CN110826070A - 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 - Google Patents
一种诱饵文件的隐藏方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110826070A CN110826070A CN201911101859.0A CN201911101859A CN110826070A CN 110826070 A CN110826070 A CN 110826070A CN 201911101859 A CN201911101859 A CN 201911101859A CN 110826070 A CN110826070 A CN 110826070A
- Authority
- CN
- China
- Prior art keywords
- file
- target
- linked list
- bait
- decoy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种诱饵文件的隐藏方法,所述诱饵文件的隐藏方法包括根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;判断所述目标文件目录中是否包括诱饵文件;其中,所述诱饵文件为用于检测病毒进程的文件;若是,则调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;将所述目标链表结构作为所述文件查询指令对应的查询结果。本申请能够提高诱饵文件的隐蔽性,避免用户误删诱饵文件。本申请还公开了一种诱饵文件的隐藏装置、一种电子设备及一种存储介质,具有以上有益效果。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种诱饵文件的隐藏方法、装置、一种电子设备及一种存储介质。
背景技术
勒索病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
目前对于勒索病毒的防护方法为:通过在桌面等用户个人目录和各个磁盘分区下投放诱饵文件,使勒索病毒优先加密诱饵文件,保护正常文件不被加密。由于诱饵文件直接显示在文件夹内会影响用户的使用体验,因此相关技术中通常将诱饵文件添加隐藏属性,避免诱饵文件直接显示。但是若使用上述诱饵文件的隐藏方式,若用户开启了显示隐藏文件的选项,诱饵文件将会显示在目录中。用户由于误操作可能会将开启了显示隐藏文件选项的诱饵文件删除,诱饵文件将起不到对勒索病毒进行检测与防护的效果。
因此,如何提高诱饵文件的隐蔽性,避免用户误删诱饵文件是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种诱饵文件的隐藏方法、装置、一种电子设备及一种存储介质,能够提高诱饵文件的隐蔽性,避免用户误删诱饵文件。
为解决上述技术问题,本申请提供一种诱饵文件的隐藏方法,该诱饵文件的隐藏方法包括:
根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;
判断所述目标文件目录中是否包括诱饵文件;其中,所述诱饵文件为用于检测病毒进程的文件;
若是,则调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;
将所述目标链表结构作为所述文件查询指令对应的查询结果。
可选的,所述调用文件过滤驱动修改所述原始链表结构,得到目标链表结构,包括:
查询所述目标文件目录中的总文件数量;
判断所述总文件数量是否等于所述诱饵文件数量;
若是,则调用所述文件过滤驱动向底层IO系统发送预设查询指令,并将所述查询请求对应的查询结果作为所述目标链表结构;其中,所述预设查询指令为控制底层IO系统查询所述目标文件目录中除所述诱饵文件之外的文件的指令;
若否,则根据所述诱饵文件在所述目标文件目录中的位置信息,调用所述文件过滤驱动对所述原始链表结构执行相应的修改操作,得到所述目标链表结构。
可选的,根据所述诱饵文件在所述目标文件目录中的位置信息,调用所述文件过滤驱动对所述原始链表结构执行相应的修改操作,得到所述目标链表结构,包括:
当所述诱饵文件为所述原始链表结构中的尾部文件时,将所述诱饵文件的前一项文件指向空地址得到所述目标链表结构;
当所述诱饵文件为所述原始链表结构中的非尾部文件时,对所述诱饵文件执行摘链操作,并将所述诱饵文件的后面所有文件在内存上整体前移得到所述目标链表结构。
可选的,在根据接收到的文件查询指令确定目标文件目录之前,还包括:
接收文件投放指令并根据所述文件投放指令确定所述诱饵文件的诱饵类型和投放路径;
根据投放路径在所述目标文件目录内投放所述诱饵类型的所述诱饵文件。
可选的,还包括:
获取多个勒索病毒的攻击统计信息;其中,所述攻击统计信息包括攻击路径和攻击时间;
将前N个所述攻击时间最早的攻击路径设置为所述目标投放路径。
可选的,还包括:
判断所述目标文件目录的文件排列顺序是否为名称顺序排列或名称逆序排列;
若是,则根据所述目标文件目录所有文件的文件名设置所述诱饵文件的文件名,以使所述诱饵文件为所述目标文件目录的头部文件。
可选的,还包括:
判断所述诱饵文件是否被病毒进程加密;
若是,则将所述病毒进程的进程ID上报至应用层,以便所述应用层对所述病毒进程执行病毒防护操作。
本申请还提供了一种诱饵文件的隐藏装置,该诱饵文件的隐藏装置包括:
查询模块,用于根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;
判断模块,用于判断所述目标文件目录中是否包括诱饵文件;其中,所述诱饵文件为用于检测病毒进程的文件;
过滤模块,用于当所述目标文件目录中包括所述诱饵文件时,调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;
结果返回模块,用于将所述目标链表结构作为所述文件查询指令对应的查询结果。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述诱饵文件的隐藏方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述诱饵文件的隐藏方法执行的步骤。
本申请提供了一种诱饵文件的隐藏方法,包括根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;判断所述目标文件目录中是否包括诱饵文件;其中,所述诱饵文件为用于检测病毒进程的文件;若是,则调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;将所述目标链表结构作为所述文件查询指令对应的查询结果。
本申请在接收到文件查询指令时先查询目标文件目录的原始链表结构,由文件过滤驱动隐藏原始链表结构中诱饵文件对应的信息,得到不包括诱饵文件的文件链表信息的目标链表结构,并返回目标链表结构。由于本申请的诱饵文件隐藏方法使用文件过滤驱动将诱饵文件进行底层隐藏,使用户在浏览文件时完全看不到诱饵文件,可以避免用户对于诱饵文件的操作,提高诱饵文件的隐蔽性,提高了对于病毒的防护能力。本申请同时还提供了一种诱饵文件的隐藏装置、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种诱饵文件的隐藏方法的流程图;
图2为本申请实施例所提供的一种基于文件过滤驱动隐藏诱饵文件的方法的流程图;
图3为本申请实施例所提供的头部诱饵文件的隐藏原理示意图;
图4为本申请实施例所提供的中间部诱饵文件的隐藏原理示意图;
图5为本申请实施例所提供的尾部诱饵文件的隐藏原理示意图;
图6为本申请实施例所提供的一种诱饵文件的投放方法的流程图;
图7为本申请实施例所提供的一种基于诱饵文件检测病毒进程的原理示意图;
图8为本申请实施例所提供的一种诱饵文件的隐藏装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种诱饵文件的隐藏方法的流程图。
具体步骤可以包括:
S101:根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;
其中,本实施例可以应用于个人计算机、服务器等电子设备,可以预先在电子设备的文件目录中投放特定类型的诱饵文件,以便利用诱饵文件来检测病毒进程。
当用户在操作系统中打开一个目录时,可以先向文件资源管理进程发送文件查询指令,以便文件资源管理进程调用相关的API接口查询目录下的文件信息。具体的,根据文件查询指令可以确定用于需要查询目标文件目录的路径,API接口可以通过内核中底层I/O系统获取目标文件目录下的文件信息,本步骤中提到的原始文件链表结构为需要显示给用户的文件信息的显示形式。根据原始文件链表结构可以确定目标文件目录下包括的文件以及各个文件的排列顺序。具体的,当本实施例应用于Windows系统时,上述文件资源管理进程可以为explorer进程。
S102:判断所述目标文件目录中是否包括诱饵文件;若是,则进入S103;若否,则进入S105返回原始链表结构的步骤;
S103:调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;
其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;本步骤建立在目标文件目录中包括诱饵文件的基础上,在本步骤之前可以存在判断目标文件目录中是否存在诱饵文件的操作,若存在,则进入S103的相关操作,若不存在,则可以直接向文件资源管理进程返回原始链表结构。若目标文件目录中包括诱饵文件,则说明原始链表信息中存在诱饵文件的文件链表信息,若直接将原始链表结构返回至文件资源管理进程将会使用户查询到诱饵文件,用户可能会对显示的诱饵文件进行误操作。因此,在确定目标文件目录中的诱饵文件之后,可以调用文件过滤驱动修改原始链表结构得到目标链表结构。具体的,文件过滤驱动修改原始链表结构得操作可以为:文件过滤驱动拦截原始链表结构中所包括的诱饵文件的文件链表信息,并根据通过文件过滤驱动拦截的文件链表信息生成目标链表结构,因此目标链表结构中不包括所述诱饵文件的文件链表信息。
S104:将所述目标链表结构作为所述文件查询指令对应的查询结果。
其中,在得到目标链表结构之后,本步骤继续将目标链表结构作为文件查询指令对应的查询结果。作为一种可行的实施方式,本步骤可以将查询结果返回至文件资源管理进程,以便文件资源管理进程将目标链表结构中的信息进行展示,使得用户可以查询到目标文件目录下除了诱饵文件之外的其他文件。
