CN107871089B - 文件防护方法及装置 - Google Patents
文件防护方法及装置 Download PDFInfo
- Publication number
- CN107871089B CN107871089B CN201711258009.2A CN201711258009A CN107871089B CN 107871089 B CN107871089 B CN 107871089B CN 201711258009 A CN201711258009 A CN 201711258009A CN 107871089 B CN107871089 B CN 107871089B
- Authority
- CN
- China
- Prior art keywords
- file
- preset
- copy
- access
- access mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种文件防护方法及装置,涉及计算机技术领域。该文件防护方法包括:获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式;在为是时,则基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件;判断所述第一文件与第二文件的相似度是否大于预设阈值;在为是时,则将所述第一文件替换为所述第二文件。该文件防护方法针对勒索软件对文件进行攻击的方式,对勒索软件的行为和特征以主动的方式进行防御,防止勒索软件对文件进行加密等形式的攻击,避免病毒的攻击造成的损失。
Description
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种文件防护方法及装置。
背景技术
现有技术中对勒索软件进行防御的主要手段为传统的杀毒软件进行查杀,但是传统的杀毒软件存在漏杀病毒的情况,例如,杀毒软件中未存在某些病毒的特征,导致不能检测到这些病毒。从而,利用杀毒软件这种被动的对文件进行防护的方式可能导致病毒对文件造成破坏,给用户带来损失。
发明内容
有鉴于此,本发明实施例提供了一种文件防护方法及装置,以解决上述问题。
为了实现上述目的,本发明采用的技术方案如下:
一种文件防护方法,获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式;在为是时,则基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件;判断所述第一文件与第二文件的相似度是否大于预设阈值;在为是时,则将所述第一文件替换为所述第二文件。
作为一种可选的实施方式,上述文件防护方法中,所述判断所述第一访问指令对应的访问方式是否为第一访问方式,包括:获取所述第一访问指令对应的用于表征访问方式的第一参数;判断所述第一参数是否为第一访问方式对应的预设参数;若是,则判定所述第一访问指令对应的访问方式是所述第一访问方式;若否,则判定所述第一访问指令对应的访问方式不是所述第一访问方式。
作为一种可选的实施方式,上述文件防护方法中,所述基于第一操作指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件,包括:在预设隔离目录创建所述第一文件的副本,作为所述第一文件的所述第一副本文件;基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件。
作为一种可选的实施方式,上述文件防护方法中,所述基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件,包括:将对所述第一文件的打开操作重定向到所述第一副本文件;执行对所述第一副本文件的文件修改操作,生成第二文件。
作为一种可选的实施方式,上述文件防护方法中,所述基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件,包括:将对所述第一文件的打开操作重定向到所述第一副本文件;判断文件系统的第一文件所在的目录以及所述预设隔离目录中是否存在修改后的第一文件名;若否,则将所述第一文件名作为所述第一副本文件的当前文件名,作为第二文件,并于所述预设隔离目录生成与所述第一文件的文件名相同的文件名的用于表征被查询时需要被隐藏的标记文件。
作为一种可选的实施方式,上述文件防护方法中,所述基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件,包括:将对所述第一文件的打开操作重定向到所述第一副本文件;删除所述第一副本文件中的数据,创建一个数据为空的文件,作为第二文件,并于所述预设隔离目录创建一个包括所述第一副本文件中的数据的具有标记信息的隐藏文件。
作为一种可选的实施方式,上述文件防护方法中,所述判断所述第一文件与第二文件的相似度是否大于预设阈值,包括:基于预设相似度获取算法获取所述第一文件与所述第二文件的相似度;判断所述相似度是否大于预设阈值。
作为一种可选的实施方式,上述文件防护方法中,所述判断所述第一文件与第二文件的相似度是否大于预设阈值之后,所述方法还包括:在为否时,作出用于表征对所述第一文件的不安全操作的提示动作。
