CN105389521B - 一种对计算机系统中文件进行安全保护的方法 - Google Patents
一种对计算机系统中文件进行安全保护的方法 Download PDFInfo
- Publication number
- CN105389521B CN105389521B CN201510956509.8A CN201510956509A CN105389521B CN 105389521 B CN105389521 B CN 105389521B CN 201510956509 A CN201510956509 A CN 201510956509A CN 105389521 B CN105389521 B CN 105389521B
- Authority
- CN
- China
- Prior art keywords
- computer system
- prevention
- write operation
- security
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种对计算机系统中文件进行安全保护的方法,该方法包括:a、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;b、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。采用该方法,只要提出对文件进行写操作要求的当前进程及其相关联的所有进程的行为中存在命中计算机系统预设的安全防御策略的危险行为,计算机的安全管理系统就会对当前进程的行为进行安全防御处理,安全保护级别更高。
Description
技术领域
本发明属于安全防御技术领域,尤其涉及一种对计算机系统中文件进行安全保护的方法。
背景技术
传统的杀毒软件,均针对进程原始文件判断黑白,当进程原始文件为白文件时,该进程所进行的其他行为也被认为是可信的行为,这些进程一旦被其他病毒体注入,且病毒体又是无毒的,只是注入的代码会执行释放病毒代码的动作,用户的文档最终还是会被病毒感染破坏,比如写入启动项,启动计划任务等都是通过多级跳转释放真正的病毒体,这些情况下,杀毒软件不会报毒,原因在于,该类病毒植入和操作的进程都是正常的白进程;或者进程的行为是单点的,杀毒软件每次只能对一次行为进行鉴定,鉴定的时候还是去判断宿主文件的黑白或者是否可信,最终还是放过了病毒。
所以,现有的关于对文件进行安全保护的技术中,由于不能完全确认对文件进行操作的当前进程是否会引入病毒,使得文件被病毒感染的概率非常高。
发明内容
有鉴于此,本发明的一个目的是提出一种对计算机系统中文件进行安全保护的方法,以解决现有的对文件进行安全保护的技术中,由于不能完全确认对文件操作的当前进程是否会引入病毒,导致文件被病毒感染的概率较高的问题。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
在一些可选的实施例中,该方法包括:a、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;b、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
进一步,步骤c具体包括:c1、若验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为,则再次检测被命中的安全防御策略的安全级别,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,c2、若验证后确定与当前进程相关联的所有进程执行的行为中不存在命中该计算机系统中预设的安全防御策略的危险行为,则允许当前进程对相应文件执行写操作。其中,安全防御策略的安全级别包括:危险级别、高危级别和相对安全级别。
进一步,步骤c1中,根据被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:若所述被命中的安全防御策略的安全级别为危险级别,则不允许当前进程对相应文件执行写操作;或,若所述被命中的安全防御策略的安全级别为高危级别,则首先将被要求执行写操作的文件进行备份,之后允许当前进程对该文件执行写操作,并在执行写操作后,若确认文件被病毒感染,则将被命中的安全防御策略存储至计算机系统中预设的危险级别的安全防御策略系统中,以便对计算机系统中预设的危险级别的安全防御策略系统进行更新;或,若所述被命中的安全防御策略的安全级别为相对安全级别,则允许当前进程对相应文件执行写操作。
进一步,在步骤c1中,验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为后,还包括:记录执行危险行为的相应进程的相关信息,并将执行危险行为的相应进程的相关信息储存至权限受限的进程文件夹中,以限制相应进程的执行权限。
在一些可选的实施例中,该方法在步骤b中,在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,在验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为前,还包括:判断被要求执行写操作的文件是否为计算机系统预设的目标保护文件;根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
进一步,根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:若被要求执行写操作的文件为计算机系统预设的目标保护文件,则对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,若被要求执行写操作的文件不是计算机系统预设的目标保护文件,则直接允许相应的当前进程对其进行写操作,不再对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
在一些可选的实施例中,该方法在步骤a之前,还包括:对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息。
进一步,对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息的过程具体包括:通过HOOK计算机系统内核的API函数,对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息。
与现有技术相比,本发明的有益效果为:
本发明提供一种对计算机系统中文件进行安全保护的方法,该方法中,只要计算机系统中任一进程提出要对该计算机系统中的文件执行写操作的要求,计算机的安全管理系统都会对与当前进程相关联的所有进程执行的行为进行检测,以确定当前进程及与其相关联的所有进程中,是否存在命中该计算机系统中预设的安全防御策略的危险行为,一旦存在命中的情况,就会分情况就当前进程对相应文件的写操作的行为进行安全防御处理,极大程度的降低了文件被病毒感染的概率,安全保护级别更高。
为了上述以及相关的目的,一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明某些示例性方面,并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显,所公开的实施例是要包括所有这些方面以及它们的等同。
附图说明
图1是本发明实施例的对计算机系统中文件进行安全保护的方法的流程示意图;
图2是本发明实施例的对计算机系统中文件进行安全保护的方法的流程示意图;
图3是本发明实施例的对计算机系统中文件进行安全保护的方法的流程示意图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,本发明的这些实施方案可以被单独地或总地用术语“发明”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为任何单个发明或发明构思。
现在结合附图进行说明,图1示出的是一些可选的实施例中对计算机系统中文件进行安全保护的方法的流程图;图2示出的是一些可选的实施例中对计算机系统中文件进行安全保护的方法的流程图;图3示出的是一些可选的实施例中对计算机系统中文件进行安全保护的方法的流程图。
如图1所示,在一些可选的实施例中,公开了一种对计算机系统中文件进行安全保护的方法,该方法包括:
a、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;
b、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;
其中,对于计算机系统中预设的安全防御策略,用户可以根据自己的需求将自己需要防御的一些策略作为安全防御策略预存至计算机系统中用于存储安全防御策略的系统中。
c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理,以便保护相应的文件。
进一步,步骤c具体包括:c1、若验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为,则再次检测被命中的安全防御策略的安全级别,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,c2、若验证后确定与当前进程相关联的所有进程执行的行为中不存在命中该计算机系统中预设的安全防御策略的危险行为,则允许当前进程对相应文件执行写操作。其中,安全防御策略的安全级别包括:危险级别、高危级别和相对安全级别,对于这些安全级别,用户都可以根据自己需要进行设定。
进一步,步骤c1中,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:若所述被命中的安全防御策略的安全级别为危险级别,则不允许当前进程对相应文件执行写操作;或,若所述被命中的安全防御策略的安全级别为高危级别,则首先将被要求执行写操作的文件进行备份,之后允许当前进程对该文件执行写操作,并在执行写操作后,若确认文件被病毒感染,则将被命中的安全防御策略存储至计算机系统中预设的危险级别的安全防御策略系统中,以便对计算机系统中预设的危险级别的安全防御策略系统进行更新,这样,当计算机系统中的某些进程再次命中该安全防御策略时,就可以直接确认该安全防御策略的级别为危险级别,之后就可以拒绝这些进程对相应文件的写操作,避免相应的文件感染病毒,极大的提高了计算机系统的安全级别;或,若所述被命中的安全防御策略的安全级别为相对安全级别,则允许当前进程对相应文件执行写操作。
进一步,在步骤c1中,验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为后,还包括:记录执行危险行为的相应进程的相关信息,并将执行危险行为的相应进程的相关信息储存至权限受限的进程文件夹中,以限制相应进程的执行权限,在具体实施时,用户可以根据自己的需要对权限受限的进程文件夹中的进程的执行权限进行分类设定,以方便对计算机系统中各进程的安全管理和及时的更新,以提高计算机中安全管理系统的安全保护级别。
该方法中,只要计算机系统中任一进程提出要对该计算机系统中的文件执行写操作的要求,计算机的安全管理系统都会对与当前进程相关联的所有进程执行的行为进行检测,以确定当前进程及与其相关联的所有进程中,是否存在命中该计算机系统中预设的安全防御策略的危险行为,一旦存在命中的情况,就会分情况就当前进程对相应文件的写操作的行为进行安全防御处理,极大程度的降低了文件被病毒感染的概率,安全保护级别更高。
如图2所示,在一些可选的实施例中,公开了一种对计算机系统中文件进行安全保护的方法,该方法包括:
a、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;
b1、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,判断被要求执行写操作的文件是否为计算机系统预设的目标保护文件;
其中,目标保护文件都是预存于计算机系统中的特定文件夹中,对于目标保护文件的设定,用户可以随意设定,将用户自己认为需要保护的文件保存至所述特定文件夹中即可,用户也可以随时对该特定文件夹进行更新。
b2、根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;该过程具体包括:若被要求执行写操作的文件为计算机系统预设的目标保护文件,则对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,若被要求执行写操作的文件不是计算机系统预设的目标保护文件,则直接允许相应的当前进程对其进行写操作,不再对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
b3、确定对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;
其中,对于计算机系统中预设的安全防御策略,用户可以根据自己的需求将自己需要防御的一些策略作为安全防御策略预存至计算机系统中用于存储安全防御策略的系统中。
c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理,以便保护相应的文件。
进一步,步骤c具体包括:c1、若验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为,则再次检测被命中的安全防御策略的安全级别,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,c2、若验证后确定与当前进程相关联的所有进程执行的行为中不存在命中该计算机系统中预设的安全防御策略的危险行为,则允许当前进程对相应文件执行写操作。其中,安全防御策略的安全级别包括:危险级别、高危级别和相对安全级别,对于这些安全级别,用户都可以根据自己需要进行设定。
进一步,步骤c1中,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:若所述被命中的安全防御策略的安全级别为危险级别,则不允许当前进程对相应文件执行写操作;或,若所述被命中的安全防御策略的安全级别为高危级别,则首先将被要求执行写操作的文件进行备份,之后允许当前进程对该文件执行写操作,并在执行写操作后,若确认文件被病毒感染,则将被命中的安全防御策略存储至计算机系统中预设的危险级别的安全防御策略系统中,以便对计算机系统中预设的危险级别的安全防御策略系统进行更新,这样,当计算机系统中的某些进程再次命中该安全防御策略时,就可以直接确认该安全防御策略的级别为危险级别,之后就可以拒绝这些进程对相应文件的写操作,避免相应的文件感染病毒,极大的提高了计算机系统的安全级别;或,若所述被命中的安全防御策略的安全级别为相对安全级别,则允许当前进程对相应文件执行写操作。
进一步,在步骤c1中,验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为后,还包括:记录执行危险行为的相应进程的相关信息,并将执行危险行为的相应进程的相关信息储存至权限受限的进程文件夹中,以限制相应进程的执行权限,在具体实施时,用户可以根据自己的需要对权限受限的进程文件夹中的进程的执行权限进行分类设定,以方便对计算机系统中各进程的安全管理和及时的更新,以提高计算机中安全管理系统的安全保护级别。
该方法中,只要计算机系统中任一进程提出要对该计算机系统中的文件执行写操作的要求,计算机的安全管理系统都会对与当前进程相关联的所有进程执行的行为进行检测,以确定当前进程及与其相关联的所有进程中,是否存在命中该计算机系统中预设的安全防御策略的危险行为,一旦存在命中的情况,就会分情况就当前进程对相应文件的写操作的行为进行安全防御处理,极大程度的降低了文件被病毒感染的概率,安全保护级别更高。
如图3所示,在一些可选的实施例中,公开了一种对计算机系统中文件进行安全保护的方法,该方法包括:
a1、对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息;
在具体实施时,可以通过HOOK计算机系统内核的API函数,对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息。
a2、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;
b1、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,判断被要求执行写操作的文件是否为计算机系统预设的目标保护文件;
其中,目标保护文件都是预存于计算机系统中的特定文件夹中,对于目标保护文件的设定,用户可以随意设定,将用户自己认为需要保护的文件保存至所述特定文件夹中即可,用户也可以随时对该特定文件夹进行更新。
b2、根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;该过程具体包括:若被要求执行写操作的文件为计算机系统预设的目标保护文件,则对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,若被要求执行写操作的文件不是计算机系统预设的目标保护文件,则直接允许相应的当前进程对其进行写操作,不再对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
b3、确定对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;
其中,对于计算机系统中预设的安全防御策略,用户可以根据自己的需求将自己需要防御的一些策略作为安全防御策略预存至计算机系统中用于存储安全防御策略的系统中。
c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理,以便保护相应的文件。
进一步,步骤c具体包括:c1、若验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为,则再次检测被命中的安全防御策略的安全级别,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,c2、若验证后确定与当前进程相关联的所有进程执行的行为中不存在命中该计算机系统中预设的安全防御策略的危险行为,则允许当前进程对相应文件执行写操作。其中,安全防御策略的安全级别包括:危险级别、高危级别和相对安全级别,对于这些安全级别,用户都可以根据自己需要进行设定。
进一步,步骤c1中,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:若所述被命中的安全防御策略的安全级别为危险级别,则不允许当前进程对相应文件执行写操作;或,若所述被命中的安全防御策略的安全级别为高危级别,则首先将被要求执行写操作的文件进行备份,之后允许当前进程对该文件执行写操作,并在执行写操作后,若确认文件被病毒感染,则将被命中的安全防御策略存储至计算机系统中预设的危险级别的安全防御策略系统中,以便对计算机系统中预设的危险级别的安全防御策略系统进行更新,这样,当计算机系统中的某些进程再次命中该安全防御策略时,就可以直接确认该安全防御策略的级别为危险级别,之后就可以拒绝这些进程对相应文件的写操作,避免相应的文件感染病毒,极大的提高了计算机系统的安全级别;或,若所述被命中的安全防御策略的安全级别为相对安全级别,则允许当前进程对相应文件执行写操作。
进一步,在步骤c1中,验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为后,还包括:记录执行危险行为的相应进程的相关信息,并将执行危险行为的相应进程的相关信息储存至权限受限的进程文件夹中,以限制相应进程的执行权限,在具体实施时,用户可以根据自己的需要对权限受限的进程文件夹中的进程的执行权限进行分类设定,以方便对计算机系统中各进程的安全管理和及时的更新,以提高计算机中安全管理系统的安全保护级别。
该方法中,只要计算机系统中任一进程提出要对该计算机系统中的文件执行写操作的要求,计算机的安全管理系统都会对与当前进程相关联的所有进程执行的行为进行检测,以确定当前进程及与其相关联的所有进程中,是否存在命中该计算机系统中预设的安全防御策略的危险行为,一旦存在命中的情况,就会分情况就当前进程对相应文件的写操作的行为进行安全防御处理,极大程度的降低了文件被病毒感染的概率,安全保护级别更高。
总之,以上所述仅为本发明的实施例,并非用于限定本发明的保护范围,而用于说明本发明。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种对计算机系统中文件进行安全保护的方法,其特征在于,包括:
a、检测计算机系统中是否有进程对所述计算机系统中的文件提出执行写操作的行为要求;
b、在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为;
c、根据所述验证的结果对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;
其中,所述步骤c具体包括:
c1、若验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为,则再次检测被命中的安全防御策略的安全级别,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,
c2、若验证后确定与当前进程相关联的所有进程执行的行为中不存在命中该计算机系统中预设的安全防御策略的危险行为,则允许当前进程对相应文件执行写操作;
所述安全防御策略的安全级别包括:危险级别、高危级别和相对安全级别;
所述步骤c1中,根据所述被命中的安全防御策略的安全级别对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:
若所述被命中的安全防御策略的安全级别为危险级别,则不允许当前进程对相应文件执行写操作;或,
若所述被命中的安全防御策略的安全级别为高危级别,则首先将被要求执行写操作的文件进行备份,之后允许当前进程对该文件执行写操作,并在执行写操作后,若确认文件被病毒感染,则将被命中的安全防御策略存储至计算机系统中预设的危险级别的安全防御策略系统中,以便对计算机系统中预设的危险级别的安全防御策略系统进行更新;或,
若所述被命中的安全防御策略的安全级别为相对安全级别,则允许当前进程对相应文件执行写操作。
2.根据权利要求1所述的方法,其特征在于,在步骤c1中,验证后确定与当前进程相关联的所有进程执行的行为中存在命中该计算机系统中预设的安全防御策略的危险行为后,还包括:记录执行危险行为的相应进程的相关信息,并将执行危险行为的相应进程的相关信息储存至权限受限的进程文件夹中,以限制相应进程的执行权限。
3.根据权利要求1所述的方法,其特征在于,在步骤b中,在检测到任意一个进程对所述计算机系统中的文件提出执行写操作的行为要求后,在验证与当前进程相关联的所有进程执行的行为中是否存在命中该计算机系统中预设的安全防御策略的危险行为前,还包括:判断被要求执行写操作的文件是否为计算机系统预设的目标保护文件;根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
4.根据权利要求3所述的方法,其特征在于,所述根据所述判断的结果确定是否对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理的过程具体包括:
若被要求执行写操作的文件为计算机系统预设的目标保护文件,则对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理;或,
若被要求执行写操作的文件不是计算机系统预设的目标保护文件,则直接允许相应的当前进程对其进行写操作,不再对当前进程提出的对相应文件执行写操作的行为要求进行安全防御处理。
5.根据权利要求1所述的方法,其特征在于,在步骤a之前,还包括:对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息。
6.根据权利要求5所述的方法,其特征在于,所述对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息的过程具体包括:通过HOOK计算机系统内核的API函数,对计算机系统中所有进程,自其创建至结束,记录和存储其相关信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510956509.8A CN105389521B (zh) | 2015-12-18 | 2015-12-18 | 一种对计算机系统中文件进行安全保护的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510956509.8A CN105389521B (zh) | 2015-12-18 | 2015-12-18 | 一种对计算机系统中文件进行安全保护的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105389521A CN105389521A (zh) | 2016-03-09 |
| CN105389521B true CN105389521B (zh) | 2019-08-23 |
Family
ID=55421797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510956509.8A Active CN105389521B (zh) | 2015-12-18 | 2015-12-18 | 一种对计算机系统中文件进行安全保护的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105389521B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106778327A (zh) * | 2016-11-28 | 2017-05-31 | 龙存(苏州)科技有限公司 | 一种分布式文件系统的安全认证方法 |
| CN107846418A (zh) * | 2017-12-14 | 2018-03-27 | 广东天网安全信息科技有限公司 | 防火墙主动防护系统及防护方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102651061A (zh) * | 2011-04-19 | 2012-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于检测复杂恶意软件的系统和方法 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN102982280A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 阻止计算机辅助设计cad病毒感染的方法及装置 |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8196201B2 (en) * | 2006-07-19 | 2012-06-05 | Symantec Corporation | Detecting malicious activity |
| CN102902919B (zh) * | 2012-08-30 | 2015-11-25 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN103679031B (zh) * | 2013-12-12 | 2017-10-31 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
-
2015
- 2015-12-18 CN CN201510956509.8A patent/CN105389521B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102651061A (zh) * | 2011-04-19 | 2012-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于检测复杂恶意软件的系统和方法 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN102982280A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 阻止计算机辅助设计cad病毒感染的方法及装置 |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105389521A (zh) | 2016-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11586730B2 (en) | Ransomware attack monitoring | |
| EP3326100B1 (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
| US9330259B2 (en) | Malware discovery method and system | |
| JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
| US20150242627A1 (en) | Apparatus and method for blocking actvity of malware | |
| KR102210627B1 (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| CN103679032B (zh) | 防御恶意软件的方法和装置 | |
| JP2011501278A (ja) | コンピュータにおける悪意プログラム自動保護方法及び装置 | |
| CN110119619A (zh) | 创建防病毒记录的系统和方法 | |
| CN105760787A (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
| CN105389521B (zh) | 一种对计算机系统中文件进行安全保护的方法 | |
| JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
| JP2023534502A (ja) | 高度なランサムウェア検出 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| CN107871079A (zh) | 一种可疑进程检测方法、装置、设备及存储介质 | |
| WO2020134033A1 (zh) | 用于确定应用程序在运行时的安全性的方法及其装置 | |
| KR102034678B1 (ko) | 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법 | |
| CN109460658A (zh) | 一种针对恶意勒索样本的检测方法 | |
| KR101288833B1 (ko) | 오피스문서를 통한 악성 프로그램 유포 차단 방법 및 이를 위한 컴퓨터로 판독가능한 기록매체 | |
| US10572670B2 (en) | Automated information technology substantive testing of security compliance within a user's context | |
| KR101421630B1 (ko) | 코드 인젝션된 악성코드 탐지 시스템 및 방법 | |
| CN109522711A (zh) | 一种检测防御方法、装置、设备及可读存储介质 | |
| KR100937010B1 (ko) | 유해 프로세스 검출/차단 재발방지 방법 | |
| Corregedor et al. | ATE: Anti-malware technique evaluator | |
| CN109472144B (zh) | 一种防御病毒对文件进行操作的方法、装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100041, room 2, building 3, building 30, Xing Xing street, Shijingshan District, Beijing, Patentee after: Beijing Falcon Safety Technology Co., Ltd Address before: 100041, room 2, building 3, building 30, Xing Xing street, Shijingshan District, Beijing, Patentee before: BEIJING KINGSOFT SECURITY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd. |