[发明专利]感染文件检测方法、服务器、处理方法、装置和检测系统

说明书

本发明公开了一种感染文件的检测方法、处理方法、检测服务器、处理装置和检测系统。所述检测方法包括：根据客户端发送的待检测文件的文件特征值和内容特征值查询感染库中的记录；其中，感染库中保存的每条记录包括：文件特征值、被感染后的黑文件的内容特征值和未被感染的白文件的内容特征值；如果待检测文件的文件特征值和内容特征值分别与感染库中的一条记录中的文件特征值和黑文件的内容特征值匹配，则确定该文件被感染。通过本发明的技术方案，可以及时有效地确定待检测文件是否被感染，进一步将可以感染信息及时通知给用户，以便用户及时进行相应的处理。

技术领域

本发明涉及计算机技术领域，具体涉及一种感染文件的检测方法、处理方法、检测服务器、处理装置和检测系统。

背景技术

随着智能终端在功能上的不断发展，各种各样基于智能终端开发的应用程序出现在市面中，以供用户下载安装，满足用户的各种需求。应用程序安装后，在其安装目录下会有很多安装文件，但是不排除应用程序被感染(病毒感染或篡改)的可能，而且一旦其中一个文件被感染，导致该应用程序无法使用或者应用程序使用过程中的安全性低。例如，有些安装文件被感染后，会导致应用程序打不开或者一打开就报错；有些带有用户信息的文件被感染，则用户再次输入用户信息时就会被窃取，使用安全性降低。

所以，急需一种如何确定应用程序中的安装文件是否被感染的方法或设备。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的感染文件的检测方法、处理方法和相应的检测服务器、处理装置和检测系统。

依据本发明的一个方面，提供了一种感染文件的检测方法，包括：

根据客户端发送的待检测文件的文件特征值和内容特征值查询感染库中的记录；其中，感染库中保存的每条记录包括：文件特征值、被感染后的黑文件的内容特征值和未被感染的白文件的内容特征值；

如果待检测文件的文件特征值和内容特征值分别与感染库中的一条记录中的文件特征值和黑文件的内容特征值匹配，则确定该文件被感染。

可选地，根据感染库中该条记录中的白文件的内容特征值查询下载库中的记录；其中，下载库中保存的每条记录包括：白文件的内容特征值和白文件本身；

如果从下载库中查询到包括感染库中该条记录中的白文件的内容特征值的记录，则生成下载相应白文件本身的下载地址，向客户端返回待检测文件被感染的通知并将所述下载地址和白文件的内容特征值返回给客户端。

可选地，下载库中保存的每条记录还包括：白文件的大小信息；

该方法还包括：将白文件的大小信息与所述下载地址和白文件的内容特征值一起返回给客户端。

可选地，如果根据待检测文件的文件特征值和内容特征值查询感染库，未查询到匹配的记录，则将待检测文件的文件特征值和内容特征值作为一条记录保存到日志库中。

可选地，获取日志库中的一条记录，根据该记录中的文件特征值查询白文件样本库的记录，如果查询到匹配的记录，进一步将日志库中的该记录中的内容特征值与白文件样本库中所述匹配的记录中的白文件的内容特征值进行对比；其中，白文件样本库中的每条记录包括：文件特征值、白文件的内容特征值和白文件本身；

如果两者不相同，则确定日志库中的该记录对应的待检测文件为被感染后的黑文件，将该待检测文件对应的文件特征值和内容特征值以及相应白文件的内容特征值作为一条记录导入感染库中，将相应白文件的内容特征值和白文件本身作为一条记录导入下载库中。

可选地，所述文件特征值包括：文件的数字签名，和/或，文件的微特征；

所述文件的微特征通过如下方式获得：从文件中随机截取N段数据；对该N段数据分别进行哈希计算得到N个哈希值；将该N个哈希值拼接在一起得到一个字符串作为所述文件的微特征；其中N为自然数。