CN102867148A - 一种电子设备的安全防护方法及装置 - Google Patents
一种电子设备的安全防护方法及装置 Download PDFInfo
- Publication number
- CN102867148A CN102867148A CN2011101916736A CN201110191673A CN102867148A CN 102867148 A CN102867148 A CN 102867148A CN 2011101916736 A CN2011101916736 A CN 2011101916736A CN 201110191673 A CN201110191673 A CN 201110191673A CN 102867148 A CN102867148 A CN 102867148A
- Authority
- CN
- China
- Prior art keywords
- file
- storage unit
- judged result
- enters
- pending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明的目的在于提供一种电子设备的安全防护方法及装置,所述电子设备包括存储单元,所述安全防护方法包括:截获正在保存到所述电子设备的存储单元中的待处理文件;判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果;在所述判断结果为是时,利用安全防护引擎对所述待处理文件进行安全扫描,并在所述待处理文件通过所述安全防护引擎的扫描时,保存所述待处理文件到所述存储单元。本发明降低了安全防护带来的系统性能下降。
Description
技术领域
本发明属于安全技术领域,特别涉及一种电子设备的安全防护方法及装置。
背景技术
随着互联网和计算机技术的普及,涌现出越来越多的影响电子设备安全的恶意因素,如各类恶意软件、病毒以及木马。
目前很多影响电子设备安全的因素都是以活动的应用程序的方式体现,如木马、可执行程序传染的病毒(其寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染)以及恶意软件,而一经运行,该影响电子设备安全的因素就驻留在电脑系统的内存中,因此现有的计算机安全防护方法通过查看系统进程可发现可疑进程,并以此来推断影响电子设备安全的因素的存在。
然而发明人在实现本发明实施例的过程中发现,现有技术至少存在如下缺点:
恶意因素一旦运行起来后,其行为的变种极其频繁,随着技术的不断更新,恶意因素的行为特征几乎天天都在变化,因此现有技术的通过监控进程的防御方式需要不断扩充监控点来达到完整防御的目的。而监控点的增加,使得安全模块在执行安全防护功能的同时会大量占用系统有限的资源,影响系统性能。
发明内容
本发明实施例的目的在于提供一种电子设备的安全防护方法及装置,降低安全防护带来的系统性能下降。
为了实现上述目的,本发明实施例提供了一种电子设备的安全防护方法,电子设备包括存储单元,安全防护方法包括:
截获正在保存到电子设备的存储单元中的待处理文件;
判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果;
在判断结果为是时,利用安全防护引擎对待处理文件进行安全扫描,并在待处理文件通过安全防护引擎的扫描时,保存待处理文件到存储单元。
上述的安全防护方法,其中,截获正在保存到电子设备的存储单元中的待处理文件具体包括:
监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;
在第一监控结果指示第一对象被调用时,截获第一对象的操作的待处理文件。
上述的安全防护方法,其中,截获正在保存到电子设备的存储单元中的待处理文件具体包括:
监控保存于存储单元的文件夹的文件变化情况,获取第二监控结果;
在第二监控结果指示文件夹中的文件发生变化时,根据第二监控结果截获待处理文件。
上述的安全防护方法,其中,操作系统中运行有存储单元的驱动程序,截获正在保存到电子设备的存储单元中的待处理文件具体包括:
监控驱动程序执行的IO操作,获取第三监控结果;
在第二监控结果指示驱动程序执行IO写操作时,根据第三监控结果截获IO写操作对应的待处理文件。
上述的安全防护方法,其中,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括:
确定请求调用第一对象的应用程序;第一对象为用于保存文件到存储单元的对象;
判断应用程序是否能够从电子设备外部获取文件;
在应用程序能够从电子设备外部获取文件,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
上述的安全防护方法,其中,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括:
获取待处理文件的第一文件特征;
判断第一文件特征是否与第二文件特征相同;第二文件特征为通过网络层或外设接口进入的文件的文件特征;
在第一文件特征与第二文件特征相同时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
上述的安全防护方法,其中,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括:
获取待处理文件的源文件路径;
判断源文件路径是否与存储单元相关;
在源文件路径与存储单元不相关时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
上述的安全防护方法,其中,利用安全防护引擎对待处理文件进行安全扫描具体包括:
利用保存于存储单元中的本地安全防护引擎对待处理文件进行安全扫描;和/或
利用保存于云服务器端的云安全防护引擎对待处理文件进行安全扫描。
为了实现上述目的,本发明实施例提供了一种电子设备的安全防护装置,电子设备包括存储单元,安全防护装置包括:
截获模块,用于截获正在保存到电子设备的存储单元中的待处理文件;
判断模块,用于判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果;
扫描处理模块,用于在判断结果为是时,利用安全防护引擎对待处理文件进行安全扫描,并在待处理文件通过安全防护引擎的扫描时,保存待处理文件到存储单元。
上述的安全防护装置,其中,截获模块具体包括:
第一监控单元,用于监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;
第一截获单元,用于在第一监控结果指示第一对象被调用时,截获第一对象的操作的待处理文件。
上述的安全防护装置,其中,截获模块具体包括:
第二监控单元,用于监控保存于存储单元的文件夹的文件变化情况,获取第二监控结果;
第二截获单元,用于在第二监控结果指示文件夹中的文件发生变化时,根据第二监控结果截获待处理文件。
上述的安全防护装置,其中,截获模块具体包括:
第三监控单元,用于监控驱动程序执行的IO操作,获取第三监控结果;
第三截获单元,用于在第二监控结果指示驱动程序执行IO写操作时,根据第三监控结果截获IO写操作对应的待处理文件。
上述的安全防护装置,其中,判断模块具体包括:
确定单元,用于确定请求调用第一对象的应用程序;第一对象为用于保存文件到存储单元的对象;
应用程序判断单元,用于判断应用程序是否能够从电子设备外部获取文件;
第一判断结果获取单元,用于在应用程序能够从电子设备外部获取文件,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
上述的安全防护装置,其中,判断模块具体包括:
文件特征获取单元,用于获取待处理文件的第一文件特征;
文件特征判断单元,用于判断第一文件特征是否与第二文件特征相同;第二文件特征为通过网络层或外设接口进入的文件的文件特征;
第二判断结果获取单元,用于在第一文件特征与第二文件特征相同时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
上述的安全防护装置,其中,判断模块具体包括:
文件路径获取单元,用于获取待处理文件的源文件路径;
文件路径判断单元,用于判断源文件路径是否与存储单元相关;
第二判断结果获取单元,用于在源文件路径与存储单元不相关时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
上述的安全防护装置,其中,安全防护引擎为保存于存储单元中的本地安全防护引擎和/或保存于云服务器端的云安全防护引擎。
本发明实施例具有以下有益效果:
在本发明的具体实施例中,截获通过入口点进入电子设备的文件,并进行扫描,由于系统入口点进入文件的机会是很少的,在通过上述方式隔离恶意因素的进入后,就不用时时监控系统中的各类程序的运行,而只有当外部有文件进入到系统时才会触发安全防护方法,能够大大降低安全防护带来的系统性能下降。
同时,不管病毒、木马、恶意程序等恶意因素如何变化更新,从进入系统的方式而言,其都是以文件形式存在,而其进入的方式基本不会发生变化,不外乎通过USB接口、网卡等方式进入,因此,本发明实施例的方法和装置不用通过大量增加拦截点来和恶意因素进行对抗,其对系统性能的影响不会随着恶意因素的增多和变化而变大。
附图说明
图1所示为本发明实施例的电子设备的安全防护方法的流程示意图;
图2所示为本发明实施例的电子设备的安全防护装置的结构示意图;
图3所示为本发明实施例的电子设备的安全防护装置的应用场景的示意图;
图4所示为本发明实施例中一种具体截获文件的简要流程示意图。
具体实施方式
本发明实施例的电子设备的安全防护方法及装置中,在系统保存文件到存储单元时,在该文件来自系统外部时,利用安全防护引擎对其进行扫描,以降低安全防护带来的系统性能下降。
如图1所示,本发明实施例的电子设备的安全防护方法包括:
步骤11,获取一个正在保存到电子设备的存储单元中的待处理文件;
步骤12,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果;
步骤13,在判断结果指示待处理文件是通过入口点进入的文件时(也就是判断结果为是),利用安全防护引擎对待处理文件进行安全扫描,并在待处理文件通过安全防护引擎的扫描时,保存待处理文件到存储单元。
在本发明的具体实施例中,该入口点是电子设备与外部的接口,即能够从外部获取数据到电子设备的接口。
恶意因素一旦运行起来后,其行为的变种极其频繁,随着技术的不断更新,恶意因素的行为特征几乎天天都在变化,因此现有技术的通过监控进程的防御方式需要不断扩充监控点来达到完整防御的目的。而监控点的增加,使得安全模块在执行安全防护功能的同时会大量占用系统有限的资源,影响系统性能。
目前绝大部分的病毒、恶意程序、木马等都以文件形式存在,而在电子设备当前是一个干净的系统(没有受到恶意因素的影响)的情况,这些恶意因素要想感染本电子设备只能通过与电子设备建立有线或无线连接(如通过USB接口连接、通过有线网卡连接、通过无线网卡连接、通过蓝牙接口连接等)后,将该以文件方式存在的恶意因素发送到该电子设备。
在本发明的具体实施例中,就是截获通过这一类途径进入的文件,并进行扫描,而从以上的描述可以发现,系统入口点进入文件的机会是很少的,在通过上述方式隔离恶意因素的进入后,就不用时时监控系统中的各类程序的运行,而只有当外部有文件进入到系统时才会触发安全防护方法,能够大大降低安全防护带来的系统性能下降。
同时,不管病毒、木马、恶意程序等恶意因素如何变化更新,从进入系统的方式而言,其都是以文件形式存在,而其进入的方式基本不会发生变化,不外乎如前的通过USB接口、网卡等方式进入,因此,本发明实施例的方法和装置不用通过大量增加拦截点来和恶意因素进行对抗,其对系统性能的影响不会随着恶意因素的增多和变化而变大。
在本发明的具体实施例中,需要对进入的文件进行判断,并基于判断结果进行扫描,因此,截获正在保存到电子设备的存储单元中的待处理文件是本发明实施例的一个关键步骤,下面对其实现方式进行详细描述。
<实现方式一>
应用程序需要保存文件到电子设备的存储单元中时,会调用一些对象(如函数或者是接口)来进行文件的保存操作。
基于上述的描述,在实现方式一中,通过监控具有保存文件到存储单元的功能的对象的调用情况来截获待处理文件,这种方式下,截获正在保存到电子设备的存储单元中的待处理文件具体包括:
监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;
在第一监控结果指示第一对象被调用时,截获第一对象的操作的待处理文件。
在本发明的具体实施例中,该对象可能是文件操作函数,也可能是内部接口。
以Windows操作系统为例,对于监控这一类函数或接口的调用方法,说明如下。
在本发明的具体实施例中,可以通过设置一监控模块,该监控模块可以监控Window的消息或特定事件(即上述的用于保存文件到存储单元的第一对象的调用消息),当调用用于保存文件到存储单元的第一对象的消息发出之后,在没有到达目的对象(如调用第一对象的应用程序)前,监控模块就会先捕获该消息,来获得控制权,进行后续处理,即获取该消息对应的待处理文件,然后对待处理文件的来源进行判断。
在上述的实施例中,需要监控模块捕获该消息的控制权,其可以通过函数跳转方式实现控制权的转移。
当然,应当理解的是,对于不同的操作系统,该函数也不同,但每个操作系统都已经有或者可以产生类似的函数来实现上述的文件保存监控功能,在此不一一列举。
<实现方式二>
在实现方式一中,通过监控系统特定的几个进程来截获保存中的文件,而任何文件的保存都需要改变一个文件夹,即文件保存会导致文件夹的文件变化,因此可以通过监控文件夹的文件变化情况来实现截获,
这种方式下,截获正在保存到电子设备的存储单元中的待处理文件具体包括:
监控保存于存储单元的文件夹的文件变化情况,获取第二监控结果;
在第二监控结果指示文件夹中的文件发生变化时,根据第二监控结果截获待处理文件。
以Windows操作系统为例举例说明如下。
在Windows操作系统中,有一个函数FindFirstChangeNotification,其能够创建一个文件通知对象,该对象用于监视文件系统中的文件夹发生的变化,且能够制定监视的文件夹。
通过该函数即可监控文件夹的文件变化情况,当文件夹中的文件发生修改或新增时,即表示有外部程序在执行写文件操作,此时即可根据监控结果进一步截获该写入中的文件。
当然,应当理解的是,对于不同的操作系统,该函数也不同,但每个操作系统都已经有或者可以产生类似的函数来实现上述的文件夹文件变化监控功能,在此不一一列举。
<实现方式三>
因为任何文件的改变最后都会反映到存储单元上,本发明实施例的方法也可以通过监控磁盘驱动程序的I/O操作来截获文件。
这种实现方式下,操作系统中运行有存储单元的驱动程序,截获正在保存到电子设备的存储单元中的待处理文件具体包括:
监控驱动程序执行的IO操作,获取第三监控结果;
在第二监控结果指示驱动程序执行IO写操作时,根据第三监控结果截获IO写操作对应的待处理文件。
通过上述的各种方式可以截获到正在保存到电子设备的存储单元中的待处理文件,但本发明的具体实施例中,在截获该待处理文件之后,需要对其来源进行判断,并根据判断结果进行后续的扫描处理,在本发明的具体实施例中,也可以通过多种方式来进行来源判断,分别说明如下。
<实现方式一>
在之前提到,应用程序需要保存文件到电子设备的存储单元中时,会调用一些对象(如函数或者是接口)来进行文件的保存操作,因此可以通过监控第一对象的调用情况来获取待处理文件。
而同时,这些函数的调用都是基于应用程序的请求,因此,在方式一中可以通过获取请求调用这些函数的应用程序来判断文件来源。
大家知道,对于与外界交互而言,应用程序可以分为两类,一类具备与电子设备外部交互的能力,即能够从电子设备外部获取文件,这一类应用程序如邮件客户端、IE、即时聊天软件、操作系统Explore程序(其可以复制外部USB硬盘的文件到本地)等,而另一类应用程序不具备与电子设备外部交互的能力,无法从电子设备外部获取文件,如本地安装的单机版游戏程序、写字板程序等。
此时,当调用上述函数的应用程序是属于第一类应用程序时,即可判断待处理文件是通过入口点进入的文件,否则不是通过入口点进入的文件。
这种方式下,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括:
确定请求调用第一对象的应用程序;
判断应用程序是否能够从电子设备外部获取文件;
在应用程序能够从电子设备外部获取文件,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
这种方式下,考虑到第一类应用程序的数量有限,此时可以生成一个列表,记录有电子设备中安装的所有应用程序中能够从电子设备外部获取文件的应用程序,然后将调用第一对象的应用程序与列表匹配,如果存在于列表中,则表示应用程序能够从电子设备外部获取文件,也就是待处理文件是通过入口点进入的文件,否则表示应用程序无法从电子设备外部获取文件,也就是待处理文件不是通过入口点进入的文件。
<实现方式二>
实现方式一中,是通过应用程序来判断,而在实现方式二中,是通过文件特征来判断。
这种方式下,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括:
获取待处理文件的第一文件特征;
判断第一文件特征是否与第二文件特征相同;第二文件特征为通过网络层或外设接口进入的文件的文件特征;
在第一文件特征与第二文件特征相同时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
举例说明如下。
之前已经提到,外部文件进入电子设备能够通过网络接口以及外设接口进入,这种情况下,如果在文件通过网络层或外设接口进入时就提取其中的文件特征(如MD5码),而在截获待处理文件之后获取待处理文件的文件特征,如果第一文件特征与第二文件特征相同,就可以知道当前保存中的文件是之前通过网络层或外设接口进入的文件,则可以判断出待处理文件是通过入口点进入的文件,否则可以判断出待处理文件不是通过入口点进入的文件。
<实现方式三>
在实现方式三中,根据源文件路径来判断。
在之前提到,应用程序需要保存文件到电子设备的存储单元中时,会调用一些对象(如函数或者是接口)来进行文件的保存操作,而这些函数会得到文件的源文件路径,即文件来自于哪里,如从USB移动硬盘拷贝过来的文件,源文件路径对应的盘符属于移动硬盘的盘符,而如果是来源于网络,则网络路径会访问过对应的文件名的URL,比如网络曾访问过http://11.22.33.44/dubasetup.exe,则新产生的dubasetup.exe的源文件路径为http://11.22.33.44/dubasetup.exe,而这些路径都与电子设备自身的存储单元无关。
通过上述的方式即可判断文件的来源,这种方式下,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括:
获取待处理文件的源文件路径;
判断源文件路径是否与存储单元相关;
在源文件路径与存储单元不相关时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
当然,本发明实施例的截获和判断的各种方式之间可以相互组合,不同方式之间并没有必然的联系。
在本发明的具体实施例中,在确定待处理文件是通过入口点进入的文件时,则需要利用安全防护引擎对待处理文件进行安全扫描,并在待处理文件通过安全防护引擎的扫描时,才保存待处理文件到存储单元。
上述的安全防护引擎可以是安装于电子设备存储单元中的本地安全防护引擎,也可以是保存于云服务器端的云安全防护引擎,当然也可以二者结合起来使用,只有在同时通过两个安全防护引擎的扫描时才保存待处理文件到存储单元。
二者对文件的扫描处理并没有实质区别,在此不作详细描述。
本发明实施例的电子设备的安全防护装置中,电子设备包括一存储单元,如图2所示,安全防护装置包括:
截获模块,用于截获正在保存到电子设备的存储单元中的待处理文件;
判断模块,用于判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果;
扫描处理模块,用于在判断结果指示待处理文件是通过入口点进入的文件时,利用安全防护引擎对待处理文件进行安全扫描,并在待处理文件通过安全防护引擎的扫描时,保存待处理文件到存储单元。
上述的安全防护装置,截获模块具体包括:
第一监控单元,用于监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;
第一截获单元,用于在第一监控结果指示第一对象被调用时,截获第一对象的操作的待处理文件。
而判断模块具体包括:
确定单元,用于确定请求调用第一对象的应用程序;
应用程序判断单元,用于判断应用程序是否能够从电子设备外部获取文件;
第一判断结果获取单元,用于在应用程序能够从电子设备外部获取文件,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
截获模块还可以通过监控文件夹变化情况来实现文件截获,具体包括:
第二监控单元,用于监控保存于存储单元的文件夹的文件变化情况,获取第二监控结果;
第二截获单元,用于在第二监控结果指示文件夹中的文件发生变化时,根据第二监控结果截获待处理文件。
截获模块还可以通过监控驱动程序执行的IO操作来实现文件截获,截获模块具体包括:
第三监控单元,用于监控驱动程序执行的IO操作,获取第三监控结果;
第三截获单元,用于在第二监控结果指示驱动程序执行IO写操作时,根据第三监控结果截获IO写操作对应的待处理文件。
判断模块还可以通过文件特征来判断文件来源,具体包括:
文件特征获取单元,用于获取待处理文件的第一文件特征;
文件特征判断单元,用于判断第一文件特征是否与第二文件特征相同;第二文件特征为通过网络层或外设接口进入的文件的文件特征;
第二判断结果获取单元,用于在第一文件特征与第二文件特征相同时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
判断模块还可以通过文件的源文件路径来判断文件来源,具体包括:
文件路径获取单元,用于获取待处理文件的源文件路径;
文件路径判断单元,用于判断源文件路径是否与存储单元相关;
第二判断结果获取单元,用于在源文件路径与存储单元不相关时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。
安全防护引擎为保存于存储单元中的本地安全防护引擎和/或保存于云服务器端的云安全防护引擎。
本发明具体实施例的方法和装置中,对计算机的信息入口点进行防御。因为病毒和木马进入计算机的渠道是有限的,一般是通过计算机的信息入口(如网络,U盘等)进入系统,并且基本都是以文件的方式进行传递,所以本技术通过在入口点设防,可以完全抵御病毒、木马以及恶意程序等恶意因素对系统的侵袭。
以实际系统为例,如图3所示,本发明实施例的应用场景示意图,其中,当各类从入口点(IE、邮件客户端、即时聊天软件、外部存储设备)进入的文件进入到本发明实施例的安全防护装置(也可以称之为边界防御装置)时,边界防御装置就可采用各类针对文件的安全性扫描器对文件的安全性进行扫描,并抛弃非安全的文件,只允许安全文件进入到本地磁盘。
其中如图3所示,该边界防御装置从文件处理角度也可以分为两大模块,即:边界防御监控接收器和边界防御安全扫描器。之前提到边界防御监控接收器是一个监控外部文件进入系统的装置,该装置可以通过挂钩实现,当然也可以通过其他方式来实现。
如图4所示,当有外部文件希望进入本地磁盘时,会调用系统文件服务API,比如创建文件,移动文件等,此时就会通过挂钩技术时被截获以便进行相应的安全性检查工作。除了挂钩技术实现接收器,还可以通过异步监控事件来实现,挂钩是一个拦截下来检查的过程,而异步监控事件则是通过一些系统和软件的日志来找到进入系统的文件并检查把危险的内容删除。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种电子设备的安全防护方法,其特征在于,所述电子设备包括存储单元,所述安全防护方法包括:
截获正在保存到所述电子设备的存储单元中的待处理文件;
判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果;
在所述判断结果为是时,利用安全防护引擎对所述待处理文件进行安全扫描,并在所述待处理文件通过所述安全防护引擎的扫描时,保存所述待处理文件到所述存储单元。
2.根据权利要求1所述的安全防护方法,其特征在于,所述截获正在保存到所述电子设备的存储单元中的待处理文件具体包括:
监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;
在所述第一监控结果指示所述第一对象被调用时,截获所述第一对象的操作的所述待处理文件。
3.根据权利要求1所述的安全防护方法,其特征在于,所述截获正在保存到所述电子设备的存储单元中的待处理文件具体包括:
监控保存于所述存储单元的文件夹的文件变化情况,获取第二监控结果;
在所述第二监控结果指示所述文件夹中的文件发生变化时,根据第二监控结果截获所述待处理文件。
4.根据权利要求1所述的安全防护方法,其特征在于,操作系统中运行有所述存储单元的驱动程序,所述截获正在保存到所述电子设备的存储单元中的待处理文件具体包括:
监控所述驱动程序执行的IO操作,获取第三监控结果;
在所述第二监控结果指示所述驱动程序执行IO写操作时,根据第三监控结果截获所述IO写操作对应的所述待处理文件。
5.根据权利要求1-4中任意一项所述的安全防护方法,其特征在于,判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果具体包括:
确定请求调用所述第一对象的应用程序;所述第一对象为用于保存文件到存储单元的对象;
判断所述应用程序是否能够从所述电子设备外部获取文件;
在所述应用程序能够从所述电子设备外部获取文件,获取指示所述待处理文件是通过入口点进入的文件的判断结果,否则获取指示所述待处理文件不是通过入口点进入的文件的判断结果。
6.根据权利要求1-4中任意一项所述的安全防护方法,其特征在于,判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果具体包括:
获取所述待处理文件的第一文件特征;
判断所述第一文件特征是否与第二文件特征相同;所述第二文件特征为通过网络层或外设接口进入的文件的文件特征;
在所述第一文件特征与第二文件特征相同时,获取指示所述待处理文件是通过入口点进入的文件的判断结果,否则获取指示所述待处理文件不是通过入口点进入的文件的判断结果。
7.根据权利要求1-4中任意一项所述的安全防护方法,其特征在于,判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果具体包括:
获取所述待处理文件的源文件路径;
判断所述源文件路径是否与所述存储单元相关;
在所述源文件路径与所述存储单元不相关时,获取指示所述待处理文件是通过入口点进入的文件的判断结果,否则获取指示所述待处理文件不是通过入口点进入的文件的判断结果。
8.根据权利要求1所述的安全防护方法,其特征在于,利用安全防护引擎对所述待处理文件进行安全扫描具体包括:
利用保存于所述存储单元中的本地安全防护引擎对所述待处理文件进行安全扫描;和/或
利用保存于云服务器端的云安全防护引擎对所述待处理文件进行安全扫描。
9.一种电子设备的安全防护装置,其特征在于,所述电子设备包括存储单元,所述安全防护装置包括:
截获模块,用于截获正在保存到所述电子设备的存储单元中的待处理文件;
判断模块,用于判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果;
扫描处理模块,用于在所述判断结果为是时,利用安全防护引擎对所述待处理文件进行安全扫描,并在所述待处理文件通过所述安全防护引擎的扫描时,保存所述待处理文件到所述存储单元。
10.根据权利要求9所述的安全防护装置,其特征在于,所述截获模块具体包括:
第一监控单元,用于监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;
第一截获单元,用于在所述第一监控结果指示所述第一对象被调用时,截获所述第一对象的操作的所述待处理文件。
11.根据权利要求9所述的安全防护装置,其特征在于,所述截获模块具体包括:
第二监控单元,用于监控保存于所述存储单元的文件夹的文件变化情况,获取第二监控结果;
第二截获单元,用于在所述第二监控结果指示所述文件夹中的文件发生变化时,根据第二监控结果截获所述待处理文件。
12.根据权利要求9所述的安全防护装置,其特征在于,所述截获模块具体包括:
第三监控单元,用于监控所述驱动程序执行的IO操作,获取第三监控结果;
第三截获单元,用于在所述第二监控结果指示所述驱动程序执行IO写操作时,根据第三监控结果截获所述IO写操作对应的所述待处理文件。
13.根据权利要求9-12中任意一项所述的安全防护装置,其特征在于,所述判断模块具体包括:
确定单元,用于确定请求调用第一对象的应用程序;所述第一对象为用于保存文件到存储单元的对象;
应用程序判断单元,用于判断所述应用程序是否能够从所述电子设备外部获取文件;
第一判断结果获取单元,用于在所述应用程序能够从所述电子设备外部获取文件,获取指示所述待处理文件是通过入口点进入的文件的判断结果,否则获取指示所述待处理文件不是通过入口点进入的文件的判断结果。
14.根据权利要求9-12中任意一项所述的安全防护装置,其特征在于,所述判断模块具体包括:
文件特征获取单元,用于获取所述待处理文件的第一文件特征;
文件特征判断单元,用于判断所述第一文件特征是否与第二文件特征相同;所述第二文件特征为通过网络层或外设接口进入的文件的文件特征;
第二判断结果获取单元,用于在所述第一文件特征与第二文件特征相同时,获取指示所述待处理文件是通过入口点进入的文件的判断结果,否则获取指示所述待处理文件不是通过入口点进入的文件的判断结果。
15.根据权利要求9-12中任意一项所述的安全防护装置,其特征在于,所述判断模块具体包括:
文件路径获取单元,用于获取所述待处理文件的源文件路径;
文件路径判断单元,用于判断所述源文件路径是否与所述存储单元相关;
第二判断结果获取单元,用于在所述源文件路径与所述存储单元不相关时,获取指示所述待处理文件是通过入口点进入的文件的判断结果,否则获取指示所述待处理文件不是通过入口点进入的文件的判断结果。
16.根据权利要求9所述的安全防护装置,其特征在于,所述安全防护引擎为保存于所述存储单元中的本地安全防护引擎和/或保存于云服务器端的云安全防护引擎。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110191673.6A CN102867148B (zh) | 2011-07-08 | 2011-07-08 | 一种电子设备的安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110191673.6A CN102867148B (zh) | 2011-07-08 | 2011-07-08 | 一种电子设备的安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102867148A true CN102867148A (zh) | 2013-01-09 |
| CN102867148B CN102867148B (zh) | 2015-03-25 |
Family
ID=47446015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110191673.6A Active CN102867148B (zh) | 2011-07-08 | 2011-07-08 | 一种电子设备的安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102867148B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103136477A (zh) * | 2013-03-06 | 2013-06-05 | 北京奇虎科技有限公司 | 文件样本的扫描方法和系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773417A (zh) * | 2004-11-08 | 2006-05-17 | 微软公司 | 聚集反病毒软件应用程序的知识库的系统和方法 |
| EP1684151A1 (en) * | 2005-01-20 | 2006-07-26 | Grant Rothwell William | Computer protection against malware affection |
| CN1838137A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种对即插即用存储设备进行读写访问控制的方法 |
| CN101158999A (zh) * | 2007-11-20 | 2008-04-09 | 北京派瑞根科技开发有限公司 | 一种防止计算机病毒的方法和装置 |
| CN101430752A (zh) * | 2008-12-22 | 2009-05-13 | 哈尔滨工业大学 | 计算机与移动存储设备的敏感数据交换控制模块及方法 |
| CN101447007A (zh) * | 2008-10-31 | 2009-06-03 | 东莞市智盾电子技术有限公司 | 主动式数据安全存储设备的安全对外通讯方法 |
| CN101479709A (zh) * | 2006-06-30 | 2009-07-08 | 微软公司 | 在引导环境中标识恶意软件 |
| CN101714197A (zh) * | 2008-09-30 | 2010-05-26 | 英特尔公司 | 基于硬件的反病毒扫描服务 |
-
2011
- 2011-07-08 CN CN201110191673.6A patent/CN102867148B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773417A (zh) * | 2004-11-08 | 2006-05-17 | 微软公司 | 聚集反病毒软件应用程序的知识库的系统和方法 |
| EP1684151A1 (en) * | 2005-01-20 | 2006-07-26 | Grant Rothwell William | Computer protection against malware affection |
| CN1838137A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种对即插即用存储设备进行读写访问控制的方法 |
| CN101479709A (zh) * | 2006-06-30 | 2009-07-08 | 微软公司 | 在引导环境中标识恶意软件 |
| CN101158999A (zh) * | 2007-11-20 | 2008-04-09 | 北京派瑞根科技开发有限公司 | 一种防止计算机病毒的方法和装置 |
| CN101714197A (zh) * | 2008-09-30 | 2010-05-26 | 英特尔公司 | 基于硬件的反病毒扫描服务 |
| CN101447007A (zh) * | 2008-10-31 | 2009-06-03 | 东莞市智盾电子技术有限公司 | 主动式数据安全存储设备的安全对外通讯方法 |
| CN101430752A (zh) * | 2008-12-22 | 2009-05-13 | 哈尔滨工业大学 | 计算机与移动存储设备的敏感数据交换控制模块及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103136477A (zh) * | 2013-03-06 | 2013-06-05 | 北京奇虎科技有限公司 | 文件样本的扫描方法和系统 |
| CN103136477B (zh) * | 2013-03-06 | 2015-09-02 | 北京奇虎科技有限公司 | 文件样本的扫描方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102867148B (zh) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| RU2488880C1 (ru) | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз | |
| US8381303B2 (en) | System and method for attack and malware prevention | |
| US20190132355A1 (en) | Malicious script detection | |
| US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
| US9264441B2 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| CN103679026B (zh) | 一种云计算环境下的恶意程序智能防御系统及防御方法 | |
| CN102945348B (zh) | 文件信息收集方法与装置 | |
| CN101986324A (zh) | 用于恶意软件检测的事件的异步处理 | |
| CN102945349B (zh) | 未知文件处理方法与装置 | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN104850780A (zh) | 一种高级持续性威胁攻击的判别方法 | |
| KR101964148B1 (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
| CN107423622A (zh) | 一种检测和防范反弹shell的方法和系统 | |
| CN110602044A (zh) | 一种网络威胁分析方法和系统 | |
| CN100557545C (zh) | 一种区分有害程序行为的方法 | |
| CN110855649A (zh) | 一种检测服务器中异常进程的方法与装置 | |
| Liu et al. | A system call analysis method with mapreduce for malware detection | |
| JP3652661B2 (ja) | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム | |
| CN102867148B (zh) | 一种电子设备的安全防护方法及装置 | |
| US20180103044A1 (en) | Anti-malware client |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |