CN111125701B - 文件检测方法、设备、存储介质及装置 - Google Patents
文件检测方法、设备、存储介质及装置 Download PDFInfo
- Publication number
- CN111125701B CN111125701B CN201911354487.2A CN201911354487A CN111125701B CN 111125701 B CN111125701 B CN 111125701B CN 201911354487 A CN201911354487 A CN 201911354487A CN 111125701 B CN111125701 B CN 111125701B
- Authority
- CN
- China
- Prior art keywords
- file
- detection
- operated
- operation request
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及计算机安全技术领域,公开了一种文件检测方法、设备、存储介质及装置。本发明通过获取当前文件操作请求;若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;通过文件检测引擎对所述待操作文件进行检测,得到检测结果;根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求,从而根据操作请求进行分析,根据分析结果进行主动恶意文件检测,而无需进行全面扫描,提高恶意文件的检测效率。
Description
技术领域
本发明涉及文件操作检测技术领域,尤其涉及文件检测方法、设备、存储介质及装置。
背景技术
为了保证计算机的安全性,通过监控程序监控当前的文件处理信息,但是一般进行全盘文件监控,即对于每一个变化过的文件都进行扫描鉴定,从而造成性能的巨大消耗,造成整个系统的卡慢,严重影响用户体验性。
发明内容
本发明的主要目的在于提供文件检测方法、设备、存储介质及装置,旨在解决如何提高文件检测效率的技术问题。
为实现上述目的,本发明提供一种文件检测方法,所述文件检测方法包括以下步骤:
获取当前文件操作请求;
若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;
通过文件检测引擎对所述待操作文件进行检测,得到检测结果;
根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求。
优选地,所述当前文件操作请求为打开文件操作请求;
所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果之前,所述方法还包括:
若所述待操作文件不为目标文件信息,则执行获取所述待操作文件的格式化标准路径信息,根据所述格式化标准路径信息对所述待操作文件进行检测,得到检测结果。
优选地,所述当前文件操作请求为改写文件操作请求;
所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果之前,所述方法还包括:
对所述待操作文件设置标签记录;
判断设置后的待操作文件是否进行关闭操作,根据判断结果以及标签记录执行所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果的步骤。
优选地,所述当前文件操作请求为关闭文件操作请求;
所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果之前,所述方法还包括:
判断所述待操作文件是否存在标签信息,根据判断结果执行所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果的步骤。
优选地,所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果,包括:
判断所述当前文件操作请求的操作类型;
查询所述待操作文件是否存在所述文件检测引擎的操作路径表,得到查询结果;
根据所述操作类型以及查询结果通过文件检测引擎对所述待操作文件进行检测,得到检测结果。
优选地,所述查询所述待操作文件是否存在所述文件检测引擎的操作路径表,得到查询结果之前,所述方法还包括:
获取所述文件检测引擎的文件操作信息;
根据所述文件操作信息生成所述文件检测引擎的操作路径表。
优选地,所述根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求之后,所述方法还包括:
将所述检测结果采用平衡二叉树构建鉴定标识信息,并将所述鉴定标识信息与检测后的文件信息存储至缓存区域;
获取检测后的文件信息的操作请求,判断所述缓存区域中是否存在所述操作请求中检测后的文件信息对应的鉴定标识信息;
若所述缓存区域中是否存在所述操作请求中检测后的文件信息对应的鉴定标识信息,则对检测后的文件信息的操作请求进行响应。
此外,为实现上述目的,本发明还提出一种文件检测设备,所述文件检测设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行文件检测程序,所述文件检测程序被所述处理器执行时实现如上文所述的文件检测方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有文件检测程序,所述文件检测程序被处理器执行时实现如上文所述的文件检测方法的步骤。
此外,为实现上述目的,本发明还提出一种文件检测装置,所述文件检测装置包括:
获取模块,用于获取当前文件操作请求;
所述获取模块,还用于若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;
检测模块,用于通过文件检测引擎对所述待操作文件进行检测,得到检测结果;
响应模块,用于根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求。
本发明提供的技术方案,获取当前文件操作请求;若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;通过文件检测引擎对所述待操作文件进行检测,得到检测结果;根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求,从而根据操作请求进行分析,根据分析结果进行主动恶意文件检测,而无需进行全面扫描,提高恶意文件的检测效率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的文件检测设备结构示意图;
图2为本发明文件检测方法一实施例的流程示意图;
图3为本发明文件检测方法一实施例的恶意文件检测的整体流程示意图;
图4为本发明文件检测方法另一实施例的流程示意图;
图5为本发明文件检测方法一实施例的内核过滤驱动文件操作过滤示意图;
图6为本发明文件检测方法再一实施例的流程示意图;
图7为本发明文件检测方法一实施例的针对打开文件判断流程示意图;
图8为本发明文件检测方法一实施例的针对关闭文件判断流程示意图;
图9为本发明文件检测装置一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的文件检测设备结构示意图。
如图1所示,该文件检测设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口以及无线接口,而用户接口1003的有线接口在本发明中可为通用串行总线(Universal Serial Bus,USB)接口。网络接口1004可选的可以包括标准的有线接口以及无线接口(如WI-FI接口)。存储器1005可以是高速随机存取存储器(Random Access Memory,RAM);也可以是稳定的存储器,比如,非易失存储器(Non-volatile Memory),具体可为,磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对文件检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及文件检测程序。
在图1所示的文件检测设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接外设;所述文件检测设备通过处理器1001调用存储器1005中存储的文件检测程序,并执行本发明实施例提供的文件检测方法。
基于上述硬件结构,提出本发明文件检测方法的实施例。
参照图2,图2为本发明文件检测方法一实施例的流程示意图。
在图2实施例中,所述文件检测方法包括以下步骤:
步骤S10:获取当前文件操作请求。
需要说明的是,本实施例的执行主体为文件检测设备,还可为其他可实现相同或相似功能的设备,本实施例对此不作限制,在本实施例中,以文件检测设备为例进行说明。
在本实施例中,minifilter文件过滤框架是指微软提供给开发人员的文件操作监控的接口框架,开发人员可以根据此框架开发相关的文件监控以及过滤功能化,其中,所述当前文件操作请求可基于minifilter文件过滤框架监控得到,所述当前文件操作请求为用户对当前文件的操作信息,其中,所述操作信息包括文件的打开操作信息、文件的更改操作信息以及文件的关闭操作信息等,还可包括其他形式的操作信息,本实施例对此不作限制。
步骤S20:若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件。
需要说明的是,在一般情况下,为了安全的考虑,文件只要出现了修改就会对文件进行全盘扫描,从而大大降低了系统的处理效率,在本实施例中,首先对当前文件的操作进行判断,是否有恶意文件的风险,在没有恶意文件风险时则进行放行处理,在有恶意文件风险时,则再进行恶意文件检测,从而进行主动的文件检测,只对有风险的文件进行检测,大大提高恶意文件检测的效率,所述预设类型为是否为对文件进行改写的操作。
步骤S30:通过文件检测引擎对所述待操作文件进行检测,得到检测结果。
需要说明的是,如图3所示的恶意文件检测的整体流程示意图,分为应用层和驱动层,在应用层包括用户的使用进程,例如进程A到驱动层的文件操作,还包括恶意文件检测引擎,所述恶意文件检测引擎用于检测文件是否为恶意文件,即进行文件检测以及返回检测结果给驱动层中的内核文件过滤驱动模块。
