疑似病毒文件的收集方法及装置与流程

本公开涉及计算机应用技术领域，尤其涉及一种疑似病毒文件的收集方法及装置。

背景技术：

目前，计算机、移动终端等用户设备上一般都安装有杀毒软件，该杀毒软件可以清除对用户设备有危害的病毒文件。

为了提升自身的病毒查杀能力，杀毒软件在用户允许的情况下，会不定期地收集用户设备上的疑似病毒文件，并将疑似病毒文件上传至服务器进行存储，以通过服务器对存储的疑似病毒文件进行的分析、鉴定，来提升杀毒软件的病毒查杀能力。

然而，面对海量的用户，服务器的存储空间非常有限，同时，用户设备的数据上传能力也是有限的，为此，杀毒软件都会对其要收集的疑似病毒文件的体积做限制，即不上传体积超过预设阈值的疑似病毒文件。

这就为病毒文件提供了一种躲避杀毒软件收集的方法：增肥自身体积，进而导致杀毒软件对此类体积较大的病毒文件的病毒查杀能力有限。

技术实现要素：

基于此，本公开的一个目的在于提供一种疑似病毒文件的收集方法，用于解决现有技术中杀毒软件针对体积较大的病毒文件的病毒查杀能力有限的问题。

此外，本公开的另一个目的在于提供一种疑似病毒文件的收集装置，用于解决现有技术中杀毒软件针对体积较大的病毒文件的病毒查杀能力有限的问题。

为了解决上述技术问题，本公开所采用的技术方案为：

一种疑似病毒文件的收集方法，包括：在扫描到疑似病毒文件时，向服务器发起收集问询请求；接收所述服务器响应所述收集问询请求返回的收集响应消息；在所述收集响应消息指示收集所述疑似病毒文件时，调用预设裁剪接口对所述疑似病毒文件进行裁剪，得到保留数据；根据所述疑似病毒文件的文件结构对所述保留数据进行文件重组，得到收集文件；将所述收集文件上传至服务器。

一种疑似病毒文件的收集方法，包括：接收客户端上传的收集文件，所述收集文件是根据扫描到的疑似病毒文件的文件结构对保留数据进行文件重组得到的，所述保留数据是调用预设裁剪接口对所述疑似病毒文件进行裁剪得到的；存储所述收集文件。

一种疑似病毒文件的收集装置，包括：第一请求发起模块，用于在扫描到疑似病毒文件时，向服务器发起收集问询请求；第一消息接收模块，用于接收所述服务器响应所述收集问询请求返回的收集响应消息；保留数据获取模块，用于在所述收集响应消息指示收集所述疑似病毒文件时，调用预设裁剪接口对所述疑似病毒文件进行裁剪，得到保留数据；收集文件获取模块，用于根据所述疑似病毒文件的文件结构对所述保留数据进行文件重组，得到收集文件；收集文件上传模块，用于将所述收集文件上传至服务器。

一种疑似病毒文件的收集装置，包括：收集文件接收模块，用于接收客户端上传的收集文件，所述收集文件是根据扫描到的疑似病毒文件的文件结构对保留数据进行文件重组得到的，所述保留数据是调用预设裁剪接口对所述疑似病毒文件进行裁剪得到的；收集文件存储模块，用于存储所述收集文件。

与现有技术相比，本公开具有以下有益效果：

在服务器指示收集疑似病毒文件时，用户设备通过对扫描到的疑似病毒文件进行裁剪，使得经裁剪的收集文件的体积得到有效地缩减，以此减少了用户设备需要上传的数据量，亦即减少了服务器需要存储的数据量，使得服务器能够存储原本体积较大的疑似病毒文件，并对其进行分析、鉴定，弥补了现有技术中针对体积较大的病毒文件的收集缺陷，从而有效地提高了杀毒软件针对此类型病毒文件的病毒查杀能力。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并于说明书一起用于解释本公开的原理。

