一种对计算机系统中文件进行安全保护的方法
【技术领域】
[0001]本发明属于安全防御技术领域,尤其涉及一种对计算机系统中文件进行安全保护的方法。
【背景技术】
[0002]传统的杀毒软件,均针对进程原始文件判断黑白,当进程原始文件为白文件时,该进程所进行的其他行为也被认为是可信的行为,这些进程一旦被其他病毒体注入,且病毒体又是无毒的,只是注入的代码会执行释放病毒代码的动作,用户的文档最终还是会被病毒感染破坏,比如写入启动项,启动计划任务等都是通过多级跳转释放真正的病毒体,这些情况下,杀毒软件不会报毒,原因在于,该类病毒植入和操作的进程都是正常的白进程;或者进程的行为是单点的,杀毒软件每次只能对一次行为进行鉴定,鉴定的时候还是去判断宿主文件的黑白或者是否可信,最终还是放过了病毒。
[0003]所以,现有的关于对文件进行安全保护的技术中,由于不能完全确认对文件进行操作的当前进程是否会引入病毒,使得文件被病毒感染的概率非常高。
【发明内容】
[0004]有鉴于此,本发明的一个目的是提出一种对计算机系统中文件进行安全保护的方法,以解决现有的对文件进行安全保护的技术中,由于不能完全确认对文件操作的当前进程是否会引入病毒,导致文件被病毒感染的概率较高的问题。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
[0005]在一些可选的实施例中,该方法包括:a、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;b、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
[0006]进一步,步骤c具体包括:cl、若验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为,则再次检测被命中的安全防御策略的安全级别,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,c2、若验证后确定与当前进程相关联的所有进程执行的行为中不存在命中该计算机系统中预设的安全防御策略的危险行为,则允许当前进程对相应文件执行写操作。其中,安全防御策略的安全级别包括:危险级别、高危级别和相对安全级别。
[0007]进一步,步骤cl中,根据被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:若所述被命中的安全防御策略的安全级别为危险级别,则不允许当前进程对相应文件执行写操作;或,若所述被命中的安全防御策略的安全级别为高危级别,则首先将被要求执行写操作的文件进行备份,之后允许当前进程对该文件执行写操作,并在执行写操作后,若确认文件被病毒感染,则将被命中的安全防御策略存储至计算机系统中预设的危险级别的安全防御策略系统中,以便对计算机系统中预设的危险级别的安全防御策略系统进行更新;或,若所述被命中的安全防御策略的安全级别为相对安全级别,则允许当前进程对相应文件执行写操作。
[0008]进一步,在步骤cl中,验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为后,还包括:记录执行危险行为的相应进程的相关信息,并将执行危险行为的相应进程的相关信息储存至权限受限的进程文件夹中,以限制相应进程的执行权限。
[0009]在一些可选的实施例中,该方法在步骤b中,在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,在验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为前,还包括:判断被要求执行写操作的文件是否为计算机系统预设的目标保护文件;根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
[0010]进一步,根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:若被要求执行写操作的文件为计算机系统预设的目标保护文件,则对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,若被要求执行写操作的文件不是计算机系统预设的目标保护文件,则直接允许相应的当前进程对其进行写操作,不再对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
[0011]在一些可选的实施例中,该方法在步骤a之前,还包括:对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息。
[0012]进一步,对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息的过程具体包括:通过Η00Κ计算机系统内核的API函数,对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息。
[0013]与现有技术相比,本发明的有益效果为:
[0014]本发明提供一种对计算机系统中文件进行安全保护的方法,该方法中,只要计算机系统中任一进程提出要对该计算机系统中的文件执行写操作的要求,计算机的安全管理系统都会对与当前进程相关联的所有进程执行的行为进行检测,以确定当前进程及与其相关联的所有进程中,是否存在命中该计算机系统中预设的安全防御策略的危险行为,一旦存在命中的情况,就会分情况就当前进程对相应文件的写操作的行为进行安全防御处理,极大程度的降低了文件被病毒感染的概率,安全保护级别更高。
[0015]为了上述以及相关的目的,一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明某些示例性方面,并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显,所公开的实施例是要包括所有这些方面以及它们的等同。
【附图说明】
[0016]图1是本发明实施例的对计算机系统中文件进行安全保护的方法的流程示意图;
[0017]图2是本发明实施例的对计算机系统中文件进行安全保护的方法的流程示意图;
[0018]图3是本发明实施例的对计算机系统中文件进行安全保护的方法的流程示意图。
【具体实施方式】
[0019]以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,本发明的这些实施方案可以被单独地或总地用术语“发明”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为任何单个发明或发明构思。
[0020]现在结合附图进行说明,图1示出的是一些可选的实施例中对计算机系统中文件进行安全保护的方法的流程图;图2示出的是一些可选的实施例中对计算机系统中文件进行安全保护的方法的流程图;图3示出的是一些可选的实施例中对计算机系统中文件进行安全保护的方法的流程图。
[0021]如图1所示,在一些可选的实施例中,公开了一种对计算机系统中文件进行安全保护的方法,该方法包括:
[0022]a、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;
[0023]b、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;
[0024]其中,对于计算机系统中预设的安全防御策略,用户可以根据自己的需求将自己需要防御的一些策略作为安全防御策略预存至计算机系统中用于存储安全防御策略的系统中。
[0025]c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理,以便保护相应的文件。
[0026]进一步,步骤c具体包括:cl、若验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计