本实施例在接收到文件查询指令时先查询目标文件目录的原始链表结构,由文件过滤驱动隐藏原始链表结构中诱饵文件对应的信息,得到不包括诱饵文件的文件链表信息的目标链表结构,并返回目标链表结构。由于本申请的诱饵文件隐藏方法使用文件过滤驱动将诱饵文件进行底层隐藏,使用户在浏览文件时完全看不到诱饵文件,可以避免用户对于诱饵文件的操作,提高诱饵文件的隐蔽性,提高了对于病毒的防护能力。本实施例中对于诱饵文件的隐藏方式相对于一般勒索防护软件更为彻底、有效,具有良好的勒索病毒防护效果并避免了诱饵文件对用户的影响。
作为对于图1中S103的进一步介绍,调用文件过滤驱动修改所述原始链表结构得到目标链表结构的过程可以包括以下步骤:
步骤1:查询所述目标文件目录中的总文件数量;
步骤2:判断所述总文件数量是否等于所述诱饵文件数量;若是,则进入步骤3;若否,则进入步骤4;
其中,本步骤中的诱饵文件数量指目标文件目录中所有诱饵文件的数量,当总文件数量等于所述诱饵文件数量时,说明目标文件目录中全部为诱饵文件。
步骤3:调用所述文件过滤驱动向底层IO系统发送预设查询指令,并将所述查询请求对应的查询结果作为所述目标链表结构;
其中,所述预设查询指令为控制底层IO系统查询所述目标文件目录中除所述诱饵文件之外的文件的指令;
步骤4:根据所述诱饵文件在所述目标文件目录中的位置信息,调用所述文件过滤驱动对所述原始链表结构执行相应的修改操作,得到所述目标链表结构。
具体的,步骤4中可以包括以下修改策略:
策略1:当所述诱饵文件为所述原始链表结构中的尾部文件时,将所述诱饵文件的前一项文件指向空地址得到所述目标链表结构;
策略2:当所述诱饵文件为所述原始链表结构中的非尾部文件时,对所述诱饵文件执行摘链操作,并将所述诱饵文件的后面所有文件在内存上整体前移得到所述目标链表结构。
其中,非尾部文件包括头部文件和/或中间部文件,头部文件为目标文件目录的第一项文件,中间部文件为目标文件目录中除了第一项文件和最后一项文件之外的文件。可以理解的是,当诱饵文件数量为多个且小于总文件数量时,可以存在尾部文件为诱饵文件且非尾部文件也为诱饵文件的情况,此时可以先后或同时执行策略1和策略2,以使目标链表结构中不包括所述诱饵文件的文件链表信息。
下面请参见图2,图2为本申请实施例所提供的一种基于文件过滤驱动隐藏诱饵文件的方法的流程图;本实施例是对图1对应的实施例中S103的进一步介绍,可以将本实施例与图1对应的实施例相结合得到更为优选的实施方式,本实施例包括以下步骤:
S201:查询所述诱饵文件在所述目标文件目录中的位置信息和所述目标文件目录中的总文件数量;
其中,本步骤中所提到的位置信息指诱饵文件在目录文件目录中排列的位置。作为一种可行的实施方式,可以根据诱饵文件在目标文件目录中的排序得到位置信息,例如,诱饵文件在目标文件目录中的位置信息为正序第3位倒序第5位。作为另一种可行的实施方式,本实施例可以将诱饵文件在目标文件目录中的位置分为三类:头部位置、中部位置和尾部位置,头部位置指目标文件目录中第一个文件所在的位置,尾部位置指目标文件目录中最后一个文件所在的位置,中部位置指目标文件目录中除头部位置和尾部位置之外的其他位置。本步骤中提到的总文件数量指包括诱饵文件和正常文件在内的所有文件的数量,具体的诱饵文件的数量小于或等于总文件数量。
S202:确定与所述位置信息和所述总文件数量对应的目标隐藏策略;
S203:调用所述文件过滤驱动对所述原始链表结构执行与所述目标隐藏策略对应的修改操作,得到所述目标链表结构。
其中,本实施例根据诱饵文件在目标文件目录中的位置,以及总文件数量设置了多种诱饵文件隐藏策略,使得对于每一种情况下的诱饵文件都能进行底层隐藏。具体的,确定目标隐藏策略的操作可以包括以下步骤:
判断所述总文件数量是否等于所述诱饵文件数量;若是,则判定所述目标隐藏策略包括第一隐藏策略;若否,根据所述位置信息确定所述目标隐藏策略;其中,当位置信息为头部文件时,判定所述目标隐藏策略包括第二隐藏策略;当位置信息为尾部文件时,判定所述目标隐藏策略包括第三隐藏策略;当位置信息为中间部文件时,判定所述目标隐藏策略包括第四隐藏策略;
需要说明的是,当目标文件目录中的所有文件均为诱饵文件时,若直接利用文件过滤驱动直接返回空结果将可能会导致显示异常,因此本实施例需要根据总文件数量设置不同的隐藏策略。进一步的,由于诱饵文件在目标文件目录中的位置不同可以对应不同的隐藏需求,因此本实施例还需要根据总文件数量设置不同的隐藏策略。本实施例使用文件过滤驱动将诱饵文件对系统的文件资源管理进程进行底层隐藏,使用户在正常浏览文件时完全看不到诱饵文件,最大限度地避免了诱饵文件对用户产生的影响。当用户在操作系统中打开一个目录时,文件资源管理进程会调用相关的API查询目录下的文件信息,这些API又会通过内核中的底层IO系统获取目录下的文件信息,这些信息最终会返回给查询者文件资源管理进程,文件资源管理进程将接收到的信息展示出来,以使用户查询目录下的文件。而在文件资源管理进程遍历目录下文件时,本实施例中的文件过滤驱动可以拦截到底层IO系统查询到的文件信息并进行修改再返回给文件资源管理进程,该文件信息为一个链表结构,文件过滤驱动隐藏诱饵文件的原理即为将诱饵文件的信息从其中去除。
可以理解的是,上述第一隐藏策略对应的应用场景为目标文件目录仅包括诱饵文件,但本实施例不限定目标文件目录中包括的诱饵文件的数量。第二隐藏策略、第三隐藏策略和第四隐藏策略对应的应用场景为目标文件目录包括诱饵文件和正常文件,进一步的,对于第二隐藏策略、第三隐藏策略和第四隐藏策略,不限定诱饵文件的数量,可以存在目标文件目录中头部文件为诱饵文件,和/或尾部文件为诱饵文件,和/或中间部文件的情况,故S202中的目标隐藏策略可以包括第二隐藏策略、第三隐藏策略和第四隐藏策略中的任一项策略或任几项策略的组合。