图1是根据本公开所涉及的实施环境的示意图；

图2是根据一示例性实施例示出的一种用户设备的框图；

图3是根据一示例性实施例示出的一种疑似病毒文件的收集方法的流程图；

图4是本公开所涉及的PE文件所对应的文件结构的示意图；

图5是图3对应实施例中调用预设裁剪接口对疑似病毒文件进行裁剪，得到保留数据步骤在一个实施例的流程图；

图6是图3对应实施例中根据所述疑似病毒文件的文件结构对所述保留数据进行文件重组，得到收集文件步骤在一个实施例的流程图；

图7是图3对应实施例中根据所述疑似病毒文件的文件结构对所述保留数据进行文件重组，得到收集文件步骤在另一个实施例的流程图；

图7a是本公开所涉及的裁剪和文件重组示意图；

图8是根据一示例性实施例示出的另一种疑似病毒文件的收集方法的流程图；

图9是根据一示例性实施例示出的一种疑似病毒文件的收集方法的流程图；

图10是根据一示例性实施例示出的另一种疑似病毒文件的收集方法的流程图；

图11是根据一示例性实施例示出的另一种疑似病毒文件的收集方法的流程图；

图12是一应用场景中一种疑似病毒文件的收集方法的具体实现示意图；

图13是根据一示例性实施例示出的一种疑似病毒文件的收集装置的框图；

图14是图13对应实施例中保留数据获取模块在一个实施例的框图；

图15是图13对应实施例中收集文件获取模块在一个实施例的框图；

图16是图13对应实施例中收集文件获取模块在另一个实施例的框图；

图17是根据一示例性实施例示出的另一种疑似病毒文件的收集装置的框图；

图18是根据一示例性实施例示出的另一种疑似病毒文件的收集装置的框图；

图19根据一示例性实施例示出的另一种疑似病毒文件的收集装置的框图；

图20是根据一示例性实施例示出的另一种疑似病毒文件的收集装置的框图。

通过上述附图，已示出本公开明确的实施例，后文中将有更详细的描述，这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围，而是通过参考特定实施例为本领域技术人员说明本公开的概念。

具体实施方式

这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相同的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

如前所述，真正的病毒文件通常利用增肥自身的体积，达到躲避杀毒软件收集的目的，这也就导致了杀毒软件对体积较大的病毒文件的病毒查杀能力有限。

虽然除了由用户设备直接收集体积较大的疑似病毒文件，还可以通过其他渠道，例如用户自行反馈，但是收集响应时间较长，仍然无法有效地提升杀毒软件针对该些增肥自身体积的病毒文件的病毒查杀能力。

因此，为了提高杀毒软件对体积较大的病毒文件的病毒查杀能力，特提出了一种疑似病毒文件的收集方法。

图1为上述疑似病毒文件的收集方法所涉及的实施环境。该实施环境包括用户设备100和服务器200。

其中，用户设备100可以是计算机、智能手机、平板电脑、掌上电脑、笔记本电脑或者其它可运行杀毒软件的电子设备。该用户设备100对体积较大的疑似病毒文件进行裁剪，得到经裁剪的收集文件。

通过用户设备100与服务器200的通信，经裁剪的收集文件将上传至服务器200，以供服务器200对其进行分析、鉴定，从而提升杀毒软件针对体积较大的病毒文件的病毒查杀能力。

图2是根据一示例性实施例示出的一种用户设备100的框图。该用户设备100只是一个适用于本公开的示例，不能认为是对本公开的使用范围的任何限制，也不能解释为本公开需要依赖于或者必须具有图2中示出的该用户设备100中的一个或者多个部件。

该用户设备100可因配置或者性能的不同而产生较大的差异，如图2所示，用户设备100包括：电源110、接口130、至少一存储介质150、以及至少一中央处理器(CPU，Central Processing Units)170。

其中，电源110用于为用户设备100上的各硬件设备提供工作电压。

接口130包括至少一有线或无线网络接口131、至少一串并转换接口133、至少一输入输出接口135以及至少一USB接口137等，用于与外部设备通信。

存储介质150作为资源存储的载体，可以是随机存储介质、磁盘或者光盘等，其上所存储的资源包括操作系统151、应用程序153及数据155等，存储方式可以是短暂存储或者永久存储。其中，操作系统151用于管理与控制用户设备100上的各硬件设备以及应用程序153，以实现中央处理器170对海量数据155的计算与处理，其可以是Windows ServerTM、Mac OS XTM、UnixTM、LinuxTM、FreeBSDTM等。应用程序153是基于操作系统151之上完成至少一项特定工作的计算机程序，其可以包括至少一模块(图示未示出)，每个模块都可以分别包含有对用户设备100的一系列操作指令。数据155可以是存储于磁盘中的文件、图片等等。

中央处理器170可以包括一个或多个以上的处理器，并设置为通过总线与存储介质150通信，用于运算与处理存储介质150中的海量数据155。

如上面所详细描述的，适用本公开的用户设备100将进行疑似病毒文件的收集，即通过中央处理器170读取存储介质150中存储的一系列操作指令的形式来进行疑似病毒文件的收集，以供服务器200进行分析、鉴定，进而提升杀毒软件的病毒查杀能力。

此外，通过硬件电路或者硬件电路结合软件指令也能同样实现本公开，因此，实现本公开并不限于任何特定硬件电路、软件以及两者的组合。

请参阅图3，在一示例性实施例中，一种疑似病毒文件的收集方法适用于图1所示实施环境的用户设备100，该种疑似病毒文件的收集方法可以由用户设备100执行，可以包括以下步骤：

步骤310，在扫描到疑似病毒文件时，向服务器发起收集问询请求。

疑似病毒文件指的是文件中包含有疑似病毒。该疑似病毒文件可以通过用户设备中运行杀毒软件，进而通过该杀毒软件对用户设备的磁盘中的所有文件进行文件扫描得到。

可以理解，若服务器中已经存在相同的疑似病毒文件，则用户设备没有必要再对扫描到的疑似病毒文件进行收集，又或者，服务器在某段时期内存储空间已经趋于饱和，则不再进行任何疑似病毒文件的接收。

因此，当用户设备扫描到疑似病毒文件时，将向服务器发起收集问询请求，以进一步地判断是否收集该扫描到的疑似病毒文件。

其中，收集问询请求可以直接生成并发送至服务器，也可以是由疑似病毒文件的相关信息生成并发送至服务器的。

举例来说，服务器中预先设置了收集规则，例如，收集规则是收集EXE文件类型的疑似病毒文件。则，用户设备在扫描到疑似病毒文件时，将首先进行疑似病毒文件的相关信息的获取。该相关信息中包含了文件类型。

在获取到疑似病毒文件的相关信息之后，即可通过信息携带的方式生成收集问询请求，即收集问询请求中包含了疑似病毒文件的相关信息。

服务器在接收到该收集问询请求之后，将由该收集问询请求中提取出疑似病毒文件的相关信息，并将该疑似病毒文件的文件信息与收集规则进行比较，进而判断是否需要用户设备对该疑似病毒文件进行收集。

当然，在其他应用场景中，相关信息所包含的内容还可以根据实际情况进行调整，例如，收集规则为收集文件路径超过5层的疑似病毒文件，则相关信息中将包含文件路径。

步骤330，接收服务器响应收集问询请求返回的收集响应消息。

其中，收集响应消息用于指示用户设备服务器是否需要收集疑似病毒文件。

若服务器不需要收集疑似病毒文件，例如，服务器中已存在相同的疑似病毒文件，或者，该疑似病毒文件不符合预设的收集规则，则收集响应响应消息指示用户设备不收集扫描到的疑似病毒文件，则返回步骤310，继续进行疑似病毒文件的扫描。

反之，当服务器判定需要收集疑似病毒文件时，将向用户设备返回收集响应消息，进而使得用户设备接收到该收集响应消息，并进入步骤350，根据该收集响应消息的指示进行疑似病毒文件的收集。

通过步骤310至步骤330的过程，能够避免服务器重复收集相同的疑似病毒文件，并使得疑似病毒文件的收集更具有针对性，进而提高存储空间的利用率，同时还能够避免用户设备进行不必要的疑似病毒文件的收集，进而有效地提高了用户设备的收集效率。

步骤350，在收集响应消息指示收集疑似病毒文件时，调用预设裁剪接口对疑似病毒文件进行裁剪，得到保留数据。

本实施例中疑似病毒文件尤指文件体积超过预设阈值的文件，该预设阈值可以根据服务器的存储空间、或者用户设备的数据上传能力进行相应地设置，例如，依据用户设备的数据上传能力将预设阈值设置为10M。基于此，在上传疑似病毒文件之前，需要对该疑似病毒文件进行裁剪，以使经裁剪的疑似病毒文件的体积能够在预设阈值的范围之内。

所谓的裁剪是指将疑似病毒文件中的部分无用数据丢弃，而保留重要数据，并通过保留的重要数据重新组成新文件。其中，重要数据是会影响疑似病毒文件运行的，即疑似病毒文件在运行时将会读取重要数据。

换而言之，即使将疑似病毒文件中的部分无用数据丢弃，疑似病毒文件仍然可以正常运行。

本实施例中，所述裁剪是通过预设裁剪接口的调用实现的。

进一步地，该预设裁剪接口中封装有裁剪算法，该裁剪算法用于指示疑似病毒文件中哪些数据是无用数据，哪些数据是重要数据。

因此，通过预设接口中封装的裁剪算法对疑似病毒文件进行裁剪，即可得到保留数据，即疑似病毒文件中的重要数据，从而有利于后续的文件重组。

步骤370，根据疑似病毒文件的文件结构对保留数据进行文件重组，得到收集文件。

不同的疑似病毒文件所对应的文件结构不尽相同，以PE文件为例，其文件结构由DOS头、PE头、节表以及至少一节组成，如图4所示。

基于此，在得到保留数据之后，需要按照疑似病毒文件的文件结构对该保留数据进行文件重组，以使得到的收集文件的文件结构仍然符合要求，进而才能够被正常解析。

值得一提的是，若得到的收集文件的体积仍然超过预设阈值，则返回步骤350，对疑似病毒文件进行再次裁剪，直至最终得到的收集文件的体积符合上传条件，即不超过预设阈值。

步骤390，将收集文件上传至服务器。

服务器在接收到该收集文件之后，即可对该收集文件进行存储，并在需要的时候对存储的该收集文件进行分析、鉴定、或者还原。

进一步地，该收集文件中可以设置一个裁剪标识位，以通过该裁剪标识位指示该收集文件是经过裁剪的。

当然，在其他实施例中，也可以是对收集文件还原出的还原文件设置一个还原标识位，以通过该还原标识位指示该还原文件是由收集文件还原得到的。

通过如上所述的过程，实现了对体积较大的疑似病毒文件的收集，即通过对体积较大的疑似病毒文件的裁剪，有效地缩减了该疑似病毒文件的体积，使得经裁剪的疑似病毒文件符合上传条件，进而以较小的代价收集到了用户设备上体积较大的疑似病毒文件，从而有效地提高了杀毒软件针对体积较大的病毒文件的病毒查杀能力。

请参阅图5，在一示例性实施例中，步骤350可以包括以下步骤：

步骤351，按照疑似病毒文件的文件结构将疑似病毒文件拆分为若干数据块。

仍以PE文件为例，如图4所示，其文件结构由DOS头、PE头、节表以及至少一节组成，相应地，其包括的数据块有DOS头数据、PE头数据、节表数据和节数据。

基于此，根据疑似病毒文件的文件结构对疑似病毒文件进行数据块拆分，即可得到若干数据块。

当然，根据不同的文件结构进行的数据块拆分，得到的数据块的个数与数据大小也是有所区别的。

步骤353，通过预设裁剪接口封装的裁剪算法，对若干数据块进行数据裁剪，得到裁剪数据。

举例来说，若病毒文件为PE文件，则病毒文件为了避免杀毒软件的收集，需要增肥自身体积，将通过增加数据块所包含的内容完成。譬如，在各节数据之间增加节间隙数据，或者，使某个数据块的数据大小远远超过正常数据大小，又或者，在文件尾部添加大量的附加数据等等。

