文件处理方法及装置与流程

本发明涉及互联网技术领域，特别涉及一种文件处理方法及装置。

背景技术：

互联网是一个面向大众的开放式平台，互联网的飞速发展不仅为人们带来了巨大的便利，也带来了一些安全隐患。在互联网中通过异常文件篡改网页或入侵系统等事件时有发生，很容易导致用户的信息泄露，造成用户的损失。因此，如何处理异常文件已成为用户关注的热点问题。

相关技术中为了提高安全性，通常会采用安装安全类软件的方式。该安全类软件配置异常文件库，该异常文件库中包括多个异常文件，并通过该异常文件库提供异常文件检测功能。当用户在该安全类软件中启动异常文件检测功能时，该安全类软件可以对系统中的多个文件进行检测，即对该多个文件进行扫描，每当扫描到一个文件，判断该文件是否为该异常文件库中的异常文件。因此，对该多个文件进行检测之后即可找出系统中的异常文件，并对异常文件进行处理。

在实现本发明的过程中，发明人发现上述相关技术至少存在以下问题：上述相关技术的检测过程中需要分别对多个文件进行扫描，该扫描过程缺乏针对性，导致检测速度很慢，异常文件的处理效率很低。

技术实现要素：

为了解决上述相关技术的问题，本发明实施例提供了一种文件处理方法及装置。所述技术方案如下：

第一方面，提供了一种文件处理方法，所述方法包括：

获取目标应用的应用标识，所述应用标识用于指示所述目标应用；

从服务器存储的至少一个应用标识对应的配置信息中，获取所述应用标识对应的配置信息，所述配置信息中包括可疑路径，所述可疑路径具有存储影响所述目标应用运行的异常文件的可能性；

对位于所述可疑路径的第一文件进行检测；

根据所述第一文件的检测结果对所述第一文件进行处理。

第二方面，提供了一种文件处理装置，所述装置包括：

第一获取模块，用于获取目标应用的应用标识，所述应用标识用于指示所述目标应用；

第二获取模块，用于从服务器存储的至少一个应用标识对应的配置信息中，获取所述应用标识对应的配置信息，所述配置信息中包括可疑路径，所述可疑路径具有存储影响所述目标应用运行的异常文件的可能性；

检测模块，用于对位于所述可疑路径的第一文件进行检测；

处理模块，用于根据所述第一文件的检测结果对所述第一文件进行处理。

本发明实施例提供的技术方案带来的有益效果是：

本发明实施例提供的方法及装置，通过根据目标应用的配置信息，确定对目标应用造成不利影响的异常文件的可疑路径，并对该可疑路径下的文件进行检测，而无需对该终端上的每个文件进行检测，提高了针对性，提高了检测速度，进而提高了异常文件的处理效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种文件处理方法的流程图；

图2是本发明实施例提供的一种文件处理方法的流程图；

图3是本发明实施例提供的一种文件处理方法的操作流程图；

图4是本发明实施例提供的一种文件处理方法的流程图；

图5是本发明实施例提供的一种文件处理装置的结构示意图；

图6是本发明实施例提供的一种终端的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在对本发明实施例进行具体说明之前，首先对本发明实施例的实施环境和应用场景进行如下介绍：

本发明实施例的实施环境包括终端和服务器，该终端可以为手机、计算机等。该终端运行有目标应用，该目标应用可以为该终端上的系统应用、安装的应用等，如浏览器应用、聊天应用、支付应用，或者该终端上的任一网页等。该服务器用于对该目标应用进行安全检测，可以为与该目标应用关联的服务器，或者也可以为专门用于维护该终端安全的服务器。

一方面，在该目标应用的运行过程中，该终端上的异常文件可能会对该目标应用的运行造成不利的影响，例如病毒文件、恶意程序等。因此，为了及时快速地检测到该终端上影响该目标应用运行的异常文件，可以在服务器中设置配置信息，该配置信息包括了一旦该终端上存在影响该目标应用运行的异常文件时该异常文件的可疑路径、特征值以及处理方式等。那么，该终端可以从服务器获取该配置信息后，根据该配置信息查找到异常文件，并对该异常文件进行处理。

进一步地，该终端还可以检测到启动该目标应用的操作时，先根据该配置信息进行检测，清除异常文件后，再启动该目标应用，从而保证了该目标应用不会受到异常文件的影响。

另一方面，该目标应用中包括一些关键文件，这些关键文件对该目标应用的正常运行至关重要，一旦关键文件被篡改，就会导致该目标应用无法正常运行。因此，为了保证该目标应用的正常运行，该配置信息中包括关键文件、关键文件的路径和特征值，那么，根据该配置信息可以判断出关键文件是否被篡改，并在关键文件被篡改时对其进行修复。

