WO2015024435A1

WO2015024435A1 - 处理系统文件的方法及装置

Info

Publication number: WO2015024435A1
Application number: PCT/CN2014/083683
Authority: WO
Inventors: 王佳思
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2013-08-22
Filing date: 2014-08-05
Publication date: 2015-02-26
Also published as: CN103457942A; CN103457942B

Abstract

本发明实施例公开了一种处理系统文件方法及装置。该方法包括：从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数；通过用于读取系统文件中的字符的函数读取系统文件中包括的每一行字符；根据所述系统文件中包括的每一行字符，确定所述系统文件中至少一行非法字符；处理该系统文件中至少一行非法字符，使该非法字符无法被解析。

Description

处理系统文件的方法及装置本申请要求于 2013 年 8 月 22 日提交中国专利局、申请号为 201310370275.x,发明名称为 "一种对系统文件进行处理的方法及装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及互联网领域，特别涉及一种处理系统文件的方法及装置。发明背景

随着互联网技术的快速发展，网站的数量越来越多。当用户需要通过终端访问某个网站时，终端首先获取该网站的 IP ( Internet Protocol，网络之间互联的协议）地址，并根据该 IP地址访问该网站。具体的，当用户通过终端的浏览器输入某个网站的 URL ( Uniform Resource Locator, 统一资源定位符）之后，浏览器将该 URL提交给终端的操作系统。终端的操作系统接收该 URL之后，获取本地存储的操作系统内的系统文件，该系统文件中至少包括 URL和该 URL对应的 IP地址。下面以该系统文件为 hosts文件为例进行说明。终端的操作系统居用户输入的 URL对该 hosts文件进行解析。如果解析出该 URL对应的 IP地址，则根据解析出的 IP地址访问该网站。如果没有解析出该 URL对应的 IP地址，则从 DNS ( Domain Name System, 域名系统）服务器中获取该 URL对应的 IP地址，根据获取的 IP地址访问该网站。

但是，终端存储的系统文件可能被病毒修改。例如，病毒可以将系统文件中的某一个或多个 IP地址^ ί'爹改为钓鱼网站的 IP地址，从而使终端从系统文件中获取到钓鱼网站的 IP地址，进而访问钓鱼网站。可见，利用现有的处理系统文件的方式，存在访问钓鱼网站的风险，降低了终端的网络安全性。发明内容

本发明实施例提供了一种处理系统文件的方法及装置。

一种处理系统文件的方法，包括：

从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数；

通过用于读取系统文件中的字符的函数读取系统文件中包括的每一行字符；

根据所述系统文件中包括的每一行字符，确定所述系统文件中至少一行非法字符；

处理该系统文件中至少一行非法字符，使该非法字符无法被解析。一种处理系统文件的装置，包括：

调用模块，用于从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数；

读取模块，用于通过用于读取系统文件中的字符的函数读取系统文件中包括的每一行字符；

获取模块，用于根据所述系统文件中包括的每一行字符，获取所述系统文件中至少一行非法字符；

注释模块，用于处理该系统文件中至少一行非法字符，使该非法字符无法被解析。

可见，根据本发明实施例，通过用于读取系统文件中的字符的函数读取系统文件中包括的每一行字符，根据系统文件中包括的每一行字符确定系统文件中至少一行非法字符，处理该系统文件中至少一行非法字符，使该非法字符无法被解析。因此，终端在解析系统文件时，不会解析系统文件中的非法字符，例如被病毒修改的 IP地址和 URL，从而避免访问钓鱼网站，提高了终端的网络安全性。附图简要说明

图 1是本发明实施例提供的一种处理系统文件的方法流程图。

图 2-1是本发明另一实施例提供的一种处理系统文件的方法流程图。图 2-2是本发明实施例提供的一种系统文件第一种结构示意图。图 2-3是本发明实施例提供的一种系统文件第二种结构示意图。图 3 是本发明实施例提供的一种处理系统文件的装置的结构示意图。实施本发明的方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

