启动项未知风险的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及信息安全技术领域,特别是涉及一种启动项未知风险的检测方法及装置。
【背景技术】
[0002]随着技术的发展,满足用户不同需求的应用程序大量涌现,许多应用程序为了能够响应用户的操作而快速启动,都选择了随操作系统启动而自动启动运行。所述开机启动项,就是指随操作系统启动在前台或者后台自动运行加载的程序,一般为windows系统电脑的开机启动项。
[0003]目前,许多应用程序的自动启动运行,确实给用户带来了诸多便利,但是,不是每个自动启动运行的应用程序对用户都有用,更甚者,一些病毒或者木马也随着操作系统启动而启动,病毒或者木马的自动启动给用户的电脑带了极大的安全威胁。因此,如何检测出开机启动项中存在的未知病毒或者木马成为目前亟待解决的问题。
【发明内容】
[0004]有鉴于此,本发明提供的一种启动项未知风险的检测方法及装置,主要目的在于检测出局域网内各个终端设备的启动项中存在的未知病毒或者木马。
[0005]依据本发明一个方面,本发明提供了一种启动项未知风险的检测方法,所述方法包括:
[0006]扫描局域网内各个终端设备,并获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
[0007]确定所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;
[0008]若确定所述第一启动项属性信息与所述第二启动项属性信息不一致,则获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息;
[0009]若所述差异信息为所述预置文件,则确定所述预置文件是否为灰文件;
[0010]若确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值,则向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
[0011]依据本发明另一个方面,本发明提供了一种启动项未知风险的检测装置,所述装置包括:
[0012]扫描单元,用于扫描局域网内各个终端设备;
[0013]第一获取单元,用于在所述扫描单元扫描局域网内各个终端设备的过程中,获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
[0014]第一确定单元,用于确定所述第一获取单元获取的所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准彳g息;
[0015]第二获取单元,用于当所述第一确定单元确定所述第一启动项属性信息与所述第二启动项属性信息不一致时,获取所述第一启动项属性信息与所述第二启动项属性信息的差异?目息;
[0016]第二确定单元,用于当所述第二获取单元获取的所述差异信息为所述预置文件时,确定所述预置文件是否为灰文件;
[0017]发送单元,用于当所述第二确定单元确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值时,向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
[0018]借由上述技术方案,本发明提供的启动项未知风险的检测方法及装置,服务器在检测局域网中各个终端设备的启动项是否存在未知风险时,首先,扫描各个终端设备,并获取终端设备中启动项对应的第一启动项属性信息,其次,确定第一启动项属性信息与第二启动项属性信息是否一致,该第二启动项属性信息为服务器检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;当确定该第一启动项属性信息与该第二启动项属性信息不一致时,获取该第一启动项属性信息与该第二启动项属性信息的差异信息;若该差异信息为该预置文件,则确定该预置文件是否为灰文件;若确定该预置文件为灰文件,且预置时间段内包含该预置文件对应的终端设备数量符合预置异常数量阈值,则向包含该预置文件的终端设备下发异常警示信息,以便该终端设备将包含该预置文件的启动项删除;本发明能够通过对启动项属性信息中预置文件的判断,确定终端设备中的启动项中是否存在未知风险,确保终端设备的安全。
[0019]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0020]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0021]图1示出了本发明实施例提供的一种启动项未知风险的检测方法的流程图;
[0022]图2示出了本发明实施例提供的一种服务器确定第二启动项属性信息的方法流程图;
[0023]图3示出了本发明实施例提供的一种启动项未知风险的检测装置的组成框图;
[0024]图4示出了本发明实施例提供的另一种启动项未知风险的检测装置的组成框图。
【具体实施方式】
[0025]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0026]本发明实施例提供一种启动项未知风险的检测方法,该方法应用于防病毒体系的服务器侧,如图1所示,该方法包括:
[0027]101、服务器扫描局域网内各个终端设备,并获取第一启动项属性信息。
[0028]注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。
[0029]防病毒体系服务器在检测局域网内各个终端设备的启动项中是否存在未知风险时,首先,对各个终端设备进行扫描,获取终端设备中的第一启动项属性信息,其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件、参数值指向的预置文件路径、终端设备的设备标识等等,本发明实施例对属性信息中包含的具体内容不进行限定。
[0030]在具体实施时,注册表中的位置信息是固定的,为了便于对注册表的位置信息进行管理,可以将注册表的位置信息进行编号,例如:编号名称为01、02、03…,或者,编号名称也可以为Ι、Π、ΙΙΙ等等,每个编号下的位置信息对应一个或者多个参数值,而参数值可能指向一个预置文件,也可能指向预置文件的文件路径。具体的本发明实施例对注册表位置信息的编号大小、编号名称以及编号下的位置信息对应的参数值的数量不进行限定。
[0031]102、服务器确定所述第一启动项属性信息与第二启动项属性信息是否一致。
[0032]基于步骤101获取的第一启动项属性信息,获取第二启动项属性信息,所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息,是服务器预先确定的。服务器将第一启动属性信息与第二启动属性信息进行比对,确定两者之间是否一致,若一致,则说明局域网内各个终端设备的启动项中不存在未知风险;若不一致,则说明局域网内各个终端设备的启动项中可能存在未知风险,继续执行步骤103。
[0033]103、若确定所述第一启动项属性信息与所述第二启动项属性信息不一致,则服务器获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息。
[0034]当服务器确定第一启动项属性信息与第二启动项属性信息不一致时,获取第一启动项属性信息与所述第二启动项属性信息之间的差异信息;由步骤1I可知,启动项对应的属性信息中包含注册表的位置信息、注册表的位置信息对应的参数值、所述参数值指向的预置文件,由于注册表中的位置信息是固定的,因此,第一启动项属性信息与第二启动项属性信息之间的差异信息为注册表中的位置信息的机率较小;而注册表的位置信息对应的参数值、所述参数值指向的预置文件确定为第一启动项属性信息与第二启动项属性信息之间的差异信息的机率较大,因此,在确定第一启动项属性信息与第二启动项属性信息