WO2013189214A1

WO2013189214A1 - 一种用户端文件的修复方法和***

Info

Publication number: WO2013189214A1
Application number: PCT/CN2013/075390
Authority: WO
Inventors: 董毅; 谢军样; 刘绪平
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2012-06-19
Filing date: 2013-05-09
Publication date: 2013-12-27
Also published as: CN102810138A; CN102810138B; US20150205979A1; US9652632B2

Abstract

提供了一种用户端文件的修复方法和***。所述方法包括：扫描用户端文件，判断文件是否异常，并获取文件特征信息（110）；如果异常，则根据所述文件特征信息从云端服务器获取与所述异常的文件相应的、未出现异常情况前的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得（120）；用所述安全的文件替换用户端相应异常的文件（130）。所述方法及***通过将各用户端的安全文件保存在云端服务器，当用户端出现文件异常时，从云端服务器下载相应文件的安全版本，替换本地异常的文件，解决传统文件修复过程出现的无法修复正常，或者因为感染复杂导致无法修复的问题，保证可以把正确版本的文件恢复到***中。

Description

一种用户端文件的修复方法和*** 技术领域

本发明涉及安全技术领域，特别是涉及一种用户端文件的修复方法和***。背景技术

文件感染，是一种病毒和木马常用的一种技术，由来已久。这种技术是将病毒代码添加到正常程序的代码中，从而实现随被感染程序同步运行的功能，进而对感染电脑进行破坏和自身传播，以及完成一些诸如盗窃用户密码或者虚拟资产，上传用户敏感资料等其它恶意行为。而对于感染的文件来说，为了方便用户，一般需要对用户感染的文件进行修复。

现有技术中，对于感染文件的修复过程是清除***正常文件的恶意代码。其过程一般如下：用户端扫描文件-〉发现受感染的文件-〉定位文件代码中病毒或木马等恶意代码所在位置-〉根据定位的病毒或木马等恶意代码位置，将恶意代码部分删除。然而，在实际中，由于病毒与安全软件对抗之后，变种非常多样，用现有的方法处理被感染的文件存在以下几个缺点：（ 1 ) 几乎做不到完全修复；（ 2 )很多文件修复之后，还残存恶意代码；（ 3 )很多文件修复之后，不能正常执行 (个别的还可能会导致***崩溃或应用软件无法正常使用）；（ 4 )无法修复文件时（比如文件被感染度超过 80%, 则基本无法将恶意代码从原正常文件代码中删除），被迫隔离（删除）；（5 )无法修复***关键文件时，不敢删除被迫保留。总之，现有的文件修复技术基本上无法保证将被感染文件中的恶意代码完整删除，保证文件正常。发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减緩上述问题的用户端文件的修复方法和***。

根据本发明的一个方面，提供了一种用户端文件的修复方法，包括：扫描用户端文件，判断文件是否异常，并获取文件特征信息；如果异常，则根据所述文件特征信息从云端服务器获取与所述异常的文件相应的，未出现异常情况前的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；用所述安全的文件替换用户端相应异常的文件。

根据本发明的另一个方面，提供了一种用户端文件的修复装置，包括：感染扫描模块，用于扫描用户端文件，判断文件是否异常，并获取文件特征信息；安全文件获取模块，用于如果异常，如果异常，则根据所述文件特征信息从云端服务器获取与所述异常的文件相应的，未出现异常情况前的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；替换模块，用于用所述安全的文件替换用户端相应异常的文件。

根据本发明的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 1-12 中的任一个所述的用户端文件的修复方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了如权利要求 25所述的计算机程序。

本发明的有益效果为：

本发明通过将各用户端的安全文件保存在云端服务器，当用户端出现文件异常时，从云端服务器下载相应文件的安全版本，替换本地异常的文件，解决传统文件修复过程出现的无法修复正常，或者因为感染复杂或者说是***关键文件导致无法修复等问题，保证把可以把正确版本的文件恢复到***中。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图 1是依据本发明一个实施例的用户端文件的修复方法的流程示意图；

图 2是依据本发明一个实施例的用户端文件的修复方法的流程示意图；

图 3是依据本发明一个实施例的用户端文件的修复装置的结构示意图；

图 4是依据本发明一个实施例的用户端文件的修复装置的结构示意图；

图 5是依据本发明一个实施例的用户端文件的修复***的结构示意图；

图 6示意性地示出了用于执行根据本发明的方法的服务器的框图；以及图 7 示意性地示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元。具体实施例

下面结合附图和具体的实施方式对本发明作进一步的描述。

本发明可以及时准确的将各用户端的安全版本文件上传至云端服务器保存，当用户端某个文件异常时，则根据异常文件的相关文件特征信息从云端服务器获取与所述异常文件相应的安全的文件至用户端，然后用所述安全的文件替换用户端相应异常的文件。本发明优选的，针对的是用户端***中的可执行文件，比如 windows***中的 PE 文件（ PE文件被称为可移植的执行体是 Portable Execute的全称， PE文件是微软 Windows 操作***上的程序文件。常见的 EXE、 DLL, OCX, SYS、 COM都是 PE文件），比如移动终端（智能手机等）中的可执行文件（比如***文件）。因为对于上述这类文件，各用户端中的文件基本相同，（比如对于 windows ΧΡ***，那么其中的***文件则基本上相同），那么在云端服务器则可具有相对充裕的空间存储上述文件。

参照图 1 , 示出了本发明一种用户端文件的修复方法的流程示意图，具体可以包括：步骤 110, 扫描用户端文件，判断文件是否异常，并获取文件特征信息；

在本发明实施例中，判断文件是否异常可由用户端判断，也可由云端服务器的服务器判断。在扫描时，可获取相应文件的文件特征信息。其中文件特征信息包括文件的 MD5 值（ Message Digest Algorithm MD5 , 中文名为消息摘要算法第五版） , 文件在用户端的存储路径等。所述文件特征信息包括用于查询相应文件是否在云端服务器存储的信息。

