防止病毒文件对用户设备进行非法操作的装置及方法
【专利摘要】本发明公开了一种防止病毒文件对用户设备进行非法操作的装置,所述装置包括:扫描模块,用于对用户设备中的文件进行扫描,以及用于在扫描到病毒文件时生成触发信号;清理模块,用于根据所述触发信号对所述病毒文件进行清理;监控模块,用于监控所述用户设备中针对文件的操作是否应予以禁止并生成监控结果;操作控制模块,用于在所述监控结果为所述用户设备中针对文件的操作应予以禁止时控制所述用户设备禁止所述非法操作。本发明还公开了一种防止病毒文件对用户设备进行非法操作的方法。本发明能主动地对用户设备中针对文件的非法操作进行防御,使得在清理了病毒文件之后用户设备中的文件不会再次被感染,从而有效地保护用户设备。
【专利说明】防止病毒文件对用户设备进行非法操作的装置及方法
【【技术领域】】
[0001]本发明涉及安全软件领域,特别涉及一种防止病毒文件对用户设备进行非法操作的装置及方法。
【【背景技术】】
[0002]安全软件与病毒文件的对抗已经持续了相当长的时间了,安全软件清除用户设备中的病毒文件的技术也越来越完善。传统的安全软件清除用户设备中的病毒文件的技术方案往往是删除扫描到的病毒木马文件,这种技术方案存在很多漏洞,比如清除病毒文件后后由于病毒文件还在运行,病毒文件可以再次释放危险和再次破坏用户设备,这样一来之前的清除操作就完全失去了效果。稍微安全的方式是添加到重启后删除病毒木马文件,这种技术方案也不能完全解决问题,原因病毒木马可能比安全软件更早的启动。
[0003]对于已经运行起来对系统造成影响和危害的病毒文件,传统的安全软件针对这些病毒文件的对抗技术越发暴露出不足。病毒文件往往通过注入和进程守护等多种方式来对付安全软件,让安全软件针对病毒文件对抗作用和清除作用越来越有限。仅注入系统进程这项常规技术就让安全软件难以招架,原因是安全软件不敢对系统进程进行操作以免反而破坏系统,而正是这种对抗的不对称性让安全软件处于不利的地位,清除病毒木马能够使用的手段就严重受到了限制,这就让安全软件扫描到木马后如何清除风险带来了挑战。
[0004]故,有必要提出一种新的技术方案,以解决上述技术问题。
【
【发明内容】
】
[0005]本发明的一个目的在于提供一种防止病毒文件对用户设备进行非法操作的装置,其能主动地对用户设备中针对文件的非法操作进行防御,使得在清理了病毒文件之后用户设备中的文件不会再次被感染,从而有效地保护用户设备。
[0006]为解决上述问题,本发明提供了一种防止病毒文件对用户设备进行非法操作的装置,所述装置包括:扫描模块,用于对用户设备中的文件进行扫描,以及用于在扫描到病毒文件时生成触发信号;清理模块,用于根据所述触发信号对所述病毒文件进行清理;监控模块,用于监控所述用户设备中针对文件的操作是否应予以禁止并生成监控结果;操作控制模块,用于在所述监控结果为所述用户设备中针对文件的操作应予以禁止时控制所述用户设备禁止所述非法操作。
[0007] 本发明的另一个目的在于提供一种防止病毒文件对用户设备进行非法操作的方法,其能主动地对用户设备中针对文件的非法操作进行防御,使得在清理了病毒文件之后用户设备中的文件不会再次被感染,从而有效地保护用户设备。
[0008]为解决上述问题,本发明提供了一种防止病毒文件对用户设备进行非法操作的方法,所述方法包括以下步骤:对用户设备中的文件进行扫描,以及在扫描到病毒文件时生成触发信号;根据所述触发信号对所述病毒文件进行清理;监控所述用户设备中针对文件的操作是否应予以禁止并生成监控结果;在所述监控结果为所述用户设备中针对文件的操作应予以禁止时控制所述用户设备禁止所述非法操作。
[0009]在本发明中,对用户设备中针对文件的操作进行监控是为了动态地获知有哪些文件进行了写入、删除、修改等等操作,进而判断这些行为是否应该禁止。而对用户设备中针对文件的操作进行禁止是为了主动地对病毒文件进行防御,实质上,这实现了全面拦截病毒文件的恶意行为,可以使得在与病毒文件对抗的过程中双方的分量上发生变化,从而在对抗病毒文件的竞赛中重新取得优势。此外,通过禁止针对文件进行操作,可以达到全面禁止处于活动状态下的病毒文件再次释放风险的可能。在与病毒文件的对抗上,本发明可以占据上风,原因是本发明主动防御的技术方案全面禁止了病毒文件对注册表和其它文件的访问,让病毒文件由活体变成了死体。
[0010]为让本发明的上述内容能更明显易懂,下文特举优选实施例,并配合所附图式,作详细说明如下:
【【专利附图】
【附图说明】】
[0011]图1为本发明的防止病毒文件对用户设备进行非法操作的装置的框图;
[0012]图2为图1中操作控制模块的框图;
[0013]图3、图4和图5为本发明的防止病毒文件对用户设备进行非法操作的方法的流程图。
【【具体实施方式】】
[0014]以下各实施例的说明是参考附加的图式,用以例示本发明可用以实施的特定实施例。
[0015]为了在保护用户设备的安全的过程中反客为主,主动地对用户设备中针对文件的非法操作进行防御,使得在清理了病毒文件之后用户设备中的文件不会再次被感染,从而有效地保护用户设备,本发明的技术方案如下:
[0016]参考图1和图2,图1为本发明的防止病毒文件对用户设备进行非法操作的装置10的框图,图2为图1中操作控制模块105的框图。
[0017]本发明的防止病毒文件对用户设备进行非法操作的装置10包括扫描模块101、清理模块102、监控模块104和操作控制模块105。扫描模块101电性连接清理模块102和监控模块104,监控模块104还与清理模块103和操作控制模块105电性连接。扫描模块101用于对用户设备中的文件进行扫描,以及用于在扫描到病毒文件时生成触发信号。清理模块102用于根据触发信号对病毒文件进行清理。监控模块104用于监控用户设备中针对文件的操作是否应予以禁止并生成监控结果。对用户设备中针对文件的操作进行监控是为了动态地获知有哪些文件进行了写入、删除、修改等等操作,进而判断这些行为是否应该禁止。操作控制模块105用于在监控结果为用户设备中针对文件的操作应予以禁止时控制用户设备禁止非法操作。对用户设备中针对文件的操作进行禁止是为了主动地对病毒文件进行防御,原因是病毒文件对用户设备中的文件的感染方式千变万化,如果被动地在病毒文件作出相应的动作之后再对病毒文件的非法操作进行防御,此时可能已经错过最佳时机了,因此,在对用户设备进行扫描的过程中,或者在对用户设备中的病毒文件进行清除的过程中,或者重启用户设备的过程中,通过对用户设备中针对文件的操作进行禁止是很有必要的。实质上,这是一种全面拦截病毒文件的恶意行为的技术方案,可以使得在与病毒文件对抗的过程中双方的分量上发生变化,从而在对抗病毒文件的竞赛中重新取得优势。
[0018]操作控制模块105包括获取模块1051、判断模块1052和禁止模块1053。获取模块1051电性连接判断模块1052和监控模块104,判断模块1052还与禁止模块1053电性连接。获取模块1051用于获取用户设备中针对文件的操作,在这里,用户设备中针对文件的操作可以是文件的写入操作、删除操作、修改操作等等。判断模块1051用于判断操作是否应该予以禁止并生成判断结果。禁止模块1053用于在判断结果为操作应该予以禁止时控制用户设备禁止操作。例如,对注册表中经常被利用的风险位置全面禁止写入和更改,这样,正在活动的病毒文件就基本失去了活性,已经不能再次修改注册表来守护启动机会了。通过禁止针对文件进行操作,可以达到全面禁止处于活动状态下的病毒文件再次释放风险的可能。这个时候,在与病毒文件的对抗上,本发明可以占据上风,原因是本发明主动防御的技术方案全面禁止了病毒文件对注册表和其它文件的访问,让病毒文件由活体变成了死体。
[0019]在对用户设备进行扫描的过程中,为了主动地防止病毒文件对用户设备进行非法操作,监控模块104还用于监控扫描模块101是否开始扫描用户设备中的文件并生成第一子监控结果。获取模块1051还用于在第一子监控结果为扫描模块101开始扫描用户设备中的文件时获取用户设备中针对文件的第一操作。判断模块1052还用于判断第一操作是否应该予以禁止并生成第一判断结果。禁止模块1053还用于在第一判断结果为第一操作应该予以禁止时控制用户设备禁止第一操作。
[0020]在清理用户设备的病毒文件的过程中,为了主动地防止病毒文件对用户设备进行非法操作,监控模块104还用于监控清理模块102是否清理完病毒文件并生成第二子监控结果。获取模块1052还用于在第二子监控结果为清理模块102清理完病毒文件时获取用户设备中针对文件的第二操作。判断模块1052还用于判断第二操作是否应该予以禁止并生成第二判断结果。禁止模块1053还用于在第二判断结果为第二操作应该予以禁止时控制用户设备禁止第二操作。
[0021]在用户设备重启的过程中,为了主动地防止病毒文件对用户设备进行非法操作,本发明的装置10还包括重启控制模块103。重启控制模块103电性连接监控模块104。重启控制模块103用于控制用户设备重启。监控模块104还用于监控用户设备是否处于重启状态并生成第三子监控结果。获取模块1051还用于在第三子监控结果为用户设备处于重启状态时获取用户设备中针对文件的第三操作。判断模块1052还用于判断第三操作是否应该予以禁止并生成第三判断结果。禁止模块1053还用于在第三判断结果为第三操作应该予以禁止时控制用户设备禁止第三操作。
[0022]在用户设备重启之后,为了主动地防止病毒文件对用户设备进行非法操作,监控模块104还用于监控用户设备是否完成重启并生成第四子监控结果。清理模块102还用于在第四子监控结果为用户设备完成重启时再次对病毒文件进行清理。获取模块1051还用于在第四子监控结果为用户设备完成重启时结束获取用户设备中针对文件的操作。
[0023]参考图3、图4和图5,图3、图4和图5为本发明的防止病毒文件对用户设备进行非法操作的方法的流程图。本发明的防止病毒文件对用户设备进行非法操作的方法由防止病毒文件对用户设备进行非法操作的装置10执行。[0024]在步骤301,监控模块104监控扫描模块101是否开始扫描用户设备中的文件,若是,则进入步骤302,否则,继续监控。
[0025]在步骤302,扫描模块101对用户设备中的文件进行扫描。
[0026]在步骤303,获取模块1051获取用户设备中针对文件的第一操作。
[0027]在步骤304,判断模块1052判断第一操作是否应该予以禁止,若是,则进入步骤306,否则,进入步骤305。
[0028]在步骤305,禁止模块1053控制用户设备允许该第一操作。
[0029]在步骤306,禁止模块1053控制用户设备禁止该第一操作。
[0030]在步骤307,扫描模块101在对用户设备中的文件进行扫描的过程中判断是否查找到病毒文件,若是,则进入步骤308,否则,进入步骤311。
[0031]在步骤308,扫描模块101生成触发信号。
[0032]在步骤309,清理模块102根据触发信号对病毒文件进行清理。
[0033]在步骤310,监控模块104监控清理模块102是否清理完病毒文件,若是,则进入步骤311,否则,返回到步骤309。
[0034]在步骤311,获取模块1051获取用户设备中针对文件的第二操作。
[0035]在步骤312,判断模块1052判断第二操作是否应该予以禁止,若是,则进入步骤314,否则,进入步骤313。
[0036]在步骤313,禁止模块1053控制用户设备允许该第二操作。
[0037]在步骤314,禁止模块1053控制用户设备禁止该第二操作。
[0038]在步骤315,监控模块104监控用户设备是否处于重启状态,若是,则进入步骤316,否则,继续监控。
[0039]在步骤316,重启控制模块103控制用户设备重启。
[0040]在步骤317,获取模块1051获取用户设备中针对文件的第三操作。
[0041]在步骤318,判断模块1052判断第三操作是否应该予以禁止,若是,则进入步骤320,否则,进入步骤319。
