1.一种保护文件的方法,包括:
对于进行文件修改操作的进程,判断该进程是否使用指定加密算法对文件进行加密处理;
如果该进程使用指定加密算法对文件进行加密处理,则利用钩子函数导出所述指定加密算法所使用的密钥并保存;
当需要时,根据所述指定加密算法和所保存密钥对被加密处理的文件进行解密处理。
2.如权利要求1所述的方法,其中,所述判断该进程是否使用指定加密算法对文件进行加密处理包括:
在该进程中注入预先指定的动态链接库DLL,由该DLL扫描并判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含所述指定加密算法的特征码;
如果该进程所调用的第三方加解密库中包含所述指定加密算法的特征码,或者,该进程本身的代码中包含所述指定加密算法的特征码,则确定该进程使用指定加密算法对文件进行加密处理。
3.如权利要求2所述的方法,其中,
如果该进程所调用的第三方加解密库中包含所述指定加密算法的特征码,则所述利用钩子函数导出所述指定加密算法所使用的密钥包括:
则利用钩子函数HOOK所述第三方加解密库的导出接口以拦截到所述指定加密算法所使用的密钥。
4.如权利要求2所述的方法,其中,
如果该进程本身的代码中包含所述指定加密算法的特征码,则所述用钩子函数导出所述指定加密算法所使用的密钥包括:
在所述指定加密算法的特征码所在位置处设置硬件执行断点或INT3断点,当该进程执行到所设置的断点处时触发异常,进而由处理异常的钩子函数从CPU寄存器和/或堆栈中的上下文信息中找出所述指定加密算法所使用的密钥。
5.如权利要求1所述的方法,其中,所述指定加密算法为对称加密算法。
6.一种保护文件的装置,包括:
加密判断单元,适于对于进行文件修改操作的进程,判断该进程是否使用指定加密算法对文件进行加密处理;
密钥获取单元,适于当加密判断单元判断出该进程使用指定加密算法对文件进行加密处理时,利用钩子函数导出所述指定加密算法所使用的密钥并保存;
文件恢复单元,适于在需要时,根据所述指定加密算法和所保存密钥对被加密处理的文件进行解密处理。
7.如权利要求6所述的装置,其中,
所述加密判断单元,适于在该进程中注入预先指定的动态链接库DLL,由该DLL扫描并判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含所述指定加密算法的特征码;如果该进程所调用的第三方加解密库中包含所述指定加密算法的特征码,或者,该进程本身的代码中包含所述指定加密算法的特征码,则确定该进程使用指定加密算法对文件进行加密处理。
8.如权利要求7所述的装置,其中,
所述密钥获取单元,适于当该进程所调用的第三方加解密库中包含所述指定加密算法的特征码时,利用钩子函数HOOK所述第三方加解密库的导出接口以拦截到所述指定加密算法所使用的密钥。
9.如权利要求7所述的装置,其中,
所述密钥获取单元,适于当该进程本身的代码中包含所述指定加密算法的特征码时,在所述指定加密算法的特征码所在位置处设置硬件执行断点或INT3断点,当该进程执行到所设置的断点处时触发异常,进而由处理异常的钩子函数从CPU寄存器和/或堆栈中的上下文信息中找出所述指定加密算法所使用的密钥。
10.一种计算设备,其中,该计算设备包括如权利要求6-9中任一项所述的保护文件的装置。