CN110826065B - 一种扫描方法、装置及*** - Google Patents
一种扫描方法、装置及*** Download PDFInfo
- Publication number
- CN110826065B CN110826065B CN201911044114.5A CN201911044114A CN110826065B CN 110826065 B CN110826065 B CN 110826065B CN 201911044114 A CN201911044114 A CN 201911044114A CN 110826065 B CN110826065 B CN 110826065B
- Authority
- CN
- China
- Prior art keywords
- file
- scanning
- mode interface
- scan
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种扫描方法、装置及***,涉及安全防护技术领域,可以对加密文件进行正确的病毒侦测和清除,从而避免安全死角。该方法包括:调用内核态接口扫描待扫描的文件集合中的文件;根据对该文件的扫描结果,确定所述文件集合中未检测到目标对象的至少一个文件;调用用户态接口扫描所述至少一个文件。
Description
技术领域
本申请涉及安全防护技术领域,尤其涉及一种扫描方法、装置及***。
背景技术
为避免信息泄露问题的产生,可以通过加密软件对重要文件(如红头文件、机要文件、会议纪要、图纸、技术资料、财务报表、商业数据等)进行加密。在加密软件的实际应用中,为了最大限度的避免加密软件和其他第三方软件发生冲突,现有的加密软件通常位于操作***中内核层的最底层,而为了获取更多的***事件,杀毒软件通常也位于内核层。如此,当使用杀毒软件对经过加密软件加密后的文件(即加密文件)进行病毒扫描时,由于经过内核层的文件流是自上而下的,因此杀毒软件只能对该加密文件进行病毒扫描,从而当加密文件对应的明文文件中存在病毒时,杀毒软件无法对该病毒进行侦测和清除,进而会造成安全死角。
发明内容
本申请提供一种扫描方法、装置及***,可以在加密文件对应的明文文件中存在病毒时,对该病毒进行侦测和清除,进而避免安全死角。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种扫描方法,该方法包括:
调用内核态接口扫描待扫描的文件集合中的文件;根据对该文件的扫描结果,确定该文件集合中未检测到目标对象的至少一个文件;调用用户态接口扫描该至少一个文件。
第二方面,本申请提供一种扫描装置,该装置包括:
扫描单元,用于调用内核态接口扫描待扫描的文件集合中的文件;确定单元,用于根据扫描单元对该文件的扫描结果,确定该文件集合中未检测到目标对象的至少一个文件;该扫描单元,还用于调用用户态接口扫描该确定单元确定的至少一个文件。
第三方面,提供一种扫描装置,包括:处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行计算机程序或指令,以执行上述第一方面所述的方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述第一方面所述的方法。
第五方面,本申请提供一种扫描***,包括如上述第二方面所述的扫描装置。
本申请提供了一种扫描方法、装置及***,先通过调用内核态接口扫描待扫描的文件集合中的文件,确定是否存在未检测到目标对象的文件,为防止该未检测到目标对象的文件中存在隐藏的目标对象,可以再通过调用用户态接口扫描该文件。由于用户态接口可以包括工作在内核层任意位置的软件接口,因此对于调用内核态接口无法检测到目标对象的文件,可以使用用户态接口进行二次检测。如此,本申请可以在避免存在安全死角的基础上,提高用户体验,自动实现对操作***的安全防护。
附图说明
图1为本申请实施例提供的扫描***的架构图;
图2为本申请实施例提供的服务器与客户端的信息交互示意图;
图3为本申请实施例提供的扫描方法的流程示意图一;
图4为本申请实施例提供的扫描方法的流程示意图二;
图5为本申请实施例提供的扫描进程之间的交互示意图;
图6为本申请实施例提供的扫描方法的流程示意图三;
图7为本申请实施例提供的扫描装置的结构示意图一;
图8为本申请实施例提供的扫描装置的结构示意图二。
具体实施方式
下面结合附图对本申请实施例提供的扫描方法、装置及***进行详细地描述。
在本申请的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”是指一个或多个,“多个”是指两个或两个以上。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
为了便于理解本申请的技术方案,下面对本申请涉及到的一些名词进行介绍。
1)、加密软件:是指采用计算机、网络通讯、密码加密技术等方式对不同类别的需要加密的文档进行加密,防止非法泄密加密信息的控制软件。
2)、杀毒软件:也可以称为反病毒软件或防毒软件,用于消除计算机病毒、特洛伊木马和恶意软件等威胁计算机安全的恶意程序,通常包括即时程序监控识别、恶意程序扫描和清除以及自动更新病毒数据库等功能,部分杀毒软件还具有损害恢复功能。
