一种用于增强计算机系统安全性的方法及装置的制造方法
【技术领域】
[0001]本发明涉及安全领域,尤其涉及一种用于增强计算机系统安全性的方法及装置。
【背景技术】
[0002]现有技术中,沙箱是安全软件的动态防护技术的一部分。沙箱主要通过提供一个隔离、虚拟的运行平台,使程序能够正常运行在该虚拟化环境中,而不会对该计算机系统的其他部分产生任何影响。运行在沙箱中的程序可以查询其进程路径或其所创建的文件的路径等方式,并通过判断该等路径中是否包括与沙箱虚拟环境相关路径来感知其自身是否运行在虚拟化环境中。对于未知的程序,用户可在虚拟化环境中尝试使用该程序以确定其是否安全,然后在确认该未知程序为安全的程序时,再在真实系统环境中运行该程序。然而一些恶意软件可通过上述方法来感知其自身是否运行于虚拟化环境中,从而当运行于虚拟化环境中时隐藏其恶意行为,从而逃避安全软件的检测。为了克服这一问题,现有技术中,可以通过尽可能地拦截获取进程路径或文件路径的操作来阻止对于运行环境的感知。然而,上述方式需要拦截的点过多,无法保证全面和彻底。并且,上述方式还可能影响系统的稳定性和效率。因此,如何更有效地阻止程序对于虚拟化运行环境的感知是一个需要解决的问题。
【发明内容】
[0003]本发明的目的是提供一种用于增强计算机系统安全性的方法及装置。
[0004]根据本发明的一个方面,提供一种增强计算机系统安全性的方法,其中,该方法包括以下步骤:
[0005]-对于与运行于虚拟化环境中的程序相关联的文件对象,获取所述文件对象的底层数据结构;
[0006]-在所述文件对象的底层数据结构中使用非虚拟化环境路径,所述非虚拟化环境路径用于指示与所述文件对象相关联的路径。
[0007]根据本发明的另一个方面,提供了一种用于增强计算机系统安全性的装置,其中,该装置包括:
[0008]-用于对于与运行于虚拟化环境中的程序相关联的文件对象,获取所述文件对象的底层数据结构的装置;
[0009]-用于在所述文件对象的底层数据结构中使用非虚拟化环境路径的装置,所述非虚拟化环境路径用于指示与所述文件对象相关联的路径。
[0010]本发明使得运行于虚拟化环境中的程序无法根据进程路径或文件路径来判断其是否运行于虚拟化环境中,从而有效地避免了恶意软件当感知到其自身运行于虚拟化环境中时隐藏其恶意行为,以逃避安全软件的检测的问题。与现有技术相比,本发明方法彻底解决了上述问题,并对系统稳定性和效率影响较小,从而增强了计算机系统的安全性。
【附图说明】
[0011]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0012]图1示出根据本发明一个方面的实施例的用于增强计算机系统安全性的方法的流程图;
[0013]图2示出根据本发明另一个方面的实施例的用于增强计算机系统安全性的装置的示意图。
[0014]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0015]在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
[0016]在上下文中所称“计算机设备”,也称为“电脑”,是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备,其可以包括处理器与存储器,由处理器执行在存储器中预存的存续指令来执行预定处理过程,或是由ASIC、FPGA、DSP等硬件执行预定处理过程,或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。
[0017]所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本发明,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本发明。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
[0018]需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本发明,也应包含在本发明保护范围以内,并以引用方式包含于此。
[0019]后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
[0020]这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本发明的示例性实施例的目的。但是本发明可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
[0021]应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
[0022]应当理解的是,当一个单元被称为“连接”或“耦合”到另一单元时,其可以直接连接或耦合到所述另一单元,或者可以存在中间单元。与此相对,当一个单元被称为“直接连接”或“直接耦合”到另一单元时,则不存在中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他词语(例如“处于...之间”相比于“直接处于...之间”,“与...邻近”相比于“与...直接邻近”等等)。
[0023]这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
[0024]还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
[0025]下面结合附图对本发明作进一步详细描述。
[0026]当前在计算机系统中,为确定未知的程序是否安全,用户可首先在虚拟化环境中尝试使用该程序,并在确认该未知程序安全时,再在真实计算机系统环境中运行该程序。一般地,在虚拟化环境中所运行的程序不应对计算机系统的其他部分产生影响。在现有技术中,通常,对于运行在虚拟化环境中的程序,其所创建或修改的文件将被置于虚拟化环境中,并因此该等文件的文件路径将包括虚拟化环境相关路径。并且,当程序映像文件本身被置于虚拟化环境中时,该程序进程路径中也将包括虚拟化环境相关路径。
[0027]例如,在Windows系统中,沙箱技术可用于提供虚拟化环境。在现有技术中,运行于沙箱中的程序所创建或修改的文件将被置于沙箱环境中,并具有该沙箱环境的路径。并且,当程序映像文件本身被置于沙箱环境中时,该程序进程路径中也将包括该沙箱环境的路径。在Windows系统中,程序可通过用户态句柄来获取文件路径或进程路径。该用户态句柄在Windows内核态对象管理器中对应着一个文件对象。该文件对象在文件系统中具有对应的底层数据结构。例如,在使用NTFS文件系统时,该文件对象的底层数据结构为CCB (Context Control Block,环境控