技术总结
本发明提出基于文件格式监控发现勒索者病毒的方法及系统,监控系统中的进程;发现存在对系统中现有文件进行修改的进程时,挂起相应进程;加密备份相应进程将要修改的文件,并取消加密备份文件的后缀;放行被挂起的进程,并监控相应进程及文件的状态;当相应进程完成修改操作,并释放句柄时,拦截并获取释放的句柄信息,判断相应进程是否对文件进行了修改格式的操作,若是则将相应进程写入黑名单,否则放行相应进程。本发明通过监控系统进程,同时对系统中的文件修改及文件格式变化进行监控,能有效感知勒索者病毒的攻击行为,并能够有效发现勒索者病毒释放的进程。
技术研发人员:付威;徐翰隆
受保护的技术使用者:哈尔滨安天科技股份有限公司
文档号码:201610965531
技术研发日:2016.11.01
技术公布日:2017.05.03