技术特征:
1.一种文件篡改检测方法,其特征在于,应用于服务器,包括:接收由客户端发来的携带有数字签名的查询请求;对所述数字签名进行解密,得到待查找哈希值;基于所述待查找哈希值和预先创建的数据库,确定向所述客户端反馈的结果;其中,所述数据库包括白文件和与各白文件的数字签名对应的哈希值,所述结果包括服务器存在与所述查询请求的数字签名对应的白文件和服务器不存在与所述查询请求的数字签名对应的白文件;将所述结果发送给所述客户端,以使所述客户端利用所述结果检测携带有数字签名的第一待检测文件是否被篡改。2.根据权利要求1所述的方法,其特征在于,所述查询请求还携带有与所述数字签名对应的白文件的官方来源;还包括:在所述结果为服务器不存在与所述查询请求的数字签名对应的白文件时,根据各客户端发来的查询请求携带的白文件的官方来源,访问所述白文件的官方网站,以从所述官方网站收集所述白文件。3.根据权利要求1所述的方法,其特征在于,所述查询请求还携带有与所述数字签名对应的白文件的官方来源;还包括:在所述结果为服务器不存在与所述查询请求的数字签名对应的白文件时,根据各客户端发来的查询请求携带的白文件的官方来源,对所述白文件的官方网站进行分类,以对相同官方网站的第一待检测文件进行分析。4.根据权利要求1所述的方法,其特征在于,所述查询请求还携带有与所述数字签名对应的白文件的官方来源;所述对所述数字签名进行解密,得到待查找哈希值,包括:根据所述白文件的官方来源,访问所述白文件的官方网站;从所述官方网站中获取所述白文件的公钥;利用所述公钥对所述数字签名进行解密,得到待查找哈希值。5.根据权利要求1-4中任一项所述的方法,其特征在于,所述数据库包括的至少部分白文件是通过如下方式获得的:针对每个客户端,在当前客户端将所述第一待检测文件确定为被篡改的白文件和将第二待检测文件确定为未被篡改的白文件时,当前客户端将所述第二待检测文件作为白文件上传至所述服务器;其中,所述第二待检测文件为所述第一待检测文件的有效数据和数字签名重组后的文件。6.根据权利要求5所述的方法,其特征在于,所述第一待检测文件的有效数据是基于所述第一待检测文件的数字签名得到的。7.根据权利要求6所述的方法,其特征在于,所述第一待检测文件的有效数据是通过如下方式得到的:利用客户端提取所述第一待检测文件的数字签名,得到所述第一待检测文件的有效数据在所述第一待检测文件的二进制代码中的开始位置和所占长度;
基于所述开始位置和所述所占长度,利用客户端获取所述第一待检测文件的有效数据。8.一种文件篡改检测装置,其特征在于,应用于服务器,包括:接收模块,用于接收由客户端发来的携带有数字签名的查询请求;解密模块,用于对所述数字签名进行解密,得到待查找哈希值;确定模块,用于基于所述待查找哈希值和预先创建的数据库,确定向所述客户端反馈的结果;其中,所述数据库包括白文件和与各白文件的数字签名对应的哈希值,所述结果包括服务器存在与所述查询请求的数字签名对应的白文件和服务器不存在与所述查询请求的数字签名对应的白文件;发送模块,用于将所述结果发送给所述客户端,以使所述客户端利用所述结果检测携带有数字签名的第一待检测文件是否被篡改。9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
技术总结
本发明实施例涉及计算机安全技术领域,特别涉及一种文件篡改检测方法、装置、电子设备及存储介质。其中,文件篡改检测方法应用于服务器,包括:接收由客户端发来的携带有数字签名的查询请求;对数字签名进行解密,得到待查找哈希值;基于待查找哈希值和预先创建的数据库,确定向客户端反馈的结果;其中,数据库包括白文件和与各白文件的数字签名对应的哈希值,结果包括服务器存在与查询请求的数字签名对应的白文件和服务器不存在与查询请求的数字签名对应的白文件;将结果发送给客户端,以使客户端利用结果检测携带有数字签名的第一待检测文件是否被篡改。本发明提供的方案可以解决反病毒引擎不能实现对被篡改的白文件的有效检测的问题。效检测的问题。效检测的问题。
技术研发人员:吕经祥 童志明 肖新光
受保护的技术使用者:安天科技集团股份有限公司
技术研发日:2022.03.31
技术公布日:2022/6/28