专利名称:一种实时防护文件的监控方法及装置的制作方法
技术领域:
本发明属于计算机数据安全领域,具体地说,涉及一种实时防护文件的监控方 法及装置。
背景技术:
由于互联网的发展,病毒传播的速度和范围都有了极大的增长。面对互联网上 每天层出不穷的新病毒,各厂商们推出了各式各样的杀毒软件,每种都有各自得优势和 缺点,为了更全面防护自己的电脑不受病毒侵害,用户往往希望在电脑上安装多个杀毒 软件,以这些杀毒软件间的优势互补,来为自己的电脑提供更高程度的安全保障。但事实却是还没等到病毒发起进攻,电脑就已经倒在了各种杀毒软件的冲突 之下。为了更高的安全度,绝大部分杀毒软件一般都提供实时防护功能。由于杀毒软件 的实时防护功能通常需要接管操作系统的文件访问驱动,即对于操作系统中任何文件的 访问都先由杀毒软件的文件访问驱动程序截获,在处理之后再传递给要访问该文件的应 用程序。当安装两款以上杀毒软件时,多款杀毒软件的实时防护文件驱动要同时拦截对 操作系统中同一文件的访问,这时杀毒软件之间就会产生冲突,因此通常会造成操作系 统锁死而无法继续工作。这就需要提出一种改进的实时防护文件监控机制,以解决多个杀毒软件共存和 操作系统锁死的问题。
发明内容
有鉴于此,本发明所要解决的技术问题是提供了一种实时防护文件的监控方法 及装置,解决了杀毒软件的文件访问驱动程序之间冲突的问题。为了解决上述技术问题,本发明公开了一种实时防护文件的监控方法,应用于 监控装置与其他装置同时监控到对操作系统中一文件的访问行为的情况,包括所述监 控装置监控到所述访问行为时,在数据表中记录所述文件并放行所述访问行为;所述监 控装置轮询所述数据表,根据其中的记录查找所述文件并对其进行扫描,再根据扫描结 果对所述访问行为进行拦截或保持放行。进一步地,所述监控装置轮询所述数据表,根据所述数据表的记录查找所述文 件并对其进行扫描,再根据扫描结果对所述文件的访问进行拦截或保持放行的步骤,包 括第一子步骤所述监控装置周期或实时轮询所述数据表,获取其中新增加的所述文件 的标识,再根据所述数据表中记录的所述文件的标识与地址之间的映射关系确定所述文 件在所述操作系统中的地址。进一步地,所述周期的长度设置为至少保证所述其他装置对所述文件完成一次 扫描。进一步地,所述监控装置轮询所述数据表,根据所述数据表的记录查找所述文 件并对其进行扫描,再根据扫描结果对所述文件的访问进行拦截或保持放行的步骤,包括第二子步骤所述监控装置在所述操作系统的相应地址没有查找到所述文件,则在所述数据表中清除所述文件的标识和地址。进一步地,所述监控装置轮询所述数据表,根据所述数据表的记录查找所述文 件并对其进行扫描,再根据扫描结果对所述文件的访问进行拦截或保持放行的步骤,包 括第二子步骤所述监控装置在所述操作系统的相应地址查找到所述文件,如果扫描后 发现所述文件安全,则对所述文件的访问保持放行;如果扫描后发现所述文件不安全, 则拦截对所述文件的访问,并根据策略直接处理或询问用户对所述文件的处理。为了解决上述技术问题,本发明还公开了一种实时防护文件的监控方法,应用 于监控装置与其他装置同时监控到对操作系统中一文件的访问行为的情况,所述监控装 置包括驱动侧和扫描侧,所述监控方法包括所述驱动侧监控到对操作系统中一文件的 访问行为时,在数据表中记录所述文件并放行所述访问行为;所述扫描侧轮询所述数据 表,根据所述数据表的记录查找所述文件并对其进行扫描,并将扫描结果记录在所述数 据表中;所述驱动侧读取所述数据表,根据所述扫描结果对所述文件的访问进行拦截或 保持放行。进一步地,所述驱动侧监控到对操作系统中一文件的访问行为,在数据表中记 录所述文件,并放行对所述文件的访问的步骤,包括所述驱动侧检查所述文件是否记 录在所述数据表中,如果没有记录,将所述文件的标识和在所述操作系统中的地址记录 到所述数据表中,放行对所述文件的访问行为。进一步地,所述扫描侧轮询所述数据表,根据所述数据表的记录查找所述文件 并对其进行扫描,并将扫描结果记录在所述数据表中的步骤,包括第一子步骤所述扫 描侧周期或实时轮询所述数据表,获取新增加的所述文件的标识,再根据所述数据表中 记录的所述文件的标识与地址之间的映射关系确定所述文件在所述操作系统中的地址。进一步地,所述周期的长度设置为至少保证所述其他装置对所述文件完成一次 扫描。进一步地,所述扫描侧轮询所述数据表,根据所述数据表的记录查找所述文件 并对其进行扫描,并将扫描结果记录在所述数据表中的步骤,包括第二子步骤所述扫 描侧在所述操作系统的相应地址查找到所述文件,如果扫描后发现所述文件安全,则在 所述数据表内将所述文件的安全属性记录为安全;如果扫描后发现所述文件不安全,则 在所述数据表内将所述文件的安全属性记录为不安全。进一步地,所述驱动侧读取所述数据表,根据所述扫描结果对所述文件的访问 进行拦截或保持的步骤,包括所述驱动侧周期或实时轮询所述数据表,读取所述数据 表中更新的所述文件的安全属性,在获知所述文件安全时对所述文件的访问保持放行; 在获知所述文件不安全时拦截对所述文件的访问,并根据策略直接处理或询问用户对所 述文件的处理。为了解决上述技术问题,本发明还公开了一种实时防护文件的监控装置,包 括文件访问驱动模块、数据表和扫描模块,其中,所述文件访问驱动模块,用于监控 对操作系统中一文件的访问行为,在所述数据表中记录所述文件的标识和地址,并放行 对所述文件的访问;读取所述数据表,依据其中所述文件的安全属性对所述文件的访问 进行拦截或保持放行;所述扫描模块,用于轮询所述数据表,根据所述文件的标识和地址查找所述文件并对其进行扫描,再根据扫描结果在所述数据表中记录所述文件的安全 属性;所述数据表,用于记录所述文件的标识、地址和安全属性。进一步地,所述扫描模块,用于周期或实时轮询所述数据表,获取新增加的所 述文件的标识,再根据所述数据表中记录的所述文件的标识与地址之间的映射关系确定 所述文件在所述操作系统中的地址。
进一步地,所述扫描模块,轮询所述数据表的周期的长度设置为至少保证其他 监控装置对所述文件完成一次扫描。进一步地,所述扫描模块,在所述操作系统的相应地址没有查找到所述文件, 则在所述数据表中清除所述文件的标识、地址和安全属性;当扫描后发现所述文件安 全,则在所述数据表内对所述文件的安全属性记录为安全;当扫描后发现所述文件不安 全,则在所述数据表内对所述文件的安全属性记录为不安全。进一步地,所述文件访问驱动模块,周期或实时轮询所述数据表,读取所述数 据表中更新的所述文件的安全属性,在获知所述文件安全时对所述文件的访问保持放 行;在获知所述文件不安全时拦截对所述文件的访问,根据策略直接处理或询问用户对 所述文件的处理。与现有的方案相比,本发明所获得的技术效果1)本发明解决了杀毒软件的文件访问驱动程序之间的冲突,使得使用本发明 技术的杀毒装置可以和其他杀毒装置并存,并同时开启实时防护而不会出现操作系统锁 死;2)同时本发明的方式不会导致操作系统性能变慢,而且在其他杀毒装置的实时 防护开启时,使用本发明技术的杀毒装置的实时防护也正常工作而没有被关闭,保证了 用户的电脑的安全性。
图1为本发明实施例的方法流程图;图2为本发明实施例的处理示意3为本发明实施例的装置结构示意图。
具体实施例方式以下将配合图式及实施例来详细说明本发明的实施方式,藉此对本发明如何应 用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。本发明的核心构思在于驱动侧监控到对操作系统中一文件的访问行为,在数 据表中记录所述文件,并放行对所述文件的访问;扫描侧轮询所述数据表,根据所述数 据表的记录查找所述文件并对其进行扫描,并将扫描结果记录在所述数据表中;驱动侧 读取所述数据表,根据所述扫描结果对所述文件的访问进行拦截或保持放行。在监控装置监控到一程序对操作系统中的一文件的访问行为的同时,如果安装 在电脑上的其他监控装置也监控到了此访问行为,按现有技术进行拦截并同时对所述文 件进行扫描处理时,两者必然发生冲突从而导致操作系统锁死;但是在本发明的方案中,通过记录放行的操作对该文件暂不处理,从而避免了冲突的发生。另外,本发明通过记录放行的操作和/或周期设置所消耗的时间,使得安装在 电脑上的其他监控装置可以在这段时间内优先扫描处理这个文件,这样保证了此文件不 会被漏过,确保了电脑的安全性;在这段时间内,当安装在电脑上的其他监控装置拦截扫描后认为所述文件不安 全,则对所述文件进行对应的处理;当安装在电脑上的其他监控装置拦截扫描后认为所 述文件安全,则放行对所述文件的访问;而安装在电脑上的其他监控装置判定过的这些文件后,本发明的监控装置还要 进行再一次拦截扫描,进一步保证了用户的电脑的安全性,达到了多重防御的效果。如图1和图2所示,为本发明实施例的方法包括步骤Si,安装在电脑上的监控装置1的实时防护功能开启,监控装置1的文件 访问驱动模块10监控对电脑的操作系统中任何文件的访问;步骤S2,文件访问驱动模块10在某一时刻监视发现某程序正在对操作系统中的 一文件A进行访问。此时,安装在电脑上的其他监控装置也监控到了某程序正在对所述文件A进行 访问ο步骤S3,文件访问驱动模块10首先检查文件A是否记录在数据表11中,如果 没有记录,则说明是杀毒软件1第一次发现该文件A被访问,将该文件A的标识和地址 记录到数据表11中,放行所述程序对文件A的访问行为;数据表11中保存有文件A的标识、地址和文件的安全属性;文件访问驱动模块 10在此步骤所记录的是该文件A的标识和地址,此时安全属性为空白;步骤S4,扫描模块12周期性轮询数据表11,发现数据表11新增加了文件A的 标识后,将所述文件A的标识添加到自己的扫描队列中;所述扫描模块12轮询数据表11的周期长度的设置要至少保证安装在电脑上的其 他监控装置可以对所述文件A进行一次扫描;在实际操作中,往往是在一个周期内或者实时对多个文件的访问行为进行监 控,所以扫描模块12会通过多个文件被添加的顺序组织扫描队列,根据扫描队列排列管 理所述文件的标识,并依据扫描队列完成对所述文件的扫描。在上述周期内,电脑上的其他监控装置应该已经对文件A完成扫描,可能文件 A被其他监控装置扫描后认为是恶意程序,在经过用户许可后被其他监控装置清除,也 可能文件A被其他监控装置扫描后认为安全,而对访问进行放行;此时不考虑其他监控 装置的处理结果,监控装置1依然对文件A进行扫描。注意,因为目前监控装置的扫描处理速度是非常快的,而一般情况下步骤S3中 如“将文件A的标识记录到数据表,放行所述程序对文件A的访问行为”等处理所消 耗的时长已足够保证这些监控装置对所述文件A进行一次扫描,所以对于上述情况,扫 描模块12也可以实时轮询扫描队列;但是在有些监控装置不能在步骤S3的操作同时对文件A完成扫描时,周期的设 置还是需要的,使本方案在各种恶劣情况下依然稳定地保证了使用本发明技术的监控装 置可以和其他监控装置并存。
步骤S5,扫描模块12根据扫描队列中文件A的标识,在操作系统的相应地址查 找文件A ;文件A的标识除了标识文件,还用于指向数据表中记录的文件A在操作系统中 的地址数据表中记录有文件标识与文件地址的映射关系,扫描模块12可以通过扫描队 列中文件标识映射到数据表中的文件地址,从而确定所述文件在操作系统中的地址;步骤S6,扫描模块12没有在操作系统的相应地址查找到所述文件A,说明文 件A已被其他监控装置判定为不安全并进行了清除,则从扫描队列和数据表11中清除所 