发明内容
针对现有技术中存在的上述缺陷,提出了解决上述技术问题的一种文档防护方法及装置。
第一方面,本发明提供了一种文档防护装置,包括:
文档备份模块,用于在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,获得被执行操作的文档的备份文档;
提示模块,用于在所述被执行操作的文档的数量大于等于预设阈值时,向所述预设目录下的文档所在的终端发送弹窗,所述弹窗为提示用户是否阻止所述程序对所述预设目录下的文档执行操作的弹窗;
确定模块,用于根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档;
其中,所述预设目录下的文档为未存储在所述程序所属目录下的文档。
可选的,所述装置还包括:
监测模块,用于监测对所述预设目录下的文档执行操作的进程;
获取模块,用于获取所述进程所属的程序;
比较模块,用于将所述程序与预设程序列表中的程序进行比较,判断所述程序是否为未经授权的程序。
可选的,所述文档备份模块,用于:
在监测到对文档执行操作的程序为未经授权的程序时,判断所述被执行操作的文档是否为该程序所属目录下的文档;
若否,则对所述被执行操作的文档进行备份。
可选的,所述装置还包括:
发送模块,用于将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器,以使所述预设服务器判断所述未经授权的程序中所包括的对预设目录下的文档执行操作的进程是否符合预设进程策略;
所述提示模块,用于在接收到所述预设服务器发送的所述进程不符合预设进程策略的消息时,向所述预设目录下的文档所在的终端发送弹窗。
可选的,所述装置还包括:
第一备份文档删除模块,用于在接收到所述预设服务器发送的所述进程符合预设进程策略的消息时,删除所述备份文档。
可选的,所述确定模块,用于:
在接收到所述用户在所述弹窗上触发的阻止所述程序对所述文档执行操作的指令时,通过备份文档修复对应该备份文档的被执行操作的文档。
可选的,所述装置还包括:
第二备份文档删除模块,用于在接收到所述用户在所述弹窗上触发的允许所述程序对所述预设目录下的文档执行操作的指令时,删除所述备份文档。
可选的,所述装置还包括:
程序状态修改模块,用于将所述程序存入预设程序列表中。
可选的,所述监测模块,用于:
监测对所述预设目录下的文档执行加密、改写和/或删除操作的进程。
第二方面,本发明还提供了一种文档防护方法,包括:
在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,获得被执行操作的文档的备份文档;
若所述被执行操作的文档的数量大于等于预设阈值,则向所述预设目录下的文档所在的终端发送弹窗,所述弹窗为提示用户是否阻止所述程序对所述预设目录下的文档执行操作的弹窗;
根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档;
其中,所述预设目录下的文档为未存储在所述程序所属目录下的文档。
可选的,在监测到未经授权的程序对预设目录下的文档执行操作之前,所述方法还包括:
监测对所述预设目录下的文档执行操作的进程,获取所述进程所属的程序;
将所述程序与预设程序列表中的程序进行比较,判断所述程序是否为未经授权的程序。
可选的,所述在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,包括:
在监测到对文档执行操作的程序为未经授权的程序时,判断所述被执行操作的文档是否为该程序所属目录下的文档;
若否,则对所述被执行操作的文档进行备份。
可选的,在所述被执行操作的文档的数量大于等于预设阈值,向所述预设目录下的文档所在的终端发送弹窗之前,所述方法还包括:
将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器,以使所述预设服务器判断所述未经授权的程序中所包括的对预设目录下的文档执行操作的进程是否符合预设进程策略;
若接收到所述预设服务器发送的所述进程不符合预设进程策略的消息,则向所述预设目录下的文档所在的终端发送弹窗。
可选的,在将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器之后,所述方法还包括:
若接收到所述预设服务器发送的所述进程符合预设进程策略的消息,则删除所述备份文档。
可选的,所述根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档,包括:
若接收到所述用户在所述弹窗上触发的阻止所述程序对所述文档执行操作的指令,则通过备份文档修复对应该备份文档的被执行操作的文档。
可选的,所述根据所述用户在所述弹窗上触发的指令,确定是否通过备份文档修复所述被执行操作的文档,包括:
若接收到所述用户在所述弹窗上触发的允许所述程序对所述预设目录下的文档执行操作的指令,则删除所述备份文档。
可选的,在删除所述备份文档之后,所述方法还包括:
将所述程序存入所述预设程序列表中。
可选的,所述监测对所述预设目录下的文档执行操作的进程,包括:
监测对所述预设目录下的文档执行加密、改写和/或删除操作的进程。
由上述技术方案可知,本发明提供一种文档防护方法及装置,在监测到某一程序对未存储在该程序所属目录下的文档执行操作时,认为该操作为待确认可疑操作,对该文档进行备份,在该程序对未存储在该程序所属目录下的文档执行操作的数量大于等于预设阈值时,认为该操作为可疑操作,通过向用户发送弹窗,来确定是否通过备份文档修复被执行操作的文档,通过该方法使得文档能够得到修复防护,另外修复的文档为被执行操作之前的最新文档,相对于现有技术也不会因为大量备份文档占据内存空间。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明一实施例提供的一种文档防护方法的流程示意图,如图1所示,该方法包括以下步骤:
101、在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,获得被执行操作的文档的备份文档。
本实施例中未经授权的程序可以理解为未存储在白名单中的程序,预设目录下的文档为未存储在所述程序所属目录下的文档。其中,所述程序所属目录例如为程序自身安装目录,或者temp目录等等,本实施例不对其进行详细说明。
上述执行操作可以理解为加密、改写和/或删除等操作形式。
102、若所述被执行操作的文档的数量大于等于预设阈值,则向所述预设目录下的文档所在的终端发送弹窗,所述弹窗为提示用户是否阻止所述程序对所述预设目录下的文档执行操作的弹窗。
若发现某一程序对预设目录下的文档执行操作时,被执行操作的文档数量大于等于预设阈值,则认为该程序为可疑程序,这时被执行操作文档所在终端上会展示提示弹窗,该预设阈值可以理解为一个数值,即5个、6个等等,具体的数值可以根据实际情况进行预设,本实施例不对其进行限定。如图2所示,例如为“XX程序正在对E盘/XX文件执行加密操作,是否允许?”通过向用户提示弹窗,使得非法用户在恶意修改某个终端上的文档时,被该终端的用户发现后对其后续可能的操作进行了阻止,当然该程序对文档的操作如果是终端的用户自己执行的操作,或者是事前知晓的远控操作等,用户可以根据实际情况进行选择,这样通过用户在弹窗上对可疑程序的再次确认,避免了可疑程序对文档造成破坏。
103、根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档。
上述方法在监测到某一程序对未存储在该程序所属目录下的文档执行操作时,认为该操作为待确认可疑操作,对该文档进行备份,在该程序对未存储在该程序所属目录下的文档执行操作的数量大于等于预设阈值时,认为该操作为可疑操作,通过向用户发送弹窗,来确定是否通过备份文档修复被执行操作的文档,通过该方法使得文档能够得到修复防护,另外修复的文档为被执行操作之前的最新文档,相对于现有技术也不会因为大量备份文档占据内存空间。
下面通过另一实施例对上述文档防护方法的具体流程进行详细说明。
如图3所示,该方法包括以下步骤:
301、监测对所述预设目录下的文档执行操作的进程,获取所述进程所属的程序。
监测对预设目录下的文档执行操作的进程,例如该进程为“XX.exe”,该进程所属的程序有可能为XX,具体的进程所属的程序可以根据进程的路径、进程名、进程ID等信息获取,本实施例不对通过进程如何获取进程所属的程序的具体方法进行限定。
上述步骤也可以理解为,具体可以包括以下子步骤:
3011、监测终端内运行的每一进程,获取每一进程所属的程序;
3012、判断每一进程操作的文档是否为未存储在所述程序所属目录下的文档;
3013、若是,则执行步骤302。
302、将所述程序与预设程序列表中的程序进行比较,判断所述程序是否为未经授权的程序,若是,则执行步骤303;否则,执行步骤311。
上述预设程序列表可以理解为预先存储的白名单列表或者是用户已授权程序的列表,授权程序的列表中的程序可以理解为用户默认为非可疑程序。
303、在监测到对文档执行操作的程序为未经授权的程序时,判断所述被执行操作的文档是否为该程序所属目录下的文档,若否,则执行步骤304;否则,执行步骤301。
可以理解的是,在上述步骤中如果对文档执行操作的进程所属的程序为非授权程序,且执行操作的文档不是该程序所属目录下的文档,则认为该程序对文档执行操作的行为时可疑的。
304、对被执行操作的文档进行备份,获得被执行操作的文档的备份文档。
305、判断被执行操作的文档的数量是否大于等于预设阈值,若是,则执行步骤306;否则,继续执行步骤301。
符合上述条件的待确认的可疑程序,即该程序为非授权程序,且执行操作的文档不是该程序所属目录下的文档,对于这样的程序执行操作的文档都要进行备份,获得备份文档,当被执行操作的文档的数量也可以理解为备份文档的数量超过预设阈值时,认为该程序为可疑程序。例如,某一程序对多个文档执行操作,被执行操作的文档均不在该程序所属目录下的文档,只是一些临时文档,且操作均为改写、删除或者加密等这一类型的操作,如果某一程序执行上述操作,则认为该程序的操作为可疑操作,需要说明的是,在每一个符合上述条件对文档执行操作时,均对文档进行备份,备份文档的数量大于等于预设阈值,一种方式是如图3所示,通过预设服务器对该程序的进程进行查杀,根据查杀结果判断是否阻止该程序的后续操作,即步骤306-312;另一种可实现的方式如图4所示,执行下述步骤308-312。
306、将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器,以使所述预设服务器判断所述未经授权的程序中所包括的对预设目录下的文档执行操作的进程是否符合预设进程策略。
上述预设服务器可以理解为云端服务器,云端服务器会将未经授权的程序所包括的对预设目录下的文档执行操作的进程以及被执行操作的文档进行查杀,将一些误报的可疑程序进行排除,例如,有一游戏程序,该程序包括好多图片,该程序在卸载时并不清楚某图片是用户文档还是程序的,当图片删除之后,如果该游戏程序为未经授权的程序,并且删除的图片不在该游戏程序所属的目录下,跑到appdata目录下,则会存在上述情况,对于这一情况可以认为存在误报的问题,云端服务器可以预设进程策略对该类误报的情况进行识别。
307、判断接收到所述预设服务器发送的消息是否为所述进程符合预设进程策略的消息,若否,则执行步骤308;否则,执行步骤312。
在上述步骤306中,云端服务器在判断未经授权的程序所包括的对预设目录下的文档执行操作的进程是否符合预设进程策略,如果符合则发送符合预设进程策略的消息,执行步骤312,否则,发送不符合预设进程策略的消息,并执行步骤308。
308、若接收到所述预设服务器发送的所述进程不符合预设进程策略的消息,则向所述预设目录下的文档所在的终端发送弹窗。所述弹窗为提示用户是否阻止所述程序对所述预设目录下的文档执行操作的弹窗。
如图2所示,则会通过弹窗提示用户是否阻止该程序的操作。即通过弹窗告知用户,有程序正在修改XX文档,根据用户在该弹窗上触发的指令,确定是否阻止该程序的操作。
309、判断接收到所述用户在所述弹窗上触发的是否为阻止所述程序对所述文档执行操作的指令,若是,则执行步骤310;否则,执行步骤312。
在用户点击如图2所示的“否”的指令时,则认为用户阻止所述程序对所述文档执行操作的指令,认为该程序的操作为未经用户授权的,这时将执行步骤310。否则,执行步骤312。
310、通过备份文档修复对应该备份文档的被执行操作的文档。
将已备份的预设阈值数量的文档修复已被执行操作的文档。这样即使文档被恶意程序执行修改、删除、或加密等操作,也可以通过备份文档修复的方式进行修复,另外,备份的文档时最新的文档,保证了用户文档信息的实时性。
311、对所述被执行操作的文档进行备份。
312、删除所述备份文档。
在用户点击如图2所示的“是”的指令时,认为用户允许所述程序对所述文档执行操作的指令,则授权所述程序继续对文档执行操作,这时,将该程序存入到预设程序列表中,可理解的是,预设程序列表中包括白名单程序和用户已授权的程序,并将已备份的文档进行删除。即再次监测到某一程序的可以操作时,如果改程序存在在该预设程序列表中,则不会对执行操作的文档进行备份。
上述方法在如图3所示的方式中,可以针对一些误报等在预设服务器进行查杀,在执行查杀后,如果判断为误报,则不会执行发送弹窗的步骤,提高了处理效率,该预设服务器可以理解为云端服务器,当然本实施仅用于举例说明,不对其进行限定;另外采用云端服务器进行误报查杀以及向用户所在的终端发送弹窗,通过用户来确认双重验证,阻止了可疑程序的操作。在如图4所示的方式中,如果程序的操作为用户提前预知的,则避免了执行在云端查杀的步骤,同样也能够提高处理效率,因此采用哪种方式可以根据实际情况进行选择,应当理解的是本实施例上述方案的实现只是一个优选的实施方式,本实施例不对其具体的实施细节进行限定。
图5示出了本发明实施例提供的一种文档防护装置的结构示意图,如图5所示,该装置包括:
文档备份模块51,用于在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,获得被执行操作的文档的备份文档;
提示模块52,用于在所述被执行操作的文档的数量大于等于预设阈值时,向所述预设目录下的文档所在的终端发送弹窗,所述弹窗为提示用户是否阻止所述程序对所述预设目录下的文档执行操作的弹窗;
确定模块53,用于根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档;
其中,所述预设目录下的文档为未存储在所述程序所属目录下的文档。
上述系统在监测到某一程序对未存储在该程序所属目录下的文档执行操作时,认为该操作为待确认可疑操作,对该文档进行备份,在该程序对未存储在该程序所属目录下的文档执行操作的数量大于等于预设阈值时,认为该操作为可疑操作,通过向用户发送弹窗,来确定是否通过备份文档修复被执行操作的文档,通过该方法使得文档能够得到修复防护,另外修复的文档为被执行操作之前的最新文档,相对于现有技术也不会因为大量备份文档占据内存空间。
在本实施例的一个优选的实施方式中,所述装置包括,如图6所示:
监测模块61,用于监测对所述预设目录下的文档执行操作的进程;
具体的,所述监测模块,用于:监测对所述预设目录下的文档执行加密、改写和/或删除操作的进程。
获取模块62,用于获取所述进程所属的程序;
比较模块63,用于将所述程序与预设程序列表中的程序进行比较,判断所述程序是否为未经授权的程序。
所述文档备份模块64,用于:
在监测到对文档执行操作的程序为未经授权的程序时,判断所述被执行操作的文档是否为该程序所属目录下的文档;若否,则对所述被执行操作的文档进行备份。
发送模块65,用于将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器,以使所述预设服务器判断所述未经授权的程序中所包括的对预设目录下的文档执行操作的进程是否符合预设进程策略;
所述提示模块66,用于在接收到所述预设服务器发送的所述进程不符合预设进程策略的消息时,向所述预设目录下的文档所在的终端发送弹窗。
第一备份文档删除模块67,用于在接收到所述预设服务器发送的所述进程符合预设进程策略的消息时,删除所述备份文档。
所述确定模块68,用于:
在接收到所述用户在所述弹窗上触发的阻止所述程序对所述文档执行操作的指令时,通过备份文档修复对应该备份文档的被执行操作的文档。
第二备份文档删除模块69,用于在接收到所述用户在所述弹窗上触发的允许所述程序对所述预设目录下的文档执行操作的指令时,删除所述备份文档。
程序状态修改模块70,用于将所述程序存入预设程序列表中。
在另一个可实现的方式中,如图7所示,所述装置包括:
监测模块71,用于监测对所述预设目录下的文档执行操作的进程;
具体的,所述监测模块,用于:监测对所述预设目录下的文档执行加密、改写和/或删除操作的进程。
获取模块72,用于获取所述进程所属的程序;
比较模块73,用于将所述程序与预设程序列表中的程序进行比较,判断所述程序是否为未经授权的程序。
所述文档备份模块74,用于:
在监测到对文档执行操作的程序为未经授权的程序时,判断所述被执行操作的文档是否为该程序所属目录下的文档;若否,则对所述被执行操作的文档进行备份。
发送模块75,用于在所述被执行操作的文档的数量大于等于预设阈值时,向所述预设目录下的文档所在的终端发送弹窗。
所述确定模块76,用于:
在接收到所述用户在所述弹窗上触发的阻止所述程序对所述文档执行操作的指令时,通过备份文档修复对应该备份文档的被执行操作的文档。
第二备份文档删除模块77,用于在接收到所述用户在所述弹窗上触发的允许所述程序对所述预设目录下的文档执行操作的指令时,删除所述备份文档。
程序状态修改模块78,用于将所述程序存入预设程序列表中。
本发明的实施例公开了:
A1、一种文档防护装置,包括:
文档备份模块,用于在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,获得被执行操作的文档的备份文档;
提示模块,用于在所述被执行操作的文档的数量大于等于预设阈值时,向所述预设目录下的文档所在的终端发送弹窗,所述弹窗为提示用户是否阻止所述程序对所述预设目录下的文档执行操作的弹窗;
确定模块,用于根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档;
其中,所述预设目录下的文档为未存储在所述程序所属目录下的文档。
A2、根据A1所述的装置,所述装置还包括:
监测模块,用于监测对所述预设目录下的文档执行操作的进程;
获取模块,用于获取所述进程所属的程序;
比较模块,用于将所述程序与预设程序列表中的程序进行比较,判断所述程序是否为未经授权的程序。
A3、根据A2所述的装置,所述文档备份模块,用于:
在监测到对文档执行操作的程序为未经授权的程序时,判断所述被执行操作的文档是否为该程序所属目录下的文档;
若否,则对所述被执行操作的文档进行备份。
A4、根据A2所述的装置,所述装置还包括:
发送模块,用于将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器,以使所述预设服务器判断所述未经授权的程序中所包括的对预设目录下的文档执行操作的进程是否符合预设进程策略;
所述提示模块,用于在接收到所述预设服务器发送的所述进程不符合预设进程策略的消息时,向所述预设目录下的文档所在的终端发送弹窗。
A5、根据A4所述的装置,所述装置还包括:
第一备份文档删除模块,用于在接收到所述预设服务器发送的所述进程符合预设进程策略的消息时,删除所述备份文档。
A6、根据A2所述的装置,所述确定模块,用于:
在接收到所述用户在所述弹窗上触发的阻止所述程序对所述文档执行操作的指令时,通过备份文档修复对应该备份文档的被执行操作的文档。
A7、根据A6所述的装置,所述装置还包括:
第二备份文档删除模块,用于在接收到所述用户在所述弹窗上触发的允许所述程序对所述预设目录下的文档执行操作的指令时,删除所述备份文档。
A8、根据A5或7所述的装置,所述装置还包括:
程序状态修改模块,用于将所述程序存入预设程序列表中。
A9、根据A2所述的装置,所述监测模块,用于:
监测对所述预设目录下的文档执行加密、改写和/或删除操作的进程。
B10、一种文档防护方法,包括:
在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,获得被执行操作的文档的备份文档;
若所述被执行操作的文档的数量大于等于预设阈值,则向所述预设目录下的文档所在的终端发送弹窗,所述弹窗为提示用户是否阻止所述程序对所述预设目录下的文档执行操作的弹窗;
根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档;
其中,所述预设目录下的文档为未存储在所述程序所属目录下的文档。
B11、根据B10所述的方法,在监测到未经授权的程序对预设目录下的文档执行操作之前,所述方法还包括:
监测对所述预设目录下的文档执行操作的进程,获取所述进程所属的程序;
将所述程序与预设程序列表中的程序进行比较,判断所述程序是否为未经授权的程序。
B12、根据B11所述的方法,所述在监测到未经授权的程序对预设目录下的文档执行操作时,对被执行操作的文档进行备份,包括:
在监测到对文档执行操作的程序为未经授权的程序时,判断所述被执行操作的文档是否为该程序所属目录下的文档;
若否,则对所述被执行操作的文档进行备份。
B13、根据B11所述的方法,在所述被执行操作的文档的数量大于等于预设阈值,向所述预设目录下的文档所在的终端发送弹窗之前,所述方法还包括:
将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器,以使所述预设服务器判断所述未经授权的程序中所包括的对预设目录下的文档执行操作的进程是否符合预设进程策略;
若接收到所述预设服务器发送的所述进程不符合预设进程策略的消息,则向所述预设目录下的文档所在的终端发送弹窗。
B14、根据B13所述的方法,在将所述未经授权的程序、对预设目录下的文档执行操作的进程、以及被执行操作的文档发送至预设服务器之后,所述方法还包括:
若接收到所述预设服务器发送的所述进程符合预设进程策略的消息,则删除所述备份文档。
B15、根据B11所述的方法,所述根据所述用户在所述弹窗上触发的指令,确定是否通过所述备份文档修复所述被执行操作的文档,包括:
若接收到所述用户在所述弹窗上触发的阻止所述程序对所述文档执行操作的指令,则通过备份文档修复对应该备份文档的被执行操作的文档。
B16、根据B15所述的方法,所述根据所述用户在所述弹窗上触发的指令,确定是否通过备份文档修复所述被执行操作的文档,包括:
若接收到所述用户在所述弹窗上触发的允许所述程序对所述预设目录下的文档执行操作的指令,则删除所述备份文档。
B17、根据B13或15所述的方法,在删除所述备份文档之后,所述方法还包括:
将所述程序存入所述预设程序列表中。
B18、根据B11中任一项所述的方法,所述监测对所述预设目录下的文档执行操作的进程,包括:
监测对所述预设目录下的文档执行加密、改写和/或删除操作的进程。
需要说明的是,上述装置与上述方法是一一对应的,上述方法中的具体的实施细节同样适用于上述装置,本实施例不再对上述装置的具体实施细节进行详细说明。