一种勒索软件的防护方法、装置、电子设备及存储介质与流程
本发明涉及信息安全技术领域,尤其涉及一种勒索软件的防护方法、装置、电子设备及存储介质。
背景技术:
勒索软件是计算机恶意软件的一种类型,通常通过电子邮件和木马病毒进行传播,感染用户计算机或手机等电子设备,感染后通过多种复杂的加密算法或者修改用户的文件等一种方式或几种方式的结合来加密用户的文件,使用户无法正常访问文件,从而向用户索要用于恢复文件的赎金。勒索软件的目标通常是用户的个人数据,包括文档、数据库、源代码、图片、视频等等,赎金货币通常是比特币。勒索软件在近年来开始大规模爆发,已经有数百万人成为了勒索软件的受害者。一旦用户数据被勒索软件加密,只有勒索软件作者才能解密,但即使用户支付赎金,也不能保证其文件一定能得到解密。如果是用户的重要数据被加密,就很有可能面临无法恢复的风险,给用户造成非常大的损失,因此需要针对勒索软件进行防护。
现有技术中针对勒索软件的防护方法通常是,利用杀毒软件扫描软件特征的方式发现已知类型的勒索软件,如果发现,则立即阻断勒索软件,但是如果勒索软件特征发生变化,杀毒软件就可能无法检测出,防护能力低。
技术实现要素:
本发明提供一种勒索软件的防护方法、装置、电子设备及存储介质,用以解决现有技术中存在针对勒索软件防护能力低的问题。
为了解决上述存在的问题,本发明提供了一种勒索软件的防护,应用于电子设备,该方法包括:
如果监控到系统中的进程对文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中,并在所述修改操作文件中保存所述信息的记录时间;
根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程;
如果是,阻断所述进程对文件进行修改操作。
进一步地,在所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前,所述方法还包括:
判断所述进程的信息是否保存在勒索软件进程黑名单中;
如果是,阻断所述进程对文件进行修改操作;
如果否,进行后续步骤。
进一步地,所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中包括:
根据所述修改操作的类型,将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中。
进一步地,所述根据所述修改操作的类型,将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中包括:
如果所述修改操作的类型为写操作,则记录所述进程的标识信息、所述文件的标识信息、所述文件中被修改的内容的起始位置的信息、被修改的内容的长度的信息及所述长度对应的被修改的内容的信息;
如果所述修改操作的类型为重命名操作,则记录所述进程的标识信息、修改前的文件名及修改后的文件名,其中所述重命名操作包括对文件主名的重命名和对文件后缀名的重命名;
如果所述修改操作的类型为创建操作,则记录所述进程的标识信息及创建的所述文件的文件名;
如果所述修改操作的类型为删除操作,则记录所述进程的标识信息、所述文件的标识信息及所述文件中被删除的内容。
进一步地,所述根据所述修改操作文件中所述记录时间之前的设定时间长度内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程包括:
判断所述进程的第一目标修改操作的信息是否满足以下至少一个条件,如果是,确定所述进程为勒索软件进程;其中所述至少一个条件包括:所述进程对至少两个不同格式的文件,进行了对文件后缀名的重命名操作和写操作;或
所述进程对至少两个不同格式的文件进行写操作,且对所述至少两个不同格式的文件包含的全部内容或固定长度的内容进行写操作;或
所述进程对同一目录下的至少两个不同格式的文件进行删除操作,且在所述目录下创建了不符合预设格式的文件。
进一步地,所述阻断所述进程对文件进行修改操作后,所述方法还包括:
根据所述进程对应的每条第一目标修改操作的信息,对所述进程对应的每条第一目标修改操作进行回滚,将对应的每个文件恢复为修改前的文件。
进一步地,监控到系统中的进程对文件进行修改操作后,在将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前,所述方法还包括:
识别所述进程进行修改操作的文件是否为修改操作文件;
