一种预防恶意程序的方法、系统及装置

1.一种预防恶意程序的方法，其特征在于，包括：
中心模拟设备接收来自至少一个终端的至少一个可疑程序；
根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；所述根据判断结果更新中心数据库包括：所述中心模拟设备根据所述判断结果向所述中心数据库发送可疑程序和更新消息；
将对所述至少一个可疑程序的判断结果向对应的终端发送。
2.如权利要求1所述的方法，其特征在于，所述接收可疑程序包括：
接收可疑程序的代码；或
接收可疑程序的关键数据。
3.如权利要求1或2所述的方法，其特征在于，在所述接收来自至少一个终端的可疑程序之前还包括：
终端收集所述可疑程序的行为特征；
所述终端将所述可疑程序的行为特征与所述终端的行为库进行匹配；
所述终端根据所述匹配的结果判断是否需要发送所述可疑程序，如果需要，则将所述可疑程序发送出去。
4.如权利要求3所述的方法，其特征在于，所述可疑程序的行为特征包括：
数字签名、或系统属性、或程序发布者名称、或程序结构中的一种或几种。
5.如权利要求1所述的方法，其特征在于，所述根据判断结果向中心数据库发送所述可疑程序和更新消息包括：
当判断所述可疑程序为恶意程序时，向所述中心数据库发送所述可疑程序和更新消息，所述更新消息包括：将所述可疑程序存储到所述中心数据库的恶意程序库中的指示，或者所述可疑程序为恶意程序的判断结果；
当判断所述可疑程序不是恶意程序时，向所述中心数据库发送所述可疑程序和更新消息，所述更新消息包括：将所述可疑程序存储到所述中心数据库的白名单中的指示，或者所述可疑程序不是恶意程序的判断结果。
6.如权利要求1所述的方法，其特征在于，在所述将对至少一个可疑程序的判断结果向对应的终端发送之后，还包括：
所述终端根据所述判断结果对所述可疑程序进行相应的处理；
所述处理包括：当所述可疑程序为恶意程序时，删除所述可疑程序。
7.一种网络系统，其特征在于，包括：
至少一个终端，用于向中心模拟设备发送可疑程序；接收来自所述中心模拟设备对所述可疑程序的判断结果；根据所述判断结果对所述可疑程序进行处理；
中心模拟设备，用于接收来自所述至少一个终端的可疑程序；根据接收的所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库；将对所述至少一个可疑程序的判断结果向对应的终端发送；
中心数据库，用于将更新结果向其它终端发送；还用于与所述中心模拟设备进行交互，接收来自所述中心模拟设备的可疑程序。
8.一种网络装置，其特征在于，包括：
信息收集模块，用于收集可疑程序的行为特征；
判断模块，用于将所述可疑程序的行为特征与终端的行为库进行匹配；
信息存储模块，用于存储默认行为库其中对应的不同行为特征的权值；
数据发送模块，用于根据所述匹配的结果判断是否需要发送所述可疑程序，如果需要，则将所述可疑程序发送给中心模拟设备。
9.如权利要求8所述的网络装置，其特征在于，还包括：
接收模块，用于接收来自所述中心模拟设备对所述可疑程序的判断结果；
处理模块，用于根据所述接收模块接收到的来自所述中心模拟设备对所述可疑程序的判断结果，进行相应的处理，所述处理包括：
当所述可疑程序为恶意程序时，删除所述可疑程序。
10.一种网络装置，其特征在于，包括：
接收模块，用于接收来自至少一个终端的至少一个可疑程序；
判断模块，用于根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序；
更新模块，用于根据所述判断模块得到的判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；
发送模块，用于将对所述至少一个可疑程序的判断结果向对应的终端发送。
11.如权利要求10所述的装置，其特征在于，所述更新模块包括：
第一更新模块，用于当所述判断模块判断所述可疑程序为恶意程序时，向中心数据库发送所述可疑程序和更新消息，所述更新消息包括：将所述可疑程序存储到所述中心数据库的恶意程序库中的指示，或者所述可疑程序为恶意程序的判断结果；
第二更新模块，用于当所述判断模块判断所述可疑程序不是恶意程序时，向所述中心数据库发送所述可疑程序和更新消息，所述更新消息包括：将所述可疑程序存储到所述中心数据库的白名单中的指示，或者所述可疑程序不是恶意程序的判断结果。
12.一种网络装置，其特征在于，包括：
交互模块，用于与中心模拟设备进行交互，接收来自所述中心模拟设备的可疑程序和更新消息；
第一存储模块，用于存储恶意程序；当所述交互模块接收到的更新消息包括将所述可疑程序存储到所述第一存储模块中的指示或者所述可疑程序为恶意程序的判断结果时，将所述可疑程序存储到所述第一存储模块中；
第二存储模块，用于存储白名单；当所述交互模块接收到的更新消息包括将所述可疑程序存储到所述第二存储模块中的指示或者所述可疑程序不是恶意程序的判断结果时，将所述可疑程序更新到所述第二存储模块中；
发送模块，用于将所述第一存储模块和所述第二存储模块中存储的更新信息发送出去。

一种预防恶意程序的方法、系统及装置\n技术领域\n[0001] 本发明涉及信息技术领域，特别是涉及一种预防恶意程序的方法、系统及装置。\n背景技术\n[0002] 病毒是指在计算机程序中插入的破坏计算机功能或是破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码，往往会利用计算机操作系统的弱点进行传播。一种新的病毒技术出现后，该新病毒会迅速发展，接着反该新病毒的技术也会发展，从而抑制该新病毒的流传，在操作系统升级后，该新病毒会调整为新的方式，产生另外一种新的病毒。\n[0003] 现有技术中，是采用特征码查毒技术对病毒进行查杀的，该特征码查毒技术是基于对已知同一病毒或同类病毒的某一部分代码相同的反病毒技术。在查病毒时采用特征码查毒，在杀病毒时采用人工编的制解毒代码杀毒，特征码查毒实际上是人工查毒经验的简单表述，是人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果，即特征码进行比较来查找病毒。\n[0004] 在实现本发明过程中，发明人发现现有技术中至少存在如下问题：\n[0005] 并非所有病毒都可以描述病毒的特征码，无法用特征码描述的病毒无法通过特征码查毒，特征码的描述取决于人的主观因素，需要通过手动进行上报，而且是非分布式上报的，但非分布式上报病毒的效率不高，从而使查毒存在很严重的滞后性。\n发明内容\n[0006] 本发明实施例提供一种预防恶意程序的方法、系统及装置，以快速查找病毒。\n[0007] 为了达到上述目的，本发明实施例提出了一种预防恶意程序的方法，包括：\n[0008] 中心模拟设备接收来自至少一个终端的至少一个可疑程序；\n[0009] 根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；所述根据判断结果更新中心数据库包括：所述中心模拟设备根据所述判断结果向所述中心数据库发送可疑程序和更新消息；\n[0010] 将对所述至少一个可疑程序的判断结果向对应的终端发送。\n[0011] 本发明实施例还提出了一种网络系统，包括：\n[0012] 至少一个终端，用于向中心模拟设备发送可疑程序；接收来自所述中心模拟设备对所述可疑程序的判断结果；根据所述判断结果对所述可疑程序进行处理；\n[0013] 中心模拟设备，用于接收来自所述至少一个终端的可疑程序；根据接收的所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库；将对所述至少一个可疑程序的判断结果向对应的终端发送；\n[0014] 中心数据库，用于将更新结果向其它终端发送；还用于与所述中心模拟设备进行交互，接收来自所述中心模拟设备的可疑程序。\n[0015] 本发明实施例还提出了一种网络装置，包括：\n[0016] 信息收集模块，用于收集可疑程序的行为特征；\n[0017] 判断模块，用于将所述可疑程序的行为特征与终端的行为库进行匹配；\n[0018] 信息存储模块，用于存储默认行为库其中对应的不同行为特征的权值；\n[0019] 数据发送模块，用于根据所述匹配的结果判断是否需要发送所述可疑程序，如果需要，则将所述可疑程序发送给中心模拟设备。\n[0020] 本发明实施例还提出了一种网络装置，包括：\n[0021] 接收模块，用于接收来自至少一个终端的至少一个可疑程序；\n[0022] 判断模块，用于根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序；\n[0023] 更新模块，用于根据所述判断模块得到的判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；\n[0024] 发送模块，用于将对所述至少一个可疑程序的判断结果向对应的终端发送。\n[0025] 本发明实施例还提出了一种网络装置，包括：\n[0026] 交互模块，用于与中心模拟设备进行交互，接收来自所述中心模拟设备的可疑程序和更新消息；\n[0027] 第一存储模块，用于存储恶意程序；当所述交互模块接收到的更新消息包括将所述可疑程序存储到所述第一存储模块中的指示或者所述可疑程序为恶意程序的判断结果时，将所述可疑程序存储到所述第一存储模块中；\n[0028] 第二存储模块，用于存储白名单；当所述交互模块接收到的更新消息包括将所述可疑程序存储到所述第二存储模块中的指示或者所述可疑程序不是恶意程序的判断结果时，将所述可疑程序更新到所述第二存储模块中；\n[0029] 发送模块，用于将所述第一存储模块和所述第二存储模块中存储的更新信息发送出去。\n[0030] 与现有技术相比，本发明实施例具有以下优点：\n[0031] 通过一种交互分布式的处理方式，将在客户端判断为可疑的程序数据传送到中心模拟设备进行处理，并将结果及时返回以将判定为恶意程序的程序及时删除。分布在各地的中心模拟设备将处理结果数据同步到中心数据库，通过将可疑程序传送到中心模拟设备进行模拟计算解决了对未知病毒的快速响应问题。\n附图说明\n[0032] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。\n[0033] 图1为本发明实施例一提出的一种预防恶意程序的方法流程图；\n[0034] 图2为本发明实施例二提出的一种预防恶意程序的方法流程图；\n[0035] 图3为本发明实施例三提出的一种预防恶意程序的系统结构图；\n[0036] 图4为本发明实施例四提出的一种预防恶意程序的装置结构图；\n[0037] 图5为本发明实施例四提出的一种预防恶意程序的装置结构图；\n[0038] 图6为本发明实施例五提出的一种预防恶意程序的装置结构图；\n[0039] 图7为本发明实施例六提出的一种预防恶意程序的装置结构图。\n具体实施方式\n[0040] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。\n[0041] 在以下实施例中，网络类型可以是移动网络、固定网络、移动固定移动融合网络等，可以是局域网、城域网、广域网，可以是接入网、核心网、传输网，可以是点对点网络(P2P)、客户机/服务器架构的网络(C/S)等。\n[0042] 在以下实施例中，终端类型可以是手机、PDA、计算机、服务器、家用电器、以及各种电子设备、网络设备或计算机相关设备等。\n[0043] 在以下实施例中，中心模拟设备可以是服务器，也可以是P2P中的对端节点等。\n[0044] 在以下实施例中，程序可以是基于Linux、或者Windows等操作系统。程序可以是各种类型的文件。\n[0045] 本发明实施例一提出的一种预防恶意程序的方法，如图1所示，包括：\n[0046] 步骤S101，接收来自至少一个终端的至少一个可疑程序；\n[0047] 步骤S102，根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；\n[0048] 在本步骤中，可以是对中心数据库进行同步更新；\n[0049] 步骤S103，将对所述至少一个可疑程序的判断结果向对应的终端发送。\n[0050] 可见，本发明实施例中，通过一种交互分布式的处理方式，将在客户端判断为可疑的程序数据传送到中心模拟设备进行处理，并将结果及时返回以将判定为恶意程序的程序及时删除。分布在各地的中心模拟设备将处理结果数据同步到中心数据库，通过将可疑程序传送到中心模拟设备进行模拟计算解决了对未知病毒的快速响应问题。\n[0051] 本发明实施例二提出的一种预防恶意程序的方法，如图2所示，包括：\n[0052] 步骤S201，终端收集所要检测程序的行为特征，该所要检测的程序即怀疑的程序，上述要检测的程序的行为特征可以包括数字签名、系统属性、程序发布者名称、程序结构等信息。\n[0053] 步骤S202，将要检测程序的行为特征信息与行为库进行匹配，并根据行为库中恶意程序常见的具体行为特征与对应的权值获取要检测程序的权值。\n[0054] 具体的，在未知病毒的检测终端中，可以存储恶意程序常见的具体行为特征的行为库，在该行为库中，还可以存储了恶意程序常见的具体行为特征与对应的权值的匹配关系。如表1所示为行为库中的一种行为描述与权值的对应关系。\n[0055] 表1\n[0056] \n编号 行为描述 权值\n001 修改系统文件10\n002 隐藏系统文件10\n003 删除系统文件10\n[0057] 步骤S203，根据获取的权值进行加权判断，判断是否需要向中心模拟设备发送该被怀疑的程序。当需要发送时，转到步骤S204，否则结束流程。\n[0058] 步骤S204，与中心模拟设备进行数据的交互，可以将较小的可疑程序的代码直接发送到中心模拟设备，可以将较大的可疑程序的关键数据发送到中心模拟设备。\n[0059] 步骤S205，中心模拟设备接收终端发送的可疑程序，到中心数据库查询该可疑程序的固定属性，该固定属性可以是每个文件的唯一标识。\n[0060] 步骤S206，中心模拟设备直接将可疑程序执行，根据可疑程序的动态行为判断是否为恶意程序。\n[0061] 具体的，在中心模拟设备中安装有增强的未知病毒的检测程序，该检测程序不仅可以检测程序的静态属性，也可以检测程序的动态行为特征。当该接收的完整的可疑程序是较小的可疑程序时，将该可疑程序在虚拟环境中激活，根据其行为特征，从而判断是否是恶意程序。当该接收的完整的可疑程序是较大的可疑程序的关键数据时，需要首先查询中心数据库中的已知的正常程序的白名单，若无法在白名单上查询到该可疑程序的行为特征，则根据积累的恶意程序的经验获取该可疑程序的权值，从而判断出该可疑程序是否为恶意程序。该恶意程序的经验是根据恶意程序经验库中存储的内容获取的，该恶意程序经验库中记录了恶意程序常见的程序结构的特点。\n[0062] 在判断出该可疑程序是否为恶意程序时，需更新中心数据库中的内容，如果判断该可疑程序为恶意程序，则将该可疑程序的固定属性值同步更新到中心的数据库中的恶意程序库中，该恶意程序库记录了判定为恶意程序的特征等信息。如果判断该可疑程序不是恶意程序，则将该可疑程序的固定属性值同步更新到中心的数据库中的白名单中，该白名单中记录了大量的认定为正常的程序的特征信息。在将该可疑程序的信息同步更新到中心数据库中之后，若下次再有相同的程序需要检测，便可以根据中心数据库中的内容直接判断是否为恶意程序了。根据判断该可疑程序是否为恶意程序的判断结果更新中心数据库，即根据判断结果向该中心数据库发送该可疑程序和更新消息。当判断出该可疑程序为恶意程序时，向该中心数据库发送该可疑程序和更新消息，该更新消息包括：将该可疑程序存储到该中心数据库的恶意程序库中的指示；或者，该可疑程序为恶意程序的判断结果；当判断该可疑程序不是恶意程序时，向该中心数据库发送该可疑程序和更新消息，该更新消息包括：将该可疑程序存储到该中心数据库的白名单中的指示；或者，该可疑程序不是恶意程序的判断结果。\n[0063] 可以在达到一个预设的时间后，中心数据库将该中心数据库中存储的可疑程序的更新结果向其它终端(可疑程序所在终端之外的终端)发送。当上述的可疑程序为恶意程序时，中心数据库将该恶意程序库中的恶意程序的固定属性值发送给其它终端，以使其它终端更新该其它终端中的行为库中恶意程序，当该其它终端在发现相同属性值的可疑程序时，其它终端便可以直接判定该可疑程序为恶意程序，从而不需要将该可疑程序发送到中心模拟设备中进行判断，解决了对未知病毒的快速响应问题。同样的，当上述的可疑程序不是恶意程序时，中心数据库将该白名单中的可疑程序的固定属性值发送给其它终端，以使其它终端更新该其它终端中的行为库，当该其它终端在发现相同属性值的可疑程序时，该其它终端便可以直接判定该可疑程序不是恶意程序，不必将该可疑程序发送到中心模拟设备中进行判断，解决了对未知病毒的快速响应问题。\n[0064] 步骤S207，中心模拟设备将该可疑程序的判断结果返回给终端用户。\n[0065] 步骤S208，终端接收中心模拟设备返回的判断结果，对该可疑程序进行相应的处理。\n[0066] 具体的，当该终端接收到中心模拟设备发送来的信号，会将该信号转换为终端可识别的信息，并对该可疑程序的处理，当中心模拟设备判断该可疑程序为恶意程序，需对该可疑程序进行删除处理，当中心模拟设备判断该可疑程序不是恶意程序，则对该可疑程序不进行处理。\n[0067] 步骤S209，终端将处理结果以及处理方式显示给终端使用者。\n[0068] 可见，本发明实施例中，通过一种交互分布式的处理方式，将在客户端判断为可疑的程序数据传送到中心模拟设备进行处理，并将结果及时返回以将判定为恶意程序的程序及时删除。分布在各地的中心模拟设备将处理结果数据同步到中心数据库，这样可以做到在广阔的地域或网域上对新病毒的快速响应，通过将可疑程序传送到中心模拟设备进行模拟计算解决了对未知病毒的快速响应问题。\n[0069] 本发明实施例三提出的一种网络系统，终端的数目可以为任意，本实施例中，终端的数目以2个为例，在实际的应用中，终端与中心模拟设备的连接视具体情况而定，本实施例中，每个终端分别对应一个中心模拟设备，本实施例中，该两个中心模拟设备与一个中心数据库相连接。如图3所示，包括：\n[0070] 终端31，用于向中心模拟设备32发送可疑程序，接收来自该中心模拟设备32对该可疑程序的判断结果，并根据该判断结果对该可疑程序进行处理；\n[0071] 具体的，该终端31根据该判断结果对该可疑程序进行相应的处理可以为：当该可疑程序为恶意程序时，删除该可疑程序；\n[0072] 当所述可疑程序不是恶意程序时，对该可疑程序不做处理。\n[0073] 中心模拟设备32，用于接收来自该终端31的可疑程序，根据接收的该可疑程序的行为特征，判断该可疑程序是否为恶意程序，并根据判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送，将对该可疑程序的判断结向终端31发送。\n[0074] 进一步的，该网络系统还包括：终端33和中心模拟设备34，终端33与中心模拟设备34上述对应的终端31和中心模拟设备32的一样，在此不再赘述。\n[0075] 该网络系统还包括：\n[0076] 中心数据库35，用于与该中心模拟设备32和中心模拟设备34进行交互，接收该来自中心模拟设备32的可疑程序，并接收该来自中心模拟设备34的可疑程序，并将可疑程序的更新结果向其它终端发送。例如，本实施例中，中心数据库35可以将终端31中的可疑程序的更新结果向终端33发送，当终端31中的可以程序为恶意程序时，将在中心数据库35中更新后的终端31中的可疑程序是恶意程序的结果向终端33发送，以使终端33在发现相同的可疑程序时之间判定为恶意程序，从而解决了对未知病毒的快速响应问题，同样的，中心数据库35还可以将终端33中的可疑程序的更新结果向终端31发送。\n[0077] 可见，本发明实施例中，通过一种分布式的处理方式，将在客户端判断为可疑的程序数据传送到中心模拟设备进行处理，并将结果及时返回以将判定为恶意程序的程序及时删除。分布在各地的中心模拟设备将处理结果数据同步到中心数据库，这样可以做到在广阔的地域或网域上对新病毒的快速响应，通过将可疑程序传送到中心模拟设备进行模拟计算解决了对未知病毒的快速响应问题。\n[0078] 本发明实施例四提出的一种网络装置，该装置是未知病毒的检测终端，如图4所示，可以包括：\n[0079] 信息收集模块41，用于收集所要检测程序的行为特征，该所要检测的程序即怀疑的程序，上述要检测的程序的行为特征包括数字签名、系统属性、公司名称、程序结构等信息，并将要检测的程序的行为特征信息输入到判断模块42中。\n[0080] 判断模块42，用于将该信息收集模块41输入的要检测程序的行为特征信息与行为库进行匹配，并根据行为库中恶意程序常见的具体行为特征与对应的权值获取要检测程序的权值。该恶意程序常见的具体行为特征与对应的权值的匹配关系是存储在信息存储模块43中的。\n[0081] 具体的，在未知病毒的检测终端中，可以存储恶意程序常见的具体行为特征的行为库，在该行为库中，还可以存储恶意程序常见的具体行为特征与对应的权值的对应关系。\n对获取的权值进行加权判断，判断是否需要向中心模拟设备发送该被怀疑的程序，当需要发送时，将该程序发送到数据传送模块44中。\n[0082] 信息存储模块43，用于存储默认行为库其中对应的不同行为特征的权值。\n[0083] 数据发送模块44，用于根据判断模块42的匹配结果判断是否需要发送该可疑程序，如果需要，则将该可疑程序发送给中心模拟设备。将较小的可疑程序直接上传到中心模拟设备，将较大的可疑程序的关键数据上传到中心模拟设备。\n[0084] 进一步的，如图5所示，该未知病毒的检测终端还可以包括：\n[0085] 接收模块45，用于接收来自中心模拟设备对该可疑程序的判断结果；\n[0086] 处理模块46，用于根据该接收模块45接收到的来自该中心模拟设备对该可疑程序的判断结果，对可疑程序进行相应的处理，该处理包括当该可疑程序为恶意程序时，删除该可疑程序。\n[0087] 显示模块47，用于将处理模块46的处理结果以及处理模块46的处理方式显示给终端使用者。\n[0088] 该处理模块46可以包括：\n[0089] 信号接收单元461，用于接收中心模拟设备发送来的信号，并将该信号转换为程序处理单元462中可以识别的信息。\n[0090] 程序处理单元462，用于根据信号接收单元461接收的信号决定对程序的处理，包括当判定为恶意程序时的加密隔离处理、非恶意程序的放行处理以及将可疑程序进行删除处理。\n[0091] 信息输出单元463，将程序处理单元462的处理结果的信息输出到交互模块47。\n[0092] 可见，本发明实施例中，通过一种交互分布式的处理方式，将在客户端判断为可疑的程序数据传送到中心模拟设备进行处理，并将结果及时返回以将判定为恶意程序的程序及时删除。分布在各地的中心模拟设备将处理结果数据同步到中心数据库，这样可以做到在广阔的地域或网域上对新病毒的快速响应，通过将可疑程序传送到中心模拟设备进行模拟计算解决了对未知病毒的快速响应问题。\n[0093] 本发明实施例五提出的一种网络装置，该装置是中心模拟设备，如图6所示，可以包括：\n[0094] 接收模块61，用于接收来自至少一个终端的至少一个可疑程序；\n[0095] 判断模块62，用于根据接收模块61接收的至少一个可疑程序的行为特征，判断该至少一个可疑程序是否为恶意程序；\n[0096] 更新模块63，用于根据判断模块62判断得到的判断结果更新中心数据库，以使该中心数据库可以将更新结果向其它终端发送；\n[0097] 发送模块64，用于将判断模块62对至少一个可疑程序的判断结果向对应终端发送。\n[0098] 进一步的，该更新模块63可以包括：\n[0099] 第一更新模块631，用于当该判断模块62判断出该可疑程序为恶意程序时，向中心数据库发送该可疑程序和更新消息，该更新消息包括：将该可疑程序存储到该中心数据库的恶意程序库中的指示；或者，该可疑程序为恶意程序的判断结果；\n[0100] 第二更新模块632，用于当该判断模块62判断出该可疑程序不是恶意程序时，向该中心数据库发送该可疑程序和更新消息，该更新消息包括：将该可疑程序存储到该中心数据库的白名单中的指示；或者，该可疑程序不是恶意程序的判断结果。\n[0101] 可见，本发明实施例中，通过一种交互分布式的处理方式，将在客户端判断为可疑的程序数据传送到中心模拟设备进行处理，并将结果及时返回以将判定为恶意程序的程序及时删除。分布在各地的中心模拟设备将处理结果数据同步到中心数据库，这样可以做到在广阔的地域或网域上对新病毒的快速响应，通过将可疑程序传送到中心模拟设备进行模拟计算解决了对未知病毒的快速响应问题。\n[0102] 本发明实施例六提出的一种存储装置，该存储装置可以是中心数据库7，如图7所示，可以包括：\n[0103] 交互模块71，用于与中心模拟设备进行交互，接收来自该中心模拟设备的可疑程序和更新消息。\n[0104] 第一存储模块72，用于存储恶意程序；当该交互模块71接收到的更新消息包括将该可疑程序存储到第一存储模块72中的指示或者该可疑程序为恶意程序的判断结果时，将该可疑程序存储到该第一存储模块72中。\n[0105] 第二存储模块73，用于存储白名单；当该交互模块71接收到的更新消息包括将该可疑程序存储到该第二存储模块73中的指示或者该可疑程序不是恶意程序的判断结果时，将该可疑程序存储到第二存储模块73中。\n[0106] 发送模块74，用于将第一存储模块72和第二存储模块73中存储的更新信息发送出去。\n[0107] 可见，本发明实施例中，通过一种交互分布式的处理方式，将在客户端判断为可疑的程序数据传送到中心模拟设备进行处理，并将结果及时返回以将判定为恶意程序的程序及时删除。分布在各地的中心模拟设备将处理结果数据同步到中心数据库，这样可以做到在广阔的地域或网域上对新病毒的快速响应，通过将可疑程序传送到中心模拟设备进行模拟计算解决了对未知病毒的快速响应问题。\n[0108] 通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。\n[0109] 以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。