利用触发文件实现的文档防护方法及装置、电子设备与流程
本发明涉及信息安全技术领域,具体涉及一种利用触发文件实现的文档防护方法、装置、电子设备及计算机存储介质。
背景技术:
勒索型蠕虫病毒是一种针对用户计算机中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件进行加密以索要赎金的病毒。这种勒索型病毒的主要的恶意操作如下:当一个敲诈者病毒加密文档的时候,会首先读取磁盘上的文件内容到内存,在内存中对内容进行改写(按照其加密算法),最后写回文件或新建一个文件;敲诈者病毒在对文档进行加密前首先做的是枚举磁盘上的所有文件,然后按照列表批量执行加密。
现有技术还没有提供一种有效的文档防护措施,用于防护勒索型病毒及类似的恶意进程对文档所执行的加密等恶意操作。
技术实现要素:
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的利用触发文件实现的文档防护方法、装置、电子设备及计算机存储介质。
根据本发明的一个方面,提供了一种利用触发文件实现的文档防护方法,该方法包括:
在磁盘的至少一个目录下设置触发文件;
监控触发文件的操作状态;
当监控到进程对触发文件执行指定操作时,则触发文档防护机制。
根据本发明的另一方面,提供了一种利用触发文件实现的文档防护装置,该装置包括:
设置模块,适于在磁盘的至少一个目录下设置触发文件;
监控模块,适于监控触发文件的操作状态;
防护模块,适于当监控模块监控到进程对触发文件执行指定操作时,触发文档防护机制。
根据本发明的又一方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述利用触发文件实现的文档防护方法对应的操作。
根据本发明的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述利用触发文件实现的文档防护方法对应的操作。
根据本发明的利用触发文件实现的文档防护方法、装置、电子设备及计算机存储介质,通过在磁盘的至少一个目录下设置触发文件,并监控触发文件的操作状态,当监控到进程对所触发文件执行指定操作时,则触发文档防护机制;根据本实施例的利用触发文件实现的文档防护方法、装置、电子设备及计算机存储介质,可以根据触发文件被执行操作的情况,及时确定执行操作的恶意进程,进而触发文档防护机制,实现对受保护文档的保护。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的利用触发文件实现的文档防护方法的流程图;
图2示出了根据本发明另一个实施例的利用触发文件实现的文档防护方法的流程图;
图3示出了根据本发明又一个实施例的利用触发文件实现的文档防护方法的流程图;
图4示出了根据本发明再一个实施例的利用触发文件实现的文档防护装置的功能框图;
图5示出了根据本发明实施例的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的利用触发文件实现的文档防护方法的流程图。如图1所示,该方法包括以下步骤:
步骤s101,在磁盘的至少一个目录下设置触发文件。
本发明的目的是对恶意进程进行监控,当确定有恶意进程对受保护文档所在的目录下的文档进行指定操作时,及时触发文档防护机制,实现对文档的保护。
为达到上述对恶意进程进行监控的目的,本发明实施例在磁盘的至少一个目录下设置触发文件,该触发文件能够在被某一进程执行了加密、修改、删除或移动等改变触发文件现状的操作之后,触发文档防护。
步骤s102,监控触发文件的操作状态。
触发文件的操作状态指触发文件是否被执行操作以及执行了何种操作的状态。例如,触发文件被执行了改变其现状的操作、触发文件被执行了加密操作等。
步骤s103,当监控到进程对触发文件执行指定操作时,则触发文档防护机制。
设定触发文档防护机制的指定操作,当监控到触发文件被执行的操作为指定操作时,则触发文档防护机制。
本发明实施例提供的利用触发文件实现的文档防护方法,通过在磁盘的至少一个目录下设置触发文件,并监控触发文件的操作状态,当监控到进程对所触发文件执行指定操作时,则触发文档防护机制;根据本实施例的利用触发文件实现的文档防护方法,可以根据触发文件被执行操作的情况,及时确定执行操作的恶意进程,进而触发文档防护机制,实现对受保护文档的保护。
图2示出了根据本发明另一个实施例的利用触发文件实现的文档防护方法的流程图。如图2所示,该方法包括以下步骤:
步骤s201,在磁盘的根目录下创建文件夹,在文件夹内设置触发文件。
勒索型蠕虫病毒等加密病毒的行为特点是:首先枚举磁盘上的所有文件,然后按照列表批量执行加密,根据该行为特点,为了能够及时的发现加密病毒的恶意操作,在设置触发文件时,优选地,可使触发文件是第一个被病毒枚举并加密的文件,本实施例中,采用以下措施在磁盘的根目录下创建文件夹,在文件夹内设置触发文件:
在磁盘的根目录下创建具有特定命名的文件夹,其中,文件夹具有的特定命名使得操作系统在执行枚举文件操作时最先枚举该文件夹内的文件。
具体地,上述设置方式可为,将文件夹以$符号、000开头的字符来命名,进而使得windows系统在枚举文件的时候首先枚举这些文件夹下的文件,保证这些文件在文件列表的前部,因此在执行加密的时候也会首先对这些文件进行加密操作。
本实施例中,触发文件的文件类型为以下类型中的任意一种或多种:doc、docx、docb、docm、dot、dotm、dotx、xls、xlsx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、ppt、pptx、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、pst、ost、msg、eml、edb、vsd、vsdx、txt、csv、rtf、123、wks、wk1、pdf、dwg、onetoc2、snt、hwp、602、sxi、sti、sldx、sldm、sldm、vdi、vmdk、vmx、gpg、aes、arc、paq、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、backup、iso、vcd、jpeg、jpg、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、key、pfx、以及der。
另外,为避免触发文件被用户误操作或者干扰用户日常使用,本实施例中设置触发文件的属性为隐藏属性。
步骤s202,在驱动层监控触发文件的操作状态。
触发文件的操作状态指触发文件是否被执行操作以及执行了何种操作的状态。例如,触发文件被执行了改变其现状的操作、触发文件被执行了加密操作等。
步骤s203,监控到进程对触发文件执行修改、删除或移动操作。
当监控到有进程对触发文件执行修改、删除或移动等指定操作,则触发文档防护机制。其中对触发文件执行修改包含了对触发文件执行加密的情况。
步骤s204,检测进程的进程链,对启动进程的父进程进行追溯,确定父进程是否为恶意进程。
本发明一种可选的触发文档防护机制的实现方法具体为,检测执行指定操作的进程的进程链,根据进程链追溯该进程的父进程以确定该父进程是否为恶意进程。
步骤s205,若确定父进程为恶意进程,则对进程所执行的指定操作进行拦截或上报。
如果确定父进程为恶意进程,则认为对触发文件执行指定操作的进程为恶意进程,为防止该恶意进程进一步对受保护的文档执行指定操作,对进程所执行的指定操作进行拦截或上报。具体地,可将该恶意进程执行的指定操作以弹窗的形式发送到终端,以便用户据此采取对文档的保护措施,或者,直接拦截该恶意进程以保护文档。
本发明实施例提供的利用触发文件实现的文档防护方法,通过以特定字符来命名设置触发文件的文件夹,以适应恶意进程执行枚举等操作时的顺序,使得触发文件为第一个被恶意进程操作的文件,进而能够通过触发防护机制来实现对受保护文档的保护;并且,将触发文件的属性设置为隐藏,可以避免触发文件被用户误操作或者干扰用户日常使用;通过追溯执行指定操作的进程的父进程来确定该父进程是否为恶意进程,并根据确定结果对该进程进行操作以实现对文档的保护。
图3示出了根据本发明又一个实施例的利用触发文件实现的文档防护方法的流程图。如图3所示,该方法与图2所示的方法区别在于为了能够及时的发现加密病毒的恶意操作,所采取的设置触发文件的方式不同,该方法包括以下步骤:
步骤s301,在磁盘的每个目录下设置至少一个触发文件。
在本实施例中,为了能够及时的发现加密病毒的恶意操作,会在磁盘的每个目录下设置至少一个触发文件。这种在每个目录下均设置触发文件的方式,可以从数量上来增大能及时发现加密病毒的恶意操作的概率。
