一种系统文件修复的方法、装置及系统的制作方法

一种系统文件修复的方法、装置及系统的制作方法
【专利摘要】本发明公开了一种系统文件修复的方法、装置及系统，涉及计算机安全领域，为解决在有隔离网的情况下，终端中的系统文件无法得到及时修复的问题而发明。本发明的方法包括：在隔离网环境下，服务器接收终端上报的数据请求，数据请求包括终端侧的感染系统文件的文件标识；服务器对数据请求进行响应，通过离线方式将文件标识发送给外网；服务器通过离线方式接收外网发送的对应文件标识的系统文件；服务器将系统文件下发给终端，以便终端根据系统文件对感染系统文件进行修复。本发明主要用于对被病毒感染的系统文件进行修复的过程中。
【专利说明】一种系统文件修复的方法、装置及系统

【技术领域】
[0001]本发明涉及计算机安全领域，尤其涉及一种系统文件修复的方法、装置及系统。

【背景技术】
[0002]随着计算机技术的不断发展及互联网的广泛应用，木马、病毒及恶意插件等恶意程序也日益猖獗，人们的隐私、数据的安全及系统的正常运行等方面面临着严重的挑战，计算机安全问题也成为人们关注的首要问题。当终端上的文件被病毒感染后，将影响其正常运行，尤其对终端操作系统中的系统文件而言，如果被感染可能会导致操作系统的崩溃，将严重影响终端的正常运行。
[0003]为保证终端的正常运行，可以通过本地修复和在线修复两种方式对终端中的系统文件进行修复。对于在线修复的方式而言，终端在系统文件感染病毒后，向服务器获取用于替换感染系统文件的正常文件，并在本地以该正常系统文件对感染系统文件进行替换，从而完成系统文件的修复。
[0004]目前，越来越多的组织开始对自己的运营体系部署隔离网，通过隔离网对互联网进行物理隔离以控制数据的访问，从而避免隔离网内部的外流。由于隔离网阻隔了数据的外流，使得服务器本地文件库无法与外网进行数据交互，进而导致服务器本地文件库无法得到及时更新，一旦服务器本地文件库中没有感染文件所对应的替换文件，那么终端中的感染文件将无法得到及时的修复。


【发明内容】

[0005]鉴于上述问题，本发明提供一种系统文件修复的方法、装置及系统，用以解决在隔离网环境下，终端中的系统文件无法得到及时修复的问题。
[0006]为达到上述目的，本发明主要提供如下技术方案:
[0007]一方面，本发明实施例中提供了一种系统文件修复的方法，该方法包括:
[0008]在隔离网环境下，服务器接收终端上报的数据请求，所述数据请求包括终端侧的感染系统文件的文件标识；
[0009]所述服务器对所述数据请求进行响应，通过离线方式将所述文件标识发送给外网；
[0010]所述服务器通过离线方式接收所述外网发送的对应所述文件标识的系统文件；
[0011]所述服务器将所述系统文件下发给所述终端，以便所述终端根据所述系统文件对所述感染系统文件进行修复。
[0012]另一方面，本发明实施例中还提供一种系统文件修复的装置，该装置包括:
[0013]接收单元，用于在隔离网环境下，接收终端上报的数据请求，所述数据请求包括终端侧的感染系统文件的文件标识；
[0014]发送单元，用于对所述上报单元上报的所述数据请求进行响应，通过离线方式将所述文件标识发送给外网；
[0015]所述接收单元，还用于通过离线方式接收所述外网根据所述发送单元发送的文件标识所发送的对应所述文件标识的系统文件；
[0016]所述发送单元，还用于将所述接收单元接收到的所述系统文件下发给所述终端，以便所述终端根据所述系统文件对所述感染系统文件进行修复。
[0017]又一方面，本发明实施例中又提供一种系统文件修复的系统，该系统包括服务器和终立而；
[0018]所述终端，用于检测本地是否存在感染系统文件，当检测到本地存在所述感染系统文件时，向所述服务器上报数据请求，所述数据请求包括终端侧的感染系统文件的文件标识；
[0019]所述服务器，用于对所述数据请求进行响应，将所述文件标识离线发送给外网，离线接收所述外网发送的对应所述文件标识的系统文件，并将所述系统文件下发给所述终端;
[0020]所述终端，还用于将所述服务器下发的所述系统文件替换对应的感染系统文件，完成对所述感染系统文件的修复。
[0021]借由上述技术方案，本发明提供的系统文件修复的方法、装置及系统，在隔离网的环境下，服务器接收终端上报的数据请求并对该数据请求响应，将数据请求中包括的文件标识通过离线方式发送给外网，并通过离线方式接收外网发送的对应该文件标识的系统文件，服务器将该系统文件下发给终端，以便终端根据该系统文件完成对感染系统文件的修复。与现有技术相比，本发明实施例能够在服务器未保存终端所需的系统文件的情况下，由服务器通过离线方式发送感染系统文件的文件标识给外网，并通过离线方式接收外网发送的系统文件，保证了在隔离网环境中数据安全的同时，达到了及时修复终端中感染系统文件的目的，进而维护了整个运营体系的安全。
[0022]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。

【专利附图】

【附图说明】
[0023]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0024]图1示出了本发明实施例中提供的一种系统文件修复的方法流程图；
[0025]图2示出了本发明实施例中提供的一种系统文件修复的装置结构示意图；
[0026]图3示出了本发明实施例中提供的另一种系统文件修复的装置结构示意图；
[0027]图4示出了本发明实施例中提供的一种系统文件修复的系统结构示意图。

【具体实施方式】
[0028]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0029]操作系统(Operating System,简称OS)是管理和控制计算机硬件与软件资源的计算机程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。终端上比较常用的操作系统，如:WindowS、Linux及安卓等。
[0030]系统文件是在操作系统文件夹中存放的主要文件，一般在操作系统安装过程中自行创建并将相关文件放在对应的文件夹中，这里面的系统文件直接影响系统的正常运行，多数不允许随意改变。系统文件的安全性对维护计算机系统的稳定具有非常重要作用。
[0031]为了解决在隔离网的环境下，终端中的感染系统文件无法得到及时的修复的问题，本发明实施例提供了一种系统文件修复的方法，如图1所示，该方法包括:
[0032]步骤101，服务器接收终端上报的数据请求。
[0033]实施例中，首先，终端会对本地进行病毒查杀，查找本地是否有被病毒感染的感染系统文件。其中，终端对本地查找感染系统文件的时机可以是周期性的，如每天查找一次；还可以是实时的对本地的感染系统文件进行查找；还可以根据指令进行查找，如当用户需要在某一时间对本地进行感染系统文件的查找时，终端可以根据用户下发操作指令进行感染系统文件的查找。其次，终端对本地的感染系统文件进行查找时，可以是对本地的所以系统文件进行扫描，还可以快速查找感染系统文件，有选择性的对系统文件进行扫描，如可以根据系统文件的易感染程度或重要程度等设定优先级，对优先级高于某一设定阈值的系统文件进行扫描，以便快速的查找出感染系统文件。最后，终端对本地感染系统文件查找时，可以通过多种方式将感染系统文件和正常系统文件进行区分，如可以通过将正常系统文件的特征与所要扫描的系统文件进行匹配识别，还可以根据系统文件的行为特征进行判断是否为感染系统文件。
[0034]当终端发现本地有感染系统文件时，终端会生成数据请求上报给服务器。其中，数据请求包括感染系统文件的文件标识。
[0035]具体的，文件标识包括:信息摘要算法5值MD5、数字签名、存储路径、文件名称、文件版本号、文件大小、文件摘要信息及文件类型。此外，文件标识还可以是上述至少两种参数的组合，例如文件标识为文件名称与存储路径的组合，或者是文件签名、文件名称及文件摘要的组合。
[0036]服务器接收终端上报的数据请求，并将该数据请求进行存储。
[0037]步骤102，服务器对数据请求进行响应，通过离线方式将文件标识发送给外网。
[0038]实施例中，当服务器接收到终端上报的数据请求之后，服务器对该数据请求进行响应。服务器提取数据请求中感染系统文件的文件标识，将该文件标识通过离线方式发送到外网。
[0039]具体的，由于实施例是在隔离网的环境中进行的，而由于隔离网存在，限制了服务器与外网的数据交互，因此，需要通过离线方式将文件标识发送给外网。其中，实施例中外网是指互联网，还可以是隔离网之外的其他网络。在服务器发送文件标识给外网过程中，一定要保证服务器中的其他数据不被传输到外网中，以防止数据的泄露的风险。由此在保证感染系统文件的文件标识可以发送给外网的同时，应防止其他数据的外泄。实施例中，可以对隔离网进行设置，如对向外传输的数据进行检测，是否为所需传输的数据；还可以通过建立专用通道等方式进行设置。
[0040]步骤103，服务器通过离线方式接收外网发送的对应文件标识的系统文件。
