文档安全防护方法、装置以及设备与流程

本发明涉及信息安全技术领域，特别是涉及一种文档安全防护方法、装置以及设备。

背景技术：

随着社会信息化的不断发展，恶意进程即恶意程序也在不断增加，目前一些恶意进程针对用户所使用的终端设备中的图片、文档、压缩包、音频、视频等几乎所有类型的文档进行加密以向用户索要赎金。为了防止恶意进程对计算机等终端设备进行攻击，需要对终端设备中易被恶意程序感染的传播途径进行监控。

现有方案对终端设备中的恶意进程进行监控的过程具体为：在预定时间段内对待检测文档的编辑次数进行累加，累加次数超出预置危险次数，则输出显示是否阻止继续编辑待检测文档的对话框，若接收到阻止指令，则通过预置的进程黑名单确定终端设备中存在恶意进程。例如：待检测文档的类型包括：.doc文档、.rar文档、.psd文档等，若监控到一分钟内对待检测文档中的5个文档进行了编辑，累加编辑次数超出了预置危险次数，则确定执行编辑待检测文档的进程为恶意进程。

然而，现有方案需要依赖于进程黑名单，而由于恶意进程不断增加因此无法保证进程黑名单覆盖所有的恶意进程，最终导致无法全面的对恶意进程进行识别。

技术实现要素：

鉴于现有的对恶意进程监控的方案无法全面对恶意进程进行识别的问题，提出了本发明以便提供一种克服上述问题的文档安全防护方法、装置以及设备。

依据本发明的一个方面，提供了一种文档安全防护方法，包括：拦截进程对于文件的遍历请求；在所述遍历请求对应的处理结果中携带陷阱文件的信息；若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程。

依据本发明的另一个方面，提供了一种文档安全防护装置，包括：请求拦截模块，用于拦截进程对于文件的遍历请求；结果返回模块，用于在所述遍历请求对应的处理结果中携带陷阱文件的信息；进程检测模块，用于若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程。

依据本发明的另一个方面，提供了一种用于文档安全防护的设备，包括：一个或多个处理器；和其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述设备执行本发明实施例中所示的一个或多个文档安全防护方法。

依据本发明的再一个方面，提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得设备执行本发明实施例中所示的一个或多个文档安全防护方法。

本发明实施例提供的文档安全防护方法、装置及设备，针对恶意进程“通过对于文件的遍历请求实现文件的枚举，并对文件进行批量恶意操作”的行为特征，进行进程的安全性检测，无论进程黑名单覆盖或者未覆盖的恶意进程均可以存在上述行为特征，因此，本发明实施例能够提高进程的安全性检测结果的准确性和客观性，且可以提高恶意进程的覆盖率。由于通过对进程进行安全性检测后，仅允许安全进程对文档进行操作，故能够更好地防护文档。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文可选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种文档安全防护方法的步骤流程示意图；

图2示出了根据本发明一个实施例的一种文档安全防护方法的步骤流程示意图；

图3示出了根据本发明一个实施例的一种文档安全防护方法的步骤流程示意图；

图4示出了根据本发明一个实施例的一种文档安全防护装置的结构示意图；

图5示出了根据本发明一个实施例的一种文档安全防护装置的结构示意图；以及

图6示出了根据一示例性实施例示出的一种用于文档安全防护的设备的框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

在实际应用中，当一个恶意进程加密文档的时候，通常首先读取磁盘上的文件内容到内存，然后按照其加密算法在内存中对文件内容进行改写，最后将改写后的文件内容写回文件或新建一个文件。本发明实施例经研究发现上述恶意进程的如下行为特征：在对文件进行加密前首先做的是枚举磁盘上的多个文件，然后针对枚举得到的文件列表执行批量加密，而对于恶意进程而言，其通常通过对于文件的遍历请求实现文件的枚举。

本发明实施例的发明构思之一在于，拦截进程对于文件的遍历请求；在所述遍历请求对应的处理结果中携带陷阱文件的信息；若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程。其中，陷阱文件可以为预置文件，进程对于陷阱文件的预置操作可以为恶意进程针对文件所执行的操作，如修改、删除、移动等改变文件现状的操作等；由于本发明实施例可以依据恶意进程的行为特征“通过对于文件的遍历请求实现文件的枚举，并对文件进行批量恶意操作”，进行进程的安全性检测，无论进程黑名单覆盖或者未覆盖的恶意进程均可以存在上述行为特征，因此，本发明实施例能够提高进程的安全性检测结果的准确性和客观性，且可以提高恶意进程的覆盖率。

实施例一

参照图1，示出了本发明实施例一的一种文档安全防护方法的步骤流程图。

本发明实施例的文档安全防护方法具体可以包括以下步骤：

步骤101：拦截进程对于文件的遍历请求。

本发明实施例的文档安全防护方法可以在终端设备侧执行。可选地，本发明实施例的终端设备可以为局域网和/或广域网中的终端，局域网的例子可以包括：企业网。

磁盘中存储有多个文件，在实际应用中，进程可以遍历磁盘中存储的全部文件，也可以通过设置搜索条件遍历磁盘中存储的部分文件。进程遍历文件时，调用遍历文件函数(即遍历文件接口)获取文件列表，本发明实施例可以拦截进程对遍历文件函数的调用请求，从而达到拦截进程对于文件的遍历请求的目的。

具体地，在拦截遍历文件函数时可以基于hookapi(hookapplicationprogramminginterface，挂钩应用程序编程接口)原理，采用钩子函数将遍历文件函数挂钩，当遍历文件函数被进程调用时，钩子函数可对本次调用进行拦截。

步骤102：在遍历请求对应的处理结果中携带陷阱文件的信息。

其中，该陷阱文件可以不同于终端设备中的用户文件或者操作系统文件，本领域技术人员可以根据实际应用需求，在磁盘中的预置路径预置该陷阱文件。可选地，该陷阱文件可以为隐藏文件，用户在操作终端设备时无法看到陷阱文件，以避免该陷阱文件对于用户的干扰。陷阱文件的信息可以为陷阱文件的句柄。

陷阱文件可以为常用的文档类型，例如：扩展名为.doc,.docx,.docb,.docm,.dot,.dotm,.dotx,.xls,.xlsx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.ppt,.pptx,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.pst,.ost,.msg,.eml,.edb,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.arc,.paq,.bz2,.tbk,.bak,.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.jpeg,.jpg,.bmp,.png,.gif,.raw,.cgm,.gif,.giff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der等类型的文档，当然，本发明实施例对于陷阱文件的具体类型不加以限制。

本发明实施例在拦截进程对于文件的遍历请求后，可以根据实际应用需求，确定该遍历请求对应的处理结果，具体地，可以在该遍历请求对应的处理结果携带陷阱文件的信息。由于该陷阱文件可以不同于终端设备中的用户文件或者操作系统文件，故可以在一定程度上避免恶意进程对于用户文件或者操作系统文件的恶意操作。并且，还可以通过进程对于陷阱文件的操作，判断该进程是否为恶意进程。

本发明实施例中，在拦截到处理结果后在处理结果中携带陷阱文件的信息。携带陷阱文件信息可以包括但不限于：在处理结果包含的信息之前插入陷阱文件的信息、或者采用陷阱文件的信息替换处理结果中包含的信息。其中，陷阱文件的信息可以为陷阱文件的句柄，当然，本发明实施例对于陷阱文件的具体信息不加以限制。

步骤103：若监测到进程对于陷阱文件的预置操作，则确定进程为恶意进程。

本发明实施例可以通过进程对于陷阱文件的操作，判断该进程是否为恶意进程。具体地，若监测到进程对于陷阱文件的预置操作，则确定进程为恶意进程。可选地，上述预置操作可以包括但不限于：删除操作、修改操作、移动操作、加密操作等。可以理解，在确定进程为恶意进程后，可以拦截该进程的行为，因此，可以在一定程度上避免恶意进程对于用户文件或者操作系统文件的恶意操作。

可选地，监测进程对于陷阱文件的预置操作的过程可以包括：监测进程是否针对该陷阱文件触发了该预置操作对应的文件处理函数(如文件读函数、文件写函数、文件删除函数等)的调用请求，当然，本发明实施例对于进程对于陷阱文件的预置操作的具体监测方式不加以限制。

需要说明的是，若没有监测到进程对于陷阱文件的预置操作，则可以放行进程的行为。或者，还可以利用其它进程检测方式判断该进程是否为恶意进程，并根据相应的检测结果确定是否放行该进程的行为。

综上，本发明实施例提供的文档安全防护方法，针对恶意进程“通过对于文件的遍历请求实现文件的枚举，并对文件进行批量恶意操作”的行为特征，进行进程的安全性检测，无论进程黑名单覆盖或者未覆盖的恶意进程均可以存在上述行为特征，因此，本发明实施例能够提高进程的安全性检测结果的准确性和客观性，且可以提高恶意进程的覆盖率。由于通过对进程进行安全性检测后，仅允许安全进程对文档进行操作，故能够更好地防护文档。

实施例二

参照图2，示出了本发明实施例二的一种文档安全防护方法的步骤流程图。

本发明实施例的文档安全防护方法具体包括以下步骤：

步骤201：在磁盘目录上创建陷阱文件。

陷阱文件可以位于磁盘目录中的任意适当的位置处，可选地，陷阱文件可以为隐藏文件，用户在操作终端设备时无法看到陷阱文件。

步骤202：通过挂钩有遍历文件函数的钩子函数，拦截进程对于遍历文件函数的调用请求。

遍历文件函数可以包括：首文件查找函数，该首文件用于查找指定磁盘或者文件夹中的首目录或者首文件。可选地，钩子函数可以挂钩首文件查找函数，本发明实施例中以此为例进行说明。此外遍历文件函数还可以包括下一文件查找函数，该下一文件查找函数用于查找与指定文件位于同一文件夹的的下一个文件。

在实际应用中，进程可以通过调用遍历文件函数，对磁盘中存储的文件进行遍历最终获取到所需的文件目录，文件目录可以包括多个文件的信息。文件的信息可以为文件的句柄。

步骤203：通过钩子函数在首文件查找函数返回的首文件的信息之前插入陷阱文件的信息。

本发明实施例中，当遍历文件函数被进程调用时，首先调用执行首文件查找函数，由于首文件查找函数被钩子函数挂钩，因此首文件查找函数查找到首文件的信息即处理结果后返回给进程，钩子函数拦截首文件查找函数的处理结果，并获取陷阱文件的信息，在首文件查找函数返回的首文件的信息之前插入陷阱文件的信息并返回；在确定首文件查找函数成功返回处理结果后，执行下一文件查找函数查找第二个文件的信息并返回，重复执行下一文件查找函数依次查找第三个文件的信息、第四个文件的信息直至遍历所有待查找文件为止，此时进程可得到文件遍历后生成的文件列表。

需要说明的是，在具体实现过程中也可以不在首文件的信息之前插入陷阱文件，而是采用陷阱文件的信息替换首文件的信息。

本发明实施例中一种可选的遍历文件函数的设置方式为：设置遍历文件函数包括函数findfirstfile()、findnextfile()以及getlasterror()；本可选实现方式中将钩子函数与findfirstfile()挂钩。

当遍历文件函数被进程调用时，首先执行findfirstfile()，findfirstfile()查找指定目录的第一个文件或目录并返回所查找文件的句柄即返回值，由于钩子函数与findfirstfile()挂钩，因此钩子函数拦截findfirstfile()的返回值，并在其返回值中携带陷阱文件的句柄。

如果成功，则返回找到文件或目录的句柄，继续执行findnextfile()函数查找下一个文件的句柄；如果失败，返回invalid_handle_value，此时则要需用调用getlasterror函数。

findfirstfile函数原型如下:

handlefindfirstfile(lpctstrlpfilename,//目录名

lpwin32_find_datalpfindfiledata//数据缓冲区)；

参数lpfilename为[输入]指向字符串的指针用于指定一个有效的目录。lpfilename是目录名称，目录名称一般使用通配符。例如：指定目录的形式为"..\\abc\\*.*"就是在abc目录中找第一个文件或目录，具体地可以通过关键词*.doc搜索word文档。

lpfindfiledata为[输出]指向一个win32_find_data的指针，用于存放找到文件或目录的信息。

步骤204：若监测到进程对于陷阱文件的预置操作，则确定进程为恶意进程。

由于用户在操作终端设备时无法看到陷阱文件，因此若陷阱文件被触发预置操作，可以认为该预置操作由恶意进程触发。

步骤205：当进程为恶意进程时，拦截进程的行为。

拦截进程的行为的过程具体可以包括：在操作系统内核中拦截该文件加载内存的请求，从而有效地拦截进程对陷阱文件的操作行为，由于陷阱文件为进程所操作的首文件，进程对其的操作行为已被拦截，因此进程也无法对枚举得到的文件列表中的后续文件进行操作，故能够拦截进程对所遍历的批量文件的行为。

步骤206：对该进程和/或该进程相关联的进程链进行查杀。

在拦截进程的行为后，对进程和/或进程相关联的进程链进行查杀，从而避免该进程和/或进程链中派生出的恶意进程后续再次对系统发起攻击。需要说明的是，本步骤为可选步骤，本领域技术人员可以根据实际需求选择是否执行本步骤。

综上，本发明实施例提供的文档安全防护方法，通过钩子函数拦截首文件查找函数的返回的首文件的信息，并在首文件的信息之前插入陷阱文件的信息，则返回进程的文件列表中陷阱文件的信息则位于第一位，若进程为恶意进程必定会对所遍历的大批量文件进行操作，因此必定触发对陷阱文件的预置操作，因此本发明实施例中通过判定进程是否触发对陷阱文件的预置操作，来确定进程是否为恶意进程，能够提高进程的安全性检测结果的准确性和客观性。

此外，本发明实施例中在确定进程为恶意进程时，对进程和/或进程相关联的进程链进行查杀，可以避免该进程和/或进程链中派生出的恶意进程后续再次对系统发起攻击。

实施例三

参照图3，示出了本发明实施例三的一种文档安全防护方法的步骤流程图。

本发明实施例的文档安全防护方法具体包括以下步骤：

步骤301：在磁盘目录上创建陷阱文件。

其中，陷阱文件可以为隐藏文件。

步骤302：通过挂钩有遍历文件函数的钩子函数，拦截进程对于遍历文件函数的调用请求。

遍历文件函数可以包括：首文件查找函数，钩子函数挂钩首文件查找函数。

本发明实施例中，钩子函数挂钩遍历文件函数的首文件查找函数，而不挂钩遍历文件函数中的其他函数，因此钩子函数仅拦截首文件查找函数的返回值，并对首文件查找函数的返回值进行修改。

步骤303：通过钩子函数在首文件查找函数返回的首文件的信息之前插入陷阱文件的信息。

其中，首文件的信息或者陷阱文件的信息可以为文件的句柄。

在首文件的信息之前插入陷阱文件的信息最终返回至进程，则进程所得到的遍历请求对应的处理结果中，陷阱文件则为所遍历到的文件列表中的首文件。由于恶意进程例如敲诈病毒在对文件进行非法操作前首先做的是枚举磁盘上的所有文件，然后按照列表批量执行非法操作，因此若该进程为恶意进程必定会对位于文件列表之首的陷阱文件执行操作。

步骤304：若监测到进程对于陷阱文件的预置操作、且进程的进程来源具有恶意性，则确定进程为恶意进程。

本实施例中，在监测到进程对于陷阱文件的预置操作时，并非直接确定该进程为恶意进程，而是通过对其进程来源进行进一步判断来确定该进程是否为恶意进程，能够提升对进程安全性检测的准确性。

当前进程可能并非是终端设备上系统自带的进程，其可能从第三方网站、或应用平台上下载得到，例如：qq平台、恶意网址、钓鱼网站等，因此需要确定进程的进程来源。若进程来源具有恶意性，则可判定该进程为恶意进程；反之，若进程来源不具有恶意性，则可判定该进程为安全进程。

步骤304中仅是以基于进程来源这一进程属性信息、对进程的安全性进行进一步判断为例进行说明，在具体实现过程中，还可以依据进程的其他属性信息例如：进程签名、进程链等对进程的安全性进行进一步判断。

一种可选的方式为：

若监测到进程对于陷阱文件的预置操作、且进程的父进程为恶意进程，则确定进程为恶意进程。

具体地，可以通过进程对应的进程链确定进程的父进程；判断父进程是否为恶意进程；若是，则确定该进程为恶意进程；若否，则确定该进程为安全进程。

进程链是一个由父进程派生子进程，子进程再派生子进程的关系链。因此，在确定父进程为恶意进程后，由于子进程是由父进程派生而来，因此子进程也为恶意进程。

需要说明的是，在具体实现过程中并不局限于通过进程的父进程来间接的确定进程的安全性，还可以通过进程的子进程来间接确定进程的安全性，具体地，当确定子进程为恶意进程时，则可确定该进程为恶意进程。

另一种可选的方式为：

若监测到进程对于陷阱文件的预置操作、且进程的进程签名不可信，则确定进程为恶意进程。

具体地在确定进程的进程签名是否可信时，可以判断进程是否对应有进程签名；若否，则确定进程为恶意进程；若是，则进一步判断进程签名是否为可信签名；若为可信签名，则确定进程为安全进程，若为非可信签名，则确定进程为恶意进程。

恶意进程一般不存在签名，因此首先判断进程是否对应有进程签名，若否，则直接确定该进程为恶意进程。本发明实施例可选方式中，可以预先存储可信签名列表，在判定进程签名是否可信时可以将进程签名与可信签名列表中的各签名进行比对，若存在相同签名则确定进程签名为可信签名，反之则确定进程签名为非可信签名。

步骤305：当进程为恶意进程时，拦截进程的行为，并对进程和/或进程相关联的进程链进行查杀。

对进程进行查杀时，可以将进程的信息发送至查杀软件，由查杀软件依据所接收到的进程的信息确定进程进行查杀。

对进程相关联的进程链进行查杀时，可以将进程链的信息发送至查杀软件，由查杀软件依据所接收到的进程链的信息确定进程链进行查杀。

综上，本发明实施例提供的文档安全防护方法，当监测到进程对于陷阱文件的预置操作时，结合进程的属性信息对进程的安全性进行进一步判断，具体地通过进程的进程来源、进程签名或进程链来确定进程是否为恶意进程，能够提高进程的安全性检测结果的准确性。

实施例四

参照图4，示出了本发明实施例四的一种文档安全防护装置的结构示意图。

本发明实施例的文档安全防护装置可以包括：请求拦截模块401，用于拦截进程对于文件的遍历请求；结果返回模块402，用于在所述遍历请求对应的处理结果中携带陷阱文件的信息；进程检测模块403，用于若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程。

综上，本发明实施例提供的文档安全防护装置，针对恶意进程通常是大批量对文件进行恶意操作的情况，拦截进程对文件的遍历请求，并在遍历请求对应的处理结果中携带陷阱文件的信息，若进程为恶意进程必定触发对陷阱文件的预置操作，因此本发明实施例中通过判定进程是否触发对陷阱文件的预置操作，来确定进程是否为恶意进程，能够提高进程的安全性检测结果的准确性和客观性。

实施例五

参照图5，示出了本发明实施例五的一种文档安全防护装置的结构示意图。

本发明实施例的文档安全防护装置是对实施例四中装置的进一步优化，优化后的文档安全防护装置可以包括：请求拦截模块501，用于拦截进程对于文件的遍历请求；结果返回模块502，用于在所述遍历请求对应的处理结果中携带陷阱文件的信息；进程检测模块503，用于若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程。

可选地，所述请求拦截模块501具体用于：通过挂钩有遍历文件函数的钩子函数，拦截进程对于所述遍历文件函数的调用请求。

可选地，所述遍历文件函数包括：首文件查找函数，所述钩子函数挂钩所述首文件查找函数。

可选地，所述结果返回模块502具体用于：通过所述钩子函数在所述首文件查找函数返回的首文件的信息之前插入所述陷阱文件的信息。

可选地，本发明实施例中的文档安全防护装置还可以包括：创建模块504，用于在磁盘目录上创建陷阱文件，其中，所述陷阱文件为隐藏文件。

可选地，所述进程检测模块503可以包括：第一确定子模块，用于若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的父进程为恶意进程，则确定所述进程为恶意进程。

可选地，所述进程检测模块503可以包括：第二确定子模块，用于若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的进程来源具有恶意性，则确定所述进程为恶意进程。

可选地，所述进程检测模块503可以包括：第三确定子模块，用于若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的进程签名不可信，则确定所述进程为恶意进程。

可选地，本发明实施例中的文档安全防护装置还可以包括：行为拦截模块505，用于当所述进程为恶意进程时，拦截所述进程的行为；或者查杀模块506，用于当所述进程为恶意进程时，拦截所述进程的行为，并对所述进程和/或所述进程相关联的进程链进行查杀。

本实施例的文档安全防护装置用于实现前述实施例一至实施例三中相应的安全性检测方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

实施例六

参照图6，示出了本发明实施例六的一种用于文档安全防护的设备的结构框图。

本发明实施例的用于文档安全防护的设备可以包括：一个或多个处理器；和其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述设备执行实施例一至实施例三中所述的一个或多个文档安全防护方法。

图6是根据一示例性实施例示出的一种用于文档安全防护的设备的框图。在实际应用中，该设备可以位于服务器侧，也可以位于终端设备侧。

参照图6，设备可以包括以下一个或多个组件：处理组件602，存储器604，电源组件606，多媒体组件608，音频组件610，输入/输出(i/o)的接口612，传感器组件614，以及通信组件616。

处理组件602通常控制设备的整体操作，诸如与显示，数据通信，相机操作和记录操作相关联的操作。处理元件602可以包括一个或多个处理器620来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件602可以包括一个或多个模块，便于处理组件602和其他组件之间的交互。例如，处理部件602可以包括多媒体模块，以方便多媒体组件608和处理组件602之间的交互。

存储器604被配置为存储各种类型的数据以支持在设备的操作。这些数据的示例包括用于在设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器604可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

电源组件606为终端设备的各种组件提供电力。电源组件606可以包括电源管理系统，一个或多个电源，及其他与为终端设备600生成、管理和分配电力相关联的组件。

多媒体组件608包括在所述终端设备和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件608包括一个前置摄像头和/或后置摄像头。当终端设备处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件610被配置为输出和/或输入音频信号。例如，音频组件610包括一个麦克风(mic)，当终端设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器604或经由通信组件616发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

i/o接口612为处理组件602和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件614包括一个或多个传感器，用于为终端设备600提供各个方面的状态评估。例如，传感器组件614可以检测到设备600的打开/关闭状态，组件的相对定位，例如所述组件为设备的显示器和小键盘，传感器组件614还可以检测设备或设备一个组件的位置改变，用户与设备接触的存在或不存在，终端设备方位或加速/减速和终端设备的温度变化。传感器组件614可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件614还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件614还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件616被配置为便于设备和其他设备之间有线或无线方式的通信。设备可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信部件616经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信部件616还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

在示例性实施例中，终端设备可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的机器可读存储介质，例如包括指令的存储器604，上述指令可由设备的一个或多个处理器620执行以完成上述方法。例如，机器可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在此提供的文档安全防护方法、装置以及设备不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造具有本发明方案的系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的文档安全防护方法、装置以及设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本发明公开了a1文档安全防护方法，包括：

拦截进程对于文件的遍历请求；

在所述遍历请求对应的处理结果中携带陷阱文件的信息；

若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程。

a2、根据a1所述的方法，其中，所述拦截进程对于文件的遍历请求，包括：

通过挂钩有遍历文件函数的钩子函数，拦截进程对于所述遍历文件函数的调用请求。

a3、根据a2所述的方法，其特征在于，所述遍历文件函数包括：首文件查找函数，所述钩子函数挂钩所述首文件查找函数。

4、根据权利要求3所述的方法，其中，所述在所述遍历请求对应的处理结果中携带陷阱文件的信息，包括：

通过所述钩子函数在所述首文件查找函数返回的首文件的信息之前插入所述陷阱文件的信息。

a5、根据a2至a4中任一所述的方法，其中，所述方法还包括：

在磁盘目录上创建陷阱文件，其中，所述陷阱文件为隐藏文件。

a6、根据a1所述的方法，其中，所述若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程，包括：

若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的父进程为恶意进程，则确定所述进程为恶意进程。

a7、根据a1所述的方法，其中，所述若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程，包括：

若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的进程来源具有恶意性，则确定所述进程为恶意进程。

a8、根据a1所述的方法，其中，所述若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程，包括：

若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的进程签名不可信，则确定所述进程为恶意进程。

a9、根据a1或a2或a3或a4或a6或a7或a8所述的方法，其中，所述方法还包括：

当所述进程为恶意进程时，拦截所述进程的行为；或者

当所述进程为恶意进程时，拦截所述进程的行为，并对所述进程和/或所述进程相关联的进程链进行查杀。

本发明公开了b10、一种文档安全防护装置，包括：

请求拦截模块，用于拦截进程对于文件的遍历请求；

结果返回模块，用于在所述遍历请求对应的处理结果中携带陷阱文件的信息；

进程检测模块，用于若监测到所述进程对于所述陷阱文件的预置操作，则确定所述进程为恶意进程。

b11、根据b10所述的装置，其中，所述请求拦截模块具体用于：

通过挂钩有遍历文件函数的钩子函数，拦截进程对于所述遍历文件函数的调用请求。

b12、根据b11所述的装置，其中，所述遍历文件函数包括：首文件查找函数，所述钩子函数挂钩所述首文件查找函数。

b13、根据b12所述的装置，其中，所述结果返回模块具体用于：

通过所述钩子函数在所述首文件查找函数返回的首文件的信息之前插入所述陷阱文件的信息。

b14、根据b11至b13中任一所述的装置，其中，所述装置还包括：

创建模块，用于在磁盘目录上创建陷阱文件，其中，所述陷阱文件为隐藏文件。

b15、根据b10所述的装置，其中，所述进程检测模块包括：

第一确定子模块，用于若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的父进程为恶意进程，则确定所述进程为恶意进程。

b16、根据b10所述的装置，其中，所述进程检测模块包括：

第二确定子模块，用于若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的进程来源具有恶意性，则确定所述进程为恶意进程。

b17、根据b10所述的装置，其中，所述进程检测模块包括：

第三确定子模块，用于若监测到所述进程对于所述陷阱文件的预置操作、且所述进程的进程签名不可信，则确定所述进程为恶意进程。

b18、根据b10或b11或b12或b13或b15或b16或b17所述的装置，其中，所述装置还包括：

行为拦截模块，用于当所述进程为恶意进程时，拦截所述进程的行为；或者

查杀模块，用于当所述进程为恶意进程时，拦截所述进程的行为，并对所述进程和/或所述进程相关联的进程链进行查杀。

本发明公开了c19、一种用于文档安全防护的设备，其中，包括：

一个或多个处理器；和其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述设备执行如a1至a9中一个或多个所述的方法。

本发明还公开了d20、一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得设备执行如a1至a9中一个或多个所述的方法。