所述提取的属性信息对应的待扫描文件。
优选地，所述将所述提取的属性信息与存储的信息进行比对的步骤之前还包括
获取木马扫描结果；
从所述木马扫描结果中提取标识为正常状态的文件；
逐一获取所述标识为正常状态的文件所对应的属性信息，并存储。
优选地，所述存储的步骤为
缓存每一个标识为正常状态的文件所对应的属性信息。
优选地，所述属性信息为属性值，所述属性值唯一标识对应的属性信息；所述将所 述提取的属性信息与存储的属性信息进行比对的步骤之前还包括
对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值；
计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。
优选地，所述对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值 的步骤之后还包括
从所述提取的属性信息中提取待扫描文件的文件路径名，并对文件路径名进行计 算得到所述待扫描文件对应的信息摘要值；
所述计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值的步 骤之后还包括
从所述获取的文件的属性信息中提取文件路径名，并对所述文件路径名进行计算 得到所述获取的文件所对应的信息摘要值；
以所述获取的文件所对应的信息摘要值为索引建立所述信息摘要值与所述获取 的文件所对应的属性值之间的对应关系，并存储所述对应关系。
优选地，所述将所述待扫描文件的属性信息与存储的属性信息进行比对的步骤 为
对所述存储的信息摘要值进行查询，所述查询得到的信息摘要值与所述待扫描文 件对应的信息摘要值相同；
从存储的对应关系中获取与查询到的信息摘要值存在对应关系的存储的属性 值；
判断待扫描文件对应的属性值与存储的属性值是否相同，若否，则进入所述扫描 与所述提取的属性信息对应的待扫描文件的步骤，若是，则进入所述从所述获取的待扫描 文件中移除所述待扫描文件的步骤。
—种木马扫描系统,包括
文件枚举模块，用于获取待扫描文件；
信息获取模块，用于从所述获取的待扫描文件中逐一提取待扫描文件的属性信
比对模块，用于将所述提取的属性信息与存储的属性信息进行比对，判断所述提 取的属性信息与存储的属性信息是否相同，若否，则通知扫描模块；
所述扫描模块用于扫描与所述属性信息对应的待扫描文件；
所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。
优选地，还包括
文件移除模块，用于当判断到所述提取的属性信息与存储的属性信息相同时，从 所述获取的待扫描文件中移除与所述提取的属性信息对应的待扫描文件。
优选地，还包括
结果获取模块，用于获取木马扫描结果；
提取模块，用于从木马扫描结果中提取标识为正常状态的文件；
所述信息获取模块还用于逐一获取所述标识为正常状态的文件所对应的属性信 息，并存储。
优选地，所述信息获取模块还用于缓存每一个标识为正常状态的文件所对应的属性信息。
优选地，所述属性信息为属性值，所述属性值唯一标识对应的属性信息，所述系统 还包括
属性值计算模块，用于对所述提取的属性信息进行计算得到所述待扫描文件对应 的属性值，并计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。
优选地，还包括
摘要值计算模块，用于从所述提取的属性信息中提取待扫描文件的文件路径名， 并对所述待扫描文件的文件路径名进行计算得到所述待扫描文件对应的信息摘要值；
所述摘要值计算模块还用于从所述获取的文件的属性信息中提取文件路径名，并 对所述文件路径名进行计算得到所述获取的文件所对应的信息摘要值；
关系建立模块，用于以所述获取的文件所对应的信息摘要值为索引建立所述信息 摘要值与所述获取的文件所对应的属性值之间的对应关系，并存储所述对应关系。
优选地，所述比对模块包括