[0042]在步骤319,禁止模块1053控制用户设备允许该第三操作。
[0043]在步骤320,禁止模块1053控制用户设备禁止该第三操作。
[0044]在步骤321,监控模块104监控用户设备是否完成重启,若是,则进入步骤322,否贝U,返回到步骤316。
[0045]在步骤322,清理模块102再次对病毒文件进行清理。
[0046]在步骤323,获取模块1051结束获取用户设备中针对文件的操作。
[0047]在上述步骤中,对用户设备中针对文件的操作进行监控是为了动态地获知有哪些文件进行了写入、删除、修改等等操作,进而判断这些行为是否应该禁止。对用户设备中针对文件的操作进行禁止是为了主动地对病毒文件进行防御,原因是病毒文件对用户设备中的文件的感染方式千变万化,如果被动地在病毒文件作出相应的动作之后再对病毒文件的非法操作进行防御,此时可能已经错过最佳时机了,因此,在对用户设备进行扫描的过程中,或者在对用户设备中的病毒文件进行清除的过程中,或者重启用户设备的过程中,通过对用户设备中针对文件的操作进行禁止是很有必要的。实质上,这是一种全面拦截病毒文件的恶意行为的技术方案,可以使得在与病毒文件对抗的过程中双方的分量上发生变化,从而在对抗病毒文件的竞赛中重新取得优势。
[0048]在上述步骤中,用户设备中针对文件的第一操作、第二操作、第三操作可以是文件的写入操作、删除操作、修改操作等等。
[0049]在上述步骤中,通过禁止针对文件进行操作,可以达到全面禁止处于活动状态下的病毒文件再次释放风险的可能。例如,对注册表中经常被利用的风险位置全面禁止写入和更改,这样,正在活动的病毒文件就基本失去了活性,已经不能再次修改注册表来守护启动机会了。这个时候,在与病毒文件的对抗上,本发明可以占据上风,原因是本发明主动防御的技术方案全面禁止了病毒文件对注册表和其它文件的访问,让病毒文件由活体变成了死体。
[0050]综上所述,虽然本发明已以优选实施例揭露如上,但上述优选实施例并非用以限制本发明,本领域的普通技术人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。
【权利要求】
1.一种防止病毒文件对用户设备进行非法操作的装置,其特征在于,所述装置包括: 扫描模块,用于对用户设备中的文件进行扫描,以及用于在扫描到病毒文件时生成触发信号; 清理模块,用于根据所述触发信号对所述病毒文件进行清理; 监控模块,用于监控所述用户设备中针对文件的操作是否应予以禁止并生成监控结果; 操作控制模块,用于在所述监控结果为所述用户设备中针对文件的操作应予以禁止时控制所述用户设备禁止所述非法操作。
2.根据权利要求1所述的防止病毒文件对用户设备进行非法操作的装置,其特征在于,所述操作控制模块包括: 获取模块,用于获取所述用户设备中针对所述文件的操作; 判断模块,用于判断所述操作是否应该予以禁止并生成判断结果; 禁止模块,用于在所述判断结果为所述操作应该予以禁止时控制所述用户设备禁止所述操作。
3.根据权利要求 2所述的防止病毒文件对用户设备进行非法操作的装置,其特征在于,所述监控模块还用于监控所述扫描模块是否开始扫描所述用户设备中的文件并生成第一子监控结果; 所述获取模块还用于在所述第一子监控结果为所述扫描模块开始扫描所述用户设备中的文件时获取所述用户设备中针对所述文件的第一操作; 所述判断模块还用于判断所述第一操作是否应该予以禁止并生成第一判断结果;所述禁止模块还用于在所述第一判断结果为所述第一操作应该予以禁止时控制所述用户设备禁止所述第一操作。
4.根据权利要求2所述的防止病毒文件对用户设备进行非法操作的装置,其特征在于,所述监控模块还用于监控所述清理模块是否清理完所述病毒文件并生成第二子监控结果; 所述获取模块还用于在所述第二子监控结果为所述清理模块清理完所述病毒文件时获取所述用户设备中针对所述文件的第二操作; 所述判断模块还用于判断所述第二操作是否应该予以禁止并生成第二判断结果;所述禁止模块还用于在所述第二判断结果为所述第二操作应该予以禁止时控制所述用户设备禁止所述第二操作。
