处理计算机病毒的方法及装置制造方法

处理计算机病毒的方法及装置制造方法
【专利摘要】本申请实施例公开了一种处理计算机病毒的方法及装置，预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描时所占用的系统资源不同，所述方法包括：获取待扫描文件；按照所述若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对所述待扫描文件进行扫描。应用本申请实施例对文件进行病毒扫描，由于按照占用系统资源从小到大的顺序调用相应的病毒扫描方式，因此可以先通过占用系统资源较少的病毒扫描方式，例如内存扫描方式对文件进行扫描，从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量，由此提高系统的病毒扫描速度，节约系统资源。
【专利说明】处理计算机病毒的方法及装置
[0001] 本发明专利申请是申请日为2011年9月9日、申请号为201110277746. 3、名称为 "处理计算机病毒的方法及装置"的中国发明专利申请的分案申请。

【技术领域】
[0002] 本申请涉及计算机【技术领域】，特别是涉及一种处理计算机病毒的方法及装置。

【背景技术】
[0003] 计算机病毒是编制或者在计算机程序中插入的破坏计算机功能的数据，其会影响 计算机的正常使用并且能够自我复制，通常以一组计算机指令或者程序代码的形式呈现。 而杀毒引擎就是一套判断特定程序行为是否为病毒程序（包括可疑程序）的技术机制。杀 毒引擎是杀毒软件的主要部分，是检测和发现病毒的程序，而病毒库是已经发现的病毒的 特征集合。在杀毒过程中，用病毒库中的特征去对照机器中的所有程序或文件，对于符合这 些特征的程序或文件，判定为病毒。
[0004] 发明人在对现有技术的研究过程中发现，每一次采用杀毒引擎进行杀毒的过程均 相互独立，即无论前一次采用杀毒引擎对文件进行扫描后输出何种结果，下一次仍然采用 杀毒引擎对所有文件进行扫描，前后两次扫描过程中发现的病毒文件类型可能相同。由此 可知，虽然杀毒引擎具有杀毒功能强大的特点，但是每次采用杀毒引擎对所有文件进行扫 描时，都将占用大量的系统资源。


【发明内容】

[0005] 本申请实施例提供了一种处理计算机病毒的方法及装置，以解决现有杀毒引擎每 一次杀毒都对所有文件进行扫描，占用大量系统资源的问题。
[0006] 为了解决上述技术问题，本申请实施例公开了如下技术方案：
[0007] -种处理计算机病毒的方法，预先设置若干病毒扫描方式，所述若干病毒扫描方 式在进行文件扫描时所占用的系统资源不同，所述方法包括：
[0008] 获取待扫描文件；
[0009] 按照所述若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描 方式对所述待扫描文件进行扫描。
[0010] 所述若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式，所述第 一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式；
[0011] 所述调用相应的病毒扫描方式对所述待扫描文件进行扫描包括：
[0012] 调用所述第一病毒扫描方式对所述待扫描文件进行扫描，获得所述待扫描文件中 的确定文件；
[0013] 调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它 文件进行扫描。
[0014] 所述若干病毒扫描方式按照占用系统资源从小到大顺序排列，包括下述至少两种 方式：
[0015] 根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，所述扫 描结果包括确定为恶意文件或非恶意文件的文件属性信息，所述文件属性信息包括文件大 小、文件修改时间和文件路径；
[0016] 通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方 式；
[0017] 通过杀毒引擎进行病毒扫描的引擎扫描方式。
[0018] 所述按照若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描 方式对待扫描的文件进行扫描包括：
[0019] 调用所述内存扫描方式对所述待扫描文件进行扫描，获得包含第一确定文件的第 一扫描结果；
[0020] 调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件 进行扫描，获得包含第二确定文件的第二扫描结果；
[0021] 调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩余文件进 行扫描，获得包含第三确定文件的第三扫描结果。
[0022] 采用内存扫描方式对所述待扫描文件进行扫描包括：
[0023] 获取待扫描文件的文件属性信息；
[0024] 将所述文件属性信息与缓存中保存的文件属性信息进行匹配；
[0025] 当待扫描文件的文件属性与缓存中保存的文件属性匹配时，将所述待扫描文件确 定为恶意文件或非恶意文件，当待扫描文件的文件属性与缓存中保存的文件属性不匹配 时，将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
[0026] 通过预先保存的黑名单对经过内存扫描方式扫描后的除所述第一确定文件的其 它文件进行扫描包括：
[0027] 将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进 行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于 所述第二确定文件的恶意文件；
[0028] 通过预先保存的白名单对经过内存扫描方式扫描后的除所述第一确定文件的其 它文件进行扫描包括：
[0029] 将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进 行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于 所述第二确定文件的非恶意文件。
[0030] 还包括：
[0031] 根据待扫描文件的扫描结果，将所述第二确定文件和第三确定文件的文件属性存 入缓存中。
[0032] 一种处理计算机病毒的装置，所述装置包括：
[0033] 设置单元，用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件 扫描时所占用的系统资源不同；
[0034] 获取单元，用于获取待扫描文件；
[0035] 扫描单元，用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调用 相应的病毒扫描方式对所述待扫描文件进行扫描。
[0036] 所述设置单兀中设置的若干病毒扫描方式至少包括第一病毒扫描方式和第二病 毒扫描方式，所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方式；
[0037] 所述扫描单元包括：
[0038] 第一调用扫描单元，用于调用所述第一病毒扫描方式对所述待扫描文件进行扫 描，获得所述待扫描文件中的确定文件；
[0039] 第二调用扫描单元，用于调用所述第二病毒扫描方式仅对所述待扫描文件中除所 述确定文件以外的其它文件进行扫描，获得第二扫描结果。
[0040] 所述设置单元设置的若干病毒扫描方式按照占用系统资源从小到达顺序排列，包 括下述至少两种方式 ：
[0041] 根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，所述扫 描结果包括确定为恶意文件或非恶意文件的文件属性，所述文件属性包括文件大小、文件 修改时间和文件路径；
[0042] 通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方 式；
[0043] 通过少度引擎进行病毒扫描的引擎扫描方式。
[0044] 所述扫描单元包括：
[0045] 第一扫描单元，用于调用所述内存扫描方式对所述待扫描文件进行扫描，获得包 含第一确定文件的第一扫描结果；
[0046] 第二扫描单元，用于调用所述名单扫描方式仅对所述待扫描文件中除所述第一确 定文件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果；
[0047] 第三扫描单元，用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定 文件的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果。
[0048] 第一扫描单元包括：
[0049] 信息获取单元，用于获取待扫描文件的文件属性信息；
[0050] 信息匹配单元，用于将所述文件属性信息与缓存中保存的文件属性信息进行匹 配；
[0051] 结果确定单元，用于当待扫描文件的文件属性与缓存中保存的文件属性匹配时， 将所述待扫描文件确定为恶意文件或非恶意文件，当待扫描文件的文件属性与缓存中保存 的文件属性不匹配时，将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
[0052] 所述第二扫描单元包括至少一个下述单元：
[0053] 黑名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述黑名单中 预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定 所述某个文件为属于所述第二确定文件的恶意文件；
[0054] 白名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述白名单中 预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定 所述某个文件为属于所述第二确定文件的非恶意文件。
[0055] 还包括：
[0056] 存储单元，用于根据所述第二扫描单元和第三扫描单元的扫描结果，将所述第二 确定文件和第三确定文件的文件属性存入缓存中。
[0057] 由上述实施例可以看出，本申请实施例中预先设置若干病毒扫描方式，这些病毒 扫描方式在进行文件扫描时所占用的系统资源不同，获取待扫描文件，按照若干病毒扫描 方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对待扫描文件进行扫描。应 用本申请实施例对文件进行病毒扫描，由于按照占用系统资源从小到大的顺序调用相应的 病毒扫描方式，因此可以先通过占用系统资源较少的病毒扫描方式，例如内存扫描方式对 文件进行扫描，从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量，由此提 高系统的病毒扫描速度，节约系统资源；进一步，由于占用系统资源较小的内存扫描方式可 以保存前一次扫描的扫描结果，因此再次扫描时，可以通过内存扫描方式确定大部分文件 的扫描结果，从而进一步提升扫描速度。

【专利附图】

【附图说明】
[0058] 为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而 言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0059] 图1为本申请处理计算机病毒的方法的第一实施例流程图；
[0060] 图2为本申请处理计算机病毒的方法的第二实施例流程图；
[0061] 图3为本申请处理计算机病毒的方法的第三实施例流程图；
[0062] 图4为本申请处理计算机病毒的装置的第一实施例框图；
[0063] 图5为本申请处理计算机病毒的装置的第二实施例框图。

【具体实施方式】
[0064] 本发明如下实施例提供了处理计算机病毒的方法及装置。本申请实施例中由于按 照占用系统资源从小到大的顺序调用相应的病毒扫描方式，因此可以先通过占用系统资源 较少的病毒扫描方式，从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数量， 由此提高系统的病毒扫描速度，节约系统资源。
[0065] 为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明实 施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方 案作进一步详细的说明。
[0066] 参见图1，为本申请处理计算机病毒的方法的第一实施例流程图：
[0067] 步骤101 :预先设置若干病毒扫描方式，若干病毒扫描方式在进行文件扫描时所 占用的系统资源不同。
[0068] 其中，若干病毒扫描方式按照占用系统资源从小到大顺序排列，包括下述至少两 种方式：根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，其中扫 描结果包括确定为恶意文件或非恶意文件的文件属性信息，文件属性信息包括文件大小、 文件修改时间和文件路径；通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫 描的名单扫描方式；通过杀毒引擎进行病毒扫描的引擎扫描方式。
[0069] 步骤102 :获取待扫描文件。
[0070] 步骤103 :按照若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病 毒扫描方式对待扫描文件进行扫描。
[0071] 其中，当若干病毒扫描方式至少包括第一病毒扫描方式和第二病毒扫描方式，且 第一病毒扫描方式占用的系统资源小于第二病毒扫描方式时，先调用第一病毒扫描方式对 待扫描文件进行扫描，获得待扫描文件中的确定文件，然后调用第二病毒扫描方式仅对待 扫描文件中除确定文件以外的其它文件进行扫描。其中，确定文件指确定为恶意文件或非 恶意文件的文件。
[0072] 具体的，当同时采用内存扫描方式、名单扫描方式和引擎扫描方式对待扫描文件 进行扫描时，首先调用内存扫描方式对待扫描文件进行扫描，获得包含第一确定文件的第 一扫描结果，然后调用名单扫描方式仅对待扫描文件中除第一确定文件的其它文件进行扫 描，获得包含第二确定文件的第二扫描结果，最后调用引擎扫描方式仅对其它文件中除第 二确定文件的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果。
[0073] 参见图2,为本申请处理计算机病毒的方法的第二实施例流程图，该实施例详细描 述了采用三种扫描方式对待扫描文件进行扫描的过程：
[0074] 步骤201 :预先设置按照占用系统资源从小到大顺序排列的内存扫描方式、名单 扫描方式和引擎扫描方式。
[0075] 其中，内存扫描方式指根据缓存中保存的已扫描文件的扫描结果进行病毒扫描， 扫描结果包括确定为恶意文件或非恶意文件的文件属性信息，文件属性信息包括文件大 小、文件修改时间和文件路径等；名单扫描方式指通过预先保存的黑名单和白名单中的至 少一种名单进行病毒扫描；引擎扫描方式指通过杀毒引擎进行病毒扫描的引擎扫描方式。
[0076] 步骤202 :获取待扫描文件。
[0077] 步骤203 :调用内存扫描方式对待扫描文件进行扫描，获得包含第一确定文件的 第一扫描结果。
[0078] 获取待扫描文件的文件属性信息，例如文件大小、文件修改时间和文件路径等。系 统中文件属性记录了该文件最后一次被修改后的文件大小、修改时间和文件路径等属性信 息，属性信息根据文件的修改进行实时更新。
[0079] 将文件属性信息与缓存中保存的文件属性信息进行匹配，当待扫描文件的文件属 性与缓存中保存的文件属性匹配时，将待扫描文件确定为恶意文件或非恶意文件，当待扫 描文件的文件属性与缓存中保存的文件属性不匹配时，将待扫描文件确定为通过名单扫描 方式进行扫描的其它文件。由于文件属性信息包括多种信息，因此在进行匹配时可以按照 预设顺序对每一种属性信息进行逐一匹配，例如，先匹配文件大小，其次匹配文件修改时 间，最后匹配文件路径等。其中，当某一文件的所有属性信息都与缓存中保存的文件属性信 息一致时，才确定该文件的文件属性与缓存中保存的文件属性匹配，当某一文件的任意一 种属性信息与缓存中保存的文件属性信息不一致时，则确定该文件的文件属性与缓存中保 存的文件属性不匹配。
[0080] 由于内存扫描方式是根据缓存中保存的已扫描文件的扫描结果进行病毒扫描，因 此通过匹配获得的第一扫描结果中的确定文件是根据前次扫描已经确定为恶意文件和非 恶意文件的文件集合。由于内存信息读取速度快，且前后两次扫描过程中病毒文件发生的 变化不大，因此通过内存扫描方式可以对系统中的大部分文件进行查杀，因此提升了查杀 速度，节约了系统资源。
[0081] 步骤204 :调用名单扫描方式仅对待扫描文件中除第一确定文件的其它文件进行 扫描，获得包含第二确定文件的第二扫描结果。
[0082] 通过预先保存的黑名单进行扫描时，将其它文件中的每一个文件的文件名与黑名 单中预先保存的文件名进行比较，当某个文件的文件名与预先保存的文件名匹配时，确定 某个文件为属于第二确定文件的恶意文件；通过预先保存的白名单进行扫描时，将其它文 件中的每一个文件的文件名与白名单中预先保存的文件名进行比较，当某个文件的文件名 与预先保存的文件名匹配时，确定某个文件为属于第二确定文件的非恶意文件。
[0083] 其中，白名单通常由用户在客户端进行维护，用户将确定为非恶意的文件加入到 白名单中进行保存，白名单中可以记录文件的文件名和文件路径等信息；黑名单通常由杀 毒软件提供方进行维护，根据监控将确定的恶意文件加入到黑名单中进行保存。
[0084] 步骤205 :调用引擎扫描方式仅对其它文件中除第二确定文件的剩余文件进行扫 描，获得包含第三确定文件的第三扫描结果。
[0085] 采用引擎扫描方式对剩余文件进行扫描时，可以采用的杀毒引擎可以包括：云查 杀引擎，QVM(Qih 〇〇 Virtual Machine，人工智能引擎）引擎，小红伞杀毒引擎等任意现有已 存在的杀毒引擎。
[0086] 步骤206 :根据待扫描文件的扫描结果，将第二确定文件和第三确定文件的文件 属性存入缓存中。
[0087] 由于本次扫描过程中，通过名单扫描方式和引擎扫描方式得到的扫描结果中的确 定文件与在缓存中保存的确定文件不同，因此为了进一步提高下一次病毒扫描速度，将第 二确定文件和第三确定文件的文件属性，包括文件大小、文件修改时间及文件路径等记录 到缓存中，则下一次对这些文件可以直接通过占用系统资源最少的内存扫描方式进行扫 描。
[0088] 参见图3,为本申请处理计算机病毒的方法的第三实施例流程图，该实施例详细示 出了通过内存扫描方式对待扫描文件进行扫描的过程：
[0089] 步骤301 :缓存中预先保存已扫描文件的扫描结果，该扫描结果包括确定为恶意 文件或非恶意文件的文件属性信息，文件属性信息包括文件大小、文件修改时间和文件路 径。
[0090] 步骤302 :顺序获取待扫描文件中的一个文件。
[0091] 步骤303 :获取该文件的文件大小、文件修改时间和文件路径。
[0092] 系统中文件的文件属性记录了该文件最后一次被修改后的文件大小、修改时间和 文件路径等属性信息，属性信息根据文件的修改进行实时更新。
[0093] 步骤304 :判断该文件的文件大小是否与预先保存的文件大小匹配，若是，则执行 步骤305,否则，执行步骤309。
[0094] 步骤305 :判断该文件的文件修改时间是否与预先保存的文件修改时间匹配，若 是，则执行步骤306 ;否则，执行步骤309。
[0095] 步骤306 :判断该文件的文件路径是否与预先保存的文件路径匹配，若是，则执行 步骤307 ;否则，执行步骤309。
[0096] 步骤307 :根据匹配结果将该文件确定为恶意文件或非恶意文件。
[0097]当某一文件的所有属性信息都与缓存中保存的文件属性信息一致时，才确定该文 件的文件属性与缓存中保存的文件属性匹配，此时如果内存中相匹配的文件属性信息对应 的文件为恶意文件，则该文件的扫描结果即为恶意文件，如果内存中匹配的文件属性信息 对应的文件为非恶意文件，则该文件的扫描结果即为非恶意文件。
[0098] 由于内存扫描方式是根据缓存中保存的已扫描文件的扫描结果进行病毒扫描，因 此通过匹配获得的第一扫描结果中的确定文件是根据前次扫描已经确定为恶意文件和非 恶意文件的文件集合。由于内存信息读取速度快，且前后两次扫描过程中病毒文件发生的 变化不大，因此通过内存扫描方式可以对系统中的大部分文件进行查杀，因此提升了查杀 速度，节约了系统资源。
[0099] 步骤308 :将该文件确定为需要通过其它扫描方式进行扫描的文件。
[0100] 当某一文件的任意一种属性信息与缓存中保存的文件属性信息不一致时，则确定 该文件的文件属性与缓存中保存的文件属性不匹配。此时，说明该文件为需要通过除内存 扫描方式的其它扫描方式进行扫描，例如，通过前述实施例中示出的名单扫描方式，和/或 引擎扫描方式。
[0101] 步骤309 :是否匹配完所有待扫描文件，若是，则结束流程，否则，返回步骤302。
[0102] 由上述本申请实施例可见，在对文件进行病毒扫描时，由于按照占用系统资源从 小到大的顺序调用相应的病毒扫描方式，因此可以先通过占用系统资源较少的病毒扫描方 式，例如内存扫描方式对文件进行扫描，从而减少占用系统资源较大的病毒扫描方式所需 扫描的文件数量，由此提高系统的病毒扫描速度，节约系统资源；进一步，由于占用系统资 源较小的内存扫描方式可以保存前一次扫描的扫描结果，因此再次扫描时，可以通过内存 扫描方式确定大部分文件的扫描结果，从而进一步提升扫描速度。
[0103] 与本申请处理计算机病毒的方法的实施例相对应，本申请还提供了处理计算机病 毒的装置的实施例。
[0104] 参见图4,为本申请处理计算机病毒的装置的第一实施例框图：
[0105] 该装置包括：设置单元410、获取单元420和扫描单元430。
[0106] 其中，设置单兀410,用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在 进行文件扫描时所占用的系统资源不同；
[0107] 获取单元420,用于获取待扫描文件；
[0108] 扫描单元430,用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调 用相应的病毒扫描方式对所述待扫描文件进行扫描。
[0109] 其中，所述设置单兀410中设置的若干病毒扫描方式至少包括第一病毒扫描方式 和第二病毒扫描方式，所述第一病毒扫描方式占用的系统资源小于所述第二病毒扫描方 式；
[0110] 所述扫描单元430可以具体包括（图4中未示出）：
[0111] 第一调用扫描单元，用于调用所述第一病毒扫描方式对所述待扫描文件进行扫 描，获得所述待扫描文件中的确定文件；
[0112] 第二调用扫描单元，用于调用所述第二病毒扫描方式仅对所述待扫描文件中除所 述确定文件以外的其它文件进行扫描，获得第二扫描结果。
[0113] 参见图5,为本申请处理计算机病毒的装置的第二实施例框图：
[0114] 该装置包括：设置单元510、获取单元520、扫描单元530和存储单元540。
[0115] 其中，设置单兀510,用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在 进行文件扫描时所占用的系统资源不同；其中，所述设置单元设置的若干病毒扫描方式按 照占用系统资源从小到达顺序排列，包括下述至少两种方式：根据缓存中保存的已扫描文 件的扫描结果进行病毒扫描的内存扫描方式，所述扫描结果包括确定为恶意文件或非恶意 文件的文件属性，所述文件属性包括文件大小、文件修改时间和文件路径；通过预先保存的 黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式；通过少度引擎进行病毒 扫描的引擎扫描方式；
[0116] 获取单元520,用于获取待扫描文件；
[0117] 扫描单元530,用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调 用相应的病毒扫描方式对所述待扫描文件进行扫描；该扫描单元530可以包括：第一扫描 单元531，用于调用所述内存扫描方式对所述待扫描文件进行扫描，获得包含第一确定文件 的第一扫描结果；第二扫描单元532,用于调用所述名单扫描方式仅对所述待扫描文件中 除所述第一确定文件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果；第三 扫描单元533,用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件的剩 余文件进行扫描，获得包含第三确定文件的第三扫描结果；
[0118] 存储单元540,用于根据所述第二扫描单元和第三扫描单元的扫描结果，将所述第 二确定文件和第三确定文件的文件属性存入缓存中。
[0119] 具体的，第一扫描单元531可以包括（图5中未示出）：
[0120] 信息获取单元，用于获取待扫描文件的文件属性信息；
[0121] 信息匹配单元，用于将所述文件属性信息与缓存中保存的文件属性信息进行匹 配；
[0122] 结果确定单元，用于当待扫描文件的文件属性与缓存中保存的文件属性匹配时， 将所述待扫描文件确定为恶意文件或非恶意文件，当待扫描文件的文件属性与缓存中保存 的文件属性不匹配时，将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
[0123] 具体的，第二扫描单元532可以包括（图5中未示出）：
[0124] 黑名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述黑名单中 预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定 所述某个文件为属于所述第二确定文件的恶意文件；
[0125] 白名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述白名单中 预先保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定 所述某个文件为属于所述第二确定文件的非恶意文件。
[0126] 通过对以上实施方式的描述可知，本申请实施例中预先设置若干病毒扫描方式， 这些病毒扫描方式在进行文件扫描时所占用的系统资源不同，获取待扫描文件，按照若干 病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式对待扫描文件进行 扫描。应用本申请实施例对文件进行病毒扫描，由于按照占用系统资源从小到大的顺序调 用相应的病毒扫描方式，因此可以先通过占用系统资源较少的病毒扫描方式，例如内存扫 描方式对文件进行扫描，从而减少占用系统资源较大的病毒扫描方式所需扫描的文件数 量，由此提高系统的病毒扫描速度，节约系统资源；进一步，由于占用系统资源较小的内存 扫描方式可以保存前一次扫描的扫描结果，因此再次扫描时，可以通过内存扫描方式确定 大部分文件的扫描结果，从而进一步提升扫描速度。
[0127] 本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需 的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者 说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存 储在存储介质中，如R0M/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以 是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分 所述的方法。
[0128] 本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部 分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实 施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例 的部分说明即可。
[0129] 以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明 的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1. 一种处理计算机病毒的方法，其特征在于，预先设置若干病毒扫描方式，所述若干病 毒扫描方式在进行文件扫描时所占用的系统资源不同，所述方法包括： 获取待扫描文件； 按照所述若干病毒扫描方式占用系统资源从小到大的顺序，调用相应的病毒扫描方式 对所述待扫描文件进行扫描。
2. 根据权利要求1所述的方法，其特征在于，所述若干病毒扫描方式至少包括第一病 毒扫描方式和第二病毒扫描方式，所述第一病毒扫描方式占用的系统资源小于所述第二病 毒扫描方式； 所述调用相应的病毒扫描方式对所述待扫描文件进行扫描包括： 调用所述第一病毒扫描方式对所述待扫描文件进行扫描，获得所述待扫描文件中的确 定文件； 调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确定文件以外的其它文件 进行扫描。
3. 根据权利要求1所述的方法，其特征在于，所述若干病毒扫描方式按照占用系统资 源从小到大顺序排列，包括下述至少两种方式： 根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，所述扫描结 果包括确定为恶意文件或非恶意文件的文件属性信息，所述文件属性信息包括文件大小、 文件修改时间和文件路径； 通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式； 通过杀毒引擎进行病毒扫描的引擎扫描方式。
4. 根据权利要求3所述的方法，其特征在于，所述按照若干病毒扫描方式占用系统资 源从小到大的顺序，调用相应的病毒扫描方式对待扫描的文件进行扫描包括： 调用所述内存扫描方式对所述待扫描文件进行扫描，获得包含第一确定文件的第一扫 描结果； 调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文件的其它文件进行 扫描，获得包含第二确定文件的第二扫描结果； 调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件以外的剩余文件进 行扫描，获得包含第三确定文件的第三扫描结果。
5. 根据权利要求4所述的方法，其特征在于，采用内存扫描方式对所述待扫描文件进 行扫描包括： 获取待扫描文件的文件属性信息； 将所述文件属性信息与缓存中保存的文件属性信息进行匹配； 当待扫描文件的文件属性与缓存中保存的文件属性匹配时，将所述待扫描文件确定为 恶意文件或非恶意文件，当待扫描文件的文件属性与缓存中保存的文件属性不匹配时，将 所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
6. 根据权利要求4所述的方法，其特征在于， 通过预先保存的黑名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文 件进行扫描包括： 将所述其它文件中的每一个文件的文件名与所述黑名单中预先保存的文件名进行比 较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于所述 第二确定文件的恶意文件； 通过预先保存的白名单对经过内存扫描方式扫描后的除所述第一确定文件的其它文 件进行扫描包括： 将所述其它文件中的每一个文件的文件名与所述白名单中预先保存的文件名进行比 较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述某个文件为属于所述 第二确定文件的非恶意文件。
7. 根据权利要求4所述的方法，其特征在于，还包括： 根据待扫描文件的扫描结果，将所述第二确定文件和第三确定文件的文件属性存入缓 存中。
8. -种处理计算机病毒的装置，其特征在于，所述装置包括： 设置单元，用于预先设置若干病毒扫描方式，所述若干病毒扫描方式在进行文件扫描 时所占用的系统资源不同； 获取单元，用于获取待扫描文件； 扫描单元，用于按照所述若干病毒扫描方式占用系统资源从小到达的顺序，调用相应 的病毒扫描方式对所述待扫描文件进行扫描。
9. 根据权利要求8所述的装置，其特征在于，所述设置单元中设置的若干病毒扫描方 式至少包括第一病毒扫描方式和第二病毒扫描方式，所述第一病毒扫描方式占用的系统资 源小于所述第二病毒扫描方式； 所述扫描单元包括： 第一调用扫描单元，用于调用所述第一病毒扫描方式对所述待扫描文件进行扫描，获 得所述待扫描文件中的确定文件； 第二调用扫描单元，用于调用所述第二病毒扫描方式仅对所述待扫描文件中除所述确 定文件以外的其它文件进行扫描，获得第二扫描结果。
10. 根据权利要求8所述的装置，其特征在于，所述设置单元设置的若干病毒扫描方式 按照占用系统资源从小到达顺序排列，包括下述至少两种方式： 根据缓存中保存的已扫描文件的扫描结果进行病毒扫描的内存扫描方式，所述扫描结 果包括确定为恶意文件或非恶意文件的文件属性，所述文件属性包括文件大小、文件修改 时间和文件路径； 通过预先保存的黑名单和白名单中的至少一种名单进行病毒扫描的名单扫描方式； 通过少度引擎进行病毒扫描的引擎扫描方式。
11. 根据权利要求10所述的装置，其特征在于，所述扫描单元包括： 第一扫描单元，用于调用所述内存扫描方式对所述待扫描文件进行扫描，获得包含第 一确定文件的第一扫描结果； 第二扫描单元，用于调用所述名单扫描方式仅对所述待扫描文件中除所述第一确定文 件的其它文件进行扫描，获得包含第二确定文件的第二扫描结果； 第三扫描单元，用于调用所述引擎扫描方式仅对所述其它文件中除所述第二确定文件 的剩余文件进行扫描，获得包含第三确定文件的第三扫描结果。
12. 根据权利要求11所述的装置，其特征在于，第一扫描单元包括： 信息获取单元，用于获取待扫描文件的文件属性信息； 信息匹配单元，用于将所述文件属性信息与缓存中保存的文件属性信息进行匹配； 结果确定单元，用于当待扫描文件的文件属性与缓存中保存的文件属性匹配时，将所 述待扫描文件确定为恶意文件或非恶意文件，当待扫描文件的文件属性与缓存中保存的文 件属性不匹配时，将所述待扫描文件确定为通过名单扫描方式进行扫描的其它文件。
13. 根据权利要求11所述的装置，其特征在于，所述第二扫描单元包括至少一个下述 单元： 黑名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述黑名单中预先 保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述 某个文件为属于所述第二确定文件的恶意文件； 白名单扫描单元，用于将所述其它文件中的每一个文件的文件名与所述白名单中预先 保存的文件名进行比较，当某个文件的文件名与所述预先保存的文件名匹配时，确定所述 某个文件为属于所述第二确定文件的非恶意文件。
14. 根据权利要求11所述的装置，其特征在于，还包括： 存储单元，用于根据所述第二扫描单元和第三扫描单元的扫描结果，将所述第二确定 文件和第三确定文件的文件属性存入缓存中。
【文档编号】G06F21/56GK104063662SQ201410268281
【公开日】2014年9月24日 申请日期:2011年9月19日 优先权日:2011年9月19日
【发明者】周鸿祎, 付旻, 邹贵强 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司