具体的,当目标隐藏策略包括第一隐藏策略、第二隐藏策略、第三隐藏策略或第四隐藏策略时,可以包括以下是四种实施方式:
实施方式1:当所述目标隐藏策略包括第一隐藏策略时,调用所述文件过滤驱动向底层IO系统发送预设查询指令,并将所述查询请求对应的查询结果作为所述目标链表结构;其中,所述预设查询指令为控制底层IO系统查询所述目标文件目录中除所述诱饵文件之外的文件的指令;
在实施方式1中,原始链表结构中只有所需要隐藏的诱饵文件一项,若单地在文件过滤驱动中返回一个空结果将会导致目录下内容显示异常,本实施例处理方法为在文件过滤驱动中再对底层IO系统执行一次请求并将其结果返回。具体的,上述向底层IO系统再次执行的请求为,用于查询除了诱饵文件之外的文件的请求,以便底层IO系统自动构建空的查询结果进行返回。
实施方式2:当所述目标隐藏策略包括第二隐藏策略时,调用所述文件过滤驱动对所述原始链表结构执行整体前移操作得到所述目标链表结构,以使所述诱饵文件的下一项文件在内存上整体前移至所述诱饵文件的位置;
请参见图3,图3为本申请实施例所提供的头部诱饵文件的隐藏原理示意图。在实施方式2中,所需要隐藏的诱饵文件信息在原始链表结构的第一项,因此可以将诱饵文件下一项的数据在内存上整体前移到诱饵文件信息的位置。
实施方式3:当所述目标隐藏策略包括第三隐藏策略时,调用所述文件过滤驱动对所述原始链表结构执行摘链操作得到所述目标链表结构,以使所述目标链表结构中所述诱饵文件的前一项文件指向所述诱饵文件的下一项文件;
请参见图4,图4为本申请实施例所提供的中间部诱饵文件的隐藏原理示意图。在实施方式3中,所需要隐藏的诱饵文件信息在原始链表结构的中间,通过实施方式3的摘链操作可以是诱饵文件的前一项直接指向诱饵文件的下一项。
实施方式4:当所述目标隐藏策略包括第四隐藏策略时,调用所述文件过滤驱动对所述原始链表结构执行指向清空操作得到所述目标链表结构,以使所述目标链表结构中所述诱饵文件的前一项文件指向为空。
请参见图5,图5为本申请实施例所提供的尾部诱饵文件的隐藏原理示意图。在实施方式4中,所需要隐藏的诱饵文件信息在原始链表结构的末尾,可以直接将诱饵文件的前一项指向空。
请参见图6,图6为本申请实施例所提供的一种诱饵文件的投放方法的流程图,本实施例描述了图1对应的实施例之前将诱饵文件添加至目标文件目录的过程,可以将本实施例与图1对应的实施例相结合得到更为优选的实施方式,本实施例可以包括以下步骤:
S301:接收文件投放指令并根据所述文件投放指令确定所述诱饵文件的诱饵类型和投放路径;
S302:根据投放路径在所述目标文件目录内投放所述诱饵类型的所述诱饵文件。
S303:判断所述目标文件目录的文件排列顺序是否为名称顺序排列或名称逆序排列;若是,则进入S304;若否,则结束流程;
S304:根据所述目标文件目录所有文件的文件名设置所述诱饵文件的文件名,以使所述诱饵文件为所述目标文件目录的头部文件。
其中,本实施例可以根据文件投放指令确定需要投放的诱饵文件的文件类型和投放路径。一般的,病毒进程按照目录内文件的顺序依次对文件进行加密,因此将诱饵文件设置为目标文件目录的第一个文件能够及时检测病毒进程,避免正常文件被加密。本实施例在目标文件目录的文件排列顺序为名称顺序排列或名称逆序排列时,通过设置诱饵文件的文件名使得诱饵文件为目标文件目录的头部文件。例如,目标文件目录的文件配列顺序为名称顺序排列时,目标文件目录包括的3个正常文件的文件名分别为block、log和history,此时可以将诱饵文件的名称设置为aaa,以使诱饵文件为所述目标文件目录的头部文件。
进一步的,在将诱饵文件投放至目标文件目录之后,可以判断所述诱饵文件是否被病毒进程加密;若是,则将所述病毒进程的进程ID上报至应用层,以便所述应用层对所述病毒进程执行病毒防护操作。请参见图7,图7为本申请实施例所提供的一种基于诱饵文件检测病毒进程的原理示意图。文件过滤驱动在PreCreate(监控诱饵文件被破坏性打开)和PreWrite(监控诱饵文件被修改和删除)等位置监控诱饵文件,当诱饵文件被未知勒索病毒加密时,文件过滤驱动可以立即将病毒的进程ID上报给应用层,应用层的勒索防护模块可以将病毒进程挂起,然后根据配置或用户的选择对病毒进行隔离。图7中的用户文件即正常文件。
本实施例可以在桌面等用户个人目录和各个磁盘分区下投放多种诱饵文件,覆盖txt、doc、db、mdb等多种勒索软件主要加密目标,还可以增加对Server系统下的多用户场景支持,系统中的每个用户的个人目录下都可以投放诱饵文件。诱饵文件命名可以根据现有文件名进行了一定随机拼装,既保证一定的随机性,同时按照命名顺序或者逆序遍历都保证可以第一个遍历到诱饵文件夹,尽可能地让勒索病毒先遍历到诱饵文件,来保护正常文件不被加密。
作为对于图6对应实施例的进一步介绍,在S301之前还可以获取多个勒索病毒的攻击统计信息;其中,所述攻击统计信息包括攻击路径和攻击时间;将前N个所述攻击时间最早的攻击路径设置为所述目标投放路径。
本实施例通过将前N个所述攻击时间最早的攻击路径设置为所述目标投放路径,可以向勒索病毒攻击概率最大的目录中投放诱饵文件,提高了勒索病毒的防护效果。当然诱饵文件投放位置和类型支持可配置,如果当前的诱饵投放方案实测效果不理想时,不修改代码只修改配置文件即可修改诱饵投放方案,用户也可以灵活地根据实际环境以及重要目录所在位置进行配置以达到更好的防护效果。诱饵文件可以至少包括以下13种格式:doc、jpg、dat、tab、tmp、conf、ini、xls、ppt、pdf、vmdk、mdf和db。本实施例可以对当下流行的勒索病毒最先加密的路径进行统计,并进行大数据分析,然后根据分析结果将当下流行的勒索病毒最先加密的几个路径的信息通过管理平台下发到各个终端,终端上的程序在这些路径下投放相应的诱饵文件,以动态地达到一个更优的勒索病毒防御效果。本实施例的诱饵文件的投放位置和类型覆盖较为全面,具有较好的检测与防护效果,并且相对其它勒索防护软件具有更强的灵活性、可配置性以及对Server系统下的多用户场景支持。
请参见图8,图8为本申请实施例所提供的一种诱饵文件的隐藏装置的结构示意图;
该装置可以包括:
查询模块100,用于根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;
判断模块200,用于判断所述目标文件目录中是否包括诱饵文件;其中,所述诱饵文件为用于检测病毒进程的文件;
过滤模块300,用于当所述目标文件目录中包括所述诱饵文件时,调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;
结果返回模块400,用于将所述目标链表结构作为所述文件查询指令对应的查询结果。
本实施例在接收到文件查询指令时先查询目标文件目录的原始链表结构,由文件过滤驱动隐藏原始链表结构中诱饵文件对应的信息,得到不包括诱饵文件的文件链表信息的目标链表结构,并返回目标链表结构。由于本申请的诱饵文件隐藏方法使用文件过滤驱动将诱饵文件进行底层隐藏,使用户在浏览文件时完全看不到诱饵文件,可以避免用户对于诱饵文件的操作,提高诱饵文件的隐蔽性,提高了对于病毒的防护能力。本实施例中对于诱饵文件的隐藏方式相对于一般勒索防护软件更为彻底、有效,具有良好的勒索病毒防护效果并避免了诱饵文件对用户的影响。
进一步的,过滤模块300包括:
数量查询单元,用于查询所述目标文件目录中的总文件数量;
数量判断单元,用于判断所述总文件数量是否等于所述诱饵文件数量;
第一处理单元,用于当总文件数量等于所述诱饵文件数量时,调用所述文件过滤驱动向底层IO系统发送预设查询指令,并将所述查询请求对应的查询结果作为所述目标链表结构;其中,所述预设查询指令为控制底层IO系统查询所述目标文件目录中除所述诱饵文件之外的文件的指令;
第二处理单元,用于当总文件数量小于所述诱饵文件数量时,根据所述诱饵文件在所述目标文件目录中的位置信息,调用所述文件过滤驱动对所述原始链表结构执行相应的修改操作,得到所述目标链表结构。
进一步的,第二处理单元包括:
尾部文件处理子单元,用于当所述诱饵文件为所述原始链表结构中的尾部文件时,将所述诱饵文件的前一项文件指向空地址得到所述目标链表结构;
非尾部文件处理子单元,用于当所述诱饵文件为所述原始链表结构中的非尾部文件时,对所述诱饵文件执行摘链操作,并将所述诱饵文件的后面所有文件在内存上整体前移得到所述目标链表结构。
进一步的,过滤模块300包括:
查询单元,用于查询所述诱饵文件在所述目标文件目录中的位置信息和所述目标文件目录中的总文件数量;
策略确定单元,用于确定与所述位置信息和所述总文件数量对应的目标隐藏策略;
修改单元,用于调用所述文件过滤驱动对所述原始链表结构执行与所述目标隐藏策略对应的修改操作,得到所述目标链表结构。
进一步的,策略确定单元具体为用于判断所述总文件数量是否等于所述诱饵文件数量的模块;若是,则判定所述目标隐藏策略包括第一隐藏策略;若否,根据所述位置信息确定所述目标隐藏策略;其中,当位置信息为头部文件时,判定所述目标隐藏策略包括第二隐藏策略;当位置信息为尾部文件时,判定所述目标隐藏策略包括第三隐藏策略;当位置信息为中间部文件时,判定所述目标隐藏策略包括第四隐藏策略;
相应的,修改单元包括:
第一处理子单元,用于当所述目标隐藏策略包括第一隐藏策略时,调用所述文件过滤驱动向底层IO系统发送预设查询指令,并将所述查询请求对应的查询结果作为所述目标链表结构;其中,所述预设查询指令为控制底层IO系统查询所述目标文件目录中除所述诱饵文件之外的文件的指令;
第二处理子单元,用于当所述目标隐藏策略包括第二隐藏策略时,调用所述文件过滤驱动对所述原始链表结构执行整体前移操作得到所述目标链表结构,以使所述诱饵文件的下一项文件在内存上整体前移至所述诱饵文件的位置;
第三处理子单元,用于当所述目标隐藏策略包括第三隐藏策略时,调用所述文件过滤驱动对所述原始链表结构执行摘链操作得到所述目标链表结构,以使所述目标链表结构中所述诱饵文件的前一项文件指向所述诱饵文件的下一项文件;
第四处理子单元,用于当所述目标隐藏策略包括第四隐藏策略时,调用所述文件过滤驱动对所述原始链表结构执行指向清空操作得到所述目标链表结构,以使所述目标链表结构中所述诱饵文件的前一项文件指向为空。
进一步的,还包括:
指令接收模块,用于在根据接收到的文件查询指令确定目标文件目录之前,接收文件投放指令并根据所述文件投放指令确定所述诱饵文件的诱饵类型和投放路径;
文件投放模块,用于根据投放路径在所述目标文件目录内投放所述诱饵类型的所述诱饵文件。
进一步的,还包括:
信息统计模块,用于获取多个勒索病毒的攻击统计信息;其中,所述攻击统计信息包括攻击路径和攻击时间;
路径设置模块,用于将前N个所述攻击时间最早的攻击路径设置为所述目标投放路径。
进一步的,还包括:
名称设置模块,用于判断所述目标文件目录的文件排列顺序是否为名称顺序排列或名称逆序排列;若是,则根据所述目标文件目录所有文件的文件名设置所述诱饵文件的文件名,以使所述诱饵文件为所述目标文件目录的头部文件。
进一步的,还包括:
加密检测模块,用于判断所述诱饵文件是否被病毒进程加密;
上报模块,用于若诱饵文件被病毒进程加密,则将所述病毒进程的进程ID上报至应用层,以便所述应用层对所述病毒进程执行病毒防护操作。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种诱饵文件的隐藏方法,其特征在于,包括:
根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;
判断所述目标文件目录中是否包括诱饵文件;其中,所述诱饵文件为用于检测病毒进程的文件;
若是,则调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;
将所述目标链表结构作为所述文件查询指令对应的查询结果。
2.根据权利要求1所述诱饵文件的隐藏方法,其特征在于,所述调用文件过滤驱动修改所述原始链表结构,得到目标链表结构,包括:
查询所述目标文件目录中的总文件数量;
判断所述总文件数量是否等于所述诱饵文件数量;
若是,则调用所述文件过滤驱动向底层IO系统发送预设查询指令,并将所述查询请求对应的查询结果作为所述目标链表结构;其中,所述预设查询指令为控制底层IO系统查询所述目标文件目录中除所述诱饵文件之外的文件的指令;
若否,则根据所述诱饵文件在所述目标文件目录中的位置信息,调用所述文件过滤驱动对所述原始链表结构执行相应的修改操作,得到所述目标链表结构。
3.根据权利要求2所述诱饵文件的隐藏方法,其特征在于,根据所述诱饵文件在所述目标文件目录中的位置信息,调用所述文件过滤驱动对所述原始链表结构执行相应的修改操作,得到所述目标链表结构,包括:
当所述诱饵文件为所述原始链表结构中的尾部文件时,将所述诱饵文件的前一项文件指向空地址得到所述目标链表结构;
当所述诱饵文件为所述原始链表结构中的非尾部文件时,对所述诱饵文件执行摘链操作,并将所述诱饵文件的后面所有文件在内存上整体前移得到所述目标链表结构。
4.根据权利要求1所述诱饵文件的隐藏方法,其特征在于,在根据接收到的文件查询指令确定目标文件目录之前,还包括:
接收文件投放指令并根据所述文件投放指令确定所述诱饵文件的诱饵类型和投放路径;
根据投放路径在所述目标文件目录内投放所述诱饵类型的所述诱饵文件。
5.根据权利要求4所述所述诱饵文件的隐藏方法,其特征在于,还包括:
获取多个勒索病毒的攻击统计信息;其中,所述攻击统计信息包括攻击路径和攻击时间;
将前N个所述攻击时间最早的攻击路径设置为所述目标投放路径。
6.根据权利要求4所述所述诱饵文件的隐藏方法,其特征在于,还包括:
判断所述目标文件目录的文件排列顺序是否为名称顺序排列或名称逆序排列;
若是,则根据所述目标文件目录所有文件的文件名设置所述诱饵文件的文件名,以使所述诱饵文件为所述目标文件目录的头部文件。
7.根据权利要求1至6任一项所述诱饵文件的隐藏方法,其特征在于,还包括:
判断所述诱饵文件是否被病毒进程加密;
若是,则将所述病毒进程的进程ID上报至应用层,以便所述应用层对所述病毒进程执行病毒防护操作。
8.一种诱饵文件的隐藏装置,其特征在于,包括:
查询模块,用于根据接收到的文件查询指令确定目标文件目录,并查询所述目标文件目录中所有文件的原始链表结构;
判断模块,用于判断所述目标文件目录中是否包括诱饵文件;其中,所述诱饵文件为用于检测病毒进程的文件;
过滤模块,用于当所述目标文件目录中包括所述诱饵文件时,调用文件过滤驱动修改所述原始链表结构,得到目标链表结构;其中,所述目标链表结构中不包括所述诱饵文件的文件链表信息;
结果返回模块,用于将所述目标链表结构作为所述文件查询指令对应的查询结果。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述诱饵文件的隐藏方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至7任一项所述诱饵文件的隐藏方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911101859.0A CN110826070A (zh) | 2019-11-12 | 2019-11-12 | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911101859.0A CN110826070A (zh) | 2019-11-12 | 2019-11-12 | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110826070A true CN110826070A (zh) | 2020-02-21 |
Family
ID=69554350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911101859.0A Pending CN110826070A (zh) | 2019-11-12 | 2019-11-12 | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110826070A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111814144A (zh) * | 2020-07-14 | 2020-10-23 | 深信服科技股份有限公司 | 一种泄露数据处理方法、装置、设备及介质 |
| CN112506699A (zh) * | 2020-11-25 | 2021-03-16 | 江苏恒信和安电子科技有限公司 | 一种数据安全备份方法、设备和系统 |
| CN112560031A (zh) * | 2020-11-16 | 2021-03-26 | 杭州美创科技有限公司 | 一种勒索病毒检测方法及系统 |
| CN113626811A (zh) * | 2021-07-19 | 2021-11-09 | 武汉大学 | 基于诱饵文件的勒索软件早期检测方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033721A1 (en) * | 2003-08-08 | 2005-02-10 | International Business Machines Corporation | Location switch hard drive shim |
| US20080109906A1 (en) * | 2006-11-08 | 2008-05-08 | Mcafee, Inc. | Method and system for the detection of file system filter driver based rootkits |
| CN101788944A (zh) * | 2010-01-25 | 2010-07-28 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测aix系统故障的方法 |
| CN103324892A (zh) * | 2013-06-08 | 2013-09-25 | 广东欧珀移动通信有限公司 | 一种Android系统显示文件的方法及装置 |
| CN104102857A (zh) * | 2014-07-17 | 2014-10-15 | 浪潮电子信息产业股份有限公司 | 一种windows系统下的可执行文件全生命周期安全管理系统 |
| CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
| CN109583209A (zh) * | 2018-12-13 | 2019-04-05 | 许昌学院 | 一种用于防御勒索病毒的计算机安全保护系统及方法 |
-
2019
- 2019-11-12 CN CN201911101859.0A patent/CN110826070A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033721A1 (en) * | 2003-08-08 | 2005-02-10 | International Business Machines Corporation | Location switch hard drive shim |
| US20080109906A1 (en) * | 2006-11-08 | 2008-05-08 | Mcafee, Inc. | Method and system for the detection of file system filter driver based rootkits |
| CN101788944A (zh) * | 2010-01-25 | 2010-07-28 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测aix系统故障的方法 |
| CN103324892A (zh) * | 2013-06-08 | 2013-09-25 | 广东欧珀移动通信有限公司 | 一种Android系统显示文件的方法及装置 |
| CN104102857A (zh) * | 2014-07-17 | 2014-10-15 | 浪潮电子信息产业股份有限公司 | 一种windows系统下的可执行文件全生命周期安全管理系统 |
| CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
| CN109583209A (zh) * | 2018-12-13 | 2019-04-05 | 许昌学院 | 一种用于防御勒索病毒的计算机安全保护系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 虎子哥哥: "用文件系统过滤驱动实现文件隐藏", 《黑客防线》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111814144A (zh) * | 2020-07-14 | 2020-10-23 | 深信服科技股份有限公司 | 一种泄露数据处理方法、装置、设备及介质 |
| CN111814144B (zh) * | 2020-07-14 | 2023-11-07 | 深信服科技股份有限公司 | 一种泄露数据处理方法、装置、设备及介质 |
| CN112560031A (zh) * | 2020-11-16 | 2021-03-26 | 杭州美创科技有限公司 | 一种勒索病毒检测方法及系统 |
| CN112560031B (zh) * | 2020-11-16 | 2022-05-06 | 杭州美创科技有限公司 | 一种勒索病毒检测方法及系统 |
| CN112506699A (zh) * | 2020-11-25 | 2021-03-16 | 江苏恒信和安电子科技有限公司 | 一种数据安全备份方法、设备和系统 |
| CN113626811A (zh) * | 2021-07-19 | 2021-11-09 | 武汉大学 | 基于诱饵文件的勒索软件早期检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
| CN110826070A (zh) | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 | |
| US10282548B1 (en) | Method for detecting malware within network content | |
| JP6224173B2 (ja) | マルウェアに対処するための方法及び装置 | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| US7676845B2 (en) | System and method of selectively scanning a file on a computing device for malware | |
| US20240012907A1 (en) | Cloud based just in time memory analysis for malware detection | |
| RU2506638C2 (ru) | Система и способ аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере | |
| US8307434B2 (en) | Method and system for discrete stateful behavioral analysis | |
| AU2017234260A1 (en) | System and method for reverse command shell detection | |
| US20080034430A1 (en) | System and method for defining and detecting pestware with function parameters | |
| US7941850B1 (en) | Malware removal system and method | |
| US20080028462A1 (en) | System and method for loading and analyzing files | |
| RU101235U1 (ru) | Система проверки на присутствие вредоносного программного обеспечения с изменяемыми настройками проверки | |
| US8578495B2 (en) | System and method for analyzing packed files | |
| US7287281B1 (en) | Send blocking system and method | |
| RU2738334C1 (ru) | Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент | |
| US20150020202A1 (en) | System and method for bypassing a malware infected driver | |
| US11809573B2 (en) | Exploit detection via induced exceptions | |
| US11899782B1 (en) | Preserving DLL hooks | |
| CN109800568B (zh) | 文档文件的安全防护方法、客户端、系统及存储介质 | |
| US10372900B2 (en) | System and method for executing calls from OS process to file system | |
| Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
| Moreb | Malware Forensics for Volatile and Nonvolatile Memory in Mobile Devices | |
| WO2022213202A1 (en) | Endpoint detection and response to cybersecurity threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200221 |
|
| RJ01 | Rejection of invention patent application after publication |