一種用戶端文件的修複方法和系統的製作方法

2023-10-17 01:33:34 2

專利名稱：：一種用戶端文件的修複方法和系統的製作方法
技術領域：
：本發明涉及安全
技術領域：
，特別是涉及一種用戶端文件的修複方法和系統。
背景技術：
：文件感染，是一種病毒和木馬常用的一種技術，由來已久。這種技術是將病毒代碼添加到正常程序的代碼中，從而實現隨被感染程序同步運行的功能，進而對感染電腦進行破壞和自身傳播，以及完成一些諸如盜竊用戶密碼或者虛擬資產，上傳用戶敏感資料等其它惡意行為。而對於感染的文件來說，為了方便用戶，一般需要對用戶感染的文件進行修復。現有技術中，對於感染文件的修復過程是清除插入正常文件的惡意代碼。其過程一般如下用戶端掃描文件->發現受感染的文件->定位文件代碼中病毒或木馬等惡意代碼所在位置_>根據定位的病毒或木馬等惡意代碼位置，將惡意代碼部分刪除。然而，在實際中，由於病毒與安全軟體對抗之後，變種非常多樣，用現有的方法處理被感染的文件存在以下幾個缺點(I)幾乎做不到完全修復；(2)很多文件修復之後，還殘存惡意代碼；(3)很多文件修復之後，不能正常執行(個別的還可能會導致系統崩潰或應用軟體無法正常使用)；(4)無法修復文件時(比如文件被感染度超過80%，則基本無法將惡意代碼從原正常文件代碼中刪除)，被迫隔離(刪除)；(5)無法修復系統關鍵文件時，不敢刪除被迫保留。總之，現有的文件修復技術基本上無法保證將被感染文件中的惡意代碼完整刪除，保證文件正常。
發明內容本發明所要解決的技術問題是提供一種用戶端文件的修複方法和系統，可解決傳統文件修復過程出現的無法修復正常，或者因為感染複雜或者說是系統關鍵文件導致無法修復等問題，保證把可以把正確版本的文件恢復到系統中。為了解決上述問題，本發明公開了一種用戶端文件的修複方法，包括掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常的文件相應的，未出現異常情況前的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；用所述安全的文件替換用戶端相應異常的文件。優選的，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得包括針對每一用戶端，掃描文件的文件特徵信息，並結合對文件變化的監控，生成文件信息日誌；將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件；如果存在未知文件，則通知用戶端將所述未知文件上傳至雲端伺服器；分析所述未知文件的安全等級，並進行記錄。優選的，分析所述未知文件的安全等級包括當所述未知文件的安全等級為被感染等級時，則結合所述文件日誌信息在雲端伺服器查找對應的安全的文件，並通知用戶端下載所述安全的文件；用所述安全的文件替換用戶端所述未知文件。優選的，將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件包括將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息；如果存在所述第一未知文件日誌信息，將所述第一未知文件日誌信息中的文件特徵信息，與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件。優選的，將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息包括將用戶端當前生成的文件日誌信息上傳至雲端伺服器；將雲端伺服器當前接收的文件日誌信息與雲端伺服器記錄的對應所述用戶端的文件信息日誌進行比較，獲取所述雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息。優選的，在記錄文件日誌信息時包括以用戶端文件路徑、文件內容對應的特徵值、文件版本的結構對文件特徵信息進行結構化，獲得結構化文件特徵信息；根據所述文件的安全等級，對所述結構化文件特徵信息進行安全等級標識；將標識完安全等級的結構化文件特徵信息存入對應所述用戶端的文件信息日誌中。優選的，用所述安全的文件進行替換時包括當所述異常文件或者未知文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；當獲取到文件的操作權限後，將所述異常文件或者未知文件用相應安全的文件進行替換。優選的，用戶端獲取或下載安全的文件時包括結合用戶端ID和文件特徵信息在雲端伺服器匹配獲取相應的安全的文件。優選的，用所述安全的文件進行替換時包括用戶端通過將監控的文件變化信息上傳至雲端伺服器，在雲端伺服器查找並獲取距當前時間點最近的安全的文件，並用所述安全的文件將所述異常文件或者未知文件用相應安全的文件進行替換。優選的，所述的文件特徵信息包括文件內容的MD5值，和/或文件的存儲路徑信息，和/或文件的變化信息。優選的，通知用戶端將所述未知文件上傳至雲端伺服器時包括用戶端接收雲端伺服器返回的分片策略，並根據所述分片策略，，對所述待上傳文件進行分片；用戶端以分片為單位向雲端伺服器進行文件上傳；其中，如果不同的用戶端發現同一待上傳文件，則由各個用戶端並行上傳該同一待上傳文件的不同分片。優選的，所述以分片為單位向雲端伺服器進行文件上傳包括按照分片號的順序，向所述雲端伺服器發送文件上傳請求，所述雲端伺服器根據其他用戶端針對該文件的各分片的已上傳情況，確定當前用戶端是否需要上傳當前分片；如果接收到需要上傳的響應消息，則將當前分片上傳到雲端伺服器。相應的，一種用戶端文件的修復裝置，包括感染掃描模塊，用於掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；安全文件獲取模塊，用於如果異常，如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常的文件相應的，未出現異常情況前的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；替換模塊，用於用所述安全的文件替換用戶端相應異常的文件。優選的，還包括文件上傳模塊，所述文件上傳模塊包括日誌信息生成子模塊，用於針對每一用戶端，掃描文件的文件特徵信息，並結合對文件變化的監控，生成文件信息日誌；未知文件判斷子模塊，用於將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件；第一上傳子模塊，用於如果存在未知文件，則通知用戶端將所述未知文件上傳至雲端伺服器；第一判斷子模塊，用於分析所述未知文件的安全等級，並進行記錄。優選的，還包括查找獲取子模塊，用於當所述未知文件的安全等級為被感染等級時，則結合所述文件日誌信息在雲端伺服器查找對應的安全的文件，並通知用戶端下載所述安全的文件；第一替換子模塊，用於用所述安全的文件替換用戶端所述未知文件。優選的，所述未知文件判斷子模塊包括第一未知判斷模塊，用於將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息；第二未知判斷模塊，用於如果存在所述第一未知文件日誌信息，將所述第一未知文件日誌信息中的文件特徵信息，與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件。優選的，所述第一未知判斷模塊包括第二上傳子模塊，用於將用戶端當前生成的文件日誌信息上傳至雲端伺服器；第二判斷子模塊，用於將雲端伺服器當前接收的文件日誌信息與雲端伺服器記錄的對應所述用戶端的文件信息日誌進行比較，獲取所述雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息。優選的，在存儲文件日誌信息時包括信息提取模塊，用於以用戶端文件路徑、文件內容對應的特徵值、文件版本的結構對文件特徵信息進行結構化，獲得結構化文件特徵信息；信息存儲模塊，用於根據所述文件的安全等級，對所述結構化文件特徵信息進行安全等級標識；將標識完安全等級的結構化文件特徵信息存入對應所述用戶端的文件信息日誌中。優選的，所述替換模塊或第一替換模塊包括權限獲取單元，用於當所述異常文件或者所述被感染的未知文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；替換單元，用於當獲取到文件的操作權限後，將所述異常文件或者未知文件用相應安全的文件進行替換。優選的，用戶端獲取或下載安全的文件時包括結合用戶端ID和文件特徵信息在雲端伺服器匹配獲取相應的安全的文件。優選的，替換模塊或第一替換模塊還用於用戶端通過將監控的文件變化信息上傳至雲端伺服器，在雲端伺服器查找並獲取距當前時間點最近的安全的文件，並用所述安全的文件將所述異常文件或者未知文件用相應安全的文件進行替換。優選的，所述的文件特徵信息包括文件內容的MD5值，和/或文件的存儲路徑信息，和/或文件的變化信息。優選的，通知用戶端將所述未知文件上傳至雲端伺服器時包括用戶端接收雲端伺服器返回的分片策略，並根據所述分片策略，，對所述待上傳文件進行分片；用戶端以分片為單位向雲端伺服器進行文件上傳；其中，如果不同的用戶端發現同一待上傳文件，則由各個用戶端並行上傳該同一待上傳文件的不同分片。優選的，所述以分片為單位向雲端伺服器進行文件上傳包括按照分片號的順序，向所述雲端伺服器發送文件上傳請求，所述雲端伺服器根據其他用戶端針對該文件的各分片的已上傳情況，確定當前用戶端是否需要上傳當前分片；如果接收到需要上傳的響應消息，則將當前分片上傳到雲端伺服器。與現有技術相比，本發明包括以下優點本發明通過將各用戶端的安全文件保存在雲端伺服器，當用戶端出現文件異常時，從雲端伺服器下載相應文件的安全版本，替換本地異常的文件，解決傳統文件修復過程出現的無法修復正常，或者因為感染複雜或者說是系統關鍵文件導致無法修復等問題，保證把可以把正確版本的文件恢復到系統中。圖I是本發明一種用戶端文件的修複方法的流程示意圖；圖2是本發明優選一種用戶端文件的修複方法的流程示意圖；圖3是本發明一種用戶端文件的修復裝置的結構示意圖4是本發明優選一種用戶端文件的修復裝置的結構示意圖；圖5是本發明一種用戶端文件的修復系統的結構示意圖。具體實施例方式為使本發明的上述目的、特徵和優點能夠更加明顯易懂，下面結合附圖和具體實施方式對本發明作進一步詳細的說明。本發明可以及時準確的將各用戶端的安全版本文件上傳至雲端伺服器保存，當用戶端某個文件異常時，則根據異常文件的相關文件特徵信息從雲端伺服器獲取與所述異常文件相應的安全的文件至用戶端，然後用所述安全的文件替換用戶端相應異常的文件。本發明優選的，針對的是用戶端系統中的可執行文件，比如windows系統中的PE文件(PE文件被稱為可移植的執行體是PortableExecute的全稱，PE文件是微軟Windows作業系統上的程序文件。常見的EXE、DLL、OCX、SYS、COM都是PE文件)，比如移動終端(智慧型手機等)中的可執行文件(比如系統文件)。因為對於上述這類文件，各用戶端中的文件基本相同，(比如對於windowsXP系統，那麼其中的系統文件則基本上相同)，那麼在雲端伺服器則可具有相對充裕的空間存儲上述文件。參照圖1，示出了本發明一種用戶端文件的修複方法的流程示意圖，具體可以包括步驟110，掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；在本發明實施例中，判斷文件是否異常可由用戶端判斷，也可由雲端伺服器的伺服器判斷。在掃描時，可獲取相應文件的文件特徵信息。其中文件特徵信息包括文件的MD5值(MessageDigestAlgorithmMD5,中文名為消息摘要算法第五版)，文件在用戶端的存儲路徑等。所述文件特徵信息包括用於查詢相應文件是否在雲端伺服器存儲的信息。其中，所述的文件特徵信息包括文件內容的MD5值，和/或文件的存儲路徑信息，和/或文件的變化信息。本發明實施例中，文件特徵信息可包括文件內容的MD5值，文件路徑的MD5值，文件的變化信息，還可包括時間戳等。對於異常文件，其存在多種情況其一，比如對於系統文件來說，本發明實施例可以在安全監控中設置「文件白名單+文件籤名」的形式判斷系統文件是否正常，當系統文件不具備其中之一即可認為系統文件為異常文件，即當系統文件不在文件白名單中、和/或文件籤名不對，即可認為系統文件是異常的。其中，文件籤名比如文件內容的MD5值等。其二，對於個人編譯的可執行文件來說，可通過掃描判斷其是否被感染(中毒)來判斷是否異常。本發明中，判斷文件被感染的方法包括多種，比如特徵代碼法、校驗和法等。這些方法依據的原理不同，實現時所需開銷不同，檢測範圍不同，各有所長。I、特徵代碼法的實現步驟如下採集已知病毒文件，病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時採集COM型病毒文件和EXE型病毒文件。在病毒文件中，抽取特徵代碼。依據如下原則抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度，一方面維持特徵代碼的唯一性，另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵代碼增長一字節，要檢測3000種病毒，增加的空間就是3000位元組。在保持唯一性的前提下，儘量使特徵代碼長度短些，以減少空間與時間開銷。在既感染COM文件又感染EXE文件的病毒文件中，要抽取兩種文件共有的代碼。將特徵代碼納入病毒資料庫。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒資料庫中的病毒特徵代碼。如果發現病毒特徵代碼，由於特徵代碼與病毒一一對應，便可以斷定，被查文件中患有何種病毒。2、校驗和法，將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法。運用校驗和法查病毒採用三種方式①在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態的校驗和，將校驗和值寫入被查文件中或檢測工具中，而後進行比較。②在應用程式中，放入校驗和法自我檢查功能，將文件正常狀態的校驗和寫入文件本身中，每當應用程式啟動時，比較現行校驗和與原校驗和值。實現應用程式的自檢測。③將校驗和檢查程序常駐內存，每當應用程式開始運行時，自動比較檢查應用程式內部或別的文件中預先保存的校驗和。對於檢查文件被病毒感染的方法可包括多種，本發明不對其加以限制。步驟120，如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常的文件相應的，未出現異常情況前的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；如果掃描發現文件異常，那麼根據所述文件特徵信息從雲端伺服器查詢相應異常文件的安全版的文件，然後由用戶端從雲端伺服器下載至本地。比如用戶的bass_aac.dll文件異常，根據bass_aac.dll的文件特徵信息，比如文件內容的MD5值，和存儲路徑的MD5值等在雲端伺服器查找相應的安全的bass_aac.dll文件,然後由用戶端將該安全的bass_aac.dll文件下載至本地。所述在雲端伺服器存儲文件時用到的文件特徵信息可包括文件名，文件內容的MD5值等。本發明實施例的文件可進行唯一性存儲，即同一個文件只存儲一份，不重複存儲。然後對於不同用戶端的對應相同文件的文件特徵信息與所述文件進行多對一進行對應即可。比如對於前述windows系統中的bass_aac.dll文件,基本上各個用戶端均存在該文件，那麼雲端伺服器只存儲一份bass_aac.dll文件,然後各個用戶端的文件特徵信息以bass_aac.dll+對應MD5值與bass_aac.dll對應即可。在本發明實施例中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得。即在雲端伺服器存儲文件，可全部由用戶端上傳，也可首先對於各用戶端中重複率高的文件由雲端伺服器自己整理上傳，而不用通過用戶端上傳。比如windows系統文件，各種windows系統文件基本上相同，因此,可由雲端伺服器自己將windows系統文件進行上傳和存儲。另外，還比如對於UNIX系統文件、智慧型手機的系統文件(比如android安卓的系統文件)等。那麼對於在上傳用戶端的文件時，對於上述已經上傳了的文件，即可不對其進行上傳。節省上傳時間，提高效率。本發明的上傳是基於直接從用戶端(比如某地域內的n億用戶)直接上傳到雲端伺服器端。步驟130，用所述安全的文件替換用戶端相應異常的文件。當用戶端得到與異常文件相應的安全版的文件時，那麼將安全的文件替換異常的文件即可。如果無法在雲端伺服器查找到異常文件相應的安全版的文件，那麼可採用傳統的修復技術。其中，用所述安全的文件替換用戶端相應異常的文件包括當所述異常文件或者所述被感染的未知文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；當獲取到文件的操作權限後，將所述異常文件或者未知文件用相應安全的文件進行替換。如此，用戶端的異常文件還原為安全的文件，並且避免了由於傳統的修復技術導致的修復不完整或者因為感染複雜等情況而無法修復等問題。另外，在本發明中，判斷出文件異常之後，還包括提示用戶端是否允許對異常文件進行替換。比如在判斷文件異常之後，在從雲端伺服器下載與所述異常的文件相應的，未出現異常情況前的安全的文件之前即提示用戶端，是否允許下載安全版的文件並進行替換。如果用戶不允許，則可採用傳統修復技術對異常文件進行修復。本發明可替換系統文件(包括各個版本的作業系統，windows2000,xp，2003，vista,windows7,windows8)和第三方常用軟體(比如QQ,迅雷，，飛信,360系列軟體等。除了上述系統文件和第三方常用軟體外，還包括用戶端機器上所有的可執行文件。本發明中，可替換的文件主要依賴於白名單對於文件和軟體的收集，只要是白名單內收集的文件或軟體，都是可以替換的。其中，白名單在搜集可替換的文件和軟體時，可判斷其是否為可執行文件或者說是否為可替換的文件比如通過文件的擴展名(.com，.exe,.dll等)進行判斷。參照圖2，其示出了本發明優選的一種用戶端文件的修複方法的流程示意圖，具體可以包括步驟210，針對每一用戶端，掃描文件的文件特徵信息，並結合對文件變化的監控，生成文件信息日誌；本步驟針對每一個用戶端，首先掃描文件的文件特徵信息，並結合對文件變化的監控，生成文件信息日誌。在本發明實施例中，首先掃描的可為文件的內容MD5值，然後結合當前文件的文件名、文件路徑，文件的變化情況等生成文件信息日誌。其中文件的變化情況包括，對於同一MD5值的文件，如果其用於將其存儲路徑進行變更，那麼記錄其存儲路徑的變化，比如如果文件A.exe原來的路徑為D:\A\A，而用戶將其移動至E:\A\A，並修改名字為B.exe，那麼對文件的監控即記錄E:\A\A中的B.exe由D:\A\A中的D:\A\A變動過來的，生成文件日誌信息時也對該條移動信息進行記錄。在本發明實施例中，可以在用戶端初始安裝文件存儲環境，保證用戶端系統安全時，將用戶端系統中的文件進行掃描生成日誌，然後將雲端伺服器未存儲的文件上傳至雲端伺服器進行存儲。然後再進入步驟210。當然對於本發明實施例，用戶初始使用時，也可直接進入步驟210。步驟220，將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件；本發明實施例在雲端伺服器存儲與用戶端相關的文件時，可通過上傳用戶端的文件獲得。當得到文件信息日誌後，可根據文件信息日誌中的文件特徵信息與雲端伺服器記錄的文件特徵信息進行比較，判斷是否存儲在未知文件。比如雲端伺服器對於其存儲的文件的文件名和文件的MD5值進行了記錄，那麼可將文件日誌信息中的MD5值與雲端伺服器記錄的文件特徵信息中的MD5值進行比較，如果不存在，則判斷其為相對於雲端伺服器的未知文件。然後將用戶端日誌信息中被雲端伺服器判斷為未知文件的文件特徵信息通知給用戶端。優選的，將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件包括步驟S10，將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息；對於已經使用至少一次本發明實施例的用戶端來說，本發明實施例可記錄當前掃描之前進行掃描時生成的文件日誌信息。比如用戶端第一次掃描時生成了一份文件日誌信息，該文件日誌信息被記錄，那麼用戶端第二次掃描時的文件日誌信息即可與以前記錄的文件日誌信息進行比較，進行第一次未知文件特徵信息的判斷，獲得第一未知文件日誌信肩、O對於本發明實施例來說，用戶端第一次使用時，最優初始環境為未異常任何文件的安全環境，比如初始安裝後安全環境。對於第一次使用本發明實施例的用戶端來說，其初始環境為安全環境，那麼可對其生成初始的文件日誌信息，該文件日誌信息對應該用戶端各安全文件的相關文件特徵信息。在本發明實施例中，對於用戶端當前產生的日誌信息之前的文件日誌信息，可由用戶端本身記錄，也可由雲端伺服器進行記錄，由雲端伺服器進行記錄時，以用戶端標識進行對應記錄，避免文件日誌信息的混淆。其中，如果由雲端伺服器進行記錄時，優選的，可單獨劃分一個雲端伺服器日誌伺服器進行記錄。另外，優選的，對於上傳的文件可單獨劃分文件伺服器存儲用戶端上傳的文件，然後將文件特徵信息與相應的文件進行對應。其中，存儲文件時，對於非安全的文件和安全的文件可分開存儲。優選的，將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息包括步驟S11，將用戶端當前生成的文件日誌信息上傳至雲端伺服器；步驟S12，將雲端伺服器當前接收的文件日誌信息與雲端伺服器記錄的對應所述用戶端的文件信息日誌進行比較，獲取所述雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息。。那麼當由用戶端本身對文件日誌信息記錄時，如果獲得第一未知文件日誌信息時，將所述第一未知文件日誌信息發送至雲端伺服器，進入步驟S12。當有雲端伺服器對用戶端的文件日誌信息進行記錄時，用戶端首先將當前的文件日誌信息上傳至雲端伺服器，雲端伺服器將用戶端當前上傳的文件日誌信息與雲端伺服器記錄的對應該用戶端以前的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文0件日誌信息中不存在的第一未知文件日誌信息，如果存在，轉入步驟S12,該第一未知文件日誌信息是當前上傳的文件日誌信息與雲端存儲的對應用戶端的文件日誌信息相比，雲端存儲的對應用戶端的文件日誌信息中所沒有的。在本發明實施例中，所述在雲端伺服器存儲文件時用到的文件特徵信息可包括文件名，文件內容的MD5值，用戶端文件路徑；對一個文件，還可加入文件上傳時的時間戳或者相應的版本號作為版本標識，同時對文件的安全等級進行標識，本發明實施例中一般對文件的路徑MD5值進行安全等級標識。即本發明實施例的文件特徵信息的存儲形式可以時「文件名PATH(用戶端文件路徑MD5)+TEXT(文件內容MD5)」的形式進行存儲，其中對PATH進行安全等級標識。優選的，還可以是「文件名PATH(路徑MD5)+TEXT(文件內容MD5)+VERSION(版本標識)」進行存儲，其中對PATH進行安全等級標識。在本實施例中，在上傳時，還可將用戶端ID上傳，然後存儲文件信息時，將用戶端ID也一併存儲。所述用戶端ID比如根據用戶機器的硬體生成一個序列號(比如現在使用的MID)，還可利用用戶在雲端伺服器註冊的帳號和MID結合生成。優選的，在存儲文件日誌信息時包括步驟All，以用戶端文件路徑、文件內容對應的特徵值、文件版本的結構對文件特徵信息進行結構化，獲得結構化文件特徵信息；即前述的「文件名PATH(用戶端文件路徑MD5)+TEXT(文件內容MD5)」的形式。步驟A12，根據所述文件的安全等級，對所述結構化文件特徵信息進行安全等級標識；將標識完安全等級的結構化文件特徵信息存入對應所述用戶端的文件信息日誌中。步驟S20，如果存在所述第一未知文件日誌信息，將所述第一未知文件日誌信息中的文件特徵信息，與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件。如果步驟S20中，獲得了第一未知文件日誌信息，那麼將所述第一未知文件日誌信息中的文件特徵信息，與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件。步驟230，如果存在未知文件，則通知用戶端將所述未知文件上傳至雲端伺服器；因為雲端伺服器是存儲的各個用戶端上傳的文件，因此對於某個用戶端來說，其新老文件日誌信息的對比中，出現的第一未知文件日誌信息中的文件特徵信息，其對應的文件可能已經由其他用戶端上傳，並且該文件相關的文件特徵信息已經記錄在雲端伺服器。那麼該種情況，對於雲端伺服器來說，所述第一未知文件日誌信息中的文件特徵信息就不是未知文件，可不通知用戶端上傳所述文件特徵信息對應的文件。在雲端伺服器中，存儲的文件可按一定規則與文件特徵信息進行對應，並用於與用戶端上傳的文件特徵信息進行比較，並搜索和查詢相應的文件。比如以文件的MD5值與文件進行對應。本發明的上傳是基於直接從用戶端(比如某地域內的n億用戶)直接上傳到雲端伺服器端。在本實施例中，上傳前需要對判斷文件是否需要上傳，即進行與雲端伺服器存儲的文件相比的重複性判斷。另外，本發明人在實現本發明的過程中發現，現有技術中之所以會存在文件上傳成功率及效率低的問題，是因為，由發現可疑文件的用戶端直接將整個文件上傳到伺服器，這樣，如果一個文件太大，而用戶端可以使用的上傳帶寬比較小的話，就可能導致上傳失敗，另外，僅使用一個用戶端進行同一個文件的上傳，也會使得該用戶端的上傳負擔比較重，也將導致上傳的速度很慢。因此，在本發明實施例中，採用分片及多用戶端並行上傳的機制，這樣，一方面，由於對文件進行了分片，因此，可以避免由於文件過大導致的上傳失敗現象，提高上傳的成功率；另一方面，如果多個用戶端都發現了同一可疑文件，則由於多用戶端可以並行上傳該可疑文件的不同分片，因此，也可以在降低單個用戶端的上傳負擔的同時，避免受到一個用戶端上傳帶寬的限制，提高上傳的效率。因此，優選的，通知用戶端將所述未知文件上傳至雲端伺服器時包括步驟LI，用戶端接收雲端伺服器返回的分片策略，並根據所述分片策略，，對所述待上傳文件進行分片；本實施例中通過雲端的管理伺服器返回分片策略至用戶端，對所述待上傳文件進行分片。用戶端在接收到雲端的管理伺服器的分片策略之後，就可以對待上傳的文件進行分片，同時，還可以為各個分片分配分片號(具體如何編號也可以包含在分片策略中)。分片之後，每一片仍採用原來的數據格式，且可以保留原文件的標識符，但只包含原文件的部分數據。並且，一旦完成分片後，每個分片就都可以作為獨立的數據傳輸單元進行傳送。其中，具體的分片方法可以採用已有技術中的方法來實現，這裡不再詳述。步驟L2，用戶端以分片為單位向雲端伺服器進行文件上傳；其中，如果不同的用戶端發現同一待上傳文件，則由各個用戶端並行上傳該同一待上傳文件的不同分片。本實施例中用戶端以分片為單位向雲端的數據伺服器進行文件上傳。用戶端在完成分片之後，就可以以分片為單位進行文件的上傳，並且，由於可能有多個用戶端都發現了同一文件，因此，就可以由這些用戶端分別上傳一部分分片，這樣就可以避免一個用戶端的上傳任務過重，並且由於可以多個用戶端可以並行上傳，因此，上傳的效率就可以得到大幅的提聞。其中，用戶端在上傳各個分片時，可以按照分片號的順序，向管理伺服器發送文件上傳請求，管理伺服器根據其他用戶端針對該文件的各分片的已上傳情況，確定當前用戶端是否需要上傳當前分片；如果需要，則向用戶端發出需要上傳的指示，用戶端接收到需要上傳的響應消息，則將當前分片上傳到數據伺服器，否則，就可以不必上傳該分片。例如，假設某文件被分為3個分片，當某用戶端A請求上傳其中的分片I時，如果已經有其他用戶端上傳了該分片，或者有其他用戶端正在上傳在分片，那麼管理伺服器就可以指示該用戶端A不需要上傳該分片；用戶端A在接收到該指令之後，就可以放棄對分片I的上傳請求，繼而向管理伺服器發出上傳分片2的請求。否則，如果在接收到用戶端A上傳分片I的請求時，分片I尚未上傳到數據伺服器，也沒有其他用戶端正在上傳該分片1，那麼管理伺服器就會向用戶端A發出上傳該分片的指令，用戶端A接收到該指令之後，就可以上傳該分片I;待完成分片I的上傳之後，再向管理伺服器發出上傳分片2的請求，以此類推。需要說明的是，針對同一待上傳文件，管理伺服器分配的分片策略是相同的。也就是說，假設有三個用戶端都發現了上述例子中的文件，則向這三個用戶端發送的分片策略都應該是分成三個分片，並且每個分片的大小及編號等在各個用戶端之間都是一致的。當然，另外需要說明的是，在實際應用中，各個用戶端並不一定是同一時刻發現同一文件，而是存在時間上的先後性，但是使用前述方式進行每個分片的上傳時，並不影響本發明實施例的實現。例如，用戶端A最先發現了某文件，在根據管理伺服器的策略對文件進行分片之後，首先將分片I上傳到數據伺服器；就在用戶端A上傳分片I的過程中，用戶端B也發現了該文件，管理伺服器同樣指示該用戶端B按照同樣的策略對文件進行分片，並且用戶端B在發起上傳分片I的請求時，管理伺服器就可以指示該用戶端B不必上傳該分片1，於是用戶端B再向管理伺服器發起上傳分片2的請求，如果在此之前還沒有其他用戶端上傳該分片2，就可以指示該用戶端B可以上傳該分片2，於是用戶端B就可以開始上傳該分片2，以此類推。需要說明的是，由於在上傳的過程中已經對文件進行了分片，因此，在伺服器側還需要再對各個分片進行組包，以得到完整的文件。而在本發明實施例中，由於同一文件的不同分片可能是由不同的用戶端上傳的，而根據各個用戶端所處的地理位置的不同，管理伺服器針對不同的用戶端選擇的數據伺服器可能是不同的，這樣，同一文件的不同分片可能被上傳的不同的數據伺服器上去。針對這種情況，還可以首先將不同用戶端上傳的同一文件的各個分片路由到同一個組包伺服器，然後由組包伺服器對各個分片進行組包。具體實現時，數據伺服器(相當於是上傳接收機)可以是個集群，每個數據伺服器都可以接收分片上傳，分片上傳到數據伺服器之後，可以由分片分發進程把各個分片路由到組包集群上。具體的，這個進程可以先去請求一下調度中心，得到該分片應該去哪個組包伺服器，調度中心根據文件的md5(MessageDigestAlgorithm,消息摘要算法第五版,是計算機安全領域廣泛使用的一種散列函數，用以提供消息的完整性保護)給分發進程分配一個合適的組包伺服器，每個組包伺服器都會起動一個組包worker等待組包，這樣同一文件的所有分片就會落在同一臺組包伺服器中。需要說明的是，本發明實施例所述的數據伺服器、組包伺服器可以是物理上相互獨立的機器，也可以使用同一機器中提供不同的服務，本發明實施例在描述時重點突出功能性，但並不能看作是對本發明的限制。其中，上述的調度中心可以用來監控組包機器的狀態，該調度中心是冗餘的，可以熱切；當一個分片請求調度中心時候，可以根據文件的md5,通過hash算法找到相應的組包伺服器，當某臺組包伺服器失效時候，調度中心會檢測到該組包伺服器失效，並把狀態置為無效，同時選擇一臺備份機器頂替掉失效的機器。通過這種機制，可以提高系統的容錯能力，保證組包服務的可靠運行。進一步，優選的，所述以分片為單位向雲端伺服器進行文件上傳包括步驟L11，按照分片號的順序，向所述雲端伺服器發送文件上傳請求，所述雲端伺服器根據其他用戶端針對該文件的各分片的已上傳情況，確定當前用戶端是否需要上傳當前分片；步驟L12，如果接收到需要上傳的響應消息，則將當前分片上傳到雲端伺服器。如果不存在，則不上傳任何文件。步驟240，分析所述未知文件的安全等級，並進行記錄。為了保證提供給用戶端的文件是安全文件，對於用戶端上傳的文件，需要雲端伺服器判斷其是否為安全文件，如果是安全文件，則標記其安全等級為安全。如果是其他情況，則對其進行相應安全等級的標記，比如可疑，中毒等，然後對對相應文件特徵信息及相應安全等級進行記錄，比如被感染等級。在上述上傳過程中，本發明實施例的文件可進行唯一性存儲，即同一個文件只存儲一份，不重複存儲。比如對於用戶端A，雲端伺服器通過前述步驟發現其存在未知文件打161、打162、打163，那麼通知用戶端4上傳打161、打162、打163至雲端伺服器進行存儲，雲端伺服器記錄相應的文件特徵信息。然後對於用戶端B，其中存在文件filel、file3、file4，那麼此時，雲端伺服器通過上述步驟檢測到用戶端B中存在未知文件file4，那麼通知用戶端B上傳file4。進一步的，分析所述未知文件的安全等級包括步驟S250，當所述未知文件的安全等級為被感染等級時，則結合所述文件日誌信息在雲端伺服器查找對應的安全的文件，並通知用戶端下載所述安全的文件；當雲端伺服器判斷用戶端上傳的文件為被感染的文件時，則結合所述文件日誌信息在雲端伺服器查找對應的安全的文件，並通知用戶端下載所述安全的文件。在雲端伺服器查找相應被感染文件的安全文件時，需要根據文件日誌信息獲取安全文件的列表。比如，對於本發明實施例採用文件內容的MD5值對文件進行對應，那麼因為對於一個文件，其感染後，感染前後的文件內容MD5值變化，則無法直接根據MD5值查找雲端伺服器存儲的相應文件。比如對於用戶端B的filel，file3,file4，其安全文件的文件內容MD5值為666666666666666666666666666666AA，666666666666666666666666666666BB，666666666666666666666666666666CC；其路徑均為D:A\A。感染後的相應的文件內容MD5值為666666666666666666666666666666DD，666666666666666666666666666666EE，666666666666666666666666666666FF；其中，filel，file3路徑為D:A\A，文件file4的路徑為E:B\B，由D:A\A移動得到。那麼根據掃描和監控用戶端B得到的文件日誌信息，可知道MD5值為666666666666666666666666666666DD對應的文件是D:A\A\filel，相應的安全版本的內容值為666666666666666666666666666666AA；MD5值為666666666666666666666666666666EE對應的文件是D:A\A\file3;相應的安全版本的內容值為666666666666666666666666666666BB；MD5值為666666666666666666666666666666FF對應的文件是D:A\A\file4，相應的安全版本的內容值為666666666666666666666666666666CC。那麼可根據安全版本的MD5值在雲端伺服器查詢相應的安全的filel、file3和file4，並下載給用戶端B。在本實施例中，用戶端獲下載安全的文件時包括結合用戶端ID和文件特徵信息在雲端伺服器匹配獲取相應的安全的文件。即結合前述用戶端ID和PATH(路徑MD5)+TEXT(文件內容MD5)+VERSION(版本標識)等形式。步驟S260，用所述安全的文件替換用戶端所述未知文件。其中，還可將雲端伺服器確認安全的未知文件，加入安全的白名單，並記錄其籤名信息。當用戶端獲取到被感染文件對應的安全版的文件時，即獲取到該文件被感染之前上傳至雲端的安全的文件時，則用所述安全版的文件替換所述被感染的文件。在本實施例中，用戶端獲取時包括結合用戶端ID和文件特徵信息在雲端伺服器匹配獲取相應的安全的文件。當雲端伺服器不存在被感染文件相應的安全版本的文件時，則將所述被感染文件使用安全軟體傳統的修複方式修復，隔離或者刪除。其中，用所述安全的文件替換用戶端所述未知文件包括步驟S30，當所述被感染的未知文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；步驟S31，當獲取到文件的操作權限後，將所述所述未知文件用相應安全的文件進行替換。另外，用所述安全的文件進行替換時包括用戶端通過將監控的文件變化信息上傳至雲端伺服器，在雲端伺服器查找並獲取距當前時間點最近的安全的文件，並用所述安全的文件將所述異常文件或者未知文件用相應安全的文件進行替換。比如，用戶端A的文件b.exe在2012-1-11日上傳至雲端時其MD5值為al，但是，用戶端在2012-2-15日對b.exe的內容進行了修改，其MD5值是變為了a2，那麼將a2也上傳至雲端伺服器，al和a2均為安全。而在2012-4-20日通過前述步驟發現b.exe中毒，那麼可根據前述方法從雲端查找並最近的b.exe的安全的文件，即雲端伺服器存儲的2012-2-15的b.exe,然後將2012-2-15的b.exe替換當前被感染的文件b.exe。另外，在本發明中，判斷出未知文件被感染之後，還包括提示用戶端是否允許對被感染的未知文件進行替換。比如在判斷出被感染的未知文件之後，在從雲端伺服器下載與所述被感染的未知文件相應的，被感染前的安全的文件之前，即提示用戶端，是否允許下載安全版的文件並進行替換。如果用戶不允許，則可採用傳統修復技術對異常文件進行修復。在各個系統中，每個文件均存在其操作權限，比如windows文件中有完全控制、修改、讀取和運行、讀取、寫入等權限，還有文件被調用時的禁止修改的操作權限。那麼本發明可通過權限獲取驅動獲取文件的操作權限。本發明中具體的權限獲取技術方法較多，本發明不對其加以限制。步驟270，掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；步驟280，如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常文件相應的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；步驟290，用所述安全的文件替換用戶端相應異常的文件。其中步驟270、280和290基本與實施例I基本相似。其中掃描可與文件上傳過程並行，也可異步執行。·0218]在步驟270中，對用戶端文件的是否感染的掃描可採用用戶端本身自帶的傳統殺毒軟體使用的病毒特徵庫進行掃描，還包括使用通過雲端伺服器比對的雲查殺引擎進行掃描。。在掃描的同時，獲取文件的文件特徵信息。在獲取文件特徵信息時也結合監控文件變化得到信息對掃描的文件特徵信息進行處理，得到最終用於在雲端伺服器進行查詢與所述異常文件相應的安全的文件特徵信息。比如對於D:\A\filel，如果用戶在上傳D:\A\filel之後，將其在用戶端的存儲路徑改變，將其名字改變比如改為file6，路徑也更改，即E:\A\file6，那麼本發明實施例中則監控filel的改變過程，而此時如果file6異常，也可知道file6對應的安全文件為原D:\A\filel。則可將該信息上傳至雲端伺服器。在本發明實施例中，當由用戶端的殺毒引擎能夠確認感染的文件，則將其上述文件特徵信息發送至雲端伺服器。如果用戶端的殺毒引擎不能判斷文件是否異常，則可將其作為未知文件上傳至雲端伺服器進行查殺，並將其上述文件特徵信息也上傳至雲端伺服器。在步驟280中，對於異常文件，則根據由前述掃描及監控過程得到的文件特徵信息，基於該信息在雲端伺服器中存儲的文件中查找相應安全版本的文件，然後提供給用戶端下載。當用戶端下載與所述異常文件相應的安全的文件時，則轉入步驟290用所述安全的文件替換用戶端相應異常的文件。其中，用所述安全的文件替換用戶端相應異常文件包括步驟S291，當異常文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；步驟S292，當獲取到文件的操作權限後，將所述異常的文件用所述安全的文件進行替換。在各個系統中，每個文件均存在其操作權限，比如windows文件中有完全控制、修改、讀取和運行、讀取、寫入等權限，還有文件被調用時的禁止修改的操作權限。那麼本發明可通過權限獲取驅動獲取文件的操作權限。本發明中具體的權限獲取技術方法較多，本發明不對其加以限制。另外，在本發明中，判斷出文件異常之後，還包括提示用戶端是否允許對異常文件進行替換。比如在判斷文件異常之後，在從雲端伺服器下載與所述異常的文件相應的，未出現異常情況前的安全的文件之前即提示用戶端，是否允許下載安全版的文件並進行替換。如果用戶不允許，則可採用傳統修復技術對異常文件進行修復。參照圖3，其示出了本發明一種用戶端文件的修復裝置的結構示意圖，包括感染掃描模塊310，用於掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；安全文件獲取模塊320，用於如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常文件相應的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；替換模塊330，用於用所述安全的文件替換用戶端相應異常的文件。所述替換模塊包括替換單元，用於當異常文件存在操作權限限制時，通過權限獲取驅動獲取文件的操作權限。其中，所述感染掃描模塊可存在於用戶端，也可存在於雲端伺服器。另外，還包括替換提示模塊，用於提示用戶端是否允許對異常文件進行替換。參照圖4，其示出了本發明優選的一種用戶端文件的修復裝置的結構示意圖，包括文件上傳模塊，所述文件上傳模塊包括日誌信息生成子模塊410，用於針對每一用戶端，掃描文件的文件特徵信息，並結合對文件變化的監控，生成文件信息日誌；未知文件判斷子模塊420，用於將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件；第一上傳子模塊430，用於如果存在未知文件，則通知用戶端將所述未知文件上傳至雲端伺服器；第一判斷子模塊440，用於分析所述未知文件的安全等級，並進行記錄。優選的，還包括查找獲取子模塊S450，用於當所述未知文件的安全等級為異常等級時，則結合所述文件日誌信息在雲端伺服器查找對應的安全的文件，並通知用戶端下載所述安全的文件；第一替換子模塊S460，用於用所述安全的文件替換用戶端所述未知文件。感染掃描模塊470，用於掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；安全文件獲取模塊480，用於如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常文件相應的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；替換模塊490，用於用所述安全的文件替換用戶端相應異常的文件。其中，所述未知文件判斷子模塊包括第一未知判斷模塊，用於將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息；第二未知判斷模塊，用於如果存在所述第一未知文件日誌信息，將所述第一未知文件日誌信息中的文件特徵信息，與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件。