计算机病毒监控系统

1.一种计算机病毒监控系统，包括：
监控模块，适于监控计算机设备中出现的基于文件的危险行为，在出现危险行为时，调用一个或多个杀毒引擎；
杀毒引擎，适于判断所述危险行为对应的文件是否为威胁文件；在所述危险行为对应的文件是威胁文件时，获取所述威胁文件的特征信息，并调用控制模块；
控制模块，适于接收所述威胁文件的特征信息，从规则库中提取与所述威胁文件的特征信息匹配的扫描策略并返回；
规则库，适于存储预设的扫描策略；
其中，所述预设的扫描策略包括锁定扫描策略以及全盘扫描策略，所述控制模块包括：
第一接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；
锁定扫描引导执行子模块，适于在所述多个威胁文件对应的危险行为的进程信息为同一进程信息时，引导执行锁定扫描策略；
危险行为阻止子模块，适于阻止发起危险行为的进程继续执行相应的危险行为；
全盘扫描策略引导执行子模块，适于引导执行全盘扫描策略。
2.如权利要求1所述的监控系统，其中，所述监控模块包括：
拦截子模块，适于拦截所述基于文件的危险行为；
进程信息发送子模块，适于获取所述发起危险行为的进程信息，并调用一个或多个杀毒引擎。
3.如权利要求1所述的监控系统，其中，所述杀毒引擎包括：
文件类型获取子模块，适于获取所述危险行为对应的文件的文件类型；
判断子模块，适于判断所述文件类型是否为预设的文件类型；若是，则调用第一匹配子模块；若否，则调用第二匹配子模块；
第一匹配子模块，适于将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，则调用第二匹配子模块；
第二匹配子模块，适于将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，判断为所述危险行为对应的文件不为威胁文件。
4.如权利要求1至3中任一项所述的监控系统，其中，所述预设的扫描策略包括快速扫描策略，所述控制模块包括：
第二接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；
快速扫描策略引导执行子模块，适于在所述多个威胁文件对应的危险行为的进程信息为不同的多个进程信息时，引导执行快速扫描策略。
5.如权利要求1至3中任一项所述的监控系统，其中，所述预设的扫描策略包括外接磁盘扫描策略，所述控制模块包括：
第三接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件的路径；
外接磁盘扫描引导执行子模块，适于在所述威胁文件的路径都为外接磁盘路径时，引导执行外接磁盘扫描策略。

计算机病毒监控系统\n技术领域\n[0001] 本发明涉及计算机安全技术领域，具体涉及一种计算机病毒监控系统。\n背景技术\n[0002] 随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。\n[0003] 计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，计算机病毒具有破坏性，复制性和传染性等特点。计算机一旦染上病毒，通常表现为计算机的文件被增加、删除、改变名称或属性、移动到其它目录下，病毒对计算机文件的这些操作，可能会导致正常的程序无法运行、计算机操作系统崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。\n[0004] 为了保证计算机的安全运行，需要对计算机中感染病毒的文件进行病毒查杀，以防止和清除病毒的破坏。杀毒引擎就是一套判断特定程序行为是否为病毒程序（包括可疑程序）的技术机制，一般而言，杀毒引擎按照用户当前所选择的扫描模式，对用户设备中的所有或部分程序或文件发起扫描，用其病毒库（病毒的特征集合）中的特征去对比相应的程序或文件，对于符合病毒特征的程序或文件，判定为病毒。\n[0005] 杀毒引擎在检测到具体被感染的文件并在感染发生时提示用户，用户可以根据杀毒引擎提供的扫描模式手动选择扫描模式，对文件进行扫描，然而用户往往并不确切知道容易发生计算机病毒感染的文件或目录的位置，从而不知选择何种扫描模式更符合计算机当前的状态，导致不能及时地阻止感染型病毒的传播。\n[0006] 因此，本领域技术人员迫切需要解决的技术问题是：提供一种计算机病毒的监控机制，从而能够及时监控计算机病毒对文件的感染，从源头上掐断计算机病毒感染源，阻止计算机病毒的传播。