專利名稱::文件修復(fù)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明屬于信息安全領(lǐng)域,具體地說����,涉及一種文件修復(fù)方法和系統(tǒng)。
背景技術(shù):
:“感染文件”是病毒和木馬對用戶數(shù)據(jù)進(jìn)行破壞和竊取的一種常用手段��。所謂“感染文件”可以指將惡意代碼添加到正常程序的代碼中�,使正常程序變成被惡意代碼感染了的感染文件,當(dāng)該感染文件運(yùn)行時(shí)�����,惡意代碼也隨正常代碼同步運(yùn)行����,進(jìn)而對用戶的數(shù)據(jù)進(jìn)行破壞,并不斷傳播惡意代碼���,形成更多感染文件�����,破壞更多的正常程序�����。進(jìn)一步地���,通過運(yùn)行這些“被感染程序”竊取用戶的數(shù)據(jù)如用戶私密資料、密碼或虛擬資產(chǎn)等一系列惡意行為�����,尤其是�����,通過感染與操作系統(tǒng)有關(guān)的系統(tǒng)文件�����,實(shí)現(xiàn)劫持網(wǎng)絡(luò)����、刷流量�����、釣魚支付�����、盜號(hào)坐寸ο因此����,為了確保數(shù)據(jù)安全�,用戶通常需要對感染文件進(jìn)行修復(fù),重新獲得正常程序?��,F(xiàn)有技術(shù)中����,修復(fù)的過程可簡要概括為進(jìn)行樣本分析�����,收集惡意代碼庫��,編寫程序制作安全軟件,使用安全軟件從感染文件中清除惡意代碼�。使用安全軟件清除惡意代碼的過程可如下在客戶端上掃描文件_>發(fā)現(xiàn)感染文件_>定位感染文件對應(yīng)的代碼中惡意代碼所在位置_>根據(jù)定位的惡意代碼如病毒或木馬位置,僅將惡意代碼部分刪除��。但是����,惡意代碼在與安全軟件對抗的過程中,形成非常多樣的變種���,上述現(xiàn)有的方法處理感染文件通常無法實(shí)現(xiàn)有效地修復(fù)文件��,具體存在如下缺點(diǎn)(I)幾乎做不到完全修復(fù),很多文件修復(fù)之后���,還可能殘存惡意代碼���;或者,很多文件修復(fù)之后����,不能正常執(zhí)行,個(gè)別的還可能會(huì)導(dǎo)致系統(tǒng)崩潰或應(yīng)用軟件無法正常使用���;(2)無法修復(fù)文件時(shí)���,比如文件被感染度超過80%�,則基本無法將惡意代碼從原正常文件代碼中刪除�����,被迫隔離或者刪除感染文件����;尤其,無法修復(fù)系統(tǒng)關(guān)鍵文件時(shí)��,被迫保留與系統(tǒng)有關(guān)的感染文件���。由上述分析可知�����,現(xiàn)有技術(shù)的修復(fù)過程需要制作安全軟件��,只有將安全軟件在用戶的客戶端上運(yùn)行才可以實(shí)現(xiàn)修復(fù)���;另外�,現(xiàn)有技術(shù)的修復(fù)無法徹底的修復(fù)感染文件�����。
發(fā)明內(nèi)容有鑒于此�,本申請所要解決的技術(shù)問題是提供了一種文件修復(fù)方法和系統(tǒng),可以找到備份文件所在的備份文件包��,據(jù)此可下載備份文件以替換感染文件����。為了解決上述技術(shù)問題,本申請?zhí)峁┝艘环N文件修復(fù)方法��,包括客戶端確定被惡意代碼感染形成的感染文件�����,并獲取所述感染文件的屬性信息�;所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果�����,所述查詢結(jié)果包括所述服務(wù)器收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息�����;所述客戶端根據(jù)所述感染文件的屬性信息,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件�����,并確定匹配的備份文件包�,從所述服務(wù)器中匹配的備份文件包中提取并下載備份文件以替代所述感染文件,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中��。進(jìn)一步地�,所述感染文件的屬性信息包括所述感染文件的對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息、所述感染文件對應(yīng)的文件名信息���、所述感染文件對應(yīng)的瀏覽器屬性信息��、所述感染文件對應(yīng)的補(bǔ)丁包信息���、所述感染文件的時(shí)間戳。進(jìn)一步地�����,所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器中以進(jìn)行查詢并獲取查詢結(jié)果����,進(jìn)一步包括發(fā)送所述感染文件的屬性信息到服務(wù)器中配置的查詢接口�����;通過所述服務(wù)器中配置的查詢接口�����,在所述服務(wù)器中的備份文件信息庫中進(jìn)行查詢并獲取查詢結(jié)果��,所述備份文件信息庫中存儲(chǔ)有補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)數(shù)據(jù)包信息列表����。進(jìn)一步地�,所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果,包括根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件�,如果是,則在所述服務(wù)器中的備份文件信息庫中進(jìn)行查詢獲取對應(yīng)的查詢結(jié)·果����;否則����,返回查詢失敗的結(jié)果���。進(jìn)一步地,根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件�,包括根據(jù)所述感染文件對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息中的簽名信息來判斷是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件,所述感染文件的屬性信息包括所述感染文件的對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息����。進(jìn)一步地,如果所述感染文件為與操作系統(tǒng)相關(guān)的可執(zhí)行文件�����,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果�,包括根據(jù)所述感染文件的屬性信息,從所述服務(wù)器的備份文件信息庫中分別查詢對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表���;其中����,所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表均包括所述關(guān)聯(lián)備份文件對應(yīng)的文件名信息��、所述關(guān)聯(lián)備份文件對應(yīng)的存放目錄屬性信息�����、所述關(guān)聯(lián)備份文件運(yùn)行的基本操作系統(tǒng)屬性信息、所述關(guān)聯(lián)備份文件對應(yīng)的瀏覽器屬性信息�����、所述關(guān)聯(lián)備份文件對應(yīng)的補(bǔ)丁包信息��;其中����,所述感染文件的屬性信息包括所述感染文件對應(yīng)的文件名信息、所述感染文件對應(yīng)的存放目錄屬性信息��、所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息��、所述感染文件對應(yīng)的瀏覽器屬性信息�、所述感染文件對應(yīng)的補(bǔ)丁包信息。進(jìn)一步地����,如果在所述服務(wù)器的備份文件信息庫中僅查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果�����,包括根據(jù)所述感染文件的時(shí)間戳與所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳,生成所述補(bǔ)丁包信息列表中列表目錄的第一目錄相關(guān)性權(quán)重��,根據(jù)所述第一目錄相關(guān)性權(quán)重生成所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件與所述感染文件的對應(yīng)性��,以便在所述服務(wù)器進(jìn)行查詢并獲取和下載對應(yīng)的所述備份文件���,所述感染文件的屬性信息包括所述感染文件的時(shí)間戳。