一種可執(zhí)行文件處理方法以及可執(zhí)行文件監(jiān)控方法
【專利摘要】本發(fā)明提供一種可執(zhí)行文件查殺加速方法����,該方法包括:收集可執(zhí)行文件列表;根據(jù)所述列表采樣可執(zhí)行文件的信息�,并利用所述信息建立白名單文件;根據(jù)所述列表和信息驗證所述白名單文件是否組建成功���;客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執(zhí)行文件的查殺結(jié)果��。本發(fā)明通過使用白名單�,提高了殺毒軟件的查殺可執(zhí)行文件的速度��,達到文件監(jiān)控對系統(tǒng)在執(zhí)行文件的時候���,對操作系統(tǒng)干擾最小化�。
【專利說明】一種可執(zhí)行文件處理方法以及可執(zhí)行文件監(jiān)控方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����,尤其涉及一種可執(zhí)行文件處理方法以及可執(zhí)行文件監(jiān)控方法�����。
【背景技術(shù)】
[0002]對于主機反病毒安全軟件來講���,分成靜態(tài)防御和動態(tài)防御兩大基本技術(shù)���,這兩個方面是對抗病毒傳播的基石。其中����,動態(tài)防御是保障用戶機器安全的一項重要技術(shù),文件監(jiān)控又是動態(tài)防御體系中的重要組成部分��。文件監(jiān)控中�,有一項重要功能就是當(dāng)一個可執(zhí)行文件在被系統(tǒng)執(zhí)行的時候,應(yīng)該首先辨別這個可執(zhí)行文件是否是惡意程序�����,其中包括進程文件(exe)和動態(tài)鏈接庫文件(dll)��,處于安全性考慮�����,這個步驟一般是阻塞住可執(zhí)行文件的執(zhí)行流程,等待查殺完畢���,如果不是病毒�,則放行可執(zhí)行文件并繼續(xù)執(zhí)行����。一般來講,用戶機器中病毒文件所占有的比例是很小的��。如果用戶不訪問惡意網(wǎng)站����,或者本身操作系統(tǒng)沒有太多的漏洞,不會感染太多的病毒��。所以在一般的用戶場景下�,程序查殺的都是正常文件。
[0003]為了提高查殺效率�,現(xiàn)有技術(shù)中,當(dāng)文件監(jiān)控攔截了執(zhí)行動作后�����,文件監(jiān)控查殺執(zhí)行文件,然后將查殺結(jié)果寫入一個緩存��,當(dāng)下次這個文件再執(zhí)行的時候�����,直接命中緩存�,達到不重復(fù)查殺的目的����。這樣使得文件監(jiān)控查殺可執(zhí)行文件,對系統(tǒng)的影響減小�。然而這種方案必須建立在客戶機器上文件監(jiān)控已經(jīng)查殺了可執(zhí)行文件的基礎(chǔ)上,因為如果用戶第一次安裝殺毒軟件��,這個加速cache實際上必須等到用戶執(zhí)行了相關(guān)文件之后才能建立����。用戶首次啟動殺毒軟件的時候,文件監(jiān)控還是會拖慢系統(tǒng)的執(zhí)行速度��。
【發(fā)明內(nèi)容】
[0004](一)技術(shù)問題
[0005]本發(fā)明要解決的問題是:可執(zhí)行文件在執(zhí)行時候�,提高殺毒軟件的查殺可執(zhí)行文件的速度,達到文件監(jiān)控對系統(tǒng)在執(zhí)行文件的時候���,對操作系統(tǒng)干擾最小化�����。
[0006](二)技術(shù)方案
[0007]本發(fā)明提供一種可執(zhí)行文件查殺加速方法�����,該方法包括:
[0008]收集可執(zhí)行文件列表����;
[0009]根據(jù)所述列表采樣可執(zhí)行文件的信息,并利用所述信息建立白名單文件�;
[0010]根據(jù)所述列表和信息驗證所述白名單文件是否組建成功;
[0011]客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執(zhí)行文件的查殺結(jié)果��。
[0012]可選的�,根據(jù)所述列表采樣可執(zhí)行文件的信息進一步包括:
[0013]一次性運行所述列表中的可執(zhí)行文件,監(jiān)控每個所述可執(zhí)行文件在操作系統(tǒng)中加載到內(nèi)存的內(nèi)存區(qū)間數(shù)據(jù)��;
