[发明专利]一种恶意文件扫描方法、装置、设备及介质

权利要求书

1.一种恶意文件扫描方法，其特征在于，应用于终端检测响应平台EDR上的客户端agent，包括：

创建扫描进程，并利用所述扫描进程中的目标线程对恶意文件进行扫描；

监测当前所述目标线程的实时CPU占用率；

判断所述实时CPU占用率是否大于目标CPU占用率；所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率；

若所述实时CPU占用率大于所述目标CPU占用率，则确定出与所述目标线程对应的挂起时间，然后基于所述挂起时间对所述目标线程进行挂起；其中：

所述确定出与所述目标线程对应的挂起时间，然后基于所述挂起时间对所述目标线程进行挂起，包括：

基于所述目标线程的实时CPU占用率和所述目标CPU占用率确定出与所述目标线程对应的挂起时间；

基于所述挂起时间，确定挂起初始值，判断所述挂起初始值是否大于预设挂起时间上限阈值，以及判断所述挂起初始值是否小于预设挂起时间下限阈值；

若所述挂起初始值大于所述预设挂起时间上限阈值，则控制所述目标线程下次挂起第一时长；所述第一时长为通过第一下次挂起时间计算经验公式计算得到；

若所述挂起初始值小于所述预设挂起时间下限阈值，则控制所述目标线程下次挂起第二时长；所述第二时长为通过第二下次挂起时间计算经验公式计算得到；

若所述挂起初始值在所述预设挂起时间上限阈值与下限阈值之间，则控制所述目标线程下次挂起第三时长；所述第三时长为通过第三下次挂起时间计算经验公式计算得到；

其中，所述挂起初始值、所述第一下次挂起时间计算经验公式、所述第二下次挂起时间计算经验公式、所述第三下次挂起时间计算经验公式，以及所述预设挂起时间上限阈值和所述预设挂起时间下限阈值，均为基于所述CPU使用率限制参数并以优化CPU占用率为确定原则确定出来的。

2.根据权利要求1所述的恶意文件扫描方法，其特征在于，所述利用所述扫描进程中的目标线程对恶意文件进行扫描，包括：

通过所述扫描进程加载扫描配置；所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式；

利用所述扫描进程中的所述目标线程扫描恶意文件。

3.根据权利要求2所述的恶意文件扫描方法，其特征在于，在所述加载扫描配置的步骤之前，包括：

获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。

4.根据权利要求3所述的恶意文件扫描方法，其特征在于，所述获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置，还包括：

在所述管理平台MGR上设有的用于对本地设置权限进行限制的配置锁处于开启状态时，则获取所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。

5.根据权利要求2至4任一项所述的恶意文件扫描方法，其特征在于，所述监测当前所述目标线程的实时CPU占用率，包括：

开启一个新线程作为监控线程并利用所述监控线程监测所述目标线程的实时CPU占用率；

所述判断所述实时CPU占用率是否大于目标CPU占用率之前，还包括：

若所述扫描配置中的资源优化模式为开启状态，则基于所述扫描模式和所述资源优化模式确定针对所述扫描进程的CPU使用率限制参数；

根据所述CPU使用率限制参数、所述监控线程的CPU占用率和所述目标线程的线程数计算所述目标线程对应的目标CPU占用率。