查询单元，用于对所述存储的信息摘要值进行查询，所述查询得到的信息摘要值 与所述待扫描文件对应的信息摘要值相同；
属性值比对单元，用于从存储的对应关系中获取与查询到的信息摘要值存在对应 关系的存储的属性值；
判断单元，用于判断待扫描文件对应的属性值与存储的属性值是否相同，若否，则 通知所述扫描模块，若是，则通知所述文件移除模块。
上述木马扫描方法及系统中，当待扫描文件的属性信息与预先存储的属性信息不 相同时，对这一待扫描文件进行安全性扫描，以判定这一待扫描文件是否标识为正常状态， 未对属性信息与预先存储的属性信息相同的待扫描文件进行安全性扫描，由于属性信息与 预先存储的属性信息相同的待扫描文件未被修改的概率非常大，因此，进行安全性扫描的 待扫描文件大大减少，灵活地降低了资源耗费，并且也保证了文件的安全性，提升文件扫描 速度。
上述木马扫描方法及系统中，属性信息为根据属性信息计算得到的属性值，与包 含了多种信息的属性信息相比较，属性值只是一串字符，在存储的过程中可避免存储数据 过大的问题发生，降低占用的资源。
上述木马扫描方法及系统中，对于木马扫描结果中标识为正常状态的文件，根据属性信息中的文件路径名进行计算得到相应的信息摘要值，并以信息摘要值为索引建立信息摘要值与属性值之间的对应关系，可有效地提高对存储的属性值的查询、比对速度，进而提升了文件扫描速度。

图1为一个实施例中木马扫描方法的流程图2为另一个实施例中木马扫描方法的流程图3为另一个实施例中木马扫描方法的流程图4为一个实施例中木马扫描系统的结构示意图5为另一个实施例中木马扫描系统的结构示意图
图6为另一个实施例中木马扫描系统的结构示意图
图7为另一个实施例中木马扫描系统的结构示意图
图 8为图7中比对模块的结构示意图。
具体实施方式
图1示出了一个实施例中文件扫描的方法流程，包括如下步骤
步骤S110，获取待扫描文件。
本实施例中，在开启病毒查杀软件或者木马查杀软件的扫描引擎后，根据用户在查杀界面选择文件的扫描范围的操作获取需要进行扫描的文件，这些文件作为待扫描文件。在获取待扫描文件的过程中，为使文件扫描在运行的过程中易于维护，按照用户选择文件的扫描范围的操作将多个待扫描文件按照设定的队列长度进行枚举形成特定长度的枚举队列，以等待扫描。
步骤S130，从获取的待扫描文件中逐一提取待扫描文件的属性信息。
本实施例中，在获取到的待扫描文件中提取每一待扫描文件的属性信息。具体地， 属性信息包括了文件路径名、文件生成时间、文件修改时间、文件大小以及文件标识号等信息。通过属性信息可以看出待扫描文件是否被实施了修改操作。
在实际的应用过程中，属性信息中包含的信息可能是多种多样的，例如，为减小数据量，属性信息可以仅仅包括文件生成时间、文件修改时间以及文件大小，通过这一属性信息也可以获知对应的待扫描文件是否被实施了修改操作，但是，这一属性信息被木马程序利用的概率可能较高，因为木马程序在修改了文件后，将文件生成时间和文件修改时间修改为原先的文件生成时间和文件修改时间，造成文件没有被修改的假象；而包含了文件标识号的属性信息由于是操作系统进行分配的，实施修改操作较为困难，因此，在优选的实施例中，属性信息包括了文件路径名、文件生成时间、文件修改时间、文件大小以及文件标识号等，包含了文件标识号的属性信息被木马程序修改的可能性较低，而文件路径名有利于优化后续的处理过程。
步骤S150，将提取的属性信息与存储的属性信息进行比对，判断提取的属性信息与存储的属性信息是否相同，若否，则进入步骤S170，若是，则进入步骤S190。
本实施例中，存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。将提取到的待扫描文件的属性信息与预先存储的属性信息进行逐一比对，以判断待扫描文件的属性信息是否与存储的某一属性信息相同；当判断到提取的待扫 描文件的属性信息与存储的某一属性信息相同时，说明待扫描文件自上一次扫描起未进行 过任何修改，因此可以确定此时这一待扫描文件是安全的，不需要再次进行扫描；当判断到 提取的待扫描文件的属性信息与存储的所有属性信息均不相同时，说明该待扫描文件发生 了变化，可能被木马程序进行了修改，因此，需要对该待扫描文件进行扫描，以判断该待扫 描文件的安全性。
