专利名称:用于从计算机中安全地删除信息的方法和系统的制作方法
技术领域:
本申请涉及一种安全地删除文件和注册表条目的方法和系统。
背景技术:
用户经常想从他们的计算机中删除文件以节省空间或改进性能。但是,删除文件 和注册表条目是有风险的。删除重要的系统文件或注册表条目会导致操作系统或已安装的 应用程序出现问题。用户常常在偶然地删除了文件之后,才发现所述文件对于他们的计算 机的正常运行状况是至关重要的,这导致了很长的支持时间和高成本的维修费用。因此,用户需要一种用于从他们的计算机中安全地删除文件以及如果偶然地删除 了关键文件、恢复他们的计算机运行的方法。
发明内容
所公开的发明是一种安全地删除文件和注册表条目的方法和系统。本发明通过截 取文件删除命令而得到实现。文件不是被删除,而是作为已删除文件列入在数据库中,并且 对于用户和计算机中的其它应用程序不可见。其它应用程序不能访问所述删除文件。如果 应用程序或操作系统出现问题,那么可以恢复对文件的访问,从而使计算机回到完全运行 状况。通过采用监视来自用户调用的文件系统过滤器(FS过滤器)来截取文件。FS过滤 器截取命令并覆盖所述删除命令。
图1为本发明的一个具体实施例的流程图;图2为第一实施例的各个元件的表示图;图3为本发明如何在重新启动时起作用的流程图;图4为对针对关键错误的响应的流程图;图5为就本发明如何能够响应关键错误的另一实施例的流程图;图6为与偶然删除电子邮件文件有关的示例的流程图;图7为图6中说明的示例的描述图;图8为本发明的连续循环的表示图;图9为本发明如何能够被应用来保护注册表的流程图。
具体实施例方式如在本发明中使用的,文件系统过滤器(FS过滤器)是覆盖文件系统并截取向文 件系统发送的消息的应用程序或是API,所述消息通常来自用户。一般地,FS过滤器是单独 用来截取消息的驱动器,当另外的应用程序使用API函数时,FS过滤器被访问。FS过滤器 和应用程序也可以是在机器上运行的一个软件。任何时候,本发明提及FS过滤器,应理解 成FS 过滤器可以指具有FS过滤器驱动的独立的应用程序,或者一个或多个使用操作系统 的FS过滤器驱动的、在机器上运行的应用程序,或单个内建文件系统过滤器驱动的应用程 序。所述FS过滤器也能够应用于注册表并能够截取发送过来的修改、添加或删除注册表键 值的消息。这就允许本发明把计算机中的核心文件连同注册表存储的信息一起保护起来。在图1和图2的步骤101中,FS过滤器2截取一个删除文件6的命令。该命令可 能是用户8,或诸如在机器12或服务器上运行的软件10,例如,安全软件,发送的。来自安 全软件的命令可能是针对于本发明所保护的系统中正在被探测的可能的病毒。在步骤102 中,FS过滤器2 (或与FS过滤器交互使用的应用程序)使所选择的文件6不可访问,而不 是删除文件6。对于用户8和在机器12上运行的其它软件10来说,文件6看来似乎是被删 除了,但是仍在机器的硬盘驱动器上。机器可以是计算机、服务器、PDA、电话或其它在其中 文件可以被删除的电子设备。文件可以是注册表条目、数据库、可执行程序、文档、DLL或其 它在机器上存储信息或代码的位置。通过把文件6列入到被阻止的文件列表14中来使得文件6不可访问。在步骤103 中,当其他的应用程序10(包括操作系统)或用户8试图访问文件6的时候,FS过滤器2 截取访问命令并检查所述文件是否是被阻止文件列表14的一部分。如果在被阻止文件列 表14中发现文件6,FS过滤器2阻止对文件6的访问,使得所述文件看来似乎被完全删除。 为了确保就一个文件是否被删除来说,不会混淆用户,在机器12启动时,操作系统或在机 器上运行的其它软件把被阻止文件列表14中的内容读取到内存存储器中,并使得被阻止 文件列表14中列出的每个文件对用户8隐藏。通过监视对文件的每个请求,FS过滤器2阻止访问在被阻止文件列表14中的文 件。如果所请求的文件在被阻止文件列表14中被发现,FS过滤器2返回一个文件被删除 或缺少的消息。如果所述文件没有在被阻止文件列表14中发现,FS过滤器2允许请求继 续下去,以通常的方式处理文件。FS过滤器可以把被阻止文件列表保存在内存存储器中,或 者可以在每次访问文件时,采用标准的数据库查找例行程序来检查被阻止文件列表。文件6被删除以后如果出现问题,被删除的文件6可以恢复到其最初状态。可以 通过请求用户在被阻止文件列表14中选择要恢复的文件的方式来由用户8手动恢复被删 除文件6。可选地,如图4中所示,FS过滤器2可以监视在机器12运行或引导过程中访问了 哪些文件。在步骤402中,故障被记录在FS过滤器2中。遭受关键故障的软件(例如,弓丨 导中的操作系统)重新启动。FS过滤器2检查其记录文件,并记下重新启动的软件发生了 关键故障。在步骤404中,在重新启动的过程中,FS过滤器允许对被阻止文件列表14中的 文件完全访问。当该软件重新启动时,FS过滤器监视哪些被访问的文件也被列出在被阻止 文件列表14中。可选地,在步骤406中,一旦该软件成功地重新启动到正常运行状况,FS过 滤器2把在重新启动中访问的文件从被阻止文件列表14中移除出去。
可选地,如果机器12未能启动或在机器上记录了关键事件,那么FS过滤器2可以 确定被阻止文件列表14中的哪个文件是访问的最后一个文件或导致了错误的文件。然后, FS过滤器2通过把最后访问的文件从被阻止文件列表14中移除出去,恢复该被删除的文件 的全部功能性,从而允许用户8访问文件6。用户8被警告因为机器运行中的错误,把被 删除的文件6恢复到了机器12中。接下来,用户8可以采取合适的行动来解决问题。在本发明的各个实施例中,什么构成关键错误可以是变化的。例如,操作系统的关 键错误可能会导致机器重新启动,而软件中的关键错误则可能会阻止软件按用户所请求地 那样运行。FS过滤器可以包括为每个应用程序什么构成关键错误的定义,或者包括一般的 定义,例如应用程序未能正确地启动。也可以把关键错误限定为只有那些导致机器不以其 指定方式运行的错误。可以由用户利用FS过滤器设置关键错误的定义,也可以由FS过滤 器开发者来设置,或者在安装FS过滤器时,根据用户的偏好利用向导来配置FS过滤器的功 能而设置。 可选地,FS过滤器2可以不是仅仅恢复最后访问的被阻止文件,而是恢复下列文 件的任意组合(i)从发生关键错误之前的某一时刻开始,所有被访问的文件;(ii)自造 成错误的应用程序的最后一次成功启动以后,所有被加到被阻止文件列表14中的文件; (iii)自某一时刻或日期以后,所有被加到被阻止文件列表14中的文件;(iv)自机器12重 新启动以后,所有被加到被阻止文件列表14中的文件;(ν)所有被阻止文件列表14中的文 件。同时恢复多个文件,而不是在每次尝试运行应用不成功后重新启动应用,从而减少了在 机器上发生的关键错误的数量。在所有情况下,FS过滤器2都警告用户8或机器12的安 全软件10 恢复了哪些文件来改正关键错误。如果安全软件10被警告了所恢复的文件,该 安全软件10可以以受限的方式来运行这些被恢复的文件,从而确保它们不包括恶意软件。为了增加空间,删除过程可以在最后从被阻止文件列表中除去文件。在FS过滤器 2收到用户8的永久删除文件请求后,进行最后删除。可选地,在没有产生关键错误的情况 下,在经过一定时间后,发生最后删除。例如,如果机器重新启动后并且操作系统成功重新 启动,那么可以把文件6从机器的硬盘驱动器中真正删除。图5中示出了另一实施例。在步骤501中,用户8删除了恰巧是系统文件的文件 6。在步骤502中,文件6被放到被阻止文件列表14中。在步骤503中,被删除的文件导致 操作系统停止运行。FS过滤器2记录该故障。在步骤504中,机器12重新启动并确定之前 的启动未能成功完成。在步骤505中,机器12允许访问刚才被删除的文件6,再次尝试重新 启动。在步骤506中,操作系统再次停止运行,并且机器重新启动。于是,FS过滤器2允许 访问更多文件。在必要的情况下,需要多次重复此过程,直到机器再次运行。在另一实施例中,如图6和图7中所示,用户8删除了他的电子邮件收件箱。在步 骤602中,FS过滤器2把文件6放到被阻止文件列表14中,并拒绝对被删除的文件6的访 问。在步骤603中,当用户8试图打开他的电子邮件时,可能发生下列情形中的任意一个 用户发现了缺少的电子邮件,从电子邮件应用接收到关于缺少的项目的错误,或者应用程 序崩溃了。在步骤604中,用户8认识到错误并指示FS过滤器2从被阻止文件列表14中 除去文件6。FS过滤器2除去访问限制,从而允许用户以与删除前相同的状态来运行其电 子邮件应用程序。在另一实施例中,如图8中所示,当遇到错误时,清除或删除整个正在被阻止的文件的列表,从而允许系统被快速恢复到删除前状态。对于注册表保护来说,注册表监视器(与FS过滤器相同,但是对注册表起作用) 记录对注册表所做的删除和修改。注册表监视器还监视对已经被删除或修改的注册表键的 调用。如果在调用被修改的注册表键后,应用程序未能启动,或机器停止运行或在重新启动 中不能引导,注册表监视器恢复被删除或修改的注册表条目。注册表恢复功能可以以与其 它文件恢复相同的方式运行,并且可以由注册表监视器自动完成或由用户手动完成。在图9的步骤901中,一个注册 表条目被删除了。在步骤902中,FS过滤器(由 于其正在监视对注册表而不是文件的调用和改变,也被称作注册表监视器)在启动时,或 应用户的要求,或在截取删除命令前,备份注册表条目。从这点向前,此过程与文件删除的 过程相同。在步骤903中,依赖注册表键值的应用程序未能启动或运行不正确。在步骤904 中,注册表监视器探测到故障,并在步骤905中,恢复被改变的注册表文件。可选地,如果发 生错误,在第一次崩溃时就除去所有对注册表的改变以最小化应用程序可能重新启动的数 量。本发明不限于前述实施例的细节。本发明扩展至本申请文件(包括任一所附权利 要求,摘要和附图)中公开的特征中的任一新的或新的组合,或扩展至所公开的任一方法 或过程的步骤中的任一新的或新的组合。
权利要求
一种保护机器的方法,包括a.截取删除机器上文件的指示;b.使得所述文件不可访问而不是删除所述文件;和c.根据使得所述文件不可访问对所述机器运行的影响来采取行动。
2.根据权利要求1所述的方法,其特征在于, 采取的所述行动包括删除所述文件。
3.根据权利要求1所述的方法,其特征在于,所述截取指示包括应用程序借助于API函数访问文件驱动器。
4.根据权利要求1所述的方法,其特征在于,所述使得所述文件不可访问包括在被阻止文件的数据库中列出所述文件。
5.根据权利要求4所述的方法,其特征在于,所述使得所述文件不可访问包括阻止对被包括在被阻止文件的数据库中的任意文件 进行访问。
6.根据权利要求1所述的方法,其特征在于, 采取的所述行动包括恢复所述文件的可访问性。
7.根据权利要求6所述的方法,其特征在于,所述文件的可访问性在所述机器上发生关键错误后被恢复。
8.根据权利要求6所述的方法,其特征在于,采取的所述行动包括恢复对被阻止文件的数据库中列出的所有文件的访问。
9.根据权利要求6所述的方法,其特征在于, 所述文件在所述机器重新启动后被恢复。
10.根据权利要求6所述的方法,其特征在于,所述文件在连续未能重新启动所述机器后被恢复。
11.根据权利要求1所述的方法,其特征在于, 所述指示包括用户删除所述文件的请求。
12.根据权利要求1所述的方法,其特征在于, 采取的所述行动包括a.确定所述文件是否为所述机器的标准运行所必需;b.如果所述文件为所述机器的标准运行所必需,使得所述文件可访问。
13.一种保护注册表条目的方法,包括a.创建所述注册表条目的备份;b.对注册表条目采取行动;c.观察计算机的运行;和d.在所述行动生效后,根据所述计算机的运行来恢复所述注册表条目。
14.根据权利要求13所述的方法,其特征在于, 采取的所述行动包括删除注册表键值。
15.根据权利要求13所述的方法,其特征在于, 采取的所述行动包括修改注册表键值。
16.根据权利要求13所述的方法,其特征在于,所述恢复所述注册表条目包括在所述机器上发生关键错误后恢复所述注册表条目。
17.根据权利要求13所述的方法,其特征在于,所述恢复所述注册表条目包括恢复注册表条目的数据库中列出的所有注册表条目。
18.根据权利要求13所述的方法,其特征在于, 所述恢复所述注册表条目在所述机器重新启动时发生。
19.根据权利要求13所述的方法,其特征在于,所述注册表条目在连续未能重新启动所述机器后被恢复。
20.一种保护机器的系统,包括a.机器;b.操作系统;c.文件系统过滤器;d.删除文件的装置;和c.如果所述文件是所述机器运行所必需,则恢复所述被删除的文件的装置。
21.根据权利要求20所述的系统,其特征在于,所述被删除的文件在所述机器上发生关键错误后被恢复。
22.根据权利要求20所述的系统,其特征在于, 所述文件由在所述机器上运行的其他软件删除。
23.根据权利要求20所述的系统,其特征在于,所述恢复所述被删除的文件包括恢复被删除文件的数据库中列出的所有文件。
全文摘要
本发明公开了一种用于从操作系统中安全地删除文件和注册表键值的方法和系统。该方法通过文件系统过滤器或注册表监视器截取删除信息的命令而得到实现。系统监视器不是删除文件或注册表键值,而是把信息放到被阻止文件列表中以使得文件和键值对于所有其它程序来说不可访问。如果机器随后发生错误,可以恢复对文件的访问。如果机器未受到表面上被删除的文件的影响,那么就永久地删除文件。
文档编号G06F21/00GK101968835SQ20101011297
公开日2011年2月9日 申请日期2010年2月24日 优先权日2009年2月25日
发明者安德烈丘博塔鲁 申请人:科摩多安全方案公司