恶意软件风险扫描器的制造方法【专利摘要】一种用于改进反恶意软件之软件的安装的技术在完成反恶意软件之软件的安装之前执行对其上将要安装反恶意软件之软件的计算机的分析。如果该分析确定计算机可能已经包含恶意软件,则在反恶意软件之软件的安装的一部分之前,尝试扫描和清理计算机。否则,可绕过安装前扫描和清理,从而允许反恶意软件之软件的那个部分的安装。【专利说明】恶意软件风险扫描器[0001]对相关申请的交叉引用本申请要求2011年9月8日提交的美国申请序号13/227616的优先权,该申请通过引用以其整体被结合到本文中。【
背景技术:
】[0002]一般来说,本公开涉及恶意软件(malware)检测计算机软件的领域。非限制性地更具体来说它涉及用于恶意软件检测、修复和预防计算机软件的改进安装技术。[0003]恶意软件是用来描述感染计算机系统的恶意软件。恶意软件具有变化的影响程度,其范围从只是令人不快到破坏性的。恶意软件包括诸如广告软件和间谍软件之类的软件以及计算机病毒、蠕虫和特洛伊木马。随着大量装置连接到网络、例如因特网以及到这些网络的高速连接的扩张,恶意软件威胁能够极其迅速地逐个系统散布。因此,通常促使计算机用户在其装置上采用某种类型的反恶意软件应用、例如反病毒软件,以检测和去除可能在装置上已经安装的恶意软件以及防止恶意软件的将来安装。[0004]一些客户购买反恶意软件之软件,以清理已经受感染的计算机。已经存在于计算机上的恶意软件已知为攻击并且在许多情况下阻止反恶意软件之软件的安装或者使安装无效。为了与此抗衡,一些恶意软件检测软件通过反恶意软件之软件安装器(installer)来执行系统的安装前扫描和清理,以尝试确保成功安装。但是,这个扫描增加初始下载大小,并且还能够明显影响安装反恶意软件之软件的时间,从而提供不是最佳的安装体验。【专利附图】【附图说明】[0005]图1是示出按照一个实施例的网络架构的框图。[0006]图2是示出其上可安装按照一个实施例的软件的计算机的框图。[0007]图3是示出按照一个实施例的反恶意软件之软件安装包的框图。[0008]图4是示出按照一个实施例、用于安装反恶意软件之软件的技术的流程图。[0009]图5是更详细地示出图4的技术的一个实施例的流程图。【具体实施方式】[0010]下面更详细描述的各个实施例提供一种技术,以用于在反恶意软件之软件的完全安装之前执行对其上将要安装反恶意软件之软件的计算机的分析。如果该分析确定计算机可能已经包含恶意软件,则在反恶意软件之软件的安装的一部分之前,尝试扫描和清理计算机。否则,可绕过安装前扫描和清理,从而允许反恶意软件之软件的那个部分的安装。[0011]为了解释的目的,以下描述中提出大量具体的详细资料,以便提供对本发明的透彻了解。然而,本领域的技术人员十分清楚,即使没有这些具体的详细资料,也可实施本发明。在其它情况下,结构和装置以框图形式示出,以免影响对本发明的理解。引用没有下标或后缀的标号被理解为引用与该引用的标号对应的下标和后缀的所有实例。此外,本公开中使用的语言主要是为了可读性和指导性的目的而被选择的,而不是选择成界定或限制发明主题,依靠权利要求书是确定这种发明主题所必需的。本说明书中提到“一个实施例”或者“一实施例”表示结合该实施例所述的特定特征、结构或特性包含在本发明的至少一个实施例中,并且多次提到“一个实施例”或者“一实施例”不应当被理解为必然全部指相同的实施例。[0012]图1示出按照一个实施例的网络架构100。如所示,提供多个网络102。在当前网络架构100的上下文中,网络102各可采取任何形式,包括但不限于局域网(LAN)、无线网络、诸如因特网之类的广域网(WAN)等。[0013]耦合到网络102的是数据服务器计算机104,其能够通过网络102进行通信。还耦合到网络102和数据服务器计算机104的是多个最终用户计算机106。这类数据服务器计算机104和/或客户端计算机106各可包括台式计算机、膝上型计算机、手持计算机、移动电话、手持计算机、外设(例如打印机等)、计算机的任何组件和/或任何其它类型的逻辑。