[发明专利]感染文件检测方法、服务器、处理方法、装置和检测系统

权利要求书

1.一种感染文件的检测方法，包括：

根据客户端发送的待检测文件的文件特征值和内容特征值查询感染库中的记录；其中，感染库中保存的每条记录包括：文件特征值、被感染后的黑文件的内容特征值和未被感染的白文件的内容特征值；

如果待检测文件的文件特征值和内容特征值分别与感染库中的一条记录中的文件特征值和黑文件的内容特征值匹配，则确定该文件被感染；还包括：

根据感染库中该条记录中的白文件的内容特征值查询下载库中的记录；其中，下载库中保存的每条记录包括：白文件的内容特征值和白文件本身；

如果从下载库中查询到包括感染库中该条记录中的白文件的内容特征值的记录，则生成下载相应白文件本身的下载地址，向客户端返回待检测文件被感染的通知并将所述下载地址和白文件的内容特征值返回给客户端；

其中，所述下载地址和所述白文件的内容特征值用于指示客户端根据所述下载地址下载对应文件，并通过比对下载的对应文件的内容特征值与所述白文件的内容特征值，对下载的对应文件进行校验。

2.如权利要求1所述的方法，其中，

下载库中保存的每条记录还包括：白文件的大小信息；

该方法还包括：将白文件的大小信息与所述下载地址和白文件的内容特征值一起返回给客户端。

3.如权利要求1所述的方法，还包括：

如果根据待检测文件的文件特征值和内容特征值查询感染库，未查询到匹配的记录，则将待检测文件的文件特征值和内容特征值作为一条记录保存到日志库中。

4.如权利要求3所述的方法，还包括：

获取日志库中的一条记录，根据该记录中的文件特征值查询白文件样本库的记录，如果查询到匹配的记录，进一步将日志库中的该记录中的内容特征值与白文件样本库中所述匹配的记录中的白文件的内容特征值进行对比；其中，白文件样本库中的每条记录包括：文件特征值、白文件的内容特征值和白文件本身；

如果两者不相同，则确定日志库中的该记录对应的待检测文件为被感染后的黑文件，将该待检测文件对应的文件特征值和内容特征值以及相应白文件的内容特征值作为一条记录导入感染库中，将相应白文件的内容特征值和白文件本身作为一条记录导入下载库中。

5.如权利要求1-4中任一项所述的方法，其中，

所述文件特征值包括：文件的数字签名，和/或，文件的微特征；

所述文件的微特征通过如下方式获得：从文件中随机截取N段数据；对该N段数据分别进行哈希计算得到N个哈希值；将该N个哈希值拼接在一起得到一个字符串作为所述文件的微特征；其中N为自然数。

6.如权利要求5所述的方法，其中，从文件中随机截取N段数据进一步包括：

根据被感染的样本文件确定文件的易被感染位置，以及避开所述易被感染位置从文件中随机截取N段数据。

7.如权利要求6中任一项所述的方法，其中，

所述文件内容特征值包括：MD5值，和/或，SHA1值。

8.一种感染文件的处理方法，包括：

获取待检测文件的文件特征值和内容特征值，并发送到执行如所述权利要求1方法的服务器；

接收服务器返回的待检测文件被感染的通知，以及接收服务器返回的下载地址和白文件的内容特征值；

根据所述下载地址下载对应文件，并通过比对下载的对应文件的内容特征值与所述白文件的内容特征值，对下载的对应文件进行校验。

9.如权利要求8所述的方法，还包括：

接收服务器返回的白文件的大小信息；

通过比对下载的对应文件的大小信息与服务器返回的白文件的大小信息，对下载的对应文件进行进一步校验。