[发明专利]病毒查杀方法和系统、及客户端

说明书

技术领域

本发明涉及互联网安全技术领域，尤其是一种病毒查杀方法和系统、及 客户端。

背景技术

随着互联网安全技术的发展，云查杀已经越来越普及。在云查杀中，各 个客户端与服务器保持着即时的通讯，当有一个客户端发现未知恶意文件 时，服务端也就是云端，迅速把恶意文件的特征入库并下发到其他客户端， 这样就以最快的速度扼杀了病毒木马的传播。云查杀相比传统的查杀方式具 有更强的及时性和更强大的对未知病毒的探测性，可以把安全领域带入了一 个崭新的更高的“云端”。

目前，所有的云查杀技术都是通过扫描注册表和系统中的文件，将其特 征例如MD5(消息摘要算法第五版)等上传到服务器的云端进行比对，如果 发现是有问题的文件，就清除注册表相关项，并删除对应文件。这种方法对 以往的病毒木马有良好的查杀效果。但是，本发明的发明人发现，由于新的 病毒木马采用了新的对抗和隐藏技术，导致目前的云查杀不能将其检测出 来。

例如，BYSHELL木马是一个无进程、无DLL(DynamicLinkLibrary， 动态链接库)、无启动项的、集多种Rootkit技术特征的独立功能远程控制后 门程序(Backdoor)。其利用线程注射DLL到系统进程，解除DLL映射并删 除自身文件和注册表启动项，然后在关机时恢复。由于木马在启动后删除了 自身的文件和注册表启动项，导致在云查杀的时候根本无法查杀，而在关机 前，木马可以再回写自身，从而绕过了云查杀。又例如，利用白文件的木 马，比如a.exe是个白程序，会通过LoadLibrary加载其可能用到的b.dll，但 由于没有对b.dll进行验证，导致木马可以替换b.dll，从而达到加载木马的目 的。另外，其也可以在加载后删除自身，然后关机时回写等，并抹掉自身的 DLL模块，以内存代码方式存在和执行。

因此，有必要提出一种方案能够对实现对上述病毒的有效查杀。

发明内容

本发明实施例所要解决的一个技术问题是：提供一种病毒查杀方法和系 统、及客户端，以实现对病毒的有效查杀。

本发明实施例提供的一种病毒查杀方法，包括：客户端监控系统启动过 程中加载的模块，并确定各模块是否安全；客户端将系统环境信息发送给服 务器，以便服务器根据所述系统环境信息返回扫描信息，所述扫描信息包括 目标查杀文件；客户端对所述目标查杀文件进行扫描以确定所述目标查杀文 件是否安全；客户端根据所述目标查杀文件是否安全的结果和各模块是否安 全的结果进行病毒查杀。

在基于本发明上述方法的另一个实施例中，所述客户端监控系统启动过 程中加载的模块，并确定各模块是否安全包括：客户端记录各模块所在的路 径和文件特征；客户端将各模块的文件特征发送给服务器，以便服务器根据 各模块的文件特征确定各模块是否安全；客户端接收服务器返回的各模块是 否安全的结果。

在基于本发明上述方法的另一个实施例中，所述客户端对所述目标查杀 文件进行扫描以确定所述目标查杀文件是否安全包括：客户端扫描目标查杀 文件的文件特征并发送给服务器；服务器根据目标查杀文件的文件特征确定 目标查杀文件是否安全；客户端接收服务器返回的所述目标查杀文件是否安 全的结果。

在基于本发明上述方法的另一个实施例中，所述服务器根据目标查杀文 件的文件特征确定目标查杀文件是否安全包括：服务器判断根据目标查杀文 件的文件特征是否能确定目标查杀文件是否安全；若根据目标查杀文件的文 件特征能确定目标查杀文件是否安全，则服务器根据目标查杀文件的文件特 征确定目标查杀文件是否安全；若根据目标查杀文件的文件特征不能确定目 标查杀文件是否安全，则服务器向客户端获取目标查杀文件及其上下文环境 的属性，并根据目标查杀文件的文件特征、目标查杀文件及其上下文环境的 属性确定目标查杀文件是否安全。

在基于本发明上述方法的另一个实施例中，还包括：服务器接收客户端 上传的样本文件；服务器计算每个样本文件被鉴别为可疑的概率；服务器根 据每个样本文件被鉴别为可疑的概率对全部样本文件进行排序；服务器从排 序后的全部样本文件中抽取若干个样本文件作为目标查杀文件。