杀毒软件是计算机防御***的重要组成部分,可以实时监控计算机程序的运行并通过扫描的方式确定***是否含有恶意程序。杀毒软件监控计算机程序的方式包括:1、将待测程序对应的特征与病毒数据库中的病毒特征进行对比,以判断待测程序是否为恶意程序;2、模拟***或用户操作,使待测程序运行内部代码,根据待测程序的反应判断是否为恶意程序。
参考图1,图1为本申请提供的一种扫描方法所应用的一种扫描***的架构示意图,该扫描***包括:服务器10和至少一个用户终端20(图1中仅示出一个),该用户终端20上安装有可以与该服务器10交互的客户端,该客户端可以为杀毒软件。
在本申请实施例中,服务器10可以用于为客户端提供第一程序文件和配置文件。其中,第一程序文件为调用用户态接口实现文件扫描的程序代码,配置文件用于指示客户端是否运行该第一程序文件。客户端可以根据该第一程序文件和配置文件实现调用用户态接口扫描文件的进程。
具体的,参考图2,服务器10可以将配置好的第一程序文件和配置文件下发到客户端,客户端可以通过web服务,从服务器10获取该第一程序文件和配置文件。其中,该第一程序文件保存在客户端的文件***目录,配置文件写入客户端的注册表中。客户端可以基于该第一程序文件以及动态链接库(Dynamic Link Library,DLL)运行扫描进程。DLL为包含代码和数据的库,该代码和数据可以被多个程序所调用,通过从DLL调用代码和数据可以减少重复编码和内存占用。
需要说明的是,配置文件包括指示运行第一程序文件和指示不运行第一程序文件两种指示类型,当需要改变客户端中配置文件的指示类型时,服务器10即可向客户端下发新的配置文件。客户端接收到新的配置文件后,客户端可以更新其本地保存的配置文件。
在一种可能的实现方式中,客户端传统的扫描模式可以包括手动扫描、预设扫描、立即扫描和实时扫描。其中,手动扫描是指通过获取用户在客户端上输入的扫描操作指令,进而触发的客户端对单个文件或者用户终端20中所有文件扫描的扫描模式;预设扫描是指客户端在预设时间点自动触发扫描的扫描模式;实时扫描是指当用户终端20中增加新的文档时即可触发客户端扫描的扫描模式;立即扫描是指通过获取管理员在服务器10上输入的扫描操作指令,进而触发用户终端20中客户端扫描的扫描模式。
可以理解,本申请中的第一程序文件为创建新的扫描进程的数据基础,其可以兼容客户端的扫描模式,因此该新的扫描进程的扫描模式同样可以包括手动扫描、预设扫描、立即扫描和实时扫描。
本申请实施例以传统的扫描进程为第一进程、新的扫描进程为第二进程为例进行说明。
参考图3,图3示出了本申请实施例提供的一种扫描方法的流程示意图,该方法的执行主体可以为该用户终端20,该方法包括:
S101、调用内核态接口扫描待扫描的文件集合中的文件。
用户终端中存在多种文件,如***文件、程序文件和用户文件,为保证这些文件的安全,可以通过安装在用户终端上的杀毒类客户端(以下简称为客户端)对这些文件进行安全防护。
客户端可以通过创建第一进程对用户终端中的文件进行扫描,该第一进程可以通过调用内核态接口实现文件的内核态扫描。待扫描的文件集合可以包括上述的***文件、程序文件和用户文件。通过内核态扫描可以保证文件集合中工作在客户端上层的文件都处于无目标对象的状态。
需要说明的是,上述的无目标对象是指不存在因为隐藏深而检测不到的目标对象。
可选的,目标对象可以为威胁***安全的恶意程序。例如,可以为病毒、木马、计算机蠕虫等。
S102、根据对文件的扫描结果,确定文件集合中未检测到目标对象的至少一个文件。
通过第一进程的扫描,可以得到对文件集合中每个文件的扫描结果,该扫描结果可以为存在目标对象,也可以为不存在目标对象。当文件的扫描结果为存在目标对象时,该扫描结果包括该文件中所包含的目标对象的标识、目标对象的数量以及目标对象所在文件的文件标识。
根据文件集合中每个文件的扫描结果,可以确定文件集合中未检测到目标对象的至少一个文件。该至少一个文件是指该文件集合中的部分文件或全部文件,可以为不存在目标对象的文件,也可以为因为被工作在内核层最底层的加密软件加密而无法通过第一进程实现无目标对象状态的用户文件(即加密文件)。
S103、调用用户态接口扫描至少一个文件。
确定至少一个文件之后,客户端可以通过创建第二进程,使第二进程调用用户态接口实现用户态扫描。通过用户态接口可以调用存在于内核层最底层的加密软件对加密文件进行解密,进而使被加密软件加密的用户文件转换为明文文件,然后客户端再通过第二进程扫描该明文文件,从而保证该加密文件处于无目标对象的状态。
需要说明的,该用户态接口可以为该加密软件的解密程序接口。
本申请提供了一种扫描方法,先通过调用内核态接口扫描待扫描的文件集合中的文件,确定是否存在未检测到目标对象的文件,为防止该未检测到目标对象的文件中存在隐藏的目标对象,可以再通过调用用户态接口扫描该文件。由于用户态接口可以包括工作在内核层任意位置的软件接口,因此对于调用内核态接口无法检测到目标对象的文件,可以使用用户态接口进行二次检测。如此,本申请可以在避免存在安全死角的基础上,提高用户体验,自动实现对操作***的安全防护。
参考图4,作为一种可能的实施例,在上述S101之前,本申请实施例提供的扫描方法还可以包括:
S104、确定配置文件指示调用用户态接口扫描文件。
该配置文件可以用于指示是否调用用户态接口扫描文件,即是否创建第二进程。进一步,该配置文件还可以用于指示文件种类的黑名单和/或白名单。该文件种类可以是***文件、程序文件和用户文件中的任意一种或多种。
例如,当白名单中包括***文件和程序文件,黑名单中包括用户文件时,第二进程可以只扫描该至少一个文件中文件种类是用户文件的文件。
当管理员在服务器上输入执行扫描操作的指令时,指示类型为运行第一程序文件的配置文件即被保存在服务器中。客户端通过web服务从服务器中获取该配置文件并写入客户端的注册表中。当客户端的主扫描进程运行时,该主扫描进程会首先读取该注册表中的配置文件,确定调用用户态接口扫描文件,然后根据第一程序文件创建第二进程。
创建第二进程之后,客户端会首先执行初始化操作,然后当客户端运行第一进程扫描文件集合后,若文件集合中存在未检测到目标对象的至少一个文件,则运行第二进程重新扫描该至少一个文件,从而实现客户端对至少一个文件中文件的双重扫描。
参考图5,第一进程和第二进程为主扫描进程的子进程,主扫描进程还可以创建第一进程与管理进程,以及第二进程与管理进程之间的通信管道。第一进程和第二进程都可以通过对应的通信管道与管理进程进行通信,例如,完成扫描后,第一进程和第二进程都可以将其扫描结果上报给管理进程,由管理进程对扫描结果进行统一上报和汇总。
在一种可能的实现方式中,配置文件可以通过键值指示是否调用用户态接口扫描文件。例如,当配置文件的键值为1(EnableUserMode=1)时,可以表示调用用户态接口扫描文件,即配置文件指示运行第一程序文件;当配置文件的键值为0(EnableUserMode=0)时,可以表示不调用用户态接口扫描文件,即不运行第一程序文件。
可以理解,在上述S104之前,客户端的文件***目录中已经包含客户端从服务器10中获取的第一程序文件(即调用用户态接口实现文件扫描的程序代码)。
需要说明的,若主扫描进程读取注册表中的配置文件,确定不调用用户态接口扫描文件时,则客户端可以只通过第一进程扫描待扫描的文件集合中的文件。
下面再结合图6对本申请实施例提供的扫描方法进行进一步详细说明。
当客户端对用户终端中的文件进行扫描时,主扫描进程可以通过读取注册表中的键值确定是否调用用户态接口,若调用用户态接口,则创建第一进程和第二进程,之后,先通过运行第一进程确定文件集合中的文件是否包含目标对象,若是,则清除文件中的目标对象,若否,则再通过运行第二进程扫描文件,当第二进程结束后,计算第一进程和第二进程中的目标对象数量;若不调用用户态接口,则只创建第一进程并通过运行第一进程确定文件集合中的文件是否包含目标对象,若是,则清除文件中的目标对象并计算目标对象的数量。
继续参考图4,作为一种可能的实施例,在S103之前,本申请实施例提供的扫描方法还可以包括:
S105、确定至少一个文件中的加密文件。
由于该至少一个文件中可以包括安全文件,也可以包括加密文件,因此为避免重复扫描,可以先从至少一个文件中确定需要再次扫描的加密文件。
在一种可能的实现方式中,用户通常会对一些用户文档进行加密,而不会对***文件和程序文件进行加密,因此,可以根据文件类型对该至少一个文件进行筛选,从而确定加密文件。
在上述S105的基础上,上述S103的一种可能的实现方式为:调用用户态接口扫描该加密文件,具体的,上述S103可以包括:
S1031、调用用户态接口解密该加密文件,得到该加密文件对应的明文文件。
第一进程完成扫描后,可以通过内核扫描回调将加密文件的文件标识发送至第二进程,内核扫描回调是指在结束内核扫描之后将包含该文件标识的返回值发送至第二进程。该文件标识可以包括文件路径和文件名称等。第二进程接收该文件标识并通过用户态接口向加密软件发送包含该文件标识的解密请求,加密软件根据该解密请求解密与该文件标识对应的加密文件,从而得到加密文件对应的明文文件。
S1032、扫描该明文文件。
加密软件向第二进程发送该明文文件,第二进程接收加密软件发送的明文文件,并扫描该明文文件。若该明文文件中存在目标对象,第二进程可以根据目标对象的类型进行对应的清除操作。
继续参考图4,作为一种可能的实施例,本申请实施例提供的扫描方法还可以包括:
S106、获取第一日志文件和第二日志文件。
该第一日志文件为调用内核态接口扫描文件时生成的日志文件,该第二日志文件为调用用户态接口扫描文件时生成的日志文件。该日志文件中包括目标对象的种类和目标对象的数量。
S107、根据第一日志文件和第二日志文件,生成第三日志文件。
当扫描结束后,主扫描进程可以根据第一日志文件和第二日志文件,合并计算目标对象的种类和目标对象的数量并生成第三日志文件,然后再将汇总的结果输出到管理进程。之后,主扫描进程指示退出第二进程并销毁第二进程与其他进程之间的通信管道,从而释放运行第二进程所占用的资源,避免影响其他进程的正常运行。
参考图7,本申请实施例还提供一种扫描装置,所述装置包括:
扫描单元100,用于调用内核态接口扫描待扫描的文件集合中的文件。
确定单元200,用于根据所述扫描单元100对所述文件的扫描结果,确定所述文件集合中未检测到目标对象的至少一个文件。
所述扫描单元100,还用于调用用户态接口扫描所述确定单元200确定的所述至少一个文件。
可选的,所述确定单元200,还用于在所述扫描单元100调用用户态接口扫描所述至少一个文件之前,确定所述至少一个文件中的加密文件。
所述扫描单元100,具体用于调用所述用户态接口扫描所述确定单元200确定的所述加密文件。
可选的,所述扫描单元100,具体用于:调用所述用户态接口解密所述加密文件,得到所述加密文件对应的明文文件;并扫描所述明文文件。
可选的,所述装置还包括获取单元300和生成单元400,所述获取单元300用于获取第一日志文件和第二日志文件,所述第一日志文件为调用内核态接口扫描文件的日志,所述第二日志文件为调用用户态接口扫描文件的日志;所述生成单元400用于根据所述第一日志文件和所述第二日志文件,生成第三日志文件。
可选的,所述确定单元200还用于在所述扫描单元100调用内核态接口扫描待扫描的文件集合中的文件之前,确定配置文件指示调用用户态接口扫描文件,所述配置文件用于指示是否调用用户态接口扫描文件。
图8示出了上述实施例中所涉及的扫描装置的一种可能的结构示意图。包括:处理器402。处理器402用于对该扫描装置的动作进行控制管理,例如,执行上述扫描单元100、确定单元200以及生成单元400执行的步骤,和/或用于执行本文所描述的技术的其它过程。
上述处理器402可以是实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
可选的,该扫描装置还可以包括通信接口403、存储器401和总线404,通信接口403用于支持扫描装置与其他网络实体的通信。例如,执行上述获取单元200执行的步骤,和/或用于执行本文所描述的技术的其它过程。存储器401用于存储该扫描装置的程序代码和数据。
其中,存储器401可以是扫描装置中的存储器,该存储器可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线404可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线404可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当扫描装置执行该指令时,该扫描装置执行上述方法实施例所述的方法流程中扫描装置执行的各个步骤。
本申请实施例还提供一种芯片,包括至少一个处理器和通信接口,通信接口和至少一个处理器耦合,处理器用于运行指令,以执行上述实施例所述的扫描方法。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (12)
1.一种扫描方法,其特征在于,所述方法包括:
调用内核态接口扫描待扫描的文件集合中的文件;
根据对所述文件的扫描结果,确定所述文件集合中未检测到目标对象的至少一个文件;
调用用户态接口扫描所述至少一个文件;所述用户态接口包括工作在内核层任意位置的软件接口。
2.根据权利要求1所述的方法,其特征在于,在调用用户态接口扫描所述至少一个文件之前,所述方法还包括:
确定所述至少一个文件中的加密文件;
所述调用用户态接口扫描所述至少一个文件,包括:
调用所述用户态接口扫描所述加密文件。
3.根据权利要求2所述的方法,其特征在于,所述调用所述用户态接口扫描所述加密文件,包括:
调用所述用户态接口解密所述加密文件,得到所述加密文件对应的明文文件;
扫描所述明文文件。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
获取第一日志文件和第二日志文件,所述第一日志文件为调用内核态接口扫描文件的日志,所述第二日志文件为调用用户态接口扫描文件的日志;
根据所述第一日志文件和所述第二日志文件,生成第三日志文件。
5.根据权利要求1所述的方法,其特征在于,在调用内核态接口扫描待扫描的文件集合中的文件之前,所述方法还包括:
确定配置文件指示调用用户态接口扫描文件,所述配置文件用于指示是否调用用户态接口扫描文件。
6.一种扫描装置,其特征在于,所述装置包括:
扫描单元,用于调用内核态接口扫描待扫描的文件集合中的文件;
确定单元,用于根据所述扫描单元对所述文件的扫描结果,确定所述文件集合中未检测到目标对象的至少一个文件;
所述扫描单元,还用于调用用户态接口扫描所述确定单元确定的所述至少一个文件;所述用户态接口包括工作在内核层任意位置的软件接口。
7.根据权利要求6所述的装置,其特征在于,所述确定单元,还用于在所述扫描单元调用用户态接口扫描所述至少一个文件之前,确定所述至少一个文件中的加密文件;
所述扫描单元,具体用于调用所述用户态接口扫描所述确定单元确定的所述加密文件。
8.根据权利要求7所述的装置,其特征在于,所述扫描单元,具体用于调用所述用户态接口解密所述加密文件,得到所述加密文件对应的明文文件;并扫描所述明文文件。
9.根据权利要求6至8中任一项所述的装置,其特征在于,所述装置还包括获取单元和生成单元,
所述获取单元,用于获取第一日志文件和第二日志文件,所述第一日志文件为调用内核态接口扫描文件的日志,所述第二日志文件为调用用户态接口扫描文件的日志;
所述生成单元,用于根据所述第一日志文件和所述第二日志文件,生成第三日志文件。
10.根据权利要求6所述的装置,其特征在于,所述确定单元,还用于在所述扫描单元调用内核态接口扫描待扫描的文件集合中的文件之前,确定配置文件指示调用用户态接口扫描文件,所述配置文件用于指示是否调用用户态接口扫描文件。
11.一种扫描装置,其特征在于,所述装置包括:处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行计算机程序或指令,以实现如权利要求1至5任一项所述的扫描方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当计算机执行所述指令时,该计算机执行上述权利要求1至5中任一项所述的扫描方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911044114.5A CN110826065B (zh) | 2019-10-30 | 2019-10-30 | 一种扫描方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911044114.5A CN110826065B (zh) | 2019-10-30 | 2019-10-30 | 一种扫描方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110826065A CN110826065A (zh) | 2020-02-21 |
| CN110826065B true CN110826065B (zh) | 2022-03-15 |
Family
ID=69551226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911044114.5A Active CN110826065B (zh) | 2019-10-30 | 2019-10-30 | 一种扫描方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110826065B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112560033B (zh) * | 2020-12-10 | 2023-06-16 | 青岛海洋科学与技术国家实验室发展中心 | 基于用户上下文的基线扫描方法及装置 |
| CN114238972A (zh) * | 2021-12-14 | 2022-03-25 | 安天科技集团股份有限公司 | 文件扫描方法、装置、电子设备及存储介质 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6721424B1 (en) * | 1999-08-19 | 2004-04-13 | Cybersoft, Inc | Hostage system and method for intercepting encryted hostile data |
| EP1425649B1 (en) * | 2001-09-14 | 2009-07-01 | Computer Associates Think, Inc. | Virus detection system |
| US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
| KR101201118B1 (ko) * | 2004-11-08 | 2012-11-13 | 마이크로소프트 코포레이션 | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 |
| US7478237B2 (en) * | 2004-11-08 | 2009-01-13 | Microsoft Corporation | System and method of allowing user mode applications with access to file data |
| US7874001B2 (en) * | 2005-07-15 | 2011-01-18 | Microsoft Corporation | Detecting user-mode rootkits |
| US8484734B1 (en) * | 2006-08-22 | 2013-07-09 | Trend Micro Incorporated | Application programming interface for antivirus applications |
| CN100464304C (zh) * | 2006-08-29 | 2009-02-25 | 飞塔信息科技(北京)有限公司 | 一种基于Linux操作***实现零拷贝的装置和方法 |
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN101141244B (zh) * | 2006-09-08 | 2010-05-26 | 飞塔公司 | 网络加密数据病毒检测和消除***和代理服务器及方法 |
| CN101382984A (zh) * | 2007-09-05 | 2009-03-11 | 江启煜 | 一种扫描检测广义未知病毒的方法 |
| CN102855447A (zh) * | 2012-07-25 | 2013-01-02 | 重庆安全起航信息技术有限公司 | 一种保护Web应用安全的方法 |
| CN103838725B (zh) * | 2012-11-20 | 2017-03-29 | 联想(北京)有限公司 | 文件处理方法和文件处理设备 |
| CN103777978A (zh) * | 2014-01-07 | 2014-05-07 | 汉柏科技有限公司 | 一种基于Linux内核的用户态自动探测3G-USB网卡方法 |
| CN106919811B (zh) * | 2015-12-24 | 2020-08-18 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| EP3223185B1 (en) * | 2016-03-22 | 2019-10-09 | Crowdstrike, Inc. | System and method dynamic code patching techniques from user-mode process address space |