5.根据权利要求2所述的防止病毒文件对用户设备进行非法操作的装置,其特征在于,所述装置还包括: 重启控制模块,用于控制所述用户设备重启; 所述监控模块还用于监控所述用户设备是否处于重启状态并生成第三子监控结果;所述获取模块还用于在所述第三子监控结果为所述用户设备处于重启状态时获取所述用户设备中针对所述文件的第三操作; 所述判断模块还用于判断所述第三操作是否应该予以禁止并生成第三判断结果;所述禁止模块还用于在所述第三判断结果为所述第三操作应该予以禁止时控制所述用户设备禁止所述第三操作。
6.根据权利要求5所述的防止病毒文件对用户设备进行非法操作的装置,其特征在于,所述监控模块还用于监控所述用户设备是否完成重启并生成第四子监控结果; 所述清理模块还用于在所述第四子监控结果为所述用户设备完成重启时再次对所述病毒文件进行清理; 所述获取模块还用于在所述第四子监控结果为所述用户设备完成重启时结束获取所述用户设备中针对所述文件的操作。
7.一种防止病毒文件对用户设备进行非法操作的方法,其特征在于,所述方法包括以下步骤: 对用户设备中的文件进行扫描,以及在扫描到病毒文件时生成触发信号; 根据所述触发信号对所述病毒文件进行清理; 监控所述用户设备中针对文件的操作是否应予以禁止并生成监控结果; 在所述监控结果为所述用户设备中针对文件的操作应予以禁止时控制所述用户设备禁止所述非法操作。
8.根据权利要求7所述的防止病毒文件对用户设备进行非法操作的非法,其特征在于,所述方法还包括以下步骤: 获取所述用户设备中针对所述文件的操作; 判断所述操作是否应该予以禁止并生成判断结果; 在所述判断结果为所述操作应该予以禁止时控制所述用户设备禁止所述操作。
9.根据权利要求8所述的防止病毒文件对用户设备进行非法操作的方法,其特征在于,所述方法还包括以下步骤: 监控所述扫描模块是否开始扫描所述用户设备中的文件并生成第一子监控结果;在所述第一子监控结果为所述扫描模块开始扫描所述用户设备中的文件时获取所述用户设备中针对所述文件的第一操作; 判断所述第一操作是否应该予以禁止并生成第一判断结果; 在所述第一判断结果为所述第一操作应该予以禁止时控制所述用户设备禁止所述第一操作。
10.根据权利要求8所述的防止病毒文件对用户设备进行非法操作的方法,其特征在于,所述方法还包括以下步骤: 监控所述清理模块是否清理完所述病毒文件并生成第二子监控结果; 在所述第二子监控结果为所述清理模块是否清理完所述病毒文件时获取所述用户设备中针对所述文件的第二操作; 判断所述第二操作是否应该予以禁止并生成第二判断结果; 在所述第二判断结果为所述第二操作应该予以禁止时控制所述用户设备禁止所述第二操作。
11.根据权利要求8所述的防止病毒文件对用户设备进行非法操作的方法,其特征在于,所述方法还包括以下步骤: 控制所述用户设备重启; 监控所述用户设备是否处于重启状态并生成第三子监控结果; 在所述第三子监控结果为所述用户设备处于重启状态时获取所述用户设备中针对所述文件的第三操作; 判断所述第三操作是否应该予以禁止并生成第三判断结果; 在所述第三判断结果为所述第三操作应该予以禁止时控制所述用户设备禁止所述第三操作。
12.根据权利要求11所述的防止病毒文件对用户设备进行非法操作的方法,其特征在于,所述方法还包括以下步骤: 监控所述用户设备是否完成重启并生成第四子监控结果; 在所述第四子监控结果为所述用户设备完成重启时再次对所述病毒文件进行清理;在所述第四子监控结果为所述用户设备完成重启时结束获取所述用户设备中针对所述文件的操作。`
【文档编号】G06F21/56GK103778369SQ201210393867
【公开日】2014年5月7日 申请日期:2012年10月17日 优先权日:2012年10月17日
【发明者】聂子潇 申请人:腾讯科技(深圳)有限公司