CN109472144B - 一种防御病毒对文件进行操作的方法、装置和存储介质 - Google Patents
一种防御病毒对文件进行操作的方法、装置和存储介质 Download PDFInfo
- Publication number
- CN109472144B CN109472144B CN201711484562.8A CN201711484562A CN109472144B CN 109472144 B CN109472144 B CN 109472144B CN 201711484562 A CN201711484562 A CN 201711484562A CN 109472144 B CN109472144 B CN 109472144B
- Authority
- CN
- China
- Prior art keywords
- operation process
- parent
- father
- determining
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种防御病毒对文件进行操作的方法、装置及存储介质,用以解决现有防御技术无法防御勒索病毒对文档的删除和重命名操作的问题。该方法包括:确定一个操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中;当所述操作进程的创建时间与系统当前时间之差小于第一预设时间,且所述操作进程在自其创建时间起第一预设时间段内对所述操作进程所在主机上的文档进行删除或者重命名的操作时,终止所述操作进程。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种防御病毒对文件进行操作的方法、装置及存储介质。
背景技术
近年勒索软件形式愈演愈烈,尤其是 WannaCry (魔窟)让人印象深刻。近期 BadRabbit(坏兔子)又肆虐欧洲。针对勒索软件现有行为的分析判定,特别是文件删除与重命名行为的判定方式过于简单直接,因此无法对勒索软件做到有效的防御。
现有勒索病毒进入用户主机后立即运行,加密过程已经由传统的加密修改本地文档内容演变为读取本地文档内容并创建新的加密文档和删除或重命名原有文档。而目前已有的防御技术只能对原有文档进行备份,很难防御对文档的删除和重命名操作。
综上所述,目前的防御技术无法防御勒索病毒对文档的删除和重命名操作。
发明内容
本发明实施例提供了一种防御病毒对文件进行操作的方法、装置及存储介质,用以解决现有防御技术无法防御勒索病毒对文档的删除和重命名操作的问题。
基于上述问题,本发明实施例提供的一种防御病毒对文件进行操作的方法,包括:
确定一个操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中;
当所述操作进程的创建时间与系统当前时间之差小于第一预设时间,且所述操作进程在自其创建时间起第一预设时间段内对所述操作进程所在主机上的文档进行删除或者重命名的操作时,终止所述操作进程。
可选地,在终止所述操作进程后,所述方法还包括:
向上追溯被终止的操作进程的每一代父进程;
按照追溯到的父进程的创建时间从晚到早的顺序,对各个父进程执行判定该父进程是否为系统文件,判定该父进程是否有有效的数字签名,判定该父进程的路径是否在预设的授信路径集合中,判定该父进程的创建时间与系统当前时间之差是否小于第二预设时间,判定该父进程在自其创建时间起第二预设时间段内是否对所述主机上的文档进行删除或者重命名的操作的步骤,在一个父进程被终止后继续对该父进程的父进程执行所述判定的步骤,直至出现一个父进程被放行。
进一步地,在出现以下任意一种情况时,所述操作进程被放行:
确定所述操作进程是系统文件;
确定所述操作进程不是系统文件,但所述操作进程有有效的数字签名;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,但所述操作进程的路径在预设的授信路径集合中;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中,但所述操作进程的创建时间与系统当前时间之差不小于第一预设时间。
进一步地,在出现以下任意一种情况时,一个父进程被放行:
确定该父进程是系统文件;
确定该父进程不是系统文件,但该父进程有有效的数字签名;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,但该父进程的路径在预设的授信路径集合中;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中,但该父进程的创建时间与系统当前时间之差小于第二预设时间。
进一步地,在确定一个父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中后,当该父进程的创建时间与系统当前时间之差小于第二预设时间,且该父进程在自其创建时间起第二预设时间段内对所述主机上的文档进行删除或者重命名的操作时,终止该父进程。
可选地,所述方法还包括:在终止一个进程时发出告警,被终止的进程为所述操作进程或者为一个父进程。
本发明实施例提供的一种防御病毒对文件进行操作的装置,包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
确定一个操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中;
当所述操作进程的创建时间与系统当前时间之差小于第一预设时间,且所述操作进程在自其创建时间起第一预设时间段内对所述操作进程所在主机上的文档进行删除或者重命名的操作时,终止所述操作进程。
可选地,所述处理器还用于加载所述存储器中存储的指令以执行:
在终止所述操作进程后,向上追溯被终止的操作进程的每一代父进程;
按照追溯到的父进程的创建时间从晚到早的顺序,对各个父进程执行判定该父进程是否为系统文件,判定该父进程是否有有效的数字签名,判定该父进程的路径是否在预设的授信路径集合中,判定该父进程的创建时间与系统当前时间之差是否小于第二预设时间,判定该父进程在自其创建时间起第二预设时间段内是否对所述主机上的文档进行删除或者重命名的操作的步骤,在一个父进程被终止后继续对该父进程的父进程执行所述判定的步骤,直至出现一个父进程被放行。
可选地,所述处理器还用于加载所述存储器中存储的指令以执行:
在出现以下任意一种情况时,所述操作进程被放行:
确定所述操作进程是系统文件;
确定所述操作进程不是系统文件,但所述操作进程有有效的数字签名;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,但所述操作进程的路径在预设的授信路径集合中;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中,但所述操作进程的创建时间与系统当前时间之差不小于第一预设时间。
可选地,所述处理器还用于加载所述存储器中存储的指令以执行:
在出现以下任意一种情况时,一个父进程被放行:
确定该父进程是系统文件;
确定该父进程不是系统文件,但该父进程有有效的数字签名;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,但该父进程的路径在预设的授信路径集合中;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中,但该父进程的创建时间与系统当前时间之差小于第二预设时间。
可选地,所述处理器还用于加载所述存储器中存储的指令以执行:
在确定一个父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中后,当该父进程的创建时间与系统当前时间之差小于第二预设时间,且该父进程在自其创建时间起第二预设时间段内对所述主机上的文档进行删除或者重命名的操作时,终止该父进程。
可选地,所述处理器还用于加载所述存储器中存储的指令以执行:在终止一个进程时发出告警,被终止的进程为所述操作进程或者为一个父进程。
本发明实施例还提供了一种非易失性计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的防御病毒对文件进行操作的方法。
本发明实施例的有益效果包括:
本发明实施例提供的防御病毒对文件进行操作的方法、装置和存储介质,在确定一个操作进程不是系统文件,且该操作进程没有有效的数字签名,且该操作进程的路径不在预设的授信路径集合中后,若该操作进程的创建时间与系统当前时间之差在第一预设时段内,则该操作进程非常可疑,将该操作进程列入重点监控的列表中,若该操作进程在自其创建时间起第二预设时间段内对该操作进程所在主机上的文档进行删除或者重命名的操作,则确认该操作进程为病毒,终止该操作进程,避免该操作进程对主机上的文件进行操作。
附图说明
图1为本发明实施例提供的一种的防御病毒对文件进行操作的方法的流程图;
图2为本发明实施例提供的另一种的防御病毒对文件进行操作的方法的流程图;
图3为本发明实施例提供的防御病毒对文件进行操作的装置的结构图。
具体实施方式
本发明实施例提供的一种防御病毒对文件进行操作的方法、装置和存储介质,对系统中的进程进行一系列的判定操作,在确定一个操作进程不是系统文件,且该操作进程没有有效的数字签名,且该操作进程的路径不在预设的授信路径集合中后,由于病毒的进程在投入到主机上后,通常会很快运行从而对文档进行操作,因此,当操作进程的创建时间与系统当前时间之差在第一预设时段内时,该操作进程非常可疑,要将该操作进程列入重点监控列表中,对重点监控列表中的进程进行重点观察监控,若重点监控列表中的一个进程在自其创建时间起第二预设时间段内对主机上的文档进行删除或者重命名的操作,则确认该进程为病毒,终止该进程,避免该进程对主机上的文件进行操作。
下面结合说明书附图,对本发明实施例提供的一种防御病毒对文件进行操作的方法、装置及存储介质的具体实施方式进行说明。
本发明实施例提供的一种防御病毒对文件进行操作的方法,如图1所示,具体包括以下步骤:
S101、确定一个操作进程不是系统文件;其中,当主机上的系统为windows系统时,系统文件为微软的文件;
S102、确定该操作进程没有有效的数字签名;其中判定该操作进程是否有有效的数字签名时,首先要判定该操作进程是否具备数字签名,在具备数字签名后,验证该数字签名是否有效;
S103、确定该操作进程的路径不在预设的授信路径集合中;其中,预设的授信路径集合包括了所有可信的进程的路径,例如,在windows系统中,有一些进程如果被改动,那么系统就会崩溃,这些被改动时会导致系统崩溃的进程就是可信的进程;
S104、确定该操作进程的创建时间与系统当前时间之差小于第一预设时间;由于病毒的进程在投入到主机上后,通常会很快运行从而对文档进行操作,因此,如果一个进程的创建时间与系统当前时间之差较小时,那么该进程文件属于非常可疑的危险文件,该进程将列入重点监控列表中,从而对重点监控列表中的进程进行重点观察监控;
S105、当监控到该操作进程在自其创建时间起第一预设时间段内对所述操作进程所在主机上的文档进行删除或者重命名的操作时,终止该操作进程。也就是说,当重点监控列表中的一个进程,在创建之后的短时间内对主机文档进行删除和重命名操作时,那么该进程很可能为病毒文件,需要终止该进程,从而阻止该进程对主机上的文件进程删除和重命名。
进一步地,当一个进程文件为病毒文件时,该进程的父进程也可能被注入了病毒文件或者就是病毒文件,因此,在一个进程被终止后,可以追溯其父进程,并采用图1所示的方法来判断父进程是否被注入了病毒文件或者是否为病毒文件;并在确认父进程为被注入了病毒文件或者为病毒文件后,组织父进程对主机上的文件的删除和重命名操作。对被终止的进程的父进程进行判定的方法可以参照图1所示的方法,在此不再赘述。其中,在采用S104对被终止的进程的父进程进行判定时,可以采用与对被终止的进程判定时的第一预设时间不同的第二预设时间来判定,同样地,在采用S105对被终止的进程的父进程进行判定时,也可以采用与对被终止的进程判定时的第一预设时间段不同的第二预设时间段来判定。也就是说,第一预设时间和第二预设时间可以相同,也可以不同;第一预设时间段和第二预设时间段可以相同,也可以不同。
进一步地,如果一个父进程也被确认为是病毒文件,那么同样地,要追溯该父进程的父进程,并采用图1所示的方法来判断父进程是否被注入了病毒文件或者是否为病毒文件;并在确认父进程为被注入了病毒文件或者为病毒文件后,组织父进程对主机上的文件的删除和重命名操作。
也就是说,在采用图1所示的方法确定了一个操作进程为病毒文件并终止后,要向上追溯被终止的操作进程的每一代父进程,按照追溯到的父进程的创建时间从晚到早的顺序,对各个父进程采用图1所示的方法来判断其是否被注入了病毒文件或者是否为病毒文件,直至出现一个父进程被放行。
因此,本发明实施例还提供的一种防御病毒对文件进行操作的方法,如图2所示,包括:
S201、判断一个操作进程是否为系统文件,若是,执行S208,否则,执行S202;
S202、判断该进程有无有效的数字签名,若有,执行S208,否则,执行S203;
S203、判断该进程的路径是否在预设的授信路径集合中,若是,执行S208,否则,执行S204;
S204、判断该进程的创建时间与系统当前时间之差是否小于第一预设时间,若是,执行S205,否则,执行S208;
S205、在监控到该进程在自其创建时间起第一预设时间段内对主机上的文档进行删除或者重命名的操作时,终止该进程并告警;
S206、追溯被终止的进程的父进程;
S207、判断追溯到的进程是否为系统文件,若是,执行S208,否则,执行S202;
S208、放行该进程。
在图2所示的方法中,仅对第一预设时间与第二预设时间相同,第一预设时间段与第二预设时间段相同的情况为例进行了说明;第一预设时间与第二预设时间不同,第一预设时间段与第二预设时间段不同的情况与图2所示的方法类似,在此不再赘述。
另外,S208中的放行该进程有可能是允许该进程的本次操作,并允许进程继续运行,也有可能是组织该进程的本次操作,但允许该进程继续运行,具体是采用哪种情况依实施时的场景而定。
在上述方法中,隐含了在判定一个进程之前,获取该进程的进程ID以及全路径。
下面以Bad Rabbit(坏兔子)为例,本发明实施例提供的防御病毒对文件进行操作的方法在windows系统的主机上对Bad Rabbit(坏兔子)行为的分析如下:
首先,获取Bad Rabbit(坏兔子)进程的全路径,PID,父进程全路径和PID,并将有效信息反馈给系统应用层防御程序。然后应用层防御程序检查该操作进程的签名属性是否满足微软的发布程序,Bad Rabbit(坏兔子)不满足这个条件, 应用层防御程序继续后续判定流程,检查Bad Rabbit(坏兔子)进程的签名属性是否是有效的数字签名,不满足继续后续判定流程,检查Bad Rabbit(坏兔子)进程的路径是否满足授信路径,不满足则继续后续判定流程,最后,创建时间不在策略时间(即预设的第一时间)范围内,则属于非常可疑的危险进程,将列入重点观察监控的列表中,在监控到Bad Rabbit(坏兔子)进程在很短时间内对主机上的文档进行删除或者重命名的操作时,判定Bad Rabbit(坏兔子)进程为病毒文件,终止Bad Rabbit(坏兔子)进程。整个判定Bad Rabbit(坏兔子)进程的流程结束。
进一步地,还可以追溯Bad Rabbit(坏兔子)进程的每一代父进程,按照的各个父进程的创建时间从晚到早的顺序执行上述判定流程,直至出现一个父进程被放行。
基于同一发明构思,本发明实施例还提供了一种防御病毒对文件进行操作的装置及存储介质,由于该装置所解决问题的原理与前述防御病毒对文件进行操作方法相似,因此该装置的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的一种防御病毒对文件进行操作的装置,如图3所示,该装置包括存储器31和处理器32,存储器31用于存储多条指令,处理器32用于加载存储器31中存储的指令以执行:
确定一个操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中;
当所述操作进程的创建时间与系统当前时间之差小于第一预设时间,且所述操作进程在自其创建时间起第一预设时间段内对所述操作进程所在主机上的文档进行删除或者重命名的操作时,终止所述操作进程。
可选地,处理器32还用于加载存储器31中存储的指令以执行:
在终止所述操作进程后,向上追溯被终止的操作进程的每一代父进程;
按照追溯到的父进程的创建时间从晚到早的顺序,对各个父进程执行判定该父进程是否为系统文件,判定该父进程是否有有效的数字签名,判定该父进程的路径是否在预设的授信路径集合中,判定该父进程的创建时间与系统当前时间之差是否小于第二预设时间,判定该父进程在自其创建时间起第二预设时间段内是否对所述主机上的文档进行删除或者重命名的操作的步骤,在一个父进程被终止后继续对该父进程的父进程执行所述判定的步骤,直至出现一个父进程被放行。
可选地,处理器32还用于加载存储器31中存储的指令以执行:
在出现以下任意一种情况时,所述操作进程被放行:
确定所述操作进程是系统文件;
确定所述操作进程不是系统文件,但所述操作进程有有效的数字签名;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,但所述操作进程的路径在预设的授信路径集合中;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中,但所述操作进程的创建时间与系统当前时间之差不小于第一预设时间。
可选地,处理器32还用于加载存储器31中存储的指令以执行:
在出现以下任意一种情况时,一个父进程被放行:
确定该父进程是系统文件;
确定该父进程不是系统文件,但该父进程有有效的数字签名;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,但该父进程的路径在预设的授信路径集合中;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中,但该父进程的创建时间与系统当前时间之差小于第二预设时间。
可选地,处理器32还用于加载存储器31中存储的指令以执行:
在确定一个父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中后,当该父进程的创建时间与系统当前时间之差小于第二预设时间,且该父进程在自其创建时间起第二预设时间段内对所述主机上的文档进行删除或者重命名的操作时,终止该父进程。
可选地,处理器32还用于加载存储器31中存储的指令以执行:
在终止一个进程时发出告警,被终止的进程为所述操作进程或者为一个父进程。
本发明实施例还提供一种非易失性计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的防御病毒对文件进行操作的方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种防御病毒对文件进行操作的方法,其特征在于,包括:
确定一个操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中;
当所述操作进程的创建时间与系统当前时间之差小于第一预设时间,且所述操作进程在自其创建时间起第一预设时间段内对所述操作进程所在主机上的文档进行删除或者重命名的操作时,终止所述操作进程;
向上追溯被终止的操作进程的每一代父进程;
按照追溯到的父进程的创建时间从晚到早的顺序,对各个父进程执行判定该父进程是否为系统文件,判定该父进程是否有有效的数字签名,判定该父进程的路径是否在预设的授信路径集合中,判定该父进程的创建时间与系统当前时间之差是否小于第二预设时间,判定该父进程在自其创建时间起第二预设时间段内是否对所述主机上的文档进行删除或者重命名的操作的步骤,在一个父进程被终止后继续对该父进程的父进程执行所述判定的步骤,直至出现一个父进程被放行。
2.如权利要求1所述的方法,其特征在于,在出现以下任意一种情况时,所述操作进程被放行:
确定所述操作进程是系统文件;
确定所述操作进程不是系统文件,但所述操作进程有有效的数字签名;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,但所述操作进程的路径在预设的授信路径集合中;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中,但所述操作进程的创建时间与系统当前时间之差不小于第一预设时间。
3.如权利要求1所述的方法,其特征在于,在出现以下任意一种情况时,一个父进程被放行:
确定该父进程是系统文件;
确定该父进程不是系统文件,但该父进程有有效的数字签名;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,但该父进程的路径在预设的授信路径集合中;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中,但该父进程的创建时间与系统当前时间之差小于第二预设时间。
4.如权利要求1所述的方法,其特征在于,在确定一个父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中后,当该父进程的创建时间与系统当前时间之差小于第二预设时间,且该父进程在自其创建时间起第二预设时间段内对所述主机上的文档进行删除或者重命名的操作时,终止该父进程。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
在终止一个进程时发出告警,被终止的进程为所述操作进程或者为一个父进程。
6.一种防御病毒对文件进行操作的装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
确定一个操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中;
当所述操作进程的创建时间与系统当前时间之差小于第一预设时间,且所述操作进程在自其创建时间起第一预设时间段内对所述操作进程所在主机上的文档进行删除或者重命名的操作时,终止所述操作进程;
在终止所述操作进程后,向上追溯被终止的操作进程的每一代父进程;
按照追溯到的父进程的创建时间从晚到早的顺序,对各个父进程执行判定该父进程是否为系统文件,判定该父进程是否有有效的数字签名,判定该父进程的路径是否在预设的授信路径集合中,判定该父进程的创建时间与系统当前时间之差是否小于第二预设时间,判定该父进程在自其创建时间起第二预设时间段内是否对所述主机上的文档进行删除或者重命名的操作的步骤,在一个父进程被终止后继续对该父进程的父进程执行所述判定的步骤,直至出现一个父进程被放行。
7.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
在出现以下任意一种情况时,所述操作进程被放行:
确定所述操作进程是系统文件;
确定所述操作进程不是系统文件,但所述操作进程有有效的数字签名;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,但所述操作进程的路径在预设的授信路径集合中;
确定所述操作进程不是系统文件,且所述操作进程没有有效的数字签名,且所述操作进程的路径不在预设的授信路径集合中,但所述操作进程的创建时间与系统当前时间之差不小于第一预设时间。
8.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
在出现以下任意一种情况时,一个父进程被放行:
确定该父进程是系统文件;
确定该父进程不是系统文件,但该父进程有有效的数字签名;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,但该父进程的路径在预设的授信路径集合中;
确定该父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中,但该父进程的创建时间与系统当前时间之差小于第二预设时间。
9.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
在确定一个父进程不是系统文件,且该父进程没有有效的数字签名,且该父进程的路径不在预设的授信路径集合中后,当该父进程的创建时间与系统当前时间之差小于第二预设时间,且该父进程在自其创建时间起第二预设时间段内对所述主机上的文档进行删除或者重命名的操作时,终止该父进程。
10.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
在终止一个进程时发出告警,被终止的进程为所述操作进程或者为一个父进程。
11.一种非易失性计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载并执行权利要求1-5任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711484562.8A CN109472144B (zh) | 2017-12-29 | 2017-12-29 | 一种防御病毒对文件进行操作的方法、装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711484562.8A CN109472144B (zh) | 2017-12-29 | 2017-12-29 | 一种防御病毒对文件进行操作的方法、装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109472144A CN109472144A (zh) | 2019-03-15 |
| CN109472144B true CN109472144B (zh) | 2021-09-28 |
Family
ID=65657915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711484562.8A Active CN109472144B (zh) | 2017-12-29 | 2017-12-29 | 一种防御病毒对文件进行操作的方法、装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109472144B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040088555A1 (en) * | 2000-05-31 | 2004-05-06 | Pierre Girard | Method for protection against fraudulent modification of data sent to a secure electronic medium |
| CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN105303107A (zh) * | 2014-06-06 | 2016-02-03 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
| CN107506642A (zh) * | 2017-08-10 | 2017-12-22 | 四川长虹电器股份有限公司 | 防止文件被恶意操作行为损坏的方法与系统 |
-
2017
- 2017-12-29 CN CN201711484562.8A patent/CN109472144B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040088555A1 (en) * | 2000-05-31 | 2004-05-06 | Pierre Girard | Method for protection against fraudulent modification of data sent to a secure electronic medium |
| CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN103679031A (zh) * | 2013-12-12 | 2014-03-26 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
| CN105303107A (zh) * | 2014-06-06 | 2016-02-03 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
| CN107506642A (zh) * | 2017-08-10 | 2017-12-22 | 四川长虹电器股份有限公司 | 防止文件被恶意操作行为损坏的方法与系统 |
Non-Patent Citations (7)
| Title |
|---|
| Process Monitor监控目录-监控文件被哪个进程操作了;kendyhj9999;《https://blog.csdn.net/kendyhj9999/article/details/78744617》;20171207;文章全文 * |
| 从系统进程的角度防治病毒;杨玉兰;《计算机安全》;20060901;文章第68-69页 * |
| 基于进程鉴别和隐藏的病毒主动式防御技术;邓璐娟 等;《计算机工程》;20070331;第33卷(第5期);第117-119页 * |
| 编程实现"进程签名验证"功能;t1Helen;《黑客防线》;20091230;第136-140页 * |
| 进程与病毒的诠释;海棠;《网络与信息》;20080401;第22卷(第1期);第64-68页 * |
| 进程结构和内存布局;Kjing;《https://www.cnblogs.com/jingyg/p/5069964.html》;20151223;文章全文 * |
| 驱动模式的windows进程合法性验证;钱涛 等;《计算机应用》;20091230;第29卷(第12期);第3398-3399,3402页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109472144A (zh) | 2019-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11611586B2 (en) | Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots | |
| CN109871691B (zh) | 基于权限的进程管理方法、系统、设备及可读存储介质 | |
| US11645383B2 (en) | Early runtime detection and prevention of ransomware | |
| US11438159B2 (en) | Security privilege escalation exploit detection and mitigation | |
| CN102768717B (zh) | 恶意文件检测的方法及装置 | |
| US10339304B2 (en) | Systems and methods for generating tripwire files | |
| US8484737B1 (en) | Techniques for processing backup data for identifying and handling content | |
| CN108763951B (zh) | 一种数据的保护方法及装置 | |
| CN105760787B (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
| US9064120B2 (en) | Systems and methods for directing application updates | |
| JP7537661B2 (ja) | 高度なランサムウェア検出 | |
| US9659182B1 (en) | Systems and methods for protecting data files | |
| Li et al. | Android-based cryptocurrency wallets: Attacks and countermeasures | |
| WO2019037521A1 (zh) | 安全检测的方法、装置、系统以及服务器 | |
| Li et al. | An efficient attestation for trustworthiness of computing platform | |
| US10169584B1 (en) | Systems and methods for identifying non-malicious files on computing devices within organizations | |
| CN109472144B (zh) | 一种防御病毒对文件进行操作的方法、装置和存储介质 | |
| CN108647516B (zh) | 一种防御漏洞非法提权方法及装置 | |
| KR102034678B1 (ko) | 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법 | |
| CN106446681A (zh) | 病毒查杀方法和装置 | |
| CN116340929A (zh) | 软件安装的管控方法、装置、存储介质和计算机设备 | |
| Hu et al. | Monitoring of root privilege escalation in android kernel | |
| US10073968B1 (en) | Systems and methods for classifying files | |
| KR101588533B1 (ko) | 안드로이드 시스템에서 응용 프로그램의 보안을 강화하는 방법 및 장치 | |
| CN105718361B (zh) | 一种设备行为记录系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |