一种Windows服务器防勒索的系统和方法与流程

一种windows服务器防勒索的系统和方法
技术领域
1.本发明涉及计算机技术领域，具体是一种windows服务器防勒索的系统和方法。


背景技术：

2.随着互联网发展和云计算的兴起，从普通的家用电脑到互联网服务器，人们的生活几乎离不开计算机。近年来，一种新型的电脑病毒-勒索病毒在全球各地造成极大的危害。勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。因此针对不同变种的勒索病毒的检测及其防御刻不容缓。
3.现有的勒索病毒检测，大多基于病毒的特征码，但是如果是新研发的勒索病毒，特征码还未被采集，则容易发生大规模的感染。本发明提出一种自动采集检测勒索病毒的方式，当新型勒索病毒入侵时，可以基于病毒的运行轨迹捕获病毒，查杀并同步到云端。


技术实现要素：

4.本发明提供一种自动采集检测勒索病毒的方式，当新型勒索病毒入侵时，可以基于病毒的运行轨迹捕获病毒，查杀并同步到云端的windows服务器防勒索的系统和方法。
5.本发明所采用的技术方案为：一种windows服务器防勒索的方法，其特征在于：包括具体方法如下：
6.首先，在受保护的计算机上安装病毒查杀客户端s102；
7.然后，当病毒查杀客户端s102安装成功并启动后，会自动同步云端s101的防病毒策略和病毒特征码库；
8.当勒索病毒入侵时，如果勒索病毒在特征码库里面，会直接被内核进程驱动模块s104拦截并查杀；如果勒索病毒没有在特征码库里面，则会触发诱捕机制，当勒索病毒修改防护策略里面的诱捕文件时，文件过滤驱动模块s105会禁止勒索病毒修改文件并发送联动消息给内核进程驱动模块s104，内核进程驱动模块s104则强制关闭进程并获取进程特征码，提交给应用层程序s103，再由应用层程序s103上传到云端并通知其他病毒查杀客户端更新病毒库。
9.一种windows服务器防勒索的系统，其特征在于：包括系统构成关系：
10.s1:云端s101：安装部署在因特网的服务器集群，用来存放病毒库和制定诱捕文件策略；
11.s2:病毒查杀客户端s102：安装部署在用户计算机上，集杀毒引擎和勒索病毒诱捕功能，主体包括应用层程序s103，内核进程驱动s104，文件过滤驱动s105；
12.s3:应用层程序s103：用来与云端s101交互，更新病毒库，并下发病毒特征码给内核进程驱动s104，下发诱捕文件策略给文件过滤驱动s105；
13.s4:内核进程驱动s104：与应用层程序s103联动，接收应用层程序s103下发的病毒
特征码，每次进程启动，都根据特征码来查杀勒索病毒；并且可以接收文件过滤驱动s105新捕获的勒索病毒，查杀勒索病毒，更获取新勒索病毒的特征码上传给应用层程序s103；
14.s5:文件过滤驱动s105：根据制定的诱捕策略，诱捕最新的勒索病毒，并将勒索病毒提交给内核进程驱动s104。
15.所述用户计算机可替换为服务器。
16.所述系统具体实现的流程：
17.s1:从云端s101下发防护策略给病毒查杀客户端s102，策略主要包括诱捕文件策略和进程特征码黑白名单防护策略，并且支持用户自定义格式的文件后缀；
18.s2:应用层程序s103收到防护策略后，在本地系统的所有磁盘根目录下、磁盘文件顺序遍历的第一个文件夹目录下、磁盘倒叙遍历的最后一个文件夹目录下分别创建诱捕文件，并把诱捕文件的文件属性设置为隐藏；
19.s3:应用层程序s103将防护策略里的勒索病毒的黑白名单策略下发给内核进程驱动s104；
20.s4:应用层程序s103将防护策略里所有受保护的诱捕文件信息下发给文件过滤驱动s105；
21.s5:系统被新的未知勒索病毒入侵；
22.s6:新的未知勒索病毒启动加密程序；
23.s7:由于新的未知勒索病毒样本还未被采集，内核进程驱动s104允许病毒程序运行；
24.s8:新的未知勒索病毒的加密程序启动成功；
25.s9:新的未知勒索病毒开始遍历并加密文件；
26.s10:新的未知勒索病毒的加密文件操作被文件过滤驱动s105所捕获，禁止勒索病毒程序加密文件；
27.s11:文件过滤驱动s105把进程信息发送给内核进程驱动s104，由内核进程驱动s104杀死勒索病毒进程；
28.s12:内核进程驱动s104提取病毒特征码发送到应用层程序s103；
29.s13:应用层程序s103把新捕获的勒索病毒样本和特征码发送到云端s101；
30.s14:云端s101更新病毒库并通知所有其他联网服务器；
31.所述诱捕文件的文件后缀包括：
32..pdf/.doc/.docx/.xltx/.xltm/.xlt/.xlsx/.xlsm/.xlsb/.xls/.vsdx/.vsd/.slk/.rtf/.rb/.pptx/.pptm/.ppt/.ppsx/.ppsx/.ppsm/.pps/.ppam/.potx/.potm/.pot/.pot/.odt/.ods/.odp/.key/.dotx/.dotm/.dot/.csv/.bmp/.jpg./.png/.jpeg/.zip/.tgz/.tar/.rar/.iso/.sql/.sqlite3/.wmv/.wma/.wav/.mp3/.mp4。
33.本发明的有益效果：
34.本发明通过病毒查杀客户端的设置，可以自动捕获并杀死新的未知勒索病毒；同时本发明的整个过程安装部署便捷，容易实施；本发明的效率高，文件过滤驱动只过滤诱捕文件的操作，不影响目标电脑原文件的任何使用。
附图说明
35.图1为本发明一种windows服务器防勒索的系统和方法的系统构成关系结构图。
36.图2为本发明一种windows服务器防勒索的系统和方法的二次身份认证流程图。
具体实施方式
37.下面对本发明作进一步说明。
38.一种windows服务器防勒索的方法，其特征在于：包括具体方法如下：
39.首先，在受保护的计算机上安装病毒查杀客户端s102；
40.然后，当病毒查杀客户端s102安装成功并启动后，会自动同步云端s101的防病毒策略和病毒特征码库；
41.当勒索病毒入侵时，如果勒索病毒在特征码库里面，会直接被内核进程驱动模块s104拦截并查杀；如果勒索病毒没有在特征码库里面，则会触发诱捕机制，当勒索病毒修改防护策略里面的诱捕文件时，文件过滤驱动模块s105会禁止勒索病毒修改文件并发送联动消息给内核进程驱动模块s104，内核进程驱动模块s104则强制关闭进程并获取进程特征码，提交给应用层程序s103，再由应用层程序s103上传到云端并通知其他病毒查杀客户端更新病毒库。
42.如图1所示，一种windows服务器防勒索的系统，其特征在于：包括系统构成关系：
43.s1:云端s101：安装部署在因特网的服务器集群，用来存放病毒库和制定诱捕文件策略；
44.s2:病毒查杀客户端s102：安装部署在用户计算机上，集杀毒引擎和勒索病毒诱捕功能，主体包括应用层程序s103，内核进程驱动s104，文件过滤驱动s105；
45.s3:应用层程序s103：用来与云端s101交互，更新病毒库，并下发病毒特征码给内核进程驱动s104，下发诱捕文件策略给文件过滤驱动s105；
46.s4:内核进程驱动s104：与应用层程序s103联动，接收应用层程序s103下发的病毒特征码，每次进程启动，都根据特征码来查杀勒索病毒；并且可以接收文件过滤驱动s105新捕获的勒索病毒，查杀勒索病毒，更获取新勒索病毒的特征码上传给应用层程序s103；
47.s5:文件过滤驱动s105：根据制定的诱捕策略，诱捕最新的勒索病毒，并将勒索病毒提交给内核进程驱动s104。
48.所述用户计算机可替换为服务器。
49.如图2所示，所述系统具体实现的流程：
50.s1:从云端s101下发防护策略给病毒查杀客户端s102，策略主要包括诱捕文件策略和进程特征码黑白名单防护策略，并且支持用户自定义格式的文件后缀；
51.s2:应用层程序s103收到防护策略后，在本地系统的所有磁盘根目录下、磁盘文件顺序遍历的第一个文件夹目录下、磁盘倒叙遍历的最后一个文件夹目录下分别创建诱捕文件，并把诱捕文件的文件属性设置为隐藏；
52.s3:应用层程序s103将防护策略里的勒索病毒的黑白名单策略下发给内核进程驱动s104；
53.s4:应用层程序s103将防护策略里所有受保护的诱捕文件信息下发给文件过滤驱动s105；
54.s5:系统被新的未知勒索病毒入侵；
55.s6:新的未知勒索病毒启动加密程序；
56.s7:由于新的未知勒索病毒样本还未被采集，内核进程驱动s104允许病毒程序运行；
57.s8:新的未知勒索病毒的加密程序启动成功；
58.s9:新的未知勒索病毒开始遍历并加密文件；
59.s10:新的未知勒索病毒的加密文件操作被文件过滤驱动s105所捕获，禁止勒索病毒程序加密文件；
60.s11:文件过滤驱动s105把进程信息发送给内核进程驱动s104，由内核进程驱动s104杀死勒索病毒进程；
61.s12:内核进程驱动s104提取病毒特征码发送到应用层程序s103；
62.s13:应用层程序s103把新捕获的勒索病毒样本和特征码发送到云端s101；
63.s14:云端s101更新病毒库并通知所有其他联网服务器；
64.所述诱捕文件的文件后缀包括：
65..pdf/.doc/.docx/.xltx/.xltm/.xlt/.xlsx/.xlsm/.xlsb/.xls/.vsdx/.vsd/.slk/.rtf/.rb/.pptx/.pptm/.ppt/.ppsx/.ppsx/.ppsm/.pps/.ppam/.potx/.potm/.pot/.pot/.odt/.ods/.odp/.key/.dotx/.dotm/.dot/.csv/.bmp/.jpg./.png/.jpeg/.zip/.tgz/.tar/.rar/.iso/.sql/.sqlite3/.wmv/.wma/.wav/.mp3/.mp4。
66.本发明通过病毒查杀客户端的设置，可以自动捕获并杀死新的未知勒索病毒；同时本发明的整个过程安装部署便捷，容易实施；本发明的效率高，文件过滤驱动只过滤诱捕文件的操作，不影响目标电脑原文件的任何使用。
67.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。