CN110443040A - 一种基于文件过滤驱动框架的文件实时捕获方法和装置 - Google Patents
一种基于文件过滤驱动框架的文件实时捕获方法和装置 Download PDFInfo
- Publication number
- CN110443040A CN110443040A CN201910743674.3A CN201910743674A CN110443040A CN 110443040 A CN110443040 A CN 110443040A CN 201910743674 A CN201910743674 A CN 201910743674A CN 110443040 A CN110443040 A CN 110443040A
- Authority
- CN
- China
- Prior art keywords
- file
- erasure signal
- signal
- real
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种基于文件过滤驱动框架的文件实时捕获方法和装置,涉及网络安全的技术领域,应用于监控驱动程序,该监控驱动程序在与文件捕获应用程序建立通信连接后,实时判断操作系统中的新增活动信号是否为文件删除信号,如果确定是,则拦截上述文件删除信号并存入消息队列,等待文件捕获应用程序访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。本发明基于文件过滤驱动框架实现了在驱动层对文件删除信号的拦截,文件捕获应用程序随后将恶意文件删除信号欲删除的恶意文件信息进行捕获,从而有效的缓解了现有技术中的文件捕获方法捕获效果差的技术问题。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种基于文件过滤驱动框架的文件实时捕获方法和装置。
背景技术
大多数的恶意文件一般都具有自删除功能,能够在运行时删除释放的程序和配置文件,这对恶意文件的捕获带来了极大的挑战,此外,最新留下的无文件木马下载者工具一般通过网络快速下载恶意文件后,在恶意文件执行时便实现了下载工具和恶意文件的自删除,导致操作系统内部的文件痕迹被消除,对事后取证和分析造成了很大的困扰。
目前,文件捕获的方法是对已知的恶意文件释放路径进行监控,一旦发现该路径上存在释放的恶意文件就立即进行捕获。但是,该方法中文件读取速度往往慢于文件删除速度,不能有效的捕获到恶意文件。
综上所述,现有技术中的文件捕获方法存在捕获效果差的技术问题。
发明内容
本发明的目的在于提供一种基于文件过滤驱动框架的文件实时捕获方法和装置,以缓解了现有技术中的文件捕获方法存在的捕获效果差的技术问题。
第一方面,本发明实施例提供一种基于文件过滤驱动框架的文件实时捕获方法,应用于监控驱动程序,包括:建立与文件捕获应用程序的通信连接;判断操作系统中的新增活动信号是否为文件删除信号;若是,则拦截所述文件删除信号,并将其存入消息队列以使所述文件捕获应用程序在预设时间范围内访问所述消息队列并将所述文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
在可选的实施方式中,所述文件实时捕获方法还包括:接收所述文件捕获应用程序发送的放行所述文件删除信号的指令;执行放行所述文件删除信号的指令。
在可选的实施方式中,判断操作系统中的新增活动信号是否为文件删除信号包括:获取所述新增活动信号的标志位;基于所述标志位的枚举类型判断所述新增活动信号是否为文件删除信号。
第二方面,本发明实施例提供一种基于文件过滤驱动框架的文件实时捕获方法,应用于文件捕获应用程序,包括:建立与监控驱动程序的通信连接;访问所述监控驱动程序的消息队列;若所述消息队列中含有文件删除信号,则判断所述文件删除信号是否为恶意文件删除信号;若是,则将所述恶意文件删除信号欲删除的恶意文件信息读取到内存中。
在可选的实施方式中,将所述恶意文件删除信号欲删除的恶意文件信息读取到内存中后,所述文件实时捕获方法还包括:发送放行所述文件删除信号的指令至所述监控驱动程序,以使所述监控驱动程序放行所述文件删除信号。
第三方面,本发明实施例提供一种基于文件过滤驱动框架的文件实时捕获装置,应用于监控驱动程序,包括:第一通信模块,用于建立与文件捕获应用程序的通信连接;第一判断模块,用于判断操作系统中的新增活动信号是否为文件删除信号;拦截模块,若是,则拦截所述文件删除信号,并将其存入消息队列以使所述文件捕获应用程序在预设时间范围内访问所述消息队列并将所述文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
在可选的实施方式中,所述文件实时捕获装置还包括:接收模块,用于接收所述文件捕获应用程序发送的放行所述文件删除信号的指令;执行模块,用于执行放行所述文件删除信号的指令。
在可选的实施方式中,判断模块包括:获取单元,用于获取所述新增活动信号的标志位;判断单元,用于基于所述标志位的枚举类型判断所述新增活动信号是否为文件删除信号。
第四方面,本发明实施例提供一种基于文件过滤驱动框架的文件实时捕获装置,应用于文件捕获应用程序,包括:第二通信模块,用于建立与监控驱动程序的通信连接;访问模块,用于访问所述监控驱动程序的消息队列;第二判断模块,若所述消息队列中含有文件删除信号,则判断所述文件删除信号是否为恶意文件删除信号;读取模块,若是,则将所述恶意文件删除信号欲删除的恶意文件信息读取到内存中。
在可选的实施方式中,所述文件实时捕获装置还包括:发送模块,用于发送放行所述文件删除信号的指令至所述监控驱动程序,以使所述监控驱动程序放行所述文件删除信号。
本发明提供的基于文件过滤驱动框架的文件实时捕获方法,应用于监控驱动程序,包括:建立与文件捕获应用程序的通信连接;判断操作系统中的新增活动信号是否为文件删除信号;若是,则拦截文件删除信号,并将其存入消息队列以使文件捕获应用程序在预设时间范围内访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
现有的文件捕获方法多数情况下读取文件的速度慢于恶意文件的自删除速度,进而不能有效的捕获到恶意文件,与现有技术相比,本发明提供了一种基于文件过滤驱动框架的文件实时捕获方法,应用于监控驱动程序,该监控驱动程序在与文件捕获应用程序建立通信连接后,实时判断操作系统中的新增活动信号是否为文件删除信号,如果确定是,则拦截上述文件删除信号并存入消息队列,等待文件捕获应用程序访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。本发明基于文件过滤驱动框架实现了在驱动层对文件删除信号的拦截,文件捕获应用程序随后将恶意文件删除信号欲删除的恶意文件信息进行捕获,从而有效的缓解了现有技术中的文件捕获方法捕获效果差的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于文件过滤驱动框架的文件实时捕获方法;
图2为本发明实施例提供的另一种基于文件过滤驱动框架的文件实时捕获方法;
图3为本发明实施例提供的一种基于文件过滤驱动框架的文件实时捕获装置的功能模块图;
图4为本发明实施例提供的另一种基于文件过滤驱动框架的文件实时捕获装置的功能模块图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
恶意文件的捕获技术与恶意病毒的对抗捕获技术一直都在进化,新型的恶意文件一般都具有自删除功能,一旦恶意程序执行且达到恶意感染的目的后,其载荷文件将会从操作系统中删除,由于现在的计算机处理能力都相对以前提高了不少,所以恶意文件的释放和自删除过程非常快速,几乎是肉眼感知不到的。
恶意程序大多只是用户态的可执行程序,权限没有驱动高,在操作系统内部,权限高的可以访问权限低的,低的无法访问高的,即使病毒程序也使用了驱动技术,但是他们没有正规厂商的签名,除非是“测试模式”的操作系统,否则不会让他运行,测试模式是高级用户用来驱动开发过程中用的模式,正常用户不会开启,所以从驱动层进行操作,攻击者或恶意文件无法感知捕获行为。
为了捕获这类型的恶意文件,必须做到拦截删除操作,本发明引入了文件过滤驱动框架,提供了一种基于文件过滤驱动框架的文件实时捕获方法,使捕获自删除文件成为了可能,本发明基于该项技术的应用,同驱动层代码对恶意文件的自删除操作进行拦截,并在拦截期间,快速对被删除的对象进行拷贝并上报,捕获操作执行完后,方才放行恶意文件的删除操作,这一拦截、捕获、放行的过程耗时较低,并且,基于文件过滤驱动进行文件删除操作的感知是一个实时的过程,其程序复杂度为n(1),极大的降低了监控所需的软硬件资源成本。
实施例一
图1是根据本发明实施例的一种基于文件过滤驱动框架的文件实时捕获方法的流程图,应用于监控驱动程序,如图1所示,该方法包括如下步骤:
步骤S11,建立与文件捕获应用程序的通信连接。
本发明实施例提供一种基于文件过滤驱动框架的文件实时捕获方法,监控驱动程序是基于文件过滤驱动框架的具体实现,是在内核中运行的驱动程序,监控驱动程序的启动与其他一般的程序启动方式不同,首先,监控驱动程序在系统中先注册成一个服务,然后,启动这个服务就相当于启动监控驱动程序,监控驱动程序启动后,文件捕获应用程序就能够通过硬编码的驱动设备描述符来访问监控驱动程序,也就是,监控驱动程序与文件捕获应用程序建立起通信连接,监控驱动程序在驱动层负责监控操作系统中的活动信号,操作系统底层提供了文件捕获应用程序和监控驱动程序的通信方式,通常是一些通信函数,比如I/O control。
步骤S12,判断操作系统中的新增活动信号是否为文件删除信号。
若是,则执行步骤S13,若不是,则执行步骤S14,放行上述新增活动信号。
步骤S13,拦截文件删除信号,并将其存入消息队列以使文件捕获应用程序在预设时间范围内访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
监控驱动程序与文件捕获应用程序建立起通信连接后,监控驱动程序需要实时捕获操作系统中的新增活动信号,并判断上述新增活动信号是否为文件删除信号,可选的,用户可以利用注册回调函数的方式来捕获操作系统中的活动信号,以实现精准的信号捕获,本发明实施例不对捕获新增活动信号的方式进行具体限制,用户可以利用其它方式对新增信号进行捕获。
如果监控驱动程序确定新增活动信号不是文件删除信号,那么将放行上述新增活动信号,以使其执行相应操作,可以为进程操作,网络活动,或者创建文件等操作;如果新增活动信号是文件删除信号,那么监控驱动程序将对该新增活动信号进行拦截,并将新增活动信号存入消息队列中,等待文件捕获应用程序访问消息队列,需要说明的是,文件捕获应用程序应该在预设时间范围内对消息队列中被拦截的新增活动信号进行处理,一般情况下,会在几毫秒内处理完上述消息队列中的信号,如果消息队列中的新增活动信号较多,文件捕获应用程序将开启多线程进行处理,加快处理速度。
文件捕获应用程序获取到文件删除信号后,会判断该文件删除信号要执行文件删除的操作对象是否为恶意文件,如果是恶意文件删除信号,那么文件捕获应用程序将读取欲删除的恶意文件到内存中,进而实现恶意文件的捕获;如果该文件删除信号要执行文件删除的操作对象不是恶意文件,那么文件捕获应用程序就不需要将欲删除的文件信息进行读取,直接发送放行文件删除信号的指令至监控驱动程序,以使监控驱动程序放行文件删除信号。
现有的文件捕获方法多数情况下读取文件的速度慢于恶意文件的自删除速度,进而不能有效的捕获到恶意文件,与现有技术相比,本发明提供了一种基于文件过滤驱动框架的文件实时捕获方法,应用于监控驱动程序,该监控驱动程序在与文件捕获应用程序建立通信连接后,实时判断操作系统中的新增活动信号是否为文件删除信号,如果确定是,则拦截上述文件删除信号并存入消息队列,等待文件捕获应用程序访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。本发明基于文件过滤驱动框架实现了在驱动层对文件删除信号的拦截,文件捕获应用程序随后将恶意文件删除信号欲删除的恶意文件信息进行捕获,从而有效的缓解了现有技术中的文件捕获方法捕获效果差的技术问题。
在一个可选的实施方式中,文件实时捕获方法还包括如下步骤:
步骤S15,接收文件捕获应用程序发送的放行文件删除信号的指令。
步骤S16,执行放行文件删除信号的指令。
具体的,在文件捕获应用程序读取完恶意文件信息后,就可以告知监控驱动程序将文件删除信号放行,因为已经完成了恶意文件的捕获,所以随后监控驱动程序就会接收到放行文件删除信号的指令。类似于用户要对一个文件执行删除的操作,点击删除按钮后,系统经过处理后应该在一定时间内进行响应,如果长时间不执行该删除的动作,用户就会认为系统出现了卡顿,如果处理的是恶意文件,那么如果不能及时的响应,就会被攻击者感知到系统的捕获行为,所以监控驱动程序接收到文件捕获应用程序的放行文件删除信号的指令后,就会立即执行该指令。
在一个可选的实施方式中,判断操作系统中的新增活动信号是否为文件删除信号包括如下步骤:
步骤S121,获取新增活动信号的标志位。
具体的,为了确定新增活动信号是否为文件删除信号,首先需要获取新增活动信号的标志位,标志位是用户自定义的,可以取不同的值代表该新增活动信号是进程操作、文件操作或者是其他操作,获取到之后,就可以与自定义的标志位对照表进行比对,确定是否为文件操作。
步骤S122,基于标志位的枚举类型判断新增活动信号是否为文件删除信号。
标志位的枚举类型也是用户自定义的,根据获取到的枚举类型能够确定该操作的具体操作类型,文件操作的类型包括但不限于写入文件、重命名文件和删除文件,上述三种操作也会对应不同的枚举值,例如分别对应为“01”、“02”和“03”,当新增活动信号为文件操作时,如果获取到的枚举类型是“03”,那么就能够确定该新增活动信号为文件删除信号。
本发明实施例提供了一种基于文件过滤驱动框架的文件实时捕获方法,相比传统的文件捕获方法,该方法的实施不仅占用系统资源更小,而且实际应用效果更出色。
实施例二
图2是根据本发明实施例的另一种基于文件过滤驱动框架的文件实时捕获方法的流程图,应用于文件捕获应用程序,如图2所示,该方法包括如下步骤:
步骤S21,建立与监控驱动程序的通信连接。
具体的,文件捕获应用程序为了能够处理监控驱动程序拦截下来的文件删除信号,所以首先需要与监控驱动程序建立通信连接,文件捕获应用程序通过硬编码的驱动设备描述符访问监控驱动程序,进而与监控驱动程序建立通信连接。
步骤S22,访问监控驱动程序的消息队列。
监控驱动程序拦截到文件删除信号后,会统一将拦截到的信号存入消息队列,所以文件捕获应用程序可以通过访问监控驱动程序的消息队列的方式来获取文件删除信号。
若消息队列中含有文件删除信号,则执行步骤S23。
步骤S23,判断文件删除信号是否为恶意文件删除信号。
若是,则执行步骤S24,若不是,则执行步骤S25,发送放行文件删除信号的指令至监控驱动程序,以使监控驱动程序放行文件删除信号。
步骤S24,将恶意文件删除信号欲删除的恶意文件信息读取到内存中。
如果消息队列中存在被拦截的文件删除信号,那么文件捕获应用程序首先要判断该文件删除信号的操作对象是否为恶意文件,也就是,先判断文件删除信号是否为恶意文件删除信号,如果不是,那么将直接发送放行文件删除信号的指令至监控驱动程序,以使监控驱动程序放行文件删除信号,也就是说,如果文件捕获应用程序确定该文件删除信号属于正常操作,那么就不需要将欲删除的文件读取至内存中;但是,如果确定该文件删除信号属于恶意文件删除信号,那么文件捕获应用程序就会将欲删除的恶意文件信息读取至内存,进而实现在恶意文件自删除之前捕获到恶意文件。
在一个可选的实施方式中,将恶意文件删除信号欲删除的恶意文件信息读取到内存中后,文件实时捕获方法还包括如下内容:
发送放行文件删除信号的指令至监控驱动程序,以使监控驱动程序放行文件删除信号。
文件捕获应用程序在捕获到恶意文件之后,还将立即发送放行文件删除信号的指令至监控驱动程序,该处理过程一般会控制在几毫秒之内,以防攻击者发现系统的捕获行为,监控驱动程序接收到放行指令之后,也会立即执行,以实现恶意文件的自删除。
实施例三
本发明实施例还提供了一种基于文件过滤驱动框架的文件实时捕获装置,应用于监控驱动程序,该基于文件过滤驱动框架的文件实时捕获装置主要用于执行上述实施例一所提供的基于文件过滤驱动框架的文件实时捕获方法,以下对本发明实施例提供的基于文件过滤驱动框架的文件实时捕获装置作具体介绍。
图3是根据本发明实施例的一种基于文件过滤驱动框架的文件实时捕获装置的功能模块图,如图3所示,该装置主要包括:第一通信模块11,第一判断模块12,拦截模块13,其中:
第一通信模块11,用于建立与文件捕获应用程序的通信连接。
第一判断模块12,用于判断操作系统中的新增活动信号是否为文件删除信号。
拦截模块13,若是,则拦截文件删除信号,并将其存入消息队列以使文件捕获应用程序在预设时间范围内访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
现有的文件捕获方法多数情况下读取文件的速度慢于恶意文件的自删除速度,进而不能有效的捕获到恶意文件,与现有技术相比,本发明提供了一种基于文件过滤驱动框架的文件实时捕获装置,应用于监控驱动程序,该监控驱动程序在与文件捕获应用程序建立通信连接后,实时判断操作系统中的新增活动信号是否为文件删除信号,如果确定是,则拦截上述文件删除信号并存入消息队列,等待文件捕获应用程序访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。本发明基于文件过滤驱动框架实现了在驱动层对文件删除信号的拦截,文件捕获应用程序随后将恶意文件删除信号欲删除的恶意文件信息进行捕获,从而有效的缓解了现有技术中的文件捕获方法捕获效果差的技术问题。
可选的,文件实时捕获装置还包括:
接收模块14,用于接收文件捕获应用程序发送的放行文件删除信号的指令。
执行模块15,用于执行放行文件删除信号的指令。
可选的,判断模块包括:
获取单元,用于获取新增活动信号的标志位。
判断单元,用于基于标志位的枚举类型判断新增活动信号是否为文件删除信号。
实施例四
本发明实施例还提供了一种基于文件过滤驱动框架的文件实时捕获装置,应用于文件捕获应用程序,该基于文件过滤驱动框架的文件实时捕获装置主要用于执行上述实施例二所提供的基于文件过滤驱动框架的文件实时捕获方法,以下对本发明实施例提供的基于文件过滤驱动框架的文件实时捕获装置作具体介绍。
图4是根据本发明实施例的一种基于文件过滤驱动框架的文件实时捕获装置的功能模块图,如图4所示,该装置主要包括:第二通信模块21,访问模块22,第二判断模块23,读取模块24,其中:
第二通信模块21,用于建立与监控驱动程序的通信连接。
访问模块22,用于访问监控驱动程序的消息队列。
第二判断模块23,若消息队列中含有文件删除信号,则判断文件删除信号是否为恶意文件删除信号。
读取模块24,若是,则将恶意文件删除信号欲删除的恶意文件信息读取到内存中。
可选的,文件实时捕获装置还包括:
发送模块,用于发送放行文件删除信号的指令至监控驱动程序,以使监控驱动程序放行文件删除信号。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种基于文件过滤驱动框架的文件实时捕获方法,其特征在于,应用于监控驱动程序,包括:
建立与文件捕获应用程序的通信连接;
判断操作系统中的新增活动信号是否为文件删除信号;
若是,则拦截所述文件删除信号,并将其存入消息队列以使所述文件捕获应用程序在预设时间范围内访问所述消息队列并将所述文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
2.根据权利要求1所述的文件实时捕获方法,其特征在于,所述文件实时捕获方法还包括:
接收所述文件捕获应用程序发送的放行所述文件删除信号的指令;
执行放行所述文件删除信号的指令。
3.根据权利要求1所述的文件实时捕获方法,其特征在于,判断操作系统中的新增活动信号是否为文件删除信号包括:
获取所述新增活动信号的标志位;
基于所述标志位的枚举类型判断所述新增活动信号是否为文件删除信号。
4.一种基于文件过滤驱动框架的文件实时捕获方法,其特征在于,应用于文件捕获应用程序,包括:
建立与监控驱动程序的通信连接;
访问所述监控驱动程序的消息队列;
若所述消息队列中含有文件删除信号,则判断所述文件删除信号是否为恶意文件删除信号;
若是,则将所述恶意文件删除信号欲删除的恶意文件信息读取到内存中。
5.根据权利要求4所述的文件实时捕获方法,其特征在于,将所述恶意文件删除信号欲删除的恶意文件信息读取到内存中后,所述文件实时捕获方法还包括:
发送放行所述文件删除信号的指令至所述监控驱动程序,以使所述监控驱动程序放行所述文件删除信号。
6.一种基于文件过滤驱动框架的文件实时捕获装置,其特征在于,应用于监控驱动程序,包括:
第一通信模块,用于建立与文件捕获应用程序的通信连接;
第一判断模块,用于判断操作系统中的新增活动信号是否为文件删除信号;
拦截模块,若是,则拦截所述文件删除信号,并将其存入消息队列以使所述文件捕获应用程序在预设时间范围内访问所述消息队列并将所述文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
7.根据权利要求6所述的文件实时捕获装置,其特征在于,所述文件实时捕获装置还包括:
接收模块,用于接收所述文件捕获应用程序发送的放行所述文件删除信号的指令;
执行模块,用于执行放行所述文件删除信号的指令。
8.根据权利要求6所述的文件实时捕获装置,其特征在于,判断模块包括:
获取单元,用于获取所述新增活动信号的标志位;
判断单元,用于基于所述标志位的枚举类型判断所述新增活动信号是否为文件删除信号。
9.一种基于文件过滤驱动框架的文件实时捕获装置,其特征在于,应用于文件捕获应用程序,包括:
第二通信模块,用于建立与监控驱动程序的通信连接;
访问模块,用于访问所述监控驱动程序的消息队列;
第二判断模块,若所述消息队列中含有文件删除信号,则判断所述文件删除信号是否为恶意文件删除信号;
读取模块,若是,则将所述恶意文件删除信号欲删除的恶意文件信息读取到内存中。
10.根据权利要求9所述的文件实时捕获装置,其特征在于,所述文件实时捕获装置还包括:
发送模块,用于发送放行所述文件删除信号的指令至所述监控驱动程序,以使所述监控驱动程序放行所述文件删除信号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910743674.3A CN110443040B (zh) | 2019-08-13 | 2019-08-13 | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910743674.3A CN110443040B (zh) | 2019-08-13 | 2019-08-13 | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110443040A true CN110443040A (zh) | 2019-11-12 |
| CN110443040B CN110443040B (zh) | 2021-08-20 |
Family
ID=68434901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910743674.3A Active CN110443040B (zh) | 2019-08-13 | 2019-08-13 | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110443040B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609495A (zh) * | 2012-01-29 | 2012-07-25 | 奇智软件(北京)有限公司 | 文件删除方法及系统 |
| CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
| CN104572762A (zh) * | 2013-10-24 | 2015-04-29 | 杭州海康威视数字技术股份有限公司 | 删除及恢复录像文件的方法和装置 |
| CN104750869A (zh) * | 2015-04-20 | 2015-07-01 | 安一恒通(北京)科技有限公司 | 文件管理方法和装置 |
| CN106203114A (zh) * | 2016-07-08 | 2016-12-07 | 北京金山安全软件有限公司 | 一种应用程序的防护方法、装置及电子设备 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
-
2019
- 2019-08-13 CN CN201910743674.3A patent/CN110443040B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609495A (zh) * | 2012-01-29 | 2012-07-25 | 奇智软件(北京)有限公司 | 文件删除方法及系统 |
| CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
| CN104572762A (zh) * | 2013-10-24 | 2015-04-29 | 杭州海康威视数字技术股份有限公司 | 删除及恢复录像文件的方法和装置 |
| CN104750869A (zh) * | 2015-04-20 | 2015-07-01 | 安一恒通(北京)科技有限公司 | 文件管理方法和装置 |
| CN106203114A (zh) * | 2016-07-08 | 2016-12-07 | 北京金山安全软件有限公司 | 一种应用程序的防护方法、装置及电子设备 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
Non-Patent Citations (1)
| Title |
|---|
| 峰景_新浪博客: "杀毒引擎设计", 《HTTP://BLOG.SINA.CN/DPOOL/BLOG/S/BLOG_7768D221010134ZL.HTML》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110443040B (zh) | 2021-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
| CA2607536C (en) | Dynamic provisioning of protection software in a host intrusion prevention system | |
| US8225398B2 (en) | System for regulating host security configuration | |
| US8230508B2 (en) | Host intrusion prevention server | |
| WO2022083226A1 (zh) | 异常识别方法和系统、存储介质及电子装置 | |
| CN109766699A (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
| US20090092057A1 (en) | Network Monitoring System with Enhanced Performance | |
| US8209758B1 (en) | System and method for classifying users of antivirus software based on their level of expertise in the field of computer security | |
| US11012449B2 (en) | Methods and cloud-based systems for detecting malwares by servers | |
| EP2577540B1 (en) | Malware scanning | |
| US8214904B1 (en) | System and method for detecting computer security threats based on verdicts of computer users | |
| WO2001016708A1 (en) | System and method for detecting buffer overflow attacks | |
| CN109800576B (zh) | 未知程序异常请求的监控方法、装置、及电子装置 | |
| CN104252594B (zh) | 病毒检测方法和装置 | |
| CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN107480528A (zh) | 一种操作系统防病毒的方法 | |
| CN109388963A (zh) | 一种移动终端用户隐私数据防护方法和装置 | |
| CN106384049A (zh) | 一种安全防护的方法及系统 | |
| CN116055163A (zh) | 一种基于eBPF XDP的登录信息获取及阻断方法 | |
| CN110727952A (zh) | 一种移动应用程序第三方库隐私收集辨识方法 | |
| EP2584488A1 (en) | System and method for detecting computer security threats based on verdicts of computer users | |
| CN110443040A (zh) | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 | |
| AU2012306979B2 (en) | File opening method, apparatus and terminal | |
| CN114629714B (zh) | 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统 | |
| CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |