1.一种基于windows操作系统的u盘pe格式文件病毒的拦截方法,包含以下步骤:
a.通过windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护的终端计算机系统的文件打开接口;
b.防护拦截程序拦截所有文件打开操作,获取打开操作所携带的输入参数;
所述打开操作所携带的输入参数包括被打开文件的文件路径名、文件属性对象地址、当前进程id;
c.防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息;
所述文件打开操作的基本信息包括被打开文件路径名、访问进程文件路径名、文件访问属性;
通过当前进程id,获取访问进程所在的文件路径名;
通过文件属性对象地址,获取所包含的文件访问权限,文件访问权限包括读、写;
d.防护拦截程序判断文件访问属性,如果文件访问属性中包含写权限,继续执行步骤e;如果文件访问属性中不包含写权限,则执行步骤h;
e.防护拦截程序判断被打开文件的文件类型;
所述文件类型包括可执行文件、非可执行文件;
防护拦截程序读取被打开文件的头部信息,判断被打开文件是否为pe格式,如果被打开文件为pe格式,则判断被打开文件为可执行文件,继续执行步骤f;如果被打开文件为非pe格式,则判断被打开文件为非可执行文件,执行步骤h;
f.防护拦截程序判断被打开文件是否需要保护;
通过文件打开操作的基本信息,判断被打开文件是否需要保护,如果被打开文件路径名和访问进程文件路径名相等,则判定不需保护,执行步骤h;如果被打开文件路径名和访问进程文件路径名不相等,则判定被打开文件需要设定保护,继续执行步骤g;
g.设定文件保护;
防护拦截程序修改被打开文件的文件打开操作的基本信息中的文件访问属性,去掉文件访问属性中的写权限,并将去掉写属性的文件访问属性更新到打开操作所携带的输入参数的文件属性对象地址中;
h.执行文件操作;
防护拦截程序将被打开文件的文件打开操作的基本信息中的文件访问属性返回给操作系统;
所述被保护的终端计算机利用windows操作系统文件过滤驱动技术,监控可执行文件的打开操作,执行步骤b。