图 1示出了本发明实施例提供的一种处理系统文件的方法。如图 1 所示，该方法包括如下步骤。

步骤 101 : 从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数。

步骤 102: 通过用于读取系统文件中的字符的函数读取系统文件中包括的每一行字符。

在本发明实施例中，系统文件可以为操作系统中的 hosts文件。在本发明实施例中，系统文件的每一行字符由 IP地址和该 IP地址对应的一个或多个 URL组成。 IP地址的存储位置位于该 IP地址对应的一个或多个 URL之前。例如，参见图 2-2所示的系统文件，该系统文件中包含两行，第一行存储有 IP地址 "98.126.153.101" ，以及该 IP地址 " 98.126.153.101 " 对应的 URL 为 " www.icbc.com.cn " 和 " www.ccb.com ，，；第二行存储有 IP 地址 "98.126.153.101" ，以及该 IP地址 "98.126.153.101" 对应的 URL为 " www.abchina.com " 和 "www.cmbchina.com" 。

步骤 103: 根据系统文件中包括的每一行字符，确定系统文件中至少一行非法字符。

在本发明实施例中，如果系统文件中的合法的字符被病毒修改的或者被人为修改，该合法的字符则成为非法的字符，影响网络的安全性。

步骤 104: 处理该系统文件中至少一行非法字符，使该非法字符无法被解析。

在本发明的一个实施例中，处理该非法字符的方式可以为在系统文件中注释该非法字符。

在系统文件被解析的过程中，例如，当终端的操作系统解析到系统文件中的某一行 IP地址和 URL时，如果发现该行包括的第一个字符为注释符，则跳过该行，并解析下一行。因此，在本步骤中，可以在该至少一行非法字符的起始位置添加注释符 #。例如，参见图 2-3 所示的系统文件，当该系统文件中的两行字符被确定为非法字符时，在本步骤中，在第一行和第二行字符的起始位置处添加注释符 #，从而注释该非法字符，使该非法字符无法被解析。

在本发明的一个实施例中，处理该非法字符的方式还可以为将该非法字符从系统文件中删除，从而使该非法字符无法被解析。

根据本发明实施例，通过用于读取系统文件中的字符的函数读取系统文件中包括的每一行字符，根据系统文件中包括的每一行字符确定系统文件中至少一行非法字符，处理该系统文件中至少一行非法字符，使该非法字符无法被解析。因此，终端在解析系统文件时，不会解析系统文件中的非法字符，例如被病毒修改的 IP地址和 URL，从而避免访问钓鱼网站，提高了终端的网络安全性。

图 2-1示出了本发明另一实施例提供的一种处理系统文件的方法。在本实施例中，非法的字符为被病毒修改的字符。如图 2-1所示，该方法包括如下步骤。

步骤 201 : 从终端的操作系统函数库中调用用于读取系统文件中的字符的函数。

在本发明实施例中，当终端的操作系统或者在终端上运行的某个应用程序需要解析系统文件时，首先从操作系统函数库中调用用于读取系统文件中的字符的函数。

在本发明一个实施例中，根据预设的 dnsapi.dll 文件（为 DNS ( Domain Name System , i或名系统）客户端应用程序接口 API ( Application Programming Interface, 应用程序编程接口 )相关文件 )的文件地址，调用 dnsapi.dll文件，从 dnsapi.dll文件中获取用于读取系统文件中的字符的函数的函数地址。根据获取的函数地址，从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数。

在本发明一个实施例中，终端还可以进一步从 dnsapi.dll 文件中获取用于打开系统文件的函数的函数地址和用于关闭系统文件的函数的函数地址。根据用于打开系统文件的函数的函数地址和用于关闭系统文件的函数的函数地址，从终端的操作系统的系统函数库中分别调用用于打开系统文件的函数和用于关闭系统文件的函数。

在本发明实施例中，系统文件可以为 windows操作系统的 hosts文件。

如果终端的操作系统为 windows vista \7\8, 则用于打开系统文件的函数可以为 HostsFile_Open ( ) 函数，用于读取系统文件中的字符的函数可以为 HostsFile_Readline ( )函数，以及用于关闭系统文件的函数可以为 HostsFile_Close ( ) 函数。

如果终端的操作系统为 windows xp，则用于打开系统文件的函数可以为 Dns_OpenHostFile ( ) 函数，用于读取系统文件中的字符的函数可以为 Dns_ReadHostFileLine ( ) 函数，以及用于关闭系统文件的函数可以为 Dns_CloseHostFile ( ) 函数。

步骤 202: 通过用于读取系统文件中的字符的函数读取系统文件包括的每一行字符。

在本发明实施例中，通过用于打开系统文件的函数调用并打开系统文件，通过用于读取系统文件中的字符的函数从打开的系统文件中读取打开的系统文件中包括的每一行字符。

在本发明实施例中，用于打开系统文件的函数获取预设的系统文件对应的键值，根据获取的键值，从已存储的注册表中查询系统文件的文件存储路径。其中，注册表中包括键值与系统文件的文件存储路径的对应关系。用于打开系统文件的函数根据该文件存储路径，从终端本地获取系统文件，并打开获取的系统文件。

通过用于读取系统文件中的字符的函数读取如图 2-2所示的系统文件包括的第一行字符为 98.126.153.101www.icbc.com.cnwww.ccb.com; 读取如图 2-2 所示的系统文件包括的第二行字符为 98.126.153.101 www.abchina.com www.cmbchina.com。

步骤 203: 从读取的每一行字符中识别出 IP地址和该 IP地址对应的 URL。

在本发明实施例中，当系统文件中的某一行字符的起始位置包括注释符 #时，该行字符则不被解析。但是，当终端感染病毒后，病毒可能会修改系统文件包括注释符 #的字符，在注释符#与 IP地址之间添加大量空格字符，例如添加至少 999个空格字符，并将该行字符中的 IP地址或 URL修改为为钓鱼网站的 IP地址或 URL。当被病毒修改的系统文件被解析时，如果某行字符中的注释符与 IP地址之间存在大量空格字符，例如存在至少 999个空格字符，该行字符仍然会被解析，以致于终端的操作系统访问钓鱼网站。

因此在本步骤中，当某一行字符的起始位置不包括注释符 #时，从该行字符中识别出 IP地址和该 IP地址对应的 URL。当某一行字符的起始位置包括注释符#时，判断该注释符 #与 IP地址之间是否包括预定数量个空格字符。如果该注释符 #与 IP地址之间包括预定数量个空格字符，则直接确定该行字符为非法字符，执行步骤 205。在本发明一个实施例中，该预定数量个空格字符为至少 999个字符。在实际应用中，该预定数量可以根据操作系统的具体情况设置，从而保证对非法字符的识别。

进一步地，在步骤 203中还可以进一步緩存识别出的 IP地址和与该 IP地址对应的 URL，便于后续对非法字符的识别。

例如，从读取的第一行字符 " 98.126.153.101 www.icbc.com.cn www.ccb.com" 中识别出 IP地址为 "98.126.153.101" ，以及该 IP地址 " 98.126.153.101 " 对应的 URL 分别为 " www.icbc.com.cn " 和 "www.ccb.com" 。将识别出的该 IP地址 "98.126.153.101" 和识别出的该 IP地址 "98.126.153.101" 分别对应的 URL "www.icbc.com.cn" 和 "www.ccb.com" 緩存在如表 1所示的 IP地址与 URL的对应关系中。

从读取的第二行字符 " 98.126.153.101 www.abchina.com www.cmbchina.com" 中识别出 IP地址为 "98.126.153.101" ，以及该 IP 地址 "98.126.153.101 " 对应的 URL 分别为 "www.abchina.com" 和 "www.cmbchina.com" ，将识别出的该 IP地址 "98.126.153.101" 和识别出的该 IP 地址 " 98.126.153.101 " 分别对应的 URL "www.abchina.com" 和 "www.cmbchina.com" 緩存在: ^口表 1所示的 IP 地址与 URL的对应关系中。

表 1

步骤 204: 根据识别出的 IP地址和该 IP地址对应的 URL,确定系统文件中至少一行非法字符。

在本发明实施例中，可以根据地址黑名单和 /或 URL阔值确定系统文件中的非法字符。

其中，地址黑名单预先存储在终端中，该地址黑名单用于存储非法的 URL和 IP地址，并根据网络的实际情况定时更新。在本步骤中，判断 IP地址或 URL是否包括在该地址黑名单中，如果 IP地址或 URL包括在该地址黑名单中，则包括该识别出的 IP地址或 URL的一行或多行字符确定为非法字符。

URL阔值用于判断某个识别出的 IP地址是否为非法 IP地址。当终端感染病毒后，病毒可能会将系统文件中包括的多行字符中存储的 IP 地址修改为同一钓鱼网站的 IP地址。因此，在本发明实施例中，可以预先设置 URL阔值。当对应相同 IP地址的 URL的个数超过该 URL阔值时，则确定该 IP地址为非法 IP地址，将系统文件中包括该非法 IP地址的一行或多行字符确定为非法字符。 URL阔值可以根据实际需要设置，例如 URL可以为 3。

如果在步骤 203 中緩存了识别出的 IP地址和与该 IP地址对应的 URL, 则在本步骤中，根据 IP地址和该 IP地址对应的 URL,确定系统文件中至少一行非法字符。例如，根据地址黑名单和 /或 URL阔值确定系统文件中的非法字符。由于 IP地址和 URL被緩存，便于终端对非法字符进行识别，提高识别的效率。

例如，如表 1所示，根据步骤 203中緩存的识别出的 IP地址和与该 IP 地址对应的 URL， IP 地址 "98.126.153.101 " 对应的 URL 分别为 " www.icbc.com.cn " 、 " www.ccb.com " 、 " www.boc.cn " 和 "www.bankcomm.com" 。对应同一 IP地址 "98.126.153.101" 的 URL 的个数是 4个，超过预设阔值 3，则确定该 IP地址 "98.126.153.101" 为非法 IP地址。将系统文件包括非法 IP地址 "98.126.153.101" 的第一行和第二行字符确定为非法的两行字符。

步骤 205: 处理该系统文件中至少一行非法字符，使该非法字符无法被解析。

在本发明一个实施例中，可以直接将确定的非法字符从系统文件中删除，从而使该非法字符无法被解析。

在本发明一个实施例中，可以在系统文件中注释该至少一行非法字符。当该行非法字符的起始位置不包括注释符 #时，可以在该行非法字符的起始位置添加注释符 #。当该行非法字符中注释符 #与 IP地址之间包括至少 999个空格字符，可以将注释符与 IP地址之间存在至少 999个空格字符删除。

例如，在如图 2-2所示的系统文件包括第一行字符的起始位置处和第二行字符的起始位置处分别添加注释符 #，得到如图 2-3 所示的系统文件，从而在系统文件中注释第一行字符和第二行字符。步骤 206: 通过用于关闭系统文件的函数关闭打开的系统文件。可见，根据本发明实施例，能够确定系统文件中非法的至少一行字符，并处理该非法的至少一行字符，使该非法字符无法被解析，从而避免终端的操作系统或者应用程序解析出非法 IP地址和 URL，提高终端的网络安全性。

图 3示出了本发明实施例提供了一种处理系统文件的装置。如图 3 所示，该装置包括存储器 30和处理器 31。根据本申请的一个实施例，该存储器 30可以是非易失性计算机可读存储介质。在存储器 30中存储有实现调用模块 301，读取模块 302，获取模块 303和注释模块 304的计算机可读指令。处理器 31可以执行存储器中存储的计算机可读指令。

调用模块 301用于从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数。

读取模块 302用于通过用于读取系统文件中的字符的函数读取系统文件中包括的每一行字符。

获取模块 303用于根据该系统文件中包括的每一行字符，确定该系统文件中至少一行非法字符。

注释模块 304用于处理该系统文件中至少一行非法字符，使该非法字符无法被解析。

在本发明的一个实施例中，调用模块 301用于调用 DNS客户端 API 相关文件，从所述 DNS客户端 API相关文件中获取用于读取系统文件中的字符的函数的函数地址，并根据所述获取的函数地址，从所述终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数。

在本发明的一个实施例中，获取模块 303用于判断起始位置包括注字符，如果该注释符 #与 IP地址之间包括至少 999个空格字符，则确定该至少一行字符为非法字符。

在本发明的一个实施例中，获取模块 303用于从所述每一行字符中识别出 IP地址和所述识别出的 IP地址对应的 URL，居所述 IP地址和该 IP地址对应的 URL，确定所述系统文件中至少一行非法字符。

在本发明的一个实施例中，获取模块 303用于从所述每一行字符中识别出 IP地址和所述识别出的 IP地址对应的 URL，緩存所述识别出 IP 地址和所述识别出的 IP地址对应的 URL，居所述 IP地址和所述识别出的 IP地址对应的 URL，确定所述系统文件中至少一行非法字符。