其中，所述的文件特征信息包括文件内容的 MD5值，和 /或文件的存储路径信息，和 /或文件的变化信息。本发明实施例中，文件特征信息可包括文件内容的 MD5值，文件路径的 MD5值，文件的变化信息，还可包括时间戳等。

对于异常文件，其存在多种情况：

其一，比如对于***文件来说，本发明实施例可以在安全监控中设置"文件白名单 + 文件签名"的形式判断***文件是否正常，当***文件不具备其中之一即可认为***文件为异常文件，即当***文件不在文件白名单中、和 /或文件签名不对，即可认为***文件是异常的。其中，文件签名比如文件内容的 MD5值等。

其二，对于个人编译的可执行文件来说，可通过扫描判断其是否被感染（中毒）来判断是否异常。

本发明中，判断文件被感染的方法包括多种，比如：特征代码法、校验和法等。这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。

1、特征代码法的实现步骤如下：

釆集已知病毒文件，病毒如果既感染 COM文件，又感染 EXE文件，对这种病毒要同时釆集 COM型病毒文件和 EXE型病毒文件。

在病毒文件中，抽取特征代码。依据如下原则：

抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测 3000种病毒，增加的空间就是 3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。

在既感染 COM文件又感染 EXE文件的病毒文件中，要抽取两种文件共有的代码。将特征代码纳入病毒数据库。

打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒——对应，便可以断定，被查文件中患有何种病毒。

2、校验和法，

将正常文件的内容，计算其校-检和，将该校-检和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。

运用校验和法查病毒釆用三种方式：

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和 , 将校验和值写入被查文件中或检测工具中，而后进行比较。

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。

③将校验和检查程序常驻内存, 每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校-检和。

对于检查文件被病毒感染的方法可包括多种，本发明不对其加以限制。

步骤 120,如果异常，则根据所述文件特征信息从云端服务器获取与所述异常的文件相应的，未出现异常情况前的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；

如果扫描发现文件异常，那么根据所述文件特征信息从云端服务器查询相应异常文件的安全版的文件，然后由用户端从云端服务器下载至本地。比如用户的 bass_aac.dll文件异常，根据 bass_aac.dll的文件特征信息，比如文件内容的 MD5值，和存储路径的 MD5 值等在云端服务器查找相应的安全的 bass_aac.dll文件，然后由用户端将该安全的 bass_aac.dll文件下载至本地。

所述在云端服务器存储文件时用到的文件特征信息可包括文件名，文件内容的 MD5 值等。本发明实施例的文件可进行唯一性存储，即同一个文件只存储一份，不重复存储。然后对于不同用户端的对应相同文件的文件特征信息与所述文件进行多对一进行对应即可。比如对于前述 windows***中的 bass_aac.dll文件，基本上各个用户端均存在该文件，那么云端服务器只存储一份 bass_aac.dll文件，然后各个用户端的文件特征信息以 bass_aac.dll+对应 MD5值与 bass_aac.dll对应即可。

在本发明实施例中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得。即在云端服务器存储文件，可全部由用户端上传，也可首先对于各用户端中重复率高的文件由云端服务器自己整理上传，而不用通过用户端上传。比如 windows***文件，各种 windows***文件基本上相同，因此，可由云端服务器自己将 windows***文件进行上传和存储。另外，还比如对于 UNIX***文件、智能手机的系统文件（比如 android安卓的***文件）等。那么对于在上传用户端的文件时，对于上述已经上传了的文件，即可不对其进行上传。节省上传时间，提高效率。本发明的上传是基于直接从用户端（比如某地域内的 n亿用户）直接上传到云端服务器端。

步骤 130, 用所述安全的文件替换用户端相应异常的文件。

当用户端得到与异常文件相应的安全版的文件时，那么将安全的文件替换异常的文件即可。

如果无法在云端服务器查找到异常文件相应的安全版的文件，那么可釆用传统的修复技术。

其中，用所述安全的文件替换用户端相应异常的文件包括：

当所述异常文件或者所述被感染的未知文件存在操作权限限制时，通过调用权限获取函数，获取文件的操作权限；所述权限获取函数低于***权限认证函数层；

当获取到文件的操作权限后，将所述异常文件或者未知文件用相应安全的文件进行替换。

如此，用户端的异常文件还原为安全的文件，并且避免了由于传统的修复技术导致的修复不完整或者因为感染复杂等情况而无法修复等问题。

另外，在本发明中，判断出文件异常之后，还包括：

提示用户端是否允许对异常文件进行替换。

比如在判断文件异常之后，在从云端服务器下载与所述异常的文件相应的，未出现异常情况前的安全的文件之前即提示用户端，是否允许下载安全版的文件并进行替换。

如果用户不允许，则可釆用传统修复技术对异常文件进行修复。

本发明可替换***文件（包括各个版本的操作***， windows 2000, xp, 2003, vista, windows 7, windows 8 )和第三方常用软件（比如 QQ, 迅雷，，飞信， 360系列软件等。除了上述***文件和第三方常用软件外，还包括用户端机器上所有的可执行文件。

本发明中，可替换的文件主要依赖于白名单对于文件和软件的收集，只要是白名单内收集的文件或软件，都是可以替换的。其中，白名单在搜集可替换的文件和软件时，可判断其是否为可执行文件或者说是否为可替换的文件比如通过文件的扩展名

( .com, .exe, .dll等）进行判断。参照图 2,其示出了本发明优选的一种用户端文件的修复方法的流程示意图，具体可以包括：

步骤 210, 针对每一用户端，扫描文件的文件特征信息，并结合对文件变化的监控，生成文件信息日志；

本步骤针对每一个用户端，首先扫描文件的文件特征信息，并结合对文件变化的监控，生成文件信息日志。在本发明实施例中，首先扫描的可为文件的内容 MD5值，然后结合当前文件的文件名、文件路径，文件的变化情况等生成文件信息日志。其中文件的变化情况包括，对于同一 MD5值的文件，如果其用于将其存储路径进行变更，那么记录其存储路径的变化，比如如果文件 A.exe原来的路径为 D:\A\A,而用户将其移动至 E:\A\A, 并修改名字为 B.exe,那么对文件的监控即记录 E:\A\A中的 B.exe由 D:\A\A中的 D:\A\A 变动过来的，生成文件日志信息时也对该条移动信息进行记录。

在本发明实施例中，可以在用户端初始安装文件存储环境，保证用户端***安全时，将用户端***中的文件进行扫描生成日志，然后将云端服务器未存储的文件上传至云端服务器进行存储。然后再进入步骤 210。当然对于本发明实施例，用户初始使用时，也可直接进入步骤 210。

步骤 220,将文件信息日志的文件特征信息与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件；

本发明实施例在云端服务器存储与用户端相关的文件时，可通过上传用户端的文件获得。

当得到文件信息日志后，可根据文件信息日志中的文件特征信息与云端服务器记录的文件特征信息进行比较，判断是否存储在未知文件。比如云端服务器对于其存储的文件的文件名和文件的 MD5值进行了记录，那么可将文件日志信息中的 MD5值与云端服务器记录的文件特征信息中的 MD5值进行比较，如果不存在，则判断其为相对于云端服务器的未知文件。

然后将用户端日志信息中被云端服务器判断为未知文件的文件特征信息通知给用户端。

优选的，将文件信息日志的文件特征信息与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件包括：

步骤 S10, 将用户端当前生成的文件日志信息，与以前记录所述用户端的文件日志信息进行比较，判断是否存在云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息；

对于已经使用至少一次本发明实施例的用户端来说，本发明实施例可记录当前扫描之前进行扫描时生成的文件日志信息。比如用户端第一次扫描时生成了一份文件日志信息，该文件日志信息被记录，那么用户端第二次扫描时的文件日志信息即可与以前记录的文件日志信息进行比较，进行第一次未知文件特征信息的判断，获得第一未知文件日志信息。

对于本发明实施例来说，用户端第一次使用时，最优初始环境为未异常任何文件的安全环境，比如初始安装后安全环境。对于第一次使用本发明实施例的用户端来说，其初始环境为安全环境，那么可对其生成初始的文件日志信息，该文件日志信息对应该用户端各安全文件的相关文件特征信息。

在本发明实施例中，对于用户端当前产生的日志信息之前的文件日志信息，可由用户端本身记录，也可由云端服务器进行记录，由云端服务器进行记录时，以用户端标识进行对应记录，避免文件日志信息的混淆。其中，如果由云端服务器进行记录时，优选的，可单独划分一个云端服务器日志服务器进行记录。后将文件特征信息与相应的文件进行对应。其中，存储文件时，对于非安全的文件和安全的文件可分开存储。

优选的，将用户端当前生成的文件日志信息，与以前记录所述用户端的文件日志信息进行比较，判断是否存在云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息包括：

步骤 S11 , 将用户端当前生成的文件日志信息上传至云端服务器；

步骤 S12, 将云端服务器当前接收的文件日志信息与云端服务器记录的对应所述用户端的文件信息日志进行比较，获取所述云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息。

那么当由用户端本身对文件日志信息记录时，如果获得第一未知文件日志信息时，将所述第一未知文件日志信息发送至云端服务器，进入步骤 S12。当有云端服务器对用户端的文件日志信息进行记录时，用户端首先将当前的文件日志信息上传至云端服务器，云端服务器将用户端当前上传的文件日志信息与云端服务器记录的对应该用户端以前的文件日志信息进行比较，判断是否存在云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息，如果存在，转入步骤 S12, 该第一未知文件曰志信息是：当前上传的文件日志信息与云端存储的对应用户端的文件日志信息相比，云端存储的对应用户端的文件日志信息中所没有的。

在本发明实施例中，所述在云端服务器存储文件时用到的文件特征信息可包括文件名，文件内容的 MD5值，用户端文件路径；对一个文件，还可加入文件上传时的时间戳或者相应的版本号作为版本标识，同时对文件的安全等级进行标识，本发明实施例中一般对文件的路径 MD5值进行安全等级标识。即本发明实施例的文件特征信息的存储形式可以时： "文件名： PATH (用户端文件路径 MD5 ) +TEXT (文件内容 MD5 ) "的形式进行存储，其中对 PATH进行安全等级标识。优选的，还可以是： "文件名： PATH (路径 MD5 ) +TEXT (文件内容 MD5 ) +VERSION (版本标识） "进行存储，其中对 PATH进行安全等级标识。在本实施例中，在上传时，还可将用户端 ID上传，然后存储文件信息时，将用户端 ID也一并存储。所述用户端 ID比如根据用户机器的硬件生成一个序列号 (比如现在使用的 MID ) , 还可利用用户在云端服务器注册的账号和 MID结合生成。

优选的，在存储文件日志信息时包括：

步骤 Al l , 以用户端文件路径、文件内容对应的特征值、文件版本的结构对文件特征信息进行结构化，获得结构化文件特征信息；

即前述的"文件名： PATH (用户端文件路径 MD5 ) +TEXT (文件内容 MD5 ) "的形式。

步骤 A12, 才艮据所述文件的安全等级，对所述结构化文件特征信息进行安全等级标识；将标识完安全等级的结构化文件特征信息存入对应所述用户端的文件信息日志中。步骤 S20, 如果存在所述第一未知文件日志信息，将所述第一未知文件日志信息中的文件特征信息，与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件。

