[发明专利]木马扫描方法及系统

说明书

【技术领域】

本发明涉及数据处理技术，特别是涉及一种木马扫描方法及系统。

【背景技术】

为了维护系统安全，常常通过运行杀毒软件来实现文件的安全性扫描，识别出影响安全的可疑文件。用户在完成了一次安全性扫描之后还会不定期或者定期地再次进行安全性扫描。

用户所进行的多次安全性扫描中判定结果为正常的文件仍然会与其他发生了更改的文件一起进入下一次安全性扫描，例如，杀毒软件在计算机中运行通过文件的特征识别判定出正常文件和可疑文件，并且对可疑文件进行了处理；在杀毒软件的下一次运行中，还会对这些正常文件以及计算机中进行了添加、修改等操作的文件进行扫描。每一次安全性扫描都一个复杂的过程，耗费了大量的系统资源和时间资源，且对于正常文件而言若没有发生被修改的状况或者未发生任何变化，是不会由上一次扫描结果判定为正常的文件变为可疑文件的。

扫描的文件中大多数文件都是正常文件，可疑文件仅为所有扫描文件中的少数数据文件，在多次安全性扫描过程中不断地重复扫描正常文件，而实际需要进行安全性扫描的文件其实仅限于发生了修改或者变化的文件，因此为提高扫描速度，在安全性扫描的过程中只对发生了修改或者变化的文件进行扫描，传统的实现方式是在NTFS文件系统中通过USN(Update Service Number Journal or Change Journal，简称更新序列号)日志记录NTFS分区中文件的所有更改，在进行文件的安全性扫描之前可通过查询USN日志获知哪些文件发生了变化，进而扫描这些发生了变化的文件。

但是，这一传统的实现方式不能使用在除了NTFS文件系统之外的其它文件系统中，缺乏灵活性。

【发明内容】

基于此，有必要提供一种能灵活地降低资源耗费的木马扫描方法。

此外，还有必要提供一种能灵活地降低资源耗费的木马扫描系统。

一种木马扫描方法，包括如下步骤：

获取待扫描文件；

从所述获取的待扫描文件中逐一提取待扫描文件的属性信息；

将所述提取的属性信息与存储的属性信息进行比对，判断所述提取的属性信息与存储的属性信息是否相同，若否，则扫描与所述提取属性信息对应的待扫描文件；

所述存储的属性信息是上一次木马扫描结果中标识为正常状态的文件所对应的属性信息。

优选地，所述将所述提取的属性信息与存储的属性信息进行比对的步骤之后还包括：

当判断到所述提取的属性信息与存储的属性信息相同时，从所述获取的待扫描文件中移除与所述提取的属性信息对应的待扫描文件。

优选地，所述将所述提取的属性信息与存储的信息进行比对的步骤之前还包括：

获取木马扫描结果；

从所述木马扫描结果中提取标识为正常状态的文件；

逐一获取所述标识为正常状态的文件所对应的属性信息，并存储。

优选地，所述存储的步骤为：

缓存每一个标识为正常状态的文件所对应的属性信息。

优选地，所述属性信息为属性值，所述属性值唯一标识对应的属性信息；所述将所述提取的属性信息与存储的属性信息进行比对的步骤之前还包括：

对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值；

计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值。

优选地，所述对所述提取的属性信息进行计算得到所述待扫描文件对应的属性值的步骤之后还包括：

从所述提取的属性信息中提取待扫描文件的文件路径名，并对文件路径名进行计算得到所述待扫描文件对应的信息摘要值；

所述计算所述获取的文件的属性信息得到所述获取的文件所对应的属性值的步骤之后还包括：

从所述获取的文件的属性信息中提取文件路径名，并对所述文件路径名进行计算得到所述获取的文件所对应的信息摘要值；

以所述获取的文件所对应的信息摘要值为索引建立所述信息摘要值与所述获取的文件所对应的属性值之间的对应关系，并存储所述对应关系。

优选地，所述将所述待扫描文件的属性信息与存储的属性信息进行比对的步骤为：

对所述存储的信息摘要值进行查询，所述查询得到的信息摘要值与所述待扫描文件对应的信息摘要值相同；

从存储的对应关系中获取与查询到的信息摘要值存在对应关系的存储的属性值；