一种病毒扫描方法、装置、设备及存储介质与流程

本发明涉及病毒扫描，特别涉及一种病毒扫描方法、装置、设备及存储介质。

背景技术：

1、随着计算机技术的不断发展，计算机病毒、木马、蠕虫、间谍软件等恶意软件已经成为了互联网安全的重要威胁之一。静态文件扫描是一种常见的安全工具，用于检测系统中的恶意文件。然而，无文件攻击通常不需要在目标系统上写入任何文件，无文件攻击还可以使用已存在的可信程序和工具来实现攻击，攻击者可以利用漏洞或其他手段将恶意代码注入到目标系统的内存中，并在运行时执行。这使得检测和识别攻击变得更加困难，这种方法往往难以检测无文件攻击和内存马注入攻击等攻击。由于静态文件扫描器只能检测静态文件，因此它无法检测到内存马注入攻击。在内存中，恶意代码不再被加密或加壳，而是直接加载到进程或线程中。因此，相比于静态文件扫描，内存扫描更容易检测和识别恶意代码。内存扫描还能够检测和处理一些隐藏在进程或线程中的恶意代码，例如内存中的恶意钩子、注入的dll和内核模块等。进一步的，如何提升内存病毒扫描的及时性以及如何降低内存扫描的误报率是本领域要解决的问题。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种病毒扫描方法、装置、设备及存储介质，能够及时扫描若干进程中的内存数据，可以提高病毒防护能力。其具体方案如下：

2、第一方面，本申请提供了一种病毒扫描方法，应用于计算机终端，包括：

3、获取当前病毒扫描任务；所述当前病毒扫描任务包括主动扫描任务和被动扫描任务；

4、在当前计算机中确定与所述当前病毒扫描任务对应的进程信息；

5、根据所述进程信息读取相应进程中的内存数据；

6、基于预设病毒数据库对所述内存数据进行病毒扫描操作。

7、可选的，所述获取当前病毒扫描任务，包括：

8、获取工作人员发起的所述主动扫描任务；

9、或，获取通过预设文件监控事件触发的所述被动扫描任务。

10、可选的，所述获取当前病毒扫描任务之前，还包括：

11、获取工作人员预先根据若干进程信息创建的预设文件监控事件，以便根据所述预设文件监控事件获取相应的被动扫描任务。

12、可选的，所述在当前计算机中确定与所述当前病毒扫描任务对应的进程信息，包括：

13、在所述当前计算机中通过/proc/[pid]/maps文件确定与所述当前病毒扫描任务对应的若干个进程的内存地址以及第一权限信息；

14、或，通过openprocess函数在所述当前计算机中确定出与所述当前病毒扫描任务对应的进程句柄，并基于所述进程句柄确定相应的第二权限信息。

15、可选的，所述根据所述进程信息读取相应进程中的内存数据，包括：

16、根据所述第一权限信息通过/proc/[pid]/mem文件读取相应进程中的内存数据；

17、或，根据所述第二权限信息利用virtualqueryex函数查询相应进程中的内存数据，并利用readprocessmemory函数读取该内存数据。

18、可选的，所述基于预设病毒数据库对所述内存数据进行病毒扫描操作，包括：

19、将所述内存数据发送至预设病毒检测模型，以便所述预设病毒检测模型基于所述预设病毒数据库对所述内存数据进行病毒扫描操作。

20、可选的，所述基于预设病毒数据库对所述内存数据进行病毒扫描操作之后，还包括：

21、若判定所述内存数据中存在病毒数据，则基于所述内存数据触发病毒告警操作。

22、第二方面，本申请提供了一种病毒扫描装置，应用于计算机终端，包括：

23、任务获取模块，用于获取当前病毒扫描任务；所述当前病毒扫描任务包括主动扫描任务和被动扫描任务；

24、进程确定模块，用于在当前计算机中确定与所述当前病毒扫描任务对应的进程信息；

25、内存数据读取模块，用于根据所述进程信息读取相应进程中的内存数据；

26、病毒扫描模块，用于基于预设病毒数据库对所述内存数据进行病毒扫描操作。

27、第三方面，本申请提供了一种电子设备，包括：

28、存储器，用于保存计算机程序；

29、处理器，用于执行所述计算机程序以实现如上述的病毒扫描方法。

30、第四方面，本申请提供了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现如上述的病毒扫描方法。

31、由此可见，本申请首先获取当前病毒扫描任务；所述当前病毒扫描任务包括主动扫描任务和被动扫描任务；再在当前计算机中确定与所述当前病毒扫描任务对应的进程信息；然后根据所述进程信息读取相应进程中的内存数据；再基于预设病毒数据库对所述内存数据进行病毒扫描操作。这样一来，本申请可以通过被动扫描任务及时扫描若干进程中的内存数据，并且可以根据当前病毒扫描任务确定相应的若干个进程，避免进行全盘扫描，可以减少误报率，提高了病毒防护能力。并且通过被动扫描任务可以尽可能提升病毒扫描的及时性，能够有效提升病毒防护能力。

技术特征：

1.一种病毒扫描方法，其特征在于，应用于计算机终端，包括：

2.根据权利要求1所述的病毒扫描方法，其特征在于，所述获取当前病毒扫描任务，包括：

3.根据权利要求1所述的病毒扫描方法，其特征在于，所述获取当前病毒扫描任务之前，还包括：

4.根据权利要求1所述的病毒扫描方法，其特征在于，所述在当前计算机中确定与所述当前病毒扫描任务对应的进程信息，包括：

5.根据权利要求4所述的病毒扫描方法，其特征在于，所述根据所述进程信息读取相应进程中的内存数据，包括：

6.根据权利要求1至5任一项所述的病毒扫描方法，其特征在于，所述基于预设病毒数据库对所述内存数据进行病毒扫描操作，包括：

7.根据权利要求6所述的病毒扫描方法，其特征在于，所述基于预设病毒数据库对所述内存数据进行病毒扫描操作之后，还包括：

8.一种病毒扫描装置，其特征在于，应用于计算机终端，包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，用于保存计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的病毒扫描方法。

技术总结
本申请公开了一种病毒扫描方法、装置、设备及存储介质，涉及病毒扫描技术领域，应用于计算机终端，包括：获取当前病毒扫描任务；所述当前病毒扫描任务包括主动扫描任务和被动扫描任务；在当前计算机中确定与所述当前病毒扫描任务对应的进程信息；根据所述进程信息读取相应进程中的内存数据；基于预设病毒数据库对所述内存数据进行病毒扫描操作。这样一来，本申请可以根据当前病毒扫描任务确定相应的若干个进程，对相应进程中的内存数据进行病毒扫描操作，避免了全盘扫描过程，能够减少误报率，并且通过被动扫描任务可以尽可能提升病毒扫描的及时性，能够有效提升病毒防护能力。

技术研发人员：刘玲宏,姜喜庆
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：
技术公布日：2024/1/15