[0041]实施例中，当服务器将感染系统文件的文件标识发送给外网之后，外网会根据该文件标识将与该文件标识想对应的正常的系统文件通过离线方法发送给服务器。
[0042]具体的，由于实施例是在隔离网的环境中，而隔离网的作用就是为了防止数据外泄及外部非法数据的流入，维护隔离网环境中系统的安全。因此，在服务器能够接收到外网发送的系统文件的同时，还要检测这些系统文件是否存在安全隐患。如检测外网发送给的系统文件是否包含了如病毒、木马及恶意程序等。以防止外部非法数据的流入，进而对隔离网环境中系统的正常运行造成一定风险。因此，需要采取一定的措施，例如可以建立专用通道等离线方式接收外网发送的系统文件。
[0043]步骤104，服务器将系统文件下发给终端，以便终端根据系统文件对感染系统文件进行修复。
[0044]实施例中，当服务器接收到外网发送的系统文件后，并且该系统文件为正常所需的系统文件，那么服务器会将该系统文件依据之前终端发送给服务器的数据请求，将该系统文件下发给终端。终端接收到系统文件后，会将该系统文件替换感染系统文件。如果终端在上报数据请求给服务器之后，收到服务器下发系统文件之前，检测到又有相同新的系统文件被感染，那么终端会记录感染系统文件的路径等信息，当终端接收到服务器下发的系统文件之后，会根据检测到感染系统文件的路径等信息对感染系统文件进行替换，达到修复感染系统文件的目的。如果终端又发现了新的感染系统文件，那么终端重新生成数据请求，并将数据请求上报给服务器，以接收服务器下发与该数据请求中文件标识相对应的系统文件。
[0045]本发明实施例中提供的系统文件修复的方法，在隔离网的环境下，服务器接收终端上报的数据请求并对该数据请求响应，将数据请求中包括的文件标识通过离线方式发送给外网，并通过离线方式接收外网发送的对应该文件标识的系统文件，服务器将该系统文件下发给终端，以便终端根据该系统文件完成对感染系统文件的修复。与现有技术相比，本发明实施例能够在服务器未保存终端所需的系统文件的情况下，由服务器通过离线方式发送感染系统文件的文件标识给外网，并通过离线方式接收外网发送的系统文件，保证了在隔离网环境中数据安全的同时，达到了及时修复终端中感染系统文件的目的，进而维护了整个运营体系的安全。
[0046]进一步的，作为对图1方法的细化，在本发明的另一实施例中，上述步骤102和步骤103中所涉及的离线方式包括以下几种方式:
[0047]a、通过离线工具发送文件标识并接收系统文件
[0048]实施例中，服务器可以通过离线脚本工具与外网建立通信连接，通过建立的通信连接将文件标识发送给外网，并通过该通信连接接收外网发送的系统文件。
[0049]需要说明的是，在服务器通过离线工具与外网建立通信连接时，需要保证该通信连接为专有连接，即服务器在利用该通信连接向外网发送数据时，只能是文件标识，其他的数据不能发送给外网，以保证隔离网内部的数据不外泄，维护了运营系统的数据安全。并且服务器在利用该通信连接接收外网发送的数据时，仅能下载系统文件，其他外网中的数据不能通过隔离网传输到隔离网中，以防止带有病毒等数据进入到隔离网内部，给运营系统带来风险。实际应用中，可以在服务器侧的路由器上进行设置，通过数据包解析的方式对涉及病毒特征的数据进行识别。
[0050]b、通过物理存储介质进行数据交互
[0051]在本实施例的另一种实现方式中，还可以将文件标识导入到物理存储介质中，将物理存储介质连接到外网当中获取所需的系统文件，然后将物理存储介质连接到服务器上，服务器将物理存储介质上的保存到本地系统文件库中，并发下发给终端。
[0052]具体的，在实际应用中，包含存储装置及输入输出装置的有源或无源设备均可作为物理存储介质。物理存储介质在存储系统文件时，物理存储介质通过输入输出装置与外网建立通信连接，将文件标识发送给外网，然后物理存储介质接收外网发送的系统文件。当服务器需要提取物理存储介质中的系统文件时，物理存储介质通过输入输出装置与服务器建立通信连接，从而获取系统文件。其中，服务器根据文件标识获取物理存储介质中的系统文件。
[0053]具体的，为防止其他没有授权的物理存储介质接入到隔离网中，在服务器与物理存储介质之间建立通信连接后，服务器侧的路由器还可以预先设置授权物理存储介质的IP地址，路由器可以通过IP地址对授权物理存储介质的身份识别，从而排除其他物理存储介质的接入。
[0054]需要说明的是，为保证隔离网内的数据安全，应当在使用物理存储介质前对物理存储介质进行格式化处理，并且在向隔离网导入数据前，对物理存储介质中的文件数据进行较高等级的病毒查杀。
[0055]C、通过专用的物理链路与外网进行数据交互
[0056]实施例中，由于隔离网与外网之间已有的通信链路已被“切断”，因此隔离网还可以通过专有用于发送文件标识和接收系统文件的物理链路来获取系统文件。实际应用中，上述物理链路的形式可以分为有线链路或无线链路，外网可以采用TCP/IP通讯协议的传输方式接收文件标识及发送系统文件。
[0057]d、建立隔离沙箱，在隔离沙箱环境下通过已有通信连接与外网进行数据交互
[0058]实施例中，服务器可以在网络隔离状态下建立一个隔离沙箱，并在沙箱环境下解禁隔离网与外网之间的数据隔离。在沙箱环境下，服务器通过网络已有的通信连接获向外网发送文件标识，获取与该文件标识想对应的系统文件。
[0059]需要说明的是，在本实现方式中，服务器侧的路由器需要对沙箱环境下接收的系统文件进行解析，防止其他无关的数据进入到隔离网中。此外，服务器还应当对沙箱环境下接收的系统文件进行查杀，保证隔离网的数据安全。
[0060]进一步的，在本发明的另一实施例中，上述步骤102和步骤103中服务器通过离线方式发送文件标识给外网及通过离线方式接收外网发送的系统文件的时机包括以下几种:
[0061]a、服务器周期性的与外网进行数据交互
[0062]具体的，服务器可以选择周期性的将终端上报的数据请求中包括的文件标识发送给外网。例如，服务器可以将终端上报的文件标识进行归整为文件标识集合，每6个小时将该文件标识集合发送给外网。外网收到服务器发送的文件标识后，会发送对应的系统文件给服务器，服务器可以设定周期时间，如每8个小时接收一次公网发送的系统文件。
[0063]b、服务器根据用户操作指令与外网进行数据交互
[0064]具体的，用户一般可以指管理员(负责终端或服务器的运行管理人员)，终端有感染系统文件，并且该感染系统文件对终端系统造成的影响较大，或者该感系统染文件具有很大的潜在风险时，当终端将该感染系统文件的文件标识上报给服务器后，服务器可以根据管理员的指令，立即将该文件标识发送给外网；服务器也可以根据管理员发出的指令，在某一时间将该文件标识发送给外网。当外网将该文件标识对应的系统文件发送给服务器时，服务器可以根据管理的指令，立即接收该系统文件；或者，根据管理员的指令，在某一时间接收该系统文件。
[0065]c、服务器在空闲时间段与外网进行数据交互
[0066]具体的，根据服务器的运行状态，如服务器在某些时段运行较为繁忙，占用的资源较多，某些时段又比较空闲，那么服务器可以选择在空闲的时间段发送终端上报的文件标识，及在空闲时间段接收外网发送的系统文件。这样可以提高服务器的运行效率。例如，一般晚上时间服务器比较空闲，可以充分利用服务器空闲的时间与外网的数据交互，以获得所需的系统文件。
[0067]d、服务器实时的与外网进行数据交互
[0068]具体的，当接收到终端上报的数据请求时，服务器可以立即将该数据请求中包括的文件标识发送给外网；当接收到外网发送的系统的文件时，服务器可以立即进行接收，以便及时的对感染系统文件进行修复。
[0069]进一步的，服务器接收终端上报的数据请求，在对该数据请求响应之前，服务器会根据该数据请求中包括的文件标识查找本地系统文件库，如果查找到本地系统文件库中包括与文件标识相对应的系统文件时，则服务器直接将该系统文件发送给终端，以便终端能够对感染系统文件进行修复。在这种情况下，服务器也就无需将文件标识发送给外网。
[0070]进一步的，当服务器从外网接收到系统文件后，将该系统文件添加到服务器本地系统文件库中，用以对本地系统文件库进行更新。随着服务器本地系统文件库的不断更新，当终端再次发现有感染系统文件时，服务器可以直接中本地系统文件库中下发终端所需的系统文件，以便终端及时的修复感染系统文件。这样可以减少服务器与外网的数据交互，在提高了效率的同时，也降低了隔离网内数据外流的风险，维护了运营系统中数据的安全。
[0071]进一步的，当终端检测到本地有感染系统文件时，禁止系统的报毒功能。在实际应用当中，当终端检测到本地有感染系统文件时，系统不需要向用户或者服务器发出感染系统文件的报警提示。在隔离网的环境下，由于终端无法与外网进行数据交互，因此即使终端向用户发出报警提示，用户也无法采取有效的措施修复感染系统文件；当然，终端向服务器发出报警提示也没有必要，终端只需将感染系统文件的文件标识发送给服务器即可。根据本发明提供的上述实施例可知，服务器会将获取到的系统文件发送给终端，使得终端能够及时修复感染系统文件。在另一应用场景中，当终端检测到本地有感染系统文件时，可以向用户发出感染系统文件的报警提示，并且还可以显示修复感染系统文件的过程，当终端将感染系统文件修复后，终端向用户提示感染系统文件修复完成的提示，并且生成日志进行存储。
[0072]进一步的，作为对上述各实施例的实现，本发明实施例还提供了一种系统文件修复的装置，该装置位于服务器中，并通过离线方式接收向外网发送文件标识及通过离线方式接收外网发送的系统文件，用于对终端中感染系统文件的修复，如图2所示，该装置包括:接收单元10、发送单元20。其中:
[0073]接收单元10，用于在隔离网环境下，接收终端上报的数据请求，所述数据请求包括终端侧的感染系统文件的文件标识；
[0074]发送单元20，用于对所述接收单元10上报的所述数据请求进行响应，通过离线方式将所述文件标识发送给外网；
[0075]接收单元10，还用于通过离线方式接收所述外网根据发送单元20发送的文件标识所发送的对应所述文件标识的系统文件；
[0076]发送单元20，还用于将所述接收单元10接收到的所述系统文件下发给所述终端，以便所述终端根据所述系统文件对所述感染系统文件进行修复。
[0077]进一步的,如图3所示,发送单元20,包括:
[0078]工具发送模块21，用于通过离线工具与外网建立通信连接，并通过通信连接将文件标识发送给外网；
[0079]介质发送模块22，用于将文件标识发送给物理存储介质；
[0080]物理发送模块23，用于通过专用的物理链路将文件标识发送给外网；
[0081]沙箱发送模块24，用于建立隔离沙箱，在隔离沙箱环境下通过已有通信连接将文件标识发送给外网。
[0082]进一步的,如图3所示,接收单元10,包括:
[0083]工具接收模块11，用于通过离线工具与外网建立通信连接，并通过通信连接接收外网发送的系统文件；
[0084]介质接收模块12，用于接收物理存储介质发送的系统文件；
[0085]物理接收模块13，用于通过专用的物理链路接收外网发送的系统文件；
[0086]沙箱接收模块14，用于建立隔离沙箱，在隔离沙箱环境下通过已有通信连接接收外网发送的系统文件。
[0087]进一步的，如图3所示，实施例中系统文件修复的装置还包括:查找单元30 ；
[0088]查找单元30，用于根据接收单元10接收到的文件标识查找本地系统文件库；
[0089]发送单元20，还用于当查找单元30查找到对应所述文件标识的系统文件时，直接将查找单元30查找到的系统文件下发给终端，并结束后续流程。
[0090]进一步的，如图3所示，实施例中系统文件修复的装置还包括:
[0091]更新单元40，用于将接收单元10接收的系统文件添加到本地系统文件库中。
[0092]本发明实施例中提供的系统文件修复的装置，在隔离网的环境下，服务器接收终端上报的数据请求并对该数据请求响应，将数据请求中包括的文件标识通过离线方式发送给外网，并通过离线方式接收外网发送的对应该文件标识的系统文件，服务器将该系统文件下发给终端，以便终端根据该系统文件完成对感染系统文件的修复。与现有技术相比，本发明实施例能够通过离线方式发送感染系统文件的文件标识给外网，并通过离线方式接收外网发送的系统文件，保证了在隔离网环境中数据安全的同时，达到了及时修复终端中感染系统文件的目的，进而维护了整个运营体系的安全。
[0093]此外，本发明实施例中提供的系统文件修复的装置，可以在离线方式下与外网进行数据交互，其中，离线方式包括但不限于上述几种方式。这样不但能够及时终端中的感染系统文件，还可以保证隔离网下运营系统的数据安全。并且还可以及时的更新服务器中的本地系统文件库，以便于对终端中感染系统文件的及时修复。
[0094]进一步的，作为对上述各实施例的实现，本发明实施例中还提供了一种系统文件修复的系统，该系统部署在隔离网内，并通过离线方式接收向外网发送文件标识及通过离线方式接收外网发送的系统文件，用于终端中感染系统文件的修复，如图4所示，该系统包括:服务器100和终端200，其中，服务器100包括上述图2或图3中本发明实施例提供的系统文件修复的装置。
[0095]终端200，用于检测本地是否存在感染系统文件，当检测到本地存在感染系统文件时，向服务器100上报数据请求，数据请求包括终端200侧的感染系统文件的文件标识；
[0096]服务器100，用于对数据请求进行响应，将文件标识离线发送给外网，离线接收外网发送的对应文件标识的系统文件，并将系统文件下发给终端200 ；
[0097]终端200，还用于将服务器100下发的系统文件替换对应的感染系统文件，完成对感染系统文件的修复。
[0098]终端200，还用于在检测到本地存在感染系统文件之后，禁用系统报毒功能。
[0099]具体的，当终端200检测到本地有感染系统文件时，禁止系统的报毒功能。在实际应用当中，当终端200检测到本地有感染系统文件时，系统不需要向用户或者服务器100发出感染系统文件的报警提示。在隔离网的环境下，由于终端200无法与外网进行数据交互，因此即使终端200向用户发出报警提示，用户也无法采取有效的措施修复感染系统文件；当然，终端200向服务器100发出报警提示也没有必要，终端200只需将感染系统文件的文件标识发送给服务器100即可。根据本发明提供的上述实施例可知，服务器100会将获取到的系统文件发送给终端200，使得终端200能够及时修复感染系统文件。在另一应用场景中，当终端200检测到本地有感染系统文件时，可以向用户发出感染系统文件的报警提示，并且还可以显示修复感染系统文件的过程,当终端200将感染系统文件修复后，终端200向用户提示感染系统文件修复完成的提示，并且生成日志进行存储。
[0100]本发明实施例中提供的系统文件修复的系统，在隔离网的环境下，服务器接收终端上报的数据请求并对该数据请求响应，将数据请求中包括的文件标识通过离线方式发送给外网，并通过离线方式接收外网发送的对应该文件标识的系统文件，服务器将该系统文件下发给终端，以便终端根据该系统文件完成对感染系统文件的修复。与现有技术相比，本发明实施例能够在服务器未保存终端所需的系统文件的情况下，由服务器通过离线方式发送感染系统文件的文件标识给外网，并通过离线方式接收外网发送的系统文件，保证了在隔离网环境中数据安全的同时，达到了及时修复终端中感染系统文件的目的，进而维护了整个运营体系的安全。
[0101]此外，本发明实施例中提供的系统文件修复的系统，可以在离线方式下与外网进行数据交互，保证了服务器与外网间交互的数据能够处于一个相对安全的环境中进行，并且对服务器与外网间交互的数据进行检测，以防止内部的其他数据外泄，以及防止外网中的其他数据进入到隔离网内部。本发明实施例中提供的系统文件修复的系统，不但能够及时修复终端中的感染系统文件，还可以保证隔离网下运营系统的数据安全，并且还可以及时的更新服务器中的本地系统文件库，以便提高对终端中感染系统文件修复的效率。
[0102]本发明的实施例公开了:
[0103]Al、一种系统文件修复的方法，其特征在于，所述方法包括:
[0104]在隔离网环境下，服务器接收终端上报的数据请求，所述数据请求包括终端侧的感染系统文件的文件标识；
[0105]所述服务器对所述数据请求进行响应，通过离线方式将所述文件标识发送给外网；
[0106]所述服务器通过离线方式接收所述外网发送的对应所述文件标识的系统文件；
[0107]所述服务器将所述系统文件下发给所述终端，以便所述终端根据所述系统文件对所述感染系统文件进行修复。
[0108]A2、根据权利要求Al所述方法，其特征在于，所述离线方式，包括:
[0109]通过离线工具与所述外网建立通信连接，并通过所述通信连接与所述外网进行数据交互；
[0110]或者，与物理存储介质进行数据交互；
[0111]或者，通过专用的物理链路与所述外网进行数据交互；
[0112]或者，建立隔离沙箱，在所述隔离沙箱环境下通过已有通信连接与所述外网进行数据交互。
[0113]A3、根据权利要求Al所述的方法，其特征在于，所述离线方式，包括:
[0114]周期性的与所述外网进行数据交互；
[0115]或者，根据用户操作指令与所述外网进行数据交互；
[0116]或者，选择在空闲时间段与所述外网进行数据交互；
[0117]或者，实时的与所述外网进行数据交互。
[0118]A4、根据权利要求Al所述的方法，其特征在于，在所述服务器对所述数据请求进行响应之前，包括:
[0119]所述服务器根据所述文件标识查找本地系统文件库，当查找到对应所述文件标识的系统文件时，直接将所述系统文件下发给所述终端，并结束后续流程。
[0120]A5、根据权利要求Al所述的方法，其特征在于，在所述服务器将所述系统文件下发给所述终端之后，包括:
[0121]所述服务器将所述系统文件添加到本地系统文件库中。
[0122]A6、根据权利要求A1-A4中任一项所述的方法，其特征在于，所述文件标识包括下述一项或至少两项的组合:
[0123]信息摘要算法5值MD5、数字签名、存储路径、文件名称、文件版本号、文件大小、文件摘要信息及文件类型。
[0124]B7、一种系统文件修复的装置，其特征在于，所述装置包括:
[0125]接收单元，用于在隔离网环境下，接收终端上报的数据请求，所述数据请求包括终端侧的感染系统文件的文件标识；
[0126]发送单元，用于对所述上报单元上报的所述数据请求进行响应，通过离线方式将所述文件标识发送给外网；
[0127]所述接收单元，还用于通过离线方式接收所述外网根据所述发送单元发送的文件标识所发送的对应所述文件标识的系统文件；
[0128]所述发送单元，还用于将所述接收单元接收到的所述系统文件下发给所述终端，以便所述终端根据所述系统文件对所述感染系统文件进行修复。
[0129]B8、根据权利要求B7所述装置，其特征在于，所述发送单元，包括:
[0130]工具发送模块，用于通过离线工具与外网建立通信连接，并通过通信连接将文件标识发送给外网；
[0131]介质发送模块，用于将文件标识发送给物理存储介质；
[0132]物理发送模块，用于通过专用的物理链路将文件标识发送给外网；
[0133]沙箱发送模块，用于建立隔离沙箱，在隔离沙箱环境下通过已有通信连接将文件标识发送给外网。
[0134]B9、根据权利要求B7所述的装置，其特征在于，所述接收单元，包括:
[0135]工具接收模块，用于通过离线工具与外网建立通信连接，并通过所述通信连接接收外网发送的系统文件；
[0136]介质接收模块，用于接收物理存储介质发送的系统文件；
[0137]物理接收模块，用于通过专用的物理链路接收外网发送的系统文件；
[0138]沙箱接收模块，用于建立隔离沙箱，在隔离沙箱环境下通过已有通信连接接收外网发送的系统文件。
[0139]B10、根据权利要求B7所述的装置，其特征在于，所述装置还包括:查找单元；
[0140]所述查找单元，用于根据所述接收单元接收的所述文件标识查找本地系统文件库；
[0141]所述发送单元，用于当所述查找单元查找到对应所述文件标识的系统文件时，直接将所述查找单元查找到的所述系统文件下发给所述终端，并结束后续流程。
[0142]B11、根据权利要求B7所述的装置，其特征在于，所述装置还包括:
[0143]更新单元，用于将所述接收单元接收的所述系统文件添加到本地系统文件库中。
[0144]B12、根据权利要求B7-B10中任一项所述的装置，其特征在于，所述接收单元接收的所述文件标识包括下述一项或至少两项的组合:
[0145]信息摘要算法5值MD5、数字签名、存储路径、文件名称、文件版本号、文件大小、文件摘要信息及文件类型。
[0146]C13、一种系统文件修复的系统，其特征在于，所述系统包括服务器和终端，其中，所述服务器包括如权利要求B7-B12中任一项所述的装置；
[0147]所述终端，用于检测本地是否存在感染系统文件，当检测到本地存在所述感染系统文件时，向所述服务器上报数据请求，所述数据请求包括终端侧的感染系统文件的文件标识；
[0148]所述服务器，用于对所述数据请求进行响应，将所述文件标识离线发送给外网，离线接收所述外网发送的对应所述文件标识的系统文件，并将所述系统文件下发给所述终端;
[0149]所述终端，还用于将所述服务器下发的所述系统文件替换对应的感染系统文件，完成对所述感染系统文件的修复。
[0150]C14、根据权利要求C13所述的系统，其特征在于，所述终端，还用于在检测到本地存在感染系统文件之后，禁用系统报毒功能。
[0151 ] 在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
[0152]可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。
[0153]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0154]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0155]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0156]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0157]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0158]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0159]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0160]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
【权利要求】
1.一种系统文件修复的方法，其特征在于，所述方法包括: 在隔离网环境下，服务器接收终端上报的数据请求，所述数据请求包括终端侧的感染系统文件的文件标识； 所述服务器对所述数据请求进行响应，通过离线方式将所述文件标识发送给外网； 所述服务器通过离线方式接收所述外网发送的对应所述文件标识的系统文件； 所述服务器将所述系统文件下发给所述终端，以便所述终端根据所述系统文件对所述感染系统文件进行修复。
2.根据权利要求1所述方法，其特征在于，所述离线方式，包括: 通过离线工具与所述外网建立通信连接，并通过所述通信连接与所述外网进行数据交互； 或者，与物理存储介质进行数据交互； 或者，通过专用的物理链路与所述外网进行数据交互； 或者，建立隔离沙箱，在所述隔离沙箱环境下通过已有通信连接与所述外网进行数据交互。
3.根据权利要求1所述的方法，其特征在于，所述离线方式，包括: 周期性的与所述外网进行数据交互; 或者，根据用户操作指令与所述外网进行数据交互； 或者，选择在空闲时间段与所述外网进行数据交互； 或者，实时的与所述外网进行数据交互。
4.根据权利要求1所述的方法，其特征在于，在所述服务器对所述数据请求进行响应之前，包括: 所述服务器根据所述文件标识查找本地系统文件库，当查找到对应所述文件标识的系统文件时，直接将所述系统文件下发给所述终端，并结束后续流程。
5.根据权利要求1所述的方法，其特征在于，在所述服务器将所述系统文件下发给所述终端之后，包括: 所述服务器将所述系统文件添加到本地系统文件库中。
6.根据权利要求1-4中任一项所述的方法，其特征在于，所述文件标识包括下述一项或至少两项的组合: 信息摘要算法5值MD5、数字签名、存储路径、文件名称、文件版本号、文件大小、文件摘要信息及文件类型。
7.一种系统文件修复的装置，其特征在于，所述装置包括: 接收单元，用于在隔离网环境下，接收终端上报的数据请求，所述数据请求包括终端侧的感染系统文件的文件标识； 发送单元，用于对所述上报单元上报的所述数据请求进行响应，通过离线方式将所述文件标识发送给外网； 所述接收单元，还用于通过离线方式接收所述外网根据所述发送单元发送的文件标识所发送的对应所述文件标识的系统文件； 所述发送单元，还用于将所述接收单元接收到的所述系统文件下发给所述终端，以便所述终端根据所述系统文件对所述感染系统文件进行修复。
8.根据权利要求7所述装置，其特征在于，所述发送单元，包括: 工具发送模块，用于通过离线工具与外网建立通信连接，并通过通信连接将文件标识发送给外网； 介质发送模块，用于将文件标识发送给物理存储介质； 物理发送模块，用于通过专用的物理链路将文件标识发送给外网； 沙箱发送模块，用于建立隔离沙箱，在隔离沙箱环境下通过已有通信连接将文件标识发送给外网。
9.根据权利要求7所述的装置，其特征在于，所述接收单元，包括: 工具接收模块，用于通过离线工具与外网建立通信连接，并通过所述通信连接接收外网发送的系统文件； 介质接收模块，用于接收物理存储介质发送的系统文件； 物理接收模块，用于通过专用的物理链路接收外网发送的系统文件； 沙箱接收模块，用于建立隔离沙箱，在隔离沙箱环境下通过已有通信连接接收外网发送的系统文件。
10.一种系统文件修复的系统，其特征在于，所述系统包括服务器和终端，其中，所述服务器包括如权利要求7-9中任一项所述的装置； 所述终端，用于检测本地是否存在感染系统文件，当检测到本地存在所述感染系统文件时，向所述服务器上报数据请求，所述数据请求包括终端侧的感染系统文件的文件标识； 所述服务器，用于对所述数据请求进行响应，将所述文件标识离线发送给外网，离线接收所述外网发送的对应所述文件标识的系统文件，并将所述系统文件下发给所述终端； 所述终端，还用于将所述服务器下发的所述系统文件替换对应的感染系统文件，完成对所述感染系统文件的修复。
【文档编号】G06F21/56GK104331660SQ201410602241
【公开日】2015年2月4日 申请日期:2014年10月31日 优先权日:2014年10月31日
【发明者】温铭, 李宇 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司