在本实施例中,进程A与文件操作泛指系统所有进程以及其进行的文件操作,包括打开文件、读取文件以及写入文件等,都会经过文件内核过滤驱动,文件内核过滤驱动用于监控操作系统所有进程的文件操作的模块,基于微软的微过滤器minifilter框架进行开发的文件系统过滤模块,针对相关的文件操作可以选择放行、拒绝或者重定向等过滤操作,文件检测引擎为根据文件过滤驱动解析传递的标准格式化路径等信息,打开文件通过恶意文件检测引擎鉴定文件黑白灰属性,然后将引擎返回文件内核过滤驱动中,如果返回非黑则放行,如果返回黑则将路径加入缓存中,供下次打开文件时查询,然后返回拒绝,其中,返回白则表示为安全文件,返回灰则表示为未知或者中间文件,从而实现对恶意文件的检测。
步骤S40:根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求。
可以理解的是,文件系统为操作系统的模块,真正的文件操作实现都在此实现,对于文件内核过滤驱动放行的进程文件操作行为都会传递到此模块,从而实现对文件的操作。
本实施例通过上述方案,通过获取当前文件操作请求;若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;通过文件检测引擎对所述待操作文件进行检测,得到检测结果;根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求,从而根据操作请求进行分析,根据分析结果进行主动恶意文件检测,而无需进行全面扫描,提高恶意文件的检测效率。
参照图4,图4为本发明文件检测方法另一实施例的流程示意图,基于上述图2所示的一实施例,提出本发明文件检测方法的另一实施例,所述当前文件操作请求为打开文件操作请求;所述步骤S30,包括:
提取所述当前文件操作请求的待处理文件信息,判断所述待处理文件信息是否为目标文件信息。
本实施例通过对监控操作系统的所有文件操作配合恶意文件检测引擎进行主动检测,首先第一步需要监控文件的操作,主要是通过微软提供的windows文件过滤框架minifilter,关注文件的打开、文件的更改以及文件操作的放行等。
需要说明的是,所述目标文件信息为磁盘卷文件、文件夹或者新建文件等,由于这些操作信息不会造成对系统的威胁,因此,不用对这些操作信息进行恶意文件检测,从而提高恶意文件检测的效率。
在具体实现中,如果所述待处理文件信息为目标文件信息,则直接进行放行,不进行恶意文件检测,如果所述待处理文件信息不为目标文件信息,则说明当前操作有危险,再进行恶意文件检测。
进一步地,若所述待处理文件信息为目标文件信息,则对所述待处理文件信息进行放行过滤。
进一步地,若所述待处理文件信息不为目标文件信息,则解析所述待处理文件信息的格式化标准路径信息。
需要说明的是,所述格式化标准路径信息为扫描路径,即全盘扫描路径或者部分扫描路径。
相应的,所述步骤S30之前,包括:
步骤S301,若所述待操作文件不为目标文件信息,则执行获取所述待操作文件的格式化标准路径信息,根据所述格式化标准路径信息对所述待操作文件进行检测,得到检测结果。
在本实施例中,需要说明的是,所述目标文件信息为磁盘卷、文件夹或者新建文件等文件信息中至少一项,通过判断所述待操作文件不为目标文件信息,则执行获取所述待操作文件的格式化标准路径信息,根据所述格式化标准路径信息对所述待操作文件进行检测,得到检测结果。
在具体实现中,监控操作系统文件打开的操作,打开的文件判断是否是我们不关心的文件,即是否为目标文件信息,比如磁盘卷、文件夹或者新建文件等,对于我们不关心的文件进行放行过滤,然后通过维护的黑名单列表缓存判断此文件是否是曾经鉴定过并标记为病毒的文件,对于病毒文件,直接返回失败,拒绝进程打开此文件。对于其他的我们关心的文件解析获取文件的格式化标准路径然后递交到恶意文件检测引擎进行鉴别,在本实施例中,如果待操作信息不为目标文件信息,即不为磁盘卷、文件夹或者新建文件等文件信息时,则说明待操作信息为具有风险的操作信息,在这种情况下,需要获取所述待操作文件的格式化标准路径信息,根据所述格式化标准路径信息对所述待操作文件进行检测,如果待操作信息为目标文件信息,即为磁盘卷、文件夹或者新建文件等文件信息时,则说明待操作信息为不具有风险的操作信息,则无需进行检测,从而提高检测效率。如图5所示的内核过滤驱动文件操作过滤示意图,监测到为打开文件,则进行判断文件是否为关心的,如果是,则通过恶意文件检测引擎扫描文件,进行恶意文件检测,如果不是关心的文件时,则拒绝进程打开此文件,从而根据操作信息进行相应的检测。
本实施例提供的方案,通过监控操作系统监控文件的操作信息,并对监控操作系统的所有文件操作配合恶意文件检测引擎进行主动检测,从而提高恶意文件检测的效率。
参照图6,图6为本发明文件检测方法再一实施例的流程示意图,基于上述图2所示的一实施例,提出本发明文件检测方法的再一实施例,所述当前文件操作请求为改写文件操作请求,所述步骤S30之前,所述方法还包括:
对所述待操作文件设置标签记录;判断设置后的待操作文件是否进行关闭操作,根据判断结果以及标签记录执行所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果的步骤。
在具体实现中,监控操作系统的文件改写的操作,对于更改过的文件进行一个标签记录,标记着此文件已经改变,需要在关闭的时候进行恶意文件检测引擎的重新鉴定。