進(jìn)一步地�����,所述客戶端根據(jù)所述感染文件的屬性信息�����,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件����,并確定匹配的備份文件包,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件�����,包括根據(jù)所述第一目錄相關(guān)性權(quán)重選擇所述補(bǔ)丁包信息列表中對應(yīng)的候選列表目錄生成下載地址�,根據(jù)該下載地址客戶端從所述服務(wù)器下載對應(yīng)的所述備份文件,其中,對應(yīng)的所述關(guān)聯(lián)備份文件與關(guān)聯(lián)的所述備份文件關(guān)聯(lián)存儲(chǔ)在所述服務(wù)器中的同一備份補(bǔ)丁包中���。進(jìn)一步地�,如果在所述服務(wù)器的備份文件信息庫中僅查詢到對應(yīng)所述關(guān)聯(lián)備份文件的瀏覽器數(shù)據(jù)包信息列表����,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果,包括根據(jù)所述感染文件的時(shí)間戳與所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳�,生成所述瀏覽器數(shù)據(jù)包信息列表中列表目錄的第二目錄相關(guān)性權(quán)重,根據(jù)第二目錄相關(guān)性權(quán)重確定所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述備份文件與所述感染文件的相關(guān)性�,以便在所述服務(wù)器進(jìn)行查詢并獲取和下載對應(yīng)的所述備份文件。進(jìn)一步地��,所述客戶端根據(jù)所述感染文件的屬性信息����,從所述查詢結(jié)果中命中與自身相匹配的備份文件,并從所述服務(wù)器中下載備份文件以替代所述感染文件�,包括根據(jù)所述第二目錄相關(guān)性權(quán)重選擇所述瀏覽器數(shù)據(jù)包信息列表中對應(yīng)的候選列表目錄生成下載地址,客戶端根據(jù)該下載地址從所述服務(wù)器下載對應(yīng)的所述備份文件��,對應(yīng)的所述關(guān)聯(lián)備份文件與對應(yīng)的所述備份文件存放在所述服務(wù)器中的同一備份瀏覽器數(shù)據(jù)包中�����。進(jìn)一步地,如果在所述服務(wù)器的備份文件信息庫中均查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表�,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果,包括根據(jù)所述感染文件的時(shí)間戳與所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳��,生成所述補(bǔ)丁包信息列表中列表目錄的第一目錄相關(guān)性權(quán)重并計(jì)算所述補(bǔ)丁包信息列表的第一列表相關(guān)性權(quán)重�����;根據(jù)所述感染文件的時(shí)間戳與所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳����,生成所述瀏覽器數(shù)據(jù)包信息列表中列表目錄的第二目錄相關(guān)性權(quán)重并計(jì)算所述瀏覽器數(shù)據(jù)包信息列表的第二列表相關(guān)性權(quán)重����;根據(jù)所述補(bǔ)丁包信息列表的第一列表相關(guān)性權(quán)重和所述瀏覽器數(shù)據(jù)包信息列表的第二列表相關(guān)性權(quán)重,選擇候選下載列表作為查詢結(jié)果����。進(jìn)一步地,所述客戶端根據(jù)所述感染文件的屬性信息�����,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件�����,并確定匹配的備份文件包,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件�����,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中���,包括選擇所述候選下載列表中候選列表目錄�,從所述服務(wù)器下載候選列表目錄對應(yīng)的所述關(guān)聯(lián)備份文件���,所述備份文件與候選列表目錄對應(yīng)的所述關(guān)聯(lián)備份文件存放在同一備份補(bǔ)丁包和同一備份瀏覽器數(shù)據(jù)包中����,所述備份補(bǔ)丁包和備份瀏覽器數(shù)據(jù)包存儲(chǔ)在所述服務(wù)器的備份文件庫中���。進(jìn)一步地�����,所述候選列表目錄為所述候選下載列表中��,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳于所述感染文件的時(shí)間戳相等的列表目錄���;或者�����,所述對應(yīng)的候選列表目錄為所述候選下載列表中����,所述關(guān)聯(lián)備份文件的時(shí)間戳大于所述感染文件的時(shí)間戳的列表目錄����。進(jìn)一步地��,所述候選列表目錄為所述候選下載列表中���,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳等于所述感染文件的時(shí)間戳的列表目錄��,且根據(jù)文件的版本號(hào)判定所述候選列表目錄對應(yīng)的所述備份文件為正式版��。進(jìn)一步地��,如果在所述服務(wù)器的備份文件信息庫中均未查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表���,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果�,包括獲取存放所述備份文件對應(yīng)原始數(shù)據(jù)的原始數(shù)據(jù)包���;將服務(wù)器中所述關(guān)聯(lián)備份文件的時(shí)間戳早于所述感染文件的時(shí)間戳的原始數(shù)據(jù)包作為查詢結(jié)果���,所述原始數(shù)據(jù)包存儲(chǔ)在所述服務(wù)器的備份文件庫中。進(jìn)一步地�,述客戶端根據(jù)所述感染文件的屬性信息,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件���,并確定匹配的備份文件包�,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件��,包括根據(jù)所述服務(wù)器中原始數(shù)據(jù)包中所述關(guān)聯(lián)備份文件的時(shí)間戳早于所述感染文件的時(shí)間戳的原始數(shù)據(jù)包生成下載地址���,根據(jù)該下載地址客戶端����,從所述服務(wù)器下載與所述關(guān)聯(lián)備份文件存儲(chǔ)在同一備份文件包中的所述備份文件����,以替換所述感染文件。為了解決上述技術(shù)問題��,本申請還提供了一種文件修復(fù)系統(tǒng),包括客戶端和服務(wù)器��,所述客戶端用于確定被惡意代碼感染形成的感染文件���,并獲取所述感染文件的屬性信息�,并發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果���,所述查詢結(jié)果包括所述服務(wù)器收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息��;所述客戶端根據(jù)所述感染文件的屬性信息��,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件,并確定匹配的備份文件包�����,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件�,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中。進(jìn)一步地��,所述服務(wù)器包括查詢接口��,用于接收發(fā)送的所述感染文件的屬性信息��;備份文件信息庫,用于保存?zhèn)浞菸募男畔?����,以確定與所述感染文件自身相適應(yīng)的備份文件�。進(jìn)一步地,所述服務(wù)器包括下載接口����,用于從所述查詢結(jié)果中命中的與所述感染文件匹配的關(guān)聯(lián)備份文件,并確定的匹配的備份文件包生成下載的鏈接地址����;下載單元,用于根據(jù)所述鏈接地址從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件����,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在所述服務(wù)器的同一備份文件包中。與現(xiàn)有的方案相比����,本申請所獲得的技術(shù)效果根據(jù)感染文件的屬性信息從備份文件庫中直接查詢對應(yīng)的關(guān)聯(lián)備份文件,由于關(guān)聯(lián)備份文件與備份文件之間存在直接的關(guān)聯(lián)且兩者存在于同一備份文件包如備份瀏覽器數(shù)據(jù)包或者備份補(bǔ)丁包����,因此����,當(dāng)找到關(guān)聯(lián)備份文件的數(shù)據(jù)包時(shí)��,即可找到備份文件所在的備份文件包�,據(jù)此可下載備份文件以替換感染文件,從而避免了現(xiàn)有技術(shù)中的文件修復(fù)需要制作安全軟件�,以及無法徹底修復(fù)感染文件的缺陷。此處所說明的附圖用來提供對本申請的進(jìn)一步理解�����,構(gòu)成本申請的一部分����,本申請的示意性實(shí)施例及其說明用于解釋本申請,并不構(gòu)成對本申請的不當(dāng)限定���。在附圖中圖I為本發(fā)明實(shí)施例一的文件修復(fù)方法流程示意圖;圖2為本發(fā)明實(shí)施例二的文件修復(fù)方法流程示意圖���;圖3為本發(fā)明實(shí)施例三的文件修復(fù)方法流程示意圖��;圖4為本發(fā)明實(shí)施例四的文件修復(fù)方法流程示意圖���。圖5為本發(fā)明實(shí)施例文件修復(fù)系統(tǒng)的結(jié)構(gòu)示意圖��。具體實(shí)施例方式以下將配合圖式及實(shí)施例來詳細(xì)說明本申請的實(shí)施方式,藉此對本申請如何應(yīng)用技術(shù)手段來解決技術(shù)問題并達(dá)成技術(shù)功效的實(shí)現(xiàn)過程能充分理解并據(jù)以實(shí)施�����。本發(fā)明的下述實(shí)施例中�����,根據(jù)感染文件的屬性信息從備份文件庫中直接查詢對應(yīng)的關(guān)聯(lián)備份文件�����,由于關(guān)聯(lián)備份文件與備份文件之間存在直接的關(guān)聯(lián)且兩者存在于同一備份文件包如備份瀏覽器數(shù)據(jù)包或者備份補(bǔ)丁包��,因此�,當(dāng)找到關(guān)聯(lián)備份文件的數(shù)據(jù)包時(shí)�,即可找到備份文件所在的備份文件包,據(jù)此可下載備份文件以替換感染文件�����,從而避免了現(xiàn)有技術(shù)中的文件修復(fù)需要制作安全軟件,以及無法徹底修復(fù)感染文件的缺陷�。如圖I所示,為本發(fā)明實(shí)施例一的文件修復(fù)方法流程示意圖�����,本實(shí)施例是針對只在所述服務(wù)器的備份文件信息庫中查詢到對應(yīng)所述備份文件的補(bǔ)丁包信息列表的情況�,具體地,該文件修復(fù)方法包括步驟101����、客戶端確定被惡意代碼感染形成的感染文件,并獲取所述感染文件的屬性信息����;所述感染文件包括可執(zhí)行文件,比如該可執(zhí)行文件可以為windowsvista系統(tǒng)下定義的可執(zhí)行文件��。所述可執(zhí)行文件包括可移植可執(zhí)行文件(PortabIeExecutable,PE)�����、新可執(zhí)行文件(NewExecutable,NE)或線性可執(zhí)行文件(LinearExecutable,LE)�����。其中����,可移植可執(zhí)行文件PE包括DLL、EXE����、FON、OCX�����、LIB和部分SYS文件���,新可執(zhí)行文件NE類型包括了.exe����、.dll���、.drv和.fon四種類型的文件,線性可執(zhí)行文件LE包括vxd文件��。步驟102�、所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器中配置的查詢接口���,服務(wù)器根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件�;如果是,則執(zhí)行步驟103;否則�����,返回查詢失敗的結(jié)果����;本實(shí)施例中,步驟102中判斷是否為系統(tǒng)可執(zhí)行文件可以具體通過這種方式來實(shí)現(xiàn)根據(jù)所述感染文件對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息中的簽名信息來判斷是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件��,所述感染文件的屬性信息包括所述感染文件的對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息��。步驟103�����、通過所述服務(wù)器中配置的查詢接口在所述服務(wù)器中的備份文件信息庫中�����,根據(jù)所述感染文件的屬性信息從所述服務(wù)器的備份文件信息庫中分別查詢對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表�����;其中���,由于感染文件可能為備份補(bǔ)丁包中的文件,也可能是備份瀏覽器數(shù)據(jù)中的文件��,因此��,為了提高查詢的效率�����,所述備份文件信息庫中存儲(chǔ)有備份補(bǔ)丁包信息列表和備份瀏覽器數(shù)據(jù)包信息列表����,這樣,在查詢時(shí)��,首先可以在這些數(shù)據(jù)包信息列表中查詢是否有與感染文件匹配的關(guān)聯(lián)備份文件的屬性信息��,比如對于windowsvista系統(tǒng)的補(bǔ)丁包和瀏覽器數(shù)據(jù)包每一版本都已明確的���,因此���,也便于建立這些數(shù)據(jù)包的信息列表��。如果查到關(guān)聯(lián)備份文件的屬性信息�����,由于關(guān)聯(lián)備份文件和備份文件位于同一備份文件包如備份補(bǔ)丁包中���,只要查到了關(guān)聯(lián)備份文件,即可確定該關(guān)聯(lián)備份文件在那個(gè)數(shù)據(jù)包中�,據(jù)此也就可以找到對應(yīng)的備份文件。其中�,所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表包括所述關(guān)聯(lián)備份文件對應(yīng)的文件名信息、所述關(guān)聯(lián)備份文件對應(yīng)的存放目錄屬性信息����、所述關(guān)聯(lián)備份文件運(yùn)行的基本操作系統(tǒng)屬性信息、所述關(guān)聯(lián)備份文件對應(yīng)的瀏覽器屬性信息���、所述關(guān)聯(lián)備份文件對應(yīng)的補(bǔ)丁包信息����,這些信息可統(tǒng)稱為所述關(guān)聯(lián)備份文件的屬性信息��;其中,所述感染文件的屬性信息包括所述感染文件對應(yīng)的文件名信息��、所述感染文件對應(yīng)的存放目錄屬性信息����、所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息、所述感染文件對應(yīng)的瀏覽器屬性信息���、所述感染文件對應(yīng)的補(bǔ)丁包信息。步驟104�、如果在所述服務(wù)器的備份文件信息庫中僅查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表,將該補(bǔ)丁包信息列表作為查詢結(jié)果����,根據(jù)所述感染文件的時(shí)間戳與所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳,生成所述補(bǔ)丁包信息列表中每一條列表目錄的第一目錄相關(guān)性權(quán)重��,以反映所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件與所述感染文件的對應(yīng)性����,所述感染文件的屬性信息包括所述感染文件的時(shí)間戳;本實(shí)施例中�,因?yàn)橹徊樵兊搅搜a(bǔ)丁包信息列表,所以就直接將該補(bǔ)丁包信息列表作為查詢結(jié)果�,該查詢結(jié)果中包括所述服務(wù)收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息,如關(guān)聯(lián)備份文件的文件名信息���。本實(shí)施例中��,以時(shí)間戳作為感染文件與所述關(guān)聯(lián)備份文件相關(guān)性的判斷基準(zhǔn)����,比如,如果與所述感染文件的時(shí)間戳完全一致��,則可以給所述補(bǔ)丁包信息列表中該列表目錄賦以最高的第一目錄相關(guān)性權(quán)重��,而其他與所述感染文件的時(shí)間戳不一致的����,可視時(shí)間戳先后賦以其他較小的第一目錄相關(guān)性權(quán)重。