\n发明内容\n[0007] 鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种计算机病毒监控系统。\n[0008] 依据本发明，提供了一种计算机病毒监控系统，包括：\n[0009] 监控模块，适于监控计算机设备中出现的基于文件的危险行为，在出现危险行为时，调用一个或多个杀毒引擎；\n[0010] 杀毒引擎，适于判断所述危险行为对应的文件是否为威胁文件；在所述危险行为对应的文件是威胁文件时，获取所述威胁文件的特征信息，并调用控制模块；\n[0011] 控制模块，适于接收所述威胁文件的特征信息，从规则库中提取与所述威胁文件的特征信息匹配的扫描策略并返回；\n[0012] 规则库，适于存储扫描策略。\n[0013] 根据本发明的一种计算机病毒监控系统可以通过操作系统底层驱动监控和捕获进程对计算机的危险行为，判断所述危险行为对应的文件是否为威胁文件，根据所述威胁文件的进程信息或文件信息来为用户引导执行扫描策略，由此解决了杀毒引擎只能在文件被计算机病毒感染时提示用户而不能及时地阻止感染型病毒的传播的问题取得了从源头掐断病毒感染源，及时地阻止感染型病毒的传播的有益效果。\n[0014] 上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。\n附图说明\n[0015] 通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：\n[0016] 图1示出了根据本发明一个实施例的一种计算机病毒监控方法实施例的步骤流程图；\n[0017] 图2示出了根据本发明一个实施例的一种计算机病毒的监控方法实施例的多引擎设置示意图；\n[0018] 图3示出了根据本发明一个实施例的一种计算机病毒的监控方法实施例的快速扫描提醒弹窗示意图；\n[0019] 图4示出了根据本发明一个实施例的一种计算机病毒的监控方法实施例的外接磁盘扫描策略提醒弹窗示意图；\n[0020] 图5示出了根据本发明一个实施例的一种计算机病毒的监控装置实施例的结构框图；\n[0021] 图6示出了根据本发明一个实施例的一种计算机病毒监控系统实施例的结构框图。\n具体实施方式\n[0022] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。\n[0023] 本发明实施例的核心构思之一在于，底层驱动通过对文件的监控，及时捕获进程对文件的危险行为，通过判断所述发生的危险行为对应的文件是否为威胁文件，进而通过所述威胁文件对应的危险行为的进程信息及文件信息来引导计算机设备执行扫描策略，从而及时地阻止感染型病毒的传播。\n[0024] 参照图1，示出了根据本发明一个实施例的一种计算机病毒的监控方法实施例的步骤流程图，具体可以包括以下步骤：\n[0025] 步骤101：当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件；若是，则执行步骤102；\n[0026] 在本发明的一种优选实施例中，所述步骤101可以包括如下子步骤：\n[0027] 子步骤S11：底层驱动拦截所述基于文件的危险行为；\n[0028] 在具体实现中，CPU指令从RING0到RING3分为4个特权级，但Windows操作系统只使用其中的两个级别RING0和RING3，RING3即用户模式，RING0即内核模式。实际上，一个程序如果要实现其自身的功能就必须要通过接口调用操作系统提供的功能函数，在WINDOWS里一般是通过DLL（Dynamic Link Library，动态链接库）里的API（ApplicationProgramming Interface，应用程序编程接口）提供，因此一个进程有怎么样的行为（操作），通过查看它调用了什么样的API就大概清楚了，比如一个进程要读写文件可以调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数；要访问网络就必然要使用Socket函数等。\n[0029] 因此，作为本实施例的一种优选示例，可以通过在操作系统RING0层或RING3层部署钩子（HOOK）来挂接系统API(尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过)，就可以知道一个进程的操作，进而判断所述进程的操作是否为危险行为，如果是，就拦截所述危险行为。在具体实现中，也可以直接利用操作系统自带的底层驱动（如文件过滤驱动）来监控和拦截所述危险行为。