发明名称 |
一种监控文件执行的方法及装置 |
摘要 |
本发明提供了一种监控文件执行的方法,该方法包括:打开可执行文件;在准备执行所打开的可执行文件时,对该可执行文件进行病毒扫描;及,根据所述病毒扫描的扫描结果判断该可执行文件是否为恶意软件,如果是,则阻止执行该可执行文件;否则执行该可执行文件。本发明还提供了相应的监控文件执行的装置以及监控驱动装置。采用本发明能够提高病毒扫描实时性以及软件兼容性。 |
申请公布号 |
CN102467623B |
申请公布日期 |
2014.03.26 |
申请号 |
CN201010537691.0 |
申请日期 |
2010.11.08 |
申请人 |
腾讯科技(深圳)有限公司 |
发明人 |
马劲松;谢飞;高小明;张昕 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京德琦知识产权代理有限公司 11018 |
代理人 |
王琦;王诚华 |
主权项 |
一种监控文件执行的方法,其特征在于,该方法包括:打开可执行文件;在准备执行所打开的可执行文件时,对该可执行文件进行病毒扫描;及,根据所述病毒扫描的扫描结果判断该可执行文件是否为恶意软件,如果是,则阻止执行该可执行文件;否则执行该可执行文件;其中,在为所述可执行文件创建可执行映射时对该可执行文件进行病毒扫描,包括:A.拦截来自各个线程的获取锁的IRP;B.当捕获到来自一线程的获取锁的IRP时,判断所述获取锁的IRP是否针对可执行映射,如果是,则执行步骤C;否则将所述获取锁的IRP传递给下层驱动,结束当前流程;其中,所述针对可执行映射的获取锁的IRP用于请求获取用于创建可执行映射的分区的锁;及,C.获取所述可执行文件的文件信息,并将所获取的文件信息发送给用于病毒扫描的扫描引擎;所述阻止执行该可执行文件,包括:不将所述获取锁的IRP传递给下层驱动;及,所述执行该可执行文件,包括:将所述获取锁的IRP传递给下层驱动来创建可执行映射。 |
地址 |
518044 广东省深圳市福田区振兴路赛格科技园2栋东403室 |