述文件A的信息(包括标识、地址和空白的安全属性),跳转步骤Si,继续进行实时防 护;步骤S7,扫描模块12在所述地址查找到所述文件A,说明文件A可能被其他监 控装置判定为不安全但并未进行处理,也可能被其他监控装置判定为安全,此时扫描模 块12依然对文件A进行扫描,如果扫描后发现所述文件A为安全,执行步骤S8;如果 扫描后发现所述文件A为不安全,执行步骤SlO ;步骤S8,如果扫描后发现所述文件A为安全,则扫描模块12在数据表11内对 文件A的安全属性记录为安全,从扫描队列中清除所述文件A的标识;步骤S9,文件访问驱动模块10周期或实时轮询数据表11,在数据表11中读取 文件A的安全属性记录为安全,则放行对所述文件A的访问,跳转步骤Si,继续进行实 时防护;步骤S10,如果扫描后发现所述文件A为不安全,则扫描模块12在数据表11内 对文件A的安全属性记录为不安全,从扫描队列中清除所述文件A的标识;步骤S11,文件访问驱动模块10周期或实时轮询数据表11,在数据表11中读 取文件A的安全属性记录为不安全,根据策略直接处理或询问用户是否对文件A进行处 理,例如拒绝访问、对文件A进行隔离或删除等等,跳转步骤Si,继续进行实时防 护。上述步骤S3中,如果文件访问驱动模块10发现文件A已经记录在数据表11 中,则说明安装在电脑上的各杀毒软件之前已对该文件A进行过扫描判断,文件访问驱 动模块10读取数据表11记录的文件A的安全属性,如果文件A为安全,则直接放行; 如果文件A为不安全,则根据策略直接处理或询问用户是否对文件A进行处理即可。由上可知,对于容易引发冲突的上述访问行为经过上述的处理之后避免了冲突 的发生,而且各监控装置在之后实时保护监控中也不会再存在冲突如果本发明的监控装置对某行为或程序的状态设置记录为安全,必然是所有监 控装置都认为是安全的,则在之后的监控中,所有监控装置会对该行为或程序直接放 行,因此,监控装置之间不会产生冲突;如果本发明的监控装置对某行为或程序的状态设置记录为不安全,则必然是别 的监控装置已经判定为安全的,在之后的监控中,别的监控装置会直接放行,而本发明 的监控装置会对该访问拦截,因此,监控装置之间也不会产生冲突,而且也可以保证电 脑的安全。如图3所示,为本发明实施例的监控装置结构示意图,包括文件访问驱动模 块10、数据表11和扫描模块12;
9
文件访问驱动模块10,在某一时刻监控到一程序对操作系统中一文件的访问行 为时,将该文件的标识和地址记录到数据表11中,并放行所述程序对所述文件的访问; 周期或实时轮询数据表11,读取更新的数据表11中的所述文件的安全属性,在获知所述 文件安全时继续保持对所述访问的放行;在获知所述文件不安全时拦截所述访问,根据 策略直接处理或询问用户是否对所述文件进行处理,例如拒绝访问、对文件A进行隔 离或删除等等;数据表11,记录所述文件的标识、地址和安全属性;扫描模块12,周期性轮询数据表11,每一周期发现数据表11新增加了文件的 标识后,将所述文件的标识添加到自己的扫描队列中,根据扫描队列中所述文件的标识 在数据表11中映射到所述文件的地址,并据此查找所述文件并对其进行扫描处理,并在 扫描处理后对应记录所述文件的安全属性到数据表11、从扫描队列中清除所述文件的标 识。扫描模块12,没有在操作系统的地址查找到所述文件,则从所述扫描队列清除 所述文件的标识,并从数据表11中清除所述文件的信息(包括标识、地址和空白的安全 属性);扫描模块12,扫描后发现所述文件安全,则在数据表11内对所述文件的安全 属性记录为安全,从扫描队列中清除所述文件的标识;扫描后发现所述文件为不安全, 则在数据表11内对所述文件的安全属性记录为不安全,从扫描队列中清除所述文件的标 识。另外,如前所述,扫描模块12,也可以实时轮询扫描队列,数据表11中记录有 文件标识与文件地址的映射关系,扫描模块12可以通过所述文件标识确定所述文件在操 作系统中的地址。扫描模块12,轮询数据表11的周期的长度设置为至少保证其他监控装置对所述 文件完成一次扫描。上述装置与前述的方法的特征对应,不足之处可以参考前述方法部分。上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发 明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他 组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技 术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则 都应在本发明所附权利要求的保护范围内。
权利要求
1. 一种实时防护文件的监控方法,其特征在于,应用于监控装置与其他装置同时监 控到对操作系统中一文件的访问行为的情况,包括所述监控装置监控到所述访问行为时,在数据表中记录所述文件并放行所述访问行为;所述监控装置轮询所述数据表,根据其中的记录查找所述文件并对其进行扫描,再 根据扫描结果对所述访问行为进行拦截或保持放行。
2.如权利要求1所述的监控方法,其特征在于,所述监控装置轮询所述数据表,根据 所述数据表的记录查找所述文件并对其进行扫描,再根据扫描结果对所述文件的访问进 行拦截或保持放行的步骤,包括第一子步骤所述监控装置周期或实时轮询所述数据表,获取其中新增加的所述文件的标识,再 根据所述数据表中记录的所述文件的标识与地址之间的映射关系确定所述文件在所述操 作系统中的地址。
3.如权利要求2所述的监控方法,其特征在于,所述周期的长度设置为至少保证所述其他装置对所述文件完成一次扫描。
4.如权利要求1所述的监控方法,其特征在于,所述监控装置轮询所述数据表,根据 所述数据表的记录查找所述文件并对其进行扫描,再根据扫描结果对所述文件的访问进 行拦截或保持放行的步骤,包括第二子步骤所述监控装置在所述操作系统的相应地址没有查找到所述文件,则在所述数据表中 清除所述文件的标识和地址。
5.如权利要求1所述的监控方法,其特征在于,所述监控装置轮询所述数据表,根据 所述数据表的记录查找所述文件并对其进行扫描,再根据扫描结果对所述文件的访问进 行拦截或保持放行的步骤,包括第二子步骤所述监控装置在所述操作系统的相应地址查找到所述文件,如果扫描后发现所述文 件安全,则对所述文件的访问保持放行;如果扫描后发现所述文件不安全,则拦截对所 述文件的访问,并根据策略直接处理或询问用户对所述文件的处理。
6.—种实时防护文件的监控方法,其特征在于,应用于监控装置与其他装置同时监 控到对操作系统中一文件的访问行为的情况,所述监控装置包括驱动侧和扫描侧,所述 监控方法包括所述驱动侧监控到对操作系统中一文件的访问行为时,在数据表中记录所述文件并 放行所述访问行为;所述扫描侧轮询所述数据表,根据所述数据表的记录查找所述文件并对其进行扫 描,并将扫描结果记录在所述数据表中;所述驱动侧读取所述数据表,根据所述扫描结果对所述文件的访问进行拦截或保持 放行。
7.如权利要求6所述的监控方法,其特征在于,所述驱动侧监控到对操作系统中一文 件的访问行为,在数据表中记录所述文件,并放行对所述文件的访问的步骤,进一步包 括所述驱动侧检查所述文件是否记录在所述数据表中,如果没有记录,将所述文件的 标识和在所述操作系统中的地址记录到所述数据表中,放行对所述文件的访问行为。
8.如权利要求7所述的监控方法,其特征在于,所述扫描侧轮询所述数据表,根据所 述数据表的记录查找所述文件并对其进行扫描,并将扫描结果记录在所述数据表中的步 骤,包括第一子步骤所述扫描侧周期或实时轮询所述数据表,获取新增加的所述文件的标识,再根据所 述数据表中记录的所述文件的标识与地址之间的映射关系确定所述文件在所述操作系统 中的地址。
9.如权利要求8所述的监控方法,其特征在于,所述周期的长度设置为至少保证所述其他装置对所述文件完成一次扫描。
10.如权利要求8所述的监控方法,其特征在于,所述扫描侧轮询所述数据表,根据 所述数据表的记录查找所述文件并对其进行扫描,并将扫描结果记录在所述数据表中的 步骤,包括第二子步骤所述扫描侧在所述操作系统的相应地址查找到所述文件,如果扫描后发现所述文件 安全,则在所述数据表内将所述文件的安全属性记录为安全;如果扫描后发现所述文件 不安全,则在所述数据表内将所述文件的安全属性记录为不安全。
11.如权利要求10所述的监控方法,其特征在于,所述驱动侧读取所述数据表,根据 所述扫描结果对所述文件的访问进行拦截或保持的步骤,进一步包括所述驱动侧周期或实时轮询所述数据表,读取所述数据表中更新的所述文件的安全 属性,在获知所述文件安全时对所述文件的访问保持放行;在获知所述文件不安全时拦 截对所述文件的访问,并根据策略直接处理或询问用户对所述文件的处理。
12.—种实时防护文件的监控装置,其特征在于,包括文件访问驱动模块、数据表 和扫描模块,其中,所述文件访问驱动模块,用于监控对操作系统中一文件的访问行为,在所述数据表 中记录所述文件的标识和地址,并放行对所述文件的访问;读取所述数据表,依据其中 所述文件的安全属性对所述文件的访问进行拦截或保持放行;所述扫描模块,用于轮询所述数据表,根据所述文件的标识和地址查找所述文件并 对其进行扫描,再根据扫描结果在所述数据表中记录所述文件的安全属性;所述数据表,用于记录所述文件的标识、地址和安全属性。
13.如权利要求12所述的监控装置,其特征在于,所述扫描模块,用于周期或实时轮询所述数据表,获取新增加的所述文件的标识, 再根据所述数据表中记录的所述文件的标识与地址之间的映射关系确定所述文件在所述 操作系统中的地址。
14.如权利要求13所述的监控装置,其特征在于,所述扫描模块,轮询所述数据表的周期的长度设置为至少保证其他监控装置对所述 文件完成一次扫描。
15.如权利要求13所述的监控装置,其特征在于,所述扫描模块,在所述操作系统的相应地址没有查找到所述文件,则在所述数据表 中清除所述文件的标识、地址和安全属性;当扫描后发现所述文件安全,则在所述数据 表内对所述文件的安全属性记录为安全;当扫描后发现所述文件不安全,则在所述数据 表内对所述文件的安全属性记录为不安全。
16.如权利要求15所述的监控装置,其特征在于,所述文件访问驱动模块,周期或实时轮询所述数据表,读取所述数据表中更新的所 述文件的安全属性,在获知所述文件安全时对所述文件的访问保持放行;在获知所述文 件不安全时拦截对所述文件的访问,根据策略直接处理或询问用户对所述文件的处理。
全文摘要
本发明公开了一种实时防护文件的监控方法及装置,应用于监控装置与其他装置同时监控到对操作系统中一文件的访问行为的情况,包括所述监控装置监控到所述访问行为时,在数据表中记录所述文件并放行所述访问行为;所述监控装置轮询所述数据表,根据其中的记录查找所述文件并对其进行扫描,再根据扫描结果对所述访问行为进行拦截或保持放行。本发明解决了杀毒软件的文件访问驱动程序之间的冲突,使得使用本发明技术的杀毒装置可以和其他杀毒装置并存,不会出现操作系统锁死;同时本发明的方式不会导致操作系统性能变慢,而且在其他杀毒装置的实时防护开启时,本发明的杀毒装置的实时防护也正常工作而没有被关闭,保证了用户的电脑的安全性。
文档编号G06F21/24GK102012992SQ201010552530
公开日2011年4月13日 申请日期2010年11月19日 优先权日2010年11月19日
发明者王烜, 邹贵强 申请人:奇智软件(北京)有限公司