在本发明的一个实施例中，在从所述每一行字符中识别出 IP地址和所述识别出的 IP地址对应的 URL时，获取模块 303用于从起始位置不包括注释符 #的至少一行字符中识别出 IP地址和该 IP地址对应的 URL。

在本发明的一个实施例中，在根据所述 IP地址和该 IP地址对应的 URL, 确定所述系统文件中至少一行非法字符时，获取模块 303用于判断所述 IP地址或 URL是否包括在预先设置的地址黑名单中，如果所述 IP地址或 URL包括在该地址黑名单中，确定包括该 IP地址或 URL的一行或多行字符为非法字符。

在本发明的一个实施例中，在根据所述 IP地址和该 IP地址对应的 URL, 确定所述系统文件中至少一行非法字符时，获取模块 303用于判断对应相同 IP地址的 URL的个数是否超过预设的 URL阔值，当对应相同 IP地址的 URL的个数超过该 URL阔值时，确定该 IP地址为非法 IP 地址，将系统文件中包括该非法 IP地址的一行或多行字符确定为非法字付。

在本发明的一个实施例中，注释模块 304用于将确定的该至少一行非法字符从该系统文件中删除，或者在所述系统文件中注释所述至少一行非法字符。可见，根据本发明实施例，能够确定系统文件中非法的至少一行字符，并处理该非法的至少一行字符，使该非法字符无法被解析，从而避免终端的操作系统或者应用程序解析出非法 IP地址和 URL，提高终端的网络安全性。

本发明实施例提供的方法和装置可以由硬件、或计算机可读指令、或者硬件和计算机可读指令的结合来实现。本实施例中使用的计算机可读指令由多个处理器存储在可读存储介质中，例如硬盘、 CD-ROM、 DVD, 光盘、软盘、磁带、 RAM、 ROM或其它合适的存储设备。或者，至少部分计算机可读指令可以由具体硬件替换，例如，定制集成线路、门阵列、 FPGA、 PLD和具体功能的计算机等等。

本发明实施例提供了计算机可读存储介质，用于存储指令使得计算机执行本文所述的方法。具体地，本实施例提供的系统或设备都具有存储介质，其中存储了计算机可读程序代码，用于实现上述任意实施例的功能，并且这些系统或设备（或 CPU或 MPU ) 能够读取并且执行存储在存储介质中的程序代码。

在这种情况下，从存储介质中读取的程序代码可以实现上述任一实施例，因此该程序代码和存储该程序代码的存储介质是技术方案的一部分。

用于提供程序代码的存储介质包括软盘、硬盘、磁光盘、光盘（例如 CD-ROM、 CD-R, CD-RW、 DVD-ROM、 DVD-RAM、 DVD-勝、 DVD+RW ) 、磁盘、闪存卡、 ROM等等。可选地，程序代码也可以通过通信网络从服务器电脑上下载。

应该注意的是，对于由计算机执行的程序代码，至少部分由程序代码实现的操作可以由运行在计算机上的操作系统实现，从而实现上述任一实施例的技术方案，其中该计算机基于程序代码执行指令。另外，存储介质中的程序代码被被写入存储器，其中，该存储器位于插入在计算机中的扩展板中，或者位于连接到计算机的扩展单元中。在本实施例中，扩展板或扩展单元中的 CPU根据指令，基于程序代码执行至少部分操作，从而实现上述任一实施例的技术方案。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种处理系统文件的方法，其特征在于，所述方法包括：从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数；

处理该系统文件中至少一行非法字符，使该非法字符无法被解析。

2、如权利要求 1所述的方法，其特征在于，所述从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数，包括：

调用域名系统 DNS客户端应用程序接口 API相关文件；

从所述 DNS客户端 API相关文件中获取用于读取系统文件中的字符的函数的函数地址；

根据所述获取的函数地址，从所述终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数。

3、如权利要求 1所述的方法，其特征在于，所述根据所述系统文件中包括的每一行字符，确定所述系统文件中至少一行非法字符，包括：判断起始位置包括注释符的至少一行字符中注释符与 IP地址之间是否包括至少预定数量个空格字符，如果所述注释符与 IP地址之间包括至少预定数量个空格字符，则确定所述至少一行字符为非法字符。

4、如权利要求 1所述的方法，其特征在于，所述根据所述系统文件中包括的每一行字符，确定所述系统文件中至少一行非法字符包括：从所述每一行字符中识别出网络之间互联的协议 IP地址和所述识别出的 IP地址对应的统一资源定位符 URL;

居所述 IP地址和所述 IP地址对应的 URL,确定所述系统文件中至少一行非法字符。

5、如权利要求 1所述的方法，其特征在于，所述根据所述系统文件中包括的每一行字符，确定所述系统文件中至少一行非法字符，包括：从所述每一行字符中识别出 IP地址和所述识别出的 IP地址对应的 URL;

緩存所述识别出 IP地址和所述识别出的 IP地址对应的 URL;

居所述 IP地址和所述 IP地址对应的 URL，确定所述系统文件中至少一行非法字符。

6、如权利要求 4或 5所述的方法，其特征在于，所述根据所述 IP 地址和所述 IP地址对应的 URL，确定所述系统文件中至少一行非法字符，包括：

判断所述 IP地址或 URL是否包括在预先设置的地址黑名单中，如果所述 IP地址或 URL包括在所述地址黑名单中，确定包括所述 IP地址或 URL的至少一行字符为非法字符。

7、如权利要求 4或 5所述的方法，其特征在于，所述根据所述 IP 地址和所述 IP地址对应的 URL，确定所述系统文件中至少一行非法字符，包括：

判断对应一个 IP地址的 URL的个数是否超过预设的 URL阔值，当对应所述 IP地址的 URL的个数超过所述 URL阔值时，确定所述 IP地址为非法 IP地址，将所述系统文件中包括所述非法 IP地址的至少一行字符确定为非法字符。

8、如权利要求 1所述的方法，其特征在于，所述处理该系统文件中至少一行非法字符，使该非法字符无法被解析，包括：从所述系统文件中删除所述至少一行非法字符；或者在所述系统文件中注释所述至少一行非法字符。

9、一种处理系统文件的装置，其特征在于，所述装置包括：调用模块，用于从终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数；

10、如权利要求 9所述的装置，其特征在于，所述调用模块用于调用域名系统 DNS客户端应用程序接口相关文件；从所述 DNS客户端应用程序接口相关文件中获取用于读取系统文件中的字符的函数的函数地址；根据所述获取的函数地址，从所述终端的操作系统的系统函数库中调用用于读取系统文件中的字符的函数。

11、如权利要求 9所述的装置，其特征在于，所述获取模块用于判断起始位置包括注释符的至少一行字符中注释符与 IP地址之间是否包括至少预定数量个空格字符，如果所述注释符与 IP地址之间包括至少预定数量个空格字符，则确定所述至少一行字符为非法字符。

12、如权利要求 9所述的装置，其特征在于，所述获取模块用于从所述每一行字符中识别出 IP地址和所述识别出的 IP地址对应的 URL，居所述 IP地址和该 IP地址对应的 URL，确定所述系统文件中至少一行非法字符。

13、如权利要求 9所述的装置，其特征在于，所述获取模块用于从所述每一行字符中识别出 IP地址和所述识别出的 IP地址对应的 URL，緩存所述识别出 IP地址和所述识别出的 IP地址对应的 URL，居所述 IP地址和所述识别出的 IP地址对应的 URL，确定所述系统文件中至少一行非法字符。

14、如权利要求 12或 13所述的装置，其特征在于，在根据所述 IP 地址和该 IP地址对应的 URL，确定所述系统文件中至少一行非法字符时，获取模块用于判断所述 IP地址或 URL是否包括在预先设置的地址黑名单中，如果所述 IP地址或 URL包括在所述地址黑名单中，确定包括所述 IP地址或 URL的至少一行字符为非法字符。

15、如权利要求 12或 13所述的装置，其特征在于，在根据所述 IP 地址和该 IP地址对应的 URL，确定所述系统文件中至少一行非法字符时，获取模块用于判断一个 IP地址的 URL的个数是否超过预设的 URL 阔值，当对应所述 IP地址的 URL的个数超过所述 URL阔值时，确定所述 IP地址为非法 IP地址，将系统文件中包括所述非法 IP地址的至少一行字符确定为非法字符。

16、如权利要求 9所述的装置，其特征在于，所述注释模块用于将确定的所述至少一行非法字符从所述系统文件中删除，或者在所述系统文件中注释所述至少一行非法字符。