一种监测文件篡改的方法、系统及电子设备与流程

1.本技术涉及网络安全技术领域，尤其涉及一种监测文件篡改的方法、系统及电子设备。


背景技术：

2.随着信息技术的迅猛发展，计算机应用于日常生产和生活，计算机带来群众生活便利的同时，也因为频发的计算机文件泄露被篡改而备受争议，给用户带来了巨大的经济损失。因此，为防止文件被篡改的文件防篡改技术具有重要的现实意义。
3.目前，现有的文件防篡改技术是基于内核驱动的方式来防篡改。当更新代码时，需要经常编译和部署一次性的内核驱动，拖慢了开发和迭代速度，耗费时间，降低了开发效率。此外，内核驱动是与内核绑定，每次用户现场使用不同的内核，就需要重新编译以此对应内核版本的内核驱动，才可以加载对应内核的驱动。一旦编码有问题，很容易导致内核崩溃。对此，基于inotify的用户态文件防篡改由于用户态程序适用于大部分linux内核，可以避免内核驱动重复编译。
4.然而，基于inotify用户态的防篡改技术中的inotify事件中缺少进程信息，对于哪个进程进行了文件篡改缺少监控和记录，导致对文件篡改无法监控和记录。


技术实现要素：

5.本技术提供了一种监测文件篡改的方法、系统及电子设备，用以解决对于哪个进程进行了文件篡改缺少监控和记录，导致对文件篡改无法监控和记录的问题。具体实现方案如下：
6.第一方面，本技术提供了一种监测文件篡改的方法，所述方法包括：
7.获取操作系统文件对应的目标跟踪点，通过信息层接收文件保护规则以及设定进程，并传输到文件内核态程序；
8.确定原始文件涉及的进程不包含所述设定进程，获取所述目标跟踪点对应的文件内容信息，并传输到文件用户态程序；
9.调取所述文件内核态程序中的所述文件保护规则，通过所述文件用户态程序将所述目标跟踪点对应的文件内容信息遍历对比所述文件保护规则，判断所述原始文件是否被篡改；
10.若否，放过所述原始文件，并生成记录日志；
11.若是，确定所述原始文件被篡改。
12.通过文件用户态程序和文件内核态程序对跟踪点的处理，避免了内核区域重复编译，加快了开发和迭代速度，节省了时间，提高了文件篡改监测效率；同时监控和记录了哪个进程进行了文件篡改，使得文件篡改可以实时监控和记录。
13.在一种可能的设计中，所述确定原始文件涉及的进程不包含所述设定进程，包括：
14.调取所述文件内核态程序中的信任进程以及恢复进程；
15.通过所述文件内核态程序判定所述原始文件涉及的进程是否包含所述信任进程以及恢复进程；
16.若是，放过所述原始文件，并生成第一记录日志；
17.若否，确定所述原始文件涉及的进程不包含所述信任进程以及恢复进程。
18.通过文件内核态程序对原始文件涉及的进程是否包含恢复进程的判断，避免了程序进入无限循环；同时通过文件内核态程序对原始文件涉及的进程是否包含信任进程的判断排除了程序信任的文件，节约了系统资源。
19.在一种可能的设计中，所述调取所述文件内核态程序中的所述文件保护规则，包括：
20.获取文件对应跟踪点系统调用的返回值；
21.若所述返回值是第一设定值，确定所述文件对应跟踪点系统调用失败，放过所述原始文件，并生成第二记录日志；
22.若所述返回值是第二设定值，确定所述文件对应跟踪点系统调用成功。
23.通过对文件对应跟踪点系统调用的返回值的确定，保证了后续的文件篡改监测系统更加完善且准确。
24.在一种可能的设计中，在所述确定所述原始文件被篡改之后，还包括：
25.调取通过备份程序备份所述文件保护规则内的所有文件；
26.通过所述文件用户态程序调用所述备份程序备份的所有文件恢复所述原始文件中被篡改信息，并生成第三记录日志。
27.通过在确定文件被篡改后，调用备份程序将被篡改的文件恢复至原始文件，避免了文件被篡改后对计算机以及用户造成的损失。
28.第二方面，本技术还提供了一种监测文件篡改系统，所述系统包括：
29.获取模块，用于获取操作系统文件对应的目标跟踪点，通过信息层接收文件保护规则以及设定进程，并传输到文件内核态程序；
30.传输模块，用于确定所述原始文件涉及的进程不包含所述设定进程，获取所述目标跟踪点对应的文件内容信息，并传输到文件用户态程序；
31.处理模块，用于调取所述文件内核态程序中的所述文件保护规则，通过所述文件用户态程序将所述目标跟踪点对应的文件内容信息遍历对比所述文件保护规则，判断所述原始文件是否被篡改；
32.若否，放过所述原始文件，并生成记录日志；
33.若是，确定所述原始文件被篡改。
34.在一种可能的设计中，所述传输模块，具体用于调取所述文件内核态程序中的信任进程以及恢复进程；
35.通过所述文件内核态程序判定所述原始文件涉及的进程是否包含所述信任进程以及恢复进程；
36.若是，放过所述原始文件，并生成第一记录日志；
37.若否，确定所述原始文件涉及的进程不包含所述信任进程以及恢复进程。
38.在一种可能的设计中，所述处理模块，具体用于获取文件对应跟踪点系统调用的返回值；
39.若所述返回值是第一设定值，确定所述文件对应跟踪点系统调用失败，放过所述原始文件，并生成第二记录日志；
40.若所述返回值是第二设定值，确定所述文件对应跟踪点系统调用成功。
41.在一种可能的设计中，所述处理模块，具体用于调取通过备份程序备份所述文件保护规则内的所有文件；
42.通过所述文件用户态程序调用所述备份程序备份的所有文件恢复所述原始文件中被篡改信息，并生成第三记录日志。
43.第三方面，本技术提供了一种电子设备，包括：
44.存储器，用于存放计算机程序；
45.处理器，用于执行所述存储器上所存放的计算机程序时，实现上述的一种监测文件篡改方法步骤。
46.第四方面，本技术提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，计算机程序被处理器执行时实现上述的一种监测文件篡改方法步骤。
47.上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明，这里不再重复赘述。
附图说明
48.图1为本技术提供的一种监测文件篡改方法的流程图；
49.图2为监测文件篡改方法整体技术方案的示意图；
50.图3为监测文件篡改方法的处理过程示意图；
51.图4为本技术提供的一种监测文件篡改系统的示意图；
52.图5为本技术提供的一种电子设备示意图。
具体实施方式
53.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是，在本技术的描述中“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。a与b连接，可以表示：a与b直接连接和a与b通过c连接这两种情况。另外，在本技术的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。
54.下面结合附图，对本技术实施例进行详细描述。
55.当前，在文件防篡改技术中，基于内核驱动的方式来防止篡改时，内核驱动重复编译，拖慢了开发和迭代速度，耗费时间，降低了开发效率。而基于inotify的用户态文件防篡改由于用户态程序适用于大部分linux内核，虽然可以避免内核驱动重复编译。但是，在inotify事件中缺少进程信息，对于哪个进程进行了文件篡改缺少监控和记录，导致对文件篡改无法实时监控和记录。
56.因此，本技术提出了一种监测文件篡改的方法，通过该方法可以避免内核区域重
复编译，加快了开发和迭代速度，节省了时间，提高了文件篡改监测效率；同时监控和记录了哪个进程进行了文件篡改，使得文件篡改可以实时监控和记录。
57.参照图1所示为本技术实施例提供的一种监测文件篡改的方法流程图，该方法包括：
58.s1，获取操作系统文件对应的目标跟踪点，通过信息层接收文件保护规则以及设定进程，并传输到文件内核态程序；
59.具体来讲，该方法可以应用到在linux系统中，首先获取操作系统文件对应的目标跟踪点，启动文件篡改监测进程；
60.然后通过信息层接收文件保护规则以及设定进程；
61.最后将上述文件保护规则与上述设定进程传输到文件内核态程序。
62.这里需要说明的是，在本技术实施例中，目标跟踪点包括文件打开、文件重命名、文件写入、修改文件权限、修改文件所有者等针对原始文件的操作。
63.其中，目标跟踪点由两个相关的进入跟踪点与退出跟踪点组成。
64.举例来说，文件重命名会有两个相关的文件重命名进入跟踪点(tracepoint:syscalls:sys_enter_renameat2)以及文件重命名退出跟踪点(tracepoint:syscalls:sys_exit_renameat2)，文件重命名进入跟踪点与文件重命名退出跟踪点组合成目标跟踪点。
65.这里需要说明的是，在本技术实施例中，上述信息层由文件用户态程序创建，上述文件保护规则包括保护目录和排除目录，上述设定进程包括信任进程和备份程序的恢复进程，其中，备份程序的恢复进程为已经通过本技术实施例调用备份程序恢复被篡改文件后的进程，备份程序在本技术实施例中为rsync。
66.举例来说，在如图2所示的技术方案示意图中，在linux系统中，针对文件重命名这个跟踪点，首先filebpfd用户态程序(即文件用户态程序)创建filter maps(即信息层)，然后filter maps接收信任进程、rsync恢复进程(即备份程序的恢复进程)、保护目录“home/a”和排除目录“home/a/b”，并将上述信任进程、上述rsync恢复进程以及上述保护目录“home/a”和上述排除目录“home/a/b”传输到filebpfd内核态程序(即文件内核态程序)。
67.s2，确定原始文件涉及的进程不包含设定进程，获取目标跟踪点对应的文件内容信息，并传输到文件用户态程序；
68.具体来讲，首先调取文件内核态程序中的信任进程以及恢复进程；
69.通过文件内核态程序判定原始文件涉及的进程是否包含信任进程以及恢复进程；
70.若是，放过原始文件，并生成第一记录日志，结束文件篡改监测进程；
71.若否，确定原始文件涉及的进程不包含信任进程以及恢复进程；
72.在确定原始文件涉及的进程不包含信任进程以及恢复进程后，调用目标跟踪点对应的文件对应跟踪点系统；
73.在该文件对应跟踪点系统调用入口点，获取目标跟踪点对应的文件内容信息，其中，文件内容信息包含文件原始内容的所有信息以及针对该文件进行操作的文件相关进程信息，比如进程id、进程绝对路径名、文件绝对路径名等。
74.这里需要说明的是，在本技术实施例中，可以在该文件对应跟踪点系统调用入口点，通过调取包含进程所有信息的数据结构来获取目标跟踪点对应的文件内容信息。比如
说，在linux系统中，在文件对应跟踪点系统调用入口点，通过bpf_get_currrent_task函数获取task_struct结构实例，该结构实例是linux内核中的一种数据结构，包含了进程的所有信息并被装载在随机存取存储器(random access memory，ram)中；通过task_struct结构实例，可以使用f_path获取目录名；再通过f_path.d_parent获取父目录名；最后通过循环，一直追溯到当前跟路径时结束循环即可；由于取出的文件全路径是反序拼接，需要对路径进行翻转，然后就可以获取文件的绝对路径，最终获取到目标跟踪点对应的文件内容信息。
75.进一步，将上述文件内容信息传输到任务层；
76.在文件对应跟踪点系统调用出口点，获取任务层包含的所有信息以及文件对应跟踪点系统调用返回值；
77.将上述任务层包含的所有信息以及上述返回值传输到事件层并同时删除任务层；
78.将上述事件层包含的所有信息传输到文件用户态程序，因此可以通过文件用户态程序从事件层实时获取原始文件的篡改事件，得到目标跟踪点对应的文件内容信息。
79.这里需要说明的是，如果不排除文件涉及的进程包含设定进程中备份程序的恢复进程，当该文件进入后续步骤时会进入无限循环。
80.比如说，对c文件的文件写入跟踪点，c文件在保护目录“home/a”内，当对c文件进行篡改后，备份程序将其恢复为原始文件，由于对c文件有一个恢复操作，当进入下一次循环时，程序会认为该操作为篡改操作，继续对该文件进行恢复，此时程序就会进入无限循环，导致资源浪费。而在本技术实施例中，通过文件内核态程序对原始文件涉及的进程是否包含备份程序恢复进程内的判断，避免了程序进入无限循环；同时通过文件内核态程序对原始文件涉及的进程是否包含信任进程的判断排除了程序信任的文件，节约了系统资源。
81.举例来说，在如图2所示的技术方案示意图中，在linux系统中，调取filebpfd内核态程序中的信任进程和rsync恢复进程，通过filebpfd内核态程序确定原始文件涉及的进程不包含上述信任进程和上述rsync恢复进程；此时调用文件重命名跟踪点的hook文件重命名系统(即文件对应跟踪点系统)，在该系统入口点，通过bpf_get_current_task函数获取了包含进程信息的task_struct数据结构(即针对文件重命名这个操作的所有文件内容信息)，该数据结构包含了u32 ppid(即父进程id)、u32 pid(即进程id)、char comm[task_comm_len](即进程名)、char process_name(即文件绝对路径名)、int retval(即系统调用返回值)以及char ext(即拓展)，并将该数据结构包含的进程信息传输到task maps(即任务层)；然后在该系统出口点，获取task maps包含的所有信息以及该系统返回值，将其传输到event maps(即事件层)，并删除task maps；通过filebpfd用户态程序从event maps中实时获取文件篡改事件，得到针对文件重命名的所有内容信息。
[0082]
s3，调取文件内核态程序中的文件保护规则，通过文件用户态程序将目标跟踪点对应的文件内容信息遍历文件保护规则，判断原始文件是否被篡改；
[0083]
具体来讲，首先获取文件对应跟踪点系统调用的返回值；
[0084]
若该返回值是第一设定值，确定文件对应跟踪点系统调用失败，放过原始文件，并生成第二记录日志，结束文件篡改监测进程；
[0085]
若该返回值是第二设定值，确定文件对应跟踪点系统调用成功；
[0086]
在确定文件对应跟踪点系统调用成功后，调取文件内核态程序中的文件保护规
则；
[0087]
通过文件用户态程序将目标跟踪点对应的文件内容信息遍历文件保护规则，判断原始文件是否被篡改；
[0088]
若否，执行步骤s4；
[0089]
若是，执行步骤s5。
[0090]
这里需要说明的是，在本技术实施例中，第一设定值为1，第二设定值为0。
[0091]
在本技术实施例中，通过对文件对应跟踪点系统调用的返回值的确定，保证了后续的文件篡改监测系统更加完善且准确。
[0092]
举例来说，在linux系统中，针对文件重命名这个跟踪点，文件重命名系统调用的返回值是0，确定调用该系统成功；调取filebpfd内核态程序中的文件保护规则即保护目录“home/a”和排除目录“home/a/b”，通过filebpfd用户态程序将文件重命名这个跟踪点对应的文件内容信息遍历保护目录和排除目录，判断文件没有被篡改。
[0093]
通过上述的方式可以确定文件是否被篡改，且根据文件内容信息，当文件被篡改后根据上述文件内容信息可以得知哪个进程对文件进行了操作。
[0094]
s4，放过原始文件，并生成记录日志；
[0095]
在确定原始文件未被篡改后，放过该原始文件，同时生成记录日志，结束文件篡改监测进程。
[0096]
举例来说，对“home/a/b”目录下的e文件进行了写入操作，保护规则中的保护目录为“home/a”，排除目录为“home/a/b”，通过filebpfd用户态程序将针对文件写入这个跟踪点的文件内容所有信息遍历保护规则，由于e文件在排除目录中，因此e文件不在保护规则内，此时判断e文件未被篡改，放过该文件，并生成记录日志，结束文件篡改监测进程。
[0097]
s5，确定原始文件被篡改；
[0098]
在确定原始文件被篡改后，调取通过备份程序备份文件保护规则内的所有文件；
[0099]
通过文件用户态程序调用备份程序备份的所有文件恢复原始文件中被篡改信息，并生成第三记录日志，结束文件篡改监测进程。
[0100]
举例来说，对“home/a/c”目录下的e文件进行了写入操作，文件保护规则中的保护目录为“home/a”，排除目录为“home/a/b”，通过filebpfd用户态程序将针对文件写入这个跟踪点的文件内容所有信息遍历对比保护规则，由于e文件在保护目录中，因此e文件在保护规则内，同时根据上述文件内容信息判断e文件被篡改，此时调取rsync备份的“home/a”目录下除“home/a/b”目录以外的所有文件，通过filebpfd用户态程序调用rsync恢复e文件，并生成第三记录日志，结束文件篡改监测进程。
[0101]
通过上述的方式在确定文件被篡改后，可以通过备份程序将被篡改的文件恢复了至原始文件，避免了文件被篡改后对计算机以及用户造成的损失。
[0102]
综上来说，本技术所提出的监测文件篡改方法，基于自定义的文件用户态程序以及文件内核态程序，首先通过文件用户态程序创建的信息层将文件保护规则以及设定进程传输给文件内核态程序，其次文件内核态程序判断需要触发处理逻辑后，调用文件对应跟踪点系统，将文件篡改事件传输给文件用户态程序，文件用户态程序根据文件保护规则过滤判断文件是否被篡改，最后在文件被篡改后通过备份程序恢复了文件。通过该方法避免了内核区域重复编译，加快了开发和迭代速度，节省了时间，提高了文件篡改监测效率；同
时监控和记录了哪个进程进行了文件篡改，使得文件篡改可以实时监控和记录。
[0103]
下面结合具体的应用过程对本技术技术方案做进一步的说明。
[0104]
如图3所示为监测文件篡改方法的处理过程示意图，首先获取操作系统文件的目标跟踪点后，启动文件篡改监测进程；
[0105]
通过filebpfd用户态程序创建filter maps，输入保护规则、信任进程以及rsync恢复进程并共享到filebpfd内核空间，同时通过rsync备份原始文件，其中，保护规则包括保护目录和排除目录；
[0106]
通过filebpfd内核态程序判断目标跟踪点对应的原始文件涉及的进程是否包含信任进程以及rsync恢复进程；
[0107]
若是，放过原始文件并生成记录日志，结束文件篡改监测进程；
[0108]
若否，在hook文件跟踪点系统调用入口点，获取目标跟踪点对应的文件信息，写入到task maps；
[0109]
在hook文件跟踪点系统调用出口点，获取task maps信息以及系统调用返回值，写入到event maps并同时删除task maps；
[0110]
通过filebpfd用户态程序从event maps实时获取文件篡改事件，得到原始文件所有信息；
[0111]
通过系统调用返回值判断系统掉用是否成功；
[0112]
若系统调用返回值为1，确定系统调用失败，放过原始文件并生成记录日志，结束文件篡改监测进程；
[0113]
若系统调用返回值为0，确定系统调用成功；
[0114]
在确定系统调用成功后，通过filebpfd用户态程序将原始文件被篡改信息遍历对比保护规则，判断文件是否被篡改；
[0115]
若否，放过原始文件并生成记录日志，结束文件篡改监测进程；
[0116]
若是，通过filebpfd用户态程序调用rsync备份恢复原始文件被篡改信息，生成记录日志，结束文件篡改监测进程。
[0117]
通过filebpfd用户态程序和filebpfd内核态程序对文件的处理，避免了内核区域重复编译，加快了开发和迭代速度，节省了时间，提高了文件篡改监测效率；同时监控和记录了哪个进程进行了文件篡改，使得文件篡改可以实时监控和记录。
[0118]
基于同一发明构思，本技术实施例还提供了一种监测文件篡改系统，如图4所示为本技术提供的一种监测文件篡改系统的结构示意图，该系统包括：
[0119]
获取模块401，用于获取操作系统文件对应的目标跟踪点，通过信息层接收文件保护规则以及设定进程，并传输到文件内核态程序；
[0120]
传输模块402，用于确定原始文件涉及的进程不包含所述设定进程，获取目标跟踪点对应的文件内容信息，并传输到文件用户态程序；
[0121]
处理模块403，用于调取文件内核态程序中的文件保护规则，通过件用户态程序将目标跟踪点对应的文件内容信息遍历对比文件保护规则，判断原始文件是否被篡改；
[0122]
若否，放过原始文件，并生成记录日志；
[0123]
若是，确定原始文件被篡改。
[0124]
在一种可能的设计中，传输模块402，具体用于调取文件内核态程序中的信任进程
以及恢复进程；
[0125]
通过文件内核态程序判定原始文件涉及的进程是否包含信任进程以及恢复进程；
[0126]
若是，放过原始文件，并生成第一记录日志；
[0127]
若否，确定原始文件涉及的进程不包含信任进程以及恢复进程。
[0128]
在一种可能的设计中，处理模块403，具体用于获取文件对应跟踪点系统调用的返回值；
[0129]
若返回值是第一设定值，确定文件对应跟踪点系统调用失败，放过原始文件，并生成第二记录日志；
[0130]
若返回值是第二设定值，确定文件对应跟踪点系统调用成功。
[0131]
在一种可能的设计中，处理模块403，具体用于调取通过备份程序备份文件保护规则内的所有文件；
[0132]
通过文件用户态程序调用备份程序备份的所有文件恢复原始文件中被篡改信息，并生成第三记录日志。
[0133]
基于同一发明构思，本技术实施例中还提供了一种电子设备，上述电子设备可以实现前述监测文件篡改系统的功能，参考图5，上述电子设备包括：
[0134]
至少一个处理器501，以及与至少一个处理器501连接的存储器502，本技术实施例中不限定处理器501与存储器502之间的具体连接介质，图5中是以处理器501和存储器502之间通过总线500连接为例。总线500在图5中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线500可以分为地址总线、数据总线、控制总线等，为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器501也可以称为控制器，对于名称不做限制。
[0135]
在本技术实施例中，存储器502存储有可被至少一个处理器501执行的指令，至少一个处理器501通过执行存储器502存储的指令，可以执行前文论述的监测文件篡改方法。处理器501可以实现图5所示的电子设备中各个模块的功能。
[0136]
其中，处理器501是该系统的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器502内的指令以及调用存储在存储器502内的数据，该系统的各种功能和处理数据，从而对该系统进行整体监控。
[0137]
在一种可能的设计中，处理器501可包括一个或多个处理单元，处理器501可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器501中。在一些实施例中，处理器501和存储器502可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
[0138]
处理器501可以是通用处理器，例如中央处理器(cpu)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的监测文件篡改方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
[0139]
存储器502作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程
序、非易失性计算机可执行程序以及模块。存储器502可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本技术实施例中的存储器502还可以是电路或者其它任意能够实现存储功能的系统，用于存储程序指令和/或数据。
[0140]
通过对处理器501进行设计编程，可以将前述实施例中介绍的监测文件篡改方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图4所示的实施例的监测文件篡改方法的步骤。如何对处理器501进行设计编程为本领域技术人员所公知的技术，这里不再赘述。
[0141]
基于同一发明构思，本技术实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行前文论述的监测文件篡改方法。
[0142]
在一些可能的实施方式中，本技术提供的监测文件篡改方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在系统上运行时，程序代码用于使该控制设备执行本说明书上述描述的根据本技术各种示例性实施方式的监测文件篡改方法中的步骤。
[0143]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0144]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
[0145]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品，该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0146]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0147]
显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。