[发明专利]木马扫描方法及系统

说明书

【技术领域】

本发明涉及计算机安全领域，特别涉及一种木马扫描方法及系统。

【背景技术】

木马扫描工具通常对终端设备中进行木马扫描的模式主要有三种：全盘扫描模式、自定义扫描模式和快速扫描模式。全盘扫描模式是指对全盘系统进行扫描，由于全盘文件较多，所需扫描时间较长，一般执行一次所耗费的时间长达几小时，一般不会频繁执行。自定义扫描模式是指根据用户指定扫描路径、文件或更详细的扫描内容，可针对性扫描。快速扫描模式一般是指只针对系统内存、启动对象以及系统关键目录等位置进行扫描，扫描时间较短，适合经常执行。

木马是指侵入计算机，能够伺机盗取帐号密码的恶意程序，是计算机病毒中的一种特定类型。然而，因木马种类千差万别，且木马在日益更新，木马可能会被植入到快速扫描不易扫描到的地方，使得快速扫描无法发现木马，且没有针对不同用户的习惯进行扫描，降低了检测木马的命中率。

【发明内容】

基于此，有必要提供一种能提高木马检测命中率的木马扫描方法。

一种木马扫描方法，包括以下步骤：

在开启扫描后，判断是否为首次扫描

若是，则执行扫描，并将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器，

若否，则读取本地和/或服务器记录的木马扫描记录，根据所述木马扫描记录执行扫描，再将本次扫描得到的木马扫描记录记录到本地和/或上传服务器。

优选地，还包括步骤：获取用户标识，将所述用户标识以及对应的记录的本次扫描得到的木马扫描记录上传到服务器。

优选地，在判断不为首次扫描的步骤之后，还包括步骤：判断用户是否登录，若是，则获取用户标识，从服务器拉取与所述用户标识对应的上传的木马扫描记录，根据所述从服务器拉取的木马扫描记录执行扫描，记录扫描得到的木马扫描记录，并将所述用户标识及对应的本次扫描得到的木马扫描记录更新到服务器上，若否，则执行所述读取本地记录的木马扫描记录，再根据所述本地记录的木马扫描记录执行扫描，记录本次扫描得到的木马扫描记录的步骤。

优选地，在所述判断不为首次扫描且用户登录的步骤之后，还包括步骤：

判断用户是否登录，若是，则获取用户标识，从服务器拉取与所述用户标识对应上传的木马扫描记录；

读取本地记录的扫描得到的木马扫描记录，比较所述服务器上拉取的木马扫描记录和读取的本地的木马扫描记录，得到最新的木马扫描记录；

根据所述最新的木马扫描记录执行扫描，记录本次扫描得到的木马扫描记录，并据此更新所述服务器或本地的木马扫描记录。

优选地，在判断不为首次扫描且用户登录的步骤之后，还包括步骤：从服务器获取最新木马特征信息；

所述根据所述最新的木马扫描记录执行扫描的步骤变为：将得到的最新的木马扫描记录与最新木马特征信息合并，再根据合并后的信息执行扫描。

优选地，在判断为首次扫描的步骤之后，还包括步骤：从服务器获取最新木马特征信息；所述执行扫描的步骤具体为：根据获取的最新木马特征信息执行扫描。

优选地，所述木马扫描记录包括木马位置和木马特征信息。

优选地，所述木马位置包括木马位置全路径，所述木马特征信息包括木马信息摘要值、木马文件、木马文件名、木马文件信息、PE和非PE属性。

此外，还有必要提供一种能提高木马检测命中率的木马扫描系统。

一种木马扫描系统，包括：

判断模块，用于在开启扫描后，判断是否为首次扫描；

执行模块，用于在所述判断模块判断为首次扫描时执行扫描；

读取模块，用于在判断模块判断不为首次扫描时，读取本地和/或服务器记录的木马扫描记录，所述执行模块还用于根据所述本地和/或服务器记录的木马扫描记录执行扫描；

记录模块，用于将本次扫描得到的木马扫描记录记录到本地和/或上传到服务器。

优选地，还包括获取模块，所述获取模块用于获取用户标识，所述记录模块用于将所述用户标识以及对应的记录的本次扫描得到的木马扫描记录上传到服务器。

优选地，还包括拉取模块，所述判断模块还用于在判断不为首次扫描之后，进一步判断用户是否登录，所述获取模块还用于在所述判断模块判断用户登录时，获取用户标识，所述拉取模块用于从服务器拉取与所述用户标识对应的上传的木马扫描记录，所述执行模块还用于根据所述从服务器拉取的木马扫描记录执行扫描，所述记录模块还用于记录本次扫描得到的木马扫描记录，并将所述用户标识及对应的本次扫描得到的木马扫描记录更新到服务器上。