步驟105��、根據(jù)所述第一目錄相關(guān)性權(quán)重選擇所述補(bǔ)丁包信息列表中對應(yīng)的候選列表目錄生成下載地址�����,根據(jù)該下載地址客戶端從所述服務(wù)器下載對應(yīng)的所述備份文件���,對應(yīng)的所述關(guān)聯(lián)備份文件與對應(yīng)的所述備份文件存放在所述服務(wù)器中的同一備份補(bǔ)丁包中�。所述補(bǔ)丁包信息列表中對應(yīng)的候選列表目錄對應(yīng)的關(guān)聯(lián)備份文件作為參考,由于關(guān)聯(lián)備份文件和備份文件存儲(chǔ)在同一個(gè)備份補(bǔ)丁包中�,所以通過找到關(guān)聯(lián)備份文件,即可找到備份文件所在的備份補(bǔ)丁包���,基于此,也就可以生成備份文件的下載地址�。如前所述,與所述感染文件的時(shí)間戳完全一致����,則可以給所述補(bǔ)丁包信息列表中該列表目錄賦以最高的第一目錄相關(guān)性權(quán)重���,將該最高的第一目錄相關(guān)性權(quán)重作為相關(guān)性最大的列表目錄���,即對應(yīng)的候選列表目錄,根據(jù)相關(guān)性最大的列表目錄生成對應(yīng)的下載地址�。本實(shí)施例中,如果存在時(shí)間戳相同的備份文件僅有一個(gè)����,則所述對應(yīng)的候選列表目錄為所述候選下載列表中,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳于所述感染文件的時(shí)間戳相等的列表目錄����,該列表目錄具有最聞的第一目錄相關(guān)性權(quán)重。如果不存在時(shí)間戮相等的情況���,則所述對應(yīng)的候選列表目錄為所述候選下載列表中����,所述關(guān)聯(lián)備份文件的時(shí)間戳大于所述感染文件的時(shí)間戳的列表目錄�,該列表目錄具有最高的第一目錄相關(guān)性權(quán)重,這種情況可能由于在客戶端上打了最新的補(bǔ)丁包��,而該最新補(bǔ)丁包及其相關(guān)信息并沒有收集在服務(wù)器上�。在另外一實(shí)施例中,如果存在時(shí)間戳相同的兩個(gè)備份文件��,則所述相關(guān)性最大的列表目錄為所述候選下載列表中��,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳等于所述感染文件的時(shí)間戳的列表目錄��,且根據(jù)文件的版本號(hào)判定所述候選列表目錄對應(yīng)的所述備份文件為正式版����。之所以要用備份文件的版本號(hào),原因在于備份文件的測試版本也可能收集在服務(wù)器中�����,而通過文件的版本號(hào)就可以判斷出是測試版還是正式版���,從而只下載正式版的備份文件以替代感染文件�����。如圖2所示,為本發(fā)明實(shí)施例二的文件修復(fù)方法流程示意圖�����,本實(shí)施例是針對只在所述服務(wù)器的備份文件信息庫中��,查詢到對應(yīng)所述備份文件的瀏覽器數(shù)據(jù)包信息列表的情況�,具體地�����,該文件修復(fù)方法包括步驟201���、客戶端確定被惡意代碼感染形成的感染文件�����,并獲取所述感染文件的屬性信息�����;該步驟類似于上述實(shí)施例一中的步驟101�,在此不再贅述���。步驟202�����、所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器中配置的查詢接口���,根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件����;如果是,則執(zhí)行步驟203;否則�,返回查詢失敗的結(jié)果���;該步驟類似于上述實(shí)施例一中的步驟102�,在此不再贅述。步驟203����、通過所述服務(wù)器中配置的查詢接口在所述服務(wù)器中的備份文件信息庫中,根據(jù)所述感染文件的屬性信息從所述服務(wù)器的備份文件信息庫中分別查詢對應(yīng)關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表���;該步驟類似于上述實(shí)施例一中的步驟103,在此不再贅述��。步驟204�����、如果在所述服務(wù)器的備份文件信息庫中僅查詢到對應(yīng)所述關(guān)聯(lián)備份文件的瀏覽器數(shù)據(jù)包信息列表�����,根據(jù)所述感染文件的時(shí)間戳與所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳�,生成所述瀏覽器數(shù)據(jù)包信息列表中每一條列表目錄的第二目錄相關(guān)性權(quán)重��,以反映所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述備份文件與所述感染文件的相關(guān)性��,所述感染文件的屬性信息包括所述感染文件的時(shí)間戳;本實(shí)施例中��,因?yàn)橹徊樵兊搅藶g覽器數(shù)據(jù)包信息列表�����,所以就直接將該瀏覽器數(shù)據(jù)包信息列表作為查詢結(jié)果����,該查詢結(jié)果中包括所述服務(wù)收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息,如關(guān)聯(lián)備份文件的文件名信息��。類似上述實(shí)施例一中步驟104的判斷方法,本實(shí)施例中���,以時(shí)間戳作為感染文件與所述備份文件相關(guān)性的判斷基準(zhǔn),比如�,如果查詢到的瀏覽器數(shù)據(jù)包信息列表中,與所述感染文件的時(shí)間戳完全一致�,則可以給所述瀏覽器數(shù)據(jù)信息列表中該列表目錄賦以最高的第二目錄相關(guān)性權(quán)重,而其他與所述感染文件的時(shí)間戳不一致的��,可視時(shí)間戳先后賦以其他較小的第二目錄相關(guān)性權(quán)重����。步驟205、根據(jù)所述第二目錄相關(guān)性權(quán)重選擇所述瀏覽器數(shù)據(jù)包信息列表中對應(yīng)的候選列表目錄生成下載地址��,根據(jù)該下載地址客戶端從所述服務(wù)器下載候選列表目錄對應(yīng)的所述備份文件�,候選列表目錄對應(yīng)的所述關(guān)聯(lián)備份文件與對應(yīng)的所述備份文件存放在所述服務(wù)器中的同一備份瀏覽器數(shù)據(jù)包中���。如前所述�����,與所述感染文件的時(shí)間戳完全一致�����,則可以給所述瀏覽器數(shù)據(jù)包信息列表中該列表目錄賦以最聞的第_■目錄相關(guān)性權(quán)重,將該最聞的第_■目錄相關(guān)性權(quán)重作為相關(guān)性最大的列表目錄�,即候選列表目錄,根據(jù)相關(guān)性最大的列表目錄生成對應(yīng)的下載地址�。本實(shí)施例中,所述補(bǔ)丁包信息列表中�,如果存在時(shí)間戳相同的備份文件僅有一個(gè),則所述候選列表目錄為所述候選下載列表中����,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳于所述感染文件的時(shí)間戳相等的列表目錄,該列表目錄具有最高的第二目錄相關(guān)性權(quán)重�。如果不存在時(shí)間戳相等的情況����,則所述候選列表目錄為所述候選下載列表中��,所述關(guān)聯(lián)備份文件的時(shí)間戳大于所述感染文件的時(shí)間戳的列表目錄����,該列表目錄具有最高的第二目錄相關(guān)性權(quán)重,這種情況可能由于在客戶端上打了最新的補(bǔ)丁包���,而該最新補(bǔ)丁包及其相關(guān)信息并沒有收集在服務(wù)器上��。在另外一實(shí)施例中,如果存在時(shí)間戳相同的兩個(gè)備份文件�����,則所述對應(yīng)的候選列表目錄為所述候選下載列表中�,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳等于所述感染文件的時(shí)間戳的列表目錄�,且根據(jù)文件的版本號(hào)判定所述候選列表目錄對應(yīng)的所述備份文件為正式版。之所以要用備份文件的版本號(hào)���,原因在于備份文件的測試版本也可能收集在服務(wù)器中��,而通過文件的版本號(hào)就可以判斷出是測試版還是正式版���,從而只下載正式版的所述備份文件以替代感染文件。