基于云安全的文件处理方法及装置与流程

本发明涉及信息安全领域，具体涉及一种基于云安全的文件处理方法及装置。

背景技术：

目前，随着恶意程序的不断增长，传统的基于特征码查杀和定期更新病毒库的杀毒方式已经无法应对这种局面，这就促使了大量客户端跟踪、查杀恶意程序的云安全技术的兴起。

现有技术中的云安全技术大多采用客户端本地引擎与云安全服务器侧相结合的方式，具体通过如下方式对恶意程序进行查杀：

客户端本地引擎根据其内置的扫描位置进行扫描，并把本地无法识别的未知程序文件特征发送给云安全服务器，由云安全服务器对接收到的程序文件特征进行对比并判断是否为恶意程序，若为恶意程序，再由客户端本地引擎根据其预置的恶意程序处理方法对该恶意程序进行相应处理。

然而，恶意程序的作者在对抗安全软件时，恶意软件为了躲避安全防护软件的检测，会找到操作系统中新的可利用点或者找到安全软件所忽视的点，从而绕过安全软件的检测和查杀。这就需要安全厂商需要针对新兴的恶意程序样本进行分析，以对客户端安全软件进行更新。但是，在对安全软件升级的程中，恶意程序已经广泛蔓延。可见，现有技术的方法，并不能及时地对恶意程序进行检测和查杀。

技术实现要素：

鉴于上述问题，本发明提供一种基于云安全的文件处理方法及装置，以便克服上述问题或者至少部分地解决上述问题。

依据本发明的一个方面，提供了一种基于云安全的文件处理方法，该方法包括：

根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识；

发送查询请求至服务器端，查询未知程序文件是否是恶意程序，其中，查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

接收来自服务器端的反馈消息，并根据反馈消息对未知程序文件进行后续处理，其中，服务器端根据签名标识以及文件特征生成反馈消息。

可选地，按照如下步骤获得签名相关信息以及文件特征，包括：

扫描未知程序文件，获取文件特征；

从文件特征中提取签名相关信息。

可选地，文件特征包括下列至少之一：

MD5(Message Digest Algorithm 5，消息摘要算法)、SHA1(Secure Hash Algorithm，哈希算法)、从文件中抽取部分内容计算出的特征值。

可选地，根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识，包括：

获取可移植的执行体PE文件的可计算字段，可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分；

对可计算字段进行计算，将计算结果作为签名标识。

可选地，根据反馈消息进行后续处理，包括：

签名标识在服务器端匹配成功时，接收服务器端反馈的、与签名标识相对应的查杀方法。

可选地，接收服务器端反馈的查杀方式之后，包括：

从服务器端下载预设的、针对未知程序文件的信息参数的检测条件，判断未知程序文件是否满足检测条件；

将判断结果上传服务器端，并根据服务器端的指令执行后续处理。

可选地，检测条件包括下列至少一项：

PE加载的特定文件是否具有特定公司的有效签名；

PE加载的特定文件的内部名称、产品名称及公司名称是否为指定的名称；

系统中是否挂有特定的钩子；

特定的进程中是否具有特定的填充数据Shellcode；

系统中是否有特定驱动模块或者设备对象存在；

特定的注册表是否指向特定的文件或者特定的唯一标识CLSID或者匹配特定的模式；

PE加载的进程链中是否存在安全性未知的文件。

可选地，根据服务器端的指令执行后续处理，包括：

接收来自服务器端的未知程序文件可能感染恶意程序的提醒消息；和/或

接收来自服务器端的对未知程序文件进行查杀的查杀命令时，对未知程序文件进行查杀；和/或在接收到用户界面触发的查杀指令时，通过服务端对未知程序文件进行查杀。

可选地，查杀方法包括：扫描/判定动作和/或修复动作。

依据本发明的一个方面，还提供了一种基于云安全的文件处理方法，该方法包括：

接收来自客户端的查询请求，其中，查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

根据签名标识以及文件特征生成反馈消息；

将反馈消息发送至客户端，其中，客户端根据反馈消息对未知程序文件进行后续处理。

可选地，将反馈消息发送至客户端，包括：

在数据库中，对签名标识进行匹配；

将匹配得到的查杀方法返回给客户端。

可选地，数据库包括：本地数据库和/或云端数据库。

可选地，接收来自客户端的查询请求之前，包括：接收来自客户端的、未知程序文件的文件特征。

可选地，将匹配得到的查杀方法返回给客户端之后，还包括：

将预设的、针对未知程序文件的信息参数的检测条件发送至客户端；以及

接收来自客户端的检测结果；

根据检测结果发送相应指令。

可选地，根据检测结果发送相应指令，包括：

根据检测结果发送未知程序文件可能感染恶意程序的提醒消息至客户端；和/或

根据检测结果发送相应命令，其中，相应命令包括对未知程序文件进行查杀的查杀命令，以及，对安全文件进行放行的命令。

根据本发明的另一方面，提供了一种基于云安全的文件处理装置，该装置包括：

生成模块，配置为根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识；

查询模块，配置为发送查询请求至服务器端，查询未知程序文件是否是恶意程序，其中，查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

处理模块，配置为接收来自服务器端的反馈消息，并根据反馈消息对未知程序文件进行后续处理，其中，服务器端根据签名标识以及文件特征生成反馈消息。

可选地，上述装置还包括：

提取模块，配置为扫描未知程序文件，获取文件特征；从文件特征中提取签名相关信息。

可选地，文件特征包括下列至少之一：

MD5、SHA1、从文件中抽取部分内容计算出的特征值。

可选地，生成模块还配置为：

获取可移植的执行体PE文件的可计算字段，可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分；

对可计算字段进行计算，将计算结果作为签名标识。

可选地，处理模块还配置为：

签名标识在服务器端匹配成功时，接收服务器端反馈的、与签名标识相对应的查杀方法。

可选地，处理模块还配置为：

从服务器端下载预设的、针对未知程序文件的信息参数的检测条件，判断未知程序文件是否满足检测条件；

将判断结果上传服务器端，并根据服务器端的指令执行后续处理。

可选地，处理模块还配置为：

接收来自服务器端的未知程序文件可能感染恶意程序的提醒消息；和/或

接收来自服务器端的对未知程序文件进行查杀的查杀命令时，对未知程序文件进行查杀；和/或

在接收到用户界面触发的查杀指令时，通过服务端对未知程序文件进行查杀。

可选地，查杀方法包括：对未知程序文件进行扫描/判定动作和/或修复动作。

根据本发明的另一方面，还提供了一种基于云安全的文件处理装置，该装置包括：

接收模块，配置为接收来自客户端的查询请求，其中，查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

发送模块，配置为根据签名标识以及文件特征生成反馈消息，并将反馈消息发送至客户端，其中，客户端根据反馈消息对未知程序文件进行后续处理。

可选地，发送模块包括：

匹配单元，配置为在数据库中，对签名标识进行匹配；

发送单元，配置为将匹配得到的查杀方法发送给客户端。

可选地，数据库包括：本地数据库和/或云端数据库。

可选地，接收模块还配置为接收来自客户端的、未知程序文件的文件特征。

可选地，发送模块，还配置为预设的、针对未知程序文件的信息参数的检测条件发送至客户端；以及

接收模块，还配置为接收来自客户端的检测结果；

发送模块，还配置为根据检测结果发送相应指令。

可选地，发送模块还配置为：

根据检测结果发送未知程序文件可能感染恶意程序的提醒消息至客户端；和/或

根据检测结果发送相应命令，其中，相应命令包括对未知程序文件进行查杀的查杀命令，以及，对安全文件进行放行的命令。

本发明提供的了一种基于云安全的文件处理方法及装置。通过本发明，使得客户端能够及时获取到本地的未知程序文件，并生成与该程序文件唯一对应的签名标识发送给服务器端，服务器端能够根据接收的签名标签获取对应的反馈消息并返回给客户端，客户端根据反馈消息对该未知程序文件进行相应地处理。

可见，本发明提供的方法及装置使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法，并能够及时地对恶意程序进行查杀，解决了现有技术中利用木马突破云查杀的问题。另外，与现有技术中，通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比，本发明还减少了由发现恶意程序到查杀恶意程序的时间，从而加快了对新生恶意程序的打击速度，也减少了服务器的信息存储量，进而保证了客户端程序的安全。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种基于云安全的文件处理方法流程图；

图2示出了根据本发明一个实施例的另一种基于云安全的文件处理方法流程图以及

图3示出了根据本发明另一个实施例的一种基于云安全的文件处理方法流程图；

图4示出了根据本发明一个实施例的一种基于云安全的文件处理装置结构框图；以及

图5示出了根据本发明一个实施例的另一种基于云安全的文件处理装置结构框图。

具体实施方式

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

本发明可以应用于计算机系统/服务器，其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于：个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境，等等。

计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络连接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。

实施例一

图1出示了根据本发明一个实施例的一种基于云安全的文件处理方法流程图。在该方法中，对用于处理本地程序的客户端进行了改进，该方法具体包括步骤S102至S106。

S102，根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识。

S104，发送查询请求至服务器端，查询未知程序文件是否是恶意程序。其中，查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征。

其中，本实施例中的文件特征可以包括文件的MD5值、SHA1值，或者是从文件中抽取部分内容计算出的特征值。还可以包括该文件可能加载的DLL(Dynamic Link Library，动态链接库)信息及DLL的描述信息，该文件是否被木马感染成一个安全性未知的或者危险的文件；或者包括判断指定文件/目录是否存在，文件属性是否满足条件(如文件的MD5是否为指定的值)，指定注册表键/值是否存在，注册表键/值内容是否满足条件，指定进程/服务是否存在等。

其中，服务器端预先保存有文件特征值和安全级别信息的对应关系，服务器端确定的安全级别信息可以自定义，例如包括安全、危险、未知等级别，也可以采用一级、二级、三级等方式来进行区分，只要能够体现出各模块是否安全状态即可。或者，所述安全级别信息包括：安全等级、未知等级、可疑等级、高度可疑等级和恶意等级，其中，恶意等级为最高等级，安全等级为最低等级。例如，可以设置等级为10-20时为安全等级，等级为30-40时为未知等级，等级为50-60时为可疑等级和高度可疑等级，等级大于70时为恶意等级。

S106，接收来自服务器端的反馈消息，并根据反馈消息对未知程序文件进行后续处理。其中，服务器端根据签名标识以及文件特征生成反馈消息。

本实施例中，反馈消息为服务器端反馈的、与所述签名标识相对应的查杀方法，以使客户端能够根据该查杀方法对未知文件进行相应处理。

本发明实施例提供的基于云安全的文件处理方法，使得客户端能够及时获取到本地的未知程序文件，并生成与该程序文件唯一对应的签名标识发送给服务器端，并从服务器端获取对应的反馈消息，并根据反馈消息对该未知程序文件进行相应地处理。

可见，本发明实施例提供的方法使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法，并能够及时地对恶意程序进行查杀，解决了现有技术中利用木马突破云查杀的问题。另外，与现有技术中，通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比，本方法还减少了由发现恶意程序到查杀恶意程序的时间，从而加快了对新生恶意程序的打击速度，也减少了服务器的信息存储量，进而保证了客户端程序的安全。

相应地，图2出示了根据本发明一个实施例的另一种基于云安全的文件处理方法流程图。在该方法中，对用于查杀恶意程序的服务器进行了改进，该服务器为上述客户端的云安全服务器，该方法具体包括步骤S202至S206。

S202，接收来自客户端的查询请求。其中，查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征。本实施例中的文件特征已经在上述方法中进行过具体介绍，在此不再赘述。

S204，根据签名标识以及文件特征生成反馈消息。

S206，将反馈消息发送至客户端。其中，客户端根据反馈消息对未知程序文件进行后续处理。

例如，本实施例中，当客户端迅雷ThundPlatform.exe加载minizip.dll(minizip.dll被替换成木马)，且检测到minizip非白文件(也成白程序或可信程序)，时，由服务器返回删除木马的命令，执行修复迅雷软件的操作，可以由客户端执行该操作。

本发明实施例提供的基于云安全的文件处理方法，使得服务器能够根据客户端发送的未知程序文件的签名标签获取对应的反馈消息，且返回给客户端，并由客户端根据反馈消息对该未知程序文件进行相应地处理。

可见，本发明实施例提供的方法使得服务器能够实时地、动态地获取针对客户端未知程序文件的处理方法，并由客户端对恶意程序进行查杀，解决了现有技术中利用木马突破云查杀的问题。另外，与现有技术中，通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比，本方法还减少了由发现恶意程序到查杀恶意程序的时间，从而加快了对新生恶意程序的打击速度，也减少了服务器的信息存储量，进而保证了客户端程序的安全。

实施例二

本实施例为上述实施例一的一种具体应用场景，通过本实施例，能够更加清楚、具体地阐述本发明所提供的方法。

图3出示了本发明一个实施例的一种基于云安全的文件处理方法流程图。该方法具体包括步骤S302至S316。

S302，客户端根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识。

需要说明的是，本实施例中，客户端在执行本地程序文件时，会判断每个程序文件是否为本地可知程序文件，以保证客户端对本地程序的可知性，同时也确保了本地程序的安全性。其中，客户端中会存储有程序文件列表，当所扫描到的程序文件不在程序文件列表中时，客户端判定该程序文件为未知程序文件。

可选地，该步骤的具体实现方式包括：

首先，扫描该未知程序文件，获取其文件特征。

其中，文件特征已在上述实施例中进行过具体介绍，在此不再赘述。

其次，从获取的文件特征中提取签名相关信息。

其中，签名相关信息为文件特征的可计算字段，可计算字段包括PE文件中除去PE校验段、签名段以及签名内容剩余部分。其中，当获取的上述文件长度未达到8的整数倍时，将其所差的位数用0补齐，以便于对其进行计算。

再次，对可计算字段进行计算，将计算结果作为签名标识。

可选地，本实施例中，将可计算字段作为摘要值，采用SHA1算法对其进行计算，得到与未知程序文件唯一对应的签名标识。

客户端在生成未知程序文件的签名标识后，执行步骤S304，即发送查询请求至服务器端。其中，查询请求携带有该未知程序文件的签名标识以及该未知程序文件的部分或全部文件特征。

服务器端接收到查询请求后，执行步骤S306，即在数据库中对查询请求中的签名标识进行匹配，获取与签名标识相对应的查杀方法。

需要说明的是，本实施例中的数据库包括本地数据库和/或云端数据库。

可选地，本实施例中的查杀方法可以包括扫描/判定动作和修复动作等。其中，扫描/判定动作包括对程序文件属性及程序文件的上下文环境的扫描和判定，并当判定为恶意程序时，执行相应的修复操作。可选地，该修复操作可以包括删除指定的注册表键/值、修改注册表键/值为指定内容、删除指定系统服务项、修复/删除指定程序文件等，还包括引导用户启动急救箱等，例如，在急救箱的模式下对恶意程序进行查杀，采用计算机基本输入输出系统→硬盘主引导记录→操作系统驱动层→操作系统应用层的多层检测和清除方式，从底层开始对病毒进行检测和清除处理，可以确保彻底清除存在于应用层到驱动层各层中的病毒，提高了检测和清除计算机病毒的能力，保证了计算机系统的安全。

S308，服务器将匹配得到的查杀方法发送给客户端。

客户端接收到服务器发送的查杀方法后，执行步骤S310，即从服务器侧下载针对未知程序文件的信息参数的检测条件。其中，检测条件由服务器侧根据接收到的未知程序文件信息参数(如文件特征)生成。

客户端下载到检测条件后，执行步骤S312，即判断该未知程序文件是否满足检测条件，并将判断结果发送至服务器。

可选地，本实施例中的检测条件至少包括如下列举的一种：

1)PE加载的特定文件是否具有特定公司的有效签名。2)PE加载的特定文件的内部名称、产品名称及公司名称是否为指定的名称。3)系统中是否挂有特定的钩子。4)特定的进程中是否具有特定的填充数据。5)系统中是否有特定驱动模块或者设备对象存在，其中，特定的驱动模块或者设备对象是指由本地未知程序所加载的驱动模块或者设备对象。6)特定的注册表是否指向特定的文件或者特定的CLSID或者匹配特定的模式，其中，特定的注册表、特定的文件、特定的CLSID及特定的模式均由未知程序在加载时生成，当该程序运行时，由特定的注册表利用该特定的文件和特定的CLSID在特定的模式下运行该程序。7)PE加载的进程链中是否存在本地未知的文件(未能判断安全等级是否为可信的文件，主要根据每个文件对应的文件安全等级判断)等。PE加载的进程链主要是需要分析进程链信息。

进程链包括运行所述程序操作的所有父子进程，例如，一种进程链的示例为：进程1→进程2→进程3，即所述进程2为进程3的父进程，进程1为进程2的父进程，进程2为进程1的子进程，进程3为进程2的子进程。提取进程链上所有进程的名称，确定是否存在本地未知的文件。关于父进程和子进程，创建一个进程时，被创建的函数就是创建函数的子进程。所述进程的信息还可以包括其他信息，例如会话ID、优先级、拥有的线程、用户ID、句柄、进程内存计数器、进程路径、进程命令行参数、进程名称、进程创建者、创建时间、退出时间、内核时间等，本发明对此不再详细介绍。从当前进程开始，依据所述创建关系追溯对应所述当前进程的进程链，依次在该进程链中查找该进程的每一级父进程，并获取所述父进程的文件等级；根据获取到的文件等级从而可以获知PE加载的进程链中是否存在本地未知的文件。

对于上述第一类检测条件，可以查询到例如暴风影音StoreUpdate.exe加载StormUpdate.dll,StormUpdated.dll具有“北京暴风网际科技有限公司”的签名信息。

对于上述第二类检测条件，例如检测到加载kernel32.dll内部名称为kernel32,公司名称为microsoft，产品名称为Microsoft@Windows@Operating System等。

对于上述系统中是否挂有特定的钩子这种检测条件，例如关机回调钩子函数，是windows关机时会调用的一个或多个回调函数，木马注册后，可以在关机时将自身从内存写到磁盘并设置自启动，以便下次开机仍然能够加载。常见的一个木马样本Unifade就是通过注册关机回调钩子反复感染的。

又例如，对于上述系统中是否有特定驱动模块或者设备对象存在的检测条件，svchost.exe是个常见的系统服务进程，木马会将自身模块远程注入到该进程中，并将自身的文件删除，达到隐形的目的，关机时在将自身写入到磁盘中以便下次开机加载。分析人员可以根据木马的特征提取一些二进制串，用这些二进制串和svchost.exe进程的内存进行匹配从而发现木马。

又例如，对于上述特定的注册表是否指向特定的文件或者特定的CLSID或者匹配特定的模式的检测条件，特定的注册表，比如鬼影木马感染fips.sys驱动程序，fips驱动程序是通过HKLM\SYSTEM\CurrentControlSet\Services\Fips键加载的，从而检测到fips.sys被感染，同时存在\Driver\fips对象，可以作为鬼影木马病毒存在的判断条件。等等。

当服务器接收到检测结果后，执行步骤S314，即根据检测结果获取相应的指令，并将该指令发送给客户端。

可选地，服务器侧保存有一个指令列表或指令数据库，存储有针对不同的检测结果的处理指令。例如，当服务器根据接收到的检测结果判定该未知程序文件为恶意文件时，可以发送未知程序文件可能感染恶意程序的提醒消息给客户端，还可以发送对该未知程序文件进行查杀的指令。当服务器根据接收到的检测结果判定该未知程序文件为安全文件时，向客户端发送安全文件进行放行的命令。

客户端接收到服务器发送的指令后，执行步骤S316，即根据获取的指令对该未知程序文件进行后续处理。

可选地，本实施例中，当客户端接收到的指令为未知程序文件可能感染恶意程序的提醒消息时，可以向用户显示该未知程序文件可能感染恶意程序的提示信息，便于用户对该程序文件进行操作。例如，用户可以根据提示消息选择对该程序文件进行查杀，此时，客户端接收到用户触发的查杀指令后，将该程序文件交由服务器侧进行查杀。减少了客户端对文件的查杀操作，增加客户端的处理速度。

当客户端接收到的指令为查杀指令时，直接根据该指令对该未知程序文件进行查杀，保证了对恶意程序进行及时地查杀。

本发明提供了一种基于云安全的文件处理方法。通过该方法，使得客户端能够及时获取到本地的未知程序文件，并生成与该程序文件唯一对应的签名标识发送给服务器端，服务器端能够根据接收的签名标签获取对应的反馈消息并返回给客户端，客户端根据反馈消息对该未知程序文件进行相应地处理。

可见，本发明实施例提供的方法使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法，并能够及时地对恶意程序进行查杀，解决了现有技术中利用木马突破云查杀的问题。例如，解决了木马使用DLL劫持技术将木马DLL与可信任的白程序打包在一起，当用户执行白程序时，木马DLL会被加载的问题。

另外，与现有技术中，通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比，本方法还减少了由发现恶意程序到查杀恶意程序的时间，从而加快了对新生恶意程序的打击速度，也减少了服务器的信息存储量，进而保证了客户端程序的安全。本方法可有效应用于应用层或者驱动层感染的病毒，涉及的可以处理的病毒包括计算机病毒(包括一般感染性病毒、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、后门程序、键盘记录器、密码盗取者等等)统称为“计算机病毒”。

实施例三

图4出示了本发明一个实施例的一种基于云安全的文件处理装置的结构框图。该文件处理装置400执行于客户端的引擎中。该文件处理装置400包括：

生成模块410，配置为根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识；

查询模块420，与上述生成模块410相耦合，配置为发送查询请求至服务器端，查询未知程序文件是否是恶意程序，其中，查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

处理模块430，与上述生成模块420相耦合，配置为接收来自服务器端的反馈消息，并根据反馈消息对未知程序文件进行后续处理，其中，服务器端根据签名标识以及文件特征生成反馈消息。

可选地，上述装置还包括：

提取模块440，与上述生成模块410相耦合，配置为扫描未知程序文件，获取文件特征；

从文件特征中提取签名相关信息。

可选地，文件特征包括下列至少之一：

MD5、SHA1、从文件中抽取部分内容计算出的特征值。

可选地，上述生成模块410还配置为：

获取可移植的执行体PE文件的可计算字段，可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分；

对可计算字段进行计算，将计算结果作为签名标识。

可选地，上述处理模块430还配置为：

签名标识在服务器端匹配成功时，接收服务器端反馈的、与签名标识相对应的查杀方法。

可选地，上述处理模块430还配置为：

从服务器端下载预设的、针对未知程序文件的信息参数的检测条件，判断未知程序文件是否满足检测条件；

将判断结果上传服务器端，并根据服务器端的指令执行后续处理。

可选地，上述处理模块430还配置为：

接收来自服务器端的未知程序文件可能感染恶意程序的提醒消息；和/或

接收来自服务器端的对未知程序文件进行查杀的查杀命令时，对未知程序文件进行查杀；和/或

在接收到用户界面触发的查杀指令时，通过服务端对未知程序文件进行查杀。

可选地，上述查杀方法包括：对未知程序文件进行扫描/判定动作和/或修复动作。

图5出示了本发明一个实施例的另一种基于云安全的文件处理装置的结构框图。该装置执行于上述客户端的对端服务器中。该装置500包括：

接收模块510，配置为接收来自客户端的查询请求，其中，查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

发送模块520，与上述接收模块510相耦合，配置为根据签名标识以及文件特征生成反馈消息，并将反馈消息发送至客户端，其中，客户端根据反馈消息对未知程序文件进行后续处理。

可选地，上述发送模块520包括：

匹配单元521，配置为在数据库中，对签名标识进行匹配；

发送单元522，配置为将匹配得到的查杀方法发送给客户端。

可选地，数据库包括：本地数据库和/或云端数据库。

可选地，上述接收模块510还配置为接收来自客户端的、未知程序文件的文件特征。

可选地，上述发送模块520，还配置为预设的、针对未知程序文件的信息参数的检测条件发送至客户端；以及

上述接收模块510，还配置为接收来自客户端的检测结果；

上述发送模块520，还配置为根据检测结果发送相应指令。

可选地，上述发送模块520还配置为：

根据检测结果发送未知程序文件可能感染恶意程序的提醒消息至客户端；和/或

根据检测结果发送相应命令，其中，相应命令包括对未知程序文件进行查杀的查杀命令，以及，对安全文件进行放行的命令。

本发明实施例提供了一种基于云安全的文件处理装置。通过该装置，使得客户端能够及时获取到本地的未知程序文件，并生成与该程序文件唯一对应的签名标识发送给服务器端，服务器端能够根据接收的签名标签获取对应的反馈消息并返回给客户端，客户端根据反馈消息对该未知程序文件进行相应地处理。

可见，本发明实施例提供的装置使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法，并能够及时地对恶意程序进行查杀，解决了现有技术中利用木马突破云查杀的问题。另外，与现有技术中，通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比，本装置还减少了由发现恶意程序到查杀恶意程序的时间，从而加快了对新生恶意程序的打击速度，也减少了服务器的信息存储量，进而保证了客户端程序的安全。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于云安全的文件处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。