删除,以防止病毒或者木马程序存在于预置文件中,而威胁终端设备的安全。
[0063]208、服务器确定所述预置文件是否为黑名单文件。
[0064]若确定所述预置文件为黑名单文件,则执行步骤207;若确定所述预置文件不为黑名单文件,则执行步骤209。
[0065]209、服务器将所述启动项属性信息确定所述第二启动项属性信息。
[0066]服务器确定预置文件既不是灰文件,也不是黑名单文件,说明预置文件为白名单文件,因此,服务器直接将包含预置文件的启动项属性信息确定为第二启动项属性信息。
[0067]进一步的,服务器在确定所述第一启动项属性信息与第二启动项属性信息是否一致,其具体实现过程如下,首先,服务器确定该第二启动项属性信息是否包含该第一启动项属性信息;若确定该第二启动项属性信息包含该第一启动项属性信息,则分别获取该第二启动项属性信息与该第一启动项属性信息中的该注册表的位置信息、该参数值、该预置文件;分别将该注册表的位置信息、该参数值、该预置文件进行比对,并确定该注册表的位置信息、该参数值、该预置文件是否一致。若确定所述第二启动项属性信息不包含所述第一启动项属性信息,则确定所述第一启动项属性信息是否为所述第二启动项属性信息。
[0068]示例性的,若第二启动项属性信息中包含20个属性信息,而第一启动项属性信息中包含24个属性信息,则说明第二启动项属性信息不包含所述第一启动项属性信息,即第二启动项属性信息少于第一启动项属性信息,服务器将第一启动项属性信息中多出的4个启动项属性信息根据图2所示的方法,确定多出的4个启动项属性信息是否能够确定为第二启动项属性信息,若能够确定,则将多出的4个启动项属性信息确定为第二启动项属性信息。
[0069]进一步的,作为对上述图1所示方法的实现,本发明另一实施例还提供了一种启动项未知风险的检测装置。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
[0070]本发明实施例还提供一种启动项未知风险的检测装置,如图3所示,该装置包括:[0071 ]扫描单元31,用于扫描局域网内各个终端设备;
[0072]第一获取单元32,用于在所述扫描单元31扫描局域网内各个终端设备的过程中,获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
[0073]第一确定单元33,用于确定所述第一获取单元32获取的所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准ig息;
[0074]第二获取单元34,用于当所述第一确定单元33确定所述第一启动项属性信息与所述第二启动项属性信息不一致时,获取所述第一启动项属性信息与所述第二启动项属性信息的差异ig息;
[0075]第二确定单元35,用于当所述第二获取单元34获取的所述差异信息为所述预置文件时,确定所述预置文件是否为灰文件;
[0076]发送单元36,用于当所述第二确定单元35确定所述预置文件为灰文件,且预置时间段内包含所述预置文件对应的终端设备数量符合预置异常数量阈值时,向包含所述预置文件的终端设备下发异常警示信息,以便所述终端设备将包含所述预置文件的启动项删除。
[0077]进一步的,如图4所示,所述装置还包括:
[0078]配置单元37,用于当所述第二获取单元34获取的所述差异信息为所述参数值时,根据所述第二启动项属性信息中的参数值配置所述第一启动项属性信息中的参数值。
[0079]进一步的,如图4所示,所述装置还包括:
[0080]第三确定单元38,用于在所述第一确定单元33确定所述第一启动项属性信息与第二启动项属性信息是否一致之前,确定所述第二启动项属性信息;
[0081 ]存储单元39,用于在所述第三确定单元38确定所述第二启动项属性信息之后,将所述第二启动项属性信息进行存储。
[0082]进一步的,如图4所示,所述第三确定单元38包括:
[0083]获取模块381,用于获取各个终端设备的启动项属性信息;
[0084]解析模块382,用于解析所述获取模块381获取的所述启动项属性信息;
[0085]第一确定模块383,用于在所述解析模块382解析所述启动项属性信息时,确定所述启动项属性信息中是否包含预置文件;
[0086]第二确定模块384,用于当所述第一确定模块383确定所述启动项属性信息中包含预置文件时,确定所述预置文件是否为灰文件;
[0087]统计模块385,用于当所述第二确定模块384确认所述预置文件为灰文件时,统计包含所述预置文件对应的终端设备的预设数量;
[0088]配置模块386,用于当所述统计模块385统计的所述预设数量超过预置数量阈值时,将所述预置文件配置为白名单文件;
[0089]第三确定模块387,用于在所述配置模块386将所述预置文件配置为白名单文件之后,将所述启动项属性信息确定所述第二启动项属性信息;
[0090]第一删除模块388,用于当所述统计模块387统计的所述预设数量未超过预置数量阈值时,将所述预置文件所在的启动项删除。
[0091]进一步的,如图4所示,所述第三确定单元38还包括:
[0092]第二删除模块389,用于当所述第一确定模块383确定所述预置文件为黑名单文件时,将所述预置文件所在的启动项删除;
[0093]第四确定模块3810,用于当所述第一确定模块383确定所述预置文件为白名单文件时,将所述启动项属性信息确定所述第二启动项属性信息。
[0094]进一步的,如图4所示,所述第一确定单元33包括:
[0095]第一确定模块331,用于确定所述第二启动项属性信息是否包含所述第一启动项属性信息;
[0096]获取模块332,用于当所述第一确定模块332确定所述第二启动项属性信息包含所述第一启动项属性信息时,分别获取所述第二启动项属性信息与所述第一启动项属性信息中的所述注册表的位置信息、所述参数值、所述预置文件;
[0097]比对模块333,用于分别将所述获取模块332获取的所述注册表的位置信息、所述参数值、所述预置文件进行比对;
[0098]第二确定模块334,用于在所述比对模块333分别将获取的所述注册表的位置信息、所述参数值、所述预置文件进行比对过程中,确定所述注册表的位置信息、所述参数值、所述预置文件是否一致。
[0099]进一步的,如图4所示,所述第一确定单元33还包括:
[0100]第三确定模块335,用于当所述第一确定模块331确定所述第二启动项属性信息不包含所述第一启动项属性信息时,确定所述第一启动项属性信息是否为所述第二启动项属性信息。
[0101]本发明实施例提供的启动项未知风险的检测装置,服务器在检测局域网中各个终端设备的启动项是否存在未知风险时,首先,扫描各个终端设备,并获取终端设备中启动项对应的第一启动项属性信息,其次,确定第一启动项属性信息与第二启动项属性信息是否一致,该第二启动项属性信息为服务器检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;当确定该第一启动项属性信息与该第二启动项属性信息不一致时,获取该第一启动项属性信息与该第二启动项属性信息的差异信息;若该差异信息为该预置文件,则确定该预置文件是否为灰文件;若确定该预置文件为灰文件,且预置时间段内包含该预置文件对应的终端设备数量符合预置异常数量阈值,则向包含该预置文件的终端设备下发异常警示信息,以便该终端设备将包含该预置文件的启动项删除;本发明实施例能够通过对启动项属性信息中预置文件的判断,确定终端设备中的启动项中是否存在未知风险,确保终端设备的安全。
[0102]本发明的实施例公开了:
[0103]Al、一种启动项未知风险的检测方法,其特征在于,包括:
[0104]扫描局域网内各个终端设备,并获取第一启动项属性信息;其中,所述第一启动项属性信息为终端设备中启动项对应的属性信息,所述属性信息包括:注册表的位置信息、注册表的位置信息对应的参数值、参数值指向的预置文件;
[0105]确定所述第一启动项属性信息与第二启动项属性信息是否一致;所述第二启动项属性信息为检测局域网内各个终端设备的启动项中是否存在未知风险的基准信息;
[0106]若确定所述第一启动项属性信息与所述第二启动项属性信息不一致,则获取所述第一启动项属性信息与所述第二启动项属性信息的差异信息;
[0107]若所述差异信息为