此外，若上述文件扫描过程为首次扫描，或者获取的待扫描文件是首次进行扫描， 则并不存在与之对应的预先存储的属性信息，此时，应当对该待扫描文件直接进行木马扫 描，并存储得到的木马扫描结果中标识为正常状态的文件所对应的属性信息。
步骤S170，扫描与提取的属性信息对应的待扫描文件。
本实施例中，触发扫描引擎对属性信息发生了变化的待扫描文件进行扫描，根据 得到的扫描结果判定该文件中是否存在木马程序，若根据扫描结果获知该文件是标识为正 常状态，是安全的文件，则将对应的属性信息存储起来，以用于下一次扫描时对待扫描文件 的比对。
步骤S190，从获取的待扫描文件中移除与提取的属性信息对应的待扫描文件。
本实施例中，获取到的待扫描文件是用户选择确定的，但是，在实际的文件扫描过 程中，对于未发生变化的待扫描文件由于上一次扫描已经确定了这一待扫描文件是处于正 常状态的，因此不需要再对其进行木马扫描，即，当判断到待扫描文件未发生任何变化，不 需要再次进行扫描时，从获取的待扫描文件中移除该待扫描文件，以减少待扫描文件的数 量，进而减少不必要的资源耗费。
在另一个实施例中，如图2所示，上述将提取的属性信息与存储的属性信息进行 比对的步骤之前还包括如下步骤
步骤S210，获取木马扫描结果。
本实施例中，在完成木马扫描后获取木马扫描结果，该木马扫描结果中记录了经 过木马扫描的文件所对应的文件名以及状态标识等信息，即通过木马扫描结果可以知道哪 些文件标识为正常状态，哪些文件标识为危险状态。
步骤S230，从木马扫描结果中提取标识为正常状态的文件。
步骤S250，逐一获取标识为正常状态的文件所对应的属性信息，并存储。
本实施例中，在获取到每一个标识为正常状态的文件所对应的属性信息后，将这 些属性信息存储起来，以用于文件扫描过程中的比对。在优选的实施例中，应用缓存机制为 文件扫描提供较高的性能，缓存每一个标识为正常状态的文件所对应的属性信息，实现较 为迅速的数据查询速度以及占用资源较少的文件扫描性能。
在另一个实施例中，在上述木马扫描方法中，属性信息为属性值，该属性值唯一标 识对应的属性信息，上述将提取的属性信息与存储的属性信息进行比对的步骤之前还包 括对提取的属性信息进行计算得到待扫描文件对应的属性值，计算获取的文件的属性信 息得到获取的文件所对应的属性值。
本实施例中，存储属性信息可能会占用较多的存储空间，为避免存储的信息量过 大，减少占用的空间，对属性信息进行加密计算得到属性值。通过判断属性值是否变化来判 断对应的属性信息是否发生了变化，该属性值可以是MD5值、CRC值(Cyclical RedundancyCheck,循环冗余校验)以及HASH值(哈希值)中的任意一种。
在另一个实施例中，如图3所示，上述木马扫描方法包括如下步骤
步骤S301，获取待扫描文件。
步骤S302，从获取的待扫描文件中逐一获取待扫描文件的属性信息。
步骤S303，对提取的属性信息进行计算得到待扫描文件对应的属性值。
步骤S304，从提取的属性信息中提取待扫描文件的文件路径名，并对文件路径名 进行计算得到待扫描文件对应的信息摘要值。
本实施例中，为加快比对速度，可根据待扫描文件的文件路径名对存储的属性信 息进行查找。由于属性信息为属性值，对应地，也应当对文件路径名进行加密计算得到对应 的信息摘要值，属性值与信息摘要值是相对应的，例如，若属性值是HASH值，则信息摘要值 也为HASH值的形式。
例如，若某一待扫描文件的文件路径名为C:\Windows\System32\kernel32. dll, 在对C:\Windows\System32\kernel32. dll进行加密计算之后得到一串字符，这一串字符 即为对应的信息摘要值。
