發明背景

反病毒和反間諜軟件解決方案通常使用常規的基于掃描的技術來識別終端設備上的病毒、蠕蟲、特洛伊木馬、間諜軟件以及其他惡意軟件。典型的反病毒和反間諜軟件解決方案可以通過檢查已知威脅的特征(例如，反惡意軟件簽名)的文件來檢測這些威脅。一旦它檢測到威脅，解決方案就可以修復文件，通常是刪除或隔離該文件。

隨著惡意軟件威脅的數量增加，識別這些威脅的簽名數據庫的容量也在增加。然而，由于增加了磁盤占用，較大的反惡意軟件簽名數據庫在客戶端裝置上可能是不受歡迎的。服務器側查找可以緩解與本地存儲反惡意軟件簽名相關的問題，但在允許啟動應用程序之前的等待反惡意軟件簽名的同時，可能會延遲對應用程序的訪問。因此，本披露發現需要附加的并且改進的用于查找反惡意軟件簽名的系統和方法。

發明概述

如以下更詳細描述，本披露總體上涉及用于查找反惡意軟件元數據的系統和方法。本文描述的系統和方法可以預測何時需要反惡意軟件元數據，并且基于這些預測來排列反惡意軟件元數據查找的優先級。例如，一種方法可以包括在執行之前識別用于惡意軟件的待掃描的多個可執行對象。該方法還可以包括對于該多個可執行對象內的每個可執行對象來評估執行該可執行對象的迫切性。該方法另外可以包括基于這些評估來排列對應于該多個可執行對象的反惡意軟件元數據的檢索次序的優先級，并基于該檢索次序來檢索對應于該多個可執行對象內的一個可執行對象的反惡意軟件元數據。

本文描述的系統可以從各種源的任何一個中識別該多個可執行對象。例如，這些系統可以使用系統配置信息來識別一組自動啟動的可執行對象。該系統配置信息可以指示該組自動啟動的可執行對象中的每個自動啟動的可執行對象何時可能啟動。在這種示例中，識別該組自動啟動的可執行對象可以包括識別被配置為在一個操作系統啟動過程中啟動的至少一個可執行對象。另外或可替代地，識別該組自動啟動的可執行對象可以包括識別一項服務、一個驅動器、被配置為在登陸時執行的一個可執行對象、和/或被配置為根據一個任務調度程序執行的一個可執行對象。

在一些示例中，識別該多個可執行對象可以包括識別可能由一個用戶啟動的一組可執行對象。例如，該組可執行對象可以包括在屬于一個用戶的臺式機上的一個可執行對象和/或在屬于該用戶的下載文件夾中的一個可執行對象。

本文描述的系統還可以通過識別該多個可執行對象內的一個第一可執行對象、識別表示該第一可執行對象依賴于一個第二可執行對象的依賴關系信息，然后在該多個可執行對象中包括該第二可執行對象來識別該多個可執行對象。另外或可替代地，識別該多個可執行對象可以包括識別該多個可執行對象內的一個第一可執行對象并識別作為該第一可執行對象的擴展部分而執行的一個第二可執行對象。在一些示例中，識別該多個可執行對象可以包括識別為執行而啟動的一個可執行對象和/或在執行過程中的一個可執行對象。

評估該可執行對象的執行迫切性可以包括檢查該可執行對象在其中被識別的環境。在一些示例中，評估該可執行對象的執行迫切性還可以包括識別該可執行對象的創建時間并利用該創建時間和當前時間的差來單調地增加該可執行對象的即將執行的期望值。

排列該檢索次序的優先級可以包括從一個遠程計算系統接收用于檢索反惡意軟件元數據的優先級信息，該反惡意軟件元數據與該多個可執行對象內的至少一個可執行對象相關。在一些示例中，本文描述的系統可以及時地檢索該反惡意軟件元數據以便在試圖啟動該可執行對象之前掃描該可執行對象。在不同示例中，本文描述的系統可以從一個遠程存儲系統檢索一個反惡意軟件簽名。

上述實施例中任意一個的多個特征可以根據本文描述的一般原則相互結合來使用。這些以及其他實施例、特征和優點將在結合附圖和權利要求閱讀以下詳細描述時得到更充分地理解。

附圖簡要說明

附圖展示了很多示例性實施例并且是說明書的一部分。這些附圖與以下說明共同展示和解釋本披露的各種原理。

圖1是一種用于查找反惡意軟件元數據的示例性系統的框圖。

圖2是一種用于查找反惡意軟件元數據的示例性系統的框圖。

圖3是一種用于查找反惡意軟件元數據的示例性方法的流程圖。

圖4是可執行文件的一個示例性依賴關系圖的框圖。

圖5是一種用于查找反惡意軟件元數據的示例性系統的框圖。

圖6是一個示例性計算系統的框圖，該計算系統能夠實施本文描述和/或展示的這些實施例中的一個或多個。

圖7是一個示例性計算網絡的框圖，該計算網絡能夠實施本文描述和/或展示的這些實施例中的一個或多個。