[发明专利]使用反病毒缓存加速恶意软件检测的系统和方法

说明书

技术领域

本发明涉及一种使用反病毒缓存来加速计算机恶意软件检测系统的系统，还涉及一种应用对反病毒数据库文件进行缓存来加速计算机恶意软件检测系统的方法。

背景技术

目前，反病毒数据库包含用于反病毒系统操作的必要信息，该信息必须定期用新病毒的定义和其他信息加以补充以应对新型威胁，包括执行数据对象的格式选择及其解压和解码的可执行代码。

反病毒数据库都是非常大型的（几十兆字节）。通过下载该数据库的整个新版本来实现一次完整更新是不切实际的。因此，一种增量方式被用来进行更新，其中反病毒应用程序仅仅下载该数据库的更新，并将其与以前所下载的内容加以结合。

以包含不同信息类别的文件的形式来提供该更新，诸如：

-     病毒和其他威胁的签名编码（signature）；

-     用于解压和启发式（heuristically）分析数据的算法的可执行代码

-     用于解压和启发式分析数据的算法的伪码pseudocode（可解释的字节码）；

-     用于移除被检出威胁的信息等等

每个数据库文件均可包含不同类别的数据。这一格式便于对该数据库进行修正，但并不总是便于操作一个对象扫描模块。

一般来说，对于操作一个扫描模块而言，需要将信息按类别分组（全部的签名编码在一处，全部的代码在另一处，等等）。为了更有效地处理该扫描模块，通常会将初始信息转换为不同的格式，例如，对签名编码进行排序以加速搜索。

已知的系统使用由大量大小有限的单独更新文件所组成的反病毒数据库。在更新期间，新的文件被添加，或者一个或多个文件由新内容所取代。在将该数据库加载到RAM的过程中，扫描模块相继将这些文件读取到存储器（memory）中，并且将其数据结构转换为便于操作的内部表示形式。该转换发生在RAM中。在第7,461,373号美国专利以及专利申请EP1655682A2和US20070277167A1中，均披露了类似的用于更新数据库的系统。

由于易于对单个文件进行独立修正，因此维持该数据库具有简易性，有助于这些系统的使用。

现有系统的一个缺陷在于，每次扫描模块启动时，均要将该反病毒数据库加载到计算机的RAM中，包括数据的按类别重组。具体而言，这一转换是通过将一种格式的数据集合到一个分区（section）来实现。因此，会形成多个分区，每一个分区都包含属于一个类型的数据。这一过程消耗了额外的系统资源，并且降低了扫描模块的操作速度。

现有系统在加载反病毒数据库方面的另一个缺陷在于，当多个进程同时使用反病毒数据库时，存储器的使用效率低下。在此情况下，在RAM内要为每一个进程加载一份数据库文件的拷贝。进程越多并且数据库文件越大时，所需的系统存储器越多。

因此，能够确定已知系统在加载反病毒数据库方面的两种本质缺陷：

1、为了将反病毒数据库的表示形式从一种转化为另外一种，计算机的RAM被用于反病毒应用程序的每一次加载，也就是说，在操作扫描模块期间，对计算机存储器资源的需求增加。

2、难以实现多个进程联合使用一个反病毒数据库。

本发明的目标在于克服上述缺陷，并且提供一种反病毒扫描系统和一种通用的方法，使反病毒应用程序的启动加速。

发明内容

本发明的目的在于分别提供一种用于加速反病毒应用程序启动的系统和相应方法。

本发明的一个实施例为一种用于加速反病毒应用程序启动的系统，包括：（a）连接到更新模块、转换模块和扫描模块的反病毒应用程序，其中所述反病毒应用程序用于控制所述扫描模块；（b）所述更新模块与反病毒数据库存储模块连接，其中所述更新模块由所述反病毒应用程序所启动，并且所述更新模块用于执行新反病毒数据库的扫描，还用于在存在新反病毒数据库的情况下将新反病毒数据库加载到所述反病毒数据库存储模块中；（c）所述反病毒数据库存储模块包括所述反病毒数据库的被更新的文件；（d）所述转换模块与所述反病毒数据库存储模块以及反病毒库缓存存储模块连接，其中所述转换模块由所述反病毒应用程序启动并用于从所述反病毒数据库形成所述反病毒库缓存；（e）所述反病毒库缓存存储模块与所述扫描模块连接，且包含格式为允许其同时在多个扫描进程中使用的反病毒库缓存文件；（f）所述扫描模块能够被加载到每一扫描进程中，其中所述扫描模块用于使用所述反病毒库缓存来搜索扫描对象中的有害数据。