步骤S305，对存储的信息摘要值进行查询，查询得到的信息摘要值与待扫描文件 对应的信息摘要值相同。
本实施例中，在存储的多个信息摘要值中进行查询，以从存储的多个信息摘要值 中得到与待扫描文件的信息摘要值相同的某一个信息摘要值。在查询过程中，为从存储的 大量数据中获取到相关的属性值，以信息摘要值为索引进行查找。信息摘要值是对文件路 径名进行加密计算得到的，是文件路径名的唯一标识，由于一个文件路径名下可能存在着 多个文件，即某一信息摘要值可能与多个文件的属性值是相对应的。
步骤S306，从存储的对应关系中获取与查询得到的信息摘要值存在对应关系的存 储的属性值。
本实施例中，由于预先存储了文件的信息摘要值以及对应的属性值，并建立了信 息摘要值与属性值之间的对应关系，因此，由信息摘要值可以查找到该文件的属性值。
从存储的信息摘要值中查询到与待扫描文件对应的信息摘要值相同的某一信息 摘要值后，根据存储的对应关系可以得到存储的一个或者多个属性值。
步骤S307，判断待扫描文件对应的属性值与存储的属性值是否相同，若否，则进入 步骤S308，若是，则进入步骤S309。
本实施例中，判断待扫描文件对应的属性值是否发生变化，当判断到待扫描文件 对应的属性值与存储的属性值相同时，说明待扫描文件对应的属性值没有发生变化，进而 可以获知属性信息和待扫描文件均未发生任何变化，因此可以确认这一待扫描文件是标识 为正常状态的安全文件，不需要再次对这一待扫描文件进行扫描，当判断到待扫描文件对 应的属性值与存储的属性值不相同时，说明待扫描文件对应的属性值发生了变化，存在着 待扫描文件被木马程序修改了的可能性，因此应当对该待扫描文件进行扫描。
步骤S308，扫描与提取的属性值对应的待扫描文件。
步骤S309，从获取的待扫描文件中移除待扫描文件。
步骤S310，获取木马扫描结果。
步骤S311，从木马扫描结果中提取标识为正常状态的文件。
本实施例中，在完成扫描后，从扫描得到的木马扫描结果中提取标识为正常状态 的文件，该标识为正常状态的文件是安全的文件。
步骤S312，逐一获取标识为正常状态的文件所对应的属性信息。
步骤S313，计算获取的文件的属性信息得到获取的文件所对应的属性值。
步骤S314，从获取的文件的属性信息中提取文件路径名，并对文件路径名进行计 算得到获取的文件所对应的信息摘要值。
本实施例中，从获取的文件的属性信息中提取到该文件的文件路径名，进而对该 文件的文件路径名进行加密计算得到信息摘要值。
步骤S315，以获取的文件所对应的信息摘要值为索引建立信息摘要值与获取的文 件所对应的属性值之间的对应关系，并存储该对应关系。
本实施例中，为加快处理过程中的查询速度，属性值是以信息摘要值为索引存储 的。由于一个文件路径名下可能存在着多个文件，因此在信息摘要值与获取的文件所对应 的属性值之间的对应关系中，一个信息摘要值可能对应了多个属性值。
图4不出了一个实施例中的木马扫描系统,包括文件枚举模块102、信息获取模块 104、比对模块106、扫描模块108以及文件移除模块110。
文件枚举模块102,用于获取待扫描文件。
本实施例中，在开启病毒查杀软件或者木马查杀软件的扫描引擎后，文件枚举模 块102根据用户在查杀界面选择文件的扫描范围的操作获取需要进行扫描的文件，这些文 件作为待扫描文件。文件枚举模块102在获取待扫描文件的过程中，为使文件扫描在运行 的过程中易于维护，按照用户选择文件的扫描范围的操作将多个待扫描文件按照设定的队 列长度进行枚举形成特定长度的枚举队列，以等待扫描。
信息获取模块104，用于从获取的待扫描文件中逐一提取待扫描文件的属性信息。
本实施例中，信息获取模块104在获取到的待扫描文件中提取每一待扫描文件的 属性信息，每一待扫描文件所对应的属性信息均各不相同。具体地，属性信息包括了文件路 径名、文件生成时间、文件修改时间、文件大小以及文件标识号等信息。通过属性信息可以 看出待扫描文件是否被实施了修改操作。
