病毒查殺方法和系統(tǒng)����、及客戶端的制作方法
【技術領域】
[0001]本發(fā)明涉及互聯(lián)網安全技術領域,尤其是一種病毒查殺方法和系統(tǒng)�、及客戶端。
【背景技術】
[0002]隨著互聯(lián)網安全技術的發(fā)展�,云查殺已經越來越普及。在云查殺中�����,各個客戶端與服務器保持著即時的通訊�,當有一個客戶端發(fā)現(xiàn)未知惡意文件時��,服務端也就是云端���,迅速把惡意文件的特征入庫并下發(fā)到其他客戶端,這樣就以最快的速度扼殺了病毒木馬的傳播��。云查殺相比傳統(tǒng)的查殺方式具有更強的及時性和更強大的對未知病毒的探測性�����,可以把安全領域帶入了一個嶄新的更高的“云端”�����。
[0003]目前���,所有的云查殺技術都是通過掃描注冊表和系統(tǒng)中的文件�,將其特征例如MD5(消息摘要算法第五版)等上傳到服務器的云端進行比對�����,如果發(fā)現(xiàn)是有問題的文件���,就清除注冊表相關項�,并刪除對應文件�。這種方法對以往的病毒木馬有良好的查殺效果。但是����,本發(fā)明的發(fā)明人發(fā)現(xiàn),由于新的病毒木馬采用了新的對抗和隱藏技術�����,導致目前的云查殺不能將其檢測出來�����。
[0004]例如����,BYSHELL木馬是一個無進程、無DLL(Dynamic Link Library���,動態(tài)鏈接庫)�����、無啟動項的��、集多種Rootki t技術特征的獨立功能遠程控制后門程序(Backdoor)���。其利用線程注射DLL到系統(tǒng)進程���,解除DLL映射并刪除自身文件和注冊表啟動項,然后在關機時恢復���。由于木馬在啟動后刪除了自身的文件和注冊表啟動項���,導致在云查殺的時候根本無法查殺,而在關機前�����,木馬可以再回寫自身��,從而繞過了云查殺�。又例如,利用白文件的木馬��,比如a.exe是個白程序����,會通過LoadLibrary加載其可能用到的b.dlI����,但由于沒有對b.dl I進行驗證���,導致木馬可以替換b.dll,從而達到加載木馬的目的��。另外�,其也可以在加載后刪除自身,然后關機時回寫等����,并抹掉自身的DLL模塊,以內存代碼方式存在和執(zhí)行�。
[0005]因此,有必要提出一種方案能夠對實現(xiàn)對上述病毒的有效查殺����。
【發(fā)明內容】
[0006]本發(fā)明實施例所要解決的一個技術問題是:提供一種病毒查殺方法和系統(tǒng)、及客戶端�,以實現(xiàn)對病毒的有效查殺。
[0007]本發(fā)明實施例提供的一種病毒查殺方法�����,包括:客戶端監(jiān)控系統(tǒng)啟動過程中加載的模塊,并確定各模塊是否安全;客戶端將系統(tǒng)環(huán)境信息發(fā)送給服務器��,以便服務器根據所述系統(tǒng)環(huán)境信息返回掃描信息����,所述掃描信息包括目標查殺文件;客戶端對所述目標查殺文件進行掃描以確定所述目標查殺文件是否安全;客戶端根據所述目標查殺文件是否安全的結果和各模塊是否安全的結果進行病毒查殺。
[0008]在基于本發(fā)明上述方法的另一個實施例中��,所述客戶端監(jiān)控系統(tǒng)啟動過程中加載的模塊�,并確定各模塊是否安全包括:客戶端記錄各模塊所在的路徑和文件特征;客戶端將各模塊的文件特征發(fā)送給服務器,以便服務器根據各模塊的文件特征確定各模塊是否安全;客戶端接收服務器返回的各模塊是否安全的結果�����。
[0009]在基于本發(fā)明上述方法的另一個實施例中���,所述客戶端對所述目標查殺文件進行掃描以確定所述目標查殺文件是否安全包括:客戶端掃描目標查殺文件的文件特征并發(fā)送給服務器;服務器根據目標查殺文件的文件特征確定目標查殺文件是否安全;客戶端接收服務器返回的所述目標查殺文件是否安全的結果���。
[0010]在基于本發(fā)明上述方法的另一個實施例中,所述服務器根據目標查殺文件的文件特征確定目標查殺文件是否安全包括:服務器判斷根據目標查殺文件的文件特征是否能確定目標查殺文件是否安全;若根據目標查殺文件的文件特征能確定目標查殺文件是否安全�����,則服務器根據目標查殺文件的文件特征確定目標查殺文件是否安全;若根據目標查殺文件的文件特征不能確定目標查殺文件是否安全,則服務器向客戶端獲取目標查殺文件及其上下文環(huán)境的屬性����,并根據目標查殺文件的文件特征、目標查殺文件及其上下文環(huán)境的屬性確定目標查殺文件是否安全����。
[0011]在基于本發(fā)明上述方法的另一個實施例中����,還包括:服務器接收客戶端上傳的樣本文件;服務器計算每個樣本文件被鑒別為可疑的概率;服務器根據每個樣本文件被鑒別為可疑的概率對全部樣本文件進行排序;服務器從排序后的全部樣本文件中抽取若干個樣本文件作為目標查殺文件。
[0012]在基于本發(fā)明上述方法的另一個實施例中�����,還包括:客戶端計算接收到的目標查殺文件被鑒別為可疑的概率;客戶端根據每個目標查殺文件被鑒別為可疑的概率對全部目標查殺文件進行排序;客戶端從排序后的全部目標查殺文件中抽取若干個目標查殺文件作為所述目標查殺文件�����,并上傳給服務器���。
[0013]在基于本發(fā)明上述方法的另一個實施例中����,所述掃描信息還包括掃描條件;所述客戶端對所述目標查殺文件進行掃描以確定所述目標查殺文件是否安全包括:客戶端根據掃描條件對所述目標查殺文件進行篩選;客戶端對篩選后的目標查殺文件進行掃描以確定篩選后的目標查殺文件是否安全。
[0014]在基于本發(fā)明上述方法的另一個實施例中�����,所述客戶端對所述目標查殺文件進行掃描以確定所述目標查殺文件是否安全包括:判斷所述目標查殺文件的全部文件屬性信息是否與客戶端中保存的文件的文件屬性信息一致;若所述目標查殺文件的全部文件屬性信息是否與客戶端中保存的文件的文件屬性信息一致�����,則判斷客戶端中保存的文件屬性信息對應的文件是否為惡意文件;若客戶端中保存的文件屬性信息對應的文件為惡意文件��,則判定所述目標查殺文件為不安全文件;若客戶端中保存的文件屬性信息對應的文件為非惡意文件��,則判定所述目標查殺文件為安全文件��。
[0015]在基于本發(fā)明上述方法的另一個實施例中���,所述客戶端根據所述目標查殺文件是否安全的結果和各模塊是否安全的結果進行病毒查殺包括:若所述目標查殺文件不安全�,則客戶端清除或修復所述目標查殺文件;若所述目標查殺文件安全�����、且與所述目標查殺文件相關的模塊中存在不安全的模塊��,則客戶端清除或修復所述目標查殺文件;若與所述目標查殺文件不相關的模塊中存在不安全的模塊����,則客戶端將不安全模塊的啟動項清除并強制重啟系統(tǒng)��。
[0016]在基于本發(fā)明上述方法的另一個實施例中�,所述客戶端修復所述目標查殺文件包括:客戶端將所述目標查殺文件的名稱和版本號上傳到服務器����,以便服務器判斷所述目標查殺文件是否支持修復;若所述目標查殺文件支持修復,則客戶端將所述目標查殺文件的文件信息上傳到服務器���,以便服務器根據所述目標查殺文件的文件信息提供文件下載接口�����,所述文件信息包括文件目錄、文件名稱和版本號中的一項或多項信息;客戶端根據服務器提供的文件下載接口下載新文件以替代所述目標查殺文件�����。
[0017]本發(fā)明實施例提供的一種客戶端��,包括:第一掃描單元����,用于監(jiān)控系統(tǒng)啟動過程中加載的模塊�����,并確定各模塊是否安全;發(fā)送單元����,用于將系統(tǒng)環(huán)境信息發(fā)送給服務器�����,以便服務器根據所述系統(tǒng)環(huán)境信息返回掃描信息�����,所述掃描信息包括目標查殺文件;第二掃描單元����,用于對所述目標查殺文件進行掃描以確定所述目標查殺文件是否安全;病毒查殺單元,用于根據所述目標查殺文件是否安全的結果和各模塊是否安全的結果進行病毒查殺��。
[0018]在基于本發(fā)明上述客戶端的另一個實施例中�,所述第一掃描單元包括:記錄模塊,用于記錄各模塊所在的路徑和文件特征;發(fā)送模塊�����,用于將各模塊的文件特征發(fā)送給服務器,以便服務器根據各模塊的文件特征確定各模塊是否安全;接收模塊��,用于接收服務器返回的各模塊是否安全的結果���。
[0019]在基于本發(fā)明上述客戶端的另一個實施例中���,所述第二掃描單元包括:掃描模塊,用于掃描目標查殺文件的文件特征并發(fā)送給服務器�,以便服務器根據目標查殺文件的文件特征確定目標查殺文件是否安全;接收模塊,用于接收服務器返回的所述目標查殺文件是否安全的結果��。
[0020]在基于本發(fā)明上述客戶端的另一個實施例中���,還包括:計算單元�����,用于計算接收到的目標查殺文件被鑒別為可疑的概率;排序單元,用于根據每個目標查殺文件被鑒別為可疑的概率對全部目標查殺文件進行排序;抽取單元����,用于從排序后的全部目標查殺文件中抽取若干個目標查殺文件作為所述目標查殺文件,并上傳給服務器�。
[0021]在基于本發(fā)明上述客戶端的另一個實施例中����,所述掃描信息還包括掃描條件;所述第二掃描單元具體用于:根據掃描條件對所述目標查殺文件進行篩選;對篩選后的目標查殺文件進行掃描以確定篩選后的目標查殺文件是否安全�����。
[0022]在基于本發(fā)明上述客戶端的另一個實施例中��,所述第二掃描單元具體用于:判斷所述目標查殺文件的全部文件屬性信息是否與客戶端中保存的文件的文件屬性信息一致����;若所述目標查殺文件的全部文件屬性信息是否與客戶端中保存的文件的文件屬性信息一致,則判斷客戶端中保存的文件屬性信息對應的文件是否為惡意文件;若客戶端中保存的文件屬性信息對應的文件為惡意文件���,則判定所述目標查殺文件為不安全文件;若客戶端中保存的文件屬性信息對應的文件為非惡意文件���,則判定所述目標查殺文件為安全文件。
[0023]在基于本發(fā)明上述客戶端的另一個實施例中�,所述病毒查殺單元具體用于:若所述目標查殺文件不安全,則清除或修復所述目標查殺文件;若所述目標查殺文件安全��、且與所述目標查殺文件相關的模塊中存在不安全的模塊�,則清除或修復所述目標查殺文件;若與所述目標查殺文件不相關的模塊中存在不安全的模塊,則將不安全模塊的啟動項清除并強制重啟系統(tǒng)��。
[0024]在基于本發(fā)明上述客戶端的另一個實施例中,所述病毒查殺單元包括:上傳模塊�����,用于將所述目標查殺文件的名稱和版本號上傳到服務器����,以便服務器判斷所述目標查殺文件是否支持修復;若所述目標查殺文件支持修復,則將所述目標查殺文件的文件信息上傳到服務器���,以便服務器根據所述目標查殺文件的文件信息提供文件下載接口�,所述文件信息包括文件目錄�����、文件名稱和版本號中的一項或多項信息�����;下載模塊