其中，所述第一未知判斷模塊包括第二上傳子模塊，用於將用戶端當前生成的文件日誌信息上傳至雲端伺服器；第二判斷子模塊，用於將雲端伺服器當前接收的文件日誌信息與雲端伺服器記錄的對應所述用戶端的文件信息日誌進行比較，獲取所述雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息。其中，第一上傳子模塊包括，文件分片單元202，用於用戶端接收雲端伺服器返回的分片策略，並根據所述分片策略，對所述待上傳文件進行分片；分片上傳單元203，用於用戶端以分片為單位向雲端伺服器進行文件上傳；其中，如果不同的用戶端發現同一待上傳文件，則由各個用戶端並行上傳該同一待上傳文件的不同分片。其中，在存儲文件日誌信息時包括信息提取模塊，用於以用戶端文件路徑、文件內容對應的特徵值、文件版本的結構對文件特徵信息進行結構化，獲得結構化文件特徵信息；信息存儲模塊，用於根據所述文件的安全等級，對所述結構化文件特徵信息進行安全等級標識；將標識完安全等級的結構化文件特徵信息存入對應所述用戶端的文件信息日誌中。其中，所述替換模塊或第一替換模塊包括權限獲取單元，用於當所述異常文件或者所述被感染的未知文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；替換單元，用於當獲取到文件的操作權限後，將所述異常文件或者未知文件用相應安全的文件進行替換。還包括替換提示模塊，用於提示用戶端是否允許對異常文件、和/或被感染的未知文件進行替換。參照圖5，其示出了本發明一種用戶端文件的修復系統的結構示意圖，包括各用戶端和雲端伺服器，其中雲端伺服器包括雲端伺服器日誌伺服器和雲端伺服器文件伺服器。每個用戶端可用於上傳未知文件及文件日誌信息，還可用於判斷其文件是否感染。雲端伺服器日誌伺服器可用於存儲各用戶端上傳的文件日誌信息，和與文件伺服器中文件存在對應關係的文件特徵信息。雲端伺服器文件伺服器可用於存儲用戶端上傳的文件，和判定文件是否異常，並提供給安全文件給用戶端下載。具體模塊功能如前方法實施例所述，在此不在加以詳述。對於系統實施例而言，由於其與方法實施例基本相似，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。本說明書中的各個實施例均採用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似的部分互相參見即可。最後，還需要說明的是，在本文中，諸如第一和第二等之類的關係術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關係或者順序。本領域內的技術人員應明白，本發明的實施例可提供為方法、系統、或電腦程式產品。因此，本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且，本發明可採用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限於磁碟存儲器、CD-ROM、光學存儲器等)上實施的電腦程式產品的形式。本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。這些電腦程式指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的製造品，該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。這些電腦程式指令也可裝載到計算機或其他可編程數據處理設備上，使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理，從而在計算機或其他可編程設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。儘管已描述了本發明的優選實施例，但本領域內的技術人員一旦得知了基本創造性概念，則可對這些實施例做出另外的變更和修改。所以，所附權利要求意欲解釋為包括優選實施例以及落入本發明範圍的所有變更和修改。以上對本發明所提供的一種用戶端文件的修複方法和裝置，進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用於幫助理解本發明的方法及其核心思想；同時，對於本領域的一般技術人員，依據本發明的思想，在具體實施方式及應用範圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。權利要求1.一種用戶端文件的修複方法，其特徵在於，包括掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常的文件相應的，未出現異常情況前的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；用所述安全的文件替換用戶端相應異常的文件。2.根據權利要求I所述的方法，其特徵在於，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得包括針對每一用戶端，掃描文件的文件特徵信息，並結合對文件變化的監控，生成文件信息曰志；將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件；如果存在未知文件，則通知用戶端將所述未知文件上傳至雲端伺服器；分析所述未知文件的安全等級，並進行記錄。3.根據權利要求2所述的方法，其特徵在於，分析所述未知文件的安全等級包括當所述未知文件的安全等級為被感染等級時，則結合所述文件日誌信息在雲端伺服器查找對應的安全的文件，並通知用戶端下載所述安全的文件；用所述安全的文件替換用戶端所述未知文件。4.根據權利要求2所述的方法，其特徵在於，將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件包括將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息；如果存在所述第一未知文件日誌信息，將所述第一未知文件日誌信息中的文件特徵信息，與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件。5.根據權利要求4所述的方法，其特徵在於，將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息包括將用戶端當前生成的文件日誌信息上傳至雲端伺服器；將雲端伺服器當前接收的文件日誌信息與雲端伺服器記錄的對應所述用戶端的文件信息日誌進行比較，獲取所述雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息。6.根據權利要求5所述的方法，其特徵在於，在記錄文件日誌信息時包括以用戶端文件路徑、文件內容對應的特徵值、文件版本的結構對文件特徵信息進行結構化，獲得結構化文件特徵信息；根據所述文件的安全等級，對所述結構化文件特徵信息進行安全等級標識；將標識完安全等級的結構化文件特徵信息存入對應所述用戶端的文件信息日誌中。7.根據權利要求I或3所述的方法，其特徵在於，用所述安全的文件進行替換時包括當所述異常文件或者未知文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；當獲取到文件的操作權限後，將所述異常文件或者未知文件用相應安全的文件進行替換。8.根據權利要求I或3所述的方法，其特徵在於，用戶端獲取或下載安全的文件時包括結合用戶端ID和文件特徵信息在雲端伺服器匹配獲取相應的安全的文件。9.根據權利要求1、3、8之一所述的方法，其特徵在於，用所述安全的文件進行替換時包括用戶端通過將監控的文件變化信息上傳至雲端伺服器，在雲端伺服器查找並獲取距當前時間點最近的安全的文件，並用所述安全的文件將所述異常文件或者未知文件用相應安全的文件進行替換。10.根據權利要求I至9之一所述的方法，其特徵在於，所述的文件特徵信息包括文件內容的MD5值，和/或文件的存儲路徑信息，和/或文件的變化信息。11.根據權利要求2所述的方法，其特徵在於，通知用戶端將所述未知文件上傳至雲端伺服器時包括用戶端接收雲端伺服器返回的分片策略，並根據所述分片策略，，對所述待上傳文件進行分片；用戶端以分片為單位向雲端伺服器進行文件上傳；其中，如果不同的用戶端發現同一待上傳文件，則由各個用戶端並行上傳該同一待上傳文件的不同分片。12.根據權利要求11所述的方法，其特徵在於，所述以分片為單位向雲端伺服器進行文件上傳包括按照分片號的順序，向所述雲端伺服器發送文件上傳請求，所述雲端伺服器根據其他用戶端針對該文件的各分片的已上傳情況，確定當前用戶端是否需要上傳當前分片；如果接收到需要上傳的響應消息，則將當前分片上傳到雲端伺服器。13.一種用戶端文件的修復裝置，其特徵在於，包括感染掃描模塊，用於掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；安全文件獲取模塊，用於如果異常，如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常的文件相應的，未出現異常情況前的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；替換模塊，用於用所述安全的文件替換用戶端相應異常的文件。14.根據權利要求13所述的裝置，其特徵在於，還包括文件上傳模塊，所述文件上傳模塊包括日誌信息生成子模塊，用於針對每一用戶端，掃描文件的文件特徵信息，並結合對文件變化的監控，生成文件信息日誌；未知文件判斷子模塊，用於將文件信息日誌的文件特徵信息與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件；第一上傳子模塊，用於如果存在未知文件，則通知用戶端將所述未知文件上傳至雲端伺服器；第一判斷子模塊，用於分析所述未知文件的安全等級，並進行記錄。15.根據權利要求14所述的裝置，其特徵在於，還包括查找獲取子模塊，用於當所述未知文件的安全等級為被感染等級時，則結合所述文件日誌信息在雲端伺服器查找對應的安全的文件，並通知用戶端下載所述安全的文件；第一替換子模塊，用於用所述安全的文件替換用戶端所述未知文件。16.根據權利要求14所述的裝置，其特徵在於，所述未知文件判斷子模塊包括第一未知判斷模塊，用於將用戶端當前生成的文件日誌信息，與以前記錄所述用戶端的文件日誌信息進行比較，判斷是否存在雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息；第二未知判斷模塊，用於如果存在所述第一未知文件日誌信息，將所述第一未知文件日誌信息中的文件特徵信息，與雲端伺服器中記錄的文件特徵信息進行比較，判斷是否存在未知文件。17.根據權利要求16所述的裝置，其特徵在於，所述第一未知判斷模塊包括第二上傳子模塊，用於將用戶端當前生成的文件日誌信息上傳至雲端伺服器；第二判斷子模塊，用於將雲端伺服器當前接收的文件日誌信息與雲端伺服器記錄的對應所述用戶端的文件信息日誌進行比較，獲取所述雲端伺服器記錄的，對應所述用戶端的文件日誌信息中不存在的第一未知文件日誌信息。18.根據權利要求17所述的裝置，其特徵在於，在存儲文件日誌信息時包括信息提取模塊，用於以用戶端文件路徑、文件內容對應的特徵值、文件版本的結構對文件特徵信息進行結構化，獲得結構化文件特徵信息；信息存儲模塊，用於根據所述文件的安全等級，對所述結構化文件特徵信息進行安全等級標識；將標識完安全等級的結構化文件特徵信息存入對應所述用戶端的文件信息日誌中。19.根據權利要求13或15所述的裝置，其特徵在於，所述替換模塊或第一替換模塊包括權限獲取單元，用於當所述異常文件或者所述被感染的未知文件存在操作權限限制時，通過調用權限獲取函數，獲取文件的操作權限；所述權限獲取函數低於系統權限認證函數層；替換單元，用於當獲取到文件的操作權限後，將所述異常文件或者未知文件用相應安全的文件進行替換。20.根據權利要求13或15所述的裝置，其特徵在於，用戶端獲取或下載安全的文件時包括結合用戶端ID和文件特徵信息在雲端伺服器匹配獲取相應的安全的文件。21.根據權利要求13、15、20之一所述的裝置，其特徵在於，替換模塊或第一替換模塊還用於用戶端通過將監控的文件變化信息上傳至雲端伺服器，在雲端伺服器查找並獲取距當前時間點最近的安全的文件，並用所述安全的文件將所述異常文件或者未知文件用相應安全的文件進行替換。22.根據權利要求13至21之一所述的裝置，其特徵在於，所述的文件特徵信息包括文件內容的MD5值，和/或文件的存儲路徑信息，和/或文件的變化信息。23.根據權利要求14所述的裝置，其特徵在於，通知用戶端將所述未知文件上傳至雲端伺服器時包括用戶端接收雲端伺服器返回的分片策略，並根據所述分片策略，，對所述待上傳文件進行分片；用戶端以分片為單位向雲端伺服器進行文件上傳；其中，如果不同的用戶端發現同一待上傳文件，則由各個用戶端並行上傳該同一待上傳文件的不同分片。24.根據權利要求23所述的裝置，其特徵在於，所述以分片為單位向雲端伺服器進行文件上傳包括按照分片號的順序，向所述雲端伺服器發送文件上傳請求，所述雲端伺服器根據其他用戶端針對該文件的各分片的已上傳情況，確定當前用戶端是否需要上傳當前分片；如果接收到需要上傳的響應消息，則將當前分片上傳到雲端伺服器。全文摘要本發明提供了一種用戶端文件的修複方法和系統，涉及安全
技術領域：
。所述方法包括掃描用戶端文件，判斷文件是否異常，並獲取文件特徵信息；如果異常，則根據所述文件特徵信息從雲端伺服器獲取與所述異常的文件相應的，未出現異常情況前的安全的文件；其中，所述雲端伺服器中的安全的文件通過直接的方式對各用戶端的各文件進行上傳獲得；用所述安全的文件替換用戶端相應異常的文件。本發明通過將各用戶端的安全文件保存在雲端伺服器，當用戶端出現文件異常時，從雲端伺服器下載相應文件的安全版本，替換本地異常的文件，解決傳統文件修復過程出現的無法修復正常，或者因為感染複雜導致無法修復等問題，保證可以把正確版本的文件恢復到系統中。文檔編號G06F21/00GK102810138SQ20121020866公開日2012年12月5日申請日期2012年6月19日優先權日2012年6月19日發明者董毅,謝軍樣,劉緒平申請人:北京奇虎科技有限公司,奇智軟體(北京)有限公司