如圖3所示���,為本發(fā)明實(shí)施例三的文件修復(fù)方法流程示意圖���,本實(shí)施例是針對在所述服務(wù)器的備份文件信息庫中,均查詢到對應(yīng)所述備份文件的瀏覽器數(shù)據(jù)包信息列表和補(bǔ)丁包信息列表的情況�,文件修復(fù)方法包括步驟301���、客戶端確定被惡意代碼感染形成的感染文件�����,并獲取所述感染文件的屬性信息;該步驟類似于上述實(shí)施例一中的步驟101����,在此不再贅述����。步驟302���、所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器中配置的查詢接口��,根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件;如果是���,則執(zhí)行步驟303;否則�,返回查詢失敗的結(jié)果;該步驟類似于上述實(shí)施例一中的步驟102,在此不再贅述�����。本實(shí)施例中�����,步驟302中判斷是否為系統(tǒng)可執(zhí)行文件可以具體通過這種方式來實(shí)現(xiàn)根據(jù)所述感染文件對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息中的簽名信息來判斷是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件���,所述感染文件的屬性信息包括所述感染文件的對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息���。步驟303、通過所述服務(wù)器中配置的查詢接口在所述服務(wù)器中的備份文件信息庫中���,根據(jù)所述感染文件的屬性信息從所述服務(wù)器的備份文件信息庫中分別查詢對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表�����;該步驟類似于上述實(shí)施例一中的步驟103�����,在此不再贅述。步驟304�����、如果在所述服務(wù)器的備份文件信息庫中均查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表��,則根據(jù)所述感染文件的時(shí)間戳與所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳,生成所述補(bǔ)丁包信息列表每一條列表目錄的第一目錄相關(guān)性權(quán)重并計(jì)算所述補(bǔ)丁包信息列表的第一列表相關(guān)性權(quán)重�����;步驟305�、根據(jù)所述感染文件的時(shí)間戳與所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳,生成所述瀏覽器數(shù)據(jù)包信息列表中每一條列表目錄的第二目錄相關(guān)性權(quán)重并計(jì)算所述瀏覽器數(shù)據(jù)包信息列表的第二列表相關(guān)性權(quán)重��;步驟304和步驟305之間沒有絕對的時(shí)序關(guān)系���,這兩個(gè)步驟可以任意一個(gè)在先執(zhí)行而另外一個(gè)在后執(zhí)行�����,或者兩個(gè)同時(shí)執(zhí)行即可����。步驟306���、根據(jù)所述補(bǔ)丁包信息列表的第一列表相關(guān)性權(quán)重和所述瀏覽器數(shù)據(jù)包信息列表的第二列表相關(guān)性權(quán)重�����,選擇候選下載列表作為查詢結(jié)果。由步驟304和305可知�����,在補(bǔ)丁包信息列表中和瀏覽器數(shù)據(jù)包信息列表中同時(shí)查詢到存在關(guān)聯(lián)備份文件的屬性信息���,由于關(guān)聯(lián)備份文件和備份文件直接有關(guān)��,即可以確定服務(wù)器上的備份文件庫中備份文件對應(yīng)的備份補(bǔ)丁包和備份瀏覽器數(shù)據(jù)包中同時(shí)存在有可替換感染文件的備份文件。針對此種情況����,為了從服務(wù)器中下載與感染文件最為匹配的備份文件,則需要根據(jù)每個(gè)備份文件包列表的相關(guān)性權(quán)重���,即補(bǔ)丁包信息列表的第一列表相關(guān)性權(quán)重和瀏覽器數(shù)據(jù)包信息列表的第二列表相關(guān)性權(quán)重來綜合判斷�����,以確定是從服務(wù)器的備份文件庫中選擇補(bǔ)丁包中的備份文件還是瀏覽器信息包中的備份文件進(jìn)行下載���。例如�����,如果第一列表相關(guān)權(quán)重大于第二列表相關(guān)權(quán)重,則表明補(bǔ)丁包信息列表與感染文件相關(guān)性較大��,而瀏覽器數(shù)據(jù)包信息與感染文件相關(guān)性較小�。此時(shí),以補(bǔ)丁包信息列表為候選下載列表��,該候選下載列表作為查詢結(jié)果�。反之����,則以瀏覽器數(shù)據(jù)包信息列表為候選下載列表,該候選下載列表作為查詢結(jié)果���。步驟307��、選擇所述候選選擇列表中候選列表目錄�,從所述服務(wù)器下載對應(yīng)的所述備份文件��,所述備份文件與候選列表目錄對應(yīng)的所述關(guān)聯(lián)備份文件存放在同一備份補(bǔ)丁包和同一備份瀏覽器數(shù)據(jù)包中,所述備份補(bǔ)丁包和備份瀏覽器數(shù)據(jù)包存儲(chǔ)在所述服務(wù)器的備份文件庫中�。本實(shí)施例中��,對于以候選下載列表作為查詢結(jié)果來說��,其可能包括多個(gè)列表目錄��,而每個(gè)列表目錄都能對應(yīng)到一個(gè)備份文件�����,因此��,如果存在時(shí)間戳相同的備份文件僅有一個(gè)����,則所述候選列表目錄為所述候選下載列表中,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳于所述感染文件的時(shí)間戳相等的列表目錄��;或者�,如不存在時(shí)間戳相同的備份文件�,則所述候選的列表目錄為所述候選下載列表中����,所述關(guān)聯(lián)備份文件的時(shí)間戳大于所述感染文件的時(shí)間戳的列表目錄����。在另外一實(shí)施例中��,如果存在時(shí)間戳相同的兩個(gè)備份文件���,則所述候選列表目錄為所述候選下載列表中���,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳等于所述感染文件的時(shí)間戳的列表目錄�����,且根據(jù)文件的版本號(hào)判定所述候選列表目錄對應(yīng)的所述備份文件為正式版���。通過版本號(hào)以區(qū)別出是測試版文件還是正式版文件�,從而保證下載的備份文件是正式版文件。如圖4所示�����,為本發(fā)明實(shí)施例四的文件修復(fù)方法按流程圖����。本實(shí)施例是針對在所述服務(wù)器的備份文件信息庫中�,均未查詢到對應(yīng)所述備份文件的瀏覽器數(shù)據(jù)包信息列表和補(bǔ)丁包信息列表的情況��,具體地���,該文件修復(fù)方法包括步驟401���、客戶端確定被惡意代碼感染形成的感染文件�����,并獲取所述感染文件的屬性信息�;該步驟類似于上述實(shí)施例一中的步驟101���,在此不再贅述����。步驟402、所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器中配置的查詢接口��,根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件;如果是��,則執(zhí)行步驟403;否則��,返回查詢失敗的結(jié)果;該步驟類似于上述實(shí)施例一中的步驟101�,在此不再贅述。本實(shí)施例中�����,步驟402中判斷是否為系統(tǒng)可執(zhí)行文件可以具體通過這種方式來實(shí)現(xiàn)根據(jù)所述感染文件對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息中的簽名信息來判斷是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件����,所述感染文件的屬性信息包括所述感染文件的對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息���。步驟403、通過所述服務(wù)器中配置的查詢接口在所述服務(wù)器中的備份文件信息庫中����,根據(jù)所述感染文件的屬性信息從所述服務(wù)器的備份文件信息庫中分別查詢對應(yīng)關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表��;該步驟類似于上述實(shí)施例一中的步驟103,在此不再贅述��。步驟404����、如果在所述服務(wù)器的備份文件信息庫中均未查詢到對應(yīng)所述備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表�����,則獲取存放所述備份文件對應(yīng)原始數(shù)據(jù)的原始數(shù)據(jù)包��,并將包括早于所述感染文件的時(shí)間戳的所述關(guān)聯(lián)備份文件的原始數(shù)據(jù)包作為查詢結(jié)果,所述原始數(shù)據(jù)包存儲(chǔ)在所述服務(wù)器的備份文件庫中��;本實(shí)施例中�����,原始數(shù)據(jù)包的屬性信息作為查詢結(jié)果��。步驟405����、根據(jù)所述服務(wù)器中原始數(shù)據(jù)包中所述關(guān)聯(lián)備份文件的時(shí)間戳早于所述感染文件的時(shí)間戳的原始數(shù)據(jù)包生成下載地址,根據(jù)該下載地址客戶端從所述服務(wù)器下載與所述關(guān)聯(lián)備份文件存儲(chǔ)在同一備份文件包中的所述備份文件��,以替換所述感染文件����。本實(shí)施例中���,對于原始數(shù)據(jù)包來說���,如果存在時(shí)間戳相同的備份文件僅有一個(gè)���,則所述候選列表目錄為所述候選下載列表中,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳于所述感染文件的時(shí)間戳相等的列表目錄����;或者�����,如果不存在時(shí)間戳相同的備份文件,所述對應(yīng)的候選列表目錄為所述候選下載列表中��,所述關(guān)聯(lián)備份文件的時(shí)間戳大于所述感染文件的時(shí)間戳的列表目錄����。在另外一實(shí)施例中���,對于原始數(shù)據(jù)包來說,如果存在時(shí)間戳相同的兩個(gè)備份文件�����,則所述候選列表目錄為所述候選下載列表中,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳等于所述感染文件的時(shí)間戳的列表目錄�����,且根據(jù)文件的版本號(hào)判定所述候選列表目錄對應(yīng)的所述備份文件為正式版�����。此處以從備份補(bǔ)丁包中查詢到備份文件為例進(jìn)行說明����。客戶端system存放目錄下面存在感染文件urlmon.dll�,為了在服務(wù)器中查詢到能替換掉該感染文件的替換文件�,客戶端收集該感染文件urlmon.dll有關(guān)的屬性信息,如基本操作系統(tǒng)信息版本號(hào)osver=5.I.2600.256.I.2�����,瀏覽器IE信息如瀏覽器版本號(hào)iever=7�����,存放目錄信息如path=SyStem32,根據(jù)這些屬性信息在服務(wù)器中的備份文件信息庫中查詢���,獲得如下的查詢結(jié)果����,該查詢結(jié)果中的這些文件名即為與感染文件urlmon.dll直接關(guān)聯(lián)的關(guān)聯(lián)備份文件SHLWAPI.dlliertutil.dlldanim.dlldxtrans.dllextmgr.dllinseng.dllmstime.dllieakeng.dllieaksie.dlliedkcs32.dlliexplore.exeinetcpl.cpltdc.ocxvgx.dllwinfxdocobj.exe上述關(guān)聯(lián)備份文件的時(shí)間戳信息如下SHLWAPI.dll20080623233829iertutil.dll20070814093358danim.dll20080623233822dxtrans.dll20070814093534extmgr.dll20070814095409inseng.dll20070814093900mstime.dll20070814095049ieakeng.dll20070814093924ieaksie.dll20070814093951iedkcs32.dll20070814093945iexplore.exe20040804140033inetcpl.cpl20070814094504tdc.ocx20070814093213vgx.dll20070626215541winfxdocobj.exe20070814094514而在服務(wù)器中經(jīng)過查詢得知���,包括上述關(guān)聯(lián)備份文件的備份補(bǔ)丁包信息列表如下patch/winxp/20090211/ie7-windowsxp-kb961260-x86-chs/sp2gdrpatch/winxp/20081210/windowsxp-kb958215-x86-chs/sp2gdrpatch/winxp/20081210/ie7-windowsxp-kb958215-x86-chs/sp2gdrpatch/winxp/20061212/windowsxp-kb925454-x86-chs/sp2gdrpatch/winxp/20090102/ie7/system32但經(jīng)過時(shí)間戳比對確定相關(guān)性權(quán)重的方法���,只有列表目錄patch/winxp/20090102/ie7/system32下的上述關(guān)聯(lián)備份文件在時(shí)間戳上與感染文件urlmon.dll對應(yīng)的時(shí)間戮“20090102”一致����,即該列表目錄為相關(guān)性最大的目錄�����,具有最聞的第一目錄相關(guān)性權(quán)重��,因此��,根據(jù)命中列表目錄patch/winxp/20090102/ie7/system32并據(jù)此生成下載地址即可將patch/winxp/20090102/ie7/system32/urlmon.dll下載即可��。如圖5所示��,為本發(fā)明實(shí)施例文件修復(fù)系統(tǒng)的結(jié)構(gòu)示意圖����,該系統(tǒng)包括客戶端501和服務(wù)器502,所述客戶端501用于確定被惡意代碼感染形成的感染文件���,并獲取所述感染文件的屬性信息,并發(fā)送所述感染文件的屬性信息到服務(wù)器502進(jìn)行查詢并獲取查詢結(jié)果�����,所述查詢結(jié)果包括所述服務(wù)器502收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息;所述客戶端501根據(jù)所述感染文件的屬性信息���,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件,并確定匹配的備份文件包��,從所述服務(wù)器502中匹配的備份文件包中下載備份文件以替代所述感染文件��,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中���。本實(shí)施中���,所述服務(wù)器502包括查詢接口512��,用于接收發(fā)送的所述感染文件的屬性信息���;備份文件信息庫522��,用于保存?zhèn)浞菸募男畔?���,以確定與所述感染文件自身相匹配的備份文件��。本實(shí)施例中,所述服務(wù)器還可以包括下載接口532�����,用于從所述查詢結(jié)果中命中的與所述感染文件匹配的關(guān)聯(lián)備份文件,并確定的匹配的備份文件包生成下載的鏈接地址�;下載單元542��,用于根據(jù)所述鏈接地址從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在所述服務(wù)器的同一備份文件包中。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白���,本申請的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品�����。因此�����,本申請可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式���。而且,本申請可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器����、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式�����。上述說明示出并描述了本申請的若干優(yōu)選實(shí)施例���,但如前所述�,應(yīng)當(dāng)理解本申請并非局限于本文所披露的形式��,不應(yīng)看作是對其他實(shí)施例的排除��,而可用于各種其他組合、修改和環(huán)境����,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi)��,通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識(shí)進(jìn)行改動(dòng)。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本申請的精神和范圍��,則都應(yīng)在本申請所附權(quán)利要求的保護(hù)范圍內(nèi)�����?���!ぁぁ?quán)利要求1.一種文件修復(fù)方法�����,其特征在于�,客戶端確定被惡意代碼感染形成的感染文件,并獲取所述感染文件的屬性信息����;所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果,所述查詢結(jié)果包括所述服務(wù)器收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息���;所述客戶端根據(jù)所述感染文件的屬性信息�,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件�,并確定匹配的備份文件包�,從所述服務(wù)器中匹配的備份文件包中提取并下載備份文件以替代所述感染文件����,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中�����。2.根據(jù)權(quán)利要求I所述的方法���,其特征在于,所述感染文件的屬性信息包括所述感染文件的對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息��、所述感染文件對應(yīng)的文件名信息����、所述感染文件對應(yīng)的瀏覽器屬性信息、所述感染文件對應(yīng)的補(bǔ)丁包信息�、所述感染文件的時(shí)間戳����。3.根據(jù)權(quán)利要求I或2所述的方法�����,其特征在于��,所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器中以進(jìn)行查詢并獲取查詢結(jié)果,進(jìn)一步包括發(fā)送所述感染文件的屬性信息到服務(wù)器中配置的查詢接口����;通過所述服務(wù)器中配置的查詢接口���,在所述服務(wù)器中的備份文件信息庫中進(jìn)行查詢并獲取查詢結(jié)果�,所述備份文件信息庫中存儲(chǔ)有補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)數(shù)據(jù)包信息列表�����。4.根據(jù)權(quán)利要求1-3中任一項(xiàng)所述的方法�,其特征在于��,所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果�,進(jìn)一步包括根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件����,如果是��,則在所述服務(wù)器中的備份文件信息庫中進(jìn)行查詢獲取對應(yīng)的查詢結(jié)果;否則�,返回查詢失敗的結(jié)果����。5.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的方法���,其特征在于���,根據(jù)所述感染文件的屬性信息判斷所述感染文件是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件��,進(jìn)一步包括根據(jù)所述感染文件對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息中的簽名信息來判斷是否為與操作系統(tǒng)相關(guān)的可執(zhí)行文件,所述感染文件的屬性信息包括所述感染文件的對應(yīng)的存放目錄屬性信息和所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息。6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法�,其特征在于����,如果所述感染文件為與操作系統(tǒng)相關(guān)的可執(zhí)行文件,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果���,進(jìn)一步包括根據(jù)所述感染文件的屬性信息���,從所述服務(wù)器的備份文件信息庫中分別查詢對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表�;其中��,所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表均包括所述關(guān)聯(lián)備份文件對應(yīng)的文件名信息���、所述關(guān)聯(lián)備份文件對應(yīng)的存放目錄屬性信息��、所述關(guān)聯(lián)備份文件運(yùn)行的基本操作系統(tǒng)屬性信息�、所述關(guān)聯(lián)備份文件對應(yīng)的瀏覽器屬性信息���、所述關(guān)聯(lián)備份文件對應(yīng)的補(bǔ)丁包信息;其中,所述感染文件的屬性信息包括所述感染文件對應(yīng)的文件名信息�����、所述感染文件對應(yīng)的存放目錄屬性信息����、所述感染文件運(yùn)行的基本操作系統(tǒng)屬性信息�、所述感染文件對應(yīng)的瀏覽器屬性信息�、所述感染文件對應(yīng)的補(bǔ)丁包信息。7.根據(jù)權(quán)利要求1-6中任一項(xiàng)所述的方法����,其特征在于,如果在所述服務(wù)器的備份文件信息庫中僅查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果�,進(jìn)一步包括根據(jù)所述感染文件的時(shí)間戳與所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳���,生成所述補(bǔ)丁包信息列表中列表目錄的第一目錄相關(guān)性權(quán)重,根據(jù)所述第一目錄相關(guān)性權(quán)重生成所述補(bǔ)丁包信息列表中對應(yīng)所述關(guān)聯(lián)備份文件與所述感染文件的對應(yīng)性��,以便在所述服務(wù)器進(jìn)行查詢并獲取和下載對應(yīng)的所述備份文件�����,所述感染文件的屬性信息包括所述感染文件的時(shí)間戳。8.根據(jù)權(quán)利要求1-7中任一項(xiàng)所述的方法�����,其特征在于���,所述客戶端根據(jù)所述感染文件的屬性信息����,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件,并確定匹配的備份文件包��,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件���,進(jìn)一步包括根據(jù)所述第一目錄相關(guān)性權(quán)重選擇所述補(bǔ)丁包信息列表中對應(yīng)的候選列表目錄生成下載地址��,根據(jù)該下載地址客戶端從所述服務(wù)器下載對應(yīng)的所述備份文件���,其中����,對應(yīng)的所述關(guān)聯(lián)備份文件與關(guān)聯(lián)的所述備份文件關(guān)聯(lián)存儲(chǔ)在所述服務(wù)器中的同一備份補(bǔ)丁包中��。9.根據(jù)權(quán)利要求1-8中任一項(xiàng)所述的方法�,其特征在于�,如果在所述服務(wù)器的備份文件信息庫中僅查詢到對應(yīng)所述關(guān)聯(lián)備份文件的瀏覽器數(shù)據(jù)包信息列表�,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果��,進(jìn)一步包括根據(jù)所述感染文件的時(shí)間戳與所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳,生成所述瀏覽器數(shù)據(jù)包信息列表中列表目錄的第二目錄相關(guān)性權(quán)重��,根據(jù)第二目錄相關(guān)性權(quán)重確定所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述備份文件與所述感染文件的相關(guān)性�����,以便在所述服務(wù)器進(jìn)行查詢并獲取和下載對應(yīng)的所述備份文件。10.根據(jù)權(quán)利要求1-9中任一項(xiàng)所述的方法�,其特征在于,所述客戶端根據(jù)所述感染文件的屬性信息�,從所述查詢結(jié)果中命中與自身相匹配的備份文件,并從所述服務(wù)器中下載備份文件以替代所述感染文件,進(jìn)一步包括根據(jù)所述第二目錄相關(guān)性權(quán)重選擇所述瀏覽器數(shù)據(jù)包信息列表中對應(yīng)的候選列表目錄生成下載地址����,客戶端根據(jù)該下載地址從所述服務(wù)器下載對應(yīng)的所述備份文件�,對應(yīng)的所述關(guān)聯(lián)備份文件與對應(yīng)的所述備份文件存放在所述服務(wù)器中的同一備份瀏覽器數(shù)據(jù)包中。11.根據(jù)權(quán)利要求1-10中任一項(xiàng)所述的方法��,其特征在于��,如果在所述服務(wù)器的備份文件信息庫中均查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表����,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果���,進(jìn)一步包括根據(jù)所述感染文件的時(shí)間戳與所述補(bǔ)丁包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳���,生成所述補(bǔ)丁包信息列表中列表目錄的第一目錄相關(guān)性權(quán)重并計(jì)算所述補(bǔ)丁包信息列表的第一列表相關(guān)性權(quán)重��;根據(jù)所述感染文件的時(shí)間戳與所述瀏覽器數(shù)據(jù)包信息列表對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳,生成所述瀏覽器數(shù)據(jù)包信息列表中列表目錄的第二目錄相關(guān)性權(quán)重并計(jì)算所述瀏覽器數(shù)據(jù)包信息列表的第二列表相關(guān)性權(quán)重��;根據(jù)所述補(bǔ)丁包信息列表的第一列表相關(guān)性權(quán)重和所述瀏覽器數(shù)據(jù)包信息列表的第二列表相關(guān)性權(quán)重�����,選擇候選下載列表作為查詢結(jié)果�����。12.根據(jù)權(quán)利要求1-11中任一項(xiàng)所述的方法,其特征在于�,所述客戶端根據(jù)所述感染文件的屬性信息��,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件,并確定匹配的備份文件包�,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件���,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中,進(jìn)一步包括選擇所述候選下載列表中候選列表目錄�����,從所述服務(wù)器下載候選列表目錄對應(yīng)的所述關(guān)聯(lián)備份文件����,所述備份文件與候選列表目錄對應(yīng)的所述關(guān)聯(lián)備份文件存放在同一備份補(bǔ)丁包和同一備份瀏覽器數(shù)據(jù)包中��,所述備份補(bǔ)丁包和備份瀏覽器數(shù)據(jù)包存儲(chǔ)在所述服務(wù)器的備份文件庫中���。13.根據(jù)權(quán)利要求1-12中任一項(xiàng)所述的方法��,其特征在于���,所述候選列表目錄為所述候選下載列表中��,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳于所述感染文件的時(shí)間戳相等的列表目錄���;或者���,所述對應(yīng)的候選列表目錄為所述候選下載列表中�����,所述關(guān)聯(lián)備份文件的時(shí)間戳大于所述感染文件的時(shí)間戳的列表目錄��。14.根據(jù)權(quán)利要求1-13中任一項(xiàng)所述的方法,其特征在于���,所述候選列表目錄為所述候選下載列表中���,對應(yīng)所述關(guān)聯(lián)備份文件的時(shí)間戳等于所述感染文件的時(shí)間戳的列表目錄��,且根據(jù)文件的版本號(hào)判定所述候選列表目錄對應(yīng)的所述備份文件為正式版。15.根據(jù)權(quán)利要求1-14中任一項(xiàng)所述的方法���,其特征在于,如果在所述服務(wù)器的備份文件信息庫中均未查詢到對應(yīng)所述關(guān)聯(lián)備份文件的補(bǔ)丁包信息列表和瀏覽器數(shù)據(jù)包信息列表�����,則所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果,進(jìn)一步包括獲取存放所述備份文件對應(yīng)原始數(shù)據(jù)的原始數(shù)據(jù)包��;將原始數(shù)據(jù)包中所述關(guān)聯(lián)備份文件的時(shí)間戳早于所述感染文件的時(shí)間戳的原始數(shù)據(jù)包作為查詢結(jié)果��,所述原始數(shù)據(jù)包存儲(chǔ)在所述服務(wù)器的備份文件庫中��。16.根據(jù)權(quán)利要求1-15中任一項(xiàng)所述的方法�����,其特征在于�,述客戶端根據(jù)所述感染文件的屬性信息,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件�,并確定匹配的備份文件包���,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件���,進(jìn)一步包括根據(jù)所述服務(wù)器中原始數(shù)據(jù)包中所述關(guān)聯(lián)備份文件的時(shí)間戳早于所述感染文件的時(shí)間戳的原始數(shù)據(jù)包生成下載地址�����,根據(jù)該下載地址客戶端��,從所述服務(wù)器下載與所述關(guān)聯(lián)備份文件存儲(chǔ)在同一備份文件包中的所述備份文件,以替換所述感染文件�。17.一種文件修復(fù)系統(tǒng)����,其特征在于,包括客戶端和服務(wù)器�,所述客戶端用于確定被惡意代碼感染形成的感染文件,并獲取所述感染文件的屬性信息�����,并發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果,所述查詢結(jié)果包括所述服務(wù)器收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息�;所述客戶端根據(jù)所述感染文件的屬性信息����,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件��,并確定匹配的備份文件包��,從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件��,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中�����。18.根據(jù)權(quán)利要求17所述的系統(tǒng)�,其特征在于��,所述服務(wù)器包括查詢接口����,用于接收發(fā)送的所述感染文件的屬性信息��;備份文件信息庫��,用于保存?zhèn)浞菸募男畔?�,以確定與所述感染文件自身相適應(yīng)的備份文件�。19.根據(jù)權(quán)利要求17或18所述的系統(tǒng),其特征在于�����,所述服務(wù)器包括下載接口���,用于從所述查詢結(jié)果中命中的與所述感染文件匹配的關(guān)聯(lián)備份文件����,并確定的匹配的備份文件包生成下載的鏈接地址;下載單元��,用于根據(jù)所述鏈接地址從所述服務(wù)器中匹配的備份文件包中下載備份文件以替代所述感染文件��,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在所述服務(wù)器的同一備份文件包中。全文摘要本申請公開了一種文件修復(fù)方法和系統(tǒng)��,該方法包括一種文件修復(fù)方法�,包括客戶端確定被惡意代碼感染形成的感染文件����,并獲取所述感染文件的屬性信息����;所述客戶端發(fā)送所述感染文件的屬性信息到服務(wù)器進(jìn)行查詢并獲取查詢結(jié)果����,所述查詢結(jié)果包括所述服務(wù)器收集的至少一個(gè)關(guān)聯(lián)備份文件的屬性信息��;所述客戶端根據(jù)所述感染文件的屬性信息,從所述查詢結(jié)果中命中與所述感染文件匹配的關(guān)聯(lián)備份文件�����,并確定匹配的備份文件包�,從所述服務(wù)器中匹配的備份文件包中提取并下載備份文件以替代所述感染文件��,所述關(guān)聯(lián)備份文件與所述備份文件存儲(chǔ)在同一備份文件包中。本申請可以找到備份文件所在的備份文件包,據(jù)此可下載備份文件以替換感染文件����。文檔編號(hào)G06F21/56GK102902922SQ201210375449公開日2013年1月30日申請日期2012年9月29日優(yōu)先權(quán)日2012年9月29日發(fā)明者蒙杭州,劉緒平,江愛軍申請人:北京奇虎科技有限公司,奇智軟件(北京)有限公司