可选地,为了避免因触发文件的数量过大对终端的运行造成影响,本实施例可根据磁盘空间的剩余量确定所设置的触发文件的数量。即,无需在磁盘的每个目录下设置触发文件,而是根据磁盘空间的剩余量确定设置多少触发文件,并将触发文件布置在磁盘的重要目录下。
本实施例中,触发文件的文件类型为以下类型中的任意一种或多种:doc、docx、docb、docm、dot、dotm、dotx、xls、xlsx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、ppt、pptx、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、pst、ost、msg、eml、edb、vsd、vsdx、txt、csv、rtf、123、wks、wk1、pdf、dwg、onetoc2、snt、hwp、602、sxi、sti、sldx、sldm、sldm、vdi、vmdk、vmx、gpg、aes、arc、paq、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、backup、iso、vcd、jpeg、jpg、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、key、pfx、以及der。
另外,为避免触发文件被用户误操作或者干扰用户日常使用,本实施例中设置触发文件的属性为隐藏属性。
步骤s302,在驱动层监控触发文件的操作状态。
具体地,在操作系统的驱动层对每个目录下的触发文件的操作状态进行监控。
步骤s303,监控到进程对触发文件执行修改、删除或移动操作。
步骤s304,检测进程的进程链,对启动进程的父进程进行追溯,确定父进程是否为恶意进程。
只要监控到有一个目录下的一个触发文件被执行指定操作,则检测执行指定操作的进程的进程链,根据进程链追溯该进程的父进程以确定该父进程是否为恶意进程。
步骤s305,若确定父进程为恶意进程,则对进程所执行的指定操作进行拦截或上报。
如果确定父进程为恶意进程,则认为对触发文件执行指定操作的进程为恶意进程,为防止该恶意进程进一步对受保护的文档执行指定操作,对进程所执行的指定操作进行拦截或上报。具体地,可将该恶意进程执行的指定操作以弹窗的形式发送到终端,以便用户据此采取对文档的保护措施,或者,直接拦截该恶意进程以保护文档。
本发明实施例提供的利用触发文件实现的文档防护方法,通过在磁盘的每个目录下设置至少一个触发文件,以适应恶意进程执行枚举等操作时的顺序,及时的发现加密病毒的恶意操作,进而能够通过触发防护机制来实现对受保护文档的保护;根据磁盘空间的剩余量确定所设置的触发文件的数量,避免因触发文件的数量过大对终端的运行造成影响;并且,将触发文件的属性设置为隐藏,可以避免触发文件被用户误操作或者干扰用户日常使用;通过追溯执行指定操作的进程的父进程来确定该父进程是否为恶意进程,并根据确定结果对该进程进行操作以实现对文档的保护。
图4示出了根据本发明再一个实施例的利用触发文件实现的文档防护装置的功能框图。如图4所示,该装置包括:设置模块41、监控模块42以及防护模块43。
设置模块41,适于在磁盘的至少一个目录下设置触发文件。
为达到对恶意进程进行监控的目的,本发明实施例在磁盘的至少一个目录下设置触发文件,该触发文件能够在被某一进程执行了加密、修改、删除或移动等改变触发文件现状的操作之后,触发文档防护。
监控模块42,适于监控触发文件的操作状态。
防护模块43,适于当监控模块监控到进程对触发文件执行指定操作时,触发文档防护机制。
设定触发文档防护机制的指定操作,当监控到触发文件被执行的操作为指定操作时,则触发文档防护机制。
本发明实施例提供的利用触发文件实现的文档防护装置,通过在磁盘的至少一个目录下设置触发文件,并监控触发文件的操作状态,当监控到进程对所触发文件执行指定操作时,则触发文档防护机制;根据本实施例的利用触发文件实现的文档防护装置,可以根据触发文件被执行操作的情况,及时确定执行操作的恶意进程,进而触发文档防护机制,实现对受保护文档的保护。
具体地,在本发明的另一个实施例中,在通过在磁盘的根目录下创建具有特定命名的文件夹以保证触发文件为第一个被恶意进程操作的文件时:
设置模块41进一步适于,在磁盘的根目录下创建文件夹,在文件夹内设置触发文件。
在磁盘的根目录下创建具有特定命名的文件夹,其中,文件夹具有的特定命名使得操作系统在执行枚举文件操作时最先枚举该文件夹内的文件。
设置模块41还适于,设置触发文件的属性为隐藏属性。
监控模块42进一步适于,在驱动层监控触发文件的操作状态。
防护模块43进一步适于,当监控模块监控到进程对触发文件执行修改、删除或移动操作时,触发文档防护机制,对进程所执行的指定操作进行拦截或上报。
在触发文档防护机制时,防护模块43还适于,检测进程的进程链,对启动进程的父进程进行追溯,确定父进程是否为恶意进程;若确定父进程为恶意进程,则对进程所执行的指定操作进行拦截或上报。
本发明实施例提供的利用触发文件实现的文档防护装置,通过以特定字符来命名设置触发文件的文件夹,以适应恶意进程执行枚举等操作时的顺序,使得触发文件为第一个被恶意进程操作的文件,进而能够通过触发防护机制来实现对受保护文档的保护;并且,将触发文件的属性设置为隐藏,可以避免触发文件被用户误操作或者干扰用户日常使用;通过追溯执行指定操作的进程的父进程来确定该父进程是否为恶意进程,并根据确定结果对该进程进行操作以实现对文档的保护。
具体地,在本发明的又一个实施例中,在通过在磁盘的每个目录下设置至少一个触发文件以保证及时的发现加密病毒的恶意操作,监控模块42和防护模块43的作用与通过在磁盘的根目录下创建具有特定命名的文件夹的方式时的作用相同:
设置模块41进一步适于,在磁盘的每个目录下设置至少一个触发文件。
根据磁盘空间的剩余量确定所设置的触发文件的数量。
设置模块41还适于,设置触发文件的属性为隐藏属性。
本发明实施例提供的利用触发文件实现的文档防护方法,通过在磁盘的每个目录下设置至少一个触发文件,以适应恶意进程执行枚举等操作时的顺序,及时的发现加密病毒的恶意操作,进而能够通过触发防护机制来实现对受保护文档的保护;根据磁盘空间的剩余量确定所设置的触发文件的数量,避免因触发文件的数量过大对终端的运行造成影响;并且,将触发文件的属性设置为隐藏,可以避免触发文件被用户误操作或者干扰用户日常使用;通过追溯执行指定操作的进程的父进程来确定该父进程是否为恶意进程,并根据确定结果对该进程进行操作以实现对文档的保护。
本申请实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的利用触发文件实现的文档防护方法。
图5示出了根据本发明实施例的一种电子设备的结构示意图。本发明具体实施例并不对电子设备的具体实现做限定。
如图5所示,该电子设备可以包括:处理器(processor)502、通信接口(communicationsinterface)504、存储器(memory)506、以及通信总线508。
其中:
处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。
通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器502,用于执行程序510,具体可以执行上述利用触发文件实现的文档防护方法实施例中的相关步骤。
具体地,程序510可以包括程序代码,该程序代码包括计算机操作指令。
处理器502可能是中央处理器cpu,或者是特定集成电路asic(applicationspecificintegratedcircuit),或者是被配置成实施本发明实施例的一个或多个集成电路。电子设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个cpu;也可以是不同类型的处理器,如一个或多个cpu以及一个或多个asic。
存储器506,用于存放程序510。存储器506可能包含高速ram存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
程序510具体可以用于使得处理器502执行以下操作:
在磁盘的至少一个目录下设置触发文件;
监控触发文件的操作状态;
当监控到进程对触发文件执行指定操作时,则触发文档防护机制。
程序510具体还可以用于使得处理器502执行以下操作:
在磁盘的根目录下创建文件夹,在文件夹内设置触发文件。
程序510具体还可以用于使得处理器502执行以下操作:
在磁盘的根目录下创建具有特定命名的文件夹,其中,文件夹具有的特定命名使得操作系统在执行枚举文件操作时最先枚举该文件夹内的文件。
程序510具体还可以用于使得处理器502执行以下操作:
在磁盘的每个目录下设置至少一个触发文件。
程序510具体还可以用于使得处理器502执行以下操作:
根据磁盘空间的剩余量确定所设置的触发文件的数量。
程序510具体还可以用于使得处理器502执行以下操作:
设置触发文件的属性为隐藏属性。
程序510具体还可以用于使得处理器502执行以下操作:
在驱动层监控触发文件的操作状态。
程序510具体还可以用于使得处理器502执行以下操作:
监控到进程对触发文件执行修改、删除或移动操作。
程序510具体还可以用于使得处理器502执行以下操作:
对进程所执行的指定操作进行拦截或上报。
程序510具体还可以用于使得处理器502执行以下操作:
检测进程的进程链,对启动进程的父进程进行追溯,确定父进程是否为恶意进程;
若确定父进程为恶意进程,则对进程所执行的指定操作进行拦截或上报。
触发文件的文件类型为以下类型中的任意一种或多种:
doc、docx、docb、docm、dot、dotm、dotx、xls、xlsx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、ppt、pptx、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、pst、ost、msg、eml、edb、vsd、vsdx、txt、csv、rtf、123、wks、wk1、pdf、dwg、onetoc2、snt、hwp、602、sxi、sti、sldx、sldm、sldm、vdi、vmdk、vmx、gpg、aes、arc、paq、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、backup、iso、vcd、jpeg、jpg、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、key、pfx、以及der。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的利用触发文件实现的文档防护装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了:a1.一种利用触发文件实现的文档防护方法,其包括:
在磁盘的至少一个目录下设置触发文件;
监控所述触发文件的操作状态;
当监控到进程对所述触发文件执行指定操作时,则触发文档防护机制。
a2.根据a1所述的方法,其中,所述在磁盘的至少一个目录下设置触发文件具体为:在磁盘的根目录下创建文件夹,在所述文件夹内设置所述触发文件。
a3.根据a2所述的方法,其中,所述在磁盘的根目录下创建文件夹具体为:在磁盘的根目录下创建具有特定命名的文件夹,其中,所述文件夹具有的特定命名使得操作系统在执行枚举文件操作时最先枚举该文件夹内的文件。
a4.根据a1所述的方法,其中,所述在磁盘的至少一个目录下设置触发文件具体为:在磁盘的每个目录下设置至少一个触发文件。
a5.根据a4所述的方法,其中,还包括:根据磁盘空间的剩余量确定所设置的触发文件的数量。
a6.根据a1或a4或a5所述的方法,其中,在所述在磁盘的至少一个目录下设置触发文件之后,所述方法还包括:设置所述触发文件的属性为隐藏属性。
a7.根据a2或a3所述的方法,其中,在所述在磁盘的根目录下创建文件夹,在所述文件夹内设置所述触发文件之后,所述方法还包括:设置所述触发文件和所述文件夹的属性为隐藏属性。
a8.根据a1-a7中任一项所述的方法,其中,所述监控所述触发文件的操作状态具体为:在驱动层监控所述触发文件的操作状态。
a9.根据a1-a8中任一项所述的方法,其中,所述监控到进程对所述触发文件执行指定操作具体为:监控到进程对所述触发文件执行修改、删除或移动操作。
a10.根据a1-a9中任一项所述的方法,其中,所述触发文档防护机制进一步包括:对进程所执行的指定操作进行拦截或上报。
a11.根据a1-a10中任一项所述的方法,其中,所述触发文档防护机制进一步包括:
检测所述进程的进程链,对启动所述进程的父进程进行追溯,确定所述父进程是否为恶意进程;
若确定所述父进程为恶意进程,则对所述进程所执行的指定操作进行拦截或上报。
a12.根据a1-a11中任一项所述的方法,其中,所述触发文件的文件类型为以下类型中的任意一种或多种:
doc、docx、docb、docm、dot、dotm、dotx、xls、xlsx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、ppt、pptx、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、pst、ost、msg、eml、edb、vsd、vsdx、txt、csv、rtf、123、wks、wk1、pdf、dwg、onetoc2、snt、hwp、602、sxi、sti、sldx、sldm、sldm、vdi、vmdk、vmx、gpg、aes、arc、paq、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、backup、iso、vcd、jpeg、jpg、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、key、pfx、以及der。
本发明还公开了:b13.一种利用触发文件实现的文档防护装置,其包括:
设置模块,适于在磁盘的至少一个目录下设置触发文件;
监控模块,适于监控所述触发文件的操作状态;
防护模块,适于当所述监控模块监控到进程对所述触发文件执行指定操作时,触发文档防护机制。
b14.根据b13所述的装置,其中,所述设置模块进一步适于:在磁盘的根目录下创建文件夹,在所述文件夹内设置所述触发文件。
b15.根据b14所述的装置,其中,所述设置模块进一步适于:在磁盘的根目录下创建具有特定命名的文件夹,其中,所述文件夹具有的特定命名使得操作系统在执行枚举文件操作时最先枚举该文件夹内的文件。
b16.根据b13所述的装置,其中,所述设置模块进一步适于:在磁盘的每个目录下设置至少一个触发文件。
b17.根据b16所述的装置,其中,所述设置模块进一步适于:根据磁盘空间的剩余量确定所设置的触发文件的数量。
b18.根据b13或b16或b17所述的装置,其中,所述设置模块进一步适于:设置所述触发文件的属性为隐藏属性。
b19.根据b14或b15所述的装置,其中,所述设置模块进一步适于:设置所述触发文件和所述文件夹的属性为隐藏属性。
b20.根据b13-b19中任一项所述的装置,其中,所述监控模块进一步适于:在驱动层监控所述触发文件的操作状态。
b21.根据b13-b20中任一项所述的装置,其中,所述防护模块进一步适于:当所述监控模块监控到进程对所述触发文件执行修改、删除或移动操作时,触发文档防护机制。
b22.根据b13-b21中任一项所述的装置,其中,所述防护模块进一步适于:对进程所执行的指定操作进行拦截或上报。
b23.根据b13-b22中任一项所述的装置,其中,所述防护模块进一步适于:
检测所述进程的进程链,对启动所述进程的父进程进行追溯,确定所述父进程是否为恶意进程;
若确定所述父进程为恶意进程,则对所述进程所执行的指定操作进行拦截或上报。
b24.根据b13-b23中任一项所述的装置,其中,所述触发文件的文件类型为以下类型中的任意一种或多种:
doc、docx、docb、docm、dot、dotm、dotx、xls、xlsx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、ppt、pptx、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、pst、ost、msg、eml、edb、vsd、vsdx、txt、csv、rtf、123、wks、wk1、pdf、dwg、onetoc2、snt、hwp、602、sxi、sti、sldx、sldm、sldm、vdi、vmdk、vmx、gpg、aes、arc、paq、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、backup、iso、vcd、jpeg、jpg、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、key、pfx、以及der。
本发明还公开了:c25.一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如a1-a12中任一项所述的利用触发文件实现的文档防护方法对应的操作。
本发明还公开了:d26.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如a1-a12中任一项所述的利用触发文件实现的文档防护方法对应的操作。
- 还没有人留言评论。精彩留言会获得点赞!