另一方面，在该目标应用的运行过程中，该终端可能会下载文件，下载的文件为异常文件时会对该终端造成不利影响。因此，每次下载文件时，可以捕获该下载的文件，并对该下载的文件进行检测，以及时地检测出异常文件。

另一方面，考虑到异常文件通常会创建一个恶意进程，在该恶意进程运行时会对该目标应用造成损害，因此，为了及时检测出异常文件，可以Hook该目标应用中的创建进程函数，从而在异常文件调用该创建进程函数来创建进程时，将异常文件检测出来。

进一步地，本发明实施例提供的方法可以由该目标应用中嵌入的指定接口执行，而无需由安全类软件执行。那么，在实际应用中，无论该终端是否安装了安全类软件，只需在任一个或者多个目标应用中嵌入该指定接口，该目标应用启动时，可以调用该指定接口，通过该指定接口执行本发明实施例提供的文件处理方法，从而保护该一个或多个目标应用，该方法的执行过程中不会受到安全类软件的影响或限制。

当然，如果该终端也安装了安全类软件，既可以通过该指定接口执行本发明实施例提供的方法，在用户无感知的情况下有针对性地进行文件检测，提高检测速度，也可以通过该安全类软件对该终端进行全面细致的检测，提高了准确率。

本发明基于应用的保护方案，可以使应用本身具备排查病毒和保护下载文件的能力，从而保证了安全性及稳定性。为不同的应用设置不同的配置信息，能够有针对性地对病毒文件进行查杀，在保证安全的同时，不会影响应用本身的用户体验。而且，使用云查杀技术，利用后台服务器建立的强大木马分析和处理系统，能够第一时间检测出最新的病毒文件，文件下载保护的误报率极低，提高了准确率。

而且，针对目标应用，本发明的方案通过为目标应用提供指定接口实现，通过调用该指定接口可以使目标应用提高安全性，并且综合考虑了各种因素的影响，经过实际调优，使用户在目标应用的使用体验上感知不到任何不同。在此基础上做到了病毒文件查杀能力的最大化，误报率极低，确保扫描出来的结果一定是最准确的。

经过实践证明，采用本发明实施例提供的方法可以使目标应用具备查杀病毒文件以及文件下载保护的能力。

一、在终端已安装安全类软件的环境下：

采用本发明方案的目标应用在运行时检测到了会威胁目标应用运行的病毒文件，并成功删除处理，而安全类软件在用户点击扫描功能时发现并处理病毒文件；

采用本发明方案的目标应用可以在第一时间发现文件异常，并及时删除。未采用本发明方案的相同应用会顺利下载到病毒文件，只有在用户后续使用安全类软件进行扫描时才能发现并处理该病毒文件。

二、在终端未安装安全类软件的环境下：

采用本发明方案的目标应用能够发现并处理威胁目标应用运行的病毒文件，并且能够对自身下载的文件进行下载保护检测。实践表明，本发明在不影响应用正常用户体验的同时，大幅提高了应用的安全性及稳定性。为用户提供了更加可靠的服务。

图1是本发明实施例提供的一种文件处理方法的流程图。该发明实施例的执行主体为终端，参见图1，该方法包括：

101、终端获取目标应用的应用标识，发送给服务器。

本发明实施例中，该应用标识用于确定唯一该目标应用，可以为该目标应用的名称或者编号等。

本发明实施例仅是以目标应用为例说明异常文件的处理过程，实际上，该终端中运行有多个应用，每个应用具有一个对应的应用标识，则该终端可以采用与该目标应用类似的方式对任一应用进行安全检测。

102、当服务器接收到该应用标识时，从服务器存储的至少一个应用标识对应的配置信息中，获取该应用标识对应的配置信息，发送给该终端。

本发明实施例中，该服务器用于存储至少一个应用标识对应的配置信息，也即是，该服务器中存储的至少一个配置信息与终端上可运行的至少一个应用分别对应，该配置信息能够表示影响对应应用运行的异常文件的相关情况。那么，根据配置信息可以有针对性地检测出任一应用中的异常文件，并对检测出的异常文件进行处理。

因此，该终端要对目标应用进行检测时，可以获取该目标应用的应用标识，发送给该服务器。该服务器接收到该应用标识时，即可从存储的至少一个配置信息中，查找该应用标识对应的配置信息，发送给该终端。该配置信息即为该目标应用的配置信息，可以体现影响该目标应用的运行的异常文件的相关情况。与直接对该目标应用进行检测相比，根据该配置信息对该目标应用进行检测将更加有针对性，更能提高检测速度。

需要说明的一点是，不同应用对应的配置信息可以相同，也可以不同，每个应用对应的配置信息可以通过对应用的运行过程中容易受到其影响的异常文件的相关情况进行总结后得到，具体可以由服务器的维护人员存储在该服务器中，也可以由该服务器对多个异常文件进行监测后得到。

例如，配置信息中的可疑路径可以通过对异常文件通常在终端中的存储路径进行收集分析后确定，如可以收集每个病毒文件在下载到终端上时的存储路径，配置信息中的异常特征值可以在收集到异常文件后计算得到，配置信息中的异常处理方式可以根据异常文件对该目标应用的影响程度确定，如该异常文件对该目标应用的影响很大，则该异常处理方式为直接删除，如该异常文件对该目标应用的影响很小，则该异常处理方式为由用户决定如何处理。

需要说明的另一点是，为了加快配置信息的传输速度和读取速度，在该服务器中可以采用二进制的格式存储该配置信息。也即是该服务器获取到原始的配置信息时，会对该配置信息进行序列化，将配置信息存入到二进制的配置文件中，后续当该终端从该服务器下载该配置文件后，可以对该配置文件进行反序列化，读取该配置文件中的配置信息。

103、该终端接收该配置信息，确定该配置信息中的可疑路径，对位于该可疑路径的第一文件进行检测。

该配置信息中包括可疑路径，该可疑路径具有存储影响目标应用运行的异常文件的可能性，也即是在该可疑路径下可能会存储着影响该目标应用运行的异常文件，换句话说，如果该终端上存储有该异常文件，则该异常文件可能的存储路径就是该可疑路径。那么，当该终端接收到该配置信息时，获取该可疑路径，确定在该可疑路径下很可能存在着异常文件。此时，该终端获取位于该可疑路径的第一文件，并对该第一文件进行检测，判断该第一文件是否为异常文件。

可选地，该终端可以根据异常文件库对该第一文件进行检测，即该终端获取异常文件库，该异常文件库中包括多个异常文件，并将该第一文件与该异常文件库中的多个异常文件进行匹配，判断该第一文件是否为该异常文件库中的任一异常文件，从而确定该第一文件是否为异常文件。

具体地，在进行文件匹配时，可以通过计算文件的特征值进行。每个文件具有一个唯一对应的特征值，任两个文件计算出的特征值相同时，表示该两个文件为相同文件，任两个文件计算出的特征值不同时，表示该两个文件为不同文件。因此，该终端可以计算该第一文件的特征值，并获取该异常文件库中每个异常文件的特征值，判断该第一文件的特征值与该异常文件库中的异常文件的特征值是否一致，从而判断该第一文件是否为异常文件。

其中，该特征值可以为MD5(Message Digest Algorithm MD5，消息摘要算法第五版)值或者哈希值等多种类型的特征值，本发明实施例对特征值的类型不做限定，在比对两个文件的特征值时只需保证所比对的双方采用同一种类型的特征值即可。实际上，该特征值的类型可以由该服务器确定后发送给该终端，或者由该终端与该服务器协商确定。

进一步地，为了提高检测速度，该配置信息中可以包括与该可疑路径对应的异常特征值，该异常特征值为影响该目标应用运行的异常文件的特征值，则在判断该第一文件是否为异常文件时，该终端无需将该第一文件的特征值与异常文件库中的每个异常文件的特征值进行匹配，只需计算该第一文件的特征值，判断该第一文件的特征值与该异常特征值是否一致。如果该特征值与该异常特征值一致，表示该第一文件与该配置信息中异常特征值所指示的异常文件为同一文件，也即是该第一文件为异常文件；而如果该特征值与该异常特征值不一致，表示该第一文件与该配置信息中异常特征值所指示的异常文件不是同一文件，则可以认为该第一文件不是异常文件。与异常文件库相比，在该配置信息中配置好异常文件的异常特征值，使匹配过程更有针对性，既不会降低检测准确率，而且还可以减小匹配次数，进而提高检测速度。

需要说明的一点是，该配置信息中可以包括异常信息字段，该可疑路径、异常特征值和异常处理方式均可存储于该异常信息字段中。

需要说明的另一点是，该配置信息中可能会包括多个可疑路径，以及与每个可疑路径对应的异常特征值和异常处理方式，该终端可以对位于该多个可疑路径的文件分别进行检测，在此不再赘述。

104、该终端根据该第一文件的检测结果，对该第一文件进行处理。

如果确定该第一文件为异常文件，则需要对该第一文件进行处理，以防止该第一文件对该终端造成损害。其中，对该第一文件的处理方式可以包括删除该第一文件、提示用户处理该第一文件等多种方式，本发明实施例对此不做限定。

或者，该配置信息中可以包括与该可疑路径对应的异常处理方式，该异常处理方式为影响该目标应用运行的异常文件的处理方式，那么，当确定该第一文件为该异常文件时，可以根据该异常处理方式对该第一文件进行处理。

例如，当该异常处理方式为删除方式时，该终端一旦确定该第一文件为异常文件，即可将该第一文件删除。

或者，当该异常处理方式为提示用户后删除时，该终端一旦确定该第一文件为异常文件时，提示用户是否删除该第一文件，当用户确认删除该第一文件时，删除该第一文件，而当用户确认不删除该第一文件上时，保留该第一文件。

或者，当该异常处理方式为提示用户处理时，该终端一旦确定该第一文件为异常文件时，提示用户该第一文件存在安全隐患，由该用户对该第一文件进行删除、修改等处理。

在本发明实施例提供的另一实施例中，如果确定该第一文件不是异常文件，则可以不对该第一文件进行处理，或者提示用户该第一文件不是异常文件。

需要说明的是，上述步骤101-104可以由指定接口执行，该指定接口可以嵌入至任一目标应用中，该目标应用可以调用该指定接口，从而执行本发明实施例的文件处理方法来对该目标应用进行安全保护。优选地，当用户触发对该目标应用的启动操作时，该终端检测到该启动操作，此时可以先调用该指定接口，对该终端上会影响该目标应用运行的异常文件进行检测和处理，之后再启动该目标应用。

本发明实施例提供的方法，通过根据目标应用的配置信息，确定影响目标应用运行的异常文件的可疑路径，并对该可疑路径下的文件进行检测，而无需对该终端上的每个文件进行检测，提高了针对性，提高了检测速度，进而提高了异常文件的处理效率。

在图1所示实施例的基础上，考虑到该目标应用中存在很多关键文件，这些关键文件对该目标应用的运行至关重要，如果有异常文件对该关键文件进行了篡改，将会影响该目标应用的正常运行。因此，本发明实施例中可以检测关键文件是否被篡改，并在关键文件被篡改时对其进行修复。

具体地，该配置信息中可以包括关键文件、关键路径和关键特征值，该关键路径为该关键文件在该目标应用中的存储路径，该关键特征值为该关键文件的特征值，相应地，参见图2，该方法还可以包括以下步骤105-107：

105、计算位于该关键路径的第二文件的特征值。

106、判断该特征值与该关键特征值是否一致。

107、如果该特征值与该关键特征值不一致，则将该关键文件存储于该关键路径下，以替换该第二文件。

具体地，从该目标应用中的该关键路径下，获取第二文件，此时为了确定该第二文件是否被篡改，该终端计算该第二文件的特征值，判断该特征值与该关键特征值是否一致。如果该特征值与该关键特征值一致，表示该第二文件就是该关键文件，并没有被篡改过，则无需对该第二文件进行处理；如果该特征值与该关键特征值不一致，表示该第二文件已经被篡改，则为了保证该目标应用的正常运行，该终端将该配置信息中的关键文件存储于该关键路径下，替换掉该第二文件。

其中，该关键文件和该第二文件的名称可以相同，在以该关键文件替换掉该第二文件之后，该目标应用在运行过程中即可应用该关键文件。

另外，该配置信息中也可以包括关键文件对应的关键处理方式，当该终端确定该第二文件已经被篡改时，可以按照该关键处理方式对该第二文件进行处理。

需要说明的一点是，该配置信息中可以包括关键信息字段，该关键文件、关键路径、关键特征值、关键处理方式均可存储于关键信息字段中。而且，通过将可疑路径和关键路径分别存储于不同的字段中，可以将两种路径区分开来，避免混淆。

需要说明的另一点是，该配置信息中的关键文件、关键路径、关键特征值、关键处理方式可以由该目标应用的开发人员确定后，上传至该服务器中。且该配置信息中可以包括多个关键文件、每个关键文件对应的关键路径、关键特征值和关键处理方式。

关于上述步骤101-104的异常文件检测方案与上述步骤105-107的关键文件修复方案之间的关系，在目标应用的运行中，既可以执行该异常文件检测方案，也可以执行该关键文件修复方案，两者互不影响。而且，上述步骤105-107在获取到配置信息后执行即可，与上述步骤103-104之间没有必然的时序关系，即上述步骤105-107可以在上述步骤103-104之前或之后执行，或者与上述步骤103-104并行执行。

例如，本发明实施例的操作流程可以如图3所示，参见图3，要启动目标应用时，先执行上述步骤103-104对异常文件进行检测和处理，再启动该目标应用，在目标应用的运行过程中，执行上述步骤105-107对该目标应用中的关键文件进行修复。

需要说明的是，上述步骤105-107可以由指定接口执行。

本发明实施例提供的方法，通过预先在配置信息中设定原始的关键文件以及该关键文件的相关信息，可以对目标应用中的关键文件进行检测，在该目标应用中的关键文件被篡改时可以及时地对其进行修复，保证了该目标应用的正常运行，提高了安全性。

在图1或图2所示实施例的基础上，目前很大一部分的应用会从网络中下载文件，而下载文件会存在安全风险，即使是在安全类软件覆盖的终端上，该安全类软件只能对少数的下载进程提供下载保护，而无法对所有的下载进程进行保护，如果该应用下载的文件存在病毒或木马，将会产生不可预测的风险。因此，为了保证安全，需要对目标应用下载的文件进行检测。因此，参见图4，图4是本发明实施例提供的一种文件处理方法的流程图，该方法还包括以下步骤108-109：

108、在该目标应用的运行过程中，当下载到第三文件时，捕获该第三文件。

在该目标应用的运行过程中，可以对下载进程进行监测，当该下载进程下载到某一文件时，该终端可以监测到下载文件的事件，并捕获该下载的文件。

109、对该第三文件进行检测，并根据该第三文件的检测结果对该第三文件进行处理。

具体地，对该第三文件的检测过程可以包括以下步骤1091-1093中的至少一项：

1091、计算该第三文件的特征值，将该特征值与预设白名单中的特征值进行匹配，根据匹配结果确定该第三文件是否为正常文件，该预设白名单中包括正常文件的特征值。或者，计算该第三文件的特征值，将该特征值与预设黑名单中的特征值进行匹配，根据匹配结果确定该第三文件是否为异常文件，该预设黑名单中包括异常文件的特征值。

该终端可以预先确定预设白名单，该预设白名单用于确定可以通过检测的正常文件，该预设白名单中包括正常文件的特征值，那么只要某一文件的特征值与该预设白名单中所有正常文件的特征值均不相同，即可确定该文件不是正常文件，是异常文件。

因此，当该终端下载到该第三文件时，计算该第三文件的特征值，将该特征值与该预设白名单中的特征值进行匹配，如果该特征值与该预设白名单中的某一特征值匹配，则可以确定该第三文件为正常文件，而如果该特征值与该预设白名单中的每个特征值均不匹配，则可以确定该第三文件为异常文件。

或者，该终端可以预先确定预设黑名单，该预设黑名单用于确定不可通过检测的异常文件，该预设黑名单中包括异常文件的特征值，那么只要某一文件的特征值与该预设黑名单中所有异常文件的特征值均不相同，即可确定该文件不是异常文件，而是正常文件。

因此，当该终端下载到该第三文件时，计算该第三文件的特征值，将该特征值与该预设黑名单中的特征值进行匹配，如果该特征值与该预设黑名单中的某一特征值匹配，则可以确定该第三文件为异常文件，而如果该特征值与该预设黑名单中的每个特征值均不匹配，则可以确定该第三文件为正常文件。

需要说明的是，上述对该第三文件的检测过程可以由该终端执行，也可以由服务器执行。例如，服务器配置预设白名单或者预设黑名单，该终端计算该第三文件的特征值后，可以将该特征值上传至服务器，由服务器根据该预设白名单或预设黑名单以及该特征值，对该第三文件进行检测，将检测结果发送给该终端。

1092、对该第三文件进行解析，得到该第三文件的样本数据，判断该样本数据是否符合规则库中的规则，该规则库中包括异常文件符合的至少一种规则，根据该规则库中该样本数据符合的规则，确定该第三文件是否为异常文件。

考虑到采用预设黑名单进行检测时，需要预先确定异常文件，而有些未知的异常文件该预设黑名单中并不存在，如果采用该预设黑名单进行检测将会造成异常文件遗漏，因此，为了检测出未知的异常文件，该终端可以对该第三文件进行启发式分析检测，从该第三文件的运行情况来判断该第三文件是否为异常文件。

具体地，该终端获取规则库，该规则库中包括异常文件符合的至少一种规则，并对该第三文件进行解析，得到该第三文件的样本数据。判断该样本数据是否符合该规则库中的规则，如果该样本数据符合该规则库中的某一种规则，表示该样本数据可能是异常文件，如果该样本数据不符合该规则库中的某一种，表示该样本数据可能不是异常文件。其中，该样本数据可以包括该第三文件的格式数据、行为数据等，如表示该第三文件格式的可执行文件的标识数据或表示该第三文件会创建进程的标识数据，本发明实施例对此不做限定。

当该规则库中包括多种规则时，该终端可以根据在该规则库中该样本数据符合的规则，以及另外不符合的规则，确定该第三文件是否为异常文件。比如，该终端可以获取该规则库中该样本数据符合的规则数目，以及不符合的规则数目，如果符合的规则数目大于不符合的规则数目，则确定该第三文件为异常文件，如果符合的规则数目不大于不符合的规则数目，则确定该第三文件不是异常文件。例如，该规则库中包括规则1：文件类型为可执行文件、规则2：运行过程中会创建另一进程、规则3：下载后位于指定路径下。那么，当该第三文件为可执行文件并且运行过程中会创建另一进程时，可以确定该第三文件是异常文件。

或者，该终端为每种规则设定权重，并计算该规则库中该样本数据符合的规则的权重之和，当该权重之和大于预设阈值时，确定该第三文件为异常文件，当该权重之和不大于该预设阈值时，确定该第三文件不是异常文件。例如，上述规则1的权重为0.4，上述规则2的权重为0.3，上述规则3的权重为0.3，那么，当该第三文件为可执行文件并且运行过程中会创建另一进程时，其符合的规则的权重之和为0.7，超过了预设阈值0.5，因此可以确定该第三文件是异常文件。

需要说明的是，上述对该第三文件的检测过程可以由该终端执行，也可以由服务器执行。例如，服务器配置规则库，该终端提取该第三文件的样本数据后，可以将该样本数据上传至服务器，由服务器根据该规则库和该样本数据，对该第三文件进行检测，将检测结果发送给该终端。

1093、在该第三文件的运行过程中，收集该第三文件的行为特征，将该行为特征与异常文件的行为特征进行匹配，根据匹配结果确定该第三文件是否为异常文件。

异常文件的行为通常具有特定的规律，不同的异常文件的行为特征类似。因此，为了检测出未知的异常文件，该终端下载到该第三文件后可以先允许该第三文件运行，在运行过程中收集该第三文件的行为特征，判断该第三文件的行为特征与异常文件的行为特征是否匹配。如果该第三文件的行为特征与异常文件的行为特征匹配，则可以确定该第三文件为异常文件，如果该第三文件的行为特征与异常文件的行为特征不匹配，则可以确定该第三文件不是异常文件。

例如，异常文件通常会创建一个新的进程，则在该第三文件的运行过程中，该终端可以监测该第三文件是否创建了新的进程，如果该第三文件也创建了新的进程，即可确定该第三文件为异常文件。

需要说明的是，上述对该第三文件的检测过程可以由该终端执行，也可以由服务器执行。例如，该终端收集该第三文件的行为特征后，可以将该行为特征上传至服务器，由服务器根据该行为特征，对该第三文件进行检测，将检测结果发送给该终端。

需要补充说明的是，该终端可以采用上述步骤1091-1093中的任一种进行检测，也可以将上述步骤1091-1093中的任意多种进行结合。例如，参见图4，该终端可以先采用上述步骤1091进行黑白名单对比，确定该第三文件为正常文件，此时继续采用上述步骤1092，提取该第三文件的样本数据后对该第三文件进行启发式分析检测，确定该第三文件为正常文件，再采用上述步骤1093，提取该第三文件的行为特征进行分析，最终确定该第三文件是异常文件还是正常文件，并根据最终结果确定解决方案。

本发明实施例中，在对该第三文件进行检测之后，即可根据检测结果对该第三文件进行处理，处理方式与该步骤104类似，在此不再赘述。

需要说明的是，上述步骤108-109可以在下载到第三文件之后的任一时刻执行。而关于上述步骤101-104的异常文件检测方案、上述步骤105-107的关键文件修复方案与上述步骤108-109的下载文件保护方案之间的关系，在目标应用的运行中，可以执行该异常文件检测方案、该关键文件修复方案以及该下载文件保护方案，三者互不影响。

在一个示例性实施例中，该异常文件检测方案和该下载文件保护方案可能会针对同一文件进行，也即是在该第三文件和该第一文件为同一文件时，该终端下载到该文件，此时执行该下载文件保护方案对该文件进行检测，检测发现该文件为正常文件时，将其存储在某一路径下，后续当该终端执行该异常文件检测方案时，如果该路径为目标应用对应的配置信息中的可疑路径，则该终端继续对该文件进行检测。

关于方案的时序关系，上述步骤108-109可以在上述步骤103-104之前或之后执行，也可以在上述步骤105-107之前或之后执行等。例如，参见图3，在执行上述步骤105-107对关键文件进行修复后，当下载到文件时，执行上述步骤108-109进行文件检测。

需要说明的是，上述步骤108-109可以由指定接口执行。

本发明实施例提供的方法，通过捕获下载到的第三文件，通过预设的黑白名单或者规则库或者行为特征，对该第三文件进行分析，从而确定该第三文件是否为异常文件，能够及时地检测出下载到的异常文件，提高了安全性。

实际应用过程中，存在挂马应用的情况，挂马是指：通过各种手段，包括SQL(Structured Query Language，结构化查询语言)注入、网站敏感文件扫描、服务器漏洞、网站程序等方法获得网站管理员账号，然后登陆网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个webshell(脚本攻击工具)。利用获得的webshell修改应用的内容，向应用中加入恶意转向代码。或者，也可以直接通过弱口令获得服务器或者网站FTP(File Transfer Protocol，文件传输协议)，然后直接对应用进行修改。后续当访问被挂马的应用时，就会自动的创建一个新的进程，通过该进程访问被转向的地址或者下载木马病毒。

因此，为了实现挂马检测，在图1、图2及图4所示实施例的基础上，该方法还可以包括以下步骤110：

110、Hook(挂钩)该目标应用中的创建进程函数，以捕获用于调用该创建进程函数的操作指令，并在捕获到该操作指令时，展示提示消息，该提示消息用于提示响应该操作指令，当检测到对该提示消息的确认操作时，调用该创建进程函数；或者，当检测到对该提示消息的取消操作时，取消调用该创建进程函数。

Hook函数是一个处理消息的代码段，采用Hook函数可以钩住目标函数，此时如果有其他函数调用该目标函数时，不会先运行该目标函数，而是先运行Hook函数。在Hook函数运行过程中，可以先对传递给目标函数的消息进行加工处理再传递给该目标函数，也可以直接将该消息传递给目标函数，也可以强制结束该消息的传递。

本发明实施例中，该目标应用中包括创建进程函数，如Create Process函数等，该创建进程函数用于创建一个新的进程，每当该目标应用接收到调用该创建进程函数的操作指令，可以响应该操作指令，即调用该创建进程函数来创建进程。

由于异常文件通常会创建一个恶意进程，该进程运行时会对该目标应用造成损害，因此，为了及时地阻止创建恶意进程，可以先Hook该创建进程函数。那么，每当接收到用于调用该创建进程函数的操作指令时，可以捕获到该操作指令，并在响应该操作指令之前展示提示消息，提示用户要响应该操作指令创建一个新的进程。此时，如果用户触发了对该提示消息的确认操作，则该目标应用可以响应该操作指令，调用该创建进程函数，而如果用户触发了对该提示消息的取消操作，则该目标应用不再响应该操作指令，也就不再调用该创建进程函数。

关于上述步骤101-104的异常文件检测方案、上述步骤105-107的关键文件修复方案、上述步骤108-109的下载文件保护方案与上述步骤110的Hook创建进程函数的方案之间的关系，在目标应用的运行中，可以执行该异常文件检测方案、该关键文件修复方案、该下载文件保护方案以及该Hook创建进程函数的方案，四者互不影响。关于方案的时序关系，该步骤110可以在该目标应用运行过程中的任一时刻执行。

需要说明的是，上述步骤110可以由指定接口执行。

本发明实施例提供的方法，通过Hook该目标应用中的创建进程函数，能够及时捕获到用于调用该创建进程函数的操作指令，从而根据用户的操作确定是否要创建进程，能够阻止恶意进程的创建，避免造成损失，提高了安全性。

图5是本发明实施例提供的一种文件处理装置的结构示意图，参见图5，该装置包括：

第一获取模块501，用于获取目标应用的应用标识；

第二获取模块502，用于获取该应用标识对应的配置信息；

检测模块503，用于对第一文件进行检测；

处理模块504，用于对该第一文件进行处理。

可选地，该检测模块503，包括：

计算单元，用于计算该第一文件的特征值；

判断单元，用于判断该特征值与该异常特征值是否一致；

确定单元，用于如果该特征值与该异常特征值一致，确定该第一文件为异常文件。

可选地，该处理模块还用于当确定该第一文件为异常文件时，根据该异常处理方式对该第一文件进行处理。

可选地，该装置还包括：

计算模块，用于计算该第二文件的特征值；

判断模块，用于判断该特征值与该关键特征值是否一致；

替换模块，用于如果该特征值与该关键特征值不一致，则将该关键文件存储于该关键路径下，以替换该第二文件。

可选地，该装置还包括：

捕获模块，用于在该目标应用的运行过程中，当下载到第三文件时，捕获该第三文件；

该检测模块503，还用于对该第三文件进行检测；

该处理模块504，还用于根据该第三文件的检测结果对该第三文件进行处理。

可选地，该检测模块503还包括：

计算单元，用于计算该第三文件的特征值；

确定单元，用于根据预设白名单中确定该第三文件是否为正常文件；或者，该确定单元，用于根据预设黑名单确定该第三文件是否为异常文件。

可选地，该检测模块503还包括：

解析单元，用于对该第三文件进行解析；

规则判断单元，用于判断该样本数据是否符合规则库中的规则；

确定单元，用于确定该第三文件是否为异常文件。

可选地，该检测模块503还包括：

收集单元，用于收集该第三文件的行为特征；

确定单元，用于确定该第三文件是否为异常文件。

可选地，该装置还包括：

挂钩模块，用于挂钩Hook该目标应用中的创建进程函数；

展示模块，用于在捕获到该操作指令时，展示提示消息；

响应模块，用于当检测到对该提示消息的确认操作时，调用该创建进程函数；或者，当检测到对该提示消息的取消操作时，取消调用该创建进程函数。

可选地，该装置应用于该目标应用嵌入的指定接口。

需要说明的是：上述实施例提供的文件处理装置在处理文件时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将终端的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的文件处理装置与文件处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图6是本发明实施例提供的一种终端的结构示意图。该终端可以用于实施上述实施例所示出的文件处理方法。具体来讲：

终端600可以包括RF(Radio Frequency，射频)电路110、包括有一个或一个以上计算机可读存储介质的存储器120、输入单元130、显示单元140、传感器150、音频电路160、传输模块170、包括有一个或者一个以上处理核心的处理器180、以及电源190等部件。本领域技术人员可以理解，图6中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。其中：

RF电路110可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，交由一个或者一个以上处理器180处理；另外，将涉及上行的数据发送给基站。通常，RF电路110包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier，低噪声放大器)、双工器等。此外，RF电路110还可以通过无线通信与网络和其他终端通信。所述无线通信可以使用任一通信标准或协议，包括但不限于GSM(Global System of Mobile communication，全球移动通讯系统)、GPRS(General Packet Radio Service，通用分组无线服务)、CDMA(Code Division Multiple Access，码分多址)、WCDMA(Wideband Code Division Multiple Access,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(Short Messaging Service，短消息服务)等。

存储器120可用于存储软件程序以及模块，如上述示例性实施例所示出的终端所对应的软件程序以及模块，处理器180通过运行存储在存储器120的软件程序以及模块，从而执行各种功能应用以及数据处理，如实现基于视频的交互等。存储器120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据终端800的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器120还可以包括存储器控制器，以提供处理器180和输入单元130对存储器120的访问。

输入单元130可用于接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地，输入单元130可包括触敏表面131以及其他输入终端132。触敏表面131，也称为触摸显示屏或者触控板，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面131上或在触敏表面131附近的操作)，并根据预先设定的程式驱动相应的链接装置。可选的，触敏表面131可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器180，并能接收处理器180发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面131。除了触敏表面131，输入单元130还可以包括其他输入终端132。具体地，其他输入终端132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元140可用于显示由用户输入的信息或提供给用户的信息以及终端800的各种图形用户接口，这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元140可包括显示面板141，可选的，可以采用LCD(Liquid Crystal Display，液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板141。进一步的，触敏表面131可覆盖显示面板141，当触敏表面131检测到在其上或附近的触摸操作后，传送给处理器180以确定触摸事件的类型，随后处理器180根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图6中，触敏表面131与显示面板141是作为两个独立的部件来实现输入和输入功能，但是在某些实施例中，可以将触敏表面131与显示面板141集成而实现输入和输出功能。显示单元140可以提供虚拟三维空间，用户可以进入虚拟三维空间，对视觉、听觉等感官功能进行模拟。

终端600还可包括至少一种传感器150，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板141的亮度，接近传感器可在终端600移动到耳边时，关闭显示面板141和/或背光。作为运动传感器的一种，重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于终端600还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路160、扬声器161，传声器162可提供用户与终端800之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号，传输到扬声器161，由扬声器161转换为声音信号输出；另一方面，传声器162将收集的声音信号转换为电信号，由音频电路160接收后转换为音频数据，再将音频数据输出处理器180处理后，经RF电路110以发送给比如另一终端，或者将音频数据输出至存储器120以便进一步处理。音频电路160还可能包括耳塞插孔，以提供外设耳机与终端600的通信。

终端600通过传输模块170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线或有线的宽带互联网访问。虽然图6示出了传输模块170，但是可以理解的是，其并不属于终端600的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器180是终端600的控制中心，利用各种接口和线路链接整个手机的各个部分，通过运行或执行存储在存储器120内的软件程序和/或模块，以及调用存储在存储器120内的数据，执行终端600的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器180可包括一个或多个处理核心；优选的，处理器180可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器180中。

终端600还包括给各个部件供电的电源190(比如电池)，优选的，电源可以通过电源管理系统与处理器180逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。

尽管未示出，终端600还可以包括摄像头、蓝牙模块等，在此不再赘述。具体在本实施例中，终端的显示单元是触摸屏显示器，终端还包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上处理器执行上述一个或者一个以上程序包含用于实施上述实施例中终端所执行操作的指令。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。