【技术实现步骤摘要】
本专利技术属于信息安全领域,具体地说,涉及一种文件修复方法和系统。
技术介绍
“感染文件”是病毒和木马对用户数据进行破坏和窃取的一种常用手段。所谓“感染文件”可以指将恶意代码添加到正常程序的代码中,使正常程序变成被恶意代码感染了的感染文件,当该感染文件运行时,恶意代码也随正常代码同步运行,进而对用户的数据进行破坏,并不断传播恶意代码,形成更多感染文件,破坏更多的正常程序。进一步地,通过运行这些“被感染程序”窃取用户的数据如用户私密资料、密码或虚拟资产等一系列恶意行为,尤其是,通过感染与操作系统有关的系统文件,实现劫持网络、刷流量、钓鱼支付、盗号 坐寸ο因此,为了确保数据安全,用户通常需要对感染文件进行修复,重新获得正常程序。现有技术中,修复的过程可简要概括为进行样本分析,收集恶意代码库,编写程序制作安全软件,使用安全软件从感染文件中清除恶意代码。使用安全软件清除恶意代码的过程可如下在客户端上扫描文件_>发现感染文件_>定位感染文件对应的代码中恶意代码所在位置_>根据定位的恶意代码如病毒或木马位置,仅将恶意代码部分删除。但是,恶意代码在与安全软件对抗的过程中,形成非常多样的变种,上述现有的方法处理感染文件通常无法实现有效地修复文件,具体存在如下缺点(I)几乎做不到完全修复,很多文件修复之后,还可能残存恶意代码;或者,很多文件修复之后,不能正常执行,个别的还可能会导致系统崩溃或应用软件无法正常使用;(2)无法修复文件时,比如文件被感染度超过80%,则基本无法将恶意代码从原正常文件代码中删除,被迫隔离或者删除感染文件;尤其,无法修复系统关键文件时,被...
【技术保护点】
一种文件修复方法,其特征在于,客户端确定被恶意代码感染形成的感染文件,并获取所述感染文件的属性信息;所述客户端发送所述感染文件的属性信息到服务器进行查询并获取查询结果,所述查询结果包括所述服务器收集的至少一个关联备份文件的属性信息;所述客户端根据所述感染文件的属性信息,从所述查询结果中命中与所述感染文件匹配的关联备份文件,并确定匹配的备份文件包,从所述服务器中匹配的备份文件包中提取并下载备份文件以替代所述感染文件,所述关联备份文件与所述备份文件存储在同一备份文件包中。
【技术特征摘要】
1.一种文件修复方法,其特征在于, 客户端确定被恶意代码感染形成的感染文件,并获取所述感染文件的属性信息; 所述客户端发送所述感染文件的属性信息到服务器进行查询并获取查询结果,所述查询结果包括所述服务器收集的至少一个关联备份文件的属性信息; 所述客户端根据所述感染文件的属性信息,从所述查询结果中命中与所述感染文件匹配的关联备份文件,并确定匹配的备份文件包,从所述服务器中匹配的备份文件包中提取并下载备份文件以替代所述感染文件,所述关联备份文件与所述备份文件存储在同一备份文件包中。2.根据权利要求I所述的方法,其特征在于,所述感染文件的属性信息包括所述感染文件的对应的存放目录属性信息和所述感染文件运行的基本操作系统属性信息、所述感染文件对应的文件名信息、所述感染文件对应的浏览器属性信息、所述感染文件对应的补丁包信息、所述感染文件的时间戳。3.根据权利要求I或2所述的方法,其特征在于,所述客户端发送所述感染文件的属性信息到服务器中以进行查询并获取查询结果,进一步包括 发送所述感染文件的属性信息到服务器中配置的查询接口; 通过所述服务器中配置的查询接口,在所述服务器中的备份文件信息库中进行查询并获取查询结果,所述备份文件信息库中存储有补丁包信息列表和浏览器数据数据包信息列表。4.根据权利要求1-3中任一项所述的方法,其特征在于,所述客户端发送所述感染文件的属性信息到服务器进行查询并获取查询结果,进一步包括 根据所述感染文件的属性信息判断所述感染文件是否为与操作系统相关的可执行文件,如果是,则在所述服务器中的备份文件信息库中进行查询获取对应的查询结果;否则,返回查询失败的结果。5.根据权利要求1-4中任一项所述的方法,其特征在于,根据所述感染文件的属性信息判断所述感染文件是否为与操作系统相关的可执行文件,进一步包括 根据所述感染文件对应的存放目录属性信息和所述感染文件运行的基本操作系统属性信息中的签名信息来判断是否为与操作系统相关的可执行文件,所述感染文件的属性信息包括所述感染文件的对应的存放目录属性信息和所述感染文件运行的基本操作系统属性信息。6.根据权利要求1-5中任一项所述的方法,其特征在于,如果所述感染文件为与操作系统相关的可执行文件,则所述客户端发送所述感染文件的属性信息到服务器进行查询并获取查询结果,进一步包括 根据所述感染文件的属性信息,从所述服务器的备份文件信息库中分别查询对应所述关联备份文件的补丁包信息列表和浏览器数据包信息列表; 其中,所述关联备份文件的补丁包信息列表和浏览器数据包信息列表均包括所述关联备份文件对应的文件名信息、所述关联备份文件对应的存放目录属性信息、所述关联备份文件运行的基本操作系统属性信息、所述关联备份文件对应的浏览器属性信息、所述关联备份文件对应的补丁包信息; 其中,所述感染文件的属性信息包括所述感染文件对应的文件名信息、所述感染文件对应的存放目录属性信息、所述感染文件运行的基本操作系统属性信息、所述感染文件对应的浏览器属性信息、所述感染文件对应的补丁包信息。7.根据权利要求1-6中任一项所述的方法,其特征在于,如果在所述服务器的备份文件信息库中仅查询到对应所述关联备份文件的补丁包信息列表,则所述客户端发送所述感染文件的属性信息到服务器进行查询并获取查询结果,进一步包括 根据所述感染文件的时间戳与所述补丁包信息列表对应所述关联备份文件的时间戳,生成所述补丁包信息列表中列表目录的第一目录相关性权重,根据所述第一目录相关性权重生成所述补丁包信息列表中对应所述关联备份文件与所述感染文件的对应性,以便在所述服务器进行查询并获取和下载对应的所述备份文件,所述感染文件的属性信息包括所述感染文件的时间戳。8.根据权利要求1-7中任一项所述的方法,其特征在于,所述客户端根据所述感染文件的属性信息,从所述查询结果中命中与所述感染文件匹配的关联备份文件,并确定匹配的备份文件包,从所述服务器中匹配的备份文件包中下载备份文件以替代所述感染文件,进一步包括 根据所述第一目录相关性权重选择所述补丁包信息列表中对应的候选列表目录生成下载地址,根据该下载地址客户端从所述服务器下载对应的所述备份文件,其中,对应的所述关联备份文件与关联的所述备份文件关联存储在所述服务器中的同一备份补丁包中。9.根据权利要求1-8中任一项所述的方法,其特征在于,如果在所述服务器的备份文件信息库中仅查询到对应所述关联备份文件的浏览器数据包信息列表,则所述客户端发送所述感染文件的属性信息到服务器进行查询并获取查询结果,进一步包括 根据所述感染文件的时间戳与所述浏览器数据包信息列表对应所述关联备份文件的时间戳,生成所述浏览器数据包信息列表中列表目录的第二目录相关性权重,根据第二目录相关性权重确定所述浏览器数据包信息列表对应所述备份文件与所述感染文件的相关性,以便在所述服务器进行查询并获取和下载对应的所述备份文件。10.根据权利要求1-9中任一项...
【专利技术属性】
技术研发人员:蒙杭州,刘绪平,江爱军,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。