在实际的应用过程中，属性信息中包含的信息可能是多种多样的，例如，为减小数 据量，属性信息可以仅仅包括文件生成时间、文件修改时间以及文件大小，通过这一属性信 息也可以获知对应的待扫描文件是否被实施了修改操作，但是，这一属性信息被木马程序 利用的概率可能较高，因为木马程序在修改了文件后，将文件生成时间和文件修改时间修 改为原先的文件生成时间和文件修改时间，造成文件没有被修改的假象；而包含了文件标 识号的属性信息由于是操作系统进行分配的，实施修改操作较为困难，因此，在优选的实施 例中，属性信息包括了文件路径名、文件生成时间、文件修改时间、文件大小以及文件标识 号，包含了文件标识号的属性信息被木马程序修改的可能性较低，而文件路径名有利于优 化后续的处理过程。
比对模块106，用于将提取的属性信息与存储的属性信息进行比对，判断提取的属 性信息与存储的属性信息是否相同，若否，则通知扫描模块108，若是，则通知文件移除模块 110。
本实施例中，由于预先存储了多个属性信息，该属性信息所对应的文件是所有经过了扫描确认标识为正常状态的文件，比对模块106将提取到的待扫描文件的属性信息与 预先存储的属性信息进行逐一比对，以判断待扫描文件的属性信息是否与存储的某一属性 信息相同；当比对模块106判断到提取的待扫描文件的属性信息与存储的某一属性信息相 同时，说明待扫描文件自上一次扫描起未进行过任何修改，因此可以确定此时这一待扫描 文件是安全的，不需要再次进行扫描；当比对模块106判断到提取的待扫描文件的属性信 息与存储的所有属性信息均不相同时，说明该待扫描文件发生了变化，可能被木马程序进 行了修改，因此，需要对该待扫描文件进行扫描，以判断该待扫描文件的安全性。
此外，若上述文件扫描过程为首次扫描，或者获取的待扫描文件是首次进行扫描， 则并不存在与之对应的预先存储的属性信息，此时，应当通知扫描模块108对该待扫描文 件直接进行木马扫描，并存储得到的木马扫描结果中标识为正常状态的文件所对应的属性 信息。
扫描模块108，用于扫描与提取的属性信息对应的待扫描文件。
本实施例中，扫描模块108触发扫描引擎对属性信息发生了变化的待扫描文件进 行扫描，根据得到的扫描结果判定该文件中是否存在木马程序，若根据扫描结果获知该文 件标识为正常状态，是安全的文件，则将对应的属性信息存储起来，以用于下一次扫描时对 待扫描文件的比对。
文件移除模块110，用于从获取的待扫描文件中移除待扫描文件。
本实施例中，获取到的待扫描文件是用户选择确定的，但是，在实际的文件扫描过 程中，对于未发生变化的待扫描文件由于上一次扫描已经确定了这一待扫描文件是处于正 常状态的，因此不需要再对其进行木马扫描，即，当判断到待扫描文件未发生任何变化，不 需要再次进行扫描时，文件移除模块110从枚举队列中移除该待扫描文件，以减少待扫描 文件的数量，进而减少不必要的资源耗费。
在另一个实施例中，如图5所示，上述木马扫描系统还包括了结果获取模块112以 及提取模块114。
结果获取模块112，用于获取木马扫描结果。
本实施例中，在完成木马扫描后获取木马扫描结果，该木马扫描结果中记录了经 过木马扫描的文件所对应的文件名以及状态标识等信息，即通过木马扫描结果可以知道哪 些文件标识为正常状态，哪些文件标识为危险状态。
提取模块114，用于从木马扫描结果中提取标识为正常状态的文件。
信息获取模块104还用于逐一获取标识为正常状态的文件所对应的属性信息，并 存储。
本实施例中，在获取到每一个标识为正常状态的文件所对应的属性信息后，信息 获取模块104将这些属性信息存储起来，以用于文件扫描过程中的比对。在优选的实施例 中，应用缓存机制为文件扫描提供较高的性能，信息获取模块104缓存每一个标识为正常 状态的文件所对应的属性信息，实现较为迅速的数据查询速度以及占用资源较少的文件扫 描性能。
在另一个实施例中，属性信息为属性值，该属性值唯一标识对应的属性信息，如图 6所示，上述木马扫描系统还包括了属性值计算模块116。
属性值计算模块116，用于对提取的属性信息进行计算得到待扫描文件对应的属性值，并计算获取的文件的属性信息得到获取的文件所对应的属性值。
本实施例中，存储属性信息可能会占用较多的存储空间，为避免存储的信息量过 大，减少占用的空间，属性值计算模块116对属性信息进行加密计算得到属性值。通过判断 属性值是否变化来判断对应的属性信息是否发生了变化，该属性值可以是MD5值、CRC值以 及HASH值中的任意一种。
在另一个实施例中，如图7所示，上述木马扫描系统中还包括了摘要值计算模块 118以及关系建立模块120。
摘要值计算模块118，用于从提取的属性信息中提取待扫描文件的文件路径名，并 对待扫描文件的文件路径名进行计算得到待扫描文件对应的信息摘要值。
本实施例中，为加快比对速度，摘要值计算模块118可根据待扫描文件的文件路 径名对存储的属性信息进行查找。由于属性信息为属性值，对应地，也应当对文件路径名 进行加密计算得到对应的信息摘要值，属性值与信息摘要值是相对应的，例如，若属性值是 HASH值，则信息摘要值也为HASH值的形式。
摘要值计算模块118还用于从获取的文件的属性信息中提取文件路径名，并对文 件路径名进行计算得到获取的文件所对应的信息摘要值。
本实施例中，摘要值计算模块118从获取的文件的属性信息中提取到该文件的文 件路径名，进而对该文件的文件路径名进行加密计算得到信息摘要值。
关系建立模块120，用于以获取的文件所对应的信息摘要值为索引建立信息摘要 值与获取的文件所对应的属性值之间的对应关系，并存储对应关系。
本实施例中，为加快处理过程中的查询速度，属性值是以信息摘要值为索引存储 的。由于一个文件路径名下可能存在着多个文件，因此在信息摘要值与获取的文件所对应 的属性值之间的对应关系中，一个信息摘要值可能对应了多个属性值。
在一个具体地实施例中，如图8所示，比对模块106包括查询单元1062、属性值查 询单元1064以及判断单元1068。
查询单元1062，用于对存储的信息摘要值进行查询，查询得到的信息摘要值与待 扫描文件对应的信息摘要值相同。
本实施例中，查询单元1062在存储的多个信息摘要值中进行查询，以从存储的多 个信息摘要值中得到与待扫描文件的信息摘要值相同的某一个信息摘要值。在查询过程 中，为从存储的大量数据中获取到相关的属性值，以信息摘要值为索引进行查找。信息摘要 值是对文件路径名进行加密计算得到的，是文件路径名的唯一标识，由于一个文件路径名 下可能存在着多个文件，即某一信息摘要值可能与多个文件的属性值是相对应的。
属性值查询单元1064，用于从存储的对应关系中获取与查询到的信息摘要值存在 对应的关系的存储的属性值。
本实施例中，由于预先存储了文件的信息摘要值以及对应的属性值，并建立了信 息摘要值与属性值之间的对应关系，因此，属性值查询单元1064由信息摘要值可以查找到 该文件的属性值。
从存储的信息摘要值中查询到与待扫描文件对应的信息摘要值相同的某一信息 摘要值后，属性值查询单元1064根据存储的对应关系可以得到存储的一个或者多个属性值。
判断单元1066，用于判断待扫描文件对应的属性值与存储的属性值是否相同，若 否，则通知扫描模块108，若是，则通知文件移除模块110。
本实施例中，判断单元350判断待扫描文件对应的属性值是否发生变化，当判断 到待扫描文件对应的属性值与存储的属性值相同时，说明待扫描文件对应的属性值没有发 生变化，进而可以获知属性信息和待扫描文件均未发生任何变化，因此可以确认这一待扫 描文件是标识为正常状态的安全文件，不需要再次对这一待扫描文件进行扫描，当判断到 待扫描文件对应的属性值与存储的属性值不相同时，说明待扫描文件对应的属性值发生了 变化，存在着待扫描文件被木马程序修改了的可能性，因此应当对该待扫描文件进行扫描。
上述木马扫描方法及系统中，当待扫描文件的属性信息与预先存储的属性信息不 相同时，对这一待扫描文件进行安全性扫描，以判定这一待扫描文件是否标识为正常状态， 未对属性信息与预先存储的属性信息相同的待扫描文件进行安全性扫描，由于属性信息与 预先存储的属性信息相同的待扫描文件未被修改的概率非常大，因此，进行安全性扫描的 待扫描文件大大减少，灵活地降低了资源耗费，并且也保证了文件的安全性，提升文件扫描 速度。
上述木马扫描方法及系统中，属性信息为根据属性信息计算得到的属性值，与包 含了多种信息的属性信息相比较，属性值只是一串字符，在存储的过程中可避免存储数据 过大的问题发生，降低占用的资源。
上述木马扫描方法及系统中，对于木马扫描结果中标识为正常状态的文件，根据 属性信息中的文件路径名进行计算得到相应的信息摘要值，并以信息摘要值为索引建立信 息摘要值与属性值之间的对应关系，可有效地提高对存储的属性值的查询、比对速度，进而 提升了文件扫描速度。
以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并 不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员 来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保 护范围。因此，本发明专利的保护范围应以所附权利要求为准。
权利要求
1.一种木马扫描方法，包括如下步骤获取待扫描文件；从所述获取的待扫描文件中逐一提取待扫描文件的属性信息；将所述提取的属性信息与存储的属性信息进行比对，判断所述提取的属性信息与存储的属性信息是否相同，若否，则扫描与所述提取的属性信息对应的待扫描文件；所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。
2.根据权利要求1所述的木马扫描方法，其特征在于，所述将所述待扫描文件的属性信息与存储的属性信息进行比对的步骤之后还包括当判断到所述提取的属性信息与存储的属性信息相同时，从所述获取的待扫描文件中移除与所述提取的属性信息对应的待扫描文件。
3.根据权利要求1所述的木马扫描方法，其特征在于，所述将所述提取的属性信息与存储的信息进行比对的步骤之前还包括获取木马扫描结果；从所述木马扫描结果中提取标识为正常状态的文件；逐一获取所述标识为正常状态的文件所对应的属性信息，并存储。
4.根据权利要求3所述的木马扫描方法，其特征在于，所述存储的步骤为缓存每一个标识为正常状态的文件所对应的属性信息。
5.根据权利要求3所述的木马扫描方法，其特征在于，所述属性信息为属性值，所述属性值唯一标识对应的属性信息；所述将所述提取的属性信息与存储的属性信息进行比对的步骤之前还包括对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值；计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。
6.根据权利要求5所述的木马扫描方法，其特征在于，所述对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值的步骤之后还包括从所述提取的属性信息中提取待扫描文件的文件路径名，并对文件路径名进行计算得到所述待扫描文件对应的信息摘要值；所述计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值的步骤之后还包括从所述获取的文件的属性信息中提取文件路径名，并对所述文件路径名进行计算得到所述获取的文件所对应的信息摘要值；以所述获取的文件所对应的信息摘要值为索引建立所述信息摘要值与所述获取的文件所对应的属性值之间的对应关系，并存储所述对应关系。
7.根据权利要求6所述的木马扫描方法，其特征在于，所述将所述待扫描文件的属性信息与存储的属性信息进行比对的步骤为对所述存储的信息摘要值进行查询，所述查询得到的信息摘要值与所述待扫描文件对应的信息摘要值相同；从存储的对应关系中获取与查询到的信息摘要值存在对应关系的存储的属性值； 判断待扫描文件对应的属性值与存储的属性值是否相同，若否，则进入所述扫描与所述提取的属性信息对应的待扫描文件的步骤，若是，则进入所述从所述获取的待扫描文件中移除所述待扫描文件的步骤。
8.—种木马扫描系统,其特征在于,包括文件枚举模块，用于获取待扫描文件；信息获取模块，用于从所述获取的待扫描文件中逐一提取待扫描文件的属性信息； 比对模块，用于将所述提取的属性信息与存储的属性信息进行比对，判断所述提取的属性信息与存储的属性信息是否相同，若否，则通知扫描模块；所述扫描模块用于扫描与所述提取属性信息对应的待扫描文件；所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。
9.根据权利要求8所述的木马扫描系统，其特征在于，还包括文件移除模块，用于当判断到所述提取的属性信息与存储的属性信息相同时，从所述获取的待扫描文件中移除与所述提取的属性信息对应的待扫描文件。
10.根据权利要求8所述的木马扫描系统，其特征在于，还包括结果获取模块，用于获取木马扫描结果；提取模块，用于从木马扫描结果中提取标识为正常状态的文件；所述信息获取模块还用于逐一获取所述标识为正常状态的文件所对应的属性信息，并存储。
11.根据权利要求8所述的木马扫描系统，其特征在于，所述信息获取模块还用于缓存每一个标识为正常状态的文件所对应的属性信息。
12.根据权利要求10所述的木马扫描系统，其特征在于，所述属性信息为属性值，所述属性值唯一标识对应的属性信息，所述系统还包括属性值计算模块，用于对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值，并计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。
13.根据权利要求12所述的木马扫描系统，其特征在于，还包括摘要值计算模块，用于从所述提取的属性信息中提取待扫描文件的文件路径名，并对所述待扫描文件的文件路径名进行计算得到所述待扫描文件对应的信息摘要值；所述摘要值计算模块还用于从所述获取的文件的属性信息中提取文件路径名，并对所述文件路径名进行计算得到所述获取的文件所对应的信息摘要值；关系建立模块，用于以所述获取的文件所对应的信息摘要值为索引建立所述信息摘要值与所述获取的文件所对应的属性值之间的对应关系，并存储所述对应关系。
14.根据权利要求13所述的木马扫描系统，其特征在于，所述比对模块包括查询单元，用于对所述存储的信息摘要值进行查询，所述查询得到的信息摘要值与所述待扫描文件对应的信息摘要值相同；属性值比对单元，用于从存储的对应关系中获取与查询到的信息摘要值存在对应关系的存储的属性值；判断单元，用于判断待扫描文件对应的属性值与存储的属性值是否相同，若否，则通知所述扫描模块，若是，则通知所述文件移除模块。
全文摘要
一种木马扫描方法包括如下步骤获取待扫描文件；从获取的待扫描文件中逐一提取待扫描文件的属性信息；将提取的属性信息与存储的属性信息进行比对，判断待扫描文件的属性信息与存储的属性信息是否相同，若否，则扫描与提取的属性信息对应的待扫描文件。上述木马扫描方法及系统中当待扫描文件的属性信息与预先存储的属性信息不相同时，对这一待扫描文件进行安全性扫描，以判定是否标识为正常状态，未对属性信息与预先存储的属性信息相同的待扫描文件进行安全性扫描，属性信息与预先存储的属性信息相同的待扫描文件未被修改的概率非常大，因此，需要进行扫描的文件数量大大减少，灵活地降低了资源耗费，并且保证了文件的安全性，提升文件扫描速度。
文档编号G06F21/56GK103020521SQ201110283980
公开日2013年4月3日 申请日期2011年9月22日 优先权日2011年9月22日
发明者彭宁, 宋爱元 申请人:腾讯科技(深圳)有限公司