[0014]將所有的內(nèi)存區(qū)間數(shù)據(jù)進行合并�����;[0015]將合并后的內(nèi)存區(qū)間數(shù)據(jù)與可執(zhí)行文件進行映射�����,獲得可執(zhí)行文件的文件區(qū)間、映射文件內(nèi)容以及基本信息����;
[0016]計算上述信息的hash值�����。
[0017]可選的����,該方法還包括:
[0018]將可執(zhí)行文件的文件區(qū)間、文件內(nèi)容以及基本信息以key-value方式存儲到數(shù)據(jù)庫中����,其中key為文件全內(nèi)容hash值,value為映射文件內(nèi)容hash值和文件區(qū)間數(shù)據(jù)����。
[0019]可選的,收集可執(zhí)行文件列表進一步包括:
[0020]統(tǒng)計出操作系統(tǒng)常用核心進程文件和動態(tài)鏈接庫文件���;
[0021]收集與運行軟件相關(guān)的加載進程文件和其動態(tài)鏈接文件�����;
[0022]根據(jù)上述文件建立可執(zhí)行文件列表��。
[0023]可選的�,根據(jù)所述列表和信息驗證所述白名單文件是否組建成功進一步包括:
[0024]計算所述列表中任一文件的全內(nèi)容hash,根據(jù)所述全內(nèi)容hash在所述數(shù)據(jù)庫中查找先關(guān)文件內(nèi)存區(qū)間數(shù)據(jù);
[0025]根據(jù)內(nèi)存區(qū)間數(shù)據(jù)�����,計算相關(guān)區(qū)間的內(nèi)存映射數(shù)據(jù)hash ��;
[0026]將所述內(nèi)存映射hash與數(shù)據(jù)庫中相應(yīng)的hash進行比較�,以判斷所述內(nèi)存映射hash是否完整。
[0027]可選的�,根據(jù)所述列表和信息驗證所述白名單文件是否組建成功還包括:
[0028]任取一個白名單文件;
[0029]根據(jù)所述白名單文件中的區(qū)間計算所有黑文件的hash值�;
[0030]判斷所述hash值是否命中數(shù)據(jù)庫中的hash值;
[0031]如果命中�,則調(diào)整區(qū)間,重新計算所有黑文件的hash值���,如果沒有�����,則判斷白名單文件正常�;
[0032]當(dāng)判斷所述內(nèi)存映射hash完整并且白名單文件正常時,則驗證所述白名單文件組建成功��。
[0033]可選的����,所述客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執(zhí)行文件的查殺結(jié)果進一步包括:
[0034]文件監(jiān)控裝置監(jiān)控可執(zhí)行文件的運行;
[0035]當(dāng)監(jiān)控到可執(zhí)行文件運行后�,檢查本地緩存中是否有所述文件�����;
[0036]如果有��,則直接利用本地緩存中的結(jié)果���,如果沒有��,則檢查是否在所述驗證組建成功的白名單文件中�,如果是�����,則將相關(guān)的結(jié)果寫入本地緩存中,如果否��,則中止可執(zhí)行文件的運行流程并進行查殺����。
[0037]本發(fā)明還提供一種可執(zhí)行文件查殺加速裝置,該裝置包括:
[0038]收集單元���,用于收集可執(zhí)行文件列表�����;
[0039]采樣單元�,用于根據(jù)所述列表采樣可執(zhí)行文件的信息�����,并利用所述信息建立白名單文件����;
[0040]驗證單元,用于根據(jù)所述列表和信息驗證所述白名單文件是否組建成功�����;
[0041]其中所述組建成功的白名單文件應(yīng)用于查找引擎以直接獲取一正在執(zhí)行文件的查殺結(jié)果。
[0042]可選的���,所述采樣單元進一步包括:[0043]監(jiān)控子單元����,用于在一次性運行所述列表中的可執(zhí)行文件時監(jiān)控每個所述可執(zhí)行文件在操作系統(tǒng)中加載到內(nèi)存的內(nèi)存區(qū)間數(shù)據(jù)��;
[0044]采樣子單元�,用于根據(jù)所述內(nèi)存區(qū)間數(shù)據(jù)采樣可執(zhí)行文件的信息。
[0045]可選的�����,所述采樣子單元進一步包括:
[0046]合并單元���,用于將所有的內(nèi)存區(qū)間數(shù)據(jù)進行合并;
[0047]映射單元����,用于將合并后的內(nèi)存區(qū)間數(shù)據(jù)與可執(zhí)行文件進行映射,并獲得可執(zhí)行文件的文件區(qū)間�����、文件內(nèi)容以及基本信息。
[0048]可選的�����,該裝置還包括存儲單元���,用于將可執(zhí)行文件的文件區(qū)間��、文件內(nèi)容以及基本信息以key-value方式存儲到數(shù)據(jù)庫中���,其中key為文件全內(nèi)容hash, value為內(nèi)存映射數(shù)據(jù)hash和內(nèi)存區(qū)間數(shù)據(jù),所述內(nèi)存映射數(shù)據(jù)是內(nèi)存區(qū)間數(shù)據(jù)映射到文件上的數(shù)據(jù)����。
[0049]可選的,所述收集單元進一步包括:
[0050]統(tǒng)計單元���,用于統(tǒng)計出操作系統(tǒng)常用核心進程文件和動態(tài)鏈接庫文件�;
[0051]收集子單元�����,用于收集與運行軟件相關(guān)的加載進程文件和其動態(tài)鏈接文件;
[0052]列表產(chǎn)生單元��,用于根據(jù)上述文件建立可執(zhí)行文件列表�����。
[0053](三)技術(shù)效果
[0054]本發(fā)明通過使用自動生成的白名單����,提高了殺毒軟件的查殺可執(zhí)行文件的速度,達到文件監(jiān)控對系統(tǒng)在執(zhí)行文件的時候�,對操作系統(tǒng)干擾最小化。
【專利附圖】
【附圖說明】
[0055]圖1表示本發(fā)明中可執(zhí)行文件查殺加速方法的流程圖����;
[0056]圖2表示本發(fā)明中自動產(chǎn)生白名單文件的流程圖;
[0057]圖3表示本發(fā)明中執(zhí)行文件查殺時的流程圖��;
[0058]圖4表示本發(fā)明中可執(zhí)行文件查殺加速裝置的結(jié)構(gòu)圖�����;
[0059]圖5表示本發(fā)明中可執(zhí)行文件查殺加速裝置的詳細結(jié)構(gòu)圖�����。
【具體實施方式】
[0060]本發(fā)明提供一種可執(zhí)行文件查殺加速方法��,如圖1所示�,該方法包括:
[0061]收集可執(zhí)行文件列表(SI);
[0062]根據(jù)所述列表采樣可執(zhí)行文件的信息�,并利用所述信息建立白名單文件(S2);
[0063]根據(jù)所述列表和信息驗證所述白名單文件是否組建成功(S3)�����;
[0064]客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執(zhí)行文件的查殺結(jié)果(S4)���。
[0065]通過上述方案�,可以達到在攔截可執(zhí)行文件的過程中����,殺毒軟件通過自動生成的白名單直接獲取白名單中列出的可執(zhí)行文件的查殺結(jié)果,從而占用較少的處理資源�����,也不需要中止可執(zhí)行文件的運行�����,對操作系統(tǒng)的影響最小。
[0066]經(jīng)過統(tǒng)計發(fā)現(xiàn)����,文件監(jiān)控的可執(zhí)行動作攔截,大部分都是攔截了操作系統(tǒng)的核心文件���,同時這些核心文件都會在操作系統(tǒng)中��,當(dāng)進程啟動的時候被反復(fù)加載很多遍����。而且一個操作系統(tǒng)中��,大部分的文件都是正常文件�,病毒和惡意文件占有的比例很小。因而上述可執(zhí)行文件應(yīng)包括與操作系統(tǒng)相關(guān)的核心進程文件和其動態(tài)鏈接文件�,即在一次性運行指定的可執(zhí)行文件前,應(yīng)收集或者統(tǒng)計與操作系統(tǒng)相關(guān)的核心進程文件和其動態(tài)鏈接文件�,并形成核心進程文件和其動態(tài)鏈接文件的文件列表。
[0067]文件監(jiān)控的可執(zhí)行動作攔截�����,還攔截了相當(dāng)部分的常用軟件����,因而可執(zhí)行文件還應(yīng)包括一些常用軟件。根據(jù)一段時間的統(tǒng)計��,例如(3個月�,半年等等),統(tǒng)計出相關(guān)軟件的相關(guān)版本信息��,同時通過運行相關(guān)軟件���,統(tǒng)計出相關(guān)軟件的一般加載進程文件(exe)和動態(tài)鏈接庫文件(dll)的列表�����。
[0068]將這些列表匯總�,統(tǒng)計出相關(guān)的文件�����,以此作為白名單文件的基礎(chǔ)數(shù)據(jù)����。
[0069]因而,收集可執(zhí)行文件列表可進一步包括:
[0070]統(tǒng)計出操作系統(tǒng)常用核心進程文件和動態(tài)鏈接庫文件�;
[0071]收集與運行軟件相關(guān)的加載進程文件和其動態(tài)鏈接文件��;
[0072]根據(jù)上述文件建立可執(zhí)行文件列表�。
[0073]可選的�,如圖2所示,根據(jù)所述列表采樣可執(zhí)行文件的信息進一步包括:
[0074]一次性運行所述列表中的可執(zhí)行文件����,監(jiān)控每個所述可執(zhí)行文件在操作系統(tǒng)中加載到內(nèi)存的內(nèi)存區(qū)間數(shù)據(jù)(S21);
[0075]根據(jù)所述內(nèi)存區(qū)間數(shù)據(jù)采樣可執(zhí)行文件的信息(S22,S223, S24)�����。
[0076]在操作系統(tǒng)中一次運行這些相關(guān)軟件時��,可運用現(xiàn)有的集群��,然后通過自己的內(nèi)存采樣程序采樣在首次啟動這個執(zhí)行文件的時候的內(nèi)存區(qū)間數(shù)據(jù)�����。內(nèi)存采樣程序���,功能就是監(jiān)控指定的可執(zhí)行文件在操作系統(tǒng)執(zhí)行可執(zhí)行文件的時候�����,加載文件到內(nèi)存中的內(nèi)容���。因為操作系統(tǒng)不可能將可執(zhí)行文件中所有的內(nèi)容都加載到內(nèi)存中,所以是部分加載��。通過利用內(nèi)存采樣程序了減少白名單計算量����,而且由于內(nèi)存區(qū)間數(shù)據(jù)是操作系統(tǒng)已經(jīng)預(yù)先加載到內(nèi)存中,基本上不會有磁盤10�。
[0077]可執(zhí)行文件在操作系統(tǒng)首次加載部分一般都是不相同的,我們針對這個部分做hash�����,生成白名單一般就可以了�����。
[0078]因而�,如圖2所示:根據(jù)所述內(nèi)存區(qū)間數(shù)據(jù)采樣可執(zhí)行文件的信息可進一步包括:
[0079]將所有的內(nèi)存區(qū)間數(shù)據(jù)進行合并(S22);
[0080]將合并后的內(nèi)存區(qū)間數(shù)據(jù)與可執(zhí)行文件進行映射����,獲得可執(zhí)行文件的文件區(qū)間��、映射文件內(nèi)容以及基本信息(S23);
[0081]計算上述信息的hash值(S24)����。
[0082]將計算出的hash唯一校驗數(shù)據(jù)以Key-value方式組織進入數(shù)據(jù)庫����。其中Key是文件全內(nèi)容hash,或者用戶的安裝目錄等等。Value是根據(jù)映射文件內(nèi)容計算出來的hash數(shù)值和文件區(qū)間數(shù)據(jù)�,對生成的白名單進行驗證,以測試白名單文件是否正常�。
[0083]根據(jù)所述列表和信息驗證所述白名單文件是否組建成功進一步包括:
[0084]計算所述列表中任一文件的全內(nèi)容hash,根據(jù)所述全內(nèi)容hash在所述數(shù)據(jù)庫中查找先關(guān)文件內(nèi)存區(qū)間數(shù)據(jù);
[0085]根據(jù)內(nèi)存區(qū)間數(shù)據(jù)�����,計算相關(guān)區(qū)間的內(nèi)存映射數(shù)據(jù)hash ��;
[0086]將所述內(nèi)存映射hash與數(shù)據(jù)庫中相應(yīng)的hash進行比較�����,以判斷所述內(nèi)存映射hash是否完整�����。
[0087]當(dāng)判斷所述內(nèi)存映射hash完整并且白名單文件正常時,則驗證所述白名單文件組建成功�����。[0088]也可利用黑文件對生成的白名單進行測試�,以測試白名單文件是否正常�����,具體程序流程如下:
[0089]根據(jù)所述列表和信息驗證所述白名單文件是否組建成功還可包括:
[0090]任取一個白名單文件��;
[0091]根據(jù)所述白名單文件中的區(qū)間計算所有黑文件的hash值���;
[0092]判斷所述hash值是否命中數(shù)據(jù)庫中的hash值�����;
[0093]如果命中����,則調(diào)整區(qū)間��,重新計算所有黑文件的hash值,如果沒有�����,則判斷白名單文件正常����;
[0094]總之,正常白名單文件必須滿足:
[0095]1.不能和惡意文件向沖突�����,就是惡意文件不能進入這個白名單�����;
[0096]2.收集有限的文件�����,根據(jù)熱度淘汰相關(guān)�;
[0097]3.必須可升級。
[0098]將生成的上述白名單公布給客戶端����,客戶端在首次啟動的時候���,利用所述白名單進行可執(zhí)行的監(jiān)控,如圖3所示��,所述客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執(zhí)行文件的查殺結(jié)果(S4)進一步包括:
[0099]文件監(jiān)控裝置監(jiān)控可執(zhí)行文件的運行(S41)���;
[0100]當(dāng)監(jiān)控到可執(zhí)行文件運行后����,檢查本地緩存中是否有所述文件(S42)���;
[0101]如果有,則直接利用本地緩存中的結(jié)果(S43)����,如果沒有,則檢查是否在所述驗證組建成功的白名單文件中(S44)�,如果是,則將相關(guān)的結(jié)果寫入本地緩存中(S45)��,如果否�����,則中止可執(zhí)行文件的運行流程并進行查殺(S46)。
[0102]本發(fā)明還提供一種可執(zhí)行文件查殺加速裝置�,如圖4所示,該裝置包括:
[0103]收集單元(1)�����,用于收集可執(zhí)行文件列表���;
[0104]采樣單元(2)����,用于根據(jù)所述列表采樣可執(zhí)行文件的信息��,并利用所述信息建立白名單文件����;
[0105]驗證單元(3 ),用于根據(jù)所述列表和信息驗證所述白名單文件是否組建成功����;
[0106]其中所述組建成功的白名單文件應(yīng)用于查找引擎以直接獲取一正在執(zhí)行文件的查殺結(jié)果。
[0107]如圖5所示,所述采樣單元可進一步包括:
[0108]監(jiān)控子單元(21)�,用于在一次性運行所述列表中的可執(zhí)行文件時監(jiān)控每個所述可執(zhí)行文件在操作系統(tǒng)中加載到內(nèi)存的內(nèi)存區(qū)間數(shù)據(jù);
[0109]采樣子單元(22)�����,用于根據(jù)所述內(nèi)存區(qū)間數(shù)據(jù)采樣可執(zhí)行文件的信息。
[0110]所述采樣子單元(22 )可進一步包括:
[0111]合并單元(221)�����,用于將所有的內(nèi)存區(qū)間數(shù)據(jù)進行合并��;
[0112]映射單元(222)��,用于將合并后的內(nèi)存區(qū)間數(shù)據(jù)與可執(zhí)行文件進行映射���,并獲得可執(zhí)行文件的文件區(qū)間�、文件內(nèi)容以及基本信息���。
[0113]所述收集單元(I)進一步包括:
[0114]統(tǒng)計單元(11),用于統(tǒng)計出操作系統(tǒng)常用核心進程文件和動態(tài)鏈接庫文件��;
[0115]收集子單元(12)�����,用于收集與運行軟件相關(guān)的加載進程文件和其動態(tài)鏈接文件��;
[0116]列表產(chǎn)生單元(13),用于根據(jù)上述文件建立可執(zhí)行文件列表����。[0117]該裝置還包括存儲單元(4),用于將可執(zhí)行文件的文件區(qū)間����、文件內(nèi)容以及基本信息以key-value方式存儲到數(shù)據(jù)庫中,其中key為文件全內(nèi)容hash, value為內(nèi)存映射數(shù)據(jù)hash和內(nèi)存區(qū)間數(shù)據(jù)�,所述內(nèi)存映射數(shù)據(jù)是內(nèi)存區(qū)間數(shù)據(jù)映射到文件上的數(shù)據(jù)。