作为一种可选的实施方式,上述文件防护方法中,所述获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式之前,所述方法还包括:确定所述第一文件的文件类型;判断所述第一文件的文件类型是否为第一预设文件类型。
一种文件防护装置,所述装置包括:访问方式判断模块、虚拟化操作模块、相似度判断模块以及执行模块,其中,所述访问方式判断模块用于获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式;所述虚拟化操作模块用于在为是时,则基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件;所述相似度判断模块用于判断所述第一文件与第二文件的相似度是否大于预设阈值;所述执行模块用于在为是时,则将所述第一文件替换为所述第二文件。
本发明实施例提供的文件防护方法及装置,通过在获取对第一预设文件类型的第一文件的第一访问指令时,判断第一访问指令对应的访问方式是否为第一访问方式;然后,在为是时,则基于第一访问指令对第一文件的第一副本文件进行预设虚拟化操作,获得第二文件,再判断第一文件与第二文件的相似度是否大于预设阈值,最后,在为是时,则将第一文件替换为第二文件。从而,可以对预设文件类型的重要文件的操作的检测,以及对操作的虚拟化,并且对操作后的结果进行检测,实现对文件的主动防护,解决现有技术中利用杀毒软件这种被动的对文件进行防护的方式可能导致病毒对文件造成破坏,给用户带来损失的问题。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明实施例提供的终端设备的方框示意图;
图2示出了本发明实施例提供的文件防护方法的流程图;
图3示出了本发明实施例提供的文件防护方法中步骤S110的流程图;
图4示出了本发明实施例提供的文件防护方法中步骤S120的流程图;
图5示出了本发明实施例提供的文件防护方法中步骤S130的流程图;
图6示出了本发明实施例提供的文件防护装置的模块图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1示出了一种可应用于本发明实施例中的终端设备的结构框图。如图1所示,终端设备100包括存储器102、存储控制器104,一个或多个(图中仅示出一个)处理器106、外设接口108、射频模块110、音频模块112、显示单元114等。这些组件通过一条或多条通讯总线/信号线116相互通讯。
存储器102可用于存储软件程序以及模块,如本发明实施例中的文件防护方法及装置对应的程序指令/模块,处理器106通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理,如本发明实施例提供的文件防护装置。
存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。
外设接口108将各种输入/输出装置耦合至处理器106以及存储器102。在一些实施例中,外设接口108,处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
射频模块110用于接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。
音频模块112向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元114在终端设备100与用户之间提供一个显示界面。具体地,显示单元114向用户显示视频输出,这些视频输出的内容可包括文字、图形、视频及其任意组合。
可以理解,图1所示的结构仅为示意,终端设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
勒索软件是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户好数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据自残包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其他虚拟货币等。并且,勒索软件的开发者可能还会设定一个支付时限,有时赎金数目会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也无法正常使用系统,无法还原被加密的文件。
随着互联网的发展,网络安全受到越来越严重的威胁,其中恶意勒索软件危害性极大,受害者损失重要数据,甚至导致重要机构如医院,机场,税务等电脑系统瘫痪,造成巨大的社会危害。
现有技术中防御勒索软件的主要手段为使用传统的杀毒软件进行查杀,杀毒软件的查杀能力取决与软件的病毒特征库,需要提取病毒样本的二进制特征代码,然后作为特征放到特征库,最后由杀毒软件在终端上实时监控可执行样本并对比二进制特征,符合特征的识别为病毒,否则认为安全。
这些认为安全的样本中存在一定的概率因还未收集特征而漏掉病毒,基于这种始终跟在病毒后面更新特征库的原理,使得通用的杀毒软件无法有效的防御未知的勒索软件。
目前,勒索软件对文件数据进行加密的流程可以大致分为三种方法。第一种方法为,全盘搜索:对计算机的所有磁盘进行遍历搜索,过滤出可能有价值的数据文件,对文件名进行判断,如一些常用文档,cad图纸,ps设计图,甚至数据库文件等等加密数据文件:读取原文件数据,对数据进行加密,生成一个加密文件副本;删除原文件:删除原文件,从而只留下加密文件副本。
第二种方法为,全盘搜索:对计算机的所有磁盘进行遍历搜索,过滤出可能有价值的数据文件,对文件名进行判断,如一些常用文档,doc文档,xls文档,ppt文稿,txt文件,cad图纸,ps设计图,甚至数据库文件等等;读取原文件数据:一次读取待加密文件全部内容;加密数据文件:对数据进行加密,写入原文件。
第三种方法为,全盘搜索:对计算机的所有磁盘进行遍历搜索,过滤出可能有价值的数据文件,对文件名进行判断,如一些常用文档,cad图纸,ps设计图,甚至数据库文件等等。重命名原文件:将原文件重命名成一个临时文件名;加密数据文件:在原文件位置生成一个新文件,读取重命名文件数据,加密并写入新文件。
对于能短时间内大面积传播的病毒,如wannacry病毒,待收集完病毒特征后更新病毒库再进行查杀时,病毒已经造成了巨大的破坏。
因此,对待勒索软件的行为和特征需要以主动的方式进行防御,即从对文件的操作的角度进行防御。本发明实施例提供了一种文件防护方法及装置,以实现主动对文件的防护,避免病毒攻击遭受的损失。
第一实施例
如图2示出了本发明实施例提供的文件下载方法的流程图。请参见图2,该方法包括:
步骤S110:获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式。
终端设备的系统中的文件可能存在用户需要进行需要的操作,或者文件存在被病毒勒索软件攻击的情况。在文件被操作时,需要获取到相应的访问指令。
在本发明实施例中,终端设备中可以存储有需要被进行保护的第一预设文件类型的文件。具体的,可以设置有预设扩展名的被保护的文件。例如,设置的被保护的文件的预设扩展名可以是0,1,123,1ST,2,3DM,3DMF,DOC,DOCM,DOCX,xls,xlsx,PPT,PPTX等一些重要文件的扩展名。当然,在本发明实施例中,以上预设扩展名仅为举例,并不对设置的预设扩展名的具体类型作为限定,也还可以为其他文件扩展名,例如DWB,DWF,DWG,DXF等。
因此,在获取到对一文件的访问指令时,可以判断该文件的文件类型,并根据该文件的文件类型确定该文件是否为需要进行保护的文件。因此,在本发明实施例中,步骤S110之前可以包括:确定所述第一文件的文件类型;判断所述第一文件的文件类型是否为第一预设文件类型。
具体的,确定第一文件的文件类型,可以根据是根据文件的扩展名。然后,可以判断第一文件的文件类型是否是属于第一预设文件类型中的某个文件类型。即,可以判断该第一文件的扩展名是否属于预设扩展名。从而,可以判断出该第一文件是否为需要进行保护的文件,以使后续对需要进行保护的文件进行保护性的操作。
在本发明实施例中,可以在获取到对第一预设文件类型的第一文件的第一访问指令时,判断该第一访问指令对应的访问方式是否为第一访问方式,即对第一文件的访问的访问方式进行确定,以确定出第一访问指令是否可能对第一文件造成破坏性修改,如对文件中的数据造成丢失等。
具体的,请参见图3,判断所述第一访问指令对应的访问方式是否为第一访问方式,可以包括:
步骤S111:获取所述第一访问指令对应的用于表征访问方式的第一参数。
在获取到对第一预设文件类型的第一文件的第一访问指令时,获取第一访问指令对应的访问方式对应的第一参数,例如,可以定义为dwDesiredAccess参数,该参数表示对第一文件是以只读,或者修改,或者删除等访问方式的进行访问。
步骤S112:判断所述第一参数是否为第一访问方式对应的预设参数。
在步骤S111中获取到第一参数后,可以再判断第一参数是否为第一访问方式对应的预设参数,即判断是否为修改、删除等访问方式对应的预设参数。具体的判断可以将第一参数与设置的预设参数进行匹配,若第一参数与设置的预设参数中的一个参数匹配,则该第一参数为第一访问方式对应的预设参数。
步骤S113:若是,则判定所述第一访问指令对应的访问方式是所述第一访问方式;若否,则判定所述第一访问指令对应的访问方式不是所述第一访问方式。
当步骤S112中判定出第一参数为第一访问方式对应的预设参数时,则判定第一访问指令对应的访问方式为第一访问方式。当步骤S112中判定出第一参数不为第一访问方式对应的预设参数时,则判定第一访问指令对应的访问方式不为第一访问方式。
从而,可以获得对第一访问指令对应的访问方式是否为第一访问方式的判断结果,以根据此判断结果执行对第一文件的保护。即当判定出第一访问指令对应的访问方式为第一访问方式时,则表示对需要进行保护的文件类型的文件的访问可能造成该文件的破坏,需要进行保护;当判定出第一访问指令对应的访问方式不为第一访问方式时,则表示对需要进行保护的文件类型的文件的访问不会造成该文件的破坏,按照原有的访问流程进行即可。
步骤S120:在为是时,则基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件。
在本发明实施例中,在判定为对第一文件的第一访问指令对应的访问方式为第一访问方式时,则需要按照本发明实施例中提供的对第一访问指令后续的操作进行对应的虚拟化操作的方式进行。可以是基于第一访问指令对第一文件的第一副本文件进行预设虚拟化操作,获得后续的操作对应的第二文件。即文件的具体操作是对第一文件的第一副本文件进行虚拟化操作,而不是按照原有的流程直接对第一文件执行相应的操作。
具体的,请参见图4,基于第一操作指令对第一文件的第一副本文件进行虚拟化操作,获得第二文件,可以包括:
步骤S121:在预设隔离目录创建所述第一文件的副本,作为所述第一文件的所述第一副本文件。
可以理解的是,在第一文件所在目录对应的一个预设隔离目录创建第一文件的副本,即复制第一文件至预设隔离目录生成第一副本文件。
需要说明的是,每个目录可以设置有对应的预设隔离目录,该隔离目录具有访问的权限,并且可以只是文件系统过滤器具有访问权限,文件系统过滤器是指实现本发明实施例提供的文件系统虚拟化隔离的软件功能模块,以使用户或者安装的软件无法访问到该目录,便于隐藏后续的虚拟化操作。从而,可以使用户具有良好的体验度,并且使恶意软件无法监测到对第一文件的相应的操作是对预设隔离目录中的副本文件进行的,使后续虚拟化操作的真实度提升,保护性提高。
步骤S122:基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件。
在获得第一文件对应的预设隔离目录的第一副本文件后,再根据对文件进行虚拟化操作的虚拟化操作策略执行对第一副本文件的相应的操作,生成第二文件。即在后续对第一文件的具体的操作,例如,修改,重命名等操作,是对第一副本文件进行的虚拟化操作,以使对第一文件进行保护。
对于对第一文件的不同的操作,本发明实施例提供了相应的实施方式。
作为第一种实施方式,对于文件的文件读写操作、属性修改操作、文件大小修改操作,具体按照虚拟化操作策略执行对第一副本文件的操作可以是:将对所述第一文件的打开操作重定向到所述第一副本文件;执行对所述第一副本文件的文件修改操作,生成第二文件。
可以理解的是,对第一文件的打开操作重定向到第一副本文件,以使后续的文件修改操作是对第一副本文件进行。
作为第二种实施方式,对于文件的重命名操作,具体按照虚拟化操作策略执行对第一副本文件的操作可以是:将对所述第一文件的打开操作重定向到所述第一副本文件;判断文件系统的第一文件所在的目录以及所述预设隔离目录中是否存在修改后的第一文件名;若否,则将所述第一文件名作为所述第一副本文件的当前文件名,作为第二文件,并于所述预设隔离目录生成与所述第一文件的文件名相同的文件名的用于表征被查询时需要被隐藏的标记文件。
可以理解的是,为使保证对于文件的重命名操作表现真实性,即与原有的系统的行为一致。对第一文件对应的目录进行查询,包括第一文件所在的目录和第一文件对应的隔离文件目录,是否新文件名已存在文件实体,如已存在则按照系统应有行为报错,并返回。如无冲突,则对第一副本文件进行重命名,同时在按照重命名前的文件名,即第一文件的文件名,在隔离目录生成一个标记文件。该标记文件的文件名与第一文件的文件名一致,并且标记有此标记文件虚拟需要被查询虚拟化隐藏,标记文件的方式包括但不限于使用特殊文件时间,文件写入一段特殊数据等。从而,可以使第一副本文件虽然被重命名,但是预算隔离目录中仍然存在与第一文件的文件名相同的标记文件,并且该标记文件在查询时被隐藏,因此不会在进行文件查询时被查询到。
作为第三种实施方式,对于对文件的删除的操作,具体按照虚拟化操作策略执行对第一副本文件的操作可以是:将对所述第一文件的打开操作重定向到所述第一副本文件;删除所述第一副本文件,并于所述第一副本文件中写入标记信息后将所述第一副本文件隐藏。
可以理解的是,在执行对第一文件的删除相关操作时,根据具体的操作,删除与具体的操作对应的第一副本文件中的数据,获得删除对应的数据后的第二副本文件。并且在第二副本文件中加入标记信息,例如特殊时间等,然后将该第二副本文件隐藏,使其无法被查询到。
在本发明实施例中,对于查询操作的基于虚拟化策略执行对第一副本文件的操作,可以是:当原目录和预设隔离目录下同时存在某文件时,需要以预设隔离目录下的同名文件属性对查询结果进行修改,以对系统表现出文件变化,例如,文件写入了100个字节,则查询此文件大小应该变大100字节。当原目录不存在某文件,而预设隔离目录下存在某文件此时,需要将预设隔离目录下的文件信息附加到原目录查询结果中,对系统表现出虚拟文件,比如创建一个文件,查询时则文件表现为确实存在原目录下存在某文件,而预设隔离目录下此文件已重命名,此时隔离目录下存在一个与原文件同名的标记文件,以及一个重命名后的新文件,所以此虚拟化操作为一个复合操作,首先隐藏与标记文件同名的文件,然后附加原目录下没有而隔离目录下存在的文件信息,对系统表现为原文件不存在了,而多出一个新文件的效果。当原目录下存在某文件,而隔离目录下此文件已删除时,也需要过滤预设隔离目录下的标记文件,从原目录查询结果中去除掉相应的文件信息,对系统表现出文件已不存在的效果。
步骤S130:判断所述第一文件与第二文件的相似度是否大于预设阈值。
在本发明实施例中,在对第一文件的具体操作执行对应的虚拟化操作,生成第二文件后,还可以对第一文件与第二文件两者的相似度进行确定,并于预设阈值进行比较,以确定第二文件的修改程度是否较大。
具体的,请参见图5,判断第一文件与第二文件的相似度是否大于预设阈值,可以包括:
步骤S131:基于预设相似度获取算法获取所述第一文件与所述第二文件的相似度。
步骤S132:判断所述相似度是否大于预设阈值。
在本发明实施例中,预设相似度算法可以是快速傅里叶变换等数据可视化算法将第二文件二进制数据转成波形等图像化数据,然后与第一文件的图像化数据进行相似度确定。当然,预设相似度算法的具体算法在本发明实施例中并不作为限定,可以确定两个文件之间的相似度即可。
在获得第一文件与第二文件的相似度后,再判断获得的相似度是否大于预设阈值,并获得判断结果。
步骤S140:在为是时,则将所述第一文件替换为所述第二文件。
由于病毒勒索软件等对文件进行加密等破坏后,通常得到的第二文件与第一文件的相似度非常小,因此,相似度与预设阈值之间的比对结果可以确定出对第一文件的操作是否为安全操作。从而,当步骤S130中,判断出第一文件与第二文件的相似度大于预设阈值时,则表示第二文件相对第一文件并未发生变化,或者是变化不大等,即可以确定出是安全的修改操作。并将第一文件替换为第二文件,实现对第一文件的安全性的操作。
当步骤S130中,判断出第一文件与第二文件的相似度小于预设阈值时,则表示第二文件相对第一文件发生十分大的变化,可能是病毒勒索软件对第一文件造成破坏性的不安全操作。为让用户进行确认或者了解第一文件遭受不安全的操作,在本发明实施例中,步骤S130之后,还可以包括:在为否时,作出用于表征对所述第一文件的不安全操作的提示动作。从而,可以让用户了解到第一文件被执行不安全的操作,用户可以后续进行确认是否为自己执行的操作等。
从而,本发明实施例提供的文件防护方法可以针对当前勒索软件对文件的破坏性操作进行防御。对于当前勒索软件对文件数据进行加密的第一种方法:生成加密文件副本,删除原文件。本发明实施例中的文件删除操作为虚拟化操作,可保护原文件不受破坏,仅会导致隔离目录下生成一个标记删除文件。对于当前勒索软件对文件数据进行加密的第二种方法:完整读取原文件内容,加密后写入原文件。本发明实施例中对打开的操作进行重定向到副本文件,可以保护原文件不受破坏,所有加密数据都是写入到预设隔离目录下的副本文件。对于当前勒索软件对文件数据进行加密的第三种方法:重命名原文件,加密生成原文件,删除重命名的明文文件。本发明实施例中的重命名操作为虚拟化操作,可保护保护原文件不受破坏,仅会导致预设隔离目录下生成一个密文副本。
并且,对第一文件与第二文件的相似度进行判断并执行判断结果对应的动作,也较大的提升了用户的体验度。
第二实施例
本发明第二实施例提供了一种文件防护装置200,请参见图6,该文件防护装置200包括:访问方式判断模块210、虚拟化操作模块220、相似度判断模块230以及执行模块240。其中,所述访问方式判断模块210用于获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式;所述虚拟化操作模块220用于在为是时,则基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件;所述相似度判断模块230用于判断所述第一文件与第二文件的相似度是否大于预设阈值;所述执行模块240用于在为是时,则将所述第一文件替换为所述第二文件。
在本发明实施例中,访问方式判断模块210包括:参数获取单元、第一判断单元以及第一判定单元。其中,所述参数获取单元用于获取所述第一访问指令对应的用于表征访问方式的第一参数;所述第一判断单元用于判断所述第一参数是否为第一访问方式对应的预设参数;第一判定单元用于若是,则判定所述第一访问指令对应的访问方式是所述第一访问方式,若否,则判定所述第一访问指令对应的访问方式不是所述第一访问方式。
在本发明实施例中,虚拟化操作模块220包括副本文件获取单元以及操作执行单元。其中,副本文件获取单元用于在预设隔离目录创建所述第一文件的副本,作为所述第一文件的所述第一副本文件;操作执行单元用于基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件。
在本发明实施例中,操作执行单元执行基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件时,可以包括:将对所述第一文件的打开操作重定向到所述第一副本文件;执行对所述第一副本文件的文件修改操作,生成第二文件。
在本发明实施例中,操作执行单元执行基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件时,可以包括:将对所述第一文件的打开操作重定向到所述第一副本文件;判断文件系统的第一文件所在的目录以及所述预设隔离目录中是否存在修改后的第一文件名;若否,则将所述第一文件名作为所述第一副本文件的当前文件名,作为第二文件。
在本发明实施例中,操作执行单元执行基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件时,可以包括:将对所述第一文件的打开操作重定向到所述第一副本文件;删除所述第一副本文件中的文件,创建一个具有用于表征第一副本文件的数据为空的标记信息的隐藏文件,作为第二文件。
在本发明实施例中,相似度判断模块230包括相似度获取单元及判断执行单元。相似度获取单元用于基于预设相似度获取算法获取所述第一文件与所述第二文件的相似度;判断执行单元用于判断所述相似度是否大于预设阈值。
在本发明实施例中,该文件防护装置200还可以包括提示模块。所述提示模块用于在为否时,作出用于表征对所述第一文件的不安全操作的提示动作。
在本发明实施例中,该文件防护装置200还可以包括文件类型确定单元以及文件类型判断单元。其中,该文件类型确定单元用于确定所述第一文件的文件类型;该文件类型判断单元用于判断所述第一文件的文件类型是否为第一预设文件类型。
综上所述,本发明实施例提供的文件防护方法及装置,通过在获取对第一预设文件类型的第一文件的第一访问指令时,判断第一访问指令对应的访问方式是否为第一访问方式;然后,在为是时,则基于第一访问指令对第一文件的第一副本文件进行预设虚拟化操作,获得第二文件,再判断第一文件与第二文件的相似度是否大于预设阈值,最后,在为是时,则将第一文件替换为第二文件。从而,可以对预设文件类型的重要文件的操作的检测,以及对操作的虚拟化,并且对操作后的结果进行检测,实现对文件的主动防护,解决现有技术中利用杀毒软件这种被动的对文件进行防护的方式可能导致病毒对文件造成破坏,给用户带来损失的问题。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种文件防护方法,其特征在于,所述方法包括:
获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式;
在为是时,则基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件;
判断所述第一文件与第二文件的相似度是否大于预设阈值;
在为是时,则将所述第一文件替换为所述第二文件;
所述基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件,包括:
在预设隔离目录创建所述第一文件的副本,作为所述第一文件的所述第一副本文件;其中,所述预设隔离目录具有访问的权限,文件系统过滤器具有访问权限,所述文件系统过滤器为一个软件功能模块,用于实现文件的虚拟化隔离;
基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件。
2.根据权利要求1所述的方法,其特征在于,所述判断所述第一访问指令对应的访问方式是否为第一访问方式,包括:
获取所述第一访问指令对应的用于表征访问方式的第一参数;
判断所述第一参数是否为第一访问方式对应的预设参数;
若是,则判定所述第一访问指令对应的访问方式是所述第一访问方式;
若否,则判定所述第一访问指令对应的访问方式不是所述第一访问方式。
3.根据权利要求1所述的方法,其特征在于,所述基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件,包括:
将对所述第一文件的打开操作重定向到所述第一副本文件;
执行对所述第一副本文件的文件修改操作,生成第二文件。
4.根据权利要求1所述的方法,其特征在于,所述基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件,包括:
将对所述第一文件的打开操作重定向到所述第一副本文件;
判断文件系统的第一文件所在的目录以及所述预设隔离目录中是否存在修改后的第一文件名;
若否,则将所述第一文件名作为所述第一副本文件的当前文件名,作为第二文件,并于所述预设隔离目录生成与所述第一文件的文件名相同的文件名的用于表征被查询时需要被隐藏的标记文件。
5.根据权利要求1所述的方法,其特征在于,所述基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件,包括:
将对所述第一文件的打开操作重定向到所述第一副本文件;
删除所述第一副本文件中的数据,并于所述第一副本文件中写入标记信息后将所述第一副本文件隐藏。
6.根据权利要求1所述的方法,其特征在于,所述判断所述第一文件与第二文件的相似度是否大于预设阈值,包括:
基于预设相似度获取算法获取所述第一文件与所述第二文件的相似度;
判断所述相似度是否大于预设阈值。
7.根据权利要求1所述的方法,其特征在于,所述判断所述第一文件与第二文件的相似度是否大于预设阈值之后,所述方法还包括:
在为否时,作出用于表征对所述第一文件的不安全操作的提示动作。
8.根据权利要求1所述的方法,其特征在于,所述获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式之前,所述方法还包括:
确定所述第一文件的文件类型;
判断所述第一文件的文件类型是否为第一预设文件类型。
9.一种文件防护装置,其特征在于,所述装置包括:访问方式判断模块、虚拟化操作模块、相似度判断模块以及执行模块,其中,
所述访问方式判断模块用于获取对第一预设文件类型的第一文件的第一访问指令时,判断所述第一访问指令对应的访问方式是否为第一访问方式;
所述虚拟化操作模块用于在为是时,则基于所述第一访问指令对所述第一文件的第一副本文件进行预设虚拟化操作,获得第二文件;
所述相似度判断模块用于判断所述第一文件与第二文件的相似度是否大于预设阈值;
所述执行模块用于在为是时,则将所述第一文件替换为所述第二文件;
所述虚拟化操作模块还用于:
在预设隔离目录创建所述第一文件的副本,作为所述第一文件的所述第一副本文件;其中,所述预设隔离目录具有访问的权限,文件系统过滤器具有访问权限,所述文件系统过滤器为一个软件功能模块,用于实现文件的虚拟化隔离;
基于预设虚拟化操作策略执行对所述第一副本文件的操作,生成第二文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711258009.2A CN107871089B (zh) | 2017-12-04 | 2017-12-04 | 文件防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711258009.2A CN107871089B (zh) | 2017-12-04 | 2017-12-04 | 文件防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107871089A CN107871089A (zh) | 2018-04-03 |
| CN107871089B true CN107871089B (zh) | 2020-11-24 |
Family
ID=61755108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711258009.2A Active CN107871089B (zh) | 2017-12-04 | 2017-12-04 | 文件防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107871089B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110414258B (zh) * | 2018-04-28 | 2023-05-30 | 阿里巴巴集团控股有限公司 | 文件处理方法和系统、数据处理方法 |
| CN111600893B (zh) * | 2020-05-19 | 2022-09-02 | 山石网科通信技术股份有限公司 | 勒索软件的防御方法、装置、存储介质、处理器和主机 |
| CN111625828B (zh) * | 2020-07-29 | 2021-02-26 | 杭州海康威视数字技术股份有限公司 | 勒索病毒防御方法、装置及电子设备 |
| TWI769038B (zh) * | 2021-08-04 | 2022-06-21 | 林長毅 | 防資料綁架的方法及相關電腦程式 |
| CN115168908B (zh) * | 2022-09-05 | 2022-12-06 | 深圳市科力锐科技有限公司 | 文件保护方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102043920A (zh) * | 2010-12-29 | 2011-05-04 | 北京深思洛克软件技术股份有限公司 | 数据泄密防护系统中的公共文件的访问隔离方法 |
| EP1936919A3 (en) * | 2002-07-22 | 2012-04-18 | Ricoh Company, Ltd. | Information Processing Apparatus and Information Processing Method |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065104A (zh) * | 2011-01-10 | 2011-05-18 | 深信服网络科技(深圳)有限公司 | 一种异地文件访问方法、装置及系统 |
| US20140288847A1 (en) * | 2013-03-15 | 2014-09-25 | The Florida State University Research Foundation, Inc. | Systems and techniques for segmentation of sequential data |
| CN107203345B (zh) * | 2017-06-01 | 2019-10-01 | 深圳市云舒网络技术有限公司 | 一种多副本存储快速校验一致性方法及其装置 |
-
2017
- 2017-12-04 CN CN201711258009.2A patent/CN107871089B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1936919A3 (en) * | 2002-07-22 | 2012-04-18 | Ricoh Company, Ltd. | Information Processing Apparatus and Information Processing Method |
| CN102043920A (zh) * | 2010-12-29 | 2011-05-04 | 北京深思洛克软件技术股份有限公司 | 数据泄密防护系统中的公共文件的访问隔离方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107871089A (zh) | 2018-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107871089B (zh) | 文件防护方法及装置 | |
| Kharraz et al. | Redemption: Real-time protection against ransomware at end-hosts | |
| US11188650B2 (en) | Detection of malware using feature hashing | |
| Scaife et al. | Cryptolock (and drop it): stopping ransomware attacks on user data | |
| Alazab | Profiling and classifying the behavior of malicious codes | |
| US9245120B2 (en) | Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning | |
| US8484737B1 (en) | Techniques for processing backup data for identifying and handling content | |
| Mbol et al. | An efficient approach to detect torrentlocker ransomware in computer systems | |
| US8776236B2 (en) | System and method for providing storage device-based advanced persistent threat (APT) protection | |
| US20070244877A1 (en) | Tracking methods for computer-readable files | |
| Singh et al. | Experimental analysis of Android malware detection based on combinations of permissions and API-calls | |
| Moon et al. | Host-based intrusion detection system for secure human-centric computing | |
| Banin et al. | Multinomial malware classification via low-level features | |
| Jethva et al. | Multilayer ransomware detection using grouped registry key operations, file entropy and file signature monitoring | |
| Nissim et al. | Keeping pace with the creation of new malicious PDF files using an active-learning based detection framework | |
| Ahmed | Automated analysis approach for the detection of high survivable ransomwares | |
| Davies et al. | Differential area analysis for ransomware attack detection within mixed file datasets | |
| Vidyarthi et al. | Static malware analysis to identify ransomware properties | |
| Karbab et al. | Cypider: building community-based cyber-defense infrastructure for android malware detection | |
| Pont et al. | A roadmap for improving the impact of anti-ransomware research | |
| Naik et al. | Embedded YARA rules: strengthening YARA rules utilising fuzzy hashing and fuzzy rules for malware analysis | |
| US8474038B1 (en) | Software inventory derivation | |
| US8655844B1 (en) | File version tracking via signature indices | |
| Joshi et al. | Signature-less ransomware detection and mitigation | |
| Christensen et al. | Ransomware detection and mitigation tool |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310000 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Applicant before: DBAPPSECURITY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |