CN110222508A - 勒索病毒防御方法、电子设备、系统及介质 - Google Patents
勒索病毒防御方法、电子设备、系统及介质 Download PDFInfo
- Publication number
- CN110222508A CN110222508A CN201910508095.0A CN201910508095A CN110222508A CN 110222508 A CN110222508 A CN 110222508A CN 201910508095 A CN201910508095 A CN 201910508095A CN 110222508 A CN110222508 A CN 110222508A
- Authority
- CN
- China
- Prior art keywords
- target process
- write operation
- electronic equipment
- permissions list
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种勒索病毒防御方法、电子设备、系统及介质,所述方法包括:采用Service进程加载Minifilter框架;基于所述Minifilter框架捕获写操作;当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权;当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。本发明能够基于系统自身,实现对勒索病毒的有效防御,进而避免对系统性能产生影响。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及勒索病毒防御方法、电子设备、系统及介质。
背景技术
随着区块链技术的日趋成熟,一些不法分子利用能够锁死文件的勒索病毒来向受害者勒索虚拟币,也就是说,勒索病毒会将电子设备上的文本文档等数据锁死,在用户没有满足不法分子需求的情况下,将无法打开被勒索病毒感染的文件。
并且,勒索病毒能够感染的数据范围较广,包括doc,ppt,execl,json等文件格式,如果被感染的数据没有备份,而数据又很重要的话,将造成严重的财产损失。
针对上述情况,现有技术方案中,用户要想防御勒索病毒,通常需要购买杀毒软件,不仅要花费一定的金额,并且杀毒软件还要占用很高的内存,影响电子设备运行的流畅性。
发明内容
本发明的主要目的在于提供勒索病毒防御方法、电子设备、系统及介质,旨在基于系统自身,实现对勒索病毒的有效防御,进而避免对系统性能产生影响。
为实现上述目的,本发明提供一种勒索病毒防御方法,所述方法包括:
采用Service进程加载Minifilter框架;
基于所述Minifilter框架捕获写操作;
当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权;
当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。
优选地,所述对所述目标进程进行鉴权包括:
获取预先配置的权限列表,其中,所述权限列表中存储着带有数字签名的进程及预先配置了写权限的进程;
将所述目标进程与所述权限列表中存储的进程进行匹配;
当所述目标进程与所述权限列表中存储的进程匹配成功时,确定所述目标进程通过鉴权;或者
当所述目标进程与所述权限列表中存储的进程未匹配成功时,确定所述目标进程未通过鉴权。
优选地,所述方法还包括:
采用RSA加密算法加密所述权限列表。
优选地,在拦截所述目标进程的写操作前,所述方法还包括:
发出提示信息,其中,所述提示信息用于提示确认是否拦截所述目标进程的写操作;
当接收到确认拦截所述目标进程写操作的信号时,拦截所述目标进程的写操作。
优选地,所述方法还包括:
当接收到确认不拦截所述目标进程写操作的信号时,允许所述目标进程的写操作;
将所述目标进程写入所述权限列表。
优选地,在拦截所述目标进程的写操作后,所述方法还包括:
记录所述目标进程;
当监听到所述目标进程时,拦截所述目标进程。
为实现上述目的,本发明进一步提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现所述勒索病毒防御方法。
优选地,所述电子设备为组成内容分发网络或者区块链网络的节点。
为实现上述目的,本发明进一步提供一种勒索病毒防御系统,所述系统包括:
加载单元,用于采用Service进程加载Minifilter框架;
捕获单元,用于基于所述Minifilter框架捕获写操作;
鉴权单元,用于当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权;
拦截单元,用于当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。
优选地,所述鉴权单元具体用于:
获取预先配置的权限列表,其中,所述权限列表中存储着带有数字签名的进程及预先配置了写权限的进程;
将所述目标进程与所述权限列表中存储的进程进行匹配;
当所述目标进程与所述权限列表中存储的进程匹配成功时,确定所述目标进程通过鉴权;或者
当所述目标进程与所述权限列表中存储的进程未匹配成功时,确定所述目标进程未通过鉴权。
优选地,所述系统还包括:
加密单元,用于采用RSA加密算法加密所述权限列表。
优选地,所述系统还包括:
显示单元,用于在拦截所述目标进程的写操作前,发出提示信息,其中,所述提示信息用于提示确认是否拦截所述目标进程的写操作;
所述拦截单元,还用于当接收到确认拦截所述目标进程写操作的信号时,拦截所述目标进程的写操作。
优选地,所述系统还包括:
允许单元,用于当接收到确认不拦截所述目标进程写操作的信号时,允许所述目标进程的写操作;
写入单元,用于将所述目标进程写入所述权限列表。
优选地,所述系统还包括:
记录单元,用于在拦截所述目标进程的写操作后,记录所述目标进程;
所述拦截单元,还用于当监听到所述目标进程时,拦截所述目标进程。
为实现上述目的,本发明进一步提供一种计算机程序产品,包括计算机指令,当其在计算机上运行时,使得计算机可以执行所述勒索病毒防御方法。
综上所述,本发明能够采用Service进程加载Minifilter框架,由于Service进程与系统的生命周期一致,因此能够在系统运行的全周期内对系统进行有效保护,再基于所述Minifilter框架捕获写操作,从而基于系统自身实现对写操作的监控,当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权,以确认所述目标进程的写入权限,当所述目标进程未通过鉴权时,拦截所述目标进程的写操作,从而能够基于系统自身,实现对勒索病毒的有效防御,进而避免对系统性能产生影响。
附图说明
图1为本发明一实施例的流程示意图;
图2为本发明一实施例揭露的电子设备的内部结构示意图;
图3为本发明勒索病毒防御系统的功能模块示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
主要元件符号说明
| 电子设备 | 1 |
| 存储器 | 12 |
| 处理器 | 13 |
| 勒索病毒防御系统 | 11 |
| 加载单元 | 110 |
| 捕获单元 | 111 |
| 鉴权单元 | 112 |
| 拦截单元 | 113 |
| 加密单元 | 114 |
| 发出单元 | 115 |
| 允许单元 | 116 |
| 写入单元 | 117 |
| 记录单元 | 118 |
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
本发明提供一种勒索病毒防御方法。
参照图1,图1为本发明一实施例的流程示意图。根据不同的需求,该流程示意图中步骤的顺序可以改变,某些步骤可以省略。
所述勒索病毒防御方法应用于一个或者多个电子设备中,所述电子设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,所述电子设备的硬件包括但不限于微处理器、专用集成电路(Application Specific IntegratedCircuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述电子设备可以是任何一种可与用户进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)、游戏机、交互式网络电视(Internet Protocol Television,IPTV)、智能式穿戴式设备等。
所述电子设备还可以包括网络设备和/或用户设备。其中,所述网络设备包括,但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量主机或网络服务器构成的云。
所述电子设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。
在一实施例中,该方法包括:
S10,采用Service进程加载Minifilter框架。
在本发明的至少一个实施例中,所述Service进程处于系统的应用层,并且,在系统的应用层,所述Service进程的权限最高,能够在系统运行的全周期内与系统同步运行。
因此,采用所述Service进程加载所述Minifilter框架,能够对系统进行更全面的保护,使系统在运行期间,都能够对勒索病毒进行防御,避免出现防御漏洞。
在本发明的至少一个实施例中,所述Minifilter框架是一种文件系统过滤驱动,能够捕获系统的读、写操作。
S11,基于所述Minifilter框架捕获写操作。
通过上述实施方式,由于Minifilter框架属于系统自身的框架,处于系统的内核模块,因此能够基于系统自身实现对写操作的监听,避免对系统性能产生影响。
在本发明的至少一个实施例中,依据不同的使用需求,所述电子设备还可以配置基于所述Minifilter框架,对写操作进行周期性捕获,本发明在此不作限制。
S12,当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权。
在本发明的至少一个实施例中,所述任意数据可以包括,但不限于以下一种或者多种的组合:
doc文件、docx文件、ppt文件、execl文件、json文件、stp文件、jpg文件等。
在本发明的至少一个实施例中,所述电子设备对所述目标进程进行鉴权包括:
所述电子设备获取预先配置的权限列表,并将所述目标进程与所述权限列表中存储的进程进行匹配,进一步地,当所述目标进程与所述权限列表中存储的进程匹配成功时,所述电子设备确定所述目标进程通过鉴权;或者当所述目标进程与所述权限列表中存储的进程未匹配成功时,所述电子设备确定所述目标进程未通过鉴权。
其中,所述权限列表中存储着带有数字签名的进程及预先配置了写权限的进程。
在本发明的至少一个实施例中,在对所述目标进程进行鉴权前,所述方法还包括:
(1)所述电子设备获取系统安装的所有应用程序,并进一步检测所述所有应用程序的数字签名,并将所述所有应用程序中具有数字签名的应用程序维护至所述权限列表。
可以理解的是,安装于系统的应用程序,通常都是可信赖的,而在这些应用程序中,具有正规数字签名的应用程序则更加安全,因此,所述电子设备将系统安装的、且具有数字签名的应用程序维护至所述权限列表,以避免影响系统中应用程序的正常使用。
(2)所述电子设备获取预先配置了写权限的进程,并将获取的进程维护至所述权限列表。
可以理解的是,有些进程可能是用户自己开发的,或者是用户可信赖的未知软件,这些进程或软件虽然没有数字签名,但是仍然应该被允许执行写操作,因此,所述电子设备将所述预先配置了写权限的进程维护至所述权限列表,以避免影响用户的使用体验。
在本发明的至少一个实施例中,所述方法还包括:
在维护了所述权限列表后,所述电子设备采用RSA加密算法加密所述权限列表。
其中,所述RSA加密算法是一种非对称加密算法,具有安全、高效的特性。
可以理解的是,在维护了所述权限列表后,为了进一步避免所述权限列表中的数据被黑客篡改,出现黑客将自身勒索病毒写入所述权限列表,导致无法对所述勒索病毒进行防御的情况,所述电子设备采用RSA加密算法加密所述权限列表,进而实现对所述权限列表的有效保护,进一步提高了系统的安全性。
在本发明的至少一个实施例中,所述方法还包括:
所述电子设备对所述权限列表的读、写操作进行加壳处理。
通过上述实施方式,能够进一步保护所述权限列表,避免有病毒对所述权限列表进行篡改。
S13,当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。
在本发明的至少一个实施例中,在拦截所述目标进程的写操作前,所述方法还包括:
所述电子设备发出提示信息,当接收到确认拦截所述目标进程写操作的信号时,所述电子设备拦截所述目标进程的写操作。
进一步地,所述提示信息用于提示用户确认是否拦截所述目标进程的写操作。
通过上述实施方式,能够防止系统判断失误时影响用户对所述目标进程的正常使用,所述电子设备根据用户的确认信号确定是否拦截所述目标进程的写操作,不仅提高了人机交互性,且满足了用户的实际需求,用户体验更佳。
在本发明的至少一个实施例中,所述电子设备发出所述提示信息的方式可以包括,但不限于以下一种或者多种方式的组合:
(1)所述电子设备以弹窗的方式发出所述提示信息。
(2)所述电子设备以文字飘窗的方式发出所述提示信息。
(3)所述电子设备以语音提醒的方式发出所述提示信息。
(4)所述电子设备向指定用户的终端设备发送所述提示信息。
其中,所述指定用户可以是所述电子设备的使用者,或者是预先配置的安全联系人等,本发明不限制。
进一步地,所述电子设备可以向所述指定用户的终端设备发送提示短信等。
通过上述实施方式,能够及时提示用户进行确认,避免由于误拦截给用户带来不便。
在本发明的至少一个实施例中,所述方法还包括:
当接收到确认不拦截所述目标进程写操作的信号时,所述电子设备允许所述目标进程的写操作,并将所述目标进程写入所述权限列表。
通过上述实施方式,能够在用户确认不拦截时,允许所述目标进程的写操作,以便让所述目标进程根据用户的需要正常运行。同时,由于所述目标进程是用户可信赖的进程,因此,所述电子设备将所述目标进程写入所述权限列表,避免下次检测到所述目标进程的写操作时还要再反复确认,影响系统运行的时效性。
在本发明的至少一个实施例中,在拦截所述目标进程的写操作后,所述方法还包括:
所述电子设备记录所述目标进程,当监听到所述目标进程时,拦截所述目标进程。
可以理解的是,当确认对所述目标进程进行拦截时,说明所述目标进程是非法进程,也就是说,所述目标进程很有可能是由黑客启动的勒索病毒,因此,所述电子设备记录所述目标进程,以便在下次监听到所述目标进程时,直接拦截所述目标进程,既提高了防御的时效性,又降低了对系统性能的影响。
由于上述防御方法是基于系统自身设计的,且只过滤对数据的写操作,因此具有软件轻量化的特点,不会对系统造成性能负担,在不安装庞大的杀毒软件的情况下,达到防御勒索病毒的效果。
综上所述,本发明能够采用Service进程加载Minifilter框架,由于Service进程与系统的生命周期一致,因此能够在系统运行的全周期内对系统进行有效保护,再基于所述Minifilter框架捕获写操作,从而基于系统自身实现对写操作的监控,当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权,以确认所述目标进程的写入权限,当所述目标进程未通过鉴权时,拦截所述目标进程的写操作,从而能够基于系统自身,实现对勒索病毒的有效防御,进而避免对系统性能产生影响。
参见图2,在本实施例中,所述电子设备1是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述电子设备1还可以是但不限于任何一种可与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互的电子产品,例如,个人计算机(Personal Computer,PC)、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)、游戏机、交互式网络电视(Internet Protocol Television,IPTV)、智能式穿戴式设备、掌上电脑、便携计算机、智能路由器、矿机、网络存储设备终端设备、桌上型计算机、云端服务器等计算设备等。
所述电子设备1所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。
所述电子设备1可以是组成内容分发网络或者区块链网络的节点。
所述电子设备1可以包括存储器12、处理器13和总线,还可以包括存储在所述存储器12中并可在所述处理器13上运行的计算机程序,例如勒索病毒防御程序。
本领域技术人员可以理解,所述示意图仅仅是电子设备1的示例,并不构成对电子设备1的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备1还可以包括输入输出设备、网络接入设备等。
其中,存储器12至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器12在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。存储器12在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器12还可以既包括电子设备1的内部存储单元也包括外部存储设备。存储器12不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如勒索病毒防御程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器13在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器12中存储的程序代码或处理数据,例如执行勒索病毒防御程序等。
所述处理器13执行所述电子设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个勒索病毒防御方法实施例中的步骤,例如图1所示的步骤S10、S11、S12、S13。
或者,所述处理器13执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如:采用Service进程加载Minifilter框架;基于所述Minifilter框架捕获写操作;当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权;当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。
该总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一根箭头表示,但并不表示仅有一根总线或一种类型的总线。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器12中,并由所述处理器13执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述电子设备1中的执行过程。例如,所述计算机程序可以被分割成加载单元110、捕获单元111、鉴权单元112、拦截单元113、加密单元114、发出单元115、允许单元116、写入单元117及记录单元118。
进一步地,电子设备还可以包括网络接口,网络接口可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的用户接口还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。
其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
图2仅示出了具有组件12-13,以及勒索病毒防御程序的电子设备1,本领域技术人员可以理解的是,图2示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
结合图1,所述电子设备1中的所述存储器12存储多个指令以实现一种勒索病毒防御方法,所述处理器13可执行所述多个指令从而实现:采用Service进程加载Minifilter框架;基于所述Minifilter框架捕获写操作;当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权;当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。
根据本发明优选实施例,所述处理器13还执行多个指令包括:
获取预先配置的权限列表,其中,所述权限列表中存储着带有数字签名的进程及预先配置了写权限的进程;
将所述目标进程与所述权限列表中存储的进程进行匹配;
当所述目标进程与所述权限列表中存储的进程匹配成功时,确定所述目标进程通过鉴权;或者
当所述目标进程与所述权限列表中存储的进程未匹配成功时,确定所述目标进程未通过鉴权。
根据本发明优选实施例,所述处理器13还执行多个指令包括:
采用RSA加密算法加密所述权限列表。
根据本发明优选实施例,所述处理器13还执行多个指令包括:
发出提示信息,其中,所述提示信息用于提示确认是否拦截所述目标进程的写操作;
当接收到确认拦截所述目标进程写操作的信号时,拦截所述目标进程的写操作。
根据本发明优选实施例,所述处理器13还执行多个指令包括:
当接收到确认不拦截所述目标进程写操作的信号时,允许所述目标进程的写操作;
将所述目标进程写入所述权限列表。
根据本发明优选实施例,所述处理器13还执行多个指令包括:
记录所述目标进程;
当监听到所述目标进程时,拦截所述目标进程。
参照图3,为本发明勒索病毒防御系统的功能模块示意图。所述勒索病毒防御系统11包括加载单元110、捕获单元111、鉴权单元112、拦截单元113、加密单元114、发出单元115、允许单元116、写入单元117及记录单元118。本发明所称的模块/单元是指一种能够被处理器13所执行,并且能够完成固定功能的一系列计算机程序段,其存储在存储器12中。在本实施例中,关于各模块/单元的功能将在后续的实施例中详述。
加载单元110采用Service进程加载Minifilter框架。
在本发明的至少一个实施例中,所述Service进程处于系统的应用层,并且,在系统的应用层,所述Service进程的权限最高,能够在系统运行的全周期内与系统同步运行。
因此,所述加载单元110采用所述Service进程加载所述Minifilter框架,能够对系统进行更全面的保护,使系统在运行期间,都能够对勒索病毒进行防御,避免出现防御漏洞。
在本发明的至少一个实施例中,所述Minifilter框架是一种文件系统过滤驱动,能够捕获系统的读、写操作。
捕获单元111基于所述Minifilter框架捕获写操作。
通过上述实施方式,由于Minifilter框架属于系统自身的框架,处于系统的内核模块,因此能够基于系统自身实现对写操作的监听,避免对系统性能产生影响。
在本发明的至少一个实施例中,依据不同的使用需求,所述捕获单元111还可以配置基于所述Minifilter框架,对写操作进行周期性捕获,本发明在此不作限制。
当捕获到有目标进程对任意数据进行写操作时,鉴权单元112对所述目标进程进行鉴权。
在本发明的至少一个实施例中,所述任意数据可以包括,但不限于以下一种或者多种的组合:
doc文件、docx文件、ppt文件、execl文件、json文件、stp文件、jpg文件等。
在本发明的至少一个实施例中,所述鉴权单元112对所述目标进程进行鉴权包括:
所述鉴权单元112获取预先配置的权限列表,并将所述目标进程与所述权限列表中存储的进程进行匹配,进一步地,当所述目标进程与所述权限列表中存储的进程匹配成功时,所述鉴权单元112确定所述目标进程通过鉴权;或者当所述目标进程与所述权限列表中存储的进程未匹配成功时,所述鉴权单元112确定所述目标进程未通过鉴权。
其中,所述权限列表中存储着带有数字签名的进程及预先配置了写权限的进程。
在本发明的至少一个实施例中,在对所述目标进程进行鉴权前,所述方法还包括:
(1)所述鉴权单元112获取系统安装的所有应用程序,并进一步检测所述所有应用程序的数字签名,并将所述所有应用程序中具有数字签名的应用程序维护至所述权限列表。
可以理解的是,安装于系统的应用程序,通常都是可信赖的,而在这些应用程序中,具有正规数字签名的应用程序则更加安全,因此,所述鉴权单元112将系统安装的、且具有数字签名的应用程序维护至所述权限列表,以避免影响系统中应用程序的正常使用。
(2)所述鉴权单元112获取预先配置了写权限的进程,并将获取的进程维护至所述权限列表。
可以理解的是,有些进程可能是用户自己开发的,或者是用户可信赖的未知软件,这些进程或软件虽然没有数字签名,但是仍然应该被允许执行写操作,因此,所述鉴权单元112将所述预先配置了写权限的进程维护至所述权限列表,以避免影响用户的使用体验。
在本发明的至少一个实施例中,所述方法还包括:
在维护了所述权限列表后,加密单元114采用RSA加密算法加密所述权限列表。
其中,所述RSA加密算法是一种非对称加密算法,具有安全、高效的特性。
可以理解的是,在维护了所述权限列表后,为了进一步避免所述权限列表中的数据被黑客篡改,出现黑客将自身勒索病毒写入所述权限列表,导致无法对所述勒索病毒进行防御的情况,所述加密单元114采用RSA加密算法加密所述权限列表,进而实现对所述权限列表的有效保护,进一步提高了系统的安全性。
在本发明的至少一个实施例中,所述方法还包括:
所述加密单元114对所述权限列表的读、写操作进行加壳处理。
通过上述实施方式,能够进一步保护所述权限列表,避免有病毒对所述权限列表进行篡改。
当所述目标进程未通过鉴权时,拦截单元113拦截所述目标进程的写操作。
在本发明的至少一个实施例中,在拦截所述目标进程的写操作前,所述方法还包括:
发出单元115发出提示信息,当接收到确认拦截所述目标进程写操作的信号时,所述拦截单元113拦截所述目标进程的写操作。
进一步地,所述提示信息用于提示用户确认是否拦截所述目标进程的写操作。
通过上述实施方式,能够防止系统判断失误时影响用户对所述目标进程的正常使用,所述拦截单元113根据用户的确认信号确定是否拦截所述目标进程的写操作,不仅提高了人机交互性,且满足了用户的实际需求,用户体验更佳。
在本发明的至少一个实施例中,所述发出单元115发出所述提示信息的方式可以包括,但不限于以下一种或者多种方式的组合:
(1)所述发出单元115以弹窗的方式发出所述提示信息。
(2)所述发出单元115以文字飘窗的方式发出所述提示信息。
(3)所述发出单元115以语音提醒的方式发出所述提示信息。
(4)所述发出单元115向指定用户的终端设备发送所述提示信息。
其中,所述指定用户可以是电子设备的使用者,或者是预先配置的安全联系人等,本发明不限制。
进一步地,所述发出单元115可以向所述指定用户的终端设备发送提示短信等。
通过上述实施方式,能够及时提示用户进行确认,避免由于误拦截给用户带来不便。
在本发明的至少一个实施例中,所述方法还包括:
当接收到确认不拦截所述目标进程写操作的信号时,允许单元116允许所述目标进程的写操作,写入单元117将所述目标进程写入所述权限列表。
通过上述实施方式,能够在用户确认不拦截时,允许所述目标进程的写操作,以便让所述目标进程根据用户的需要正常运行。同时,由于所述目标进程是用户可信赖的进程,因此,所述写入单元117将所述目标进程写入所述权限列表,避免下次检测到所述目标进程的写操作时还要再反复确认,影响系统运行的时效性。
在本发明的至少一个实施例中,在拦截所述目标进程的写操作后,所述方法还包括:
记录单元118记录所述目标进程,当监听到所述目标进程时,所述拦截单元113拦截所述目标进程。
可以理解的是,当确认对所述目标进程进行拦截时,说明所述目标进程是非法进程,也就是说,所述目标进程很有可能是由黑客启动的勒索病毒,因此,所述记录单元118记录所述目标进程,以便在下次监听到所述目标进程时,直接拦截所述目标进程,既提高了防御的时效性,又降低了对系统性能的影响。
由于上述防御方法是基于系统自身设计的,且只过滤对数据的写操作,因此具有软件轻量化的特点,不会对系统造成性能负担,在不安装庞大的杀毒软件的情况下,达到防御勒索病毒的效果。
综上所述,本发明能够采用Service进程加载Minifilter框架,由于Service进程与系统的生命周期一致,因此能够在系统运行的全周期内对系统进行有效保护,再基于所述Minifilter框架捕获写操作,从而基于系统自身实现对写操作的监控,当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权,以确认所述目标进程的写入权限,当所述目标进程未通过鉴权时,拦截所述目标进程的写操作,从而能够基于系统自身,实现对勒索病毒的有效防御,进而避免对系统性能产生影响。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、移动硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态移动硬盘Solid State Disk(SSD))等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种勒索病毒防御方法,其特征在于,所述方法包括:
采用Service进程加载Minifilter框架;
基于所述Minifilter框架捕获写操作;
当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权;
当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。
2.如权利要求1所述的勒索病毒防御方法,其特征在于,所述对所述目标进程进行鉴权包括:
获取预先配置的权限列表,其中,所述权限列表中存储着带有数字签名的进程及预先配置了写权限的进程;
将所述目标进程与所述权限列表中存储的进程进行匹配;
当所述目标进程与所述权限列表中存储的进程匹配成功时,确定所述目标进程通过鉴权;或者
当所述目标进程与所述权限列表中存储的进程未匹配成功时,确定所述目标进程未通过鉴权。
3.如权利要求2所述的勒索病毒防御方法,其特征在于,所述方法还包括:
采用RSA加密算法加密所述权限列表。
4.如权利要求1所述的勒索病毒防御方法,其特征在于,在拦截所述目标进程的写操作前,所述方法还包括:
发出提示信息,其中,所述提示信息用于提示确认是否拦截所述目标进程的写操作;
当接收到确认拦截所述目标进程写操作的信号时,拦截所述目标进程的写操作。
5.如权利要求2或4所述的勒索病毒防御方法,其特征在于,所述方法还包括:
当接收到确认不拦截所述目标进程写操作的信号时,允许所述目标进程的写操作;
将所述目标进程写入所述权限列表。
6.如权利要求1所述的勒索病毒防御方法,其特征在于,在拦截所述目标进程的写操作后,所述方法还包括:
记录所述目标进程;
当监听到所述目标进程时,拦截所述目标进程。
7.一种电子设备,其特征在于,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现如权利要求1至6中任意一项所述的勒索病毒防御方法。
8.根据权利要求7所述的电子设备,其特征在于,所述电子设备为组成内容分发网络或者区块链网络的节点。
9.一种勒索病毒防御系统,其特征在于,所述系统包括:
加载单元,用于采用Service进程加载Minifilter框架;
捕获单元,用于基于所述Minifilter框架捕获写操作;
鉴权单元,用于当捕获到有目标进程对任意数据进行写操作时,对所述目标进程进行鉴权;
拦截单元,用于当所述目标进程未通过鉴权时,拦截所述目标进程的写操作。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有勒索病毒防御程序,所述勒索病毒防御程序可被一个或者多个处理器执行,以实现如权利要求1至6中任一项所述的勒索病毒防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910508095.0A CN110222508A (zh) | 2019-06-12 | 2019-06-12 | 勒索病毒防御方法、电子设备、系统及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910508095.0A CN110222508A (zh) | 2019-06-12 | 2019-06-12 | 勒索病毒防御方法、电子设备、系统及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110222508A true CN110222508A (zh) | 2019-09-10 |
Family
ID=67816773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910508095.0A Pending CN110222508A (zh) | 2019-06-12 | 2019-06-12 | 勒索病毒防御方法、电子设备、系统及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110222508A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111625828A (zh) * | 2020-07-29 | 2020-09-04 | 杭州海康威视数字技术股份有限公司 | 勒索病毒防御方法、装置及电子设备 |
| CN115221524A (zh) * | 2022-09-20 | 2022-10-21 | 深圳市科力锐科技有限公司 | 业务数据保护方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107330320A (zh) * | 2016-04-29 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 应用进程监控的方法和装置 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN108985095A (zh) * | 2018-07-05 | 2018-12-11 | 深圳市网心科技有限公司 | 一种非公开文件访问方法、系统及电子设备和存储介质 |
| CN109800576A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 未知程序异常请求的监控方法、装置、及电子装置 |
-
2019
- 2019-06-12 CN CN201910508095.0A patent/CN110222508A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107330320A (zh) * | 2016-04-29 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 应用进程监控的方法和装置 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN108985095A (zh) * | 2018-07-05 | 2018-12-11 | 深圳市网心科技有限公司 | 一种非公开文件访问方法、系统及电子设备和存储介质 |
| CN109800576A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 未知程序异常请求的监控方法、装置、及电子装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111625828A (zh) * | 2020-07-29 | 2020-09-04 | 杭州海康威视数字技术股份有限公司 | 勒索病毒防御方法、装置及电子设备 |
| CN111625828B (zh) * | 2020-07-29 | 2021-02-26 | 杭州海康威视数字技术股份有限公司 | 勒索病毒防御方法、装置及电子设备 |
| CN115221524A (zh) * | 2022-09-20 | 2022-10-21 | 深圳市科力锐科技有限公司 | 业务数据保护方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
| US20180295136A1 (en) | System and method for provisioning a security token | |
| EP3029593B1 (en) | System and method of limiting the operation of trusted applications in the presence of suspicious programs | |
| CN109831419A (zh) | shell程序权限的确定方法及装置 | |
| US10867048B2 (en) | Dynamic security module server device and method of operating same | |
| US10142308B1 (en) | User authentication | |
| CN108319849B (zh) | 基于安卓双容器系统的设备策略管理系统及管理域实现方法 | |
| CN110222508A (zh) | 勒索病毒防御方法、电子设备、系统及介质 | |
| KR101834808B1 (ko) | 파일 암호화 방지 장치 및 방법 | |
| US11379568B2 (en) | Method and system for preventing unauthorized computer processing | |
| US9219728B1 (en) | Systems and methods for protecting services | |
| US11914710B2 (en) | System and method for application tamper discovery | |
| US11671422B1 (en) | Systems and methods for securing authentication procedures | |
| US11438378B1 (en) | Systems and methods for protecting against password attacks by concealing the use of honeywords in password files | |
| US10552600B2 (en) | Securing a media storage device using application authority assignment | |
| CN105207979A (zh) | 一种基于用户输入特征的用户验证方法及装置 | |
| US11394741B1 (en) | Systems and methods for hindering malicious computing actions | |
| US20230214533A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| US20200092304A1 (en) | Malware detection system | |
| Neuner | Bad things happen through USB | |
| Song et al. | Android Data-Clone Attack via Operating System Customization | |
| CN117768896A (zh) | 一种近场通信安全元件的防攻击方法和装置 | |
| CN109656576A (zh) | 操作系统安装包提权运行方法、电子设备、系统及介质 | |
| Ollis | Design vulnerabilities in android operating smartphones and their susceptibility to cyber-attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190910 |
|
| RJ01 | Rejection of invention patent application after publication |