由此可知，节间隙数据、附加数据、某个数据块超出正常数据大小的数据部分都可能是无用数据。

其中，节间隙数据可以附着于上一节数据所在的数据块，而附加数据可以附着于最后一节数据所在的数据块。

相应地，裁剪算法可以是裁剪节间隙数据、裁剪附加数据、或者裁剪某个数据块超出正常数据大小的数据部分。

基于此，通过裁剪算法对若干数据块进行数据裁剪，得到的裁剪数据可以是节间隙数据、附加数据、某个数据块超出正常数据大小的数据部分。

进一步地，裁剪算法中还可以设置裁剪顺序，以按照裁剪顺序对若干数据块进行数据裁剪。例如，以数据块的大小作为裁剪顺序进行数据裁剪，即先对数据量大的数据块进行裁剪，而数据量最小的数据块最后裁剪。

步骤355，由若干数据块中剔除裁剪数据，得到保留数据。

在得到裁剪数据之后，即可通过裁剪数据的剔除，得到若干数据块中的保留数据。其中，保留数据如图7a中“保留”所示，裁剪数据如图7a中“裁剪部分”所示。

通过如上所述的过程，即实现了简单快捷的疑似病毒文件的裁剪。

请参阅图6，在一示例性实施例中，步骤370可以包括以下步骤：

步骤371，按照疑似病毒文件的文件结构拼接保留数据形成预收集文件。

由于每一数据块都有相应的保留数据，即使是不需要裁剪的数据块，其保留数据则为整个数据块所包含的内容，而数据块是按照疑似病毒文件的文件结构拆分得到的，相应地，按照疑似病毒文件的文件结构对保留数据进行拼接，即可形成预收集文件。

也就是说，该预收集文件的文件结构将与疑似病毒文件的文件结构保持一致。

步骤373，对预收集文件进行文件结构修复，得到收集文件。

如图7a中客户端侧“上传的文件”所示，预收集文件与疑似病毒文件相比而言，预收集文件中缺少了裁剪数据，而仅存在保留数据。

可以理解，由于裁剪数据的剔除，相较于疑似病毒文件，预收集文件中的保留数据所对应的文件位置和数据大小均可能发生变化。若直接上传预收集文件，将可能使得该预收集文件无法正常解析。

基于此，将通过对预收集文件进行文件结构修复，使得经文件结构修复的收集文件可以被正常解析。

举例来说，在疑似病毒文件中，某个数据块对应的数据大小为M，对应的文件位置包括起始偏移地址N，结束偏移地址位N+M。裁剪过程中，若该数据块之前的若干数据块被裁剪掉的数据大小之和为m，其自身裁剪掉的数据大小为n。则在预收集文件中，该数据块对应的数据大小和文件位置并未发生变化，而进行文件结构修复之后，在收集文件中，该数据块对应的数据大小为M-n，对应的文件位置包括起始偏移地址N-m，结束偏移地址位N+M-m-n。

进一步地，在一示例性实施例中，在得到收集文件之后，用户设备还将通过加密算法对该收集文件进行加密，并将该加密后的收集缓存至用户设备的磁盘中，以供后续内存加载时读取。通过所述加密能够有效地避免该收集文件被其他运行于用户设备上的应用软件错误地读取，而导致用户设备中系统崩溃。

服务器在接收到收集文件之后，即可通过对该收集文件进行的静态分析和鉴定，提升杀毒软件的病毒查杀能力。

更进一步地，可以理解，在一些应用场景中，例如服务器需要对收集文件进行动态分析，即通过运行该收集文件来完成病毒分析。基于此，服务器将需要对该收集文件进行还原，以提高动态分析的准确率。

所谓的还原即是将被剔除的裁剪数据还原回其原先的文件位置。

由于裁剪数据都是无用数据，即并不会影响疑似病毒文件的运行，故而，在还原过程中，服务器不需要获知裁剪数据的具体内容，而仅需要获知裁剪数据被剔除之前，其在疑似病毒文件中对应的文件位置和数据大小。

较优地，还原回裁剪数据原先的文件位置处的数据为预设数据。

举例来说，预设数据设置为0。服务器将根据裁剪数据对应的文件位置和数据大小，在收集文件对应文件位置处添加对应数据大小的全0数据，以此完成对收集文件的还原。

相应地，请参阅图7，在另一示例性实施例中，步骤370还可以包括以下步骤：

步骤375，记录裁剪数据对应的文件位置和数据大小，形成裁剪信息。

其中，裁剪数据与保留数据组成疑似病毒文件包含的若干数据块。

在疑似病毒文件中，裁剪数据对应的文件位置和数据大小通常被存储于文件头，通过读取文件头即可完成所述记录，进而形成裁剪信息。

步骤377，将裁剪信息添加至预收集文件。

由于裁剪信息的添加，也可能使得文件结构中文件位置和数据大小发生变化，因此，裁剪信息的添加需要在文件结构修复之前进行。较优地，裁剪信息添加在未进行文件结构修复的预收集文件中。

进一步地，裁剪信息添加在预收集文件的尾部，如图7a中“裁剪描述”所示。

通过如上所述的过程，即可实现服务器根据裁剪信息对收集文件进行的文件还原，从而有利于服务器对收集文件进行的动态分析，以此提高服务器的分析效率。

请参阅图8，在一示例性实施例中，步骤390之前，如上所述的方法还可以包括以下步骤：

步骤510，获取收集文件的文件信息。

可以理解，若服务器中已经存在相同的收集文件，例如，其他用户设备已经上传过相同的收集文件，则用户设备没有必要再上传该收集文件。因此，在上传收集文件之前，需要首先判断服务器中是否存在相同的收集文件。

为了服务器能够判断其中是否已存在相同的收集文件，用户设备在得到收集文件时，将进行收集文件的文件信息的获取。

该文件信息是能够唯一地标识收集文件的。例如，该文件信息可以是哈希信息，该哈希信息是利用哈希算法，以收集文件的文件头信息作为输入，预先计算生成的。

步骤530，根据收集文件的文件信息向服务器发起上传问询请求。

在获取到收集文件的文件信息之后，即可根据信息携带的方式生成上传问询请求，即上传问询请求中包含了收集文件的文件信息。

服务器在接收到该上传问询请求之后，将由该上传问询请求中提取出收集文件的文件信息，并根据该收集文件的文件信息在服务器中进行匹配查找，以判断其中是否存在相同的收集文件。

步骤550，接收服务器返回的上传响应消息。

其中，上传响应消息指示上传收集文件，以使用户设备能够根据该上传响应消息进入步骤390，进而完成对收集文件的上传。

若服务器判断到不存在相同的收集文件，即向用户设备返回上传响应消息，进而使得用户设备接收到该上传响应消息，并根据该上传响应消息的指示进行收集文件的上传。

通过如上所述的过程，能够避免用户设备重复上传相同的收集文件，进而避免服务器重复接收相同的收集文件，不仅有利于提高用户设备的传输有效性，而且避免浪费服务器的存储资源。

在一示例性实施例中，步骤390之后，如上所述的方法还可以包括以下步骤：

将收集文件存储至预设存储空间。

本实施例中，所述存储指的是将收集文件永久性地存储，而不是临时缓存。相应地，预设存储空间可以是用户设备中内置的随机存储介质等。

通过收集文件的存储，有利于用户设备在进行疑似病毒文件的裁剪之前的判断，即若判断到已经存在收集文件，则不对疑似病毒文件进行裁剪。

相应地，步骤350之前，如上所述的方法还可以包括以下步骤：

在预设存储空间中，通过预先建立的疑似病毒文件与收集文件的对应关系，对收集文件进行查找。

本实施例中，对应关系的预先建立是通过疑似病毒文件的文件信息实现的。

具体而言，该文件信息是能够唯一地标识疑似病毒文件的。例如，该文件信息可以是哈希信息，该哈希信息是利用哈希算法，以疑似病毒文件的文件头信息作为输入，预先计算生成的。

在生成疑似病毒文件的文件信息之后，即可将该文件信息添加至收集文件中，从而建立疑似病毒文件与收集文件之间的对应关系。

较优地，该文件信息将被添加至裁剪信息中，进而添加至预收集文件中，经过预收集文件的文件结构修复，最终添加至收集文件中。

基于此，用户设备在扫描到疑似病毒文件之后，将进行疑似病毒文件的文件信息的获取，并根据该疑似病毒文件的文件信息在预设存储空间中查找收集文件，以进一步地判断其中是否已经存在收集文件。

若查找不到收集文件，则进入步骤350，对疑似病毒文件进行裁剪，以得到收集文件，并上传至服务器，供服务器进行分析、鉴定。

通过如上的过程，能够避免用户设备在短时间内重复对相同的疑似病毒文件进行裁剪，从而有效地提高了用户设备的裁剪效率。

值得一提的是，在其他实施例中，服务器还可以通过该对应关系对疑似病毒文件进行定位，以此获取客户端中原始的疑似病毒文件。

请参阅图9，在另一示例性实施例中，一种疑似病毒文件的收集方法适用于图1所示实施环境的服务器200，该种疑似病毒文件的收集方法可以由服务器200执行，可以包括以下步骤：

步骤610，接收用户设备上传的收集文件。

其中，收集文件是根据扫描到的疑似病毒文件的文件结构对保留数据进行文件重组得到的，保留数据是调用预设裁剪接口对疑似病毒文件进行裁剪得到的。

步骤630，存储收集文件。

请参阅图10，在另一示例性实施例中，步骤630之后，如上所述的方法还可以包括以下步骤：

步骤710，由收集文件中提取裁剪信息。

步骤730，根据裁剪信息中裁剪数据对应的文件位置和数据大小，在收集文件的对应文件位置添加对应数据大小的预设数据，还原出收集文件对应的还原文件。

其中，裁剪数据与保留数据组成疑似病毒文件包含的若干数据块。

请参阅图11，在另一示例性实施例中，步骤630之后，如上所述的方法还可以包括以下步骤：

步骤810，通过预先建立的疑似病毒文件与收集文件的对应关系，向用户设备发送原始文件定位请求。

步骤830，接收用户设备返回的疑似病毒文件。

图12是一应用场景中一种疑似病毒文件的收集方法的具体实现示意图。如图12所示，当用户设备扫描到疑似病毒文件时，开始疑似病毒文件的收集流程。

用户设备通过执行步骤901，向服务器发起收集问询请求，以问询服务器是否需要进行疑似病毒文件的收集。

若服务器返回指示收集疑似病毒文件的收集响应消息，则通过执行步骤902，判断预设存储空间中是否已经存在经过裁剪得到的收集文件。反之，若服务器返回指示不收集疑似病毒文件的收集响应消息，则结束疑似病毒文件的收集流程。

若判断到预设存储空间中不存在相同的收集文件，则通过执行步骤903，对扫描到的疑似病毒文件进行裁剪。反之，若存在，则结束疑似病毒文件的收集流程。

在完成裁剪得到收集文件之后，将通过执行步骤904，向服务器发起上传问询请求，以问询服务器是否需要上传收集文件。

若服务器返回上传响应消息，则通过执行步骤905，将收集文件上传至服务器，以供服务器对该收集文件进行分析、鉴定或者还原。反之，结束疑似病毒文件的收集流程。

通过如上所述的过程，即完成疑似病毒文件的收集流程。

在本公开各实施例中，体积较大的疑似病毒文件通过裁剪，将得到一个符合上传条件的收集文件，以此减少了需要上传的数据量，从而以较小的代价完成用户设备上体积较大的疑似病毒文件的收集，弥补了现有技术在该类型文件收集上的缺陷，从而有效地提高了杀毒软件对此类型病毒文件的病毒查杀能力。

下述为本公开装置实施例，可以用于执行本公开所涉及的疑似病毒文件的收集方法。对于本公开装置实施例中未披露的细节，请参照本公开所涉及的疑似病毒文件的收集方法实施例。

请参阅图13，在一示例性实施例中，一种疑似病毒文件的收集装置包括但不限于：第一请求发起模块910、第一消息接收模块930、保留数据获取模块950、收集文件获取模块970和收集文件上传模块990。

其中，第一请求发起模块910用于在扫描到疑似病毒文件时，向服务器发起收集问询请求。

第一消息接收模块930用于接收服务器响应收集问询请求返回的收集响应消息。

保留数据获取模块950用于在收集响应消息指示收集疑似病毒文件时，调用预设裁剪接口对疑似病毒文件进行裁剪，得到保留数据。

收集文件获取模块970用于根据疑似病毒文件的文件结构对保留数据进行文件重组，得到收集文件。

收集文件上传模块990用于将收集文件上传至服务器。

请参阅图14，在一示例性实施例中，保留数据获取模块950包括但不限于：文件拆分单元951、数据裁剪单元953和数据剔除单元955。

其中，文件拆分单元951用于按照疑似病毒文件的文件结构，将疑似病毒文件拆分为若干数据块。

数据裁剪单元953用于通过预设裁剪接口封装的裁剪算法，对若干数据块进行数据裁剪，得到裁剪数据。

数据剔除单元955用于由若干数据块中剔除裁剪数据，得到保留数据。

请参阅图15，在一示例性实施例中，收集文件获取模块970包括但不限于：数据拼接单元971和结构修复单元973。

其中，数据拼接单元971用于按照疑似病毒文件的文件结构拼接保留数据形成预收集文件。

结构修复单元973用于对预收集文件进行文件结构修复，得到收集文件。

请参阅图16，在一示例性实施例中，收集文件获取模块970还包括：裁剪信息生成单元975和裁剪信息添加单元977。

其中，裁剪信息生成单元975用于记录裁剪数据对应的文件位置和数据大小，形成裁剪信息。

裁剪数据与保留数据组成疑似病毒文件包含的若干数据块。

裁剪信息添加单元977用于将裁剪信息添加至预收集文件。

请参阅图17，在一示例性实施例中，如上所述的装置还包括：文件信息获取模块1110、第二请求发起模块1130和第二消息接收模块1150。

其中，文件信息获取模块1110用于获取收集文件的文件信息。

第二请求发起模块1130用于根据收集文件的文件信息向服务器发起上传问询请求。

第二消息接收模块1150用于接收服务器返回的上传响应消息，上传响应消息指示上传收集文件。

在一示例性实施例中，如上所述的装置还包括但不限于：文件存储模块。

其中，文件存储模块用于将收集文件存储至预设存储空间。

相应地，如上所述的装置还包括但不限于：文件查找模块。

其中，文件查找模块用于在预设存储空间中，通过预先建立的疑似病毒文件与收集文件的对应关系，对收集文件进行匹配查找。若查找不到收集文件，则通知保留数据获取模块。

请参阅图18，在一示例性实施例中，一种疑似病毒文件的收集装置包括但不限于：收集文件接收模块1210和收集文件存储模块1230。

其中，收集文件接收模块1210用于接收用户设备上传的收集文件。

收集文件是根据扫描到的疑似病毒文件的文件结构对保留数据进行文件重组得到的，保留数据是调用预设裁剪接口对疑似病毒文件进行裁剪得到的。

收集文件存储模块1230用于存储收集文件。

请参阅图19，在一示例性实施例中，如上所述的装置还包括但不限于：信息提取模块1310和文件还原模块1330。

其中，信息提取模块1310用于由收集文件中提取裁剪信息。

文件还原模块1330用于根据裁剪信息中裁剪数据对应的文件位置和数据大小，在收集文件的对应文件位置添加对应数据大小的预设数据，还原出收集文件对应的还原文件。

裁剪数据与保留数据组成疑似病毒文件包含的若干数据块。

请参阅图20，在一示例性实施例中，如上所述的装置还包括但不限于：文件定位请求发送模块1410和疑似病毒文件接收模块1430。

其中，文件定位请求发送模块1410用于通过预先建立的疑似病毒文件与收集文件的对应关系，向用户设备发送原始文件定位请求。

疑似病毒文件接收模块1430用于接收用户设备返回的疑似病毒文件。

需要说明的是，上述实施例所提供的疑似病毒文件的收集装置在进行疑似病毒文件的收集时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即疑似病毒文件的收集装置的内部结构将划分为不同的功能模块，以完成以上描述的全部或者部分功能。

另外，上述实施例所提供的疑似病毒文件的收集装置与疑似病毒文件的收集方法的实施例属于同一构思，其中各个模块执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。

上述内容，仅为本公开的较佳示例性实施例，并非用于限制本公开的实施方案，本领域普通技术人员根据本公开的主要构思和精神，可以十分方便地进行相应的变通或修改，故本公开的保护范围应以权利要求书所要求的保护范围为准。