| US10762202B2 (en) * | 2018-04-11 | 2020-09-01 | Crowdstrike, Inc. | Securely and efficiently providing user notifications about security actions |
| CN109948341B (zh) * | 2019-04-02 | 2023-02-03 | 深信服科技股份有限公司 | 一种文件扫描方法、***、装置、介质 |
-
2019
- 2019-10-30 CN CN201911044114.5A patent/CN110826065B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110826065A (zh) | 2020-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| US11714884B1 (en) | Systems and methods for establishing and managing computer network access privileges | |
| US8683599B2 (en) | Static analysis for verification of software program access to secure resources for computer systems | |
| RU2390836C2 (ru) | Отображение достоверности из высоконадежной среды на незащищенную среду | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| US8271803B2 (en) | Anti-debugging protection of binaries with proxy code execution | |
| US11194914B2 (en) | Method and apparatus to detect security vulnerabilities in a web application | |
| KR20070118074A (ko) | 외래 코드 검출을 위한 시스템 및 방법 | |
| CN110826065B (zh) | 一种扫描方法、装置及*** | |
| US20190138715A1 (en) | Post sandbox methods and systems for detecting and blocking zero-day exploits via api call validation | |
| US20180026986A1 (en) | Data loss prevention system and data loss prevention method | |
| US20220108001A1 (en) | System for detecting and preventing unauthorized software activity | |
| US9990493B2 (en) | Data processing system security device and security method | |
| WO2019037521A1 (zh) | 安全检测的方法、装置、***以及服务器 | |
| US9785775B1 (en) | Malware management | |
| US9967263B2 (en) | File security management apparatus and management method for system protection | |
| Xie et al. | Autopatchdroid: A framework for patching inter-app vulnerabilities in android application | |
| Lee et al. | Classification and analysis of security techniques for the user terminal area in the internet banking service | |
| CN104866761B (zh) | 一种高安全性安卓智能终端 | |
| CN113836529A (zh) | 进程检测方法、装置、存储介质以及计算机设备 | |
| US8788845B1 (en) | Data access security | |
| KR20220080347A (ko) | 서버 모니터링 방법 및 장치 | |
| Caillat et al. | Prison: Tracking process interactions to contain malware | |
| Granthi et al. | Android security: A survey of security issues and defenses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |