[发明专利]一种可对文件实时监控的防治计算机病毒的装置及其升级方法

说明书

技术领域

本发明涉及计算机病毒的防治技术，尤其涉及一种可对文件实时监控的防治计算机病毒的装置及方法。

背景技术

随着计算机技术的发展，计算机病毒的种类及危害也越来越多，它造成硬件损坏、数据丢失，或不能正常使用等，已经给计算机用户带来很大影响和损失。计算机病毒具有很强的传播性和感染性，主要通过网络传播或是通过感染计算机中的可执行程序进行传播。目前对计算机病毒多采用防病毒软件进行查杀，防病毒软件一般由病毒检查引擎和病毒特征库组成。病毒检查引擎对计算机文件按照病毒特征库中的病毒特征码对计算机协调中的文件进行检查，如果发现有对应的特征码存在，则表明该文件被特定的病毒感染，防病毒软件采用相关措施对病毒进行清除。利用防病毒软件进行计算机病毒的防治，需要频繁地更新病毒特征库，因为每种新的计算机病毒都会有不同于已知病毒的特征码，在新的病毒产生后，通过对其分析，才能找出它的特征码，将其添加到原有病毒特征库中，不断地升级防病毒软件才能查杀新的病毒。由此可见，这种方法总是滞后于新的病毒的出现，对于潜伏在正常的程序或数据文件中还未发作的新病毒则无法查找到，无法做到对新病毒的预防，一旦新的病毒达到发作条件，就会对计算机系统造成破坏，轻则影响系统的正常运行，甚至破坏系统硬件部分，造成严重的损失。由此可见，病毒特征库的及时更新非常重要。

在目前市面上的杀毒软件中都具有文件实时监控的功能，用于实时监视访问的文件是否存在病毒，其实现机理是对于用户或计算机将要访问的每个文件都进行截获，进行病毒扫描，确保其安全之后再放行。同时作为具备杀毒功能的软件都是需要实时更新病毒库，以确保能够查杀最新的病毒以确保当前计算机的安全。现有技术中，可对文件实时监控的防治计算机病毒的装置基本结构如图1所示：包括有应用层部分和操作系统内核部分，所述应用层部分又包括有由操作系统提供的文件系统应用程序编程接口(API)模块、文件系统交互处理逻辑模块；所述操作系统内核部分包括有可截获文件操作的杀毒软件文件系统驱动模块和实际操作系统的文件系统驱动模块；所述防治计算机病毒的装置还包括杀毒引擎和病毒库，所述杀毒引擎和病毒库可设置在应用层部分中，或者设置在操作系统内核部分中。将杀毒引擎及文件系统的交互处理逻辑实现在系统内核的，可提高效率，并不影响整体的监控流程。

如图2所示，文件实时监控进行文件防毒的基本流程如下：

步骤一：操作开始；

步骤二：应用层文件系统驱动模块驱动文件操作；

步骤三：杀毒软件文件系统驱动模块截获文件操作；

步骤四：判断是否为可过滤的文件或进程；如是，则进入步骤五；如否，则进入步骤六；

步骤五：提交给实际操作系统的文件系统驱动模块驱动操作；进入步骤十；

步骤六：提交给杀毒软件应用层进行逻辑判断；

步骤七：调用杀毒引擎进行病毒查杀；

步骤八：判断病毒是否存在；如是，则进入步骤九；如否，则进入步骤五；

步骤九：阻止文件系统的访问；

步骤十：结束操作。

可以看出，整个实时监控的防毒机理上主要是靠截获文件操作，然后将其提交给引擎进行查杀病毒，而为了能够实防毒功能具有时效性，那就必须进行频繁的替换最新的病毒库及引擎。目前在替换病毒库的时机选择上，杀毒软件的通用作法就是暂时停止文件的截获，并进行替换引擎或病毒库，再进行打开，其实现过程如图3所示。

这样做的一个最明显的好处就是：由于在用行引擎或病霉库替换的时候存在一定的时间延迟，在关闭掉监控功能，再进行打开就能够让用户体验更好，不会发现机器的停顿。但同时作为安全软件来说，它也存在着一个安全隐患，那就是在文件监控关闭的这段时间内，计算机是不安全的，因为此时杀毒软件并不能起任何作用，这也是在进行引擎病毒库升级时存在的最大的一个弊端。

发明内容

为了克服现有的计算机病毒的防治系统的不足，本发明的目的在于：提供一种可对文件实时监控的防治计算机病毒的装置及方法，在进行病毒库或引擎升级时，可确保用户具有良好的体验，同时又能保证计算机的安全。

本发明解决其技术问题所采用的技术方案是：