CN106778267A - 一种应用于计算机文件的加密病毒的拦截方法及系统 - Google Patents
一种应用于计算机文件的加密病毒的拦截方法及系统 Download PDFInfo
- Publication number
- CN106778267A CN106778267A CN201611056350.5A CN201611056350A CN106778267A CN 106778267 A CN106778267 A CN 106778267A CN 201611056350 A CN201611056350 A CN 201611056350A CN 106778267 A CN106778267 A CN 106778267A
- Authority
- CN
- China
- Prior art keywords
- file
- behavior
- contingency table
- files
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种应用于计算机文件的加密病毒的拦截方法及系统,拦截方法包括:预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;若操作行为为病毒的加密操作,则拦截加密操作。本发明的拦截方法可以快捷、高效的判断出是否为病毒被执行的加密行为,克服了传统病毒查杀技术所存在的局限性。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种应用于计算机文件的加密病毒的拦截方法及系统。
背景技术
兴起于20世纪中期的计算机技术,经过数几十年时间的发展,已经被普及到现代社会的各个领域,计算机系统作为一种信息存储、传输及处理的载体,其具有信息存储量大、传输速度快、处理效率高等优点,因此,越来越多的信息是以电子数据文件的形式存储于计算机系统,但是,由于计算机病毒及黑客入侵等因素的存在,如何防止电子数据文件被入侵始终是计算机安全技术的重要研究课题。
勒索者病毒是一类会针对用户电脑中特定后缀的文件进行加密的病毒,要想解密被勒索者病毒所加密的文件,受害者往往需要向黑客支付高额的赎金;因此,这种病毒的存在对计算机的使用形成了极大的安全隐患。
传统的病毒查杀技术大多是将疑似勒索者病毒程序的特征与病毒数据库中的已有特征相匹配,以作为判断程序是否为勒索者病毒程序的依据,但是当勒索者病毒程序存在新变种时,病毒数据库往往并不能及时更新对应的特征,影响了对病毒的拦截操作,因此,常规的病毒查杀方式会对勒索者病毒的检测和拦截构成限制。
发明内容
本发明所要解决的技术问题是:提供一种应用于计算机文件的加密病毒的拦截方法及系统,以解决现有病毒技术中利用特征匹配来判断病毒的方式所存在的弊端。
本发明解决上述技术问题所采用的技术方案是:
本发明提供了一种应用于计算机文件的加密病毒的拦截方法,包括:预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;若操作行为为病毒的加密操作,则拦截加密操作。
进一步的,拦截方法还包括:在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
进一步的,在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径,若是,则将计算机文件的文件句柄添加至第二关联表;若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
进一步的,操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;判断被执行操作行为的scr文件是否为防御辅助文件,若是,则操作行为为病毒的加密操作;否则,从第一关联表中查找scr文件的文件路径,在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;若在第一关联表中查找到dest文件的文件路径,则根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
进一步的,在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作;在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;若在第二关联表中查找到计算机文件的文件句柄,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
进一步的,在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
根据本发明的第二个方面,还提供了了一种拦截系统,包括:第一单元,用于预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;以及预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;第二单元,用于实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;第三单元,用于根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;第四单元,用于在操作行为为病毒的加密操作,则拦截加密操作。
进一步的,第二单元还用于:在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
进一步的,第三单元还用于:在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径,若是,则将计算机文件的文件句柄添加至第二关联表;若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
进一步的,第三单元还用于:在操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;判断被执行操作行为的scr文件是否为防御辅助文件,若是,则操作行为为病毒的加密操作;否则,从第一关联表中查找scr文件的文件路径,在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;若在第一关联表中查找到dest文件的文件路径,则根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
进一步的,第三单元还用于:在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作;在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;若在第二关联表中查找到计算机文件的文件句柄,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
进一步的,第三单元还用于:在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
本发明采用上述技术方案所具有的技术效果是:
本发明的拦截方法改变了传统病毒查杀技术中所采用的病毒特征匹配的方式,考虑到病毒对计算机文件加密时必然要对计算机文件进行相应的操作行为,因此本发明通过监测计算机文件被执行的操作行为以及计算机文件本身的特征,可以快捷、高效的判断出是否为病毒被执行的加密行为,克服了传统病毒查杀技术所存在的局限性。
附图说明
图1为本发明的一个实施例中拦截方法的整体流程图;
图2为本发明的一个实施例中计算机文件被执行文件创建行为时的拦截方法流程图;
图3为本发明的一个实施例中计算机文件被执行文件移动行为时的拦截方法流程图;
图4为本发明的一个实施例中计算机文件被执行文件写入行为时的拦截方法流程图;
图5为本发明的一个实施例中计算机文件被执行文件删除行为时的拦截方法流程图。
具体实施方式
为清楚的说明本发明中的方案,下面给出优选的实施例并结合附图详细说明。以下的说明本质上仅仅是示例性的而并不是为了限制本公开的应用或用途。应当理解的是,在全部的附图中,对应的附图标记表示相同或对应的部件和特征。
如图1所示的一实施例,本发明公开了一种应用于计算机文件的加密病毒的拦截方法,其步骤包括:
S101、预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;在一些实施例中,由于现有的大部分加密病毒都是会对doc类型的文件加密,因此本发明所预置的也为doc类型的文件;
S102、预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;例如,某一doc类型的文件的文件路径为C:\abc\123\test.doc、文件句柄为0x886699B0,则在第一关联表中预置文件路径C:\abc\123\test.doc与doc文件类型的关联关系,在第二关联表中预置句柄0x886699B0与doc文件类型的关联关系;另外,第一关联表中预置的文件路径内容、以及第二关联表中预置的文件句柄内容为已预先确定其安全性的文件路径、文件句柄;
S103、实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;
S104、根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;在一实施例中,将获取的计算机文件的文件路径与第一关联表中的预置内容相匹配,将计算机文件的文件句柄与第二关联表中的预置内容相匹配,从而可以对比该计算机文件在被执行其操作行为后,判断其文件路径和文件句柄是否有变化,若匹配成功,则确认为为非病毒的操作行为,若匹配不成功,则确认为病毒被执行的加密操作;
S105、若操作行为为病毒的加密操作,则拦截加密操作,从而可以在计算机文件被调用的过程中,实现实时监测及拦截病毒的操作,提高了计算机系统的整体安全性。
在上述步骤S101中,考虑到加密病毒在加密前会遍历所有的计算机文件,为了能实现对病毒提前检测判断以保护其它计算机文件的目的,本发明所预置的防御辅助文件的文件命名选用ASCII表中排名靠前的字符,例如,某一防御辅助文件的文件名为“!!!防御辅助文件,请勿删除”,该命名中选用了在ASCII表中排名靠前“!”字符,从而可以优先被加密病毒所遍历到,并在防御辅助文件被执行相应的操作行为时,检测判断是否为加密病毒的加密操作。
在本发明的一实施例中,拦截方法的步骤还包括:
在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件读取行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
由于病毒程序在对计算机文件的加密过程中,可以会对计算机文件被执行上述的一种或几种操作行为,例如,常见的病毒加密文件的过程有:(1)文件创建-文件读取-加密-写入文件;(2)文件创建-文件读取-加密-文件创建-文件写入-文件删除;(3)文件移动-文件创建-文件读取-加密-文件创建-文件写入;(4)文件移动-文件创建-加密-文件创建-文件写入;(5)文件移动-文件创建-加密-文件写入-文件移动。而部分操作行为的被执行过程中,可能与安全程序调用计算机文件的操作行为一致或类似,因此为了提高对病毒程序判断的精确性,防止将安全程序错误判定为病毒程序,因此需要根据第一关联表和第二关联表分别对加密前后的不同操作行为进行相应的判断。下面结合一些实施例对上述涉及文件创建行为、文件移动行为、文件写入行为和文件删除行为等主要操作行为的判断过程进行说明。
在本发明一实施例中,如图2所示,在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S201、判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径;
S202、若是,则将计算机文件的文件句柄handle添加至第二关联表;在执行文件写入行为时,可以通过查询第二关联表获取对应文件的文件句柄;
S203、若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;
S204、在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;
S205、若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
S206、在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
在本发明一实施例中,如图3所示,在操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S301、获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;
S302、判断被执行操作行为的scr文件是否为防御辅助文件;
S303、若是,则操作行为为病毒的加密操作;
S304、若否,从第一关联表中查找scr文件的文件路径;
S305、在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;
S306、将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;
S307、在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;
若在第一关联表中查找到dest文件的文件路径,则执行上述S305和S306步骤中的相关流程,包括根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;
S308、若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
在本发明一实施例中,如图4所示,在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S401、判断被执行文件写入行为的计算机文件是否为防御辅助文件;
S402、在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型;
S403、若是,则操作行为为病毒的加密操作;
S404、在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;
若在第二关联表中查找到计算机文件的文件句柄,则执行S402步骤中的相关流程,获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
在本发明一实施例中,如图5所示,在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S501、判断被执行文件删除行为的计算机文件是否为防御辅助文件;
S502、在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
为了使本领域技术人员了解本发明拦截方法的拦截过程,下面结合一实施例的拦截流程进行详细说明:
某一个正常文件的路径为C:\abc\123\test.doc,加密病毒要加密该文件,首先会以至少包含读取权限的方式执行创建文件行为;
经由S201-S205的流程,将路径“C:\abc\123\test.doc”和文件类型“doc”保存在第一个表中;
加密病毒读取完该文件的内容后,会加密文件的内容,加密完之后会再次写入文件中,因为加密之后它的后缀可能会改变,例如有一种勒索者病毒加密后就会变成“C:\abc\123\test.doc.vvv”,所以写入时会首先以至少包含写入权限的方式CreateFile“C:\abc\123\test.doc.vvv”,假设创建文件行为后所返回的文件句柄为0x886699B0,这个文件路径去除后缀后为“C:\abc\123\test.doc”,第一个表中存在这个文件路径,类型为doc,所以把句柄0x886699B0和文件类型doc加入到第二个表中;
当执行写入文件行为进行写入文件内容时,文件句柄为0x886699B0,在第二个表中可以找到此句柄,也知道它的类型是doc,根据写入的文件内容判断是否修改了文件类型,由于文件被加密过,通过内容识别肯定不是doc文件了,所以会进行拦截。
本发明还提供了一种拦截系统,该拦截系统采用上述实施例中所公开的拦截方法对病毒程序进行监测和拦截,以保护计算机所存储的文件;拦截系统包括:
第一单元,用于预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;以及预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;
第二单元,用于实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;
第三单元,用于根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;
第四单元,用于在操作行为为病毒的加密操作,则拦截加密操作。
在本发明的一些实施例中,第二单元还用于:在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径,若是,则将计算机文件的文件句柄添加至第二关联表;若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;判断被执行操作行为的scr文件是否为防御辅助文件,若是,则操作行为为病毒的加密操作;否则,从第一关联表中查找scr文件的文件路径,在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;若在第一关联表中查找到dest文件的文件路径,则根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作;在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;若在第二关联表中查找到计算机文件的文件句柄,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
综上所述,以上所述内容仅为本发明的实施例,仅用于说明本发明的原理,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种应用于计算机文件的加密病毒的拦截方法,其特征在于,包括:
预置防御辅助文件,所述防御辅助文件为所述加密病毒对应加密的文件类型;
预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;
实时监测包括所述防御辅助文件在内的所有计算机文件,在所述计算机被执行操作时,获取所述计算机文件在调用过程中被执行的操作行为、所述计算机文件的文件路径及文件句柄;
根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作;
若所述操作行为为病毒的加密操作,则拦截所述加密操作。
2.根据权利要求1所述的拦截方法,其特征在于,还包括:
在获取所述计算机文件在调用过程中被执行的操作行为后,确定所述操作行为的类型,其中,所述操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
3.根据权利要求2所述的拦截方法,其特征在于,在所述操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
判断去除文件后缀的所述计算机文件的文件路径是否为所述第一关联表中的文件路径,若是,则将所述计算机文件的文件句柄添加至所述第二关联表;
若否,则判断所述计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在所述计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断所述计算机文件的文件大小是否大于8;
若所述计算机文件的文件大小大于8,根据所述计算机文件的内容重新确定所述计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将所述计算机文件的文件类型添加至所述第一关联表中。
4.根据权利要求2所述的拦截方法,其特征在于,在所述操作行为的类型为文件移动行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
获取scr文件和dest文件,其中,所述scr文件为所述计算机文件在被执行所述文件移动行为之前的文件路径,所述dest文件为所述计算机文件在被执行所述文件移动行为之后的文件路径;
判断被执行所述操作行为的所述scr文件是否为防御辅助文件,若是,则所述操作行为为病毒的加密操作;
否则,从所述第一关联表中查找所述scr文件的文件路径,在所述第一关联表中查找到所述scr文件的文件路径时,根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
在所述第一关联表中未查找到所述scr文件的文件路径时,从所述第一关联表中查找去除文件后缀的dest文件的文件路径;若在所述第一关联表中查找到所述dest文件的文件路径,则根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
若在所述第一关联表中未查找到所述dest文件的文件路径,则根据所述scr文件的文件后缀和文件内容,确定所述scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将所述scr文件的文件类型和文件路径添加至所述第一关联表中。
5.根据权利要求2所述的拦截方法,其特征在于,在所述操作行为的类型为文件写入行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
在被执行所述文件写入行为的所述计算机文件为防御辅助文件时,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作;
在被执行所述文件写入行为的所述计算机文件不为防御辅助文件时,则从所述第二关联表中查找所述计算机文件的文件句柄;若在所述第二关联表中查找到所述计算机文件的文件句柄,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作。
6.根据权利要求2所述的拦截方法,其特征在于,在所述操作行为的类型为文件删除行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
在被执行所述文件删除行为的所述计算机文件为防御辅助文件时,所述操作行为为病毒的加密操作。
7.一种拦截系统,其特征在于,包括:
第一单元,用于预置防御辅助文件,所述防御辅助文件为所述加密病毒对应加密的文件类型;以及预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;
第二单元,用于实时监测包括所述防御辅助文件在内的所有计算机文件,在所述计算机被执行操作时,获取所述计算机文件在调用过程中被执行的操作行为、所述计算机文件的文件路径及文件句柄;
第三单元,用于根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作;
第四单元,用于在所述操作行为为病毒的加密操作,则拦截所述加密操作。
8.根据权利要求7所述的拦截系统,其特征在于,所述第二单元还用于:
在获取所述计算机文件在调用过程中被执行的操作行为后,确定所述操作行为的类型,其中,所述操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
9.根据权利要求8所述的拦截系统,其特征在于,所述第三单元还用于:在所述操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
判断去除文件后缀的所述计算机文件的文件路径是否为所述第一关联表中的文件路径,若是,则将所述计算机文件的文件句柄添加至所述第二关联表;
若否,则判断所述计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在所述计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断所述计算机文件的文件大小是否大于8;
若所述计算机文件的文件大小大于8,根据所述计算机文件的内容重新确定所述计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将所述计算机文件的文件类型添加至所述第一关联表中。
10.根据权利要求8所述的拦截系统,其特征在于,所述第三单元还用于:在所述操作行为的类型为文件移动行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
获取scr文件和dest文件,其中,所述scr文件为所述计算机文件在被执行所述文件移动行为之前的文件路径,所述dest文件为所述计算机文件在被执行所述文件移动行为之后的文件路径;
判断被执行所述操作行为的所述scr文件是否为防御辅助文件,若是,则所述操作行为为病毒的加密操作;
否则,从所述第一关联表中查找所述scr文件的文件路径,在所述第一关联表中查找到所述scr文件的文件路径时,根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
在所述第一关联表中未查找到所述scr文件的文件路径时,从所述第一关联表中查找去除文件后缀的dest文件的文件路径;若在所述第一关联表中查找到所述dest文件的文件路径,则根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
若在所述第一关联表中未查找到所述dest文件的文件路径,则根据所述scr文件的文件后缀和文件内容,确定所述scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将所述scr文件的文件类型和文件路径添加至所述第一关联表中。
11.根据权利要求8所述的拦截系统,其特征在于,所述第三单元还用于:在所述操作行为的类型为文件写入行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
在被执行所述文件写入行为的所述计算机文件为防御辅助文件时,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作;
在被执行所述文件写入行为的所述计算机文件不为防御辅助文件时,则从所述第二关联表中查找所述计算机文件的文件句柄;若在所述第二关联表中查找到所述计算机文件的文件句柄,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作。
12.根据权利要求8所述的拦截系统,其特征在于,所述第三单元还用于:在所述操作行为的类型为文件删除行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
在被执行所述文件删除行为的所述计算机文件为防御辅助文件时,所述操作行为为病毒的加密操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611056350.5A CN106778267B (zh) | 2016-11-24 | 2016-11-24 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611056350.5A CN106778267B (zh) | 2016-11-24 | 2016-11-24 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106778267A true CN106778267A (zh) | 2017-05-31 |
| CN106778267B CN106778267B (zh) | 2019-12-17 |
Family
ID=58910769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611056350.5A Active CN106778267B (zh) | 2016-11-24 | 2016-11-24 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106778267B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108363923A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种勒索者病毒防御方法、系统及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5996145B1 (ja) * | 2016-07-14 | 2016-09-21 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
-
2016
- 2016-11-24 CN CN201611056350.5A patent/CN106778267B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| JP5996145B1 (ja) * | 2016-07-14 | 2016-09-21 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 查骅: "基于Windows_Mobile个人敏感信息防护系统设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108363923A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种勒索者病毒防御方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106778267B (zh) | 2019-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ma et al. | Cdrep: Automatic repair of cryptographic misuses in android applications | |
| US8046592B2 (en) | Method and apparatus for securing the privacy of sensitive information in a data-handling system | |
| Na et al. | A study on the classification of common vulnerabilities and exposures using naïve bayes | |
| CN107066883A (zh) | 用于阻断脚本执行的系统和方法 | |
| US20100070518A1 (en) | Method for protecting private information and computer-readable recording medium storing program for executing the same | |
| US10482240B2 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
| JP5413010B2 (ja) | 分析装置、分析方法およびプログラム | |
| Villalba et al. | Ransomware automatic data acquisition tool | |
| CN103745166A (zh) | 文件属性值的检验方法和装置 | |
| US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
| Kaur et al. | Mitigation of SQL injection attacks using threat modeling | |
| CN102592078A (zh) | 一种提取函数调用序列特征识别恶意软件自主传播的方法 | |
| CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
| Schmittner et al. | ThreatGet: ensuring the implementation of defense-in-depth strategy for IIoT based on IEC 62443 | |
| CN103186746A (zh) | 一种可执行文件的保护方法及系统 | |
| CN105404796A (zh) | 一种JavaScript源文件保护的方法及装置 | |
| CN106778267A (zh) | 一种应用于计算机文件的加密病毒的拦截方法及系统 | |
| Firesmith | Analyzing the security significance of system requirements | |
| Le et al. | Tracking data flow at gate-level through structural checking | |
| Gudimetla | Ransomware Prevention and Mitigation Strategies | |
| Yang et al. | Understanding Security Audits on Blockchain | |
| Haidar et al. | E-banking Information Security Risks Analysis Based on Ontology | |
| CN105718810B (zh) | 虚拟机敏感文件的保护方法和装置 | |
| CN117634501B (zh) | 一种计算机文件保密检查方法及系统 | |
| Rehman et al. | A Systematic Literature Review of Ransomware Detection Methods and Tools for Mitigating Potential Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100041, room 2, building 3, building 30, Xing Xing street, Shijingshan District, Beijing, Patentee after: Beijing Falcon Safety Technology Co., Ltd Address before: 100041 Beijing city Shijingshan District Street Hing 30 Hospital No. 3 Building 2 layer A-0003 Patentee before: BEIJING KINGSOFT SECURITY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd. |