专利名称:木马扫描方法和系统的制作方法
木马扫描方法和系统
技术领域:
本发明涉及计算机领域,尤其涉及一种木马扫描方法和系统。
背景技术:
随着在线生活的日益丰富和多元化,越来越多的用户通过互联网进行网上购物、在线虚拟物品买卖和基于用户帐号/密码访问的网络聊天等。由于木马/病毒的传播,网络用户往往会遇到安全问题的困扰,甚至直接遭受财产损失。为了提高计算机的安全性,很多安全产品都提供了木马/病毒扫描、清除、系统实时防护等功能。传统的木马扫描模式包括快速扫描、全盘扫描和自定义扫描,其中快速扫描是在木马/病毒最常出现的系统区域进行扫描,通常,这些区域包括系统启动项、当前内存环境、系统加载驱动、Windows系统文件夹等;全盘扫描是指完整地遍历整个计算机进行文件扫描;自定义扫描是针对用户指定的文件或文件夹所在路径进行文件扫描。传统的这三种扫描模式都是基于待扫描文件所在的计算机逻辑位置进行划分的。然而,某些时候用户开启木马/病毒的行为并不都是基于单纯的计算机逻辑位置。例如,电脑游戏迷往往最关心的是游戏有没有被植入盗号木马,或有没有被安插后门程序。此时,无论是快速扫描还是全盘扫描,都无法直接定位用户真正关心的计算机文件所在位置。自定义扫描虽然可以指定某一个位置,但需要用户手动选择文件或文件夹的路径,对于很多仅具备普通计算机应用水平的用户而言,往往很难准确的指出文件或文件夹的路径。此外,自定义扫描依赖的仍然是文件或文件夹的路径,无法真正理解用户意图。例如,用户指定扫描某一游戏软件安全目录为扫描路径,而后续用户将游戏卸载并重新安装到另一个系统路径下后,则需要用户重新指定新的路径。因此,传统的这些木马扫描方法受待扫描文件存储位置的限制,导致用户操作不便。
发明内容基于此,有必要提供一种不受待扫描文件存储位置的限制,从而能提高用户操作的便利性的木马扫描方法。一种木马扫描方法,包括以下步骤设置场景配置信息,所述场景配置信息包括场景标识和对应的扫描信息;接收输入的场景标识,根据所述场景标识获取对应的扫描信息;根据获取得到的扫描信息进行木马扫描。优选的,所述扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项;所述根据获取得到的扫描信息进行木马扫描的步骤为在所述扫描范围内按照所述扫描类型进行扫描,获取符合所述关键字的文件或路径,对所述文件或路径进行木马扫描。优选的,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;当获取的扫描类型为扫描注册表时,所述根据获取得到的扫描信息进行木马扫描的步骤为
获取所述扫描范围内的文件在注册表中的文件夹路径;在注册表中的所述文件夹路径下获取包含所述关键字的注册表子键,得到所述注册表子键对应的路径;对所述路径下的文件进行木马扫描。优选的,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;当获取的扫描类型为扫描文件时,所述根据获取得到的扫描信息进行木马扫描的步骤为扫描所述扫描范围内的文件的后缀名,获取后缀名包含所述关键字的文件;对所述文件进行木马扫描。优选的,所述方法还包括获取用户提交的关联程序;根据所述关联程序生成扫描项,将所述扫描项加入与当前的场景标识对应的扫描信息中;刷新所述场景配置信息。此外,还有必要提供一种不受待扫描文件存储位置的限制,从而能提高用户操作的便利性的木马扫描系统。一种木马扫描系统,包括数据配置模块,用于设置场景配置信息,所述场景配置信息包括场景标识和对应的扫描信息;信息获取模块,用于接收输入的场景标识,根据所述场景标识获取对应的扫描信息;扫描模块,用于根据获取得到的扫描信息进行木马扫描。优选的,所述扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项;所述扫描模块包括待扫描文件获取模块,用于在所述扫描范围内按照所述扫描类型进行扫描,获取符合所述关键字的文件或路径;木马扫描模块,用于对所述文件或路径进行木马扫描。优选的,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;所述待扫描文件获取模块当获取的扫描类型为扫描注册表时,进一步用于获取所述扫描范围内的文件在注册表中的文件夹路径,在注册表中的所述文件夹路径下获取包含所述关键字的注册表子键,得到所述注册表子键对应的路径;所述木马扫描模块用于对所述路径下的文件进行木马扫描。优选的,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;所述待扫描文件获取模块当获取的扫描类型为扫描文件时,进一步用于扫描所述扫描范围内的文件的后缀名,获取后缀名包含所述关键字的文件;所述木马扫描模块用于对所述文件进行木马扫描。优选的,还包括更新模块,用于获取用户提交的关联程序,根据所述关键程序生成扫描项,将所述扫描项加入与当前的场景标识对应的扫描信息中,刷新所述场景配置信
肩、O上述木马扫描方法和系统,通过设置包括了场景标识和对应的扫描信息的场景配置信息,在接收到输入的场景标识后,获取该场景标识对应的扫描信息,根据获取得到的扫描信息进行木马扫描。由于可以根据事先设置的扫描信息进行木马扫描,用户不需要手动去指定待扫描文件的存储位置,因此这种木马扫描方法和系统不受待扫描文件存储位置的限制,从而能提高用户操作的便利性。
图I为一个实施例中木马扫描方法的流程图;图2为一个实施例中更新场景配置信息的方法流程图;图3为一个实施例中木马扫描系统的结构示意图;图4为图3中的扫描模块的结构示意图;图5为另一个实施例中木马扫描系统的结构示意图。
具体实施方式本发明通过设置场景配置信息,该场景配置信息中包括场景标识和对应的扫描信息,在接收到输入的场景标识时,获取与该场景标识对应的扫描信息,最后根据得到的扫描信息进行木马扫描。由于可以针对不同的场景配置不同的扫描信息,在进行木马扫描时,用户无需手动去指定待扫描文件的存储位置,只需指定需进行木马扫描的应用场景即可,因此,本发明并不要求用户知道待扫描文件的存储位置,不会受到待扫描文件的存储位置的限制,从而能够提高用户操作的便利性。在一个实施例中,如图I所示,一种木马扫描方法,包括以下步骤步骤S10,设置场景配置信息,该场景配置信息包括场景标识和对应的扫描信息。场景标识可以是场景的名称或ID号,用于唯一标识不同的应用场景,例如办公场景、娱乐场景、家庭场景等。在一个实施例中,扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项。优选的,场景配置信息以XML(Extensible MarkupLanguage,可扩展标记语言)的格式进行存储。步骤S20,接收输入的场景标识,根据场景标识获取对应的扫描信息。本实施例中,通过软件产品的用户界面提供用户接口,用户可通过用户界面来指定一个或多个需要进行木马扫描的应用场景。例如指定办公场景,则需扫描最常用的办公软件及计算机中的各类最可能用于商务用途的数据文件等;指定家庭场景,则需扫描网络用户最常使用的应用软件,如即时通信软件、多媒体播放器、输入法软件、下载工具、浏览器等;指定娱乐场景,则需扫描最常见的网络游戏软件及用于保存帐号、虚拟物品等信息的数据文件等。用户通过用户界面指定某一应用场景后,由于不同的应用场景对应有唯一的场景标识,则接收输入的场景标识,根据场景标识在事先设置的场景配置信息中获取对应的扫描信息。在一个实施例中,场景配置信息存储在服务器端。优选的,场景配置信息以云服务的方式存储在服务器端。在接收到输入的场景标识后,根据场景标识从服务器端拉取对应的场景配置信息,获取场景配置信息中与该场景标识对应的扫描信息。步骤S30,根据获取得到的扫描信息进行木马扫描。
在一个实施例中,扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项。步骤S30的具体过程为在扫描范围内按照该扫描类型进行扫描,获取符合关键字的文件或路径,对该文件或路径进行木马扫描。在一个实施例中,设置的场景配置信息如下
< xm1 version="I.O" encoding="UTF-8" >
<scanInfo version=" 1.0.0">
〈scene name=”办公” layoutID=”0”>
〈item keyword="Microsoft Office" type="software" scope="PE" />〈item keyword="doc" type=”file—extension” scope="all" />
〈item keyword="docx" type=”file—extension” scope="all" />
〈item keyword="Adobe" type="software" scope="PE" />
〈item keyword="pdf type=”file—extension” scope="all" />
〈/scene〉
</scanInfo>其中,name表示场景名称,IayoutID表示场景ID,本实施例中,场景为办公场景;scene节点为对应于一个场景标识的扫描信息的记录体,每个scene节点包含了若干个item节点,item节点即为扫描项,在每一个扫描项中,keyword表示关键字,type表示扫描类型,scope表示扫描范围,scope = " PE"表示仅扫描PE类型的可执行文件,scope="all "表不需扫描所有文件。例如,〈item keyword = " Microsoft Office " type="software" scope=" PE" />表示所有PE类型的可执行文件中、属于软件产品所产生的、包含Microsoft Office关键字的文件为待扫描文件。本实施例中,获取到与输入的场景标识对应的扫描信息后,执行扫描信息中的每一个扫描项,对于每一个扫描项,都需在该扫描项定义的扫描范围内按照其中定义的扫描类型进行扫描,获取符合关键字的文件或路径,对得到的文件或路径进行木马扫描。本实施例中,扫描类型包括扫描注册表和扫描文件两种扫描类型。例如,type =software表示扫描类型为扫描注册表,type = f ile_extension表示扫描类型为扫描文件。当获取的扫描类型为扫描注册表时,步骤S30的具体过程为获取扫描范围内的文件在注册表中的文件夹路径;在注册表中的该文件夹路径下获取包含关键字的注册表子键,得到该注册表子键对应的路径;对该路径下的文件进行木马扫描。例如,在执行扫描项〈itemkeyword = " Microsoft Office " type="software" scope = " PE" />时,根据注册表信息,获取PE类型的可执行文件在注册表中的文件夹路径,即HKEY_L0CAL_MACHINE\S0FTWARE,并在该路径下获取包含“MicrosoftOffice”的注册表子键,对应得到可执行文件的安装路径,在该安装路径下的所有文件为待扫描文件,对这些待扫描文件进行木马扫描。
当获取的扫描类型为扫描文件时,步骤S30的具体过程为扫描扫描范围内的文件的后缀名,获取后缀名包含关键字的文件;对该文件进行木马扫描。例如,在执行扫描项〈item keyword = " doc " type = " file_extension" scope = " all " /> 时,则在所有文件中扫描每个文件的后缀名,获取后缀名中包含了“doc”的文件,这些文件即为待扫描文件,对待扫描文件进行木马扫描。在一个实施例中,如图2所示,上述木马扫描类型还包括以下步骤步骤S40,获取用户提交的关联程序。用户可以主动提交关联程序,也可以弹出对话框提示是否关联程序,用户确认关联后提交关联程序,关联程序即为用户希望在当前的应用场景下进行木马扫描的程序。例如,当前的应用场景为娱乐场景,在运行某一个游戏程序时,用户提交该游戏程序为需在娱乐场景下进行木马扫描的关联程序。步骤S50,根据该关联程序生成扫描项,将扫描项加入与当前的场景标识对应的扫描信息中。步骤S60,刷新场景配置信息。本实施例中,除了在服务器端可以维护场景配置信息外,还可以根据用户的使用习惯对场景配置信息进行更新,使得服务器端的场景配置信息越来越丰富,也越来越贴近用户的使用习惯,使得在某一个应用场景下的木马扫描更全面,提高了软件产品的安全性。如图3所示,在一个实施例中,一种木马扫描系统,包括数据配置模块10、信息获取模块20和扫描模块30。其中数据配置模块10用于设置场景配置信息,该场景配置信息包括场景标识和对应的扫描信息。在一个实施例中,数据配置模块10设置在服务器端。场景标识可以是场景的名称或ID号,用于唯一标识不同的应用场景,例如办公场景、娱乐场景、家庭场景等。在一个实施例中,扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项。优选的,场景配置信息以XML(Extensible Markup Language,可扩展标记语言)的格式进行存储。信息获取模块20用于接收输入的场景标识,根据场景标识获取对应的扫描信息。本实施例中,通过软件产品的用户界面提供用户接口,用户可通过用户界面来指定一个或多个需要进行木马扫描的应用场景。例如指定办公场景,则需扫描最常用的办公软件及计算机中的各类最可能用于商务用途的数据文件等;指定家庭场景,则需扫描网络用户最常使用的应用软件,如即时通信软件、多媒体播放器、输入法软件、下载工具、浏览器等;指定娱乐场景,则需扫描最常见的网络游戏软件及用于保存帐号、虚拟物品等信息的数据文件等。用户通过用户界面指定某一应用场景后,由于不同的应用场景对应有唯一的场景标识,则信息获取模块20接收输入的场景标识,根据场景标识从服务器端拉取对应的场景配置信息,获取场景配置信息中与场景标识对应的扫描信息。扫描模块30用于根据获取得到的扫描信息进行木马扫描。在一个实施例中,扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项。如图4所示,扫描模块30包括待扫描文件获取模块302和木马扫描模块304,其中待扫描文件获取模块302用于在扫描范围内按照该扫描类型进行扫描,获取符合关键字的文件或路径。木马扫描模块304用于对该文件或路径进行木马扫描。本实施例中,本实施例中,待扫描文件获取模块302获取到与输入的场景标识对应的扫描信息后,执行扫描信息中的每一个扫描项,对于每一个扫描项,都需在该扫描项中定义的扫描范围按扫描类型进行扫描,获取符合关键字的文件或路径。木马扫描模块304对得到的文件或路径进行木马扫描。本实施例中,扫描类型包括扫描注册表和扫描文件两种扫描类型。例如,type =software表示扫描类型为扫描注册表,type = f ile_extension表示扫描类型为扫描文件。待扫描文件获取模块302当获取的扫描类型为扫描注册表时,进一步用于获取扫描范围内的文件在注册表中的文件夹路径,在注册表中的该文件夹路径下获取包含关键字的注册表子键,得到该注册表子键对应的路径,该路径下的文件即为待扫描文件。木马扫描模块304用于对该路径下的文件进行木马扫描。本实施例中,待扫描文件获取模块302当获取的扫描类型为扫描文件时,进一步扫描扫描范围内的文件的后缀名,获取后缀名包含关键字的文件,这些文件即为待扫描文件。木马扫描模块304用于对该文件进行木马扫描。如图5所示,在另一个实施例中,上述木马扫描系统除了包括上述数据配置模块
10、信息获取模块20和扫描模块30外,还包括更新模块40,其中更新模块40用于获取用户提交的关联程序,根据关键程序生成扫描项,将扫描项加入与当前的场景标识对应的扫描信息中,刷新场景配置信息。用户可以主动提交关联程序,也可以弹出对话框提示是否关联程序,用户确认关联后提交关联程序,关联程序即为用户希望在当前的应用场景下进行木马扫描的程序。例如,当前的应用场景为娱乐场景,在运行某一个游戏程序时,用户提交该游戏程序为需在娱乐场景下进行木马扫描的关联程序。因此,除了在服务器端可以维护场景配置信息外,还可以根据用户的使用习惯对场景配置信息进行更新,使得服务器端的场景配置信息越来越丰富,也越来越贴近用户的使用习惯,使得在某一个应用场景下的木马扫描更全面,提高了软件产品的安全性。上述木马扫描方法和系统,由于场景配置信息中包含了场景标识和对应的扫描信息,将用户的应用场景与待扫描的程序进行了关联,可以针对不同的应用场景进行木马扫描,用户只需要指定应用场景就可以对在该应用场景下使用的应用程序进行木马扫描,从而将木马扫描与用户的实际需求关联起来,用户不需要手动选择待扫描文件的路径,能够不受待扫描文件存储位置的限制,提高了用户操作的便利性。此外,场景配置信息除了在服务器端可以进行维护、更新外,还可以根据用户的使用习惯进行更新,用户在不同的应用场景下使用软件程序时,可以提交该软件程序为关联程序,并将对该关联程序的扫描项加入到扫描信息中,使得场景配置信息越来越丰富,在根据不同的应用场景进行木马扫描时能够尽可能的将所有程序执行文件纳入到扫描范围。以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
权利要求
1.一种木马扫描方法,包括以下步骤设置场景配置信息,所述场景配置信息包括场景标识和对应的扫描信息;接收输入的场景标识,根据所述场景标识获取对应的扫描信息;根据获取得到的扫描信息进行木马扫描。
2.根据权利要求I所述的木马扫描方法,其特征在于,所述扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项;所述根据获取得到的扫描信息进行木马扫描的步骤为在所述扫描范围内按照所述扫描类型进行扫描,获取符合所述关键字的文件或路径,对所述文件或路径进行木马扫描。
3.根据权利要求2所述的木马扫描方法,其特征在于,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;当获取的扫描类型为扫描注册表时,所述根据获取得到的扫描信息进行木马扫描的步骤为获取所述扫描范围内的文件在注册表中的文件夹路径;在注册表中的所述文件夹路径下获取包含所述关键字的注册表子键,得到所述注册表子键对应的路径;对所述路径下的文件进行木马扫描。
4.根据权利要求2所述的木马扫描方法,其特征在于,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;当获取的扫描类型为扫描文件时,所述根据获取得到的扫描信息进行木马扫描的步骤为扫描所述扫描范围内的文件的后缀名,获取后缀名包含所述关键字的文件;对所述文件进行木马扫描。
5.根据权利要求I至4中任意一项所述的木马扫描方法,其特征在于,所述方法还包括获取用户提交的关联程序;根据所述关联程序生成扫描项,将所述扫描项加入与当前的场景标识对应的扫描信息中;刷新所述场景配置信息。
6.—种木马扫描系统,其特征在于,包括数据配置模块,用于设置场景配置信息,所述场景配置信息包括场景标识和对应的扫描信息;信息获取模块,用于接收输入的场景标识,根据所述场景标识获取对应的扫描信息;扫描模块,用于根据获取得到的扫描信息进行木马扫描。
7.根据权利要求6所述的木马扫描系统,其特征在于,所述扫描信息包括多个包含扫描类型、扫描范围和关键字之间的对应关系的扫描项;所述扫描模块包括待扫描文件获取模块,用于在所述扫描范围内按照所述扫描类型进行扫描,获取符合所述关键字的文件或路径;木马扫描模块,用于对所述文件或路径进行木马扫描。
8.根据权利要求7所述的木马扫描系统,其特征在于,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;所述待扫描文件获取模块当获取的扫描类型为扫描注册表时,进一步用于获取所述扫描范围内的文件在注册表中的文件夹路径,在注册表中的所述文件夹路径下获取包含所述关键字的注册表子键,得到所述注册表子键对应的路径;所述木马扫描模块用于对所述路径下的文件进行木马扫描。
9.根据权利要求7所述的木马扫描系统,其特征在于,所述扫描类型包括扫描注册表和扫描文件两种扫描类型;所述待扫描文件获取模块当获取的扫描类型为扫描文件时,进一步用于扫描所述扫描范围内的文件的后缀名,获取后缀名包含所述关键字的文件;所述木马扫描模块用于对所述文件进行木马扫描。
10.根据权利要求6至9中任意一项所述的木马扫描系统,其特征在于,还包括更新模块,用于获取用户提交的关联程序,根据所述关键程序生成扫描项,将所述扫描项加入与当前的场景标识对应的扫描信息中,刷新所述场景配置信息。
全文摘要
本发明提供了一种木马扫描方法,所述方法包括设置场景配置信息,所述场景配置信息包括场景标识和对应的扫描信息;接收输入的场景标识,根据所述场景标识获取对应的扫描信息;根据获取得到的扫描信息进行木马扫描。采用上述方法,使得木马扫描不受待扫描文件的存储位置的限制,用户只需指定扫描的场景即可,提高了用户操作便利性。此外,还提供了一种木马扫描系统。
文档编号G06F21/56GK102955911SQ20111023794
公开日2013年3月6日 申请日期2011年8月18日 优先权日2011年8月18日
发明者李大龙 申请人:腾讯科技(深圳)有限公司