专利名称:用于监测可疑文件启动的方法和装置的制作方法
技术领域:
本发明涉及一种防范病毒侵袭的方法和装置,尤其涉及一种监测可疑文件启动的方法和装置。
背景技术:
在操作系统中,文件的类型是以文件的扩展名来加以区分的。就安全性而言,可将文件类型大体可分为两大类其一,安全文件,即,文件本身并不包含可由系统运行的程序,例如,由扩展名“.txt”表示的纯文本文件;其二,具有潜在威胁的文件,文件中包含可由系统运行的程序,而这些程序可能携带有侵害系统安全的恶意程序或病毒,例如,扩展名“.exe”表示的可执行文件。为此,用户经常被告知要慎重打开那些来历不明的具有潜在威胁的文件,如“.exe”文件,以免遭到病毒的侵袭。
然而,随着计算机技术的发展,由用户根据扩展名来初步识别文件的安全性,已经越来越困难。
现今的操作系统,例如Windows操作系统,不再限制文件名的长度,而且可以支持多个扩展名,例如“abjeck.txt.exe”。然而,在操作系统的缺省状态下,文件的最后一个扩展名,也就是真正标识文件类型的扩展名往往是隐藏起来不显示的,例如,将“abjeck.txt.exe”显示为“afjeck.txt”。这样,一个实际上具有威胁的可执行文件看上去就变成了无害的文本文件。另外,当文件名过长时,操作系统也只显示文件名的开头部分,而将文件名中的其他字符及扩展名隐藏起来。因而,用户通常看不到长文件名文件的扩展名,难以分别其文件类型。这就为病毒文件伪装成正常无害文件创造了可能。
此外,在现今的操作系统中,由于系统大量使用了文件关联技术,即,将一类文件与相应的应用程序相关联,而使得可以运行的文件的类型大大增多,已经不再局限于传统的可执行文件类型。例如,系统可以运行文档文件、HTML文件、Flash文件等等。而这些增加的文件类型中也会有一些具有携带病毒、侵害系统的潜在可能。最典型的例如微软的Office产品文档,由于其可以包含可执行的脚本语言代码,因而这种文档文件也很可能携带病毒。
面对这些种类繁多的具有潜在威胁的文件类型,以及经过刻意伪装的病毒文件,用户难以人为地及时识别出可疑的文件,从而时常导致最终用户无意之间启动了病毒的文件。
为此需要寻找一种简便易行的方法来防止用户启动可疑的程序或文档。
发明内容
本发明的一个目的在于提供一种监测计算机系统内可疑文件启动的方法,使用该方法可以有效阻止伪装为正常文件的病毒文件的运行和传播。
为了实现上述的目的,本发明提出了一种监测可疑文件启动的方法,包括以下步骤(a)截获与待启动文件相关联的启动操作;(b)获取所要启动的文件的文件名和/或扩展名;(c)判断该文件名和/或扩展名是否具有掩盖该文件的真实文件类型的可能;(d)如果判断结果为是,则向用户发出警告信息。
根据本发明的一个方面,本发明提出的方法还包括在所述步骤(c)的判断结果为是,且判断所述启动操作具有威胁系统安全的可能时,向用户发出警告。
此外,本发明还提出了用于实现上述方法的装置、计算机系统,以及用于承载实现上述方法的程序代码的计算机程序产品。
参考下面结合附图的说明书及权利要求书,将更全面地了解本发明,而且本发明的这些及其他特点将变得更加显而易见。
以下将结合附图和具体实施例对本发明进行详细描述,其中图1示出根据本发明一个实施例的用于监测可疑文件启动的方法的流程图;图2示出根据本发明一个实施例的用于监测可疑文件启动的监测装置的结构框图。
具体实施例方式
图1示出根据本发明一个实施例的用于监测可疑文件启动的方法的流程图。
下面结合附图1以用户打开“adgegbjeck.txt.doc”为例详细描述本发明。其中,在操作系统的缺省模式下,“adgegbjeck.txt.doc”被显示为“adgegbjeck.txt”。
根据文件关联技术,操作系统将某一类文件(如“.doc”文件)与用于启动这类文件的应用程序(例如Office的Word程序)相关联,并且将这种关联关系预先记录在注册表中。当用户期望启动“adgegbieck.txt.doc”时,操作系统就按照该文件的扩展名“.doc”在注册表中搜索,若找到与之对应的应用程序——Word程序,则启动该应用程序,从而完成该文件的启动。
本发明提出的方法正是在操作系统(Windows Shell)启动任何文件之前通过实现IShellExecuteHook接口来拦截文件的启动过程(步骤110)。然后,根据所拦截的启动操作,获取待启动的文件的文件名和/或扩展名——“adgegbjeck.txt.doc”(步骤120)。
继而,在步骤130中,判断该文件的文件名和/或扩展名是否在客观上具有能够掩盖其文件的真实文件类型的可能性。在本发明中,这种判断可采用多种方式来实现。例如,当待启动的文件具有不止一个扩展名时,则判断该文件可疑。在本实施例中,由于adgegbjeck.txt.doc具有两个扩展名,则可判断该文件可疑。为了判断更为准确,还可以当文件具有不止一个扩展名或者文件名中含有的空白超过一预定阈值(如50个空格),而且与该类文件关联的应用程序(也就是该文件的真正文件类型)可能具有潜在威胁时,判断该文件可疑。在本实施例中,与文件adgegbjeck.txt.doc关联的Word程序具有潜在威胁,因此在第二种判断条件下该文件依然被判断为可疑文件。当然,具有潜在威胁的文件类型还可包括可执行文件,以及包含系统可执行代码的其他文件。
接下来,如果经过判断确认该文件具有能够掩盖其文件的真实文件类型的可能,则继而在步骤140中向用户发出警告,要求用户进一步确认是否继续启动。这样就给用户以确认该文件没有危害的时间,从而能够阻止部分病毒程序或者文档的运行以及传播。如果在步骤130中未发现任何异常,则结束本发明提出的监测操作。
这里需要指出,本发明中仅示例性地描述了判别文件名和/或扩展名的方法,然而在实际应用中还可以针对各种病毒程序的特点,制定其他的判别方法。
以上结合附图1描述了本发明提出的监测方法的实现过程。本发明提出的方法可以由软件来实现,也可以由硬件来实现,或者采用软硬件结合的方式来实现。
图2示例性地给出了实现本发明提出的监测方法的一种硬件结构框图。如图2所示用于实现本发明提出的监测方法的监测装置200包括截获启动操作单元210,用于截获与待启动文件相关联的启动操作;获取单元220,用于根据所述截获启动操作单元截获的启动操作,获取所要启动的文件的文件名和/或扩展名;判断单元230,用于判断所述获取单元所获取的该文件名和/或扩展名是否具有掩盖该文件的真实文件类型的可能;告警单元240,用于根据所述判断单元230的判断结果,向用户发出警告信截获启动。
以上结合附图详细描述了将本发明提出的方法应用在Windows操作系统中的情况,但本发明提出的方法并不限于Windows操作系统,还可以应用于其他类似的操作系统中。
有益效果以上结合附图描述了本发明提出的监测可疑文件启动的方法。采用本发明提出的方法可以在文件启动之前判断其文件名和/或扩展名是否包含伪装欺骗的可能,因而可以有效阻止部分病毒程序或恶意程序的传播和执行。例如从即时通讯工具中由其他联系人传送过来的不明程序或者文档。此外,本发明提出的方法简便易行,处理时间短,也不会占用过多资源。
虽然本发明已以前述优选可实施例说明,然而其并非用于限制本发明,任何本领域的普通技术人员,在不脱离本发明的精神和范围的情况下,可作各种的更动与修改。因此本发明的保护范围以所附的权利要求为准。
权利要求
1.一种监测可疑文件启动的方法,包括以下步骤(a)截获与待启动文件相关联的启动操作;(b)根据所截获的启动操作,获取所要启动的文件的文件名和/或扩展名;(c)根据所获取的文件名和/或扩展名,判断该文件名和/或扩展名是否具有掩盖该文件的真实文件类型的可能;(d)如果判断结果为是,则向用户发出警告信息。
2.如权利要求1所述的方法,其中所述步骤(c)包括检查所述文件名中的空格数目是否超过一个预定的阈值;如果超过,则判断所述文件名具有掩盖所述文件的真实文件类型的可能。
3.如权利要求1所述的方法,其中所述步骤(c)包括检查所述扩展名中是否包含不止一个扩展名;如果所述扩展名包含不止一个扩展名,则判断所述扩展名具有掩盖所述文件的真实文件类型的可能。
4.如权利要求1-3任一所述的方法,其中所述步骤(d)还包括如果所述步骤(c)的判断结果为是,且判断所述启动操作具有威胁系统安全的可能,则向用户发出警告。
5.如权利要求4所述的方法,其中判断所述启动操作具有威胁系统安全的可能的步骤包括判断所述启动操作是否为直接启动可执行程序;如果是,则判断该启动操作具有威胁系统安全的可能。
6.如权利要求4所述的方法,其中判断所述启动操作具有威胁系统安全的可能的步骤包括判断所述启动操作是否包含运行所述文件中程序代码的功能;如果是,则判断该启动操作具有威胁系统安全的可能。
7.如权利要求6所述的方法,其中所述程序代码为脚本语言代码。
8.如权利要求1所述的方法,其中所述文件包括可执行程序或者文档。
9.如权利要求8所述的方法,其中所述文档包括微软Office产品的文档。
10.如权利要求1所述的方法,其中,所述方法作为MicrosoftWindows的Shell扩展形式工作,具体实现中实现了IShellExecuteHook接口。
11.一种监测装置,用于监测可疑文件的启动,包括截获启动操作单元,用于截获与待启动文件相关联的启动操作;获取单元,用于根据所述截获启动操作单元截获的启动操作,获取所要启动的文件的文件名和/或扩展名;判断单元,用于判断所述获取单元所获取的该文件名和/或扩展名是否具有掩盖该文件的真实文件类型的可能;告警单元,用于根据所述判断单元的判断结果,向用户发出警告信息。
12.如权利要求11所述的监测装置,其中所述判断单元检查所述文件名中的空格数目是否超过一个预定的阈值;如果超过,则判断所述文件名具有掩盖所述文件的真实文件类型的可能。
13.如权利要求11所述的监测装置,其中所述判断单元检查所述扩展名中是否包含不止一个扩展名;如果所述扩展名包含不止一个扩展名,则判断所述扩展名具有掩盖所述文件的真实文件类型的可能。
14.如权利要求11-13任一所述的监测装置,其中所述判断单元还判断所述启动操作具有威胁系统安全的可能。
15.如权利要求14所述的监测装置,其中所述判断单元判断所述启动操作是否为直接启动可执行程序;如果是,则判断该启动操作具有威胁系统安全的可能。
16.一种计算机系统,包括如权利要求11-15所述的用于监测可疑文件启动的监测装置。
17.一种计算机程序产品,包括用于实现如权利要求1-10所述方法的计算机可读代码。
全文摘要
一种监测可疑文件启动的方法。该方法包括截获程序启动操作;获得待启动的文件的文件名和/或扩展名;检查该文件的文件名和/或扩展名客观上是否具有能够掩盖该文件的真实文件类型的可能性,如果是,则向用户发出警告信息,由用户选择是否继续启动过程。采用此方法可以使用户在某些病毒文件或恶意程序启动时得到警告,并选择是否继续启动。给用户以确认文件没有危害的时间,用以阻止部分病毒或恶意程序的运行以及传播。
文档编号G06F17/30GK1983294SQ20061010597
公开日2007年6月20日 申请日期2006年7月21日 优先权日2005年12月12日
发明者张宇平 申请人:北京瑞星国际软件有限公司