[发明专利]基于云安全的文件处理方法及装置

权利要求书

1.一种基于云安全的文件处理方法，包括：

扫描本地下载的未知程序文件，获取所述未知程序文件的文件特征，从所述文件特征中提取所述未知程序文件的签名相关信息，其中，所述签名相关信息为所述未知程序文件的可计算字段,所述未知程序文件为可移植的执行体PE文件，所述可计算字段为PE文件中除去PE校验段、签名段以及签名内容的剩余部分；

对所述可计算字段进行计算，将计算结果作为与所述未知程序文件唯一对应的签名标识；

发送查询请求至服务器端，查询所述未知程序文件是否是恶意程序，其中，所述查询请求携带有所述未知程序文件的签名标识以及所述未知程序文件的部分或全部文件特征；

当所述签名标识在所述服务器端匹配成功时，接收所述服务器端反馈的、与所述签名标识相对应的查杀方法，从所述服务器端下载所述服务器端根据接收到的所述未知程序文件的部分或全部文件特征生成的检测条件，判断所述未知程序文件是否满足所述检测条件，将判断结果上传所述服务器端，并根据所述服务器端的指令执行后续处理。

2.根据权利要求1所述的方法，所述文件特征包括下列至少之一：

MD5、SHA1、从文件中抽取部分内容计算出的特征值。

3.根据权利要求1所述的方法，所述检测条件包括下列至少一项：

PE加载的特定文件是否具有特定公司的有效签名；

PE加载的特定文件的内部名称、产品名称及公司名称是否为指定的名称；

系统中是否挂有特定的钩子；

特定的进程中是否具有特定的填充数据；

系统中是否有特定驱动模块或者设备对象存在；

特定的注册表是否指向特定的文件或者特定的唯一标识CLSID或者匹配特定的模式；

PE加载的进程链中是否存在安全性未知的文件。

4.根据权利要求1所述的方法，根据所述服务器端的指令执行后续处理，包括：

接收来自所述服务器端的所述未知程序文件可能感染恶意程序的提醒消息；和/或

接收来自所述服务器端的对所述未知程序文件进行查杀的查杀命令时，对所述未知程序文件进行查杀；和/或

在接收到用户界面触发的查杀指令时，通过服务端对所述未知程序文件进行查杀。

5.根据权利要求1至4任一项所述的方法，所述查杀方法包括：扫描/判定动作和/或修复动作。

6.一种基于云安全的文件处理方法，包括：

接收来自客户端的查询请求，其中，所述查询请求包括未知程序文件的签名标识以及所述未知程序文件的部分或全部文件特征，所述未知程序文件的文件特征是通过扫描所述未知程序文件获取的，从所述文件特征中提取所述未知程序文件的签名相关信息，所述签名相关信息为所述未知程序文件的可计算字段，所述签名标识为通过对所述未知程序文件的可计算字段进行计算得到的计算结果，所述未知程序文件为可移植的执行体PE文件，所述可计算字段为PE文件中除去PE校验段、签名段以及签名内容的剩余部分；

在数据库中，对所述签名标识进行匹配；

将匹配得到的查杀方法返回给所述客户端；

根据接收到的所述未知程序文件的部分或全部文件特征生成检测条件并发送至所述客户端；

接收来自所述客户端的检测结果；

根据所述检测结果发送相应指令。

7.根据权利要求6所述的方法，其特征在于，所述数据库包括：本地数据库和/或云端数据库。

8.根据权利要求6所述的方法，其特征在于，所述接收来自客户端的查询请求之前，包括：接收来自所述客户端的、所述未知程序文件的文件特征。

9.根据权利要求6所述的方法，其特征在于，根据所述检测结果发送相应指令，包括：

根据所述检测结果发送所述未知程序文件可能感染恶意程序的提醒消息至所述客户端；和/或

根据所述检测结果发送相应命令，其中，所述相应命令包括对所述未知程序文件进行查杀的查杀命令，以及，对安全文件进行放行的命令。