一种应用于计算机文件的加密病毒的拦截方法及系统与流程

本发明涉及计算机安全技术领域，特别是涉及一种应用于计算机文件的加密病毒的拦截方法及系统。

背景技术：

兴起于20世纪中期的计算机技术，经过数几十年时间的发展，已经被普及到现代社会的各个领域，计算机系统作为一种信息存储、传输及处理的载体，其具有信息存储量大、传输速度快、处理效率高等优点，因此，越来越多的信息是以电子数据文件的形式存储于计算机系统，但是，由于计算机病毒及黑客入侵等因素的存在，如何防止电子数据文件被入侵始终是计算机安全技术的重要研究课题。

勒索者病毒是一类会针对用户电脑中特定后缀的文件进行加密的病毒，要想解密被勒索者病毒所加密的文件，受害者往往需要向黑客支付高额的赎金；因此，这种病毒的存在对计算机的使用形成了极大的安全隐患。

传统的病毒查杀技术大多是将疑似勒索者病毒程序的特征与病毒数据库中的已有特征相匹配，以作为判断程序是否为勒索者病毒程序的依据，但是当勒索者病毒程序存在新变种时，病毒数据库往往并不能及时更新对应的特征，影响了对病毒的拦截操作，因此，常规的病毒查杀方式会对勒索者病毒的检测和拦截构成限制。

技术实现要素：

本发明所要解决的技术问题是：提供一种应用于计算机文件的加密病毒的拦截方法及系统，以解决现有病毒技术中利用特征匹配来判断病毒的方式所存在的弊端。

本发明解决上述技术问题所采用的技术方案是：

本发明提供了一种应用于计算机文件的加密病毒的拦截方法，包括：预置防御辅助文件，防御辅助文件为加密病毒对应加密的文件类型；预置文件路径与文件类型的第一关联表，以及文件句柄与文件类型的第二关联表；实时监测包括防御辅助文件在内的所有计算机文件，在计算机被执行操作时，获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄；根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作；若操作行为为病毒的加密操作，则拦截加密操作。

进一步的，拦截方法还包括：在获取计算机文件在调用过程中被执行的操作行为后，确定操作行为的类型，其中，操作行为的类型为以下类型的一种或几种：文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。

进一步的，在操作行为的类型为文件创建行为和文件打开行为的其中一种时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径，若是，则将计算机文件的文件句柄添加至第二关联表；若否，则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种；在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时，判断计算机文件的文件大小是否大于8；若计算机文件的文件大小大于8，根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时，将计算机文件的文件类型添加至第一关联表中。

进一步的，操作行为的类型为文件移动行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：获取scr文件和dest文件，其中，scr文件为计算机文件在被执行文件移动行为之前的文件路径，dest文件为计算机文件在被执行文件移动行为之后的文件路径；判断被执行操作行为的scr文件是否为防御辅助文件，若是，则操作行为为病毒的加密操作；否则，从第一关联表中查找scr文件的文件路径，在第一关联表中查找到scr文件的文件路径时，根据scr文件的内容确定其文件类型；将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；在第一关联表中未查找到scr文件的文件路径时，从第一关联表中查找去除文件后缀的dest文件的文件路径；若在第一关联表中查找到dest文件的文件路径，则根据scr文件的内容确定其文件类型；将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；若在第一关联表中未查找到dest文件的文件路径，则根据scr文件的文件后缀和文件内容，确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时，将scr文件的文件类型和文件路径添加至第一关联表中。

进一步的，在操作行为的类型为文件写入行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：在被执行文件写入行为的计算机文件为防御辅助文件时，则获取文件写入行为的写入内容，判断写入内容是否为修改文件类型，若是，则操作行为为病毒的加密操作；在被执行文件写入行为的计算机文件不为防御辅助文件时，则从第二关联表中查找计算机文件的文件句柄；若在第二关联表中查找到计算机文件的文件句柄，则获取文件写入行为的写入内容，判断写入内容是否为修改文件类型，若是，则操作行为为病毒的加密操作。

进一步的，在操作行为的类型为文件删除行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：在被执行文件删除行为的计算机文件为防御辅助文件时，操作行为为病毒的加密操作。

根据本发明的第二个方面，还提供了了一种拦截系统，包括：第一单元，用于预置防御辅助文件，防御辅助文件为加密病毒对应加密的文件类型；以及预置文件路径与文件类型的第一关联表，以及文件句柄与文件类型的第二关联表；第二单元，用于实时监测包括防御辅助文件在内的所有计算机文件，在计算机被执行操作时，获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄；第三单元，用于根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作；第四单元，用于在操作行为为病毒的加密操作，则拦截加密操作。

进一步的，第二单元还用于：在获取计算机文件在调用过程中被执行的操作行为后，确定操作行为的类型，其中，操作行为的类型为以下类型的一种或几种：文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。

进一步的，第三单元还用于：在操作行为的类型为文件创建行为和文件打开行为的其中一种时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径，若是，则将计算机文件的文件句柄添加至第二关联表；若否，则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种；在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时，判断计算机文件的文件大小是否大于8；若计算机文件的文件大小大于8，根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时，将计算机文件的文件类型添加至第一关联表中。

进一步的，第三单元还用于：在操作行为的类型为文件移动行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：获取scr文件和dest文件，其中，scr文件为计算机文件在被执行文件移动行为之前的文件路径，dest文件为计算机文件在被执行文件移动行为之后的文件路径；判断被执行操作行为的scr文件是否为防御辅助文件，若是，则操作行为为病毒的加密操作；否则，从第一关联表中查找scr文件的文件路径，在第一关联表中查找到scr文件的文件路径时，根据scr文件的内容确定其文件类型；将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；在第一关联表中未查找到scr文件的文件路径时，从第一关联表中查找去除文件后缀的dest文件的文件路径；若在第一关联表中查找到dest文件的文件路径，则根据scr文件的内容确定其文件类型；将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；若在第一关联表中未查找到dest文件的文件路径，则根据scr文件的文件后缀和文件内容，确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时，将scr文件的文件类型和文件路径添加至第一关联表中。

进一步的，第三单元还用于：在操作行为的类型为文件写入行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：在被执行文件写入行为的计算机文件为防御辅助文件时，则获取文件写入行为的写入内容，判断写入内容是否为修改文件类型，若是，则操作行为为病毒的加密操作；在被执行文件写入行为的计算机文件不为防御辅助文件时，则从第二关联表中查找计算机文件的文件句柄；若在第二关联表中查找到计算机文件的文件句柄，则获取文件写入行为的写入内容，判断写入内容是否为修改文件类型，若是，则操作行为为病毒的加密操作。

进一步的，第三单元还用于：在操作行为的类型为文件删除行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：在被执行文件删除行为的计算机文件为防御辅助文件时，操作行为为病毒的加密操作。

本发明采用上述技术方案所具有的技术效果是：

本发明的拦截方法改变了传统病毒查杀技术中所采用的病毒特征匹配的方式，考虑到病毒对计算机文件加密时必然要对计算机文件进行相应的操作行为，因此本发明通过监测计算机文件被执行的操作行为以及计算机文件本身的特征，可以快捷、高效的判断出是否为病毒被执行的加密行为，克服了传统病毒查杀技术所存在的局限性。

附图说明

图1为本发明的一个实施例中拦截方法的整体流程图；

图2为本发明的一个实施例中计算机文件被执行文件创建行为时的拦截方法流程图；

图3为本发明的一个实施例中计算机文件被执行文件移动行为时的拦截方法流程图；

图4为本发明的一个实施例中计算机文件被执行文件写入行为时的拦截方法流程图；

图5为本发明的一个实施例中计算机文件被执行文件删除行为时的拦截方法流程图。

具体实施方式

为清楚的说明本发明中的方案，下面给出优选的实施例并结合附图详细说明。以下的说明本质上仅仅是示例性的而并不是为了限制本公开的应用或用途。应当理解的是，在全部的附图中，对应的附图标记表示相同或对应的部件和特征。

如图1所示的一实施例，本发明公开了一种应用于计算机文件的加密病毒的拦截方法，其步骤包括：

S101、预置防御辅助文件，防御辅助文件为加密病毒对应加密的文件类型；在一些实施例中，由于现有的大部分加密病毒都是会对doc类型的文件加密，因此本发明所预置的也为doc类型的文件；

S102、预置文件路径与文件类型的第一关联表，以及文件句柄与文件类型的第二关联表；例如，某一doc类型的文件的文件路径为C:\abc\123\test.doc、文件句柄为0x886699B0，则在第一关联表中预置文件路径C:\abc\123\test.doc与doc文件类型的关联关系，在第二关联表中预置句柄0x886699B0与doc文件类型的关联关系；另外，第一关联表中预置的文件路径内容、以及第二关联表中预置的文件句柄内容为已预先确定其安全性的文件路径、文件句柄；

S103、实时监测包括防御辅助文件在内的所有计算机文件，在计算机被执行操作时，获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄；

S104、根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作；在一实施例中，将获取的计算机文件的文件路径与第一关联表中的预置内容相匹配，将计算机文件的文件句柄与第二关联表中的预置内容相匹配，从而可以对比该计算机文件在被执行其操作行为后，判断其文件路径和文件句柄是否有变化，若匹配成功，则确认为为非病毒的操作行为，若匹配不成功，则确认为病毒被执行的加密操作；

S105、若操作行为为病毒的加密操作，则拦截加密操作，从而可以在计算机文件被调用的过程中，实现实时监测及拦截病毒的操作，提高了计算机系统的整体安全性。

在上述步骤S101中，考虑到加密病毒在加密前会遍历所有的计算机文件，为了能实现对病毒提前检测判断以保护其它计算机文件的目的，本发明所预置的防御辅助文件的文件命名选用ASCII表中排名靠前的字符，例如，某一防御辅助文件的文件名为“！！！防御辅助文件，请勿删除”，该命名中选用了在ASCII表中排名靠前“！”字符，从而可以优先被加密病毒所遍历到，并在防御辅助文件被执行相应的操作行为时，检测判断是否为加密病毒的加密操作。

在本发明的一实施例中，拦截方法的步骤还包括：

在获取计算机文件在调用过程中被执行的操作行为后，确定操作行为的类型，其中，操作行为的类型为以下类型的一种或几种：文件创建行为、文件读取行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。

由于病毒程序在对计算机文件的加密过程中，可以会对计算机文件被执行上述的一种或几种操作行为，例如，常见的病毒加密文件的过程有：(1)文件创建-文件读取-加密-写入文件；(2)文件创建-文件读取-加密-文件创建-文件写入-文件删除；(3)文件移动-文件创建-文件读取-加密-文件创建-文件写入；(4)文件移动-文件创建-加密-文件创建-文件写入；(5)文件移动-文件创建-加密-文件写入-文件移动。而部分操作行为的被执行过程中，可能与安全程序调用计算机文件的操作行为一致或类似，因此为了提高对病毒程序判断的精确性，防止将安全程序错误判定为病毒程序，因此需要根据第一关联表和第二关联表分别对加密前后的不同操作行为进行相应的判断。下面结合一些实施例对上述涉及文件创建行为、文件移动行为、文件写入行为和文件删除行为等主要操作行为的判断过程进行说明。

在本发明一实施例中，如图2所示，在操作行为的类型为文件创建行为和文件打开行为的其中一种时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：

S201、判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径；

S202、若是，则将计算机文件的文件句柄handle添加至第二关联表；在执行文件写入行为时，可以通过查询第二关联表获取对应文件的文件句柄；

S203、若否，则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种；

S204、在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时，判断计算机文件的文件大小是否大于8；

S205、若计算机文件的文件大小大于8，根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型；

S206、在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时，将计算机文件的文件类型添加至第一关联表中。

在本发明一实施例中，如图3所示，在操作行为的类型为文件移动行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：

S301、获取scr文件和dest文件，其中，scr文件为计算机文件在被执行文件移动行为之前的文件路径，dest文件为计算机文件在被执行文件移动行为之后的文件路径；

S302、判断被执行操作行为的scr文件是否为防御辅助文件；

S303、若是，则操作行为为病毒的加密操作；

S304、若否，从第一关联表中查找scr文件的文件路径；

S305、在第一关联表中查找到scr文件的文件路径时，根据scr文件的内容确定其文件类型；

S306、将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；

S307、在第一关联表中未查找到scr文件的文件路径时，从第一关联表中查找去除文件后缀的dest文件的文件路径；

若在第一关联表中查找到dest文件的文件路径，则执行上述S305和S306步骤中的相关流程，包括根据scr文件的内容确定其文件类型；将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；

S308、若在第一关联表中未查找到dest文件的文件路径，则根据scr文件的文件后缀和文件内容，确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时，将scr文件的文件类型和文件路径添加至第一关联表中。

在本发明一实施例中，如图4所示，在操作行为的类型为文件写入行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：

S401、判断被执行文件写入行为的计算机文件是否为防御辅助文件；

S402、在被执行文件写入行为的计算机文件为防御辅助文件时，则获取文件写入行为的写入内容，判断写入内容是否为修改文件类型；

S403、若是，则操作行为为病毒的加密操作；

S404、在被执行文件写入行为的计算机文件不为防御辅助文件时，则从第二关联表中查找计算机文件的文件句柄；

若在第二关联表中查找到计算机文件的文件句柄，则执行S402步骤中的相关流程，获取文件写入行为的写入内容，判断写入内容是否为修改文件类型，若是，则操作行为为病毒的加密操作。

在本发明一实施例中，如图5所示，在操作行为的类型为文件删除行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：

S501、判断被执行文件删除行为的计算机文件是否为防御辅助文件；

S502、在被执行文件删除行为的计算机文件为防御辅助文件时，操作行为为病毒的加密操作。

为了使本领域技术人员了解本发明拦截方法的拦截过程，下面结合一实施例的拦截流程进行详细说明：

某一个正常文件的路径为C:\abc\123\test.doc，加密病毒要加密该文件，首先会以至少包含读取权限的方式执行创建文件行为；

经由S201-S205的流程，将路径“C:\abc\123\test.doc”和文件类型“doc”保存在第一个表中；

加密病毒读取完该文件的内容后，会加密文件的内容，加密完之后会再次写入文件中，因为加密之后它的后缀可能会改变，例如有一种勒索者病毒加密后就会变成“C:\abc\123\test.doc.vvv”，所以写入时会首先以至少包含写入权限的方式CreateFile“C:\abc\123\test.doc.vvv”,假设创建文件行为后所返回的文件句柄为0x886699B0，这个文件路径去除后缀后为“C:\abc\123\test.doc”，第一个表中存在这个文件路径，类型为doc，所以把句柄0x886699B0和文件类型doc加入到第二个表中；

当执行写入文件行为进行写入文件内容时，文件句柄为0x886699B0，在第二个表中可以找到此句柄，也知道它的类型是doc，根据写入的文件内容判断是否修改了文件类型，由于文件被加密过，通过内容识别肯定不是doc文件了，所以会进行拦截。

本发明还提供了一种拦截系统，该拦截系统采用上述实施例中所公开的拦截方法对病毒程序进行监测和拦截，以保护计算机所存储的文件；拦截系统包括：

第一单元，用于预置防御辅助文件，防御辅助文件为加密病毒对应加密的文件类型；以及预置文件路径与文件类型的第一关联表，以及文件句柄与文件类型的第二关联表；

第二单元，用于实时监测包括防御辅助文件在内的所有计算机文件，在计算机被执行操作时，获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄；

第三单元，用于根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作；

第四单元，用于在操作行为为病毒的加密操作，则拦截加密操作。

在本发明的一些实施例中，第二单元还用于：在获取计算机文件在调用过程中被执行的操作行为后，确定操作行为的类型，其中，操作行为的类型为以下类型的一种或几种：文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。

在本发明的一些实施例中，第三单元还用于：在操作行为的类型为文件创建行为和文件打开行为的其中一种时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径，若是，则将计算机文件的文件句柄添加至第二关联表；若否，则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种；在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时，判断计算机文件的文件大小是否大于8；若计算机文件的文件大小大于8，根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时，将计算机文件的文件类型添加至第一关联表中。

在本发明的一些实施例中，第三单元还用于：在操作行为的类型为文件移动行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：获取scr文件和dest文件，其中，scr文件为计算机文件在被执行文件移动行为之前的文件路径，dest文件为计算机文件在被执行文件移动行为之后的文件路径；判断被执行操作行为的scr文件是否为防御辅助文件，若是，则操作行为为病毒的加密操作；否则，从第一关联表中查找scr文件的文件路径，在第一关联表中查找到scr文件的文件路径时，根据scr文件的内容确定其文件类型；将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；在第一关联表中未查找到scr文件的文件路径时，从第一关联表中查找去除文件后缀的dest文件的文件路径；若在第一关联表中查找到dest文件的文件路径，则根据scr文件的内容确定其文件类型；将scr文件的文件类型与第一关联表中的文件类型相匹配，若未匹配成功，则操作行为为病毒的加密操作；若在第一关联表中未查找到dest文件的文件路径，则根据scr文件的文件后缀和文件内容，确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时，将scr文件的文件类型和文件路径添加至第一关联表中。

在本发明的一些实施例中，第三单元还用于：在操作行为的类型为文件写入行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：在被执行文件写入行为的计算机文件为防御辅助文件时，则获取文件写入行为的写入内容，判断写入内容是否为修改文件类型，若是，则操作行为为病毒的加密操作；在被执行文件写入行为的计算机文件不为防御辅助文件时，则从第二关联表中查找计算机文件的文件句柄；若在第二关联表中查找到计算机文件的文件句柄，则获取文件写入行为的写入内容，判断写入内容是否为修改文件类型，若是，则操作行为为病毒的加密操作。

在本发明的一些实施例中，第三单元还用于：在操作行为的类型为文件删除行为时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作，过程包括：在被执行文件删除行为的计算机文件为防御辅助文件时，操作行为为病毒的加密操作。

综上所述，以上所述内容仅为本发明的实施例，仅用于说明本发明的原理，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。