如果否,则允许所述进程对所述文件进行修改操作,进行后续步骤;
如果是,当所述进程不存在修改权限时,阻断所述进程对所述修改操作文件进行修改操作。
进一步地,如果所述进程非勒索软件进程,则所述方法还包括:
允许所述进程对文件进行修改操作;
根据所述进程对应的每条第二目标修改操作的信息,将记录时长超过设定的第二记录时长的第二目标修改操作的信息进行删除。
本发明提供了一种勒索软件的防护装置,应用于电子设备,该装置包括:
文件代理模块,用于如果监控到系统中的进程对文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中,并在修改操作文件中保存所述信息的记录时间;
分析模块,用于根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程;如果是,触发所述文件代理模块;
所述文件代理模块,还用于阻断所述进程对文件进行修改操作。
进一步地,所述文件代理模块,还用于判断所述进程的信息是否保存在勒索软件进程黑名单中;如果是,阻断所述进程对文件进行修改操作;如果否,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中。
进一步地,所述文件代理模块,具体用于根据所述修改操作的类型,将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中。
进一步地,所述文件代理模块,具体用于如果所述修改操作的类型为写操作,则记录所述进程的标识信息、所述文件的标识信息、所述文件中被修改的内容的起始位置的信息、被修改的内容的长度的及所述长度对应的被修改的内容的信息;如果所述修改操作的类型为重命名操作,则记录所述进程的标识信息、修改前的文件名及修改后的文件名,其中所述重命名操作包括对文件主名的重命名和对文件后缀名的重命名;如果所述修改操作的类型为创建操作,则记录所述进程的标识信息及创建的所述文件的文件名;如果所述修改操作的类型为删除操作,则记录所述进程的标识信息、所述文件的标识信息及所述文件中被删除的内容。
进一步地,所述分析模块,具体用于判断所述进程的第一目标修改操作的信息是否满足以下至少一个条件,如果是,确定所述进程为勒索软件进程;其中所述至少一个条件包括:所述进程对至少两个不同格式的文件,进行了对文件后缀名的重命名操作和写操作;或所述进程对至少两个不同格式的文件进行写操作,且对所述两个不同格式的文件包含的全部内容或固定长度的内容进行写操作;或所述进程对同一目录下的至少两个不同格式的文件进行删除操作,且在所述目录下创建了不符合预设格式的文件。
进一步地,所述装置还包括:
文件恢复模块,用于根据所述进程对应的每条第一目标修改操作的信息,对所述进程对应的每条第一目标修改操作进行回滚,将对应的每个文件恢复为修改前的文件。
进一步地,所述文件代理模块,还用于识别所述进程进行修改操作的文件是否为修改操作文件;如果否,则允许所述进程对所述文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中;如果是,当所述进程不存在修改权限时,阻断所述进程对所述修改操作文件进行修改操作。
进一步地,所述文件代理模块,还用于如果所述进程非勒索软件进程,允许所述进程对文件进行修改操作;根据所述进程对应的每条第二目标修改操作的信息,将记录时长超过设定的第二记录时长的第二目标修改操作的信息进行删除。
本发明提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现如上述任一项所述的方法步骤。
本发明提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明提供了一种勒索软件的防护方法、装置、电子设备及存储介质,所述方法包括:电子设备如果监控到系统中的进程对文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中,并在修改操作文件中保存所述信息的记录时间;根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程;如果是,阻断所述进程对文件进行修改操作。在本发明实施例中电子设备监控系统中的进程对文件进行修改操作,在修改操作文件中记录进程对文件的修改操作的信息,及所述信息的记录时间,由于勒索软件进程在对文件进行加密时存在规律性,并且即使勒索软件特征变化,其加密行为也遵循一定的规律,所以可以根据该记录时间前的设定第一记录时长内,该进程对应的每条第一目标修改操作的信息,确定该进程是否为勒索软件进程,从而阻断勒索软件进程对文件进行修改操作,能够有效地提高针对勒索软件的防护能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的一种勒索软件的防护过程的示意图;
图2为本发明实施例5提供的电子设备对修改操作的回滚过程示意图;
图3为本发明实施例7提供的一种电子设备示意图;
图4为本发明实施例提供的一种勒索软件的防护装置示意图。
具体实施方式
为了提高针对勒索软件的防护能力,本发明实施例提供了一种勒索软件的防护方法、装置、电子设备及存储介质。
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的一种勒索软件的防护过程的示意图,该过程包括以下步骤:
s101:如果监控到系统中的进程对文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中,并在修改操作文件中保存所述信息的记录时间。
本发明实施例提供的勒索软件的防护方法应用于电子设备,该电子设备可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(personaldigitalassistant,pda)、网络侧设备等安装有操作系统并且保存有可进行修改操作的文件的电子设备。
不同的电子设备安装的操作系统可以相同可以不同,例如手机安装的操作系统可以为安卓系统或ios系统等操作系统,计算机安装的操作系统可以为windows系统或macos系统等操作系统,不同的电子设备安装的操作系统根据电子设备的硬件配置和用户的选择而定。
电子设备可以监控到操作系统中的进程对文件进行的修改操作,电子设备可以是针对系统中的全部文件进行监控,也可以是针对系统文件、用户机密文件等重要文件进行监控。并且电子设备当监控到进程对文件的只读操作时,由于只读操作不会更改文件的信息,则电子设备可以针对进程对文件的只读操作不进行记录。
电子设备中保存有修改操作文件,电子设备可以将监控到的进程对文件进行的修改操作的信息记录到修改操作文件中,即在修改操作文件中写入信息。记录到修改操作文件中的信息包括:进程的标识信息,该文件的标识信息,以及修改操作的内容等信息。
电子设备在将某个进程对某一文件进行的修改操作的信息记录到修改操作文件中后,还可以获取电子设备的当前时间,将获取到的当前时间,作为该进程对该文件进行修改操作的信息对应的记录时间,保存到修改操作文件中。
具体地,在本发明实施例中可以是电子设备中的文件代理模块,来代理所有进程对文件的操作,也就是说,文件代理模块与各个文件具有连接关系,文件代理模块能够直接访问每个文件,而进程对文件的操作需要通过文件代理模块来完成,从而更加方便地监控系统中进程是否对文件进行了修改操作。并且当文件代理模块监控到进程对文件进行修改操作,记录进程对文件的修改操作的信息。
s102:根据所述修改操作文件中所述信息记录时间之前的设定的第一记录时长内,所述进程对应的每条目标修改操作的信息,判断所述进程是否为勒索软件进程;如果是,进行s103,如果否,进行s104。
修改操作文件中保存有进程对文件的修改操作的信息,其中该信息中包括进程的标识信息,以及每条信息的记录时间。因此电子设备根据该次进程对文件的修改操作的信息对应的信息记录时间,在修改操作文件中确定该信息记录时间之前设定的第一记录时长内,该进程对应的每条第一目标修改操作的信息。
第一记录时长预先保存在电子设备中,第一记录时长可以是10分钟、30分钟或1小时等。
电子设备中预先保存有预设的条件,通常情况下,预设的条件与勒索软件进程对文件的加密行为相符,从而使得电子设备根据某个进程对文件的每条目标修改操作的信息,是否满足预设的条件,来判断该进程是否为勒索软件进程。电子设备中保存的预设的条件可以是一个或多个,当电子设备中保存有多个预设的条件时,该进程对文件的每条第一目标修改操作的信息可以是当满足多个预设的条件中的至少一个条件时,认为该进程为勒索软件进程。
电子设备根据该进程是否为勒索软件进程,进行对应的后续操作。
具体地,在本发明实施例中可以是电子设备中的分析模块根据文件代理模块记录的该进程对应的每条第一目标修改操作的信息,实时对该进程对文件的修改操作进行分析,从而判断该进程是否为勒索软件进程。
s103:阻断所述进程对文件进行修改操作。
如果电子设备确定该进程为勒索软件进程,则阻断该进程对文件进行修改操作,以免勒索软件加密用户的文件,导致用户无法正常访问文件。
电子设备在阻断进程对文件进行修改操作后,还可以向用户发送告警通知,提示用户发现存在勒索软件进程。
s104:允许所述进程对文件进行修改操作。
如果电子设备确定该进程非勒索软件进程,则允许该进程对文件进行修改操作,并针对监控到的每个进程对文件的修改操作,重复s101所述的步骤。
在本发明实施例中电子设备监控系统中的进程对文件进行修改操作,在修改操作文件中记录进程对文件的修改操作的信息,及所述信息的记录时间,由于勒索软件进程在对文件进行加密时存在规律性,并且即使勒索软件特征变化,其加密行为也遵循一定的规律,所以可以根据该记录时间前的设定第一记录时长内,该进程对应的每条第一目标修改操作的信息,确定该进程是否为勒索软件进程时,从而阻断勒索软件进程对文件进行修改操作,能够有效地提高针对勒索软件的防护能力。
实施例2:
为了提高防护效率,在上述实施例的基础上,本发明实施例中,所述确定所述进程为勒索软件进程后,所述方法还包括:
将所述进程作为勒索软件进程,保存到勒索软件进程黑名单中;
在所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前,所述方法还包括:
判断所述进程的信息是否保存在勒索软件进程黑名单中;
如果是,阻断所述进程对文件进行修改操作;
如果否,进行后续步骤。
如果确定某一进程为勒索软件进程,则将该进程作为勒索软件进程保存到勒索软件进程黑名单中。当电子设备中保存有勒索软件进程黑名单时,如果存在进程对文件的修改操作,则电子设备可以根据勒索软件进程黑名单,直接确定该进程为勒索软件进程,简化了识别勒索软件的步骤,提高了防护效率。
具体地,电子设备将进程作为勒索软件进程,保存到勒索软件进程黑名单中时,可以是将该进程的标识信息记录到勒索软件进程黑名单中,可以是将该进程的名称版本号信息记录到勒索软件进程黑名单中,也可以是将该进程的特征信息记录到勒索软件进程黑名单中,电子设备将勒索软件进程的何种信息记录到勒索软件进程黑名单中可以是预先规定的,也可以是根据用户的选择进行记录的。
如果电子设备中保存有勒索软件进程名单,则当监控到进程对文件进行修改操作时,可以先根据进程的信息,判断该进程的信息是否保存在勒索软件进程黑名单中,如果在勒索软件进程黑名单中保存有该进程的信息,则确定该进程为勒索软件进程,阻断该进程对文件进行修改操作;如果在勒索软件进程黑名单中保存没有该进程的信息,则允许该进程对文件进行修改操作,并记录该进程对文件的修改操作的信息,继续进行后续的分析判断该进程是否为勒索软件进程的操作。
由于本发明实施例中电子设备勒索软件进程保存到勒索软件进程黑名单中,当电子设备中保存有勒索软件进程黑名单时,如果该进程存在对文件的修改操作,则电子设备可以根据勒索软件黑名单,直接确定该进程为勒索软件进程,简化了识别勒索软件的步骤,提高了防护效率。
实施例3:
为了进一步提高防护能力,在上述各实施例的基础上,本发明实施例中,所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中包括:
根据所述修改操作的类型,将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中。
电子设备中保存进程对文件进行的修改操作的信息进行保存,可以在确定进程为勒索软件进程后,对该进程修改的文件进行恢复,进一步提高了防护能力。
电子设备在记录进程对文件进行的修改操作的信息时针对不同类型的修改操作,记录的信息可以是相同的可以是不同的,通常情况下,由于进程对文件进行的修改操作的类型不同,记录的信息是不同的。
电子设备接收到进程对文件进行修改操作后,先根据修改操作的类型,将修改操作的类型对应的修改操作的信息记录到修改操作文件中后,再对文件执行对应类型的修改操作。
如果根据修改操作的类型,电子设备记录的修改操作的信息不同,则具体地可以如下:
所述根据所述修改操作的类型,将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中包括:
如果所述修改操作的类型为写操作,则记录所述进程的标识信息、所述文件的标识信息、所述文件中被修改的内容的起始位置的信息、被修改的内容的长度的及所述长度对应的被修改的内容的信息;
如果所述修改操作的类型为重命名操作,则记录所述进程的标识信息、修改前的文件名及修改后的文件名,其中所述重命名操作包括对文件主名的重命名和对文件后缀名的重命名;
如果所述修改操作的类型为创建操作,则记录所述进程的标识信息及创建的所述文件的文件名;
如果所述修改操作的类型为删除操作,则记录所述进程的标识信息、所述文件的标识信息及所述文件中被删除的内容。
因为文件的文件名至少包括文件主名和文件后缀名,则本发明实施例中重命名操作至少包括对文件主名的重命名和对文件后缀名的重命名,则记录的文件名中也至少包括文件主名和文件后缀名。
进一步地,由于修改操作的类型为写操作时,当修改的内容的大小为固定长度大小,而非整个文件大小时,记录的是被修改的内容的长度对应的被修改的内容的信息,可以减少记录的修改操作的信息的数据量,避免过多占用电子设备的磁盘空间。
此外,为了保证后期进行文件恢复时更加方便,记录的修改操作的信息中还可以包括修改操作的类型。
例如进程p对文件a进行了写操作,并且写的数据从s字节开始,长度为l的数据data,则记录的修改操作的信息为:修改操作的类型为写操作、进程的标识信息为p,文件的标识信息为a,文件a中被修改的内容的起始位置的信息为s字节,被修改的内容的长度的信息为l,及长度l对应的被修改的内容的信息为data。
例如进程p将文件a重命名为了文件b,则记录的修改操作的信息为:修改操作的类型为重命名操作,进程的标识信息为p,修改前的文件名为a,修改后的文件名为b。
例如进程p创建了文件a,则记录的修改操作的信息为:修改操作的类型为创建操作,进程的标识信息为p,及创建的文件的文件名为a。
例如进程p删除了文件a,则记录的修改操作的信息为:修改操作的类型为删除操作,进程的标识信息为p,删除的文件的标识信息为a,及备份文件a中被删除的内容的文件b。
由于本发明实施例中电子设备中保存进程对文件进行的修改操作的信息进行保存,可以在确定进程为勒索软件进程后,对该进程修改的文件进行恢复,进一步提高了防护能力。
实施例4:
为了进一步提高防护能力,在上述各实施例的基础上,本发明实施例中,所述根据所述修改操作文件中所述记录时间之前的设定时间长度内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程包括:
判断所述进程的第一目标修改操作的信息是否满足以下至少一个条件,如果是,确定所述进程为勒索软件进程;其中所述至少一个条件包括:所述进程对至少两个不同格式的文件,进行了对文件后缀名的重命名操作和写操作;或
所述进程对至少两个不同格式的文件进行写操作,且对所述两个不同格式的文件包含的全部内容或固定长度的内容进行写操作;或
所述进程对同一目录下的至少两个不同格式的文件进行删除操作,且在所述目录下创建了不符合预设格式的文件。
由于电子设备中预先保存有预设的多个条件,通常情况下,预设的条件与勒索软件对文件的加密行为相符,也就是电子设备中保存有勒索软件进程对文件的多种加密行为,当电子设备判断进程的第一目标修改操作的信息满足至少一个条件时,则可以认为该进程为勒索软件进程,从而进一步提高了针对勒索软件的防护能力。
电子设备中的分析模块根据预先保存的多个条件,与进程的目标修改操作的信息进行分析判断,当进程的第一目标修改操作的信息满足保存的多个条件中的至少一个条件时,确定该进程为勒索软件进程。
电子设备可以根据进程对文件的修改操作,确定每次修改操的操作类型,修改操作的操作类型包括写操作、重命名操作、创建操作和删除操作等,其中重命名操作包括对文件主名的重命名和对文件后缀名的重命名,对文件后缀名的重命名即对文件格式的修改。
当电子设备中保存的条件包括进程对至少两个不同格式的文件,进行了对文件后缀名的重命名操作和写操作时,确定该进程为勒索软件进程,也就是说进程对多个不同格式文件的文件后缀名进行了重命名,勒索软件进程通常会将原文件的后缀名修改为系统不可识别的后缀名,也就是当该进程修改后的文件不符合预设格式,用户根据原有的文件名不能够找到对应的文件,用户通过应用软件也无法正常访问对应的文件,并且该进程对多个不同格式文件的内容进行了写操作修改,导致用户即使找到对应的文件,也不能够准确对原有文件中的内容进行访问。所以当进程的目标修改操作的信息满足该条件时,可以认为该进程为勒索软件进程,并进行相应地防护。
当电子设备中保存的条件包括进程对至少两个不同格式的文件进行写操作,且对至少两个不同格式的文件包含的全部内容或固定长度的内容进行写操作时,确定该进程为勒索软件进程,也就是说进程对多个不同格式文件的内容进行了修改,当用户找到对应的文件时,不能够准确对原有文件中内容进行访问,并且修改内容的大小为整个文件大小或固定长度大小,勒索软件进程与人为主动修改内容不同,勒索软件进程为了保证后期对文件的恢复,不会采用对随机长度大小的内容进行修改,也就是勒索软件进程在修改文件内容时,修改内容的大小为整个文件大小或固定长度大小。所以当进程的目标修改操作的信息满足该条件时,可以认为该进程为勒索软件进程,并进行相应地防护。
当电子设备中保存的条件包括进程对同一目录下的至少两个不同格式的文件进行删除操作,且在该目录下创建了不符合预设格式的文件时,确定该进程为勒索软件进程,也就是说进程删除了同一目录下的多个不同格式文件,使用户不能够找到原有文件进行访问,并且在该目录下创建了不符合预设格式的文件,通常勒索软件进程会在创建的不符合预设格式的文件中保存待删除的文件中的内容,以保证后期对文件的恢复,而创建不符合预设格式的文件可以保证系统对这类文件不能识别,用户无法主动进行恢复,其中不符合预设格式的文件为系统中不可以识别的文件格式。所以当进程的目标修改操作的信息满足该条件时,可以认为该进程为勒索软件进程,并进行相应地防护。
由于本发明实施例中电子设备中预先保存有预设的多个条件,当电子设备根据进程的第一目标修改操作的信息满足至少一个条件时,则可以认为该进程为勒索软件进程,从而进一步提高了防护能力。
实施例5:
为了准确地恢复被修改的文件,进一步提高防护能力,在上述各实施例的基础上,本发明实施例中,所述阻断所述进程对文件进行修改操作后,所述方法还包括:
根据所述进程对应的每条第一目标修改操作的信息,对所述进程对应的每条第一目标修改操作进行回滚,将对应的每个文件恢复为修改前的文件。
由于电子设备根据修改操作文件中保存的进程对应的每条第一目标修改操作的信息,对进程的第一目标修改操作进行回滚恢复,保证了准确地恢复被修改的文件,进一步提高了防护能力。
电子设备根据所述进程对应的每条第一目标修改操作的信息,对所述进程对应的每条第一目标修改操作进行回滚的过程属于现有技术,在本发明实施例中不做赘述。
图2为本发明实施例提供的电子设备对修改操作的回滚过程示意图,如图2所示,记录的操作为修改操作文件中记录的进行的修改操作的信息,分别包括记录时间在前的a重命名操作,和记录时间在后的b写文件操作,则电子设备针对a重命名操作和b写文件操作进行回滚,回滚过程为先回滚操作b写文件,将b写文件的信息中记录的原始数据写回到原文件中,再回滚操作a重命名,将a重命名的信息中记录的修改前的文件名重命名回去,从而,将对应的每个文件恢复为修改前的文件。
在本发明实施例中可以是电子设备中的文件恢复模块来对文件进行回滚恢复。
由于本发明实施例中电子设备根据修改操作文件中保存的进程对应的每条第一目标修改操作的信息,对进程的第一目标修改操作进行回滚恢复,保证了准确地恢复被修改的文件,进一步提高了防护能力。
实施例6:
为了进一步提高防护能力,在上述各实施例的基础上,本发明实施例中,监控到系统中的进程对文件进行修改操作后,在将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前,所述方法还包括:
识别所述进程进行修改操作的文件是否为修改操作文件;
如果否,则允许所述进程对所述文件进行修改操作,进行后续步骤;
如果是,当所述进程不存在修改权限时,阻断所述进程对所述修改操作文件进行修改操作。
由于修改操作文件中记录有进程对文件的修改操作的信息,所以当进程对修改操作文件进行修改操作时,如果该进程不存在修改权限,阻断该进程对修改操作文件进行修改操作,保证了修改操作文件的安全性,进一步提高了防护能力。
电子设备可以针对修改操作文件,为不同的进程设置不同的权限,进程的权限不同,允许对修改操作文件所做的操作也不同,例如为进程1设置的权限为允许对修改操作文件进行只读操作,为进程2设置的权限为允许对修改操作文件进行写操作。
电子设备在监控到系统中的进程对文件进行修改操作后,识别进程进行修改操作的文件是否为修改操作文件,如果不是修改操作文件,则允许进程对文件进行修改操作,将进程对文件进行的修改操作的信息记录到修改操作文件中;如果是修改操作文件,则判断该进程是否存在修改权限,如果该进程不存在修改权限,则阻断该进程对修改操作文件进行修改操作,如果该进程存在修改权限,则允许该进程对修改操作文件进行修改操作,将进程对文件进程的修改操作的信息记录到修改操作文件中。
为了避免过多地占用磁盘空间,本发明实施例中,如果所述进程非勒索软件进程,则所述方法还包括:
允许所述进程对文件进行修改操作;
根据所述进程对应的每条第二目标修改操作的信息,将记录时长超过设定的第二记录时长的第二目标修改操作的信息进行删除。
将记录时长超过设定的第二记录时长的非勒索软件进程的第二目标修改操作的信息删除,可以保证不会过多地占用电子设备的磁盘空间。
如果电子设备确定该进程非勒索软件进程,则允许该进程对文件进行修改操作,将进程对文件进程的修改操作的信息记录到修改操作文件中。
电子设备中预设保存有第二记录时长,第二记录时长可以是10分钟、30分钟或1小时等,其中第一记录时长和第二记录时长可以相同可以不同。
电子设备根据非勒索软件进程的该进程对应的每条第二目标修改操作的信息,将记录时长超过设定的第二记录时长的第二目标修改操作的信息进行删除。
由于本发明实施例中修改操作文件中记录有进程对文件的修改操作的信息,所以当进程对修改操作文件进行修改操作时,如果该进程不存在修改权限,阻断该进程对修改操作文件进行修改操作,进一步提高了防护能力。
实施例7:
在上述各实施例的基础上,本发明实施例中还提供了一种电子设备,如图3所示,包括:处理器301、通信接口302、存储器303和通信总线304,其中,处理器301,通信接口302,存储器303通过通信总线304完成相互间的通信;
所述存储器303中存储有计算机程序,当所述程序被所述处理器301执行时,使得所述处理器301执行如下步骤:
如果监控到系统中的进程对文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中,并在修改操作文件中保存所述信息的记录时间;
根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程;
如果是,阻断所述进程对文件进行修改操作。
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与勒索软件的防护方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的电子设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(personaldigitalassistant,pda)、网络侧设备等。
上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口302用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(networkprocessor,np)等;还可以是数字信号处理器(digitalsignalprocessing,dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
在本发明实施例中处理器执行存储器上所存放的程序时,实现监控系统中的进程对文件进行修改操作,在修改操作文件中记录进程对文件的修改操作的信息,及所述信息的记录时间,由于勒索软件进程在对文件进行加密时存在规律性,并且即使勒索软件特征变化,其加密行为也遵循一定的规律,所以可以根据该信息记录时间前的设定第一记录时长内,该进程对应的每条第一目标修改操作的信息,确定该进程是否为勒索软件进程时,从而阻断勒索软件进程对文件进行修改操作,能够有效地提高针对勒索软件的防护能力。
实施例8:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
如果监控到系统中的进程对文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中,并在修改操作文件中保存所述信息的记录时间;
根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程;
如果是,阻断所述进程对文件进行修改操作。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与勒索软件的防护方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(mo)等、光学存储器如cd、dvd、bd、hvd等、以及半导体存储器如rom、eprom、eeprom、非易失性存储器(nandflash)、固态硬盘(ssd)等。
在本发明实施例中提供的计算机可读存储介质内存储计算机程序,计算机程序被处理器执行时实现监控系统中的进程对文件进行修改操作,在修改操作文件中记录进程对文件的修改操作的信息,及所述信息的记录时间,由于勒索软件进程在对文件进行加密时存在规律性,并且即使勒索软件特征变化,其加密行为也遵循一定的规律,所以可以根据该信息记录时间前的设定第一记录时长内,该进程对应的每条第一目标修改操作的信息,确定该进程是否为勒索软件进程时,从而阻断勒索软件进程对文件进行修改操作,能够有效地提高针对勒索软件的防护能力。
图4为本发明实施例提供的一种勒索软件的防护装置示意图,该装置包括:
文件代理模块41,用于如果监控到系统中的进程对文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中,并在修改操作文件中保存所述信息的记录时间;
分析模块42,用于根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内,所述进程对应的每条第一目标修改操作的信息,判断所述进程是否为勒索软件进程;如果是,触发所述文件代理模块41;
所述文件代理模块41,还用于阻断所述进程对文件进行修改操作。
所述分析模块42,还用于将所述进程作为勒索软件进程,保存到勒索软件进程黑名单中;
所述文件代理模块41,还用于判断所述进程的信息是否保存在勒索软件进程黑名单中;如果是,阻断所述进程对文件进行修改操作;如果否,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中。
所述文件代理模块41,具体用于根据所述修改操作的类型,将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中。
所述文件代理模块41,具体用于如果所述修改操作的类型为写操作,则记录所述进程的标识信息、所述文件的标识信息、所述文件中被修改的内容的起始位置的信息、被修改的内容的长度的及所述长度对应的被修改的内容的信息;如果所述修改操作的类型为重命名操作,则记录所述进程的标识信息、修改前的文件名及修改后的文件名,其中所述重命名操作包括对文件主名的重命名和对文件后缀名的重命名;如果所述修改操作的类型为创建操作,则记录所述进程的标识信息及创建的所述文件的文件名;如果所述修改操作的类型为删除操作,则记录所述进程的标识信息、所述文件的标识信息及所述文件中被删除的内容。
所述分析模块42,具体用于判断所述进程的第一目标修改操作的信息是否满足以下至少一个条件,如果是,确定所述进程为勒索软件进程;其中所述至少一个条件包括:所述进程对至少两个不同格式的文件,进行了对文件后缀名的重命名操作和写操作;或所述进程对至少两个不同格式的文件进行写操作,且对所述两个不同格式的文件包含的全部内容或固定长度的内容进行写操作;或所述进程对同一目录下的至少两个不同格式的文件进行删除操作,且在所述目录下创建了不符合预设格式的文件。
所述装置还包括:
文件恢复模块43,用于根据所述进程对应的每条第一目标修改操作的信息,对所述进程对应的每条第一目标修改操作进行回滚,将对应的每个文件恢复为修改前的文件。
所述文件代理模块41,还用于识别所述进程进行修改操作的文件是否为修改操作文件;如果否,则允许所述进程对所述文件进行修改操作,将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中;如果是,当所述进程不存在修改权限时,阻断所述进程对所述修改操作文件进行修改操作。
所述文件代理模块41,还用于如果所述软件非勒索软件进程,允许所述进程对文件进行修改操作;根据所述进程对应的每条第二目标修改操作的信息,将记录时长超过设定的第二记录时长的第二目标修改操作的信息进行删除。
在本发明实施例中电子设备监控系统中的进程对文件进行修改操作,在修改操作文件中记录进程对文件的修改操作的信息,及所述信息的记录时间,由于勒索软件进程在对文件进行加密时存在规律性,并且即使勒索软件特征变化,其加密行为也遵循一定的规律,所以可以根据该信息记录时间前的设定第一记录时长内,该进程对应的每条第一目标修改操作的信息,确定该进程是否为勒索软件进程时,从而阻断勒索软件进程对文件进行修改操作,能够有效地提高针对勒索软件的防护能力。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!