CN102750492A - 一种基于工作目录的恶意程序防御方法及装置 - Google Patents
一种基于工作目录的恶意程序防御方法及装置 Download PDFInfo
- Publication number
- CN102750492A CN102750492A CN2012101854467A CN201210185446A CN102750492A CN 102750492 A CN102750492 A CN 102750492A CN 2012101854467 A CN2012101854467 A CN 2012101854467A CN 201210185446 A CN201210185446 A CN 201210185446A CN 102750492 A CN102750492 A CN 102750492A
- Authority
- CN
- China
- Prior art keywords
- working directory
- file
- working
- file access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于工作目录的恶意程序防御方法及装置,其中,该方法包括:工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。本发明能够缩小恶意程序的攻击范围,从而减少受攻击威胁的文件数量,使得在最坏的情况下,恶意程序可能造成的损失也是有限的。
Description
技术领域
本发明涉及计算机,特别涉及一种基于工作目录的恶意程序防御方法及装置。
背景技术
目前,随着计算机应用的普及,恶意程序层出不穷,给用户带来巨大的安全隐患。恶意程序的一个重要攻击形式是文件攻击,即窃取、修改或删除文件。
当前,防御恶意程序文件攻击的主要方法是安装杀毒软件、防火墙软件等。然而,这类方法存在一个重要缺陷:如果一个恶意程序未被成功识别,则该恶意程序通常能够攻击用户的所有文件;如果该恶意程序获得了系统管理员权限,则攻击范围是整个文件系统。
既然恶意程序在一定程度上无法避免,为了增强系统的安全性,就需要有一种技术手段来缩小恶意程序的攻击范围,减少受攻击威胁的文件数量。
发明内容
为了解决上述问题,本发明提供一种基于工作目录的恶意程序防御方法及装置,能够缩小恶意程序的攻击范围,从而减少受攻击威胁的文件数量,使得在最坏的情况下,恶意程序可能造成的损失也是有限的。
本发明的基于工作目录的恶意程序防御方法,具体地,包括下列步骤:
A、将需要保护的所有文件存储在一个或多个逻辑磁盘上,并将这些逻辑磁盘设置为保护区;如果一个逻辑磁盘上不再保存需要保护的文件,可以从保护区中取消该磁盘。例如,计算机系统有三个逻辑磁盘C:、D:、E:,并且E:盘存放受保护的文件,则将E:盘设置为保护区。
B、用户操作计算机时,如果需要处理某文件(目录),则将该文件(目录)所在目录设置为工作目录。根据需要,用户可以设置一个或多个工作目录。
C、用户操作计算机时,如果某工作目录下没有文件(目录)需要处理了,则取消该工作目录。
D、监控针对保护区的所有文件(目录)访问请求,对于任意程序P的文件(目录)访问请求:
1)如果P请求读目录信息、文件属性信息(不包括文件内容),则允许执行。
2)如果P请求读写工作目录下的文件内容,则允许执行。
3)如果P请求在工作目录下创建(删除、重命名)文件(目录),则允许执行。
4)其他情况(访问非工作目录下的受保护文件的访问请求等),则拒绝之,并提示用户某个程序P试图非法访问文件或目录。
上述步骤A中,受保护文件应分目录存储,一般不直接存储在根目录下。若将某文件f直接存储在根目录下,根据步骤B,处理f时就需要将磁盘分区设置为工作目录。举例说明:文件f的路径是“D:\f”,如果要处理f,就需要将“D:”设置为工作目录。
上述步骤B中,工作目录原则上应该是待处理文件(目录)的直接上级目录。举例说明:文件f的路径是“D:\dir1\dir2\dir3\f”,那么,dir3是f的直接上级目录,dir1、dir2则是更高层的上级目录。
上述步骤B中,待处理文件(目录)可以是已有或新创建的。举例说明:需要在目录“D:\dir1\dir2\”下创建一个新文件f,那么,dir2应设置为工作目录。
上述步骤C中,所述“某工作目录下没有文件(目录)需要处理了”是指用户认为在短时间内(例如半个小时),不再需要处理某工作目录下的文件(目录)。如果再次需要处理某目录下的文件(目录),则根据步骤B,将该目录设置为工作目录即可。
本发明的基于工作目录的恶意程序防御装置,包括:工作目录管理单元和文件访问监控单元,其中,工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
其中,工作目录管理单元和文件访问监控单元,其中,工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
其中,工作目录管理单元与文件访问监控单元之间交换的数据是加密的。
其中,所述文件管理功能,包括文件或目录的复制、粘贴、重命名、删除。
其中,工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能,具体包括:
设置、取消保护区,并将保护区更新信息发送给文件访问监控模块;
设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;
将这些文件管理操作信息发送给文件访问监控模块;
接收来自文件访问监控单元的报警信息,并显示给用户;
加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。
本发明的有益效果是:依照本发明的基于工作目录的恶意程序防御方法及装置,如果当前运行程序中有恶意程序,那么它只能够攻击工作目录下的受保护文件,相对于全体受保护文件,工作目录下的文件通常是一个很小的集合,从而大大缩小了恶意程序的攻击范围;另外,对非工作目录下的受保护文件的访问请求,均会被拒绝。因此,本发明方法对已知和未知的恶意程序均有防御作用。
附图说明
图1为本发明的基于工作目录的恶意程序防御方法的原理图。
具体实施方式
以下,参考附图详细描述本发明的基于工作目录的恶意程序防御方法及装置。
下面以在Microsoft Windows XP以及Windows 7操作系统上的一种具体实施方式为例来描述本发明。
图1是本发明的基于工作目录的恶意程序防御方法的原理图。工作目录管理单元负责创建、取消保护区和工作目录,以及实现通常的文件管理功能。文件访问监控模块负责接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。工作目录管理单元、文件访问监控单元之间交换的数据是加密的。
参见图1,工作目录管理单元是一个窗口应用程序,其功能是:
A、设置、取消保护区,并将保护区更新信息发送给文件访问监控模块;
B、设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;
C、文件管理功能,包括文件(目录)的复制、粘贴、重命名、删除等通常的文件(目录)管理操作。并将这些文件管理操作信息发送给文件访问监控模块;
D、接收来自文件访问监控单元的报警信息,并显示给用户;
E、加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。
参见图1,文件访问监控模块是一个文件驱动过滤程序,其功能是:
A、接收来自工作目录管理程序关于保护区、工作目录的设置和取消信息,并保存。
B、监控所有的文件(目录)访问请求,如果访问请求针对非保护区内的文件(目录),则允许执行;如果访问请求针对保护区内的文件(目录),按以下规则处理:
1)如果访问请求是读目录信息、文件属性信息(不包括文件内容),则允许执行。否则,转2)。
2)如果访问请求是工作目录管理程序发出的,则允许执行。否则,转3)。
3)如果访问请求针对工作目录,即读写工作目录下的文件内容,或者在工作目录下创建(删除、重命名)文件、目录,则允许执行。否则,转4)。
4)其他情况,则拒绝执行访问请求,并向工作目录管理程序发送报警信息。工作目录管理程序接收到报警信息后,将详细的信息(如发出攻击的进程的名称、试图攻击的文件或目录名称和路径)报告给用户。
C、加密待发送给工作目录管理程序的信息,解密来自工作目录管理程序的信息。
综上所述,依照本发明的基于工作目录的恶意程序防御方法及装置,具体如下优点:
1)本发明方法中,如果当前运行程序中有恶意程序,那么它只能够攻击工作目录下的受保护文件。相对于全体受保护文件,工作目录下的文件通常是一个很小的集合,从而大大缩小了恶意程序的攻击范围。
2)本发明方法中,对非工作目录下的受保护文件的访问请求,均会被拒绝。因此,本发明方法对已知和未知的恶意程序均有防御作用。
以上是为了使本领域普通技术人员理解本发明,而对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
Claims (10)
1.一种基于工作目录的恶意程序防御方法,其特征在于,包括:
工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能;
文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
2.如权利要求1所述的基于工作目录的恶意程序防御方法,其特征在于,工作目录管理单元与文件访问监控单元之间交换的数据是加密的。
3.如权利要求2所述的基于工作目录的恶意程序防御方法,其特征在于,所述文件管理功能,包括文件或目录的复制、粘贴、重命名、删除。
4.如权利要求3所述的基于工作目录的恶意程序防御方法,其特征在于,工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能,具体包括:
设置、取消保护区,并将保护区更新信息发送给文件访问监控模块;
设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;
将这些文件管理操作信息发送给文件访问监控模块;
接收来自文件访问监控单元的报警信息,并显示给用户;
加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。
5.如权利要求4所述的基于工作目录的恶意程序防御方法,其特征在于,文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求,具体包括:
A、接收来自工作目录管理单元关于保护区、工作目录的设置和取消信息,并保存;
B、监控所有的文件或目录访问请求,如果访问请求针对非保护区内的文件或目录,则允许执行;
C、加密待发送给工作目录管理程序的信息,解密来自工作目录管理程序的信息。
6.如权利要求5所述的基于工作目录的恶意程序防御方法,其特征在于,在所述步骤B中,如果访问请求针对保护区内的文件或目录,按以下规则处理:
B1:如果访问请求是读目录信息、文件属性信息,而不包括文件内容,则允许执行;否则,执行B2;
B2:如果访问请求是工作目录管理程序发出的,则允许执行;否则,执行B3;
B3:如果访问请求针对工作目录,即读写工作目录下的文件内容,或者在工作目录下创建或删除或重命名文件、目录,则允许执行;否则,执行B4;
B4:拒绝执行访问请求,并向工作目录管理程序发送报警信息;工作目录管理程序接收到报警信息后,报告给用户。
7.一种基于工作目录的恶意程序防御装置,其特征在于,包括:工作目录管理单元和文件访问监控单元,其中,
工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能;
文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
8.如权利要求7所述的基于工作目录的恶意程序防御装置,其特征在于,工作目录管理单元与文件访问监控单元之间交换的数据是加密的。
9.如权利要求8所述的基于工作目录的恶意程序防御装置,其特征在于,所述文件管理功能,包括文件或目录的复制、粘贴、重命名、删除。
10.如权利要求9所述的基于工作目录的恶意程序防御装置,其特征在于,工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能,具体包括:
设置、取消保护区,并将保护区更新信息发送给文件访问监控模块;
设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;
将这些文件管理操作信息发送给文件访问监控模块;
接收来自文件访问监控单元的报警信息,并显示给用户;
加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012101854467A CN102750492A (zh) | 2012-06-07 | 2012-06-07 | 一种基于工作目录的恶意程序防御方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012101854467A CN102750492A (zh) | 2012-06-07 | 2012-06-07 | 一种基于工作目录的恶意程序防御方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102750492A true CN102750492A (zh) | 2012-10-24 |
Family
ID=47030665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012101854467A Pending CN102750492A (zh) | 2012-06-07 | 2012-06-07 | 一种基于工作目录的恶意程序防御方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102750492A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108985013A (zh) * | 2017-05-31 | 2018-12-11 | 武汉斗鱼网络科技有限公司 | 检测swf文件被第三方应用程序使用的方法、装置、客户端及服务端 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020165825A1 (en) * | 2000-06-02 | 2002-11-07 | Hideki Matsushima | Recording medium, license management apparatus, and recording and playback apparatus |
CN101131725A (zh) * | 2007-05-16 | 2008-02-27 | 何鸿君 | 一种文件访问控制方法 |
CN101350049A (zh) * | 2007-07-16 | 2009-01-21 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置及网络设备 |
CN101414327A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 文件保护的方法 |
-
2012
- 2012-06-07 CN CN2012101854467A patent/CN102750492A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020165825A1 (en) * | 2000-06-02 | 2002-11-07 | Hideki Matsushima | Recording medium, license management apparatus, and recording and playback apparatus |
CN101131725A (zh) * | 2007-05-16 | 2008-02-27 | 何鸿君 | 一种文件访问控制方法 |
CN101350049A (zh) * | 2007-07-16 | 2009-01-21 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置及网络设备 |
CN101414327A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 文件保护的方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108985013A (zh) * | 2017-05-31 | 2018-12-11 | 武汉斗鱼网络科技有限公司 | 检测swf文件被第三方应用程序使用的方法、装置、客户端及服务端 |
CN108985013B (zh) * | 2017-05-31 | 2021-01-01 | 武汉斗鱼网络科技有限公司 | 检测swf文件被第三方应用程序使用的方法、装置、客户端及服务端 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9888032B2 (en) | Method and system for mitigating the effects of ransomware | |
US11347843B2 (en) | Asset-based security systems and methods | |
CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
CN104662517A (zh) | 安全漏洞检测技术 | |
ChengYan | Cybercrime forensic system in cloud computing | |
US9405904B1 (en) | Systems and methods for providing security for synchronized files | |
US10230757B2 (en) | Method and system for handling malware | |
CN101923678A (zh) | 一种企业管理软件的数据安全保护方法 | |
US20100154061A1 (en) | System and method for identifying malicious activities through non-logged-in host usage | |
CA2915068A1 (en) | Systems and methods for directing application updates | |
CN101763225A (zh) | 一种保护虚拟磁盘文件的系统及方法 | |
Jouini et al. | Surveying and analyzing security problems in cloud computing environments | |
Chittooparambil et al. | A review of ransomware families and detection methods | |
US9160757B1 (en) | Systems and methods for detecting suspicious attempts to access data based on organizational relationships | |
Green | Ransomware and the GDPR | |
CN106682504B (zh) | 一种防止文件被恶意编辑的方法、装置及电子设备 | |
US10169584B1 (en) | Systems and methods for identifying non-malicious files on computing devices within organizations | |
US9811659B1 (en) | Systems and methods for time-shifted detection of security threats | |
US9069964B2 (en) | Identification of malicious activities through non-logged-in host usage | |
CN102750492A (zh) | 一种基于工作目录的恶意程序防御方法及装置 | |
CN103051608B (zh) | 一种可移动设备接入监控的方法和装置 | |
Jiang | Computer security vulnerabilities and preventive measures | |
CN112651023A (zh) | 一种用于检测和阻止恶意勒索软件攻击的方法 | |
Kiru et al. | Ransomware Evolution: Solving Ransomware Attack Challenges | |
CN113407984A (zh) | 一种为数据库提供安全防护的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121024 |