[发明专利]文件检测方法、装置和终端设备

权利要求书

1.一种文件检测方法，其特征在于，包括：

打开待检测文件，将所述待检测文件存储为临时文件；

如果所述临时文件为可执行文件，则获取所述临时文件的头部信息，根据所述临时文件的头部信息，判断所述临时文件是否被预链接过，其中，所述获取所述临时文件的头部信息包括：对所述临时文件进行解析，将解析后的临时文件组织成结构体对象；从所述结构体对象中获取所述临时文件的头部信息；

如果是，则对所述临时文件执行去预链接操作，对执行去预链接操作之后的临时文件进行哈希计算，获得所述待检测文件的文件标识码；

将所述待检测文件的文件标识码和所述待检测文件发送给服务器，以便所述服务器将所述待检测文件的文件标识码与所述服务器中相同文件的文件标识码进行比对，确定所述待检测文件是否被病毒恶意修改。

2.根据权利要求1所述的方法，其特征在于，所述对所述临时文件执行去预链接操作，对执行去预链接操作之后的临时文件进行哈希计算，获得所述待检测文件的文件标识码包括：

对所述结构体对象执行去预链接操作，将执行去预链接操作后的结构体对象转换为待检测文件的结构；

对转换获得的待检测文件的结构进行哈希计算，获得所述待检测文件的文件标识码。

3.根据权利要求1所述的方法，其特征在于，所述判断所述临时文件是否被预链接过之后，还包括：

如果所述临时文件未被预链接过，则对所述临时文件进行哈希计算，获得所述待检测文件的文件标识码。

4.根据权利要求1-3任意一项所述的方法，其特征在于，所述打开待检测文件，将所述待检测文件存储为临时文件之后，还包括：

如果所述临时文件不是可执行文件，则直接对所述临时文件进行哈希计算，获得所述待检测文件的文件标识码。

5.根据权利要求1-3任意一项所述的方法，其特征在于，所述打开待检测文件，将所述待检测文件存储为临时文件之后，还包括：

判断所述临时文件的文件大小是否小于或等于预定的文件大小阈值；

如果是，则执行如果所述临时文件为可执行文件，则根据所述临时文件的头部信息，判断所述临时文件是否被预链接过的步骤。

6.一种文件检测装置，其特征在于，包括：

打开模块，用于打开待检测文件；

存储模块，用于将所述打开模块打开的待检测文件存储为临时文件；

判断模块，用于当所述临时文件为可执行文件时，根据所述临时文件的头部信息，判断所述临时文件是否被预链接过，其中，所述判断模块包括：获取子模块，用于获取所述临时文件的头部信息；文件判断子模块，用于根据所述获取子模块获取的所述临时文件的头部信息，判断所述临时文件是否被预链接过，所述获取子模块，具体用于对所述临时文件进行解析，将解析后的临时文件组织成结构体对象；从所述结构体对象中获取所述临时文件的头部信息；

计算模块，用于当所述判断模块确定所述临时文件被预链接过时，对所述临时文件执行去预链接操作，对执行去预链接操作之后的临时文件进行哈希计算，获得所述待检测文件的文件标识码；

发送模块，用于将所述计算模块获得的所述待检测文件的文件标识码和所述待检测文件发送给服务器，以便所述服务器将所述待检测文件的文件标识码与所述服务器中相同文件的文件标识码进行比对，确定所述待检测文件是否被病毒恶意修改。

7.根据权利要求6所述的装置，其特征在于，

所述计算模块，具体用于对所述结构体对象执行去预链接操作，将执行去预链接操作后的结构体对象转换为待检测文件的结构，以及对转换获得的待检测文件的结构进行哈希计算，获得所述待检测文件的文件标识码。

8.根据权利要求6所述的装置，其特征在于，

所述计算模块，还用于当所述判断模块确定所述临时文件未被预链接过时，对所述临时文件进行哈希计算，获得所述待检测文件的文件标识码。