【技術(shù)領(lǐng)域】

本發(fā)明涉及計算機安全領(lǐng)域，特別涉及一種木馬掃描方法及系統(tǒng)。

【背景技術(shù)】

木馬掃描工具通常對終端設(shè)備中進行木馬掃描的模式主要有三種：全盤掃描模式、自定義掃描模式和快速掃描模式。全盤掃描模式是指對全盤系統(tǒng)進行掃描，由于全盤文件較多，所需掃描時間較長，一般執(zhí)行一次所耗費的時間長達幾小時，一般不會頻繁執(zhí)行。自定義掃描模式是指根據(jù)用戶指定掃描路徑、文件或更詳細的掃描內(nèi)容，可針對性掃描。快速掃描模式一般是指只針對系統(tǒng)內(nèi)存、啟動對象以及系統(tǒng)關(guān)鍵目錄等位置進行掃描，掃描時間較短，適合經(jīng)常執(zhí)行。

木馬是指侵入計算機，能夠伺機盜取帳號密碼的惡意程序，是計算機病毒中的一種特定類型。然而，因木馬種類千差萬別，且木馬在日益更新，木馬可能會被植入到快速掃描不易掃描到的地方，使得快速掃描無法發(fā)現(xiàn)木馬，且沒有針對不同用戶的習慣進行掃描，降低了檢測木馬的命中率。

【發(fā)明內(nèi)容】

基于此，有必要提供一種能提高木馬檢測命中率的木馬掃描方法。

一種木馬掃描方法，包括以下步驟：

在開啟掃描后，判斷是否為首次掃描

若是，則執(zhí)行掃描，并將本次掃描得到的木馬掃描記錄記錄到本地和/或上傳到服務(wù)器，

若否，則讀取本地和/或服務(wù)器記錄的木馬掃描記錄，根據(jù)所述木馬掃描記錄執(zhí)行掃描，再將本次掃描得到的木馬掃描記錄記錄到本地和/或上傳服務(wù)器。

優(yōu)選地，還包括步驟：獲取用戶標識，將所述用戶標識以及對應的記錄的本次掃描得到的木馬掃描記錄上傳到服務(wù)器。

優(yōu)選地，在判斷不為首次掃描的步驟之后，還包括步驟：判斷用戶是否登錄，若是，則獲取用戶標識，從服務(wù)器拉取與所述用戶標識對應的上傳的木馬掃描記錄，根據(jù)所述從服務(wù)器拉取的木馬掃描記錄執(zhí)行掃描，記錄掃描得到的木馬掃描記錄，并將所述用戶標識及對應的本次掃描得到的木馬掃描記錄更新到服務(wù)器上，若否，則執(zhí)行所述讀取本地記錄的木馬掃描記錄，再根據(jù)所述本地記錄的木馬掃描記錄執(zhí)行掃描，記錄本次掃描得到的木馬掃描記錄的步驟。

優(yōu)選地，在所述判斷不為首次掃描且用戶登錄的步驟之后，還包括步驟：

判斷用戶是否登錄，若是，則獲取用戶標識，從服務(wù)器拉取與所述用戶標識對應上傳的木馬掃描記錄；

讀取本地記錄的掃描得到的木馬掃描記錄，比較所述服務(wù)器上拉取的木馬掃描記錄和讀取的本地的木馬掃描記錄，得到最新的木馬掃描記錄；

根據(jù)所述最新的木馬掃描記錄執(zhí)行掃描，記錄本次掃描得到的木馬掃描記錄，并據(jù)此更新所述服務(wù)器或本地的木馬掃描記錄。

優(yōu)選地，在判斷不為首次掃描且用戶登錄的步驟之后，還包括步驟：從服務(wù)器獲取最新木馬特征信息；

所述根據(jù)所述最新的木馬掃描記錄執(zhí)行掃描的步驟變?yōu)椋簩⒌玫降淖钚碌哪抉R掃描記錄與最新木馬特征信息合并，再根據(jù)合并后的信息執(zhí)行掃描。

優(yōu)選地，在判斷為首次掃描的步驟之后，還包括步驟：從服務(wù)器獲取最新木馬特征信息；所述執(zhí)行掃描的步驟具體為：根據(jù)獲取的最新木馬特征信息執(zhí)行掃描。

優(yōu)選地，所述木馬掃描記錄包括木馬位置和木馬特征信息。

優(yōu)選地，所述木馬位置包括木馬位置全路徑，所述木馬特征信息包括木馬信息摘要值、木馬文件、木馬文件名、木馬文件信息、PE和非PE屬性。

此外，還有必要提供一種能提高木馬檢測命中率的木馬掃描系統(tǒng)。

一種木馬掃描系統(tǒng)，包括：

判斷模塊，用于在開啟掃描后，判斷是否為首次掃描；

執(zhí)行模塊，用于在所述判斷模塊判斷為首次掃描時執(zhí)行掃描；

讀取模塊，用于在判斷模塊判斷不為首次掃描時，讀取本地和/或服務(wù)器記錄的木馬掃描記錄，所述執(zhí)行模塊還用于根據(jù)所述本地和/或服務(wù)器記錄的木馬掃描記錄執(zhí)行掃描；

記錄模塊，用于將本次掃描得到的木馬掃描記錄記錄到本地和/或上傳到服務(wù)器。

優(yōu)選地，還包括獲取模塊，所述獲取模塊用于獲取用戶標識，所述記錄模塊用于將所述用戶標識以及對應的記錄的本次掃描得到的木馬掃描記錄上傳到服務(wù)器。

優(yōu)選地，還包括拉取模塊，所述判斷模塊還用于在判斷不為首次掃描之后，進一步判斷用戶是否登錄，所述獲取模塊還用于在所述判斷模塊判斷用戶登錄時，獲取用戶標識，所述拉取模塊用于從服務(wù)器拉取與所述用戶標識對應的上傳的木馬掃描記錄，所述執(zhí)行模塊還用于根據(jù)所述從服務(wù)器拉取的木馬掃描記錄執(zhí)行掃描，所述記錄模塊還用于記錄本次掃描得到的木馬掃描記錄，并將所述用戶標識及對應的本次掃描得到的木馬掃描記錄更新到服務(wù)器上。