专利名称:一种在线查毒的装置和方法
技术领域:
本发明涉及计算机技术领域,特别涉及一种基于互联网的在线杀毒装置和方法。
背景技术:
在线查毒是一种基于互联网服务的反病毒技术,由于其无需客户安装特制客户端,因此具有部署简易,升级方便的特点。目前的在线查毒技术都是基于ActiveX技术的,即将在线杀毒的ActiveX控件放置在网页当中,当用户访问这个网页的时候,浏览器会自动下载这个ActiveX控件和需要的相关文件资源到本地,然后可以通过浏览器调用这个ActiveX控件对本地计算系统进行病毒的查杀。如图1所示,为目前在线查毒技术的原理图,我们注意到,在这个查毒流程中,查毒操作实际上是通过随ActiveX一起下载到本地的杀毒引擎来完成的。因此,与单机版的杀毒软件相同的是,这种在线查毒的方法,仍然是通过安装在用户系统中的病毒库和杀毒引擎来实现病毒查杀的。由于目前互联网上计算机病毒的数量激增,各种杀毒软件的病毒库数据都有了比较大的增长。目前主流的杀毒软件病毒库体积普遍在5M到10M左右。因此目前这种在线查毒技术普遍存在安装过程中下载病毒库时间过长,以及升级病毒库的时候数据量较大的问题。考虑到我国目前的网络连接状况,上述缺陷严重的影响了在线查毒程序使用过程的用户体验。
发明内容
本发明的目的在于,提供一种新型的在线查毒的方法,这种方法无需在客户端安装体积庞大的病毒库,也无需在客户端及时更新最新的病毒数据,在相同的网络连接状况下,能够提供比较快速的查毒服务。
本发明的另一个目的在于,提供一种新型的在线查毒的装置,用于实现上述在线查毒方法。
本发明的目的是通过如下技术方案实现的一种在线查毒的方法,用于客户终端与服务器端通过互联网对本地计算系统进行病毒的查杀,其特征在于,所述客户终端包含有客户端程序模块,所述服务器端包含有服务端程序模块,其包括如下步骤,所述客户端程序模块向所述服务端程序模块上传待查毒文件或者待查毒文件的校验值,并接受所述服务器端程序模块返回的查询结果;所述服务端程序模块根据该校验值查询该待查毒文件的信息或者调用杀毒引擎对该待查毒文件进行查毒,并向所述客户端程序模块返回查询结果。
具体地,当用户要求对一个文件进行查毒操作时,所述客户端程序模块从所述客户终端的本地文件系统中获取该待查毒的文件,并获取该待查毒文件的校验值;所述客户端程序模块通过该校验值向所述服务端程序模块查询该待查毒文件的文件类型及其它信息;所述服务端程序模块在所述服务器端数据库中检索该校验值,如果发现该校验值已经存在,则所述服务器端程序模块向所述客户端程序模块返回该校验值对应的文件类型及其它信息;如果该校验值不存在,则所述服务器端程序模块要求所述客户端程序模块将该待查毒文件上传到所述服务器端,并且使用安装在所述服务器端的杀毒引擎进行查毒操作;
如果在该待查毒文件中发现病毒,则所述服务器端程序模块将查毒结果返回给所述客户端程序模块,并且向所述服务器端数据库添加该查毒文件对应的校验值、文件类型以及病毒名;如果在该待查毒文件中没有发现为病毒,则所述服务器端程序模块将该待查毒文件记为“未知”,将此结果返回给所述客户端程序模块。
一种在线查毒的装置,用于客户终端与服务器端通过互联网对本地计算系统进行病毒的查杀,其特征在于,所述客户终端包含有客户端程序模块,所述服务器端包含有服务端程序模块,其中,所述客户端程序模块向所述服务端程序模块上传待查毒文件或者待查毒文件的校验值,并接受所述服务器端程序模块返回的查询结果;所述服务端程序模块根据该校验值查询该待查毒文件的信息或者调用杀毒引擎对该待查毒文件进行查毒,并向所述客户端程序模块返回查询结果。
本发明通过安装在所述客户终端的客户端程序模块,和安装在所述服务器端的服务端程序模块之间的交互,使在在线杀毒时无需在客户端安装体积庞大的病毒库,也无需在客户端及时更新最新的病毒数据使客户终端部署简单;在相同的网络连接状况下,能够提供比较快速的查毒服务。另外,便于在线杀毒服务提供商及时获取最新病毒样本;也便于与其他产品集成。
图1为目前在线查毒技术的原理图;图2为本发明提供的在线查毒装置的结构框图;图3为本发明提供的在线查毒方法的流程图。
具体实施例方式
如图2所示,一种在线查毒的装置,用于客户终端1与服务器端2通过互联网对本地计算系统进行病毒的查杀,所述客户终端1包含有客户端程序模块11和本地文件系统12,所述客户端程序模块11可以是一个可执行文件,也可以是由Web浏览器调用的ActiveX控件,或者其他程序调用的控件;所述服务器端2包含有服务端程序模块21、杀毒引擎22、数据库23,其中,所述客户端程序模块11用于从所述客户终端1的本地文件系统12中获取待查毒文件121,并获取该待查毒文件121的校验值;通过该校验值向所述服务端程序模块查询该待查毒文件121的文件类型及其它信息;并接受查询结果;在所述服务端程序模块21的要求下,向所述服务器端2上传该待查毒文件121;并接受查询结果;所述服务端程序模块21用于将已知的文件信息,包括校验值,是否属于病毒,以及病毒种类(假如该文件是病毒的话)保存与记录在所述服务器端2的数据库23;在所述服务器端2的数据库23中检索所述客户端程序模块11查询的校验值,并向所述客户端程序模块11返回该校验值对应的文件类型及其它信息;要求所述客户端程序模块11将待查毒文件121上传到所述服务器端2,并且使用安装在所述服务器端2的杀毒引擎22进行查毒操作;如果在该待查毒文件121中发现病毒,所述服务器端程序模块21向所述服务器端2的数据库23添加该待查毒文件121对应的校验值、文件类型以及病毒名;
如果在该待查毒文件121中没有发现为病毒,则所述服务器端程序模块21将该待查毒文件121记为“未知”,将此结果返回给所述客户端程序模块11。
如下表一和表二,在所述数据库23中存储着所有已知文件的校验值(本发明中申请人使用Md5值,即Message-Digest Algorithm 5,中文名信息-摘要算法5,是一种用于确保信息传输完整一致的哈希算法,作为举例用,以便理解)以及这些文件的分类及其它信息。
表一
表示Md5值为bcd9776fb92a6f0900c4bb4cf3986317的文件是一个木马病毒,其病毒名为Win32.PSWTroj.QQPass.96899。
表二
表示表示Md5值为86F1895AE8C5E8B17D99ECE768A70732的文件是一个正常的文件。
所述客户终端1还包括本地缓存器13,所述客户端程序模块11具有查询缓存功能。即当一个文件的信息已经在所述服务器端1查询过一次以后,所述客户端程序模块11将此查询结果存储在所述本地缓存器13,在下次要查询这个文件的时候,所述客户端程序模块11可以直接从所述本地缓存器13中得到结果。为了保证文件的信息可以及时更新,所述本地缓存器13中的数据都设置有超时属性。当一个文件的结果缓存记录超过一定时间后,这个缓存信息就失效了;下次再对这个文件进行查毒时,所述客户端程序模块11就不再读取这个缓存信息,而是直接向所述服务器端1进行查询,并且用查询的结果更新这个缓存信息。
在本发明中,所述服务端程序模块21还可以在将该待查毒文件记为“未知”,将此结果返回给所述客户端程序模块11的同时,并将该待查毒文件提交给病毒分析员作人工处理。当人工分析完成后,如果是正常文件,将获取的该文件的校验值、文件类型及其他信息更新到所述服务器端2的数据库23中;假如发现病毒,病毒分析员还将提取病毒的特征码并且更新所述服务器端2的杀毒引擎病毒库。这样,当下次该待查毒文件再次被提交进行查毒的时候,所述数据库23中就已经拥有该待查毒文件的相关信息了。
如图3所示,一种在线查毒的方法,用于客户终端与服务器端通过互联网对本地计算系统进行病毒的查杀,当用户要求对一个文件进行查毒操作时,所述客户端程序模块11从所述客户终端1的本地文件系统12中获取该待查毒文件121,并获取该待查毒文件121的校验值;所述客户端程序模块11通过该校验值向所述服务端程序模块21查询该待查毒文件121的文件类型及其它信息;所述服务端程序模块21在所述服务器端2的数据库23中检索该校验值,如果发现该校验值已经存在,则所述服务器端程序模块21向所述客户端程序模块11返回该校验值对应的文件类型及其它信息;如果该校验值不存在,则所述服务器端程序模块21要求所述客户端程序模块11将该待查毒文件121上传到所述服务器端2,并且使用安装在所述服务器端2的杀毒引擎22进行查毒操作;如果在该待查毒文件中发现病毒,则所述服务器端程序模块21将查毒结果返回给所述客户端程序模块11,并且向所述服务器端2的数据库23添加该查毒文件121对应的校验值、文件类型以及病毒名;如果在该待查毒文件121中没有发现为病毒,则所述服务器端程序模块21将该待查毒文件记为“未知”,将此结果返回给所述客户端程序模块11。同时,将该待查毒文件提交给病毒分析员作人工处理;当人工分析完成后,如果是正常文件,将获取的该文件的校验值、文件类型及其他信息更新到所述服务器端2的数据库23中;假如发现病毒,病毒分析员还将提取病毒的特征码并且更新所述服务器端2的杀毒引擎病毒库。
以上所揭露的实施例不能认为是对本发明所要求保护的范围作出的限定,对于所属技术领域的普通技术人员来说,一些未经创造性劳动得到的、基于本发明构思所做的简单变更,仍应当不脱本发明保护的范围。
权利要求
1.一种在线查毒的装置,用于客户终端与服务器端通过互联网对本地计算系统进行病毒的查杀,其特征在于,所述客户终端包含有客户端程序模块,所述服务器端包含有服务端程序模块,其中,所述客户端程序模块向所述服务端程序模块上传待查毒文件或者待查毒文件的校验值,并接受所述服务器端程序模块返回的查询结果;所述服务端程序模块根据该校验值查询该待查毒文件的信息或者调用杀毒引擎对该待查毒文件进行查毒,并向所述客户端程序模块返回查询结果。
2.根据权利要求1所述的一种在线查毒的装置,其特征在于,所述客户端程序模块从所述客户终端的本地文件系统中获取待查毒的文件,并获取该待查毒文件的校验值;通过该校验值向所述服务端程序模块查询该待查毒文件的文件类型及其它信息;并接受所述服务器端程序模块返回的查询结果。
3.根据权利要求2所述的一种在线查毒的装置,其特征在于,当所述服务器端程序模块未检索到该校验值时,在所述服务端程序模块的要求下向所述服务器端上传该待查毒文件;并接受所述服务器端程序模块返回的查询结果。
4.根据权利要求1所述的一种在线查毒的装置,其特征在于,所述服务端程序模块在保存与记录有已知的包括校验值在内的文件信息的所述服务器端的数据库中检索所述客户端程序模块查询的校验值,并向所述客户端程序模块返回该校验值对应的文件类型及其它信息。
5.根据权利要求4所述的一种在线查毒的装置,其特征在于,当所述服务器端程序模块未检索到该校验值时,所述服务端程序模块要求所述客户端程序模块将待查毒文件上传到所述服务器端,并且使用安装在所述服务器端的杀毒引擎进行查毒操作;如果在该待查毒文件中发现病毒,向所述服务器端数据库添加该待查毒文件对应的校验值、文件类型以及病毒名,并将此结果返回给所述客户端程序模块;如果在该待查毒文件中没有发现为病毒,则所述服务器端程序模块将该待查毒文件记为“未知”,并将此结果返回给所述客户端程序模块。
6.根据权利要求5所述的一种在线查毒的装置,其特征在于,所述服务端程序模块还可以将被记为“未知”的待查毒文件提交给病毒分析员作人工处理;并将分析结果更新到所述服务器端的数据库和/或杀毒引擎病毒库中。
7.一种在线查毒的方法,用于客户终端与服务器端通过互联网对本地计算系统进行病毒的查杀,其特征在于,所述客户终端包含有客户端程序模块,所述服务器端包含有服务端程序模块,其包括如下步骤,所述客户端程序模块向所述服务端程序模块上传待查毒文件或者待查毒文件的校验值,并接受所述服务器端程序模块返回的查询结果;所述服务端程序模块根据该校验值查询该待查毒文件的信息或者调用杀毒引擎对该待查毒文件进行查毒,并向所述客户端程序模块返回查询结果。
8.根据权利要求7所述的一种在线查毒的方法,其特征在于,当用户要求对一个文件进行查毒操作时,所述客户端程序模块从所述客户终端的本地文件系统中获取该待查毒的文件,并获取该待查毒文件的校验值;所述客户端程序模块通过该校验值向所述服务端程序模块查询该待查毒文件的文件类型及其它信息;所述服务端程序模块在所述服务器端数据库中检索该校验值,如果发现该校验值已经存在,则所述服务器端程序模块向所述客户端程序模块返回该校验值对应的文件类型及其它信息;如果该校验值不存在,则所述服务器端程序模块要求所述客户端程序模块将该待查毒文件上传到所述服务器端,并且使用安装在所述服务器端的杀毒引擎进行查毒操作;如果在该待查毒文件中发现病毒,则所述服务器端程序模块将查毒结果返回给所述客户端程序模块,并且向所述服务器端数据库添加该查毒文件对应的校验值、文件类型以及病毒名;如果在该待查毒文件中没有发现为病毒,则所述服务器端程序模块将该待查毒文件记为“未知”,将此结果返回给所述客户端程序模块。
9.根据权利要求8所述的一种在线查毒的方法,其特征在于,所述服务端程序模块还可以将被记为“未知”的待查毒文件提交给病毒分析员作人工处理;并将分析结果更新到所述服务器端的数据库和/或杀毒引擎病毒库中。
全文摘要
本发明涉及一种基于互联网的在线杀毒装置和方法。一种在线查毒的装置,用于客户终端与服务器端通过互联网对本地计算系统进行病毒的查杀,其特征在于,所述客户终端包含有客户端程序模块,所述服务器端包含有服务端程序模块,其中,所述客户端程序模块向所述服务端程序模块上传待查毒文件或者待查毒文件的校验值,并接受所述服务器端程序模块返回的查询结果;所述服务端程序模块根据该校验值查询该待查毒文件的信息或者调用杀毒引擎对该待查毒文件进行查毒,并向所述客户端程序模块返回查询结果。本发明使在在线杀毒时无需在客户端安装体积庞大的病毒库,也无需在客户端及时更新最新的病毒数据使客户终端部署简单;能够提供比较快速的查毒服务。
文档编号H04L29/06GK101039177SQ20071002773
公开日2007年9月19日 申请日期2007年4月27日 优先权日2007年4月27日
发明者孟槟榔, 李俊生, 黄声声, 李登旺, 张晓晅 申请人:珠海金山软件股份有限公司