反恶意软件扫描系统及其方法

摘要

提供了一种反恶意软件扫描系统及其方法，所述反恶意软件扫描系统包括：主机；芯片，可移除地连接到主机，从主机接收将被扫描的文件，并扫描在所述文件中是否存在恶意软件，其中，主机调整将被扫描的文件的大小以相应于芯片的存储单元的存储容量，并将调整的文件发送到芯片。因此，即使在反恶意扫描系统的资源受限的环境下，也可有效地执行扫描。

说明书

本申请要求于2010年11月30日在韩国知识产权局提交的10-2010-0120269号韩国专利申请的优先权，该申请的公开通过引用全部合并于此。

技术领域

与示例性实施例一致的设备和方法涉及一种反恶意软件扫描系统及其方法，更具体地说，涉及一种反恶意扫描系统及其方法，其中，所述反恶意软件扫描系统即使在将被扫描的资源受限的环境中也可有效地执行扫描。

背景技术

为了不同的目的使用电子和/或电装置(以下，称为装置)。例如，装置(诸如个人计算机、服务器、移动电话、个人数字助理(PDA)或智能电话)除了支持它们的原始功能之外，还支持附加功能(诸如金融交易、互联网购物或互联网电话)。然而，这些附加功能可在许多情况下通过网络而被支持，并且在执行附加功能的过程期间，装置很有可能受到恶意的恶意软件(如病毒)的侵害。

然而，尽管实事上在上述装置中的能够自身扫描恶意软件的资源受限，但是将被扫描的数据正在增加。因此，存在对在受限的资源的情况下有效地扫描恶意软件的方法的需求。

发明内容

示例性实施例的一个或多个方面提供了一种反恶意软件扫描系统及其方法，其中，所述反恶意软件扫描系统即使在反恶意软件系统的资源受限的环境下也可有效地执行扫描。

示例性实施例的一个或多个方面还提供了一种反恶意软件扫描系统及其方法，其中，所述反恶意软件扫描系统即使在以芯片的形式实现的反恶意软件系统的资源以及具有将被扫描的文件的主机的资源都受限的环境下也可有效地执行扫描。

示例性实施例的一个或多个方面还提供了一种记录有这样的程序的记录介质：所述程序即使在以芯片的形式实现的反恶意软件系统的资源以及连接到芯片的主机的资源都受限的环境下也可容易地执行用于扫描的方法。

根据示例性实施例的一方面，提供了一种反恶意软件扫描系统，包括：主机；芯片，可移除地连接到主机，从主机接收将被扫描的文件，并扫描在所述文件中是否存在恶意软件，其中，主机调整将被扫描的文件的大小以相应于芯片的存储单元的存储容量，并将调整的文件发送到芯片。

根据另一示例性实施例的一方面，提供了一种用于扫描在主机的文件中是否存在反恶意软件的方法，所述方法包括：如果将被扫描的文件的大小大于芯片的存储单元的存储容量，则将将被扫描的文件的一部分发送到芯片，其中，芯片可移除地连接到主机；扫描由芯片接收的文件。

存储单元可包括易失性存储单元，将被扫描的文件的所述一部分的大小可小于易失性存储单元。

扫描的步骤可包括：如果将被扫描的文件的大小小于易失性存储单元的容量，则将将被扫描的文件存储在易失性存储单元中，如果将被扫描的文件的大小大于易失性存储单元的容量，则将将被扫描的文件存储在非易失性存储单元中；通过将存储在易失性存储单元或非易失性存储单元中的文件的一部分与签名数据进行顺序地比较来进行扫描。

所述方法还包括：如果将被扫描的文件是压缩文件，则确定是否可对所述文件进行部分解压；如果可对所述文件进行部分解压，则对所述文件进行部分解压，发送的步骤可包括将所述文件的被部分解压的一部分发送到芯片。

发送的步骤可包括：如果不可对所述文件进行部分解压，则对整个文件进行解压，并发送解压的整个文件的一部分。

所述方法还可包括：将将被扫描的文件的大小与芯片的存储单元的存储容量进行比较。

根据另一示例性实施例的一方面，提供了一种记录有计算机可读程序并且记录了执行上述方法的程序的记录介质。

示例性实施例的附加方面和优点将在详细的描述中被阐述，从详细的描述中将是明显的，并且可通过实施示例性实施例而被理解。

附图说明

通过参照附图详细地描述示例性实施例，以上和其它特征和优点将变得更加清楚，其中：

图1是示出根据示例性实施例的反恶意软件扫描系统的框图；

图2是解释根据示例性实施例的反恶意软件扫描系统的示图；

图3是解释根据示例性实施例的反恶意软件扫描方法的示图；

图4是解释根据另一示例性实施例的反恶意软件扫描系统的示图；

图5是解释根据另一示例性实施例的反恶意软件扫描方法的示图；

图6是解释根据另一示例性实施例的反恶意软件扫描系统的示图；

图7是解释根据另一示例性实施例的反恶意软件扫描方法的示图；

图8是解释根据另一示例性实施例的反恶意软件扫描系统的示图；

图9是解释根据另一示例性实施例的反恶意软件扫描方法的示图。

具体实施方式

现在将参照附图更充分地描述示例性实施例以阐明本发明构思的多方面、特征和优点。然而，可以以许多不同的形式来实现示例性实施例，并且示例性实施例不应被解释为限于这里阐述的示例性实施例。相反，对于本领域的普通技术人员来说，示例性实施例被提供以使本公开将是彻底和完整的，并将充分覆盖本申请的范围。将理解，当元件、层或区域被称为“在另一元件、层或区域上”时，所述元件、层或区域可以直接在另一元件、层或区域上，或者可具有中间元件、层或区域。

此外，将理解，当第一元件(或第一组件)被称为“在第二元件(或第二组件)上”操作或执行时，第一元件(或第一组件)可在第二元件(或第二组件)被操作或执行的环境中被操作或执行，或者可通过与第二元件(或第二组件)直接或间接交互来被操作或执行。

此外，将理解，除非上下文件清楚指示，否则当元件、组件、设备或系统被称为包括由程序或软件组成的组件时，所述元件、组件、设备或系统可包括执行或操作所述程序或软件所必需的硬件(例如，存储器或中央处理单元(CPU))或者其它程序或软件(例如，操作系统(OS)、驱动硬件所必需的驱动器)。

虽然没有限制，但是示例性实施例可被实现为计算机可读记录介质上的计算机可读代码。计算机可读记录介质是可存储其后可被计算机系统读取的数据的任意数据存储装置。计算机可读记录介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光学数据存储装置。计算机可读记录介质可分布在通过联网的计算机系统上，从而计算机可读代码以分布式方式被存储或执行。

此外，将理解，除非上下文明确指示，否则可由软件、硬件或软件和硬件来实现元件(或组件)。

这里使用的术语是仅为了描述特定示例性实施例的目的，而不意图进行限制。所这里所使用的，除非上下文明确指示，否则单数形式意图也包括复数形式。还将理解，当在说明书中使用术语“包括”时，指定存在所陈述的特征、整数、步骤、操作、层、区域、元件、组件和/或它们的组合，而是不排除存在或添加一个或多个其它特征、整数、步骤、操作、层、区域、元件、组件和/或它们的组合。如这里所使用的，术语“和/或”包括一个或多个有关列出项的任意组合和所有组合。

图1是示出根据示例性实施例的反恶意软件扫描系统的框图。

参照图1，根据示例性实施例的反恶意软件扫描系统包括主机100和芯片120。根据示例性实施例，主机100和芯片120可被安装在主板上，并且可互相连接。根据示例性实施例，主机100可包括中央处理单元(以下，称为“CPU_MAIN”)101、存储器(以下，称为“主存储器”)103、用户界面(UI)应用单元105、反恶意软件驱动器(以下，称为“AM驱动器”)109和存储单元111。UI应用单元105可以是反恶意软件应用(以下，称为“AM应用”)。签名数据113或121可被存储在存储单元111或芯片120的存储单元119中，这将在稍后进行描述。UI应用单元105可被存储在存储单元111或单独的存储单元(未示出)中，并可被加载到主存储器103用于操作。

根据示例性实施例，芯片120可包括中央处理单元(以下，称为“CPU_CHIP”)115、存储器(以下，称为“CHIP存储器”)117、存储单元119、输入/输出接口单元123和反恶意软件引擎(以下，称为“AM引擎”)125。AM引擎125可通过硬件和/或软件来实现。在AM引擎125通过软件来实现的情况下，AM引擎125可被存储在存储单元119或单独的存储单元(未示出)中，并可被加载到CHIP存储器117中用于操作。CPU_CHIP 115控制芯片120的上述元件的整体操作。

根据示例性实施例，芯片120可被可移除式地安装在主板上，可以以具有知识产权的芯片的形式或以普通芯片的形式来实现，并且可以以用于扫描恶意软件的芯片的形式来配置。芯片120可以是智能卡，诸如用户识别模块(SIM)、通用用户识别模块(USIM)、通用集成电路卡(UICC)或金融IC芯片。

芯片120从主机100接收在主机100中使用或操作的数据(包括执行文件、数据和文件的所有任意数据)(以下，称为将被扫描的文件)，并扫描在文件中是否存在恶意软件。恶意软件包括对包括主机100和芯片120的装置的操作造成损害的所有任意数据。

根据示例性实施例，在扫描操作中使用的签名数据可被存储在主机100和/或芯片120中。在本实施例中，芯片120通过将签名数据113或121与将被扫描的文件进行比较来确定是否存在恶意软件。将被扫描的文件可以是主机100拥有的数据或主机100从外部源接收的数据。在签名数据113被存储在主机100中的情况下，芯片120从主机100接收签名数据113，并通过将接收的签名数据113与将被扫描的文件进行比较来执行扫描。

根据示例性实施例，主机100可调整将被扫描的文件的大小以相应于芯片120的存储容量，并将数据发送到芯片120。

例如，主机100将将被扫描的文件的大小与芯片120的存储容量进行比较，如果将被扫描的文件的大小小于芯片120的存储容量，则主机100将将被扫描的文件本身发送到芯片120，但是如果将被扫描的文件的大小大于或等于芯片120的存储容量，则主机100不发送整个文件，并将文件的一部分发送到芯片120。

根据芯片120的存储容量来确定将被扫描的文件的一部分的大小，例如，根据芯片120的CHIP存储器117的存储容量来确定将被扫描的文件的一部分的大小。优选地，从主机100发送的将被扫描的文件的一部分的大小可小于CHIP存储器117的存储容量。

根据示例性实施例，如果将被扫描的文件是压缩文件，则主机100可对所述文件进行解压，并将解压的文件的一部分发送到芯片120。此外，主机100可确定是否可对所述文件进行部分解压，如果确定可对所述文件进行部分解压，则主机100可对文件进行部分解压，并可将所述文件的被部分解压的一部分发送到芯片120。另一方面，如果确定不可对所述文件进行部分解压，则主机可对整个文件进行解压，并将解压的整个文件的一部分发送到芯片120。

根据示例性实施例，主机100可从芯片120接收芯片120的存储容量的标识(例如，CHIP存储器117和/或存储单元119的容量)。

根据示例性实施例，如果从主机100发送的将被扫描的文件小于芯片120的易失性存储单元(例如，CHIP存储器117)的容量，则芯片120可将将被扫描的文件存储在易失性存储单元中，如果将被扫描的文件大于芯片120的易失性存储单元的容量，则芯片120可将所述文件存储在非易失性存储单元(例如，存储单元119)中。

此外，在从主机100发送的将被扫描的文件是压缩文件的情况下，如果解压之后，所述文件的大小小于易失性存储单元的容量，则芯片120可将所述文件存储在易失性存储单元中，如果解压之后，所述文件的大小大于或等于易失性存储单元的存储容量，则芯片120可将所述文件存储在非易失性存储单元中。芯片120可通过将存储在易失性或非易失性存储单元中的文件的一部分与签名数据顺序地比较来进行扫描。该比较针对整个文件被执行。

AM应用105可通过AM驱动器109将将被扫描的文件发送到输入/输出接口单元123，并可提供用户界面屏幕以向用户显示扫描的结果，或可接收扫描的命令。

根据示例性实施例，如果由用户通过用户界面屏幕(或根据预存在存储单元111中的扫描时间表)输入扫描的命令，则AM应用105可按照预定大小对将被扫描的文件进行划分，并可通过AM驱动器109将划分的文件发送到输入/输出接口单元123。如上所述，考虑芯片120的存储容量来确定预定大小，并可由AM应用105或CPU_MAIN 101来确定预定大小。

可选地，由于芯片120知道其自身存储容量，因此芯片120可确定将被扫描的文件的大小，并可向主机100通知该大小。在这种情况下，主机100可根据从芯片120发送的文件的大小来将将被扫描的文件发送到芯片120。

图2是解释根据示例性实施例的反恶意软件扫描系统的示图。

参照图1和图2，AM应用105可在从用户接收到扫描的命令时或者根据预定的扫描时间表，指示进行扫描。AM应用105将将被扫描的文件的大小与芯片120的存储容量(CHIP存储器117和/或存储单元119的存储容量)进行比较。如果将被扫描的大小小于芯片120的存储容量，则存储在存储单元111的将被扫描的文件被加载到主存储器103(①)。下面将参照图4、图6和图8解释将被扫描的文件的大小大于芯片120的存储容量的情况。在这个实施例中，将解释将被扫描的文件的大小小于芯片120的存储容量的情况。

AM应用105通过AM驱动器109将加载到主存储器103的将被扫描的文件发送到输入/输出接口单元123(②)。

通过输入/输出接口单元123接收的将被扫描的文件被存储在存储单元119中。如果将被扫描的文件是压缩文件，则所述文件被解压，并随后被存储在存储单元119中(③)。对所述文件进行解压的元件可以是存储在存储单元119中的预定程序(未示出)。在这种情况下，所述程序可被加载到CHIP存储器117，并可被操作以对所述文件进行解压。AM引擎125将存储在存储单元119中的将被扫描的文件的一部分加载到CHIP存储器117中，并执行扫描操作(④)。如果扫描操作完成，则AM引擎125通过输入/输出接口单元123将扫描结果发送到AM应用105。AM应用105可通过屏幕(或电子邮件或消息)向用户通知扫描的结果。

为了便于解释，未示出在图1中示出但未在图2中示出的元件，并且所述元件应该被视为被包括在图2的实施例中，为了相同的原因，从以下提出的实施例中省略所述元件。

图3是解释根据示例性实施例的反恶意软件扫描方法的示图。

参照图1和图3，在根据示例性实施例的反恶意软件扫描方法中，主机100根据扫描的命令或预定扫描时间表将将被扫描的文件加载到主存储器103中(S301)，并将加载的文件发送到芯片120(S303)。

芯片120将将被扫描的文件存储在CHIP存储器117中(S305)，并执行文件预处理操作(S307)。文件预处理操作包括识别文件的类型的操作或如果文件是压缩文件则对文件进行解压的操作。

如果文件预处理操作完成，则芯片120将将被扫描的文件与存储在存储单元119或存储单元111中的签名数据113或121进行比较，并执行扫描操作以确定在文件中是否存在恶意软件(S309)。

针对从主机100发送的整个文件执行扫描操作(S311：否)，如果扫描操作完成(S311：是)，则芯片120向主机100通知扫描的结果(S313)。

在这个实施例中，芯片120在操作S305接收到文件时，将将被扫描的文件存储在CHIP存储器117中。然而，如果从主机100发送的将被扫描的文件的大小大于CHIP存储器117的存储容量，则芯片120可将将被扫描的文件存储在存储单元119中，而不存储在CHIP存储器117中。在该实施例中，在操作S309，芯片120可通过将存储在易失性或非易失性存储单元中的文件的一部分与签名数据顺序地比较来进行扫描。该比较针对整个文件被执行。

图4是解释根据另一示例性实施例的反恶意软件扫描系统的示图。

参照图1和图4，AM应用105可在从用户接收到扫描的命令时或根据预定扫描时间表，执行扫描操作。AM应用105将将被扫描的文件的大小和芯片120的存储容量(CHIP存储器117和/或存储单元119的存储容量)进行比较。如果将被扫描的文件的大小小于芯片120的存储容量，则根据图2的实施例执行扫描操作。

将针对将被扫描的文件是压缩文件并且将被扫描的文件的大小大于或等于芯片120的存储容量的假设，来解释本示例性实施例。

AM应用105将将被扫描的文件的一部分加载到主存储器103中(①)，并通过AM驱动器109将加载的文件发送到输入/输出接口单元123(②)。所述文件的所述一部分是压缩文件的多个文件之一，所述文件的所述一部分本身可以是压缩文件(例如，a1.pdf(10Mb)-压缩状态)。

通过输入/输出接口单元123接收的将被扫描的文件被存储在CHIP存储器117中，如果将被扫描的文件是压缩文件，则所述文件被解压，并随后被存储在CHIP存储器117中(③)。对所述文件进行解压的操作可以与图2的实施例中的操作相同。此外，解压的文件的一部分(例如，a1.pdf，a1.pdf(10Mb+a)-解压状态的一部分)可被存储在CHIP存储器117中(④)。

AM引擎125针对存储在CHIP存储器117中的所述文件的所述一部分执行扫描操作(⑤)。后续操作可与图2的实施例中的操作相同。

图5是解释根据另一示例性实施例的反恶意扫描方法的示图。

将参照图1和图5，将针对将被扫描的文件是压缩文件的假设来解释本示例性实施例。主机100根据用户的扫描的命令或预定扫描时间表，将压缩的将被扫描的文件的一部分加载到主机100的主存储器103中(S501)，并将加载的文件发送到芯片120(S503)。

芯片120将将被扫描的文件存储在CHIP存储器117中(S505)，并执行文件预处理操作(S507)。文件预处理操作包括识别文件的类型的操作(文件是否是压缩文件或文件是否可被部分解压)或如果将被扫描的文件是压缩文件则对所述文件进行解压。如果作为文件预处理的结果，对文件进行解压需要附加数据(S509：否)，则请求用于对文件(即，目标文件)进行解压的附加数据(S511)。

如果解压文件不需要附加数据(S509：是)，则执行扫描操作(S513)。例如，芯片120通过将存储在存储单元119或存储单元111中的签名数据113或121与将被扫描的文件进行比较，来执行扫描操作以确定在文件中是否存在恶意软件。

针对从主机100发送的整个文件执行扫描操作(S515：否，S517)，如果扫描操作完成(S515：是)，则芯片120向主机100通知扫描的结果(S519)。

虽然在操作S505接收文件时，芯片120将将被扫描的文件存储在CHIP存储器117中，但是如果从主机100发送的将被扫描的文件的大小大于或等于CHIP存储器117的存储容量，则芯片120可将将被扫描的文件存储在存储单元119中，而不存储在CHIP存储器117中。

图6是解释根据另一示例性实施例的反恶意软件扫描系统的示图。

参照图1和图6，AM应用105可在从用户接收到扫描的命令时或根据预定的扫描时间表，执行扫描操作。AM应用105将将被扫描的文件的大小和芯片120的存储容量(CHIP存储器117和/或存储单元119的存储容量)进行比较。如果将被扫描的文件的大小小于芯片120的存储容量，则根据图2的实施例执行扫描操作。

将针对将被扫描的文件是压缩文件并且将被扫描的文件的大小大于或等于芯片120的存储容量的假设，来解释本示例性实施例。

AM应用105将将被扫描的文件的一部分加载到主存储器103中(①)，并通过AM驱动器109将加载的文件发送到输入/输出接口单元123(②)。将被扫描的文件的所述一部分是压缩文件的多个文件之一(例如，a1.pdf(10Mb)的一部分)。

通过输入/输出接口单元123接收的将被扫描的文件被存储在CHIP存储器117中。

AM引擎125针对存储在CHIP存储器117中的所述文件的所述一部分(a1.pdf的一部分)执行扫描操作(③)。后续操作可与图2的实施例中的操作相同。

图7是解释根据另一示例性实施例的反恶意软件扫描方法的示图。

将参照图1和图7，将针对将被扫描的文件是压缩文件的假设来解释本示例性实施例。主机100根据用户的扫描的命令或预定扫描时间表，仅对将被扫描的文件的一个文件进行解压，并将解压的文件加载到主存储器103中(S701)，并将加载的文件发送到芯片120(S703)。

芯片120将将被扫描的文件存储在CHIP存储器117中(S705)，并执行文件预处理操作(S707)。文件预处理操作包括识别文件的类型的操作。

如果文件预处理操作完成，则芯片120通过将存储在存储单元119或存储单元111中的签名数据113或121与将被扫描的文件进行比较，来执行扫描操作以确定在文件中是否存在恶意软件(S709)。

针对从芯片120发送的将被扫描的整个文件执行扫描操作(S711：否，S713)，如果扫描操作完成(S711：是)，则芯片120向主机100通知扫描的结果(S715)。

虽然在操作S705接收文件时，芯片120将将被扫描的文件存储在CHIP存储器117中，但是如果从主机100发送的将被扫描的文件的大小大于CHIP存储器117的存储容量，则芯片120可将所述文件存储在存储单元119中，而不存储在CHIP存储器117中。

图8是解释根据另一示例性实施例的反恶意软件扫描系统的示图。

参照图1和图8，AM应用105可在从用户接收到扫描的命令时或根据预定的扫描时间表，执行扫描操作。AM应用105将将被扫描的文件的大小和芯片120的存储容量(CHIP存储器117和/或存储单元119的存储容量)进行比较。如果将被扫描的文件的大小小于芯片120的存储容量，则根据图2的实施例执行扫描操作。

将针对将被扫描的文件是非压缩文件并且将被扫描的文件的大小大于或等于芯片120的存储容量的假设，来解释本示例性实施例。

AM应用105将将被扫描的文件的一部分(A.pdf的一部分)加载到主存储器103中(①)，并通过AM驱动器109将加载的文件发送到输入/输出接口单元123(②)。将被扫描的文件的所述一部分可以是非压缩文件的多个文件之一(例如，A.pdf的一部分)。

通过输入/输出接口单元123接收的将被扫描的文件被存储在CHIP存储器117中。

AM引擎125针对存储在CHIP存储器117中的所述文件的所述一部分(A.pdf的一部分)执行扫描操作(③)。后续操作可与图2的实施例中的操作相同。

图9是解释根据另一示例性实施例的反恶意软件扫描方法的示图。

参照图1和图9，主机100根据用户的扫描的命令或预定扫描时间表，开始扫描操作。主机100将将被扫描的文件的大小与芯片120的存储单元的存储容量(CHIP存储器117和/或存储单元119的存储容量)进行比较(S901)。

如果芯片120的存储单元(CHIP存储器117和/或存储单元119)的存储容量大于将被扫描的文件的大小(S901：是)，则将被扫描的文件被发送到芯片120，并且根据图2和图3的实施例执行扫描操作(S905)。

另一方面，如果芯片120的存储单元(CHIP存储器117和/或存储单元119)的存储容量小于或等于将被扫描的文件的大小(S901：否)，则确定将被扫描的文件是不是压缩文件(S907)。

如果确定将被扫描的文件是压缩文件(S907：是)，则主机100确定是否可对文件进行部分解压(S909)。如果可对文件进行部分解压(S909：是)，则根据图6或图7的实施例将将被扫描的文件发送到芯片120(S911)，并执行扫描操作(S913)。可针对从主机100发送的整个文件执行扫描操作，直到扫描操作完成(S915：否)。

如果不可对文件进行部分解压(S909：否)，则根据图4或图5的实施例将将被扫描的文件发送到芯片120(S917)，并执行扫描操作(S919)。可针对从主机100发送的整个文件执行扫描操作，直到扫描操作完成(S921：否)。

如果将被扫描的文件不是压缩文件(S907：否)，则根据图8的实施例将将被扫描的文件发送到芯片120(S923)，并执行扫描操作(S925)。针对从主机100发送的整个文件执行扫描操作，直到扫描操作完成(S927：否)。

如果上述扫描操作完成，则芯片120向主机100通知扫描的结果。

根据上述实施例的反恶意软件扫描系统除了可包括上述元件，还可包括各种硬件和/或软件资源。所述资源包括反恶意软件扫描系统的操作所必需的硬件资源和软件资源，硬件资源可以是CPU或存储器，软件资源可以是例如操作系统(OS)。例如，UI应用或web浏览器可在OS上操作，并可在CPU的控制下被加载到存储器以被操作。因此，与操作或执行特定应用所必需的硬件资源和/或软件资源的交互将是本领域的普通技术人员将容易理解的技术，并且在不脱离本公开的精神的情况下，这种技术可被包括作为本公开的示例性实施例的一部分。此外，将理解，当包括在反恶意软件扫描系统中的元件被操作时，即使所述硬件资源和/或软件资源没有被明确或间接提及，所述元件也可与这些资源进行交互。

反恶意软件扫描系统可直接包括硬件资源和/或软件资源，但是可选地，反恶意软件扫描系统可通过使用网络(例如，软件即服务(SaaS)或web硬盘)来使用硬件资源和/或软件资源中的至少一些硬件资源和/或软件资源。

可以以程序命令的形式来实现根据示例性实施例的方法，其中，所述程序命令可被各种计算机装置执行，并可被记录在计算机可读介质上。计算机可读介质可独立地存储程序命令、数据文件和数据结构或可存储它们的组合。记录在介质上的程序命令可被设计和配置为实现示例性实施例，或可被计算机软件领域的普通技术人员所公知。

可以以程序代码的形式来实现根据示例性实施例的反恶意软件扫描系统，其中，所述程序代码通过发送介质(诸如电线或线缆或光纤)被发送，或者通过任何其它形式被发送，并可通过通信来实现。发送介质相应于本公开的示例性实施例。

根据示例性实施例，即使在反恶意扫描系统的资源受限的环境中也可有效地执行扫描。此外，即使在以芯片的形式实现反恶意软件系统的资源并且连接到所述芯片的主机的资源都受限的环境中也可有效地执行扫描。

虽然以上已经示出并描述了示例性实施例，但是本领域的普通技术人员将理解，在不脱离由权利要求限定的本发明的精神和范围的情况下，可以对示例性实施例进行形式和细节上的各种改变。