CN106778267B - 一种应用于计算机文件的加密病毒的拦截方法及系统 - Google Patents
一种应用于计算机文件的加密病毒的拦截方法及系统 Download PDFInfo
- Publication number
- CN106778267B CN106778267B CN201611056350.5A CN201611056350A CN106778267B CN 106778267 B CN106778267 B CN 106778267B CN 201611056350 A CN201611056350 A CN 201611056350A CN 106778267 B CN106778267 B CN 106778267B
- Authority
- CN
- China
- Prior art keywords
- file
- behavior
- association table
- computer
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种应用于计算机文件的加密病毒的拦截方法及系统,拦截方法包括:预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;若操作行为为病毒的加密操作,则拦截加密操作。本发明的拦截方法可以快捷、高效的判断出是否为病毒被执行的加密行为,克服了传统病毒查杀技术所存在的局限性。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种应用于计算机文件的加密病毒的拦截方法及系统。
背景技术
兴起于20世纪中期的计算机技术,经过数几十年时间的发展,已经被普及到现代社会的各个领域,计算机系统作为一种信息存储、传输及处理的载体,其具有信息存储量大、传输速度快、处理效率高等优点,因此,越来越多的信息是以电子数据文件的形式存储于计算机系统,但是,由于计算机病毒及黑客入侵等因素的存在,如何防止电子数据文件被入侵始终是计算机安全技术的重要研究课题。
勒索者病毒是一类会针对用户电脑中特定后缀的文件进行加密的病毒,要想解密被勒索者病毒所加密的文件,受害者往往需要向黑客支付高额的赎金;因此,这种病毒的存在对计算机的使用形成了极大的安全隐患。
传统的病毒查杀技术大多是将疑似勒索者病毒程序的特征与病毒数据库中的已有特征相匹配,以作为判断程序是否为勒索者病毒程序的依据,但是当勒索者病毒程序存在新变种时,病毒数据库往往并不能及时更新对应的特征,影响了对病毒的拦截操作,因此,常规的病毒查杀方式会对勒索者病毒的检测和拦截构成限制。
发明内容
本发明所要解决的技术问题是:提供一种应用于计算机文件的加密病毒的拦截方法及系统,以解决现有病毒技术中利用特征匹配来判断病毒的方式所存在的弊端。
本发明解决上述技术问题所采用的技术方案是:
本发明提供了一种应用于计算机文件的加密病毒的拦截方法,包括:预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;若操作行为为病毒的加密操作,则拦截加密操作。
进一步的,拦截方法还包括:在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
进一步的,在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径,若是,则将计算机文件的文件句柄添加至第二关联表;若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
进一步的,操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;判断被执行操作行为的scr文件是否为防御辅助文件,若是,则操作行为为病毒的加密操作;否则,从第一关联表中查找scr文件的文件路径,在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;若在第一关联表中查找到dest文件的文件路径,则根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
进一步的,在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作;在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;若在第二关联表中查找到计算机文件的文件句柄,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
进一步的,在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
根据本发明的第二个方面,还提供了了一种拦截系统,包括:第一单元,用于预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;以及预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;第二单元,用于实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;第三单元,用于根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;第四单元,用于在操作行为为病毒的加密操作,则拦截加密操作。
进一步的,第二单元还用于:在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
进一步的,第三单元还用于:在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径,若是,则将计算机文件的文件句柄添加至第二关联表;若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
进一步的,第三单元还用于:在操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;判断被执行操作行为的scr文件是否为防御辅助文件,若是,则操作行为为病毒的加密操作;否则,从第一关联表中查找scr文件的文件路径,在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;若在第一关联表中查找到dest文件的文件路径,则根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
进一步的,第三单元还用于:在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作;在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;若在第二关联表中查找到计算机文件的文件句柄,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
进一步的,第三单元还用于:在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
本发明采用上述技术方案所具有的技术效果是:
本发明的拦截方法改变了传统病毒查杀技术中所采用的病毒特征匹配的方式,考虑到病毒对计算机文件加密时必然要对计算机文件进行相应的操作行为,因此本发明通过监测计算机文件被执行的操作行为以及计算机文件本身的特征,可以快捷、高效的判断出是否为病毒被执行的加密行为,克服了传统病毒查杀技术所存在的局限性。
附图说明
图1为本发明的一个实施例中拦截方法的整体流程图;
图2为本发明的一个实施例中计算机文件被执行文件创建行为时的拦截方法流程图;
图3为本发明的一个实施例中计算机文件被执行文件移动行为时的拦截方法流程图;
图4为本发明的一个实施例中计算机文件被执行文件写入行为时的拦截方法流程图;
图5为本发明的一个实施例中计算机文件被执行文件删除行为时的拦截方法流程图。
具体实施方式
为清楚的说明本发明中的方案,下面给出优选的实施例并结合附图详细说明。以下的说明本质上仅仅是示例性的而并不是为了限制本公开的应用或用途。应当理解的是,在全部的附图中,对应的附图标记表示相同或对应的部件和特征。
如图1所示的一实施例,本发明公开了一种应用于计算机文件的加密病毒的拦截方法,其步骤包括:
S101、预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;在一些实施例中,由于现有的大部分加密病毒都是会对doc类型的文件加密,因此本发明所预置的也为doc类型的文件;
S102、预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;例如,某一doc类型的文件的文件路径为C:\abc\123\test.doc、文件句柄为0x886699B0,则在第一关联表中预置文件路径C:\abc\123\test.doc与doc文件类型的关联关系,在第二关联表中预置句柄0x886699B0与doc文件类型的关联关系;另外,第一关联表中预置的文件路径内容、以及第二关联表中预置的文件句柄内容为已预先确定其安全性的文件路径、文件句柄;
S103、实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;
S104、根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;在一实施例中,将获取的计算机文件的文件路径与第一关联表中的预置内容相匹配,将计算机文件的文件句柄与第二关联表中的预置内容相匹配,从而可以对比该计算机文件在被执行其操作行为后,判断其文件路径和文件句柄是否有变化,若匹配成功,则确认为为非病毒的操作行为,若匹配不成功,则确认为病毒被执行的加密操作;
S105、若操作行为为病毒的加密操作,则拦截加密操作,从而可以在计算机文件被调用的过程中,实现实时监测及拦截病毒的操作,提高了计算机系统的整体安全性。
在上述步骤S101中,考虑到加密病毒在加密前会遍历所有的计算机文件,为了能实现对病毒提前检测判断以保护其它计算机文件的目的,本发明所预置的防御辅助文件的文件命名选用ASCII表中排名靠前的字符,例如,某一防御辅助文件的文件名为“!!!防御辅助文件,请勿删除”,该命名中选用了在ASCII表中排名靠前“!”字符,从而可以优先被加密病毒所遍历到,并在防御辅助文件被执行相应的操作行为时,检测判断是否为加密病毒的加密操作。
在本发明的一实施例中,拦截方法的步骤还包括:
在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件读取行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
由于病毒程序在对计算机文件的加密过程中,可以会对计算机文件被执行上述的一种或几种操作行为,例如,常见的病毒加密文件的过程有:(1)文件创建-文件读取-加密-写入文件;(2)文件创建-文件读取-加密-文件创建-文件写入-文件删除;(3)文件移动-文件创建-文件读取-加密-文件创建-文件写入;(4)文件移动-文件创建-加密-文件创建-文件写入;(5)文件移动-文件创建-加密-文件写入-文件移动。而部分操作行为的被执行过程中,可能与安全程序调用计算机文件的操作行为一致或类似,因此为了提高对病毒程序判断的精确性,防止将安全程序错误判定为病毒程序,因此需要根据第一关联表和第二关联表分别对加密前后的不同操作行为进行相应的判断。下面结合一些实施例对上述涉及文件创建行为、文件移动行为、文件写入行为和文件删除行为等主要操作行为的判断过程进行说明。
在本发明一实施例中,如图2所示,在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S201、判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径;
S202、若是,则将计算机文件的文件句柄handle添加至第二关联表;在执行文件写入行为时,可以通过查询第二关联表获取对应文件的文件句柄;
S203、若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;
S204、在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;
S205、若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
S206、在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
在本发明一实施例中,如图3所示,在操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S301、获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;
S302、判断被执行操作行为的scr文件是否为防御辅助文件;
S303、若是,则操作行为为病毒的加密操作;
S304、若否,从第一关联表中查找scr文件的文件路径;
S305、在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;
S306、将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;
S307、在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;
若在第一关联表中查找到dest文件的文件路径,则执行上述S305和S306步骤中的相关流程,包括根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;
S308、若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
在本发明一实施例中,如图4所示,在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S401、判断被执行文件写入行为的计算机文件是否为防御辅助文件;
S402、在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型;
S403、若是,则操作行为为病毒的加密操作;
S404、在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;
若在第二关联表中查找到计算机文件的文件句柄,则执行S402步骤中的相关流程,获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
在本发明一实施例中,如图5所示,在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作的过程包括:
S501、判断被执行文件删除行为的计算机文件是否为防御辅助文件;
S502、在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
为了使本领域技术人员了解本发明拦截方法的拦截过程,下面结合一实施例的拦截流程进行详细说明:
某一个正常文件的路径为C:\abc\123\test.doc,加密病毒要加密该文件,首先会以至少包含读取权限的方式执行创建文件行为;
经由S201-S205的流程,将路径“C:\abc\123\test.doc”和文件类型“doc”保存在第一个表中;
加密病毒读取完该文件的内容后,会加密文件的内容,加密完之后会再次写入文件中,因为加密之后它的后缀可能会改变,例如有一种勒索者病毒加密后就会变成“C:\abc\123\test.doc.vvv”,所以写入时会首先以至少包含写入权限的方式CreateFile“C:\abc\123\test.doc.vvv”,假设创建文件行为后所返回的文件句柄为0x886699B0,这个文件路径去除后缀后为“C:\abc\123\test.doc”,第一个表中存在这个文件路径,类型为doc,所以把句柄0x886699B0和文件类型doc加入到第二个表中;
当执行写入文件行为进行写入文件内容时,文件句柄为0x886699B0,在第二个表中可以找到此句柄,也知道它的类型是doc,根据写入的文件内容判断是否修改了文件类型,由于文件被加密过,通过内容识别肯定不是doc文件了,所以会进行拦截。
本发明还提供了一种拦截系统,该拦截系统采用上述实施例中所公开的拦截方法对病毒程序进行监测和拦截,以保护计算机所存储的文件;拦截系统包括:
第一单元,用于预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;以及预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;
第二单元,用于实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;
第三单元,用于根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;
第四单元,用于在操作行为为病毒的加密操作,则拦截加密操作。
在本发明的一些实施例中,第二单元还用于:在获取计算机文件在调用过程中被执行的操作行为后,确定操作行为的类型,其中,操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径,若是,则将计算机文件的文件句柄添加至第二关联表;若否,则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断计算机文件的文件大小是否大于8;若计算机文件的文件大小大于8,根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将计算机文件的文件类型添加至第一关联表中。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件移动行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:获取scr文件和dest文件,其中,scr文件为计算机文件在被执行文件移动行为之前的文件路径,dest文件为计算机文件在被执行文件移动行为之后的文件路径;判断被执行操作行为的scr文件是否为防御辅助文件,若是,则操作行为为病毒的加密操作;否则,从第一关联表中查找scr文件的文件路径,在第一关联表中查找到scr文件的文件路径时,根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;在第一关联表中未查找到scr文件的文件路径时,从第一关联表中查找去除文件后缀的dest文件的文件路径;若在第一关联表中查找到dest文件的文件路径,则根据scr文件的内容确定其文件类型;将scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则操作行为为病毒的加密操作;若在第一关联表中未查找到dest文件的文件路径,则根据scr文件的文件后缀和文件内容,确定scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;在scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将scr文件的文件类型和文件路径添加至第一关联表中。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件写入行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件写入行为的计算机文件为防御辅助文件时,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作;在被执行文件写入行为的计算机文件不为防御辅助文件时,则从第二关联表中查找计算机文件的文件句柄;若在第二关联表中查找到计算机文件的文件句柄,则获取文件写入行为的写入内容,判断写入内容是否为修改文件类型,若是,则操作行为为病毒的加密操作。
在本发明的一些实施例中,第三单元还用于:在操作行为的类型为文件删除行为时,根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作,过程包括:在被执行文件删除行为的计算机文件为防御辅助文件时,操作行为为病毒的加密操作。
综上所述,以上所述内容仅为本发明的实施例,仅用于说明本发明的原理,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种应用于计算机文件的加密病毒的拦截方法,其特征在于,包括:
预置防御辅助文件,所述防御辅助文件为所述加密病毒对应加密的文件类型;
预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;
实时监测包括所述防御辅助文件在内的所有计算机文件,在所述计算机被执行操作时,获取所述计算机文件在调用过程中被执行的操作行为、所述计算机文件的文件路径及文件句柄;
在获取所述计算机文件在调用过程中被执行的操作行为后,确定所述操作行为的类型,其中,所述操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为;
在所述操作行为的类型为文件移动行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
获取scr文件和dest文件,其中,所述scr文件为所述计算机文件在被执行所述文件移动行为之前的文件路径,所述dest文件为所述计算机文件在被执行所述文件移动行为之后的文件路径;
判断被执行所述操作行为的所述scr文件是否为防御辅助文件,若是,则所述操作行为为病毒的加密操作;
否则,从所述第一关联表中查找所述scr文件的文件路径,在所述第一关联表中查找到所述scr文件的文件路径时,根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
在所述第一关联表中未查找到所述scr文件的文件路径时,从所述第一关联表中查找去除文件后缀的dest文件的文件路径;若在所述第一关联表中查找到所述dest文件的文件路径,则根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
若在所述第一关联表中未查找到所述dest文件的文件路径,则根据所述scr文件的文件后缀和文件内容,确定所述scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将所述scr文件的文件类型和文件路径添加至所述第一关联表中;
若所述操作行为为病毒的加密操作,则拦截所述加密操作。
2.根据权利要求1所述的拦截方法,其特征在于,在所述操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
判断去除文件后缀的所述计算机文件的文件路径是否为所述第一关联表中的文件路径,若是,则将所述计算机文件的文件句柄添加至所述第二关联表;
若否,则判断所述计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在所述计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断所述计算机文件的文件大小是否大于8;
若所述计算机文件的文件大小大于8,根据所述计算机文件的内容重新确定所述计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将所述计算机文件的文件类型添加至所述第一关联表中。
3.根据权利要求1所述的拦截方法,其特征在于,在所述操作行为的类型为文件写入行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
在被执行所述文件写入行为的所述计算机文件为防御辅助文件时,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作;
在被执行所述文件写入行为的所述计算机文件不为防御辅助文件时,则从所述第二关联表中查找所述计算机文件的文件句柄;若在所述第二关联表中查找到所述计算机文件的文件句柄,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作。
4.根据权利要求1所述的拦截方法,其特征在于,在所述操作行为的类型为文件删除行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:
在被执行所述文件删除行为的所述计算机文件为防御辅助文件时,所述操作行为为病毒的加密操作。
5.一种拦截系统,其特征在于,包括:
第一单元,用于预置防御辅助文件,所述防御辅助文件为加密病毒对应加密的文件类型;以及预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;
第二单元,用于实时监测包括所述防御辅助文件在内的所有计算机文件,在所述计算机被执行操作时,获取所述计算机文件在调用过程中被执行的操作行为、所述计算机文件的文件路径及文件句柄;以及,
在获取所述计算机文件在调用过程中被执行的操作行为后,确定所述操作行为的类型,其中,所述操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为;
第三单元,用于在所述操作行为的类型为文件移动行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
获取scr文件和dest文件,其中,所述scr文件为所述计算机文件在被执行所述文件移动行为之前的文件路径,所述dest文件为所述计算机文件在被执行所述文件移动行为之后的文件路径;
判断被执行所述操作行为的所述scr文件是否为防御辅助文件,若是,则所述操作行为为病毒的加密操作;
否则,从所述第一关联表中查找所述scr文件的文件路径,在所述第一关联表中查找到所述scr文件的文件路径时,根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
在所述第一关联表中未查找到所述scr文件的文件路径时,从所述第一关联表中查找去除文件后缀的dest文件的文件路径;若在所述第一关联表中查找到所述dest文件的文件路径,则根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;
若在所述第一关联表中未查找到所述dest文件的文件路径,则根据所述scr文件的文件后缀和文件内容,确定所述scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将所述scr文件的文件类型和文件路径添加至所述第一关联表中;
第四单元,用于在所述操作行为为病毒的加密操作,则拦截所述加密操作。
6.根据权利要求5所述的拦截系统,其特征在于,所述第三单元还用于:在所述操作行为的类型为文件创建行为和文件打开行为的其中一种时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
判断去除文件后缀的所述计算机文件的文件路径是否为所述第一关联表中的文件路径,若是,则将所述计算机文件的文件句柄添加至所述第二关联表;
若否,则判断所述计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种;在所述计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时,判断所述计算机文件的文件大小是否大于8;
若所述计算机文件的文件大小大于8,根据所述计算机文件的内容重新确定所述计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型;
在所述计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时,将所述计算机文件的文件类型添加至所述第一关联表中。
7.根据权利要求5所述的拦截系统,其特征在于,所述第三单元还用于:在所述操作行为的类型为文件写入行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
在被执行所述文件写入行为的所述计算机文件为防御辅助文件时,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作;
在被执行所述文件写入行为的所述计算机文件不为防御辅助文件时,则从所述第二关联表中查找所述计算机文件的文件句柄;若在所述第二关联表中查找到所述计算机文件的文件句柄,则获取所述文件写入行为的写入内容,判断所述写入内容是否为修改文件类型,若是,则所述操作行为为病毒的加密操作。
8.根据权利要求5所述的拦截系统,其特征在于,所述第三单元还用于:在所述操作行为的类型为文件删除行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作,过程包括:
在被执行所述文件删除行为的所述计算机文件为防御辅助文件时,所述操作行为为病毒的加密操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611056350.5A CN106778267B (zh) | 2016-11-24 | 2016-11-24 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611056350.5A CN106778267B (zh) | 2016-11-24 | 2016-11-24 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106778267A CN106778267A (zh) | 2017-05-31 |
| CN106778267B true CN106778267B (zh) | 2019-12-17 |
Family
ID=58910769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611056350.5A Active CN106778267B (zh) | 2016-11-24 | 2016-11-24 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106778267B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108363923A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种勒索者病毒防御方法、系统及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5996145B1 (ja) * | 2016-07-14 | 2016-09-21 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
-
2016
- 2016-11-24 CN CN201611056350.5A patent/CN106778267B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| JP5996145B1 (ja) * | 2016-07-14 | 2016-09-21 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于Windows_Mobile个人敏感信息防护系统设计与实现;查骅;《中国优秀硕士学位论文全文数据库信息科技辑》;20130115;正文第20页最后一段及第39页第3-4段 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106778267A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3316166B1 (en) | File-modifying malware detection | |
| US9588848B2 (en) | System and method of restoring modified data | |
| US10375086B2 (en) | System and method for detection of malicious data encryption programs | |
| CN107480527B (zh) | 勒索软件的防范方法及系统 | |
| US20200204589A1 (en) | Systems and methods for preventive ransomware detection using file honeypots | |
| US9152821B2 (en) | Data leakage prevention system, method, and computer program product for preventing a predefined type of operation on predetermined data | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| US8621237B1 (en) | Protecting against cryptographic key exposure in source code | |
| US10685116B2 (en) | Anti-ransomware systems and methods using a sinkhole at an electronic device | |
| CN101414327B (zh) | 文件保护的方法 | |
| JP6122562B2 (ja) | 特定装置、特定方法および特定プログラム | |
| CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
| KR101033511B1 (ko) | 개인정보 보호 방법 및 이를 위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체 | |
| Vidyarthi et al. | Static malware analysis to identify ransomware properties | |
| CN102184372A (zh) | 一种基于逆向沙箱的手机支付保护方法 | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| CN102222292B (zh) | 一种手机支付保护方法 | |
| Lee et al. | Fileless cyberattacks: Analysis and classification | |
| KR101834808B1 (ko) | 파일 암호화 방지 장치 및 방법 | |
| CN106778267B (zh) | 一种应用于计算机文件的加密病毒的拦截方法及系统 | |
| Luo et al. | Real-time detection and prevention of android sms permission abuses | |
| US20160212124A1 (en) | Terminal determination device and method | |
| JP2015052951A (ja) | セキュリティ強化装置 | |
| CN103186746A (zh) | 一种可执行文件的保护方法及系统 | |
| US20200082060A1 (en) | Secure calling convention system and methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 100041, room 2, building 3, building 30, Xing Xing street, Shijingshan District, Beijing, Patentee after: Beijing Falcon Safety Technology Co., Ltd Address before: 100041 Beijing city Shijingshan District Street Hing 30 Hospital No. 3 Building 2 layer A-0003 Patentee before: BEIJING KINGSOFT SECURITY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address |