\n[0030] 子步骤S12：底层驱动获取所述发起危险行为的进程信息，并将所述进程信息发送至监控进程；\n[0031] 具体而言，所述发起危险行为的进程信息可以包括进程路径以及进程ID等；可以通过系统中的文件过滤驱动（底层驱动）记录所述发起危险行为的进程ID和进程路径。\n[0032] 在具体实现中，由于RING0层或操作系统底层驱动只能监控和捕获（拦截）到所有的危险行为，无法识别所述危险行为是否有害或存在病毒，通过与RING3层（用户层）进程的配合才能辨别所述危险行为是否有害或存在病毒。监控进程是后台的实时监控进程，存在于用户层中，因此，底层驱动先将所述进程路径和进程ID等进程信息提供给用户层，用户层再把所述进程信息提供给用户层的监控进程，由监控进程判断所述危险行为是否为有害行为或所述危险行为对应的文件是否为威胁文件。\n[0033] 子步骤S13：监控进程获取所述危险行为对应的文件的文件类型；\n[0034] 在具体实现中，监控进程可以通过对所述危险行为对应的文件进行扫描获得所述文件的文件类型，一般而言，容易发生危险行为的文件类型可以包括EXE类文件、office文档类文件、网页文件类型等。\n[0035] 子步骤S14：监控进程判断所述文件类型是否为预设的文件类型；若是，则执行子步骤S15；若否，则执行子步骤S16；\n[0036] 在实际中，预设的文件类型可以为PE（Portable Execute，可移植执行体）文件类型，PE文件类型通常指Windows操作系统上的程序文件，常见的PE文件类型包括EXE、DLL、OCX、SYS、COM等文件类型。\n[0037] 需要说明的是，上述预设的文件类型为PE文件类型仅是本发明实施例的一种示例，本领域技术人员采用其他类型均是可以的，本发明在此不作限制。\n[0038] 子步骤S15：将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，则执行子步骤S16；\n[0039] 具体而言，威胁文件可以为受病毒感染的文件，其中所述病毒可以包括感染型病毒，感染型病毒将自身加入在其它的程序或动态库文件(DLL的一种)中，从而实现随被感染程序同步运行的功能，进而对感染电脑进行破坏和自身传播。感染型病毒附加到其他宿主程序上进行运行，为了躲避杀毒程序的查杀，通常感染型病毒都会将自身分割、变形或加密后，再将自身的一部分或者全部附加到宿主程序上。一旦一个病毒文件执行，它很有可能就将系统中的绝大多数程序文件都加入病毒代码，进而传播给其它的电脑。而杀毒引擎就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制。\n[0040] 在本发明实施例中，可以对杀毒引擎进行设置，如图2所示的多引擎设置示意图，第一杀毒引擎可以为云查杀引擎，和/或QVM（QihooVirtual Machine，人工智能引擎）启发引擎。其中，云查杀引擎是完全互联网化的云安全产品，不仅扫描速度比传统杀毒引擎快\n10倍以上，而且不再需要频繁升级木马库。只要用户上网，就能实时与云安全数据中心无缝对接，利用服务器端的最新木马库对自己电脑进行扫描和查杀。\n[0041] 在具体实现中，监控进程首先对拦截的危险行为的文件的类型进行判断，如果是PE文件类型，则将所述发起危险行为的进程信息与云查杀引擎，和/或QVM启发引擎内预先保存的进程的黑名单和白名单进行匹配，黑名单中包含了已经确认的恶意PE文件类型，白名单中包含了已经确认的非恶意PE文件类型。若所述发起危险行为的进程信息存在于黑名单中，则所述发起危险行为的进程为病毒进程，所述危险行为对应的文件为威胁文件。\n[0042] 一般而言，所述危险行为通常出现在系统的关键位置，例如注册表、系统目录等。\n所述危险行为可以为写文件，创建文件，文件改写，以及文件的运行（调取磁盘上的PE文件）等行为。\n[0043] 实际上，将所述发起危险行为的进程信息与杀毒引擎的特征库（病毒库）相匹配的过程就是利用杀毒引擎扫描病毒文件并对其进行查杀的过程，如果发现危险行为，杀毒引擎可以弹出弹窗来显示对文件的扫描结果及处理结果，以此来提醒用户。\n[0044] 其中所述扫描结果可以为威胁文件名称（出现危险行为的进程名称或者病毒名称）、威胁文件路径、病毒类型以及病毒描述说明等，作为一种示例，所述病毒类型可以包括：系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒、破坏性程序病毒等。\n[0045] 所述处理结果可以为杀毒引擎根据规则库中与所述危险行为对应的进程相应的处理规则进行处理，例如修复威胁文件（病毒文件）、删除威胁文件、禁止威胁文件的操作等。\n[0046] 另外，杀毒引擎在对威胁文件进行处理时，可以将所述威胁文件的原始文件备份到杀毒引擎的隔离区中。\n[0047] 需要说明的是，在描述扫描结果中威胁文件的路径时，对于常见的文件位置，可以为每个位置带上一个图标，部分图标需根据用户操作系统不同显示与之相符的图标样式（例如Win7下的图标和XP下的图标部分是不一样的），或者给用户一个更直观的名称，这样有助于用户对病毒所在位置一目了然，例如：光盘驱动器的直观名称可以为光盘(X:)；U盘、移动硬盘、SD卡等外接磁盘的直观名称可以为外接磁盘(X:)；本机上的硬盘分区的直观名称可以为本地磁盘(X:)；路径首字母为“\\”的直观名称可以为网络共享等等。\n[0048] 另一方面，如果难以通过保存的黑名单，和/或白名单确定该文件是否为威胁文件，则将所述发起危险行为的进程信息输入第二杀毒引擎进行检测。或者，如果所述预设的文件类型不是PE文件类型，则将所述发起危险行为的进程信息输入第二杀毒引擎进行检测。\n[0049] 子步骤S16：将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，判断为所述危险行为对应的文件不为威胁文件。\n[0050] 在具体实现中，参考图2所示的多引擎设置示意图，所述第二杀毒引擎可以为Bit Defender杀毒引擎，和/或小红伞杀毒引擎，和/或其它现有已存在的杀毒引擎等。每个引擎可以是独立的模块或组件，在病毒扫描和监控过程中可以按照串行调用的方式，来提升病毒的扫描速度和效率。\n[0051] 对于所述危险行为对应的文件是威胁文件的文件，先按照相应的查杀引擎的规则库中的预设规则对所述威胁文件进行处理，并执行步骤102；对于所述危险行为对应的文件不是威胁文件的文件，监控进程通过用户层通知底层驱动放行该文件。\n[0052] 步骤102：获取所述威胁文件的特征信息并发送至控制进程；\n[0053] 具体而言，所述威胁文件的特征信息可以包括威胁文件的路径、名称、威胁文件对应的危险动作的进程信息、病毒名称等信息。\n[0054] 另外，所述控制进程位于用户层中，为界面管理进程，用于管理杀毒程序的界面信息。\n[0055] 步骤103：控制进程接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的病毒扫描策略；\n[0056] 对于安全厂商的杀毒软件来说，杀毒引擎一般可以包括三种扫描模式：全盘扫描模式、快速扫描模式和指定位置扫描模式。其中，全盘扫描模式是针对用户设备中每个程序和文件进行扫描；快速扫描模式是针对系统内一些关键的软件和重要的目录进行扫描，比如内存，IE，插件，注册表、重要的目录如c:\windows\system32等；指定位置扫描模式是向用户显示出系统文件的树形目录，包括一层一层的文档目录，以供用户逐层进行选择。然而，现有的杀毒引擎中往往需要用户手动选择扫描模式，在用户不了解自己的计算机设备的情况下，往往不知道哪种扫描模式才是最适合自己的设备。在本发明实施例中，当界面管理进程接收到监控进程的文件路径以及病毒名称等信息后，根据规则库中的预设规则选择相应的扫描策略引导用户进行扫描。\n[0057] 在本发明的一种优选实施例中，所述预设的扫描策略包括锁定扫描策略以及全盘扫描策略，所述步骤103可以包括如下子步骤：\n[0058] 子步骤S21：控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；\n[0059] 子步骤S22：若所述多个威胁文件对应的危险行为的进程信息为同一进程信息，引导计算机设备执行锁定扫描策略；\n[0060] 子步骤S23：阻止所述发起危险行为的进程继续执行相应的危险行为；\n[0061] 具体而言，若多个威胁文件对应的危险行为的进程为同一进程，在执行锁定扫描时，先锁定所述发起危险行为的进程，阻止该进程继续执行相应的危险行为，使其不能执行改写别的文件，然后对锁定的进程进行扫描，修复所述威胁文件，这样可以及时阻止病毒的传播，从根源上掐断病毒感染源。\n[0062] 子步骤S24：引导计算机设备执行全盘扫描策略。\n[0063] 在具体实现中，由于威胁文件有多个，锁定扫描不一定能完全扫描威胁文件，因此使用全盘扫描策略彻底扫描威胁文件，这样可以清除磁盘上所有被病毒感染的文件。