如果步骤 S20中，获得了第一未知文件日志信息，那么将所述第一未知文件日志信息中的文件特征信息，与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件。

步骤 230, 如果存在未知文件，则通知用户端将所述未知文件上传至云端服务器；因为云端服务器是存储的各个用户端上传的文件，因此对于某个用户端来说，其新老文件日志信息的对比中，出现的第一未知文件日志信息中的文件特征信息，其对应的文件可能已经由其他用户端上传，并且该文件相关的文件特征信息已经记录在云端服务器。那么该种情况，对于云端服务器来说，所述第一未知文件日志信息中的文件特征信息就不是未知文件，可不通知用户端上传所述文件特征信息对应的文件。

在云端服务器中，存储的文件可按一定规则与文件特征信息进行对应，并用于与用户端上传的文件特征信息进行比较，并搜索和查询相应的文件。比如以文件的 MD5值与文件进行对应。

本发明的上传是基于直接从用户端（比如某地域内的 n亿用户）直接上传到云端服务器端。在本实施例中，上传前需要对判断文件是否需要上传，即进行与云端服务器存储的文件相比的重复性判断。

另外，本发明人在实现本发明的过程中发现，现有技术中之所以会存在文件上传成功率及效率低的问题，是因为，由发现可疑文件的用户端直接将整个文件上传到服务器，这样，如果一个文件太大，而用户端可以使用的上传带宽比较小的话，就可能导致上传失败，另外，仅使用一个用户端进行同一个文件的上传，也会使得该用户端的上传负担比较重，也将导致上传的速度很慢。

因此，在本发明实施例中，釆用分片及多用户端并行上传的机制，这样，一方面，由于对文件进行了分片，因此，可以避免由于文件过大导致的上传失败现象，提高上传的成功率；另一方面，如果多个用户端都发现了同一可疑文件，则由于多用户端可以并行上传该可疑文件的不同分片，因此，也可以在降低单个用户端的上传负担的同时，避免受到一个用户端上传带宽的限制，提高上传的效率。

因此，优选的，通知用户端将所述未知文件上传至云端服务器时包括：

步骤 L1 , 用户端接收云端服务器返回的分片策略，并根据所述分片策略，，对所述待上传文件进行分片；

本实施例中通过云端的管理服务器返回分片策略至用户端，对所述待上传文件进行分片。

用户端在接收到云端的管理服务器的分片策略之后，就可以对待上传的文件进行分片，同时，还可以为各个分片分配分片号（具体如何编号也可以包含在分片策略中）。分片之后，每一片仍釆用原来的数据格式，且可以保留原文件的标识符，但只包含原文件的部分数据。并且，一旦完成分片后，每个分片就都可以作为独立的数据传输单元进行传送。其中，具体的分片方法可以釆用已有技术中的方法来实现，这里不再详述。

步骤 L2, 用户端以分片为单位向云端服务器进行文件上传；其中，如果不同的用户端发现同一待上传文件，则由各个用户端并行上传该同一待上传文件的不同分片。

本实施例中用户端以分片为单位向云端的数据服务器进行文件上传。

用户端在完成分片之后，就可以以分片为单位进行文件的上传，并且，由于可能有多个用户端都发现了同一文件，因此，就可以由这些用户端分别上传一部分分片，这样就可以避免一个用户端的上传任务过重，并且由于可以多个用户端可以并行上传，因此，上传的效率就可以得到大幅的提高。

其中，用户端在上传各个分片时，可以按照分片号的顺序，向管理服务器发送文件上传请求，管理服务器根据其他用户端针对该文件的各分片的已上传情况，确定当前用户端是否需要上传当前分片；如果需要，则向用户端发出需要上传的指示，用户端接收到需要上传的响应消息，则将当前分片上传到数据服务器，否则，就可以不必上传该分片。

例如，支设某文件被分为 3个分片，当某用户端 A请求上传其中的分片 1时，如果已经有其他用户端上传了该分片，或者有其他用户端正在上传在分片，那么管理服务器就可以指示该用户端 A不需要上传该分片；用户端 A在接收到该指令之后 , 就可以放弃对分片 1的上传请求，继而向管理服务器发出上传分片 2的请求。

否则，如果在接收到用户端 A上传分片 1的请求时，分片 1尚未上传到数据服务器，也没有其他用户端正在上传该分片 1 , 那么管理服务器就会向用户端 A发出上传该分片的指令，用户端 A接收到该指令之后，就可以上传该分片 1 ; 待完成分片 1的上传之后，再向管理服务器发出上传分片 2的请求，以此类推。

需要说明的是，针对同一待上传文件，管理服务器分配的分片策略是相同的。也就是说， ^艮设有三个用户端都发现了上述例子中的文件，则向这三个用户端发送的分片策略都应该是分成三个分片，并且每个分片的大小及编号等在各个用户端之间都是一致的。当然，另外需要说明的是，在实际应用中，各个用户端并不一定是同一时刻发现同一文件，而是存在时间上的先后性，但是使用前述方式进行每个分片的上传时，并不影响本发明实施例的实现。

例如，用户端 A最先发现了某文件，在根据管理服务器的策略对文件进行分片之后，首先将分片 1上传到数据服务器；就在用户端 A上传分片 1的过程中，用户端 B也发现了该文件，管理服务器同样指示该用户端 B按照同样的策略对文件进行分片，并且用户端 B在发起上传分片 1的请求时，管理服务器就可以指示该用户端 B不必上传该分片 1 , 于是用户端 B再向管理服务器发起上传分片 2的请求，如果在此之前还没有其他用户端上传该分片 2, 就可以指示该用户端 B可以上传该分片 2, 于是用户端 B就可以开始上传该分片 2, 以此类推。

需要说明的是，由于在上传的过程中已经对文件进行了分片，因此，在服务器侧还需要再对各个分片进行组包，以得到完整的文件。而在本发明实施例中，由于同一文件的不同分片可能是由不同的用户端上传的，而根据各个用户端所处的地理位置的不同，管理服务器针对不同的用户端选择的数据服务器可能是不同的，这样，同一文件的不同分片可能被上传的不同的数据服务器上去。针对这种情况，还可以首先将不同用户端上传的同一文件的各个分片路由到同一个组包服务器，然后由组包服务器对各个分片进行组包。

具体实现时，数据服务器（相当于是上传接收机）可以是个集群，每个数据服务器都可以接收分片上传，分片上传到数据服务器之后，可以由分片分发进程把各个分片路由到组包集群上。具体的，这个进程可以先去请求一下调度中心，得到该分片应该去哪个组包服务器，调度中心根据文件的 md5 ( Message Digest Algorithm, 消息摘要算法第五版，是计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护）给分发进程分配一个合适的组包服务器，每个组包服务器都会起动一个组包 worker等待组包，这样同一文件的所有分片就会落在同一台组包服务器中。

需要说明的是，本发明实施例所述的数据服务器、组包服务器可以是物理上相互独立的机器，也可以使用同一机器中提供不同的服务，本发明实施例在描述时重点突出功能性，但并不能看作是对本发明的限制。

其中，上述的调度中心可以用来监控组包机器的状态，该调度中心是冗余的，可以热切；当一个分片请求调度中心时候，可以根据文件的 md5 , 通过 hash算法找到相应的组包服务器，当某台组包服务器失效时候，调度中心会检测到该组包服务器失效，并把状态置为无效，同时选择一台备份机器顶替掉失效的机器。通过这种机制，可以提高系统的容错能力，保证组包服务的可靠运行。

进一步，优选的，所述以分片为单位向云端服务器进行文件上传包括：

步骤 L11 , 按照分片号的顺序，向所述云端服务器发送文件上传请求，所述云端服务器根据其他用户端针对该文件的各分片的已上传情况，确定当前用户端是否需要上传当前分片；

步骤 L12, 如果接收到需要上传的响应消息，则将当前分片上传到云端服务器。如果不存在，则不上传任何文件。

步骤 240, 分析所述未知文件的安全等级，并进行记录。

为了保证提供给用户端的文件是安全文件，对于用户端上传的文件，需要云端服务器判断其是否为安全文件，如果是安全文件，则标记其安全等级为安全。如果是其他情况，则对其进行相应安全等级的标记，比如可疑，中毒等，然后对对相应文件特征信息及相应安全等级进行记录，比如被感染等级。在上述上传过程中，本发明实施例的文件可进行唯一性存储，即同一个文件只存储一份，不重复存储。比如对于用户端 A, 云端服务器通过前述步骤发现其存在未知文件 filel、 file2、 ffle3 , 那么通知用户端 A上传 filel、 file2、 file3至云端服务器进行存储，云端服务器记录相应的文件特征信息。然后对于用户端 B,其中存在文件 filel、 file3、 file4, 那么此时，云端服务器通过上述步骤检测到用户端 B中存在未知文件 file4, 那么通知用户端 B上传 ffle4。

进一步的，分析所述未知文件的安全等级包括：

步骤 S250, 当所述未知文件的安全等级为被感染等级时，则结合所述文件日志信息在云端服务器查找对应的安全的文件，并通知用户端下载所述安全的文件；

当云端服务器判断用户端上传的文件为被感染的文件时，则结合所述文件日志信息在云端服务器查找对应的安全的文件，并通知用户端下载所述安全的文件。

在云端服务器查找相应被感染文件的安全文件时，需要根据文件日志信息获取安全文件的列表。比如，对于本发明实施例釆用文件内容的 MD5值对文件进行对应，那么因为对于一个文件，其感染后，感染前后的文件内容 MD5值变化，则无法直接根据 MD5 值查找云端服务器存储的相应文件。比如对于用户端 B的 fflel , ffle3 , file4, 其安全文件的文件内容 MD5值为：

666666666666666666666666666666AA,

666666666666666666666666666666BB,

666666666666666666666666666666CC;

其路径均为 D: A\A。

感染后的相应的文件内容 MD5值为：

666666666666666666666666666666DD,

666666666666666666666666666666EE,

666666666666666666666666666666FF;

其中， filel , file3路径为 D: A\A, 文件 ffle4的路径为 E: B\B, 由 D: A\A移动得到。那么根据扫描和监控用户端 B得到的文件日志信息，可知道 MD5值为

666666666666666666666666666666DD对应的文件是 D: A\A\filel,相应的安全版本的内容值为 666666666666666666666666666666AA;

MD5值为 666666666666666666666666666666EE对应的文件是 D: A\A\file3; 相应的安全版本的内容值为 666666666666666666666666666666BB;

MD5值为 666666666666666666666666666666FF对应的文件是 D: A\A\file4, 相应的安全版本的内容值为 666666666666666666666666666666CC。

那么可根据安全版本的 MD5值在云端服务器查询相应的安全的 filel、 ffle3和 file4, 并下载给用户端在本实施例中，用户端获下载安全的文件时包括：

结合用户端 ID和文件特征信息在云端服务器匹配获取相应的安全的文件。即结合前述用户端 ID和 PATH (路径 MD5 ) +TEXT (文件内容 MD5 ) + VERSION

(版本标识）等形式。

步骤 S 260, 用所述安全的文件替换用户端所述未知文件。

其中，还可将云端服务器确认安全的未知文件，加入安全的白名单，并记录其签名信息。

当用户端获取到被感染文件对应的安全版的文件时，即获取到该文件被感染之前上传至云端的安全的文件时，则用所述安全版的文件替换所述被感染的文件。

在本实施例中，用户端获取时包括：

结合用户端 ID和文件特征信息在云端服务器匹配获取相应的安全的文件。

当云端服务器不存在被感染文件相应的安全版本的文件时，则将所述被感染文件使用安全软件传统的修复方式修复，隔离或者删除。

其中，用所述安全的文件替换用户端所述未知文件包括：

步骤 S30, 当所述被感染的未知文件存在操作权限限制时，通过调用权限获取函数，获取文件的操作权限；所述权限获取函数低于***权限认证函数层；

步骤 S31 , 当获取到文件的操作权限后，将所述未知文件用相应安全的文件进行替换。

另外，用所述安全的文件进行替换时包括：

用户端通过将监控的文件变化信息上传至云端服务器，在云端服务器查找并获取距当前时间点最近的安全的文件，并用所述安全的文件将所述异常文件或者未知文件用相应安全的文件进行替换。

比如，用户端 A的文件 b.exe在 2012-1-11 日上传至云端时其 MD5值为 al , 但是，用户端在 2012-2-15 日对 b.exe的内容进行了修改，其 MD5值是变为了 a2, 那么将 a2也上传至云端服务器， al和 a2均为安全。而在 2012-4-20日通过前述步骤发现 b.exe中毒，那么可根据前述方法从云端查找并最近的 b.exe的安全的文件，即云端服务器存储的 2012-2-15的 b.exe, 然后将 2012-2-15的 b.exe替换当前被感染的文件 b.exe。

另外，在本发明中，判断出未知文件被感染之后，还包括：

提示用户端是否允许对被感染的未知文件进行替换。

比如在判断出被感染的未知文件之后 , 在从云端服务器下载与所述被感染的未知文件相应的，被感染前的安全的文件之前，即提示用户端，是否允许下载安全版的文件并进行替换。

在各个***中，每个文件均存在其操作权限，比如 windows文件中有：完全控制、修改、读取和运行、读取、写入等权限，还有文件被调用时的禁止修改的操作权限。那么本发明可通过权限获取驱动获取文件的操作权限。本发明中具体的权限获取技术方法较多，本发明不对其加以限制。步骤 270, 扫描用户端文件，判断文件是否异常，并获取文件特征信息；

步骤 280,如果异常，则根据所述文件特征信息从云端服务器获取与所述异常文件相应的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；

步骤 290, 用所述安全的文件替换用户端相应异常的文件。

其中步骤 270、 280和 290基本与实施例 1基本相似。其中扫描可与文件上传过程并行，也可异步执行。

在步骤 270中，对用户端文件的是否感染的扫描可釆用用户端本身自带的传统杀毒软件使用的病毒特征库进行扫描，还包括使用通过云端服务器比对的云查杀引擎进行扫描。。在扫描的同时，获取文件的文件特征信息。在获取文件特征信息时也结合监控文件变化得到信息对扫描的文件特征信息进行处理，得到最终用于在云端服务器进行查询与所述异常文件相应的安全的文件特征信息。比如对于 D:\A\filel , 如果用户在上传 D:\A\filel之后，将其在用户端的存储路径改变，将其名字改变比如改为 ffle6, 路径也更改，即 E:\A\file6, 那么本发明实施例中则监控 filel的改变过程，而此时如果 ffle6异常，也可知道 ffle6对应的安全文件为原 D:\A\filel。则可将该信息上传至云端服务器。

在本发明实施例中，当由用户端的杀毒引擎能够确认感染的文件，则将其上述文件特征信息发送至云端服务器。如果用户端的杀毒引擎不能判断文件是否异常，则可将其作为未知文件上传至云端服务器进行查杀，并将其上述文件特征信息也上传至云端服务器。

在步骤 280中，对于异常文件，则根据由前述扫描及监控过程得到的文件特征信息，基于该信息在云端服务器中存储的文件中查找相应安全版本的文件，然后提供给用户端下载。当用户端下载与所述异常文件相应的安全的文件时，则转入步骤 290用所述安全的文件替换用户端相应异常的文件。

其中，用所述安全的文件替换用户端相应异常文件包括：

步骤 S291 , 当异常文件存在操作权限限制时，通过调用权限获取函数，获取文件的操作权限；所述权限获取函数低于***权限认证函数层；

步骤 S292, 当获取到文件的操作权限后，将所述异常的文件用所述安全的文件进行替换。

在各个***中，每个文件均存在其操作权限，比如 windows文件中有：完全控制、修改、读取和运行、读取、写入等权限，还有文件被调用时的禁止修改的操作权限。那么本发明可通过权限获取驱动获取文件的操作权限。本发明中具体的权限获取技术方法较多，本发明不对其加以限制。

另外，在本发明中，判断出文件异常之后，还包括：

提示用户端是否允许对异常文件进行替换。

比如在判断文件异常之后，在从云端服务器下载与所述异常的文件相应的，未出现异常情况前的安全的文件之前即提示用户端，是否允许下载安全版的文件并进行替换。如果用户不允许，则可釆用传统修复技术对异常文件进行修复。

参照图 3 , 其示出了本发明一种用户端文件的修复装置的结构示意图，包括：感染扫描模块 310,用于扫描用户端文件，判断文件是否异常，并获取文件特征信息；安全文件获取模块 320,用于如果异常，则根据所述文件特征信息从云端服务器获取与所述异常文件相应的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；

替换模块 330, 用于用所述安全的文件替换用户端相应异常的文件。

所述替换模块包括：

替换单元，用于当异常文件存在操作权限限制时，通过权限获取驱动获取文件的操作权限。

其中，所述感染扫描模块可存在于用户端，也可存在于云端服务器。

另外，还包括替换提示模块，用于提示用户端是否允许对异常文件进行替换。

参照图 4, 其示出了本发明优选的一种用户端文件的修复装置的结构示意图，包括：文件上传模块，所述文件上传模块包括：

日志信息生成子模块 410, 用于针对每一用户端，扫描文件的文件特征信息，并结合对文件变化的监控，生成文件信息日志；

未知文件判断子模块 420,用于将文件信息日志的文件特征信息与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件；

第一上传子模块 430,用于如果存在未知文件，则通知用户端将所述未知文件上传至云端服务器；

第一判断子模块 440, 用于分析所述未知文件的安全等级，并进行记录。

优选的，还包括：

查找获取子模块 S450, 用于当所述未知文件的安全等级为异常等级时，则结合所述文件日志信息在云端服务器查找对应的安全的文件，并通知用户端下载所述安全的文件；第一替换子模块 S460, 用于用所述安全的文件替换用户端所述未知文件。

感染扫描模块 470,用于扫描用户端文件，判断文件是否异常，并获取文件特征信息；安全文件获取模块 480,用于如果异常，则根据所述文件特征信息从云端服务器获取与所述异常文件相应的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；

替换模块 490 , 用于用所述安全的文件替换用户端相应异常的文件。

其中，所述未知文件判断子模块包括：

第一未知判断模块，用于将用户端当前生成的文件日志信息，与以前记录所述用户端的文件日志信息进行比较，判断是否存在云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息；第二未知判断模块，用于如果存在所述第一未知文件日志信息，将所述第一未知文件日志信息中的文件特征信息，与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件。

其中，所述第一未知判断模块包括：

第二上传子模块，用于将用户端当前生成的文件日志信息上传至云端服务器；第二判断子模块，用于将云端服务器当前接收的文件日志信息与云端服务器记录的对应所述用户端的文件信息日志进行比较，获取所述云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息。

其中，第一上传子模块包括，

文件分片单元 202,用于用户端接收云端服务器返回的分片策略，并根据所述分片策略，对所述待上传文件进行分片；

分片上传单元 203 , 用于用户端以分片为单位向云端服务器进行文件上传；其中，如果不同的用户端发现同一待上传文件，则由各个用户端并行上传该同一待上传文件的不同分片。

其中，在存储文件日志信息时包括：

信息提取模块，用于以用户端文件路径、文件内容对应的特征值、文件版本的结构对文件特征信息进行结构化，获得结构化文件特征信息；

信息存储模块，用于根据所述文件的安全等级，对所述结构化文件特征信息进行安全等级标识；将标识完安全等级的结构化文件特征信息存入对应所述用户端的文件信息日志中。

其中，所述替换模块或第一替换模块包括：

权限获取单元，用于当所述异常文件或者所述被感染的未知文件存在操作权限限制时，通过调用权限获取函数，获取文件的操作权限；所述权限获取函数低于***权限认证函数层；

替换单元，用于当获取到文件的操作权限后，将所述异常文件或者未知文件用相应安全的文件进行替换。

还包括替换提示模块，用于提示用户端是否允许对异常文件、和 /或被感染的未知文件进行替换。

参照图 5 , 其示出了本发明一种用户端文件的修复***的结构示意图，包括：各用户端和云端服务器，其中云端服务器包括云端服务器日志服务器和云端服务器文件服务器。

每个用户端可用于上传未知文件及文件日志信息，还可用于判断其文件是否感染。云端服务器日志服务器可用于存储各用户端上传的文件日志信息，和与文件服务器中文件存在对应关系的文件特征信息。

云端服务器文件服务器可用于存储用户端上传的文件，和判定文件是否异常，并提供给安全文件给用户端下载。

具体模块功能如前方法实施例所述，在此不在加以详述。

对于***实施例而言，由于其与方法实施例基本相似，所以描述的比较筒单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均釆用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP )来实现根据本发明实施例的用户端文件的修复装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图 6 示出了可以实现根据本发明的用户端文件的修复方法的服务器，例如应用服务器。该服务器传统上包括处理器 610和以存储器 620形式的计算机程序产品或者计算机可读介质。存储器 620 可以是诸如闪存、 EEPROM (电可擦除可编程只读存储器）、 EPROM、硬盘或者 ROM之类的电子存储器。存储器 620具有用于执行上述方法中的任何方法步骤的程序代码 631的存储空间 630。例如，用于程序代码的存储空间 630 可以包括分别用于实现上面的方法中的各种步骤的各个程序代码 631。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘（CD )、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图 7 所述的便携式或者固定存储单元。该存储单元可以具有与图 6的服务器中的存储器 620 类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码 63 Γ , 即可以由例如诸如 610之类的处理器读取的代码，这些代码当由服务器运行时，导致该服务器执行上面所描述的方法中的各个步骤。

本文中所称的 "一个实施例"、 "实施例"或者"一个或者多个实施例 "意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里"在一个实施例中"的词语例子不一定全指同一个实施例。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词"包含" 不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词 "一"或"一个"不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims

权利要求

1、一种用户端文件的修复方法，其包括：

扫描用户端文件，判断文件是否异常，并获取文件特征信息；

如果异常，则根据所述文件特征信息从云端服务器获取与所述异常的文件相应的，未出现异常情况前的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；

用所述安全的文件替换用户端相应异常的文件。

2、根据权利要求 1所述的方法，其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得包括：

针对每一用户端，扫描文件的文件特征信息，并结合对文件变化的监控，生成文件信息日志；

将文件信息日志的文件特征信息与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件；

如果存在未知文件，则通知用户端将所述未知文件上传至云端服务器；

分析所述未知文件的安全等级，并进行记录。

3、根据权利要求 2所述的方法，其中，分析所述未知文件的安全等级包括：当所述未知文件的安全等级为被感染等级时，则结合所述文件日志信息在云端服务器查找对应的安全的文件，并通知用户端下载所述安全的文件；

用所述安全的文件替换用户端所述未知文件。

4、根据权利要求 2所述的方法，其中，将文件信息日志的文件特征信息与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件包括：

将用户端当前生成的文件日志信息，与以前记录所述用户端的文件日志信息进行比较，判断是否存在云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息；

如果存在所述第一未知文件日志信息，将所述第一未知文件日志信息中的文件特征信息，与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件。

5、根据权利要求 4所述的方法，其中，将用户端当前生成的文件日志信息，与以前记录所述用户端的文件日志信息进行比较，判断是否存在云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息包括：

将用户端当前生成的文件日志信息上传至云端服务器；

将云端服务器当前接收的文件日志信息与云端服务器记录的对应所述用户端的文件信息日志进行比较，获取所述云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息。

6、根据权利要求 5所述的方法，其中，在记录文件日志信息时包括：以用户端文件路径、文件内容对应的特征值、文件版本的结构对文件特征信息进行结构化，获得结构化文件特征信息；

才艮据所述文件的安全等级，对所述结构化文件特征信息进行安全等级标识；将标识完安全等级的结构化文件特征信息存入对应所述用户端的文件信息日志中。

7、根据权利要求 1或 3所述的方法，其中，用所述安全的文件进行替换时包括：当所述异常文件或者未知文件存在操作权限限制时，通过调用权限获取函数，获取文件的操作权限；所述权限获取函数低于***权限认证函数层；

8、根据权利要求 1或 3所述的方法，其中，用户端获取或下载安全的文件时包括：结合用户端 ID和文件特征信息在云端服务器匹配获取相应的安全的文件。

9、根据权利要求 1、 3、 8之一所述的方法，其中，用所述安全的文件进行替换时包括：

10、根据权利要求 1至 9之一所述的方法，其中，

所述的文件特征信息包括文件内容的 MD5值，和 /或文件的存储路径信息，和 /或文件的变化信息。

11、根据权利要求 2所述的方法，其中，通知用户端将所述未知文件上传至云端服务器时包括：

用户端接收云端服务器返回的分片策略，并根据所述分片策略，，对所述待上传文件进行分片；

用户端以分片为单位向云端服务器进行文件上传；其中，如果不同的用户端发现同一待上传文件，则由各个用户端并行上传该同一待上传文件的不同分片。

12、根据权利要求 11所述的方法，其中，所述以分片为单位向云端服务器进行文件上传包括：

按照分片号的顺序，向所述云端服务器发送文件上传请求，所述云端服务器根据其他用户端针对该文件的各分片的已上传情况，确定当前用户端是否需要上传当前分片；如果接收到需要上传的响应消息，则将当前分片上传到云端服务器。

13、一种用户端文件的修复装置，其包括：

感染扫描模块，用于扫描用户端文件，判断文件是否异常，并获取文件特征信息；安全文件获取模块，用于如果异常，如果异常，则根据所述文件特征信息从云端服务器获取与所述异常的文件相应的，未出现异常情况前的安全的文件；其中，所述云端服务器中的安全的文件通过直接的方式对各用户端的各文件进行上传获得；替换模块，用于用所述安全的文件替换用户端相应异常的文件。

14、根据权利要求 13所述的装置，其中，还包括：

文件上传模块，所述文件上传模块包括：

日志信息生成子模块，用于针对每一用户端，扫描文件的文件特征信息，并结合对文件变化的监控，生成文件信息日志；

未知文件判断子模块，用于将文件信息日志的文件特征信息与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件；

第一上传子模块，用于如果存在未知文件，则通知用户端将所述未知文件上传至云端服务器；

第一判断子模块，用于分析所述未知文件的安全等级，并进行记录。

15、根据权利要求 14所述的装置，其中，还包括：

查找获取子模块，用于当所述未知文件的安全等级为被感染等级时，则结合所述文件日志信息在云端服务器查找对应的安全的文件，并通知用户端下载所述安全的文件；第一替换子模块，用于用所述安全的文件替换用户端所述未知文件。

16、根据权利要求 14所述的装置，其中，所述未知文件判断子模块包括：第一未知判断模块，用于将用户端当前生成的文件日志信息，与以前记录所述用户端的文件日志信息进行比较，判断是否存在云端服务器记录的，对应所述用户端的文件日志信息中不存在的第一未知文件日志信息；

第二未知判断模块，用于如果存在所述第一未知文件日志信息，将所述第一未知文件日志信息中的文件特征信息，与云端服务器中记录的文件特征信息进行比较，判断是否存在未知文件。

17、根据权利要求 16所述的装置，其中，所述第一未知判断模块包括：

18、根据权利要求 17所述的装置，其中，在存储文件日志信息时包括：

19、根据权利要求 13或 15所述的装置，其中，所述替换模块或第一替换模块包括: 权限获取单元，用于当所述异常文件或者所述被感染的未知文件存在操作权限限制时，通过调用权限获取函数，获取文件的操作权限；所述权限获取函数低于***权限认证函数层；

20、根据权利要求 13或 15所述的装置，其中，用户端获取或下载安全的文件时包括：

21、根据权利要求 13、 15、 20之一所述的装置，其中，替换模块或第一替换模块还用于：

22、根据权利要求 13至 21之一所述的装置，其中，

23、根据权利要求 14所述的装置，其中，通知用户端将所述未知文件上传至云端服务器时包括：

24、根据权利要求 23所述的装置，其中，所述以分片为单位向云端服务器进行文件上传包括：

25、一种计算机程序，包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 1-12中的任一个所述的用户端文件的修复方法。

26、一种计算机可读介质，其中存储了如权利要求 25所述的计算机程序。