[发明专利]一种扫描文件的方法和终端设备

权利要求书

1.一种扫描文件的方法，其特征在于，包括：

通过预扫描模式判断是否执行全盘扫描；

当通过预扫描模式判断不需要执行全盘扫描时，判断用户是否选择深度扫描；

当判断用户选择深度扫描时，执行深度扫描。

2.根据权利要求1所述的方法，其特征在于：包括：

当通过预扫描模式判断需要执行全盘扫描时，执行全盘扫描。

3.根据权利要求1所述的方法，其特征在于：包括：

当判断用户不选择深度扫描时，执行快速扫描。

4.根据权利要求1所述的方法，其特征在于：所述通过预扫描模式判断是否执行全盘扫描的步骤包括：

判断系统上是否存在感染全盘程序的木马特征；

当判断系统上不存在感染全盘程序的木马特征时，判断是否存在系统DLL被劫持的特征；

当判断系统上存在感染全盘程序的木马特征时，判断需要执行全盘扫描。

5.根据权利要求4所述的方法，其特征在于：所述通过预扫描模式判断是否执行全盘扫描的步骤包括：

当判断不存在系统DLL被劫持的特征时，判断是否存在其它全盘扫描的先验特征；所述其它全盘扫描的先验特征为：通过样本运营收集、用户反馈发现的新的具有全盘感染行为的木马特征；

当判断存在系统DLL被劫持的特征时，判断需要执行全盘扫描。

6.根据权利要求5所述的方法，其特征在于：所述通过预扫描模式判断是否执行全盘扫描的步骤包括：

当判断不存在其它全盘扫描的先验特征时，判断不需要执行全盘扫描；

当判断存在其它全盘扫描的先验特征时，判断需要执行全盘扫描。

7.根据权利要求1所述的方法，其特征在于：所述深度扫描的扫描位置包括快速扫描的系统关键位置、系统活跃进程路径回溯和软件卸载项路径回溯。

8.一种应用扫描文件的终端设备，其特征在于，所述终端设备包括：

预扫描单元，用于通过预扫描模式判断是否执行全盘扫描；

判断单元，用于当通过预扫描模式判断不需要执行全盘扫描时，判断用户是否选择深度扫描；

深度扫描单元，用于当判断用户选择深度扫描时，执行深度扫描。

9.根据权利要求8所述的终端设备，其特征在于：还包括：

全盘扫描单元，用于当所述预扫描单元通过预扫描模式判断需要执行全盘扫描时，执行全盘扫描。

10.根据权利要求9所述的终端设备，其特征在于：还包括：

快速扫描单元，用于当所述判断单元判断用户选择深度扫描时，执行快速扫描。

11.根据权利要求9所述的终端设备，其特征在于：所述预扫描单元包括：

选择模块，用于选择预扫描模式；

第一判断单元，用于判断系统上是否存在感染全盘程序的木马特征；

第二判断单元，用于当所述第一判断单元判断系统上不存在感染全盘程序的木马特征时，判断是否存在系统DLL被劫持的特征；

第三判断单元，用于当所述第二判断单元判断不存在系统DLL被劫持的特征时，判断是否存在其它全盘扫描的先验特征；所述其它全盘扫描的先验特征为：通过样本运营收集、用户反馈发现的新的具有全盘感染行为的木马特征。

12.根据权利要求11所述的终端设备，其特征在于：还包括：所述第一判断单元还用于判断系统上存在感染全盘程序的木马特征时，判断需要执行全盘扫描。

13.根据权利要求11所述的终端设备，其特征在于：还包括：所述第二判断单元还用于当判断存在系统DLL被劫持的特征时，判断需要执行全盘扫描。

14.根据权利要求11所述的终端设备，其特征在于：还包括：所述第三判断单元还用于判断存在其它全盘扫描的先验特征时，判断需要执行全盘扫描。

15.根据权利要求11所述的终端设备，其特征在于：还包括：所述第三判断单元还用于判断不存在其它全盘扫描的先验特征时，判断不需要执行全盘扫描。