为了促进网络102之间的通信,至少一个网关或路由器108可选地耦合在其之间。[0014]现在参照图2,以框图形式示出用于提供按照一个实施例的反恶意软件之软件安装技术中使用的示例计算机图形200。计算机200可用作客户端计算机106或者服务器计算机104。示例计算机图形200包括系统单元图形210,其可以可选地连接到输入装置或系统图形260(例如键盘、鼠标、触摸屏等)和显示器图形270。程序存储装置(PSD)图形280(有时称作硬盘)随系统单元图形210被包含。还随系统单元图形210所包含的是网络接口图形240,以用于经由网络与其它计算和公司基础设施装置(未示出)的通信。网络接口图形240可包含在系统单元图形210中,或者可以是系统单元图形210外部的。在任一种情况下,系统单元图形210将在通信上耦合到网络接口图形240。程序存储装置图形280表示任何形式的非易失性存储装置,包括但不限于所有形式的光和磁(包括固态)存储元件(其中包括可移除媒体),并且可包含在系统单元图形210中或者可以是系统单元图形210外部的。程序存储装置图形280可用于存储控制系统单元图形210的软件、供计算机图形200使用的数据或者它们两者。[0015]系统单元图形210可编程为执行按照本公开的方法(其一个示例如图3所示)。系统单元图形210包括处理单元(PU)图形220、输入输出(I/O)接口图形250和存储器图形230。处理单元图形220可包括任何可编程控制器装置,包括例如来自IntelCorporation的IntelAtom?、Core?、Pentium?和Celeron?处理器系列以及来自ARM的Cortex和ARM处理器系列的一个或多个成员。(INTEL、INTELATOM、CORE、PENTIUM和CELERON是IntelCorporation的注册商标。CORTEX是ARMLimitedCorporation的注册商标。ARM是ARMLimitedCompany的注册商标。)存储器图形230可包括一个或多个存储器模块,并且包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可编程读-写存储器和固态存储器。PU图形220还可包括一些内部存储器,其中包括例如高速缓冲存储器。[0016]计算机200上可具有常驻的任何期望的操作系统。实施例可使用任何期望的编程语言来实现,并且可实现为一个或多个可执行程序,其可链接到外部可执行例程库(其可由反恶意软件之软件的提供商、操作系统的提供商或者适当库例程的任何其它期望的提供商来提供)。[0017]在准备将反恶意软件之软件安装于计算机200中,可提供实施例存储在任何类型的非暂态计算机可读媒体上,或者可从服务器104下载到程序存储装置280。[0018]图3是示出按照一个实施例的反恶意软件之软件安装包300的框图。安装器310一般执行安装反恶意软件之软件的功能性,其中除了基本安装功能性之外,还包括起动风险评估器320和安装前扫描器330。风险评估器320—般执行计算机200(其上将要安装反恶意软件之软件)是否因计算机200上的恶意软件的可能存在而处于风险状态的评估。安装前扫描器330—般执行计算机200的安装前扫描的功能性以及安装前扫描确定应当执行的任何清理动作。主要部分340包括封装例程,其一旦安装则将执行反恶意软件之软件的功能性。包300可在计算机媒体、例如光盘上作为反恶意软件之软件的零售包的一部分来提供。备选的是,包300可从反恶意软件之软件的提供商来下载,而无需提供物理媒体。[0019]在一个实施例中,安装前扫描器330虽然示为图3中的包300的一部分,但是可在最初提供给计算机用户时从包300中省略。在这种实施例中,在从风险评估器320接收计算机200处于风险状态的结果时,安装器310可从外部服务器得到安装前扫描器330,然后起动安装前扫描器330,如以下所述。因此,在这种实施例中,安装包300的大小可减小,因为安装前扫描器330无需被提供,除非风险评估器已经推断计算机200处于风险状态一其要求安装前扫描。[0020]在其它实施例中,安装前扫描器330可最初可作为包300的一部分来提供,并且可无需下载安装前扫描器330而起动。[0021]包300的任何部分(包括风险估计器320、安装前扫描器330和主要部分340)可如所期望的通过执行安装器310来下载。包300可包括与图3所示那些组件不同的组件,以及图3中分别示出安装器310、风险评估器320、安装前扫描器330和主要部分340不应当被理解为暗示包300的那些部分的任何特定形式或封装。图3所示特征的任一个可如所期望的与包300的其它特征的任一个相结合。[0022]图4是示出按照一个实施例、用于安装反恶意软件之软件的技术的流程图。在框410,安装器310被加载到存储器中,并且开始执行。安装器310起动风险评估器320,其在框420对计算机200执行风险分析。如果风险分析产生指示计算机200因其上存在恶意软件而处理风险状态的结果,如框430所确定,则安装器310可加载安装前扫描器330,其在框440执行安装前扫描和清理操作。[0023]如果在框430的确定是计算机没有处于风险状态或者在框440的安装前扫描完成之后,安装器310在框450完成反恶意软件之软件的安装过程。[0024]图5是更详细地示出用于安装反恶意软件之软件的技术的一个实施例的流程图。如图5所示的技术包括三个一般部分,其对应于安装器310、安装前扫描器330和风险评估器320。[0025]开始于框505,起动反恶意软件之软件的安装器310。安装器310可由反恶意软件之软件的提供商来提供,并且可包括由操作系统的供应商所提供的例程,其是安装过程通用的并且可由多个安装程序来使用。[0026]在一个实施例中,可在框510为计算机200的用户显示安装状况。这个状况通常告知用户软件安装已经开始,并且可提供与安装进度有关的状况信息(其随时间来更新);但是可提供任何期望的状况信息,以及在需要时可省略状况信息的显示。[0027]然后,安装器在框515起动风险估计器320。一些恶意软件之软件已知为查找反恶意软件之软件安装器或者其它反恶意软件之软件的执行,从而基于可执行程序的名称来触发对反恶意软件之软件的攻击。因此,在一个实施例中,风险评估器320可按照使得触发这种恶意软件的执行的方式来命名。例如,由McAfee,Inc.(本申请的受让人)所提供的风险估计器320可提供有包括“mcafee”作为可执行文件(executable)的名称一部分的名称。[0028]在框520,风险评估器320可将任何期望的技术用于确定计算机200上执行的软件例程的识别码。这些软件例程可包括任何类型的可执行例程,包括动态链接库。可对在计算机200上执行的例程的每个评估其作为恶意软件的风险。[0029]在一个实施例中,三步技术可用于风险评估。在框525,风险评估器确定执行的例程是否为被保护的可执行文件。例如,MicrosoftWINDOWS?操作系统(“WINDOWS”是MicrosoftCorporation的注册商标)提供Windows文件保护(WFP)特征,其阻止程序替换关键Windows系统文件。WFP使用签名和目录文件(共通过代码签名来生成)来检验被保护系统文件是否为正确的Microsoft版本,来保护作为Windows的组成部分来安装的关键系统文件(例如具有dll、.exe、.0cx和.sys扩展名的文件)。如果文件被未经授权技术来改变,则Windows操作系统恢复原始文件。其它操作系统可提供用于保护关键可执行文件的相似类型的技术。如果执行的例程是被保护的可执行文件,则风险估计器320可确定该可执行文件是安全的,并且将不要求安装前扫描和清理操作。[0030]如果该可执行文件不是被保护的可执行文件,则在框530,风险评估器320可确定该可执行文件是否经过数字签名。由于数字签名证书的提供商所要求的检查,数字签名例程一般被认为来自合法公司,并且因此可以不要求安装前扫描和清理操作。[0031]如果可执行文件既不是被保护可执行文件也没有经过数字签名,则在一个实施例中,在框535,风险评估器320可向外部系统发送查询,从而提供与可执行程序有关的信息,以允许外部系统识别可执行文件并且回应风险评估器320。外部系统可基于由风险评估器320所提供的信息在与外部系统可用的可执行程序有关的信息的资料库中执行查找,从而以该可执行文件是否已知为恶意软件的指示进行响应。例如,如果被扫描的计算机200是图1所示的客户端106之一,则外部系统可由又如图1所示的服务器104之一来提供。[0032]如果运行的可执行文件受到保护或者经过签名,或者如果外部系统指示运行的可执行文件不是已知为恶意软件,则可忽略那个可执行文件,以及在框540,风险评估器320确定是否剩余任何附加可执行文件要被扫描,如果剩余任何这类附加可执行文件,则重复进行在框520的开始,直到已经扫描全部运行的可执行文件。[0033]如果外部系统进行响应以指示运行的可执行文件已知为恶意软件,或者如果在框540的确定是没有剩余更多可执行文件要被扫描,则在框545将结果返回给安装器。如果外部系统以运行的可执行文件已知为恶意软件的指示进行响应,则由风险评估器320所返回的结果可指示存在安装反恶意软件之软件的风险,而无需执行安装前扫描和清理操作。[0034]在一个实施例中,如果外部系统不可达或者由于任何原因而无法返回对来自风险评估器320的查询的响应,则风险估计器320可判定运行的可执行文件可能是恶意软件,并且返回请求安装前扫描和清理操作的结果。如果分析了所有运行的可执行文件并且没有检测到恶意软件,则由风险评估器320所返回的结果可指示可略过安装前扫描和清理操作。[0035]用于确定运行的可执行文件是否为恶意软件的上述技术是说明性的并且仅作为举例,以及其它期望的技术可与上述技术结合使用或者附加于那些技术来使用。例如,可包含其它步骤,以尝试查找rootkit。rootkit是一种软件,其实现对计算机的持续特权访问,同时通过破坏标准操作系统功能性或其它应用来向管理员主动隐藏其存在。[0036]另外,一些实施例可提供风险评估技术,其适合特定类型的恶意软件,例如在尝试隐藏其自己并且干扰反恶意软件之软件方面特别有攻击性的恶意软件类型。在一个实施例中,对于与由反恶意软件行业的一部分识别为“klez”的一种类型的恶意软件相关的可执行文件的特定检查可作为由风险评估程序所执行的检查之一来包含。在一个实施例中,对于与由反恶意软件行业的一部分识别为“sality”的一种类型的恶意软件相关的可执行文件的特定检查可作为由风险评估程序所执行的检查之一来包含。”可包含这些类型特定风险评估技术,作为上述三种技术的附加或替代。[0037]在一个实施例中,采用多种风险评估技术的风险评估器320(例如图5所示)优选地排序(order)风险评估技术的执行,使得执行所述技术,其中最快的技术首先被执行,以及其它技术按照速度顺序跟随,使得花费最长时间的技术最后执行。备选的是,采用多种风险评估技术的风险评估器320可如所期望的并行执行那些技术。[0038]在一个实施例中,不是采用诸如框525和530的被保护文件和数字签名技术之类的本地技术,风险评估器320而是可以仅采用诸如框535所示之类的在线技术。在另一个实施例中,风险评估器320可以仅采用本地技术,而不使用要求对外部系统的访问的技术。[0039]在一个实施例中,除了检查数字签名的存在或不存在之外,框530的数字签名技术还可执行附加测试。例如,框530的数字签名技术可通过查找数字签名的众所周知的名称,或者通过评估提供数字签名的认证机构的声誉,来评估数字签名的确实性。[0040]一旦风险评估由风险评估器320来执行,则将结果返回给安装器310,其在框550评估计算机200是否被认为处于风险状态。如果确定是计算机200没有处于风险状态,则可省略安装前扫描操作,从而减少安装反恶意软件之软件所需的时间。在这种情况下,安装器310可简单地在框590继续进行安装过程的剩余部分。[0041]如果确定是计算机200处于风险状态,则在框355,如果它还不是安装包300的一部分,则安装前扫描器330可在框555从外部系统来下载。外部系统通常由反恶意软件之软件的提供商来提供,并且通常是经过网络连接从计算机200可访问的服务器,例如图1所不的服务器104之一。[0042]在一个实施例中,安装器310可在框550检测风险评估器320无法返回任何结果的情况。这可指示风险评估器320的故障,但是也可指示已经存在于计算机200上的恶意软件检测到并终止了风险评估器320(例如通过如上所述识别风险评估器320的名称)的情况。在这种实施例中,安装器310可将风险评估器320无法返回任何结果看作是计算机200处于风险状态的指示,就好像风险评估器320返回了指示这种风险状态的结果一样。[0043]在框560,确定安装前扫描器330的下载是否成功。如果不是的话,则在框580,安装器310的用户接口可显示无法下载安装前扫描器330的指示。通过框580所显示的指示可以是由安装器310所生成的窗口、由与安装器310链接的浏览器所显示的支持页面或者可通过任何其它期望的技术来显示。一旦在框580显示该指示,则可略过安装前扫描和清理操作,以及安装器310在框582继续安装反恶意软件之软件的主要部分340。[0044]如果安装前扫描器330成功地下载或者先前已经下载到计算机200上,则安装器310在框565起动安装前扫描器330。然后,安装前扫描器330可在框570扫描计算机200,并且作为扫描结果而采取被认为是必要的任何清理动作。[0045]在一个实施例中,在框570所执行的扫描可以是原本由反恶意软件之软件在被安装之后执行的扫描的修改形式。如果一些类型的恶意软件被认为在安装过程期间不太可能引起问题,则在反恶意软件之软件的正常操作期间可扫描的这种类型的恶意软件可从框570的安装前扫描中省略。例如,一些反恶意软件之软件尝试定位和去除间谍软件(其通常在用户不知道的情况下收集与其有关的小段信息)。间谍软件可能不影响反恶意软件之软件的安装过程,以及在一个实施例中,安装前扫描器330可配置成在框570的安装前扫描期间忽略间谍软件。可类似地省略被认为不太可能影响安装过程的其它类型的恶意软件,从而允许更快地并且以比由反恶意软件之软件对计算机200的安装后扫描要少的开销,来执行安装前扫描。[0046]在框570所执行的安装前扫描可利用信息资源(有时称作DAT文件),其包含对检测和去除恶意软件有用的信息。作为本地信息资源的备选或附加,由安装前扫描器330在框570所执行的安装前扫描可请求外部资源的帮助(例如可由服务器104之一来提供),以用于识别可存在于计算机200的恶意软件的目的。如所期望的,DAT文件可作为安装前扫描器330的一部分在框555来下载,或者可作为反恶意软件安装包300的一部分来提供。备选的是,DAT文件可由安装前扫描器330作为起动安装前扫描器330的一部分来下载。在一个实施例中,框570的安装前扫描仅将外部资源的服务用于识别计算机200上的恶意软件,而没有将本地DAT文件用于那个目的。[0047]除了识别已经存在于计算机200上的恶意软件之外,在框570所执行的安装前扫描还可在反恶意软件之软件的安装之前,采取如从计算机200中去除所检测恶意软件可能所需的所指示清理动作。在一些情况下,清理动作可要求计算机200的重新引导(reboot),在这种情况下,在框570所执行的安装前扫描和清理操作完成时,安装前扫描器330可提供要求重新引导的指示,作为提供给安装器310的结果的一部分。[0048]在框575,安装器310检查由安装前扫描器330所返回的安装前扫描和清理操作的指示。在一个实施例中,可由安装前扫描器330返回三种类型的结果。在第一种类型的结果中,安装前扫描器330可指示扫描和清理操作是成功的,但是在完成安装过程之前要求计算机200的重新引导。在第二种类型的结果中,安装前扫描器330可指示已经成功清理计算机200。在第三种类型的结果中,安装前扫描器330可指示安装前扫描器330在清理计算机200方面不成功。[0049]如果安装器310从安装前扫描器330接收指示可能没有清理计算机200的结果,则在一个实施例中,安装器310可在框580显示可能没有由安装前扫描器330清理计算机200的指示。在一个实施例中,安装器310可在框590继续进行反恶意软件之软件300的主要部分340的安装,即使可能存在安装过程因预先存在恶意软件(其可能没有从计算机200中被清理)而有问题的风险。在另一个实施例中,安装器310可允许用户决定是否继续进行反恶意软件之软件的安装的剩余部分。在又一个实施例中,安装器310可拒绝继续进行安装,并且退出。[0050]如果安装器310从安装前扫描器330接收指示计算机200是清洁的结果,则安装器310可在框590继续进行安装过程的剩余部分,从而安装反恶意软件之软件安装包300的主要部分340。[0051]如果安装器310从安装前扫描器330接收指示要求重新引导的结果,则在一个实施例中,在框585,可为计算机200的用户提供重新引导计算机200的时机。在另一个实施例中,安装器310可引起计算机200的重新引导,而无需请求用户的准许。在任一实施例中,一旦重新引导计算机200,则安装器310可完成安装过程,从而安装了安装包300的主要部分340。[0052]通过仅当必要时才执行安装前扫描和清理操作,上述实施例能够加速安装反恶意软件之软件的过程,而无需冒反恶意软件之软件的失败或者不完全操作安装的风险。改进的反恶意软件安装过程可鼓励计算机用户(其原本可能选择不安装反恶意软件之软件)安装反恶意软件之软件。因为未保护计算机的使用允许恶意软件感染并且可能接管未保护计算机的操作,所以上述改进安装技术可以不仅使计算机200的用户获益,而且还使网络架构100中的其它计算机的用户获益。[0053]要理解,以上描述旨在是说明性而不是限制性的。例如,上述实施例可相互结合使用。通过阅读以上描述,许多其它实施例将是本领域的技术人员显而易见的。因此,本发明的范围应当参照所附权利要求以及这类权利要求涵盖的完整等效范围共同确定。在所附权利要求书中,术语“包括(including)”和“其中(inwhich)”用作相应术语“包含(comprising)”和“之中(wherein)”的普通英语等效体。[0054]如上所述,本公开在一个实施例中解释了一种在安装软件之前执行预扫描的方法,包括:在第一计算机上起动反恶意软件之软件的安装器;执行第一计算机的风险评估;响应指示计算机处于风险状态的风险评估的结果而由安装前扫描器对第一计算机执行安装前扫描和清理操作;以及响应安装前扫描和清理操作而安装反恶意软件之软件的主要部分。执行风险评估还能够包括:如果在第一计算机上检测到恶意软件或者由安装器起动风险评估器软件,则指示第一计算机处于风险状态。另外,指示计算机处于风险状态的风险评估的结果能够指示风险评估器软件无法返回任何结果。当然,安装前扫描器能够响应风险评估而从第二计算机下载。作为备选或附加的是,预扫描能够包括:提供安装前扫描器没有成功下载的指示;以及省略执行对第一计算机执行安装前扫描清理操作的动作。【权利要求】1.一种方法,包括:起动第一计算机上的反恶意软件之软件的安装器;执行所述第一计算机的风险评估;响应于指示所述计算机处于风险状态的所述风险评估的结果而由安装前扫描器对所述第一计算机执行安装前扫描和清理操作;以及响应于所述安装前扫描和清理操作而安装所述反恶意软件之软件的主要部分。2.如权利要求1所述的方法,其中,执行所述第一计算机的风险评估的动作包括:如果在所述第一计算机上检测到恶意软件,则指示所述第一计算机处于风险状态。3.如权利要求1所述的方法,其中,执行所述计算机的风险评估的动作包括:由所述安装器起动风险评估器软件。4.如权利要求3所述的方法,其中,指示所述计算机处于风险状态的所述风险评估的结果包括所述风险评估器软件无法返回任何结果。5.如权利要求1所述的方法,还包括:响应所述风险评估而从第二计算机下载所述安装前扫描器。6.如权利要求5所述的方法,还包括:提供所述安装前扫描器没有成功下载的指示;以及省略执行对所述第一计算机执行安装前扫描清理操作的动作。7.如权利要求1所述的方法,其中,响应所述安装前扫描和清理操作而安装所述反恶意软件之软件的主要部分的动作包括:指示所述安装前扫描器没有成功清理由所述安装前扫描器所发现的恶意软件的所述第一计算机。8.如权利要求7所述的方法,还包括:如果所述安装前扫描清理操作没有成功清理所述第一计算机,则询问所述第一计算机的用户是否尝试执行安装所述反恶意软件之软件的主要部分的动作。9.如权利要求1所述的方法,其中,响应所述安装前扫描和清理操作而安装所述反恶意软件之软件的主要部分的动作包括:请求所述第一计算机的用户重新引导所述第一计算机;以及在重新引导所述第一计算机之后安装所述反恶意软件之软件的主要部分。10.如权利要求1所述的方法,其中,响应指示所述计算机处于风险状态的所述风险评估的结果而由安装前扫描器对所述第一计算机执行安装前扫描和清理操作的动作包括:忽略第一恶意软件,其中所述第一恶意软件已知为不影响所述反恶意软件之软件的安装。11.如权利要求1所述的方法,其中,执行所述第一计算机的风险评估的动作包括:对运行于所述第一计算机的每个可执行文件执行多个检查;以及响应所述多个检查而确定所述第一计算机是否处于风险状态。12.如权利要求11所述的方法,其中,执行所述第一计算机的风险评估的动作还包括:排序所述多个检查,使得所述多个检查的最快检查首先被执行。13.如权利要求11所述的方法,其中,所述多个检查之一包括:确定可执行文件是否为操作系统保护的文件。14.如权利要求11所述的方法,其中,所述多个检查之一包括:确定可执行文件是否经过数字签名。15.如权利要求11所述的方法,其中,所述多个检查之一包括:从外部系统请求与可执行文件有关的信息,其中所述外部系统以所述可执行文件是否已知为恶意软件的指不进行响应。16.一种非暂态计算机可读媒体,其上存储了用于可编程控制装置的指令,其中所述指令使可编程控制装置执行动作,包括:起动第一计算机上的反恶意软件之软件的安装器;执行所述第一计算机的风险评估;响应指示所述计算机处于风险状态的所述风险评估的结果而由安装前扫描器对所述第一计算机执行安装前扫描和清理操作;以及响应所述安装前扫描和清理操作而安装所述反恶意软件之软件的主要部分。17.一种服务器计算机,包括:处理器;以及存储子系统,耦合到所述处理器,其上存储了指令,所述指令在由所述处理器执行时使所述处理器执行动作,包括:从尝试安装反恶意软件之软件、被确定为处于风险状态的客户端计算机接收对安装前扫描器软件的请求;向所述客户端计算机发送所述安装前扫描器软件,以用于在安装所述反恶意软件之软件的一部分之前执行,其中所述安装前扫描器包括在由所述客户端计算机执行时使所述客户端计算机执行包括下列动作的动作的指令:对所述客户端计算机扫描所述客户端计算机上安装的恶意软件;以及清理通过执行对所述客户端计算机扫描所述客户端计算机上安装的恶意软件的动作所发现的恶意软件的所述客户端计算机。18.如权利要求17所述的服务器计算机,其中,对所述客户端计算机扫描所述客户端计算机上安装的恶意软件的动作包括:忽略已知为不影响所述客户端计算机上的所述反恶意软件之软件的安装的恶意软件。19.如权利要求17所述的服务器计算机,其中,所述安装前扫描器包括:扫描引擎;以及信息资源,包括:与已知恶意软件对应的信息,以用于检测所述客户端计算机上的恶意软件;以及与已知恶意软件对应的信息,以用于从所述客户端计算机清理恶意软件。20.如权利要求17所述的服务器计算机,其中,所述安装前扫描器包括在由所述客户端计算机执行时使所述客户端计算机执行还包括下列动作的动作的指令:向所述客户端计算机上的安装器程序指示清理恶意软件的所述客户端计算机的动作是否成功。【文档编号】G06F21/56GK103858132SQ201280043688【公开日】2014年6月11日申请日期:2012年9月6日优先权日:2011年9月8日【发明者】J.多尔,V.瓦拉达拉,D.K.朱彻申请人:迈可菲公司