[0118]總之本發(fā)明可加速可執(zhí)行文件在執(zhí)行時候殺毒軟件的查殺可執(zhí)行文件查殺速度�,達到文件監(jiān)控對系統(tǒng)在執(zhí)行文件的時候?qū)Σ僮飨到y(tǒng)干擾最小化。
[0119]以上實施方式僅用于說明本發(fā)明�����,而并非對本發(fā)明的限制����,有關(guān)【技術(shù)領(lǐng)域】的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下��,還可以做出各種變化和變型����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇�����,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定��。
【權(quán)利要求】
1.一種可執(zhí)行文件查殺加速方法��,其特征在于��,該方法包括: 收集可執(zhí)行文件列表����; 根據(jù)所述列表采樣可執(zhí)行文件的信息���,并利用所述信息建立白名單文件����; 根據(jù)所述列表和信息驗證所述白名單文件是否組建成功�����; 客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執(zhí)行文件的查殺結(jié)果O
2.如權(quán)利要求1所述的可執(zhí)行文件查殺加速方法���,其特征還在于����,根據(jù)所述列表采樣可執(zhí)行文件的信息進一步包括: 一次性運行所述列表中的可執(zhí)行文件����,監(jiān)控每個所述可執(zhí)行文件在操作系統(tǒng)中加載到內(nèi)存的內(nèi)存區(qū)間數(shù)據(jù); 根據(jù)所述內(nèi)存區(qū)間數(shù)據(jù)采樣可執(zhí)行文件的信息��。
3.如權(quán)利要求2所述的可執(zhí)行文件查殺加速方法����,其特征還在于,根據(jù)所述內(nèi)存區(qū)間數(shù)據(jù)采樣可執(zhí)行文件的信息進一步包括: 將所有的內(nèi)存區(qū)間數(shù)據(jù)進行合并�����; 將合并后的內(nèi)存區(qū)間數(shù)據(jù)與可執(zhí)行文件進行映射��,獲得可執(zhí)行文件的文件區(qū)間���、映射文件內(nèi)容以及基本信息���。·
4.如權(quán)利要求3所述的可執(zhí)行文件查殺加速方法,其特征還在于�����,該方法還包括: 將可執(zhí)行文件的文件區(qū)間����、文件內(nèi)容以及基本信息以key-value方式存儲到數(shù)據(jù)庫中,其中key為文件全內(nèi)容hash值���,value為映射文件內(nèi)容hash值和文件區(qū)間數(shù)據(jù)�。
5.如權(quán)利要求1至4任一項所述的可執(zhí)行文件查殺加速方法�,其特征還在于,收集可執(zhí)行文件列表進一步包括: 統(tǒng)計出操作系統(tǒng)常用核心進程文件和動態(tài)鏈接庫文件��; 收集與運行軟件相關(guān)的加載進程文件和其動態(tài)鏈接文件�����; 根據(jù)上述文件建立可執(zhí)行文件列表���。
6.如權(quán)利要求4所述的可執(zhí)行文件查殺加速方法���,其特征還在于,根據(jù)所述列表和信息驗證所述白名單文件是否組建成功進一步包括: 計算所述列表中任一文件的全內(nèi)容hash,根據(jù)所述全內(nèi)容hash在所述數(shù)據(jù)庫中查找先關(guān)文件內(nèi)存區(qū)間數(shù)據(jù)�; 根據(jù)內(nèi)存區(qū)間數(shù)據(jù),計算相關(guān)區(qū)間的內(nèi)存映射數(shù)據(jù)hash �; 將所述內(nèi)存映射hash與數(shù)據(jù)庫中相應(yīng)的hash進行比較,以判斷所述內(nèi)存映射hash是否完整����。
7.如權(quán)利要求4或6所述的可執(zhí)行文件查殺加速方法,其特征還在于�����,根據(jù)所述列表和信息驗證所述白名單文件是否組建成功還包括: 任取一個白名單文件��; 根據(jù)所述白名單文件中的區(qū)間計算所有黑文件的hash值����; 判斷所述hash值是否命中數(shù)據(jù)庫中的hash值; 如果命中�����,則調(diào)整區(qū)間��,重新計算所有黑文件的hash值���,如果沒有�,則判斷白名單文件正常; 當(dāng)判斷所述內(nèi)存映射hash完整并且白名單文件正常時�����,則驗證所述白名單文件組建成功��。
8.如權(quán)利要求1所述的可執(zhí)行文件查殺加速方法���,其特征還在于�����,所述客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執(zhí)行文件的查殺結(jié)果進一步包括: 文件監(jiān)控裝置監(jiān)控可執(zhí)行文件的運行�����; 當(dāng)監(jiān)控到可執(zhí)行文件運行后����,檢查本地緩存中是否有所述文件����; 如果有����,則直接利用本地緩存中的結(jié)果���,如果沒有,則檢查是否在所述驗證組建成功的白名單文件中�,如果是,則將相關(guān)的結(jié)果寫入本地緩存中�,如果否,則中止可執(zhí)行文件的運行流程并進行查殺���。
9.一種可執(zhí)行文件查殺加速裝置�����,其特征在于����,該裝置包括: 收集單元�,用于收集可執(zhí)行文件列表; 采樣單元���,用于根據(jù)所述列表采樣可執(zhí)行文件的信息��,并利用所述信息建立白名單文件�����; 驗證單元��,用于根據(jù)所述列表和信息驗證所述白名單文件是否組建成功�����; 其中所述組建成功的白名單文件應(yīng)用于查找引擎以直接獲取一正在執(zhí)行文件的查殺結(jié)果�����。
10.如權(quán)利要求9所述的可執(zhí)行文件查殺加速裝置��,其特征還在于�,所述采樣單元進一步包括: 監(jiān)控子單元,用于在一次性運行所述列表中的可執(zhí)行文件時監(jiān)控每個所述可執(zhí)行文件在操作系統(tǒng)中加載到內(nèi)存的內(nèi)存區(qū)間數(shù)據(jù)�����; 采樣子單元���,用于根據(jù)所述內(nèi)存區(qū)間數(shù)據(jù)采樣可執(zhí)行文件的信息����。
11.如權(quán)利要求10所述的可執(zhí)行文件查殺加速裝置,其特征還在于��,所述采樣子單元進一步包括: 合并單元�,用于將所有的內(nèi)存區(qū)間數(shù)據(jù)進行合并; 映射單元���,用于將合并后的內(nèi)存區(qū)間數(shù)據(jù)與可執(zhí)行文件進行映射,并獲得可執(zhí)行文件的文件區(qū)間���、文件內(nèi)容以及基本信息����。
12.如權(quán)利要求9-11任一項所述的可執(zhí)行文件查殺加速裝置�����,其特征還在于�,該裝置還包括存儲單元,用于將可執(zhí)行文件的文件區(qū)間���、文件內(nèi)容以及基本信息以key-value方式存儲到數(shù)據(jù)庫中,其中key為文件全內(nèi)容hash�����,value為內(nèi)存映射數(shù)據(jù)hash和內(nèi)存區(qū)間數(shù)據(jù)�,所述內(nèi)存映射數(shù)據(jù)是內(nèi)存區(qū)間數(shù)據(jù)映射到文件上的數(shù)據(jù)。
13.如權(quán)利要求9至11任一項所述的可執(zhí)行文件查殺加速裝置�,其特征還在于,所述收集單元進一步包括: 統(tǒng)計單元�,用于統(tǒng)計出操作系統(tǒng)常用核心進程文件和動態(tài)鏈接庫文件; 收集子單元��,用于收集與運行軟件相關(guān)的加載進程文件和其動態(tài)鏈接文件�; 列表產(chǎn)生單元,用于根據(jù)上述文件建立可執(zhí)行文件列表�。
【文檔編號】G06F21/56GK103824018SQ201210468022
【公開日】2014年5月28日 申請日期:2012年11月19日 優(yōu)先權(quán)日:2012年11月19日
【發(fā)明者】郭祎斌 申請人:騰訊科技(深圳)有限公司