CN102467622A - 一种监控已打开文件的方法及装置 - Google Patents
一种监控已打开文件的方法及装置 Download PDFInfo
- Publication number
- CN102467622A CN102467622A CN2010105376770A CN201010537677A CN102467622A CN 102467622 A CN102467622 A CN 102467622A CN 2010105376770 A CN2010105376770 A CN 2010105376770A CN 201010537677 A CN201010537677 A CN 201010537677A CN 102467622 A CN102467622 A CN 102467622A
- Authority
- CN
- China
- Prior art keywords
- terminal
- file
- opened file
- opened
- memory mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种监控已打开文件的方法及装置,该方法包括:在终端上设置映射内存映射区方式,该方法包括:终端的监控功能扫描到已打开文件后,采用设置的映射内存映射区方式,获取到已打开文件的句柄,创建内存映射区,映射该内存映射区,在映射上对已打开文件进行扫描后,确定是否为安全文件。本发明提供的方法及装置不会被在终端上非法安装的其他不同类型的监控功能所识别并恶意拦截该操作,从而避免了被拦截。
Description
技术领域
本发明涉及互联网领域的监控技术,特别涉及一种监控已打开文件的方法及装置。
背景技术
随着互联网技术的发展,越来越多的文件可以被接入互联网的终端共享,所述终端可以为计算机或移动终端等可以接入互联网的设备。在终端从互联网下载到各种文件并打开运行时,如何保证文件的安全性称为了业内关注的问题。
目前,通常保证终端所打开文件的安全性方法为:首先,当终端打开文件时,终端设置的监控功能就会监控到文件被打开;然后,终端设置的监控功能就需要按照设定的各种安全条件扫描该文件,即终端设置的监控功能再次打开该文件,对其进行扫描判断,确定其是否具备安全性,如果是,则指示使用终端的用户该文件是安全的或者不作出任何提示;如果不是,则提示使用终端的用户,该文件是不安全的,需要删除。
在这里,文件可以为各种格式的文本文档或可执行文件,各种格式的文本文档可以包括word文档、txt文档或PDF文档等。
但是,采用上述方式验证终端所打开文件的安全性是有漏洞的,这是因为:在终端设置的监控功能再次打开文件时,也就是终端设置的监控功能调用该打开文件并操作执行打开时,该操作过程很可能被在终端上非法安装的其他不同类型的监控功能所识别并恶意拦截该操作,造成了终端设置的监控功能无法实施对被打开文件进行后续的扫描和安全性的判定。
另外,在终端设置的监控功能再次打开文件时,也会占用终端内的资源,影响终端性能。在终端设置的监控功能对打开文件的安全性比较繁琐,影响了打开文件的监控性能。
发明内容
有鉴于此,本发明提供一种监控已打开文件的方法,该方法能够在监控已打开文件确定是否为安全文件时,避免被拦截。
本发明还提供一种监控已打开文件的装置,该装置能够在监控已打开文件确定是否为安全文件时,避免被拦截。
为达到上述目的,本发明实施的技术方案具体是这样实现的:
一种监控已打开文件的方法,在终端上设置映射内存映射区方式,该方法包括:
终端的监控功能扫描到已打开文件后,采用设置的映射内存映射区方式,获取到已打开文件的句柄,创建内存映射区,映射该内存映射区,在映射上对已打开文件进行扫描后,确定是否为安全文件。
所述在终端上设置映射内存映射区方式为:
终端的系统平台预先设置有映射内存映射区功能,终端的监控功能直接采用FsRtlCreateSectionForDataScan函数调用已打开文件的句柄,创建内存映射区。
所述在终端上设置映射内存映射区方式为:
终端的监控功能确定已打开文件不为空,且已经被打开后,到终端的系统平台获取该已打开文件的互斥锁,然后为该已打开文件设置操作标识后,确定该已打开文件大小不为零;
终端的监控功能调用终端的系统平台创建函数在内存中创建内存映射区后,将所创建的内存映射区函数插入内存的对象管理器。
所述在映射上对已打开文件进行扫描后,确定是否为安全文件的过程为:
当根据扫描结果确定已打开文件是安全文件时,则终端的监控功能指示使用终端的用户该文件是安全的或者不作出任何提示;如果不是,则提示使用终端的用户,该文件是不安全的,需要删除。
所述文件为各种格式的文本文档或可执行文件;
所述终端为接入互联网的移动终端、固定终端或计算机。
一种监控已打开文件的装置,该装置包括:监控功能控制模块、设置模块、内存映射区及扫描模块,其中,
设置模块,用于设置映射内存映射区方式;
监控功能控制模块,用于接收到扫描模块发送的通知后,根据从设置模块调用的映射内存映射区方式,利用已打开文件的句柄创建内存映射区,映射所建立的内存映射区;
扫描模块,用于扫描已打开文件并通知监控控制功能模块,在映射上对已打开文件进行扫描,得到扫描结果。
所述装置还包括提示模块,用于从扫描模块获取扫描结果,根据扫描结果确定该已打开文件是否为安全文件,如果是,提示使用终端的用户该文件是安全的或者不作出任何提示;如果否,提示使用终端的用户该文件是不安全的,需要删除。
所述文件为各种格式的文本文档或可执行文件;
所述终端为接入互联网的移动终端、固定终端或计算机。
由上述技术方案可见,本发明提供的方法及装置,在终端设置的监控功能中重新设置了采用映射内存映射区方式对已打开的文件进行扫描,以确定该已打开文件是否为安全文件,而不像现有技术那样再次打开已打开文件进行扫描,从而不会被在终端上非法安装的其他不同类型的监控功能所识别并恶意拦截该操作,从而避免了被在终端上非法安装的其他不同类型的监控功能恶意拦截。由于本发明提供的方法及装置不需要再次打开已打开文件就可以完成安全性检测,所以节省了终端内的资源,且监控简单,提高已打开文件的监控功能。
附图说明
图1为本发明提供的监控已打开文件的方法流程图;
图2为本发明提供的监控已打开文件的装置结构示意图;
图3为本发明提供的设置映射内存映射区方式的流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
从现有技术可以看出,造成在监控已打开文件过程中无法执行的原因是,终端设置的监控功能在再次打开已打开文件,用以扫描以确定是否为安全文件时,这个执行过程也会被在终端上非法安装的其他不同类型的监控功能所扫描到,并拦截这个执行过程。因此,为了克服这个问题,本发明重新提出了一种监控方法,该方法在要扫描已打开文件以确定是否为安全文件之前,不采用打开方式,而是采用映射内存映射区方式,在映射上读取已打开文件进行扫描。由于本发明不需要再次打开已打开文件,也不会有执行此操作产生,在终端上非法安装的其他不同类型的监控功能无法扫描到该打开已打开文件的操作,从而无法被在终端上非法安装的其他不同类型的监控功能恶意拦截。
另外,本发明在监控已打开文件的过程中,由于不需要二次打开已打开文件,所以不会占用终端的资源,不会影响终端性能。且监控简单,提高已打开文件的监控功能。
终端采用映射已打开文件的内存映射区方式,可以有两种方法实现:
第一种,对于采用系统平台级别比较高的终端,比如终端采用的是视窗xp SP2以上的系统平台,其支持映射已打开文件的内存映射区功能,则可以利用该系统平台已有映射内存映射区功能,即采用FsRtlCreateSectionForDataScan函数调用已打开文件的局柄创建内存映射区,然后映射此内存映射区,在映射上对已打开文件进行读取扫描;
第二种,对于采用系统平台级别比较低的终端,比如终端采用的是视窗xp SP2以下的系统平台,则由终端的监控功能在终端上直接设置映射已打开文件的内存映射区功能,利用设置的映射已打开文件的内存映射区功能,调用已打开文件的局柄创建内存映射区,然后映射此内存映射区,在映射上对已打开文件进行读取扫描,这个过程在后续图3所述的方法中详细说明。
由于可以采用以上两种不同的方式实现本发明,所以本发明提供的方法对终端的系统平台并不限制。
以下采用流程图和装置结构图的方式对本发明进行详细说明。
图1为本发明提供的监控已打开文件的方法流程图,其具体步骤为:
步骤101、在终端的监控功能中设置映射内存映射区方式;
步骤102、终端的监控功能扫描到已打开文件;
步骤103、终端采用设置的映射内存映射区方式,获取到已打开文件的句柄,创建内存映射区,然后映射此内存映射区,在映射上对已打开文件进行扫描;
步骤104、终端的监控功能根据扫描结果确定该已打开文件是否为安全文件,如果是,则执行步骤105;如果否,则执行步骤106;
在本步骤中,终端的监控功能如何根据扫描结果确定该已打开文件为安全文件为现有技术,比如关键字的匹配、病毒库有匹配的对象等等,这里不再赘述;
步骤105、终端的监控功能指示使用终端的用户该文件是安全的或者不作出任何提示;
在本步骤中,由于终端的功能已经确定已打开文件为安全文件,所以就可以默认用户使用该文件,而不做出任何响应;
步骤106、终端的监控功能提示使用终端的用户,该文件是不安全的,需要删除。
在本发明中,使用终端的用户就可以发送指令给终端的监控功能,终端的监控功能根据该指令对文件进行相应操作,比如:当该指令为删除指令时,就将该文件删除;如果该指令为确定文件为安全文件的指令时,就对该文件不做任何处理。
在本发明中,文件可以为各种格式的文本文档或可执行文件,各种格式的文本文档可以包括word文档、txt文档或PDF文档等。
在本发明中,终端为计算机、固定终端或移动终端等可以接入互联网的设备。
图2为本发明提供的监控已打开文件的装置结构示意图,包括:监控功能控制模块、设置模块、内存映射区、扫描模块及提示模块,其中,
设置模块,用于设置映射内存映射区方式;
监控功能控制模块,用于接收到扫描模块发送的通知后,根据从设置模块调用的映射内存映射区方式,利用已打开文件的句柄创建内存映射区,映射所建立的内存映射区;
扫描模块,用于扫描已打开文件并通知监控控制功能模块,在映射上对已打开文件进行扫描,并将扫描结果发送给提示模块;
提示模块,用于根据扫描结果确定该已打开文件是否为安全文件,如果是,提示使用终端的用户该文件是安全的或者不作出任何提示;如果否,提示使用终端的用户该文件是不安全的,需要删除。
举一个具体例子说明一下,比如有一个文档文件,当用户打开该文档文件时,终端的监控功能扫描到该操作动作,确认要对该已打开的文档文件进行监控。这时,终端根据设置映射内存映射区方式,首先从终端的内存中获取到已打开的文档文件的句柄,创建内存映射区,然后映射此内存映射区,在映射上对已打开的文档文件进行扫描后,确定是否为安全文件。也就是说,由终端的系统平台再次创建一个线程,对已打开的文档文件进行扫描处理。
图3为本发明提供的设置映射内存映射区方式的流程图,其具体步骤为:
步骤301、终端的监控功能扫描到已打开文件;
该步骤为现有技术,也就是终端的监控功能扫描到已打开文件在内存中所对应的文件对象指针(SectionObjectPointer);
在本步骤中,一般视窗系统平台上都采用这个文件对象指针指示文件,当然,也可以采用其他名称的指针指示该文件,但是作用是可以在内存中找到该文件;
步骤302、终端的监控功能确定已打开文件是否为空,如果是,则结束本流程,如果否,则执行步骤303;
在本步骤中,也就是确定SectionObjectPointer是否为空,如果为空,则返回错误码,退出整个过程;
步骤303、终端的监控功能确定已打开文件是否正被用户执行,如果不是,则结束本流程,如果是,则执行步骤304;
在本步骤中,终端的监控功能直接确定该已打开文件的线程是否设置了TopLevelIrp,也就是是否被用户执行,如果是,则继续以下的步骤;
步骤304、终端的监控功能进入终端的系统平台临界区,获取到已打开文件的互斥锁;
在终端的系统平台上,一个已打开文件可以被多个线程所访问,也就是同步方式访问已打开文件,为了避免冲突,系统平台会为线程分配互斥锁,确定一个时间内已打开文件只能被一个线程所操作;
步骤305、终端的监控功能将已打开文件设置映射标识,确定要为已打开文件设置映射内存映射区方式;
在本步骤中,设置映射标识的过程为:对已打开文件的TopLevelIrp设置为FSRTL_FSP_TOP_LEVEL_IRP,也就是映射标识;
步骤306、终端的监控功能确定已打开文件的文件大小是否为零,如果不是,执行步骤307;如果是,则结束本流程;
步骤307、终端的监控功能为具备操作标识的已打开文件创建内存映射区;
在本步骤中,终端的监控功能调用终端的系统平台的MmCreateSection函数对应已打开文件的操作标识创建内存映射区;
步骤308、终端的监控功能将所创建的内存映射区进行映射,也就是将所创建的内存映射区插入系统平台的对象管理器;
执行完本步骤后,就已经设置映射内存映射区方式;
步骤309、终端的监控功能释放终端的资源,完成整个流程。
以上举较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种监控已打开文件的方法,其特征在于,在终端上设置映射内存映射区方式,该方法包括:
终端的监控功能扫描到已打开文件后,采用设置的映射内存映射区方式,获取到已打开文件的句柄,创建内存映射区,映射该内存映射区,在映射上对已打开文件进行扫描后,确定是否为安全文件。
2.如权利要求1所述的方法,其特征在于,所述在终端上设置映射内存映射区方式为:
终端的系统平台预先设置有映射内存映射区功能,终端的监控功能直接采用FsRtlCreateSectionForDataScan函数调用已打开文件的句柄,创建内存映射区。
3.如权利要求1所述的方法,其特征在于,所述在终端上设置映射内存映射区方式为:
终端的监控功能确定已打开文件不为空,且已经被打开后,到终端的系统平台获取该已打开文件的互斥锁,然后为该已打开文件设置操作标识后,确定该已打开文件大小不为零;
终端的监控功能调用终端的系统平台创建函数在内存中创建内存映射区后,将所创建的内存映射区函数插入内存的对象管理器。
4.如权利要求1~3任一项权利要求所述的方法,其特征在于,所述在映射上对已打开文件进行扫描后,确定是否为安全文件的过程为:
当根据扫描结果确定已打开文件是安全文件时,则终端的监控功能指示使用终端的用户该文件是安全的或者不作出任何提示;如果不是,则提示使用终端的用户,该文件是不安全的,需要删除。
5.如权利要求1~3任一项权利要求所述的方法,其特征在于,所述文件为各种格式的文本文档或可执行文件;
所述终端为接入互联网的移动终端、固定终端或计算机。
6.一种监控已打开文件的装置,其特征在于,该装置包括:监控功能控制模块、设置模块、内存映射区及扫描模块,其中,
设置模块,用于设置映射内存映射区方式;
监控功能控制模块,用于接收到扫描模块发送的通知后,根据从设置模块调用的映射内存映射区方式,利用已打开文件的句柄创建内存映射区,映射所建立的内存映射区;
扫描模块,用于扫描已打开文件并通知监控控制功能模块,在映射上对已打开文件进行扫描,得到扫描结果。
7.如权利要求6所述的装置,其特征在于,所述装置还包括提示模块,用于从扫描模块获取扫描结果,根据扫描结果确定该已打开文件是否为安全文件,如果是,提示使用终端的用户该文件是安全的或者不作出任何提示;如果否,提示使用终端的用户该文件是不安全的,需要删除。
8.如权利要求6所述的装置,其特征在于,所述文件为各种格式的文本文档或可执行文件;
所述终端为接入互联网的移动终端、固定终端或计算机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010537677.0A CN102467622B (zh) | 2010-11-08 | 2010-11-08 | 一种监控已打开文件的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010537677.0A CN102467622B (zh) | 2010-11-08 | 2010-11-08 | 一种监控已打开文件的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102467622A true CN102467622A (zh) | 2012-05-23 |
| CN102467622B CN102467622B (zh) | 2014-06-25 |
Family
ID=46071252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010537677.0A Active CN102467622B (zh) | 2010-11-08 | 2010-11-08 | 一种监控已打开文件的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102467622B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693397A (zh) * | 2011-03-23 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 一种扫描文件的方法和装置 |
| CN104935552A (zh) * | 2014-03-18 | 2015-09-23 | 安一恒通(北京)科技有限公司 | 文件打开方法和装置 |
| CN106951326A (zh) * | 2017-03-16 | 2017-07-14 | 腾讯科技(深圳)有限公司 | 一种文件解锁方法及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6928555B1 (en) * | 2000-09-18 | 2005-08-09 | Networks Associates Technology, Inc. | Method and apparatus for minimizing file scanning by anti-virus programs |
| CN101252585A (zh) * | 2007-05-08 | 2008-08-27 | 飞塔信息科技(北京)有限公司 | 对使用远程文件系统访问协议的数据进行内容过滤的方法与系统 |
| CN101826139A (zh) * | 2009-12-30 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
-
2010
- 2010-11-08 CN CN201010537677.0A patent/CN102467622B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6928555B1 (en) * | 2000-09-18 | 2005-08-09 | Networks Associates Technology, Inc. | Method and apparatus for minimizing file scanning by anti-virus programs |
| CN101252585A (zh) * | 2007-05-08 | 2008-08-27 | 飞塔信息科技(北京)有限公司 | 对使用远程文件系统访问协议的数据进行内容过滤的方法与系统 |
| CN101826139A (zh) * | 2009-12-30 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693397A (zh) * | 2011-03-23 | 2012-09-26 | 腾讯科技(深圳)有限公司 | 一种扫描文件的方法和装置 |
| CN104935552A (zh) * | 2014-03-18 | 2015-09-23 | 安一恒通(北京)科技有限公司 | 文件打开方法和装置 |
| CN104935552B (zh) * | 2014-03-18 | 2018-03-06 | 安一恒通(北京)科技有限公司 | 文件打开方法和装置 |
| CN106951326A (zh) * | 2017-03-16 | 2017-07-14 | 腾讯科技(深圳)有限公司 | 一种文件解锁方法及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102467622B (zh) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103279706B (zh) | 拦截在移动终端中安装安卓应用程序的方法和装置 | |
| JP4565032B2 (ja) | コンフィギュレーションマネージャのセキュリティ機能を使用してモバイルコンピューティングデバイスにソフトウェアをインストールする方法、システム、コンピュータプログラム | |
| US20090253424A1 (en) | Method and system for automatically configuring access control | |
| CN106845223B (zh) | 用于检测恶意代码的方法和装置 | |
| KR101674515B1 (ko) | IoT 디바이스의 임베디드 소프트웨어 개발 환경 시스템 및 이를 이용한 임베디드 소프트웨어 개발 환경 제공 방법 | |
| CN105631312B (zh) | 恶意程序的处理方法及系统 | |
| CN106557669A (zh) | 一种应用程序安装过程的权限控制方法及装置 | |
| CN105843653A (zh) | 一种安全应用配置方法及装置 | |
| CN102340398A (zh) | 安全策略设置、确定方法、应用程序执行操作方法及装置 | |
| CN103679016A (zh) | 手机恶意程序的处理方法和系统 | |
| JP2005352908A (ja) | 移動通信端末及びデータアクセス制御方法 | |
| CN103260262A (zh) | 实现自动创建无线热点的方法、装置和系统 | |
| CN104217162A (zh) | 一种智能终端恶意软件的检测方法及系统 | |
| CN106557687A (zh) | 一种应用程序安装过程的权限控制方法及装置 | |
| CN105975302A (zh) | 一种应用安装方法及终端 | |
| CN102467622A (zh) | 一种监控已打开文件的方法及装置 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| CN108235766B (zh) | 一种终端设备的控制方法及终端设备 | |
| CN104486292A (zh) | 一种企业资源安全访问的控制方法、装置及系统 | |
| CN104298924A (zh) | 确保系统安全的方法、确保系统安全的装置和终端 | |
| EP3234850B1 (en) | Methods, systems, and devices for detecting and isolating device posing security threat | |
| KR101417334B1 (ko) | 모바일 디바이스 및 모바일 디바이스에서의 침입 차단 방법 | |
| CN116628696A (zh) | 一种基于代理客户端的漏洞检测方法及相关设备 | |
| CN104462989A (zh) | 多系统间应用程序的安装方法、安装系统和终端 | |
| US20130019313A1 (en) | Granular virus detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |