CN108363931A - 一种对隔离区文件进行还原的方法及装置 - Google Patents
一种对隔离区文件进行还原的方法及装置 Download PDFInfo
- Publication number
- CN108363931A CN108363931A CN201810150104.9A CN201810150104A CN108363931A CN 108363931 A CN108363931 A CN 108363931A CN 201810150104 A CN201810150104 A CN 201810150104A CN 108363931 A CN108363931 A CN 108363931A
- Authority
- CN
- China
- Prior art keywords
- path
- file
- target
- restoration
- reparse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 88
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000009467 reduction Effects 0.000 claims abstract description 39
- 238000012950 reanalysis Methods 0.000 claims description 78
- 238000004458 analytical method Methods 0.000 claims description 45
- 230000002265 prevention Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明的实施例公开了一种对隔离区文件进行还原的方法及装置,该方法在将目标文件移动到隔离区时,不仅记录目标文件的原始存储路径,还记录对隔离时获取的原始存储路径进行重解析,得到的第一重解析路径。当将该目标文件从隔离区还原时,只有当前记录的第二还原存储路径重解析后的第二重解析路径和第一重解析路径相同时,才允许根据第二还原存储路径还原目标文件。为了防止通过创建重解析点的方法,在隔离区将存储的还原存储路径指向高权限目录,该方法通过第二重解析路径和第一重解析路径的对比,能够及时对还原存储路径是否被更改进行检查,对通过隔离区将目标文件移动到高权限目录中,对系统文件或者安全软件组件进行劫持及时阻止。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其是涉及一种对隔离区文件进行还原的方法及装置。
背景技术
Windows平台下,在安全软件抵御各种病毒和恶意软件的过程中,保证系统文件和安全软件自身组件不被破坏和劫持尤为重要。然而,最近windows平台上出现了通过NTFS重解析点(reparse point),利用安全软件的隔离区功能,将权限较低的目录内的文件移动到权限较高的目录内的方法,从而使得被移动的文件成为高权限文件,有可能被系统程序或者安全软件调用,对系统或安全软件造成破坏。
在实现本发明实施例的过程中,发明人发现通过创建重解析点,利用安全软件的隔离区功能,能够将隔离区内的文件移动到高权限目录内,使得被移动的文件可能成为替换系统文件或者安全软件组件的劫持文件,威胁系统安全。
发明内容
本发明所要解决的技术问题是如何解决通过创建重解析点,利用安全软件的隔离区功能,能够将隔离区内的文件移动到高权限目录内,使得被移动的文件可能成为替换系统文件或者安全软件组件的劫持文件,威胁系统安全的问题。
针对以上技术问题,本发明的实施例提供了一种对隔离区文件进行还原的方法,包括:
获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;
将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;
若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;
若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
第二方面,本实施例提供了一种对隔离区文件进行还原的装置,包括:
第一获取模块,用于获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;
记录模块,用于将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;
第二获取模块,用于若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;
执行模块,用于若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
第三方面,本发明的实施例还提供了一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行以上所述的方法。
第四方面,本发明的实施例提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行以上所述的方法。
本发明的实施例提供了一种对隔离区文件进行还原的方法及装置,该方法在将目标文件移动到隔离区时,不仅记录目标文件的原始存储路径,还记录对隔离时获取的原始存储路径进行重解析,得到的第一重解析路径。当将该目标文件从隔离区还原时,需要获取当前记录的第二还原存储路径,只有第二还原存储路径进行重解析后的第二重解析路径和第一重解析路径相同时,才允许根据第二还原存储路径还原目标文件,否则,对该还原操作进行阻止或者进行引导操作。为了防止通过创建重解析点的方法,在隔离区将存储的还原存储路径指向高权限目录,该方法通过第二重解析路径和第一重解析路径的对比,能够及时对还原存储路径是否被更改进行检查,对通过隔离区将目标文件移动到高权限目录中,对系统文件或者安全软件组件进行劫持及时阻止。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的对隔离区文件进行还原的方法的流程示意图;
图2是本发明另一个实施例提供的通过预设重解析规则查询指定路径的重解析路径的方法流程示意图;
图3是本发明另一个实施例提供的阻基于隔离区功能进行文件劫持的装置的结构框图;
图4是本发明另一个实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本实施例提供的一种对隔离区文件进行还原的方法的流程示意图,参见图1,该方法包括:
101:获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;
102:将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;
103:若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;
104:若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
需要说明的是,本实施例提供的方法通常由计算机或者服务器执行。目标文件可以是任意形式的文件,例如,目标文件的扩展名可以为.dll、.html、.exe、.txt等,本实施例对此不作具体限制。原始存储路径即将目标文件进行隔离时,获取目标文件的路径。可理解的是,原始存储路径可以是该目标文件真实的存储路径,也可以是通过重解析点创建的存储路径。第一重解析路径是对第一还原存储路径是利用预设重解析规则进行重定向解析得到的存储路径,是目标文件的真实存储路径。第一重解析路径是对第二还原存储路径得到的用于存储从隔离区还原的目标文件的存储路径。本实施例中的创建重解析点或者对存储路径进行重解析基于NTFS系统(New Technology File System,即WindowsNT环境下的文件系统)。
安全软件在将目标文件移动到隔离区时,仅记录了该目标文件的原始存储路径,当需要将目标文件从隔离区还原时,安全软件会自动根据记录的该目标文件的存储路径将目标文件从隔离区还原。然而,当目标文件被移动到隔离区后,普通权限的用户可以通过创建重解析点的方法,将记录的原始存储路径指向其他存储路径,例如,指向一个高权限目录。这样之后,当安全软件将目标文件还原时,按照记录的原始存储路径就不会将目标文件还原到隔离时其所在的存储路径,例如,可能将目标文件还原到高权限目录,从而使得目标文件可能成为替换系统文件或者安全软件组件的文件,给系统带来安全隐患。
例如,普通用户创建了一个目标文件version.dll,真实的存储路径为c:\users\name\STORE\version.dll,并创建了一个重解析点junction,c:\users\name\X→c:\users\name\STORE。
通过安全软件选择c:\users\name\X\version.dll将目标文件version.dll进行隔离,则安全软件将目标文件version.dll移动到隔离区,此时,安全软件记录了隔离目标文件version.dll时,目标文件version.dll的原始存储路径c:\users\name\X\version.dll,作为还原目标文件version.dll时的还原存储路径。
目标文件version.dll位于隔离区时,通过创建重解析点的方法对还原存储路径进行修改。具体地,将隔离目标文件时记录的第一还原存储路径c:\users\name\X\version.dll中的X目录删除,创建重解析点junction,c:\users\name\X→c:\windows\system32,此时,记录的还原存储路径重解析后的路径已经被改变,变为c:\windows\system32\version.dll。
若将目标文件version.dll从隔离区还原,则安全软件读取当前记录的还原存储路径,作为第二还原存储路径c:\users\name\X\version.dll,由于第二还原存储路径c:\users\name\X\version.dll重解析后的第二重解析路径已经被修改为c:\windows\system32\version.dll,所以安全软件按照第二还原存储路径c:\users\name\X\version.dll还原目标文件version.dll时,就会将目标文件version.dll移动到c:\windows\system32\version.dll(由于安全软件本身权限较高,因此若由安全软件主动将目标文件移动到高权限目录不会遭到拦截)。
由此可见,通过上述的过程,普通用户可以利用创建重解析点的方法将目标文件通过隔离区移动到权限较高的系统目录中,这些被移动到高权限目录中的文件,可能对系统文件或者安全软件的组件进行替换。
为了防止上述通过隔离区移动目标文件对系统文件或者安全软件进行劫持,本实施例提供的方法中,在将目标文件移动到隔离区时,不仅记录原始存储路径,也对原始存储路径重解析后的第一重解析路径进行记录。当检测到欲将目标文件从隔离区还原,则对当前记录的还原存储路劲进行重定向解析,得到第二重解析路径,若第二重解析路径和第一重解析路径不相同,则说明还原路径被更改。通过本实施例提供的方法能在还原目标文件时,识别还原存储路径是否被更改,以便及时采取应对措施,防止发生对系统文件或者安全软件组件的劫持。
例如,本实施例提供的方法中,通过安全软件选择c:\users\name\X\version.dll将目标文件version.dll进行隔离时,记录记录隔离目标文件version.dll时,目标文件version.dll的原始存储路径c:\users\name\X\version.dll,并记录原始存储路径重解析后的第一解析存储路径c:\users\name\STORE\version.dll。
若将目标文件version.dll从隔离区还原,则获取当前的第二还原存储路径c:\users\name\X\version.dll,对第二还原存储路径重解析后的第二解析存储路径为c:\windows\system32\version.dll,由于第二解析存储路径和第一解析存储路径不相同,则通过引导操作防止将目标文件version.dll移动到高权限目录下,或者直接对将目标文件version.dll从隔离区还原的操作进行阻止,由此,有效地阻止了目标文件被移动到高权限目录下。
本实施例提供了一种对隔离区文件进行还原的方法,该方法在将目标文件移动到隔离区时,不仅记录目标文件的原始存储路径,还记录对隔离时获取的原始存储路径进行重解析,得到的第一重解析路径。当将该目标文件从隔离区还原时,需要获取当前记录的第二还原存储路径,只有第二还原存储路径进行重解析后的第二重解析路径和第一重解析路径相同时,才允许根据第二还原存储路径还原目标文件,否则,对该还原操作进行阻止或者进行引导操作。为了防止了通过创建重解析点的方法,在隔离区将存储的还原存储路径指向高权限目录,该方法通过第二重解析路径和第一重解析路径的对比,能够及时对还原存储路径是否被更改进行检查,从而避免了通过隔离区将目标文件移动到高权限目录中,对系统文件或者安全软件组件进行劫持的风险。
更进一步地,在上述实施例的基础上,通过所述预设重解析规则对任一目标还原存储路径进行重解析,得到目标重解析路径,包括:
将所述目标还原存储路径标记为待查询路径,循环执行路径解析操作,直到将最新标记的待查询路径中的所有文件名存储到路径结果堆栈中;
输出所述路径结果堆栈中存储的文件名,得到所述目标重解析路径;
其中,所述路径解析操作,包括:
获取最新标记的待查询路径,作为目标查询路径,获取所述目标查询路径对应的文件对象的属性值,判断文件对象的属性值中是否存在重解析点标记位;
若所述文件对象的属性值中存在重解析点标记位,根据所述文件对象获取所述目标查询路径重定向解析后的路径,作为第一查询存储路径,将所述第一查询存储路径标记为待查询路径;
若所述文件对象的属性值中不存在重解析点标记位,则将所述目标查询路径的最后一级文件名存储到所述路径结果堆栈中,判断所述目标查询路径是否存在父路径,若存在,将所述目标查询路径的父路径标记为待查询路径,否则,将所述目标查询路径中的最后一级文件名存储到所述路径结果堆栈中。
进一步地,所述输出所述路径结果堆栈中存储的文件名,得到所述目标重解析路径,包括:
所述路径结果堆栈按照先入后出的原则输出存储的文件名,根据输出的文件名生成目标重解析路径。
进一步地,所述获取所述目标查询路径对应的文件对象的属性值,包括:
通过FindFirstFile、GetFileAttributes或GetFileAttributesEx作为API获取目标查询路径对应的文件对象的属性值。
进一步地,所述判断文件对象的属性值中是否存在重解析点标记位,包括:
若文件对象的属性值中包含FILE_ATTRIBUTE_REPARSE_POINT,则该文件对象的属性值存在解析点标记位,否则,该文件对象的属性值不存在解析点标记位。
进一步地,所述根据所述文件对象获取所述目标查询路径重定向解析后的路径,包括:
向所述文件对象发送DeviceIoControl FSCTL_GET_REPARSE_POINT,得到所述目标查询路径重定向解析后的路径。
需要说明的是,预设重解析规则是用来查询还原存储路对应的重解析路径的规则,例如,通过预设重解析规则查询第一还原存储路径的第一重解析路径,通过预设重解析规则查询第二还原存储路径的第二重解析路径。目标查询路径的父路径为将目标查询路径最后一级文件名删除后得到的路径。
例如,图2示出了本实施例提供的通过预设重解析规则查询指定路径(目标还原存储路径)的重解析路径的方法,该方法包括:
201:针对任一指定路径进行重定向解析查询。例如,指定路径为c:\A\B\C\D\1.txt。
202:查询该路径的文件对象的属性值是否存在重解析点标记位。例如,在第一次执行路径解析操作时,通过FindFirstFile获取该路径的文件对象属性值,判断文件对象的属性值中是否包含FILE_ATTRIBUTE_REPARSE_POINT,若是,则执行步骤206,否则,执行203。
203:将该路径的最后一级文件名压入路径结果堆栈。例如,将c:\A\B\C\D\1.txt中的最后一级文件名“1.txt”压入路径结果堆栈。
204:判断是否能获取该路径的父路径,若是,执行步骤208,否则,执行步骤205。例如,c:\A\B\C\D\1.txt的父路径为c:\A\B\C\D,执行步骤208。若该路径为c:,则c:不存在父路径,直接执行步骤205。此处,c:为上述指定路径的根目录,本实施例提供的查询指定路径的重解析路径的方法需逐级查询,对根目录c:的查询和其它路径的查询方法相同,此处不再赘述。
205:从路径结果堆栈按照先入后出规则依次输出各级目录,得到该指定路径的重解析路径。例如,依次向路径结果堆栈中存储了1.txt、D、C、B、A和c:,则按照先入后出规则依次输出各级目录,可以得到c:\A\B\C\D\1.txt。
若202中查询该路径的文件对象的属性值存在重解析点标记位,则执行206,其中,206:根据该文件对象查询一次重解析定向解析后的路径,207:针对重定向解析后的路径进行重定向解析查询,返回步骤202,重新进行查询重解析路径。
若204中判断能获取该路径的父路径,则执行208,其中,208:针对父路径继续进行重定向解析查询,返回步骤202,重新进行查询重解析路径。
例如,查询c:\A\B\C\D\1.txt,当查询到c:\A\B\C\D\1.txt的文件对象属性值不包括重解析点标记位,则将1.txt存储到路径结果堆栈,对c:\A\B\C\D进行查询。查询到c:\A\B\C\D→c:\E\F\G\H,则c:\A\B\C\D重解析后的路径为c:\E\F\G\H,再对c:\E\F\G\H进行查询,例如,c:\E\F\G\H→c:\I\J\K\L,则再查询c:\I\J\K\L的重解析后路径。当查询到c:\I\J\K\L的文件对象属性值不包括重解析点标记位,则将L存储到路径结果堆栈,对c:\I\J\K进行查询,直到查询到不包含重解析点标记位的最后一级目录(根路径)后,根据从路径结果堆栈输出的文件名称得到指定路径的重解析路径。
本实施例提供了一种对隔离区文件进行还原的方法,该方法对通过预设重解析规则对还原存储路径进行重解析进行限定,通过本实施例提供的逐级查询的方法和最大匹配路径的方法,能够快速准确的查询到任一目标还原存储路径的目标重解析路径。
更进一步地,在上述各实施例的基础上,所述若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作,包括:
若所述第二重解析路径和所述第一重解析路径不同,则显示至少一条用于存储从所述隔离区还原的目标文件的预设还原路径;
在接收到用户从预设还原路径中选择的还原路径后,将所述用户选择的还原路径作为自定义还原路径,将从所述隔离区还原的所述目标文件存储到所述自定义还原路径下;
其中,每一所述预设还原路径根据所述用户对应的用户权限生成。
需要说明的是,引导操作即通过模拟用户权限进行文件还原。例如,显示用于选择存储位置的窗口,用户可以通过该窗口选择存储还原后的目标文件的存储位置。可理解的是,引导操作中提供的可供用户选择的路径均是与用户权限匹配的路径。例如,若用户为普通用户,则预设还原路径中不包括高权限的路径(例如,存储系统文件对应的路径或者存储安全软件的组件对应的路径),从而避免了用户将目标文件还原到高权限目录中。
本实施例提供了一种对隔离区文件进行还原的方法,该方法在检测到第二重解析路径和第一重解析路径不同后,通过提供预设还原路径,一方面实现了用户将还原的目标文件存储到自定义还原路径下,同时由于提供的预设还原路径与用户权限匹配,避免了用户将目标文件移动到高权限目录给系统带来的安全威胁。
更进一步地,在上述各实施例的基础上,所述若所述第二重解析路径和所述第一重解析路径不同,则对将所述目标文件从所述隔离区还原的操作进行阻止,包括:
若所述第二重解析路径和所述第一重解析路径不同,则对将所述目标文件从所述隔离区还原的操作进行阻止,并判断所述第二重解析路径是否为存储系统文件或者存储安全软件组件的路径;
若所述第二重解析路径是存储系统文件或者存储安全软件组件的路径,则发出提示信息。
更进一步地,在上述各实施例的基础上,还包括:
若所述第二重解析路径和所述第一重解析路径相同,则将所述目标文件从所述隔离区还原到所述第二还原存储路径。
除了通过引导操作避免用户将目标文件移动到高权限目录中外,也可以在检测到第二重解析路径和第一重解析路径不同后,直接阻止该还原操作,例如,直接将还原的请求进行拦截和丢弃。
进一步地,还可以通过第二重解析路径是否对应了存储系统文件或者存储安全软件组件的路径进行判断,若是,发出提示信息,以通知工作人员及时对系统的安全进行检查。其中,提示信息可以通过弹窗的形式进行显示,本实施例对此不做具体限制。
本实施例提供了一种对隔离区文件进行还原的方法,该方法在检测到第二重解析路径和第一重解析路径不同后,通过直接阻止还原操作,避免了用户将目标文件移动到高权限目录给系统带来的安全威胁,并通过发出提示信息的方式提示工作人员及时对系统的安全进行检查,进一步提高系统的安全性。
图3示出了本发明的实施例提供的一种阻基于隔离区功能进行文件劫持的装置的结构框图,参见图3,本实施例提供的对阻基于隔离区功能进行文件劫持的装置,包括第一获取模块301、记录模块302、第二获取模块303和执行模块304,其中,
第一获取模块301,用于获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;
记录模块302,用于将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;
第二获取模块303,用于若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;
执行模块304,用于若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
本实施例提供的阻基于隔离区功能进行文件劫持的装置适用于上述实施例中提供的阻基于隔离区功能进行文件劫持的方法,在此不再赘述。
本发明的实施例提供了一种对隔离区文件进行还原的装置,该装置在将目标文件移动到隔离区时,不仅记录目标文件的原始存储路径,还记录对隔离时获取的原始存储路径进行重解析,得到的第一重解析路径。当将该目标文件从隔离区还原时,需要获取当前记录的第二还原存储路径,只有第二还原存储路径进行重解析后的第二重解析路径和第一重解析路径相同时,才允许根据第二还原存储路径还原目标文件,否则,对该还原操作进行阻止或者进行引导操作。为了防止了通过创建重解析点的方法,在隔离区将存储的还原存储路径指向高权限目录,该装置通过第二重解析路径和第一重解析路径的对比,能够及时对还原存储路径是否被更改进行检查,从而避免了通过隔离区将目标文件移动到高权限目录中,对系统文件或者安全软件组件进行劫持的风险。
第三方面,图4是示出本实施例提供的电子设备的结构框图。
参照图4,所述电子设备包括:包括:处理器(processor)401、存储器(memory)402和总线403;
其中,
所述处理器401、存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
第四方面,本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。
Claims (12)
1.一种对隔离区文件进行还原的方法,其特征在于,包括:
获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;
将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;
若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;
若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
2.根据权利要求1所述的方法,其特征在于,通过所述预设重解析规则对任一目标还原存储路径进行重解析,得到目标重解析路径,包括:
将所述目标还原存储路径标记为待查询路径,循环执行路径解析操作,直到将最新标记的待查询路径中的所有文件名存储到路径结果堆栈中;
输出所述路径结果堆栈中存储的文件名,得到所述目标重解析路径;
其中,所述路径解析操作,包括:
获取最新标记的待查询路径,作为目标查询路径,获取所述目标查询路径对应的文件对象的属性值,判断文件对象的属性值中是否存在重解析点标记位;
若所述文件对象的属性值中存在重解析点标记位,根据所述文件对象获取所述目标查询路径重定向解析后的路径,作为第一查询存储路径,将所述第一查询存储路径标记为待查询路径;
若所述文件对象的属性值中不存在重解析点标记位,则将所述目标查询路径的最后一级文件名存储到所述路径结果堆栈中,判断所述目标查询路径是否存在父路径,若存在,将所述目标查询路径的父路径标记为待查询路径,否则,将所述目标查询路径中的文件名存储到所述路径结果堆栈中。
3.根据权利要求1所述的方法,其特征在于,所述若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作,包括:
若所述第二重解析路径和所述第一重解析路径不同,则显示至少一条用于存储从所述隔离区还原的目标文件的预设还原路径;
在接收到用户从预设还原路径中选择的还原路径后,将所述用户选择的还原路径作为自定义还原路径,将从所述隔离区还原的所述目标文件存储到所述自定义还原路径下;
其中,每一所述预设还原路径根据所述用户对应的用户权限生成。
4.根据权利要求1所述的方法,其特征在于,所述若所述第二重解析路径和所述第一重解析路径不同,则对将所述目标文件从所述隔离区还原的操作进行阻止,包括:
若所述第二重解析路径和所述第一重解析路径不同,则对将所述目标文件从所述隔离区还原的操作进行阻止,并判断所述第二重解析路径是否为存储系统文件或者存储安全软件组件的路径;
若所述第二重解析路径是存储系统文件或者存储安全软件组件的路径,则发出提示信息。
5.根据权利要求1所述的方法,其特征在于,还包括:
若所述第二重解析路径和所述第一重解析路径相同,则将所述目标文件从所述隔离区还原到所述第二还原存储路径。
6.一种对隔离区文件进行还原的的装置,其特征在于,包括:
第一获取模块,用于获取将目标文件移动到安全软件的隔离区时所述目标文件的原始存储路径,记录所述原始存储路径,作为将所述目标文件从所述隔离区还原的还原存储路径;
记录模块,用于将对所述目标文件进行隔离时记录的还原存储路径,作为第一还原存储路径,通过预设重解析规则对所述第一还原存储路径进行重解析得到第一重解析路径,记录所述第一重解析路径;
第二获取模块,用于若检测到欲将所述目标文件从所述隔离区还原,则获取当前时刻记录的还原存储路径,作为第二还原存储路径,通过所述预设重解析规则对所述第二还原存储路径进行重解析得到第二重解析路径;
执行模块,用于若所述第二重解析路径和所述第一重解析路径不同,则进行引导操作或者对将所述目标文件从所述隔离区还原的操作进行阻止。
7.根据权利要求6所述的装置,其特征在于,还包括用于通过所述预设重解析规则对任一目标还原存储路径进行重解析,得到目标重解析路径的重解析模块,所述重解析模块用于:
将所述目标还原存储路径标记为待查询路径,循环执行路径解析操作,直到将最新标记的待查询路径中的所有文件名存储到路径结果堆栈中;
输出所述路径结果堆栈中存储的文件名,得到所述目标重解析路径;
其中,所述路径解析操作,包括:
获取最新标记的待查询路径,作为目标查询路径,获取所述目标查询路径对应的文件对象的属性值,判断文件对象的属性值中是否存在重解析点标记位;
若所述文件对象的属性值中存在重解析点标记位,根据所述文件对象获取所述目标查询路径重定向解析后的路径,作为第一查询存储路径,将所述第一查询存储路径标记为待查询路径;
若所述文件对象的属性值中不存在重解析点标记位,则将所述目标查询路径的最后一级文件名存储到所述路径结果堆栈中,判断所述目标查询路径是否存在父路径,若存在,将所述目标查询路径的父路径标记为待查询路径,否则,将所述目标查询路径中的最后一级文件名存储到所述路径结果堆栈中。
8.根据权利要求6所述的装置,其特征在于,所述执行模块还用于若所述第二重解析路径和所述第一重解析路径不同,则显示至少一条用于存储从所述隔离区还原的目标文件的预设还原路径;在接收到用户从预设还原路径中选择的还原路径后,将所述用户选择的还原路径作为自定义还原路径,将从所述隔离区还原的所述目标文件存储到所述自定义还原路径下;
其中,每一所述预设还原路径根据所述用户对应的用户权限生成。
9.根据权利要求6所述的装置,其特征在于,所述执行模块还用于若所述第二重解析路径和所述第一重解析路径不同,则对将所述目标文件从所述隔离区还原的操作进行阻止,并判断所述第二重解析路径是否为存储系统文件或者存储安全软件组件的路径;若所述第二重解析路径是存储系统文件或者存储安全软件组件的路径,则发出提示信息。
10.根据权利要求6所述的装置,其特征在于,所述执行模块还用于若所述第二重解析路径和所述第一重解析路径相同,则将所述目标文件从所述隔离区还原到所述第二还原存储路径。
11.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至5中任一项所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810150104.9A CN108363931B (zh) | 2018-02-13 | 2018-02-13 | 一种对隔离区文件进行还原的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810150104.9A CN108363931B (zh) | 2018-02-13 | 2018-02-13 | 一种对隔离区文件进行还原的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108363931A true CN108363931A (zh) | 2018-08-03 |
| CN108363931B CN108363931B (zh) | 2020-06-23 |
Family
ID=63002388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810150104.9A Active CN108363931B (zh) | 2018-02-13 | 2018-02-13 | 一种对隔离区文件进行还原的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108363931B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111427847A (zh) * | 2020-04-03 | 2020-07-17 | 中山大学 | 面向用户自定义元数据的索引与查询方法和系统 |
| CN112612749A (zh) * | 2020-12-15 | 2021-04-06 | 重庆电子工程职业学院 | 智能安全管理存储系统 |
| CN112799600A (zh) * | 2021-02-09 | 2021-05-14 | 珠海豹趣科技有限公司 | 一种软件搬移方法、搬移软件的还原方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033932A1 (en) * | 2001-02-15 | 2005-02-10 | Microsoft Corporation | System and method for data migration |
| WO2005081942A2 (en) * | 2004-02-20 | 2005-09-09 | George Sullivan | Hierarchical storage management |
| CN101930521A (zh) * | 2010-05-11 | 2010-12-29 | 湖州信安科技有限公司 | 一种文件保护方法及其装置 |
| CN102197374A (zh) * | 2008-10-24 | 2011-09-21 | 思杰系统有限公司 | 用于在组合的计算环境中给可修改的机器基本映像提供个性化桌面环境的方法和系统 |
| CN102754073A (zh) * | 2010-02-05 | 2012-10-24 | 微软公司 | 用于虚拟化的扩展点声明性注册 |
| US9244932B1 (en) * | 2013-01-28 | 2016-01-26 | Symantec Corporation | Resolving reparse point conflicts when performing file operations |
| CN105474206A (zh) * | 2013-07-25 | 2016-04-06 | 微软技术许可有限责任公司 | 支持按需数据传输的虚拟同步 |
| CN105868625A (zh) * | 2016-06-22 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截文件被重启删除的方法及装置 |
| CN105893847A (zh) * | 2016-04-22 | 2016-08-24 | 北京金山安全软件有限公司 | 一种保护安全防护应用程序文件的方法、装置及电子设备 |
| CN105930739A (zh) * | 2016-04-14 | 2016-09-07 | 北京金山安全软件有限公司 | 一种防止文件被删除的方法及终端 |
-
2018
- 2018-02-13 CN CN201810150104.9A patent/CN108363931B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033932A1 (en) * | 2001-02-15 | 2005-02-10 | Microsoft Corporation | System and method for data migration |
| WO2005081942A2 (en) * | 2004-02-20 | 2005-09-09 | George Sullivan | Hierarchical storage management |
| CN102197374A (zh) * | 2008-10-24 | 2011-09-21 | 思杰系统有限公司 | 用于在组合的计算环境中给可修改的机器基本映像提供个性化桌面环境的方法和系统 |
| CN103810012A (zh) * | 2008-10-24 | 2014-05-21 | 思杰系统有限公司 | 用于在组合的计算环境中给可修改的机器基本映像提供个性化桌面环境的方法和系统 |
| CN102754073A (zh) * | 2010-02-05 | 2012-10-24 | 微软公司 | 用于虚拟化的扩展点声明性注册 |
| CN101930521A (zh) * | 2010-05-11 | 2010-12-29 | 湖州信安科技有限公司 | 一种文件保护方法及其装置 |
| US9244932B1 (en) * | 2013-01-28 | 2016-01-26 | Symantec Corporation | Resolving reparse point conflicts when performing file operations |
| US9361328B1 (en) * | 2013-01-28 | 2016-06-07 | Veritas Us Ip Holdings Llc | Selection of files for archival or deduplication |
| CN105474206A (zh) * | 2013-07-25 | 2016-04-06 | 微软技术许可有限责任公司 | 支持按需数据传输的虚拟同步 |
| CN105930739A (zh) * | 2016-04-14 | 2016-09-07 | 北京金山安全软件有限公司 | 一种防止文件被删除的方法及终端 |
| CN105893847A (zh) * | 2016-04-22 | 2016-08-24 | 北京金山安全软件有限公司 | 一种保护安全防护应用程序文件的方法、装置及电子设备 |
| CN105868625A (zh) * | 2016-06-22 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截文件被重启删除的方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111427847A (zh) * | 2020-04-03 | 2020-07-17 | 中山大学 | 面向用户自定义元数据的索引与查询方法和系统 |
| CN111427847B (zh) * | 2020-04-03 | 2023-04-11 | 中山大学 | 面向用户自定义元数据的索引与查询方法和系统 |
| CN112612749A (zh) * | 2020-12-15 | 2021-04-06 | 重庆电子工程职业学院 | 智能安全管理存储系统 |
| CN112612749B (zh) * | 2020-12-15 | 2023-07-04 | 重庆电子工程职业学院 | 智能安全管理存储系统 |
| CN112799600A (zh) * | 2021-02-09 | 2021-05-14 | 珠海豹趣科技有限公司 | 一种软件搬移方法、搬移软件的还原方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108363931B (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11188650B2 (en) | Detection of malware using feature hashing | |
| RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
| CN102810138B (zh) | 一种用户端文件的修复方法和系统 | |
| CN108363931B (zh) | 一种对隔离区文件进行还原的方法及装置 | |
| US20170019415A1 (en) | Identification apparatus, control method therefor, and storage medium | |
| KR20160125960A (ko) | 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체 | |
| US9542403B2 (en) | Symbolic-link identifying | |
| CN103281325A (zh) | 基于云安全的文件处理方法及装置 | |
| US9740865B2 (en) | System and method for configuring antivirus scans | |
| CN109828780B (zh) | 一种开源软件的识别方法及装置 | |
| CN116107846B (zh) | 一种基于EBPF的Linux系统事件监控方法及装置 | |
| CN109492399A (zh) | 风险文件检测方法、装置及计算机设备 | |
| CN115470491A (zh) | 文件检测方法和装置 | |
| CN103713945B (zh) | 游戏的识别方法和装置 | |
| CN102929733B (zh) | 一种错误文件处理方法、装置和客户端设备 | |
| CN108304699B (zh) | 一种对安全软件进行保护的方法及装置 | |
| CN106855888B (zh) | 基于Logstash分布式系统的日志监控系统 | |
| CN103095698B (zh) | 客户端软件的修复方法、装置和通信系统 | |
| CN110210221B (zh) | 一种文件风险检测方法和装置 | |
| KR20140089571A (ko) | 스캐닝 룰을 업데이트하는 시스템 및 방법 | |
| CN116185785A (zh) | 文件异常变更的预警方法及装置 | |
| CN106529290B (zh) | 一种恶意软件防护方法、装置以及电子设备 | |
| CN111092886B (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
| CN113721960A (zh) | 基于rpa和ai的应用程序漏洞修复方法和装置 | |
| CN110555307B (zh) | 识别和处理伪装型系统动态库的方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |