CN1236451A - 用于数据库及邮件服务器的抗病毒代理 - Google Patents

Abstract

用于检测并清除存在于电子邮件消息的附件中的计算机病毒的软件代理(110)。客户端一服务器计算机网络包括一个服务器计算机和多个客户端计算机。消息系统(130),位于服务器计算机,控制电子邮件消息的分发。抗病毒模块(120),位于服务器计算机,扫描文件检测病毒。代理(110)位于服务器计算机,提供抗病毒模块(120)与消息系统(130)之间的接口。代理可以在实时的基础上或以预设的间隔时间运行。可以扫描在网络内部发送的电子邮件消息,例如,企业内部互联网的电子邮件消息。此外,可以扫描通过因特网接收的电子邮件消息。

Description

用于数据库及邮件服务器的抗病毒代理

发明领域

本发明涉及一个用于检测并清除计算机病毒的软件程序和界面，尤其涉及检测并清除数据库文件和电子邮件附件中的计算机病毒的系统和方法。

版权通告

本专利文件的部分内容包含属于著作权保护的材料。当它出现在专利和商标局(Patent and Trademark 0ffice)的专利文献或记录中时，著作权所有者不反对任何人复印该专利文献或专利内容。否则保留所有著作权权利。

发明背景

计算机病毒是一个计算机程序，在未经授权的情况下改变计算机的运行方式。与生物病毒相似，计算机病毒可以复制自身附到其它文件上。

为成为计算机病毒，一个程序只需要满足两个标准。首先，它是可执行的，经常将它自己代码的某个版本放置到另一个程序的执行路径中。计算机病毒经常执行它自身。第二，它复制自身。举例来说，一个病毒程序可以拷贝自身到用户访问的其它可执行文件或磁盘。许多计算机病毒将自身附到其它可执行文件上。

病毒在一个受感染的文件被复制，下载，或使用时被传播。病毒能够侵犯工作站(包括台式计算机和膝上型计算机)以及网络服务器等。

许多病毒在执行时破坏受感染的计算机或网络服务器。一些病毒被设计为通过使程序瘫痪，删除文件，或重新格式化硬盘等方法破坏计算机。当病毒造成破坏，破坏程度依赖于感染计算机的特定病毒而变化。通常，病毒能够对计算机造成如下破坏：挂起计算机，删除文件，搅乱硬盘上的数据，攻击文件分配表，攻击分区表，或格式化硬盘。

另一些病毒只是些令人讨厌的东西，不断的复制自己，或输出文本，视频或音频消息。甚至这些良性病毒，仍然能够对计算机用户造成问题，因为通常它们占据合法程序使用的计算机内存。作为结果，它们经常导致不稳定的行为，并使系统崩溃。另外，许多病毒充满错误，那些错误会导致系统崩溃和数据丢失。

个人计算机病毒可以根据其传播和感染计算机的方式被分类。引导区型病毒感染磁盘的系统区，即，软盘和硬盘上的引导记录。所有软盘和硬盘(包括只含数据的磁盘)都在引导记录中包含一个计算机启动时执行的小程序。引导区型病毒将它们自己附到磁盘的这个部分，并在用户试图从受感染的磁盘启动时激活。因而，引导区型病毒用它自己的代码覆盖该磁盘原来的引导区，使得病毒总是在任何其它内容之前被装入内存。一旦在内存中，病毒可以使启动盘无法使用，或传播到其它磁盘。主引导区型病毒覆盖磁盘的主引导区(分区表)，该主引导区是硬盘的第一个扇区。文件型病毒在一个受感染程序运行时感染其它程序。为被激活，文件型病毒必须执行。它们不保留在内存中，所以它们不感染系统。文件型病毒将它们自身附到可执行文件(诸如含如.COM,.EXE,.0VL,.DLL,.DRV,.SYS,.BIN，和.BAT的扩展名的可执行文件)。这些病毒经常改变文件属性信息和文件大小，时间和日期信息。内存驻留型病毒将它们自身装入内存并接管操作系统的控制。象文件型病毒一样，内存驻留型病毒将它们自身附到可执行文件上。混合型病毒结合了内存驻留型病毒，文件型病毒和引导区型病毒的特征。

一种新近的病毒类型，宏病毒。是用特定计算机程序，如字处理程序或制表软件的宏语言写的。因此宏病毒可驻留在文档中。宏病毒感染文件，并可在执行时驻留内存。它们可以在程序文档被访问或被一定的用户动作触发时运行，该用户动作如特定的击键或菜单选择。宏病毒可以被存储在含任何扩展名的文件中，通过文件传送，甚至通过电子邮件被传播。尽管在过去的文档中通常没有被前面讨论的类型的病毒感染，任何自动执行的支持宏的应用软件都是宏病毒的潜在平台。由于现在文档被通过网络及因特网广泛地共享，甚至超过了过去磁盘的共享，基于文档的病毒可能会变得更流行。

即使病毒的制造是故意的行为，病毒通常在无辜的用户拷贝或下载受感染的文件到计算机或网络上时被引入计算机和企业的网络。

传统的抗病毒软件被设计来检测并清除计算机病毒。病毒被抗病毒软件以两种基本方式检测：通过对硬盘的完全扫描或当每个文件被访问时的实时扫描。多数抗病毒软件同时提供这两种特性。而且，抗病毒程序可以按指令扫描一个或多个用户选择的文件或文件目录。

完全扫描和实时扫描用特征代码(如病毒指纹)检测已知病毒，该特征代码识别一个程序为病毒。一些抗病毒软件还使用先进技术(诸如多态检测)来识别潜在的病毒，并检察内存和系统文件中的病毒。

现有的抗病毒产品在软盘是主要的向计算机内存输入数据的设备时工作得很好。但是，在近几年，电子传递已经成为以电子形式交换数据的普通途径。不令人惊讶地，电子传递也已经成为主要的病毒威胁。现有的抗病毒技术不保证防止病毒以各种可能的方式被引入计算机网络并在其中传播。

许多企业具有计算机网络以允许程序和数据的共享并用于交换消息。随着网络，企业计算和组织内通讯的增长，(例如，使用客户端-服务器网络和平等网络，局域网和广域网)，病毒能够容易地通过组织的计算机系统传播，感染许多计算机。而且数据交换正是使用这些方案的原因，企业中一台计算机上的病毒比几年前更可能与其它计算机通讯并感染它们。而且，许多组织内部网络具有到外部计算机网络的电子连接(诸如因特网，专用在线服务，及公告板)。这些连接使得电子数据和计算机程序(包括那些可能被计算机病毒感染的)被引进组织的网络。(根据国家计算机安全协会(NCSA)，超过70％的企业网络被病毒感染。)

关于计算机病毒，特别关注的是电子邮件(e-mail)。电子邮件的使用不断增长以在组织内通信(例如，使用局域网)及与外部通信(例如，通过因特网与远处的计算机用户通信)。电子邮件消息可以包含附加的文件，举例来说，包括可执行文件，格式化文档，声音，视频，等。应当理解，电子邮件消息的附件可以包含被计算机病毒感染的文件。这样，举例来说，通过因特网接收的电子邮件可包含一个被Word宏病毒感染的Microsoft Word文档作为附件；由项目经理在局域网上向其许多组员广播的电子邮件消息也可能包含被病毒感染的附件。

因为任何类型的文件都可以附加到电子邮件消息上，病毒保护软件经常难以决定如何处理附件。此外，典型的电子邮件系统以特有的文件格式在邮件服务器上存储所有的电子邮件消息，而不管所附文件的格式。被一个用户接收的所有消息可以在中央邮件服务器上被存储为一个单一文件，例如“inbox.msg”。而且，一些电子邮件程序使用特有的加密方法。据说扫描来自LAN内部的电子邮件附件非常困难，因为象cc:mail,Microsoft Exchange和Dayinci这样的电子邮件程序出于隐私的原因加密电子邮件。因此，电子邮件程序使用的格式，算法，和数据结构使开发防止病毒通过电子邮件附件传播的抗病毒软件变得困难。

抗病毒程序的一个重要目标是在造成破坏或病毒被传播感染其它计算机前尽可能快地检测出病毒。许多病毒检测程序，举例来说，不扫描往外发送的电子邮件消息的病毒，由此允许病毒向其它计算机的可能的传播。通常使用的抗病毒程序不扫描被创建但没有发送的电子邮件草稿(即，一个电子邮件消息，被创建并存储用于稍后编辑和/或发送)。涉及电子邮件的病毒检测软件可以在某些确定的事件发生时只扫描某些电子邮件附件。因此，不需要在病毒可能进入或在电子邮件系统内传播的每个时刻都检测病毒。

一些产品声称能扫描附加在电子邮件中的文件检测病毒。例如，Trend Micro Incorporated发布的“ScanMail for CC:Mail”能够扫描通过因特网接收的电子邮件附件。该程序是一个代理类型的软件，用其自己的代理邮局(病毒检测在其中进行)代替原来的邮局，并在检测病毒后将清洁的电子邮件发送到原来的邮局。这样，接收自网络外的电子邮件在进入系统的邮局前首先被扫描。(据说ScanMail通过在病毒到达工作站前截取和隔离cc:Mail邮局中的病毒来保护内部局域网。)但是，该架构不能扫描企业内部互联网的电子邮件消息。内部发送和接收的消息从不到达代理邮局，并因此不会被扫描。因而用户可以在组织内部通过电子邮件发送病毒。ScanMail不能检测在局域网内产生和存在的电子邮件附件中的病毒。

另一个声称能扫描电子邮件附件的是Trend Micro Devices公司发布的InterScan VirusWall。当它被安装在UNIX因特网网关上，InterScan VirusWall试图截取并扫描电子邮件附件，FTP传输数据，万维网下载，上载，及在家用电脑或局域网与外部世界间传输的数据。InterScan VirusWall由一个用于网关通信的FTP代理服务器和一个用于电子邮件的简单邮件传输协议(SMTP)代理服务器组成。与ScanMail应用软件一样，InterScan VirusWall程序只能通过因特网网关的电子邮件附件；它不能扫描在局域网内部传送的电子邮件附件。此外，InterScan应用程序运行在网关上并扫描单独的包，当网络上文件大于一个包的大小时，它可能对检测多态的病毒或压缩的文件不够有效。

Sybari发布的名为Antigen的产品将电子邮件附件传递给第三方病毒扫描工具以检测病毒。然而，如果病毒被检测出并被清除，Antigen不能将电子邮件附件重新附回到电子邮件消息上。尽管Antigen软件会将电子邮件附件提供给第三方软件，系统内的附件将保持受感染的状态，因为在Antigen软件与第三方软件之间没有一体化以激活第三方软件治愈在电子邮件附件中的病毒。

一些用于电子邮件的病毒检测程序在客户端运行，并且每当用户打开他或她的邮箱时扫描发送给该用户的电子邮件消息。这样的系统效率较低。病毒检测程序必须装载到每一个客户计算机；因此，如果有250个工作站，病毒检测程序必须被装载250次。如果遗漏了一个工作站，病毒也许就检测不出来。此外，当用户打开他或她的邮箱时，扫描在延迟的基础上进行。如果用户是不经常的电子邮件用户，在打开邮箱时也许有许多消息需要被扫描。受感染的电子邮件消息可能长时间未检测地驻存于未打开过的邮箱中，并可能由于自动的规则把收到的符合某些特征的电子邮件自动地转递而被传播给其他用户。

因而，需要一个计算机程序，该程序能够扫描并清除在电子邮件附件中的计算机病毒，而不损害电子邮件消息的附件。该程序能针对所有电子邮件消息，包括那些系统内部的电子邮件(例如，同一邮件服务器上的用户间的电子邮件)，那些发送给或接收自外部电子邮件系统的电子邮件，或那些已起草并存储于电子邮件服务器但没有被发送的电子邮件。

还需要一个集中式的系统，用于扫描电子邮件消息检测病毒，而不需要将抗病毒软件装载到网络的所有工作站上。

发明概述

在典型实施例中，本发明是一个随抗病毒软件一起使用的软件程序(这里称为代理)，用来检测并清除可能存在于电子邮件附件中的计算机病毒。

本发明的代理计算机程序从电子邮件消息中分离出电子邮件附件，使它被扫描以检测计算机病毒，(而且，如果需要，使任何检测出的计算机病毒被清除)，然后将附件重新附回电子邮件消息。对于所有电子邮件消息，本发明正确地工作，该消息包括(a)系统内部的电子邮件消息(此处称为企业内部互联网电子邮件)，(b)发送到或接收自一个外部电子邮件系统的电子邮件消息(此处称为因特网电子邮件)，(c)已起草并/或存储于电子邮件系统但尚未发送的电子邮件消息。

应当理解，不同于防火墙或代理邮局，本发明的代理从邮件系统内部运行，使扫描企业内部互连网的电子邮件附件成为可能。

因此，本发明将保证所有电子邮件消息将被扫描以保护内部电子邮件系统。

而且，一旦病毒被检测并从附件中清除后，该附件仍是电子邮件消息的一个有用部分，并能被电子邮件系统如常处理。

本发明的一个优势是它运行在服务器端，而不是在客户端。由此，代理只需被在每个邮件服务器上装载一次，而不是装载到网络的每台工作站或PC上。此外，电子邮件消息可以被扫描和杀毒而不管用户的电子邮件是否使用。因此，如果用户在休假中接收到许多电子邮件罅隙，它们将被扫描和杀毒，从而当用户返回时，他或她的邮箱将只包含没有病毒的电子邮件消息。

这样一种方法的效率通过类推现实世界的邮件递送可以看到。如果我们希望扫描所有信件来检测炸弹，在邮件交换中心设置一台扫描机器，当信件被分类时连续地扫描它们，比在每个个人家中设置一台扫描机器，在信件被递送后的每一天扫描一次更有效率。

在本发明的典型实施例中，代理浏览每一个在客户网络内生成的或接收自外部网络的电子邮件中的附件，从数据库或邮箱中分离出每个这样的附件，并发送这些附件到集成的或独立的抗病毒应用软件。代理能够在被抗病毒应用软件处理过后重新将附件附到电子邮件消息上。

此外，本发明的代理能够运行在服务器级，由此进行集中的病毒检测操作。一个用户的电子邮件可以被扫描以检测病毒而不需要该用户登录在网络上。此外，对电子邮件的扫描可以在有规律的，定期的基础上进行，而不是仅在发送，接收或阅读电子邮件时进行。

本发明提供一个应用程序界面，能够从一个网络服务器集中管理，因而不需要被安装在与集中管理的服务器连接的每台工作站上。

本发明的典型实施例的代理被设计为对许多电子邮件和数据库系统通用和兼容。

除基于定期地扫描外，本发明包括实时扫描能力，在接收新电子邮件消息时扫描电子邮件附件以检测病毒。

本发明的这些及其它的优点和特性对于本领域的技术人员在阅读了下面的发明详述并研究伴随的附图后将变得非常明显。

附图简述

图1是一个网络架构的块图，在该架构上本发明得以实施。

图2是本发明与电子邮件系统之间的模块通讯示意图。

图3是详细描述本发明的运行的流程图。

发明详述

现在参看附图，首先看图1，那里举例说明一个计算机网络，该网络是一个局域网(LAN)100，被配置用于运行本发明的一个代理程序110。

如在这里描述的，本发明运行在具有客户端/服务器架构的局域网上。但是，本发明不限于这样的网络或架构，举例来说，它能容易地被改造以运行在诸如对等网络或广域网上。而且，代理程序可以被集成到其它程序，或创建为其它程序的一部分，这些程序如网络操作系统，电子邮件程序，和/或病毒检测程序。

网络100包含一个服务器20，多个个人计算机(PC)10和工作站30，以及一个因特网网关40，所有这些通过通信线路15被连接在一起。如上所述，该网络配置仅是图示一个能够运行本发明的代理的网络架构类型的例子。服务器20及个人计算机10可以被编程以运行一个特定的电子邮件或数据库程序，如Lotus Notes程序或MicrosoftExchange程序。每个个人计算机通常包括一个输入设备16(例如键盘，鼠标，等)，一个输出设备12(例如，监视器)，一个处理器13及内存14；同样地，工作站30也可以包括一个输出设备32，输入设备36，处理器35及内存34。

此外，网关40为网络100提供到外部计算机网络，例如因特网42，的访问。本发明的代理110被配置为与提供给服务器20的电子邮件和数据库应用软件兼容。

为描述清晰起见，在此使用的例子中，本发明的典型实施例的代理110试图扫描由Lotus Notes程序生成，发送或接收的文件和消息的附件。为方便起见，术语“电子邮件消息”将被用于描述在邮件服务器内使用，由邮件服务器发送或接收的所有类型的文件，消息，广播和通信，该邮件服务器如Lotus Notes程序或支持附件的数据库程序。本发明的代理110还可以与其它支持电子邮件消息附件的网络邮件和数据库程序，如Microsoft的Exchange程序，Lotus的cc:mail，和BeyondMail一起运行。此外，代理110能够与公共文件夹和公共论坛(例如，一个区域，用户在上面张贴的消息能够被所有其他用户浏览)一起运行。

图2举例说明了被服务器20执行的本发明的典型实施例的软件成分。由服务器20执行的用于举例说明的有代表性的应用软件是LotusNotes程序。Lotus Notes服务器程序130被配置为在服务器29内向LAN100内的其它节点发送和从LAN100内的其它节点接收文件和电子邮件，那些节点包括因特网网关40。一个或多个数据库140(在此是Lotus Notes数据库140)存储已被接收，发送，起草或保存的电子邮件消息。(在Lotus Notes中，每个数据库被作为一个文件对待)。电子邮件消息的附件被随该消息存储在Lotus Notes数据库140中。邮件服务器130和数据库140一起可被认为是一个消息系统。网络的节点(例如10,30)可以包含客户端邮件程序，与邮件服务器130交互，允许用户创建，阅读，发送，保存，及编辑电子邮件消息。

抗病毒应用软件120扫描文件以检测病毒，并能够从任何受感染文件中清除病毒。在典型实施例中，抗病毒应用软件120是InocuLAN程序，由纽约Roslyn Heights的Cheyenne软件公司提供。InocuLAN程序可被认为包含两个子模块，即局部扫描模块和任务服务模块。InocuLAN程序被用作代理110的用户界面，例如，在扫描即将发生时设置时间，及报告扫描结果。

代理110分离出电子邮件消息的附件并传递给抗病毒软件应用软件120。

图3显示与本发明的代理110的运行相应的流程图，该代理与抗病毒应用软件120协作。尽管本发明的代理110对于数据库和电子邮件系统是通用的，为简单起见，下面将仅讨论对电子邮件消息的扫描。此外，假设对所有电子邮件消息(即，所有数据库和邮箱的所有附件文件)进行完全扫描。在步骤200，代理110确定在一个电子邮件消息中是否存在附件。如果不存在附件，代理110在步骤240确定整个邮件系统140是否已被扫描。如果整个邮件系统140已经被扫描，代理110停止运行。但是，如果整个邮件系统140未被扫描，代理110继续处理下一个电子邮件消息(步骤235)。如果在一个电子邮件消息中存在附件，代理110分离出附件(步骤205)，将附件发送给抗病毒应用软件120(步骤210)。如果抗病毒应用软件120在附件中没有检测出病毒，代理110将附件重新附到原来的电子邮件消息(步骤220)。

但是，如果抗病毒应用软件120在附件中检测出病毒的存在，一个警报被生成(步骤245)。这个警报可以被以多种方式构造。例如，警报可以包含一条系统范围的文本消息，被发送到LAN100中的每台PC10或工作站30，或网络管理员；或者警报可以包含被传递给生成或接受该受感染附件的网络节点的消息。这样的警报生成后，抗病毒应用软件120可以(如果这样配置了)删除受感染的附件(步骤250)。如此，附件被删除(步骤255)。在步骤255后，代理110确定整个邮件系统140是否已被扫描(步骤260)，如果已扫描，进程到达结束(步骤230)。如果整个邮件系统140没有被扫描，代理110处理下一个电子邮件消息(步骤235)。

如果受感染的附件在步骤250不被删除，抗病毒应用软件120在可能的情况下治愈受感染的附件(步骤270)。如果治愈了，附件被重新附上(步骤220)，如果还有电子邮件消息，代理110处理下一个电子邮件消息。代理110能够处理LAN100内部的电子邮件消息(包括企业内部互联网电子邮件消息)或通过网关40从因特网进入LAN100的电子邮件消息(因特网电子邮件消息)。

InocuLAN程序120将通过电子邮件系统或Cheyenne软件公司的Alert Generic Notification系统向指定的个人报警以警告用户，如此防止病毒的传播。InocuLAN的局部扫描工具和任务服务与代理110协作以在消息系统内实施病毒的扫描检测和清除，并保证一个无病毒的环境。

下面是可被用于实现本发明的代理110的APIs库的伪代码描述。代理110可被认为是APIs的一个高层次，通用的库。典型实施例的代理110可以和Lotus Notes及Micrisoft Exchange程序结合使用。代理10利用Lotus Notes API集，Micrisoft Exchange API集和M API来辅助其功能，例如，浏览，分离和重新粘附电子邮件附件。那些Lotus和Micrisoft APIs已出版，熟练的程序员将理解它们能够如何被配置以与代理110交互。代理110是这样一组可被抗病毒应用软件120使用以与邮件服务器程序130通信的APIs。

在下面的伪代码中，“MDA”是一个术语，意思为邮件数据库代理。“UID”是唯一的或普遍的标识符，用于识别一个电子邮件消息。这个例子假设LAN使用Windows NT网络操作系统。

MDAConnectAgent( )：建立到消息代理的连接。

    在任一个需要<agent_id>作为输入参数的MDA API调用前被调用。

    输入：

        Windows NT服务器名字。

        消息代理的名字。

        Windows NT用户登录名。

        用于登录的特征数据文件名(仅用于交换服务器)。

        以上述用户标识及用户特征数据文件登录时使用的口令。

    输出：

        <agent_id>，它是被返回的连接标识，可被后面的API调用用来跟踪当前的连接实例。

MDADisconnectAgent( )：断开与消息代理的当前连接，在每次MDA会话结束后被调用以释放资源。

    输入：

        <agent_id>

MDAGetAgentInfo( )：从代理处获得消息系统供应方信息。可以在MDAConnectAgent( )和MDADisconnectAgent( )之间任何时候被调用。

    输入：

        <agent_id>

        被<vendor>指向的缓冲区的大小

    输出：

        <vendor>，它是关于与代理对话的消息系统的信息。

MDAOpenDatabase( )：打开Lotus Notes数据库或ExchangeInformation Store。第一次调用以获得一个有效的数据库句柄。所有其它需要数据库句柄的MDA API调用然后可以被调用。MDAScanAllFindFirst( )或MDAScanDatabaseFindFirst( )将隐含地打开information store。

    输入：

        <agent_id>

        <dbname>，将被打开的输入Lotus Notes数据库名，对于Microsoft Exchange设置为空。

        <istoreUID>，将被打开的Exchange InformationStore的用户标识符，对于Lotus Notes设置为空。

    输出：

        <dbhandle>

MDACloseDatabase( )：关闭一个打开的Lotus Notes数据库或Exchange Information Store。被调用以释放分配的资源。

    输入

        <agent_id>

        <dbhandle>

MDAEnumObjects( )：在一个容器内列举子对象。对于Exchange和Lotus Notes，有三层对象，即，Agent,Mailbox/Public Istore，和Message。当<input_object_type>是MDA_OBJECT_AGENT时，返回一个Mailbox和Public Istore的列表。当<input_object_type>是MDA_OBJECT_MAILBOX或Istore，返回一个其中的消息列表。可以在MDAConnectAgent( )和MDADisconnectAgent( )之间任何时候被调用。

    输入：

         <agent_id>

         <input_object_type>--列举的输入对象的类型，可能的值为MDA_OBJECT_AGENT,MDA_OBJECT_MAILBOX及MDA_OBJECT_INFORMATIONSTORE。

         输入对象的显示名。

         输入对象的用户标识，仅用于Exchange。

         缓冲区的大小。

    输出：

         被返回对象的类型。

         包含子对象的显示名列表的缓冲区，由两个空字符结束。

         在上述缓冲区中返回的字节的数目。

         包含子对象的用户标识列表的缓冲区。

         在上述缓冲区中返回的字节的数目。

MDAGetAl1MsgUids( )：获取在openedMailBox或InformationStore中所有消息的消息用户标识列表。

    输入：

         <agent_id>

         <dbhandle>

         用户标识缓冲区的大小。

    输出：

         包含在Mailbox或Information Store中的消息的消息用户标识列表的缓冲区。

         在上述缓冲区中返回的字节的数目。

MDAGetObjectProperty( )：获取指定对象的感兴趣的特性。

MDAScanAllFindFirst( )：扫描整个消息系统并返回存储于系统中在<start_time>指定的时间标记后接收的所有附件文件的列表。如果<start_time>为0，所有附件将被扫描。将首先扫描PublicInformation Store，然后扫描Private Information Stores。该API将导致第一个Information Store被打开，并在AFILE中返回一个数据库句柄。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用，但不能在任何其它活动扫描序列内被调用。该API不能在活动数据库句柄存在时被调用。必须调用MDACloseFindHandle( )来结束一个扫描会话。

     输入：

         <agent_id>

         <start_time>，扫描开始时间。

     输出：

         <handle>，返回给当前扫描的调用者的搜索句柄，用于跟踪整个扫描序列。

         <afile>，系统中找到的第一个附件信息。

MDAScanAllFindNext( )：获取当前扫描的下一个附件信息结构。在一个MDAScan会话内被调用。该API调用可导致一个InformationStore被关闭，而另一个Information Store被打开。

     输入：

         <agent_id>

         <handle>

     输出：

         <afile>，系统中找到的下一个附件信息。

MDACloseFindHandle( )：关闭当前搜索句柄--将结束当前扫描。用一个活动句柄调用。可在一个MDAScanAllFindFirst( )，MDAScanAllFindNext( )，MDAScanDatabaseFindFirst( )或MDAScanDatabaseFindNext( )后被调用。

     输入：

         <agent_id>

         <handle>

MDAScanDatabaseFindFirst( )：扫描指定的Information Store并返回存储在那里的所有附件文件的列表。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用，但不能在任何其它活动扫描序列内被调用。

    输入：

        <agent_id>

        <path>，将被扫描的Lotus Notes数据库的路径名，仅用于Lotus Notes，否则设置为空。

        <istoreUID>，将被扫描的Information Store的用户标识--仅用于Exchange，否则设置为空。

        <start_time>

    输出：

        <handle>

        <afile>，存储中找到的第一个附件。

MDAScanDatabaseFindNext( )：获取当前扫描的下一个附件信息结构。该API在一个MDAScan会话内被调用。可在MDAConnectAgent()和MDADisconnectAgent()之间的任何时间被调用。

    输入：

        <agent_id>

        <handle>

    输出：

        <afile>，系统中找到的下一个附件。

MDADeleteFile( )：删除为分离附件创建的临时文件并清除附件。如果filePath不为空，删除由其指定的文件。如果afile或attachInfo不为空，进入消息并从中删除附件。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

    输入：

        <agent_id>

        <afile>，包含附件信息，以及当前信息存储的数据库句柄。

        <filePath>，临时文件的路径。

MDAExtractFile( )：将附件内容提取到一个临时文件中。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

    输入：

        <agent_id>

        <afile>

    输出：

        <filePath>

MDAAttachFile( )：将一个文件附到一个存在的附件上。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

    输入：

        <agent_id>

        <afile>

        <filePath>

MDAGetMailInfoFromAFile( )：将一个文件附到一个附件上。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

    输入：

        <agent_id>

        <afile>

    输出：

        <mail>，关于包含附件的消息的信息。一组指针指向实际数据所在的缓冲区。

        <buffer>，包含输出信息。

        上述缓冲区的大小。

MDAGetAttFileCountFromMessage( )：获取由消息标识指定的特定消息的附件文件列表。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

    输入：

        <agent_id>

        <dbhandle>

        <messageUID>，消息的用户标识。

      输出：

          该消息中的附件文件名列表。

          上述列表的大小。

MDASendMail( )：向指定用户发送邮件。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

      输入：

          <agent_id>

          <dbhandle>

          MessageUID

          将打开的邮箱名

          消息的接收者

          消息的发送者

          消息主题

          消息体

MDAGetError( )：从代理处获取错误信息。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

MDAGetMsgTime( )：获取指定消息的递送时间标记。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

      输入：

          <agent_id>

          <dbhandle>

          <msgUID>，被Exchange用于在邮箱中查找该消息。

      输出：

          时间标记。

MDAGetOwnerName( )：获取一特定附件文件的所有者的名字。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

      输入：

          <agent_id>

          <afile>

      输出：

          所有者的名字。

MDAEstimateAttFiles( )：在服务器上估计含晚于<start_time>时间标记的附件文件的大小和数目。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

      输入：

          <agent_id>

          <start_time>

      输出：

          附件文件的总数。

          所有附件文件大小的总和。

MDASetDetachedDir( )：将一个临时目录设置为分离目录。可在MDAConnectAgent( )和MDADisconnectAgent( )之间的任何时间被调用。

      输入：

          <agent_id>

          将被创建的分离目录路径。

MDAFreeResource( )：释放为指定的用户标识分配的资源。当前仅支持Exchange。

      输入：

          <agent_id>

          <uid>

      输出：

          成功或系统错误的标志。

扫描电子邮件附件可以在预定的或实时的基础上发生。当在预定的基础上扫描病毒时，用户利用抗病毒应用软件120指定扫描发生的时间间隔，例如每10分钟，每小时，等。在上一个时间间隔内邮件服务器程序130接收的电子邮件被扫描。如果没有新邮件被接收，则扫描不发生。这样，扫描何时发生受抗病毒应用软件120的控制。

每当一个电子邮件消息被用户接收，实时扫描将扫描该电子邮件而不管该用户是否连接到邮件服务器程序130，也不管用户是否阅读或访问该电子邮件消息。如果没有邮件被接收，扫描不发生。

这样，没有用户登录到PC10或工作站30对于触发本发明的代理110的运转是必须的。

在本发明的典型实施方案中，用于Microsoft的Exchange服务器程序的实时扫描能力如下实现和描述。它为Microsoft的Exchange服务器提供了实时扫描能力。即，一旦一个电子邮件消息被发送到一个邮箱，代理110立即被调用。如果存在附件，代理110将分离出所附的文件，并把它们发送给抗病毒应用软件120用于扫描。如果病毒被检测到，抗病毒应用软件120能够清除病毒并调用代理110重新附上受感染的文件。

实时APIs(如下描述)包括回调能力。抗病毒应用软件120提供对代理110的回调函数。当代理110发现一些为抗病毒应用软件120感兴趣的东西(在此是含附件的电子邮件消息)，代理110通知抗病毒应用软件120。在本发明的典型实施方案中，代理分离出附件并向抗病毒应用软件120提供附件的文件名以激活对附件的扫描。

下述伪代码描述了用于与Microsoft的Exchange程序相关的本发明的实时操作的APIs：

    函数

        RTConnectAgent( )；

        RTDisconnectAgent( )；

        RTGetError( )；

        RTSetDetachedDir( )；

        RTSetCallbackFunction( )；

        RTStartupNotification( )；

        RTShutdownNotification( )；

        RTSetExcludeFileExtension( )；

RTConnectAgent( )：建立到实时消息代理的连接。在任何需要<agent_id>作为输入参数的MDI API调用前被调用。

      输入：

        <server_name>

            Windows NT服务器名。

        <agent_name>

            消息代理的名字。

        <user_id>

            用户的Windows NT登录名。

        <userProfile>

            用于登录的特征数据文件名。

        <password>

            以上述用户标识和用户特征数据文件登录时使用的口令。

    输出：

        <agent_id>

            返回的连接标识，可被后续的API使用以跟踪当前连接实例。

RTDisconnectAgent( )：断开到消息代理的当前连接。在每个MDA会话结束后被调用以释放资源。

    输入：

        <agentID>

            当前连接的连接标识。RTSetExcludeFileExtension( )：设置inocuLan回调函数的地址。

    输入：

        <agentID>

            当前连接的连接标识。

        <excludeFlag>

            全部文件|全部排除|只用列表。

        <extCount>

            extString中扩展字符串计数。

        <extString>

            扩展字符串列表。

RTSetCallbackFunction( )：设置inocuLan回调函数的地址。

   输入：

       <agentID>

            当前连接的连接标识。

       <cbFunction>

            回调函数的地址。RTStartupNotification( )：启动实时通知。

   输入：

       <agentID>

            当前连接的连接标识。RTShutdownNotification( )：关闭实时通知。

   输入：

       <agentID>

            当前连接的连接标识。RTGetError( )：从代理处获取错误信息。

   输入：

       <agentID>

            当前连接的ConnectionID。

       <errcode>

            来自代理处的错误返回码。

   输出：

       <err_buff>

            包含错误信息的缓冲区。

       <buff_size>RTSetDetachedDir( )：设置临时目录为分离的目录。

   输入：

       <agentID>

            当前连接的连接标识。

       <detached_dir>将被创建的分离目录路径。

当然，上述实时扫描能力也可以为Microsoft Exchange之外的邮件服务器实现。例如，Lotus Notes数据库，其中每个数据库是一个文件，每当一条新的消息被放入该文件，该文件必须被打开。这样，利用操作系统级的程序接口(hooks)，代理110可以在新电子邮件消息被接收时通知抗病毒应用软件120。

应当理解，本发明是用Windows NT WIN32 APIs,Lotus Notes APIs,Microsoft Exchange APIs和MAPI建立的第一个基于服务器的抗病毒代理。客户端对于这样的抗病毒实体的存在是透明的。

而且，本发明的代理110是通用的代理，可以与任何抗病毒服务器程序接口。

本发明的典型实施方案的代理可利用包含计算机可读指令，如计算机程序的逻辑电路或计算机内存(例如，服务器20的存储设备)。逻辑电路或计算机内存的功能如上所述。计算机程序可被存储在硬盘，CD-ROM，或软盘上。

Claims (36)

1．为在含客户端-服务器架构及消息系统的计算机网络中使用，基于服务器的，用于检测并清除位于电子邮件消息的附件中的计算机病毒的方法包括如下步骤：

     提供一个扫描时间间隔；

     在服务器上，搜索消息系统以得到在前一个扫描时间间隔内消息系统接收的电子邮件消息的附件列表；

     在服务器上，将附件列表中的每一个附件传送给抗病毒检测模块用于扫描计算机病毒；

     在抗病毒检测模块，检测并清除附件列表中每一个附件中已知的计算机病毒；以及

     在服务器上，将每个附件重新附到电子邮件消息上。

2．权利要求1的方法，进一步包含经过每个扫描时间间隔重复该方法的步骤。

3．权利要求1的方法，其中电子邮件消息包含来自消息系统所在的客户端一服务器网络的工作站上的用户的电子邮件消息。

4．权利要求3的方法，其中电子邮件消息包含来自外部消息系统的电子邮件消息。

5．权利要求1的方法，其中电子邮件消息包含通过因特网接收到的电子邮件消息。

6．为在含邮件服务器的客户端-服务器计算机网络中使用，用于检测并清除位于电子邮件消息的附件的计算机病毒的方法包含如下步骤：

    A．设置一个扫描时间间隔；

    B．在服务器上，搜索邮件服务器以得到在前一个扫描时间间隔内向邮件服务器输入的电子邮件消息的附件列表；

    C．在服务器上，检测并清除附件列表中每一个附件中已知的计算机病毒；以及

    D．在服务器上，将每个附件重新附到邮件服务器的电子邮件消息上。

7．权利要求6的方法，进一步包含经过每个扫描时间间隔重复步骤B．至D．的步骤。

8．权利要求6的方法，其中步骤C．进一步包含将附件列表中的每一个附件传送给抗病毒检测模块用于扫描计算机病毒的步骤。

9．为在含邮件服务器的客户端-服务器计算机网络中使用，用于检测并清除位于电子邮件消息的附件的计算机病毒的方法包含如下步骤：

    A．获得扫描时间间隔；

    B．搜索邮件服务器以建立在前一个扫描时间间隔内向邮件服务器输入的电子邮件消息的附件列表；

    C．将附件列表中的每一个附件传送给抗病毒检测模块用于扫描计算机病毒；

    D．在抗病毒检测模块扫描并清除已知计算机病毒后，将每个附件重新附到邮件服务器的电子邮件消息上；以及

    E．经过每个扫描时间间隔重复步骤B．至D．。

10．为在含多个工作站和一个服务器的客户端-服务器计算机网络中使用，该服务器包含一个消息系统，基于服务器的用于检测并清除位于电子邮件消息的附件的计算机病毒的方法包含如下步骤：

在消息系统接收电子邮件消息；

在接收电子邮件消息时确定该电子邮件消息是否包含附件；

如果该电子邮件消息包含附件，将附件传递给抗病毒检测模块用于扫描计算机病毒；

在抗病毒检测模块，检测并清除附件中已知的计算机病毒；以及将每个附件重新附到电子邮件消息上。

11．权利要求10的方法，其中接收电子邮件消息的方法包含从外部计算机网络接收电子邮件消息的步骤。

12．权利要求10的方法，其中接收电子邮件消息的方法包含从工作站接收电子邮件消息的步骤。

13．在第一个含多个节点的计算机网络中，该第一个计算机网络被配置为运行一个电子邮件系统用于在多个节点间发送和接收多个电子邮件消息，该多个电子邮件消息的一个子集至少含一个相联系的附件，一种方法用于从多个电子邮件消息的附件中检测并清除计算机病毒，该方法包含如下步骤：

从该多个电子邮件消息的子集的每一个消息中分离出该至少一个的附件；

将该至少一个的附件传送给一个抗病毒应用程序；

依照抗病毒应用程序，扫描该至少一个的附件以检测至少一个计算机病毒；

从该至少一个的附件中清除该至少一个计算机病毒；以及

将该至少一个的附件重新附到多个电子邮件消息中相应的一个上。

14．根据权利要求13的方法，其中多个电子邮件消息中至少有一个来自与第一个计算机网络通讯的另一个计算机网络。

15．根据权利要求13的方法，其中多个电子邮件消息中至少有一个来自第一个计算机网络。

16．根据权利要求13的方法，其中附件不管是否被打开或被用户浏览都被扫描。

17．根据权利要求13的方法，其中附件不受用户干预地被扫描。

18．根据权利要求17的方法，其中多个电子邮件消息中至少有一个来自与第一个计算机网络通讯的另一个计算机网络。

19．在第一个含多个节点的计算机网络中，该第一个计算机网络被配置为运行一个电子邮件系统用于在多个节点间发送和接收多个电子邮件消息，该多个电子邮件消息的一个子集至少含一个相联系的附件，一种方法用于从至少一个附件中检测并清除至少一个计算机病毒，该方法包含如下步骤：

从该多个电子邮件消息的每一个中分离出该至少一个的附件；

确定该至少一个的附件是否被至少一个计算机病毒感染；

从该至少一个的附件中清除该至少一个计算机病毒；以及

将该至少一个的附件重新附到多个电子邮件消息中相应的一个上。

20．用于检测并清除位于电子邮件消息的附件中的计算机病毒的系统包括：

包含一个服务器计算机和多个客户端计算机的一个客户端-服务器计算机网络；

位于服务器计算机的用于控制电子邮件消息的分发的消息系统；

位于服务器计算机的用于扫描文件检测病毒的抗病毒模块；以及，

位于服务器计算机的代理，该代理提供抗病毒模块与消息系统之间的接口，并包含

    接收扫描时间间隔的装置；

    搜索消息系统以得到在前一个扫描时间间隔内消息系统接收的电子邮件消息的附件列表的装置；

    将附件列表中的每一个附件传送给抗病毒模块用于扫描计算机病毒的装置；以及

    将每个附件重新附到电子邮件消息上的装置。

21．权利要求20的系统，其中电子邮件消息包括来自计算机网络上客户端计算机的电子邮件消息。

22．权利要求21的系统，其中消息系统包括一个外部网关，电子邮件消息包括来自外部消息系统的电子邮件消息。

23．权利要求20的系统，其中电子邮件消息包括通过因特网连接接收的电子邮件消息。

24．在含一个服务器计算机和多个客户端计算机的客户端-服务器计算机网络中使用的抗病毒代理，该抗病毒代理辅助检测位于电子邮件消息的附件中的计算机病毒，包括：

包含电子邮件消息的邮件服务器；

设置扫描时间间隔的装置；

位于服务器计算机上，用于搜索邮件服务器以得到在前一个扫描时间间隔内向邮件服务器输入的电子邮件消息的附件列表的装置；

检测并清除附件列表中每一个附件中已知的计算机病毒的装置；以及

位于服务器计算机上，用于将每个附件重新附到邮件服务器的电子邮件消息上的装置。

25．权利要求24的系统，其中用于搜索的装置进一步包括将附件列表中每个附件传送给抗病毒检测模块用于扫描计算机病毒的装置。

26．在第一个含多个节点，并被配置为运行一个电子邮件系统用于在多个节点间发送和接收多个电子邮件消息的计算机网络中，该多个电子邮件消息的一个子集至少含一个相联系的附件，一个系统用于从多个电子邮件消息的附件中检测并清除计算机病毒，该系统包含：

从该多个电子邮件消息的子集的每一个消息中分离出该至少一个的附件的装置；

将该至少一个的附件传送给一个抗病毒应用程序的装置；

依照抗病毒应用程序，扫描该至少一个的附件以检测至少一个计算机病毒的装置；

从该至少一个的附件中清除该至少一个计算机病毒的装置；以及

将该至少一个的附件重新附到多个电子邮件消息中相应的一个上的装置。

27．权利要求26的系统，其中多个电子邮件消息中至少一个消息来自与第一个计算机网络通讯的另一个计算机网络。

28．权利要求26的系统，其中多个电子邮件消息中至少一个消息来自第一个计算机网络内部。

29．在第一个含多个节点，并被配置为运行一个电子邮件系统用于在多个节点间发送和接收多个电子邮件消息的计算机网络中，该多个电子邮件消息的一个子集至少含一个相联系的附件，一个系统用于从至少一个附件中检测并清除至少一个计算机病毒，该系统包含：

从该多个电子邮件消息的每一个中分离出该至少一个的附件的装置；

确定该至少一个的附件是否被至少一个计算机病毒感染的装置；

从该至少一个的附件中清除该至少一个计算机病毒的装置；以及

将该至少一个的附件重新附到多个电子邮件消息中相应的一个上的装置。

30．一个用于检测并清除位于电子邮件消息的附件中的计算机病毒的实时系统，包括：

    包含一个服务器计算机和多个客户端计算机的客户端-服务器计算机网络；

    位于服务器计算机的消息系统，用于控制电子邮件消息的分发，并包含多个信箱；

    位于服务器计算机的抗病毒模块，用于扫描文件以检测病毒；以及

    位于服务器计算机的代理，该代理提供抗病毒模块与消息系统之间的接口，每当一个电子邮件消息被传递给一个信箱时被激活，并包括：

    确定一个电子邮件消息是否包含附件的装置；

    从电子邮件消息中分离出附件的装置；

    激活抗病毒模块来扫描附件以检测计算机病毒的装置；以及

    将每一个附件重新附到电子邮件消息上的装置。

31．权利要求30的实时系统，其中检测的装置进一步包含将附件保存到一个文件的装置。

32．权利要求30的实时系统，其中激活的装置进一步包含向抗病毒模块通报保存附件的文件地址的装置。

33．权利要求30的实时系统，其中激活的装置进一步包含一个回调函数。

34．权利要求30的实时系统，其中电子邮件消息包含从计算机网络上的客户端计算机接收的电子邮件消息。

35．权利要求30的实时系统，其中代理提供消息系统与多个不同的抗病毒模块之间的接口。

36．权利要求30的实时系统，其中代理提供抗病毒模块与多个不同的消息系统之间的接口。

Images