\n[0064] 例如：一个压缩包，用户通过某一种压缩软件进行解压缩，若该压缩包文件名称所对应的一个单独的进程连续释放了多个威胁文件，则引导用户进行锁定扫描，锁定所述释放威胁的进程，让其不能去执行改写别的文件，然后执行全盘扫描。\n[0065] 在本发明的另一种优选实施例中，所述预设的扫描策略包括快速扫描策略，所述步骤103可以包括如下子步骤：\n[0066] 子步骤S31：控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；\n[0067] 子步骤S32：若所述多个威胁文件对应的危险行为的进程信息为不同的多个进程信息，引导计算机设备执行快速扫描策略。\n[0068] 其中，所述快速扫描的扫描对象可以为当前的活动进程，启动项，第三方的常用软件，系统关键位置如各个盘符的根目录，系统目录，英文目录，桌面等对系统比较重要的位置。\n[0069] 例如：连续发现三个不同进程名称产生了不同威胁，引导进行快速扫描。\n[0070] 需要说明的是，快速扫描的应用原理可以是对于处于一定数量级以上的用户端来说，如果在该数量级以上的用户端都对具有同样的特征（比如包括文件名、文件大小、文件修改时间、文件内容描述信息、内容信息等）的文件进行扫描时，如果该种文件是安全的，那么其他用户在使用具有同样特征的文件基本上也是安全的，如果对该种特性进行完整扫描，耗时会比较长。因此可以生成所述安全的文件的特征信息，然后基于所述特征信息生成待匹配的数据包（升级补丁等），用户在使用所述数据包后，将可扫描文件的特征信息与所述数据包中的特征信息进行匹配，如果匹配上，那么即可跳过这些正常扫描时间比较长的文件，从而可达到节省扫描时间的目的。\n[0071] 为了使本领域技术人员更好地理解快速扫描，下面通过一个例子来加以说明：\n[0072] 如果所述威胁文件存在的位置为电脑中的三个盘符的位置，则说明在电脑中三个盘符都检测出病毒，弹出如图3所示的快速扫描提醒弹窗来引导执行用户进行快速扫描。\n在图3示出的快速扫描提示弹窗中，弹窗的顶部状态区为根据杀毒引擎的特征库对病毒文件的处理结果，文字描述部分是病毒处理说明描述以及病毒的扫描结果，扫描策略部分给出了根据文件中存在的病毒信息引导计算机设备执行的快速扫描推荐策略，以及相关说明。\n[0073] 在本发明的另一种优选实施例中，所述预设的扫描策略包括外接磁盘扫描策略，所述步骤103可以包括如下子步骤：\n[0074] 子步骤S41：控制进程接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件的路径；\n[0075] 子步骤S42：若所述威胁文件的路径都为外接磁盘路径，引导计算机设备执行外接磁盘扫描策略。\n[0076] 具体而言，若外接磁盘上发现一个或多个威胁文件，引导进行外接磁盘的扫描，对所有的外接磁盘进行扫描。\n[0077] 例如：参照图4所示的外接磁盘扫描策略提醒弹窗示意图，如果在外接磁盘中连续发现一个或多个病毒，可以建议用户立即对外接磁盘进行扫描以排除潜在的病毒隐患。\n[0078] 步骤104：控制进程返回所述扫描策略。\n[0079] 具体而言，杀毒程序根据病毒文件的病毒信息引导计算机设备执行的扫描策略展示在如图3或图4的弹窗中。\n[0080] 作为本发明实施例的拓展方面，对于不熟悉杀毒程序操作的用户，杀毒程序也可以不弹出扫描策略弹窗给用户，而是自动在扫描的位置利用扫描方式执行扫描策略。\n[0081] 可选地，所述扫描策略包括扫描位置，所述方法还包括：\n[0082] 步骤105：在接收到用户触发的扫描策略时，在所述扫描位置中执行相应的扫描操作。\n[0083] 具体而言，用户点击扫描策略的控制按钮后，触发扫描策略，杀毒程序读取扫描策略中描述的相应的扫描位置进行扫描操作，除此之外，如果用户想关闭弹窗，可以使用“关闭”指令来指示系统关闭弹窗。\n[0084] 需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。\n[0085] 参照图5，示出了根据本发明一个实施例的一种计算机病毒的监控装置实施例的结构框图，可以包括：\n[0086] 威胁文件判断模块501，适于当监控到计算机设备中出现的基于文件的危险行为时，判断所述危险行为对应的文件是否为威胁文件，若是，则调用控制进程触发模块；\n[0087] 在本发明的一种优选实施例中，所述威胁文件判断模块501可以包括如下子模块：\n[0088] 位于底层驱动的拦截子模块，适于拦截所述基于文件的危险行为；\n[0089] 其中，所述基于文件的危险行为可以包括创建文件、文件改写、文件运行、写文件等行为。\n[0090] 位于底层驱动的进程信息发送子模块，适于获取所述发起危险行为的进程信息，并将所述进程信息发送至监控进程；\n[0091] 位于监控进程的文件类型获取子模块，适于获取所述危险行为对应的文件的文件类型；\n[0092] 位于监控进程的判断子模块，适于判断所述文件类型是否为预设的文件类型；若是，则调用位于监控进程的第一匹配子模块；若否，则调用位于监控进程的第二匹配子模块；\n[0093] 位于监控进程的第一匹配子模块，适于将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；\n若不存在匹配项，则调用位于监控进程的第二匹配子模块；\n[0094] 位于监控进程的第二匹配子模块，适于将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；\n若不存在匹配项，判断为所述危险行为对应的文件不为威胁文件。\n[0095] 控制进程触发模块502，适于获取所述威胁文件的特征信息并触发控制进程；\n[0096] 位于控制进程的扫描策略提取模块503，适于接收所述威胁文件的特征信息，从预设的扫描策略中提取与所述威胁文件的特征信息匹配的扫描策略；\n[0097] 在本发明的一种优选实施例中，所述预设的扫描策略包括锁定扫描策略以及全盘扫描策略，所述位于控制进程的扫描策略提取模块503可以包括如下子模块：\n[0098] 第一接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；\n[0099] 锁定扫描引导执行子模块，适于在所述多个威胁文件对应的危险行为的进程信息为同一进程信息时，引导执行锁定扫描策略；\n[0100] 危险行为阻止子模块，适于阻止所述发起危险行为的进程继续执行相应的危险行为；\n[0101] 全盘扫描策略引导执行子模块，适于引导执行全盘扫描策略。\n[0102] 在本发明的另一种优选实施例中，所述预设的扫描策略包括快速扫描策略，所述位于控制进程的扫描策略提取模块503可以包括如下子模块：\n[0103] 第二接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；\n[0104] 快速扫描策略引导执行子模块，适于在所述多个威胁文件对应的危险行为的进程信息为不同的多个进程信息时，引导执行快速扫描策略。\n[0105] 在本发明的另一种优选实施例中，所述预设的扫描策略包括外接磁盘扫描策略，所述位于控制进程的扫描策略提取模块503可以包括如下子模块：\n[0106] 第三接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件的路径；\n[0107] 外接磁盘扫描引导执行子模块，适于在所述威胁文件的路径都为外接磁盘路径时，引导执行外接磁盘扫描策略。\n[0108] 位于控制进程的扫描策略返回模块504，适于返回所述匹配的扫描策略。\n[0109] 可选地，所述扫描策略包括扫描位置，所述装置还可以包括：\n[0110] 执行模块505，适于在接收到用户触发的扫描策略时，在所述扫描位置中执行相应的扫描操作。\n[0111] 对于图5所示的装置实施例而言，由于其与图1方法实施例基本相似，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。\n[0112] 参照图6，示出了根据本发明一个实施例的一种计算机病毒监控系统实施例的结构框图，可以包括：\n[0113] 监控模块601，适于监控计算机设备中出现的基于文件的危险行为，在出现危险行为时，调用一个或多个杀毒引擎602；\n[0114] 在本发明的一种优选实施例中，所述监控模块601可以包括如下子模块：\n[0115] 拦截子模块，适于拦截所述基于文件的危险行为；\n[0116] 进程信息发送子模块，适于获取所述发起危险行为的进程信息，并调用一个或多个杀毒引擎。\n[0117] 杀毒引擎602，适于判断所述危险行为对应的文件是否为威胁文件；在所述危险行为对应的文件是威胁文件时，获取所述威胁文件的特征信息，并调用控制模块603；\n[0118] 在本发明的一种优选实施例中，所述杀毒引擎602可以包括：\n[0119] 文件类型获取子模块，适于获取所述危险行为对应的文件的文件类型；\n[0120] 具体而言，所述杀毒引擎通过扫描所述危险行为对应的文件获取所述危险行为对应的文件的文件类型。\n[0121] 判断子模块，适于判断所述文件类型是否为预设的文件类型；若是，则调用第一匹配子模块；若否，则调用第二匹配子模块；\n[0122] 第一匹配子模块，适于将所述发起危险行为的进程信息与第一杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，则调用第二匹配子模块；\n[0123] 第二匹配子模块，适于将所述发起危险行为的进程信息与第二杀毒引擎的特征库进行匹配；若存在匹配项，判断为所述危险行为对应的文件为威胁文件；若不存在匹配项，判断为所述危险行为对应的文件不为威胁文件。\n[0124] 控制模块603，适于接收所述威胁文件的特征信息，从规则库604中提取与所述威胁文件的特征信息匹配的扫描策略并返回。\n[0125] 在本发明的一种优选实施例中，所述预设的扫描策略包括锁定扫描策略以及全盘扫描策略，所述控制模块603可以包括如下子模块：\n[0126] 第一接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；\n[0127] 锁定扫描引导执行子模块，适于在所述多个威胁文件对应的危险行为的进程信息为同一进程信息时，引导执行锁定扫描策略；\n[0128] 危险行为阻止子模块，适于阻止所述发起危险行为的进程继续执行相应的危险行为；\n[0129] 全盘扫描策略引导执行子模块，适于引导执行全盘扫描策略。\n[0130] 在本发明的另一种优选实施例中，所述预设的扫描策略包括快速扫描策略，所述控制模块603可以包括如下子模块：\n[0131] 第二接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件对应的危险行为的进程信息；\n[0132] 快速扫描策略引导执行子模块，适于在所述多个威胁文件对应的危险行为的进程信息为不同的多个进程信息时，引导执行快速扫描策略。\n[0133] 在本发明的另一种优选实施例中，所述预设的扫描策略包括外接磁盘扫描策略，所述控制模块603可以包括如下子模块：\n[0134] 第三接收子模块，适于接收所述威胁文件的特征信息，所述威胁文件的特征信息包括威胁文件的路径；\n[0135] 外接磁盘扫描引导执行子模块，适于在所述威胁文件的路径都为外接磁盘路径时，引导执行外接磁盘扫描策略。\n[0136] 规则库604：用于存储预设的扫描策略。\n[0137] 对于图6所示的系统实施例而言，由于其与图1方法实施例基本相似，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。\n[0138] 本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。\n[0139] 在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。\n各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。\n[0140] 在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。\n[0141] 类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。\n[0142] 本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书（包括伴随的权利要求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书（包括伴随的权利要求、摘要和附图）中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。\n[0143] 此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。\n[0144] 本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP）来实现根据本发明实施例的一种对计算机病毒监控系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。\n[0145] 应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。