进一步地,所述当前文件操作请求为关闭文件操作请求;所述S30之前,所述方法还包括:
判断所述待操作文件是否存在标签信息,根据判断结果执行所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果的步骤。
在具体实现中,监控操作系统的文件关闭的操作,对于关闭的文件我们判断时候存在文件被更改过的标签,如果存在我们就解析文件的格式化标准文件路径然后递交到恶意文件检测引擎进行重新鉴别。如果不存在文件被改写的标签,那么证明此文件被恶意文件检测引擎鉴定过,并且此文件未被更改,所以不需要进行重新鉴定。
对于恶意文件检测引擎认定的恶意文件,在进行清理之前需要把结果返回给内核文件监控引擎,然后文件监控引擎维护一个恶意文件缓存表,文件操作的时候发现是恶意文件就拒绝访问此文件。
继续如图5所示,在出现改写文件在,在文件关闭时进行恶意文件检测,并在文件关闭时判断文件是否改变,在文件改变时则进行恶意文件检测,在文件未改变时,则直接进行关闭处理。
进一步地,所述步骤S30,包括:
判断所述当前文件操作请求的操作类型;查询所述待操作文件是否存在所述文件检测引擎的操作路径表,得到查询结果;根据所述操作类型以及查询结果通过文件检测引擎对所述待操作文件进行检测,得到检测结果。
需要说明的是,所述操作类型为打开文件操作和关闭文件操作,由于改变的文件判别恶意文件鉴定的时候会进行打开并读取文件的操作,此时第三方软件采用独占打开文件就会引起文件权限冲突,导致第三方软件发生兼容性错误,即恶意文件鉴定引擎扫描一个文件的时候需要打开此文件,那么当第三方软件独占打开此文件的时候就会导致打开失败,影响到第三方软件正常的执行流程。针对此种情况解决方式如图7所示为针对打开文件判断流程示意图以及图8所示的针对关闭文件判断流程示意图。
在具体实现中,在文件内核过滤流程中监控打开文件和关闭文件,跟踪恶意文件检测引擎打开文件的生命周期。打开文件的时候判断是否是恶意文件检测引擎打开的文件,如果是则用哈希表进行缓存处理,并对此文件路径计数+1,可能存在多次打开文件的情况,如果非恶意文件检测引擎打开的文件,例如第三方程序打开的文件,则在哈希缓存表中检查是否存在此文件,如果存在则阻塞此打开文件请求,在三秒时间内进行多次重试,直到成功打开或者超时则放行。关闭文件的时候检测是否是恶意文件检测引擎关闭的文件,如果是则在哈希缓存表中,则计数-1。
可以理解的是,除了哈希算法还可通过其他可实现相同或相似功能的标签记录算法进行路径的记录,本实施例对此不作限制。
本实施例通过监控文件的操作,对恶意文件检测引擎打开的文件进行路径缓存处理,对于第三方文件打开的文件,如果恶意文件检测引擎未关闭则进行时间段内阻塞重试直至恶意文件检测引擎关闭此文件或者超时,用于解决第三方软件兼容性。
进一步地,所述查询所述待操作文件是否存在所述文件检测引擎的操作路径表,得到查询结果之前,所述方法还包括:
获取所述文件检测引擎的文件操作信息;根据所述文件操作信息生成所述文件检测引擎的操作路径表。
需要说明的是,所述文件操作信息包括打开操作信息,由于文件检测引擎在进行文件扫描时,需要打开所要扫描的文件,在这种情况下,只要所述文件检测引擎进行文件打开操作时,则进行记录,生成所述文件检测引擎的操作路径表,从而实现对文件检测引擎的跟踪管理。
进一步地,所述步骤S40之后,所述方法还包括:
步骤S401,将所述检测结果采用平衡二叉树构建鉴定标识信息,并将所述鉴定标识信息与检测后的文件信息存储至缓存区域。
在本实施例中,所述预设标签信息为鉴定过的标签信息,对已经鉴定过文件则不需要再进行鉴定,从而提高恶意文件检测的效率,通过平衡二叉树构建鉴定标识信息,还可通过其他可实现相同或相似功能的算法生成标识信息,本实施例对此不作限制。
步骤S402,获取检测后的文件信息的操作请求,判断所述缓存区域中是否存在所述操作请求中检测后的文件信息对应的鉴定标识信息。
步骤S403,若所述缓存区域中是否存在所述操作请求中检测后的文件信息对应的鉴定标识信息,则对检测后的文件信息的操作请求进行响应。
对于引擎扫描并且返回驱动的鉴定结果,通常都是用操作系统提供的缓存结构(streamcontext)以文件路径或者文件路径哈希为key进行保存,因为streamcontext在没有文件被引用操作的时候会销毁,那么对于同一个未修改文件的反复打开就有可能多次扫描,从而降低效率。针对这种情况下,以文件的唯一标识设定鉴定结果,所述鉴定结果以值的形式表示,例如Value=0或者Value=1,其中,0表示鉴定不通过,1表示鉴定通过,并通过鉴定结果数据中FileId为key自建平衡二叉树进行缓存,每次打开文件的时候查询缓存,对于已经鉴定过的文件就放弃上抛扫描。
本实施例提供的方案,采用平衡二叉树构建鉴定标识信息,对已经鉴定过文件鉴定信息,对已经鉴定过文件则不需要再进行鉴定,从而提高恶意文件检测的效率。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有文件检测程序,所述文件检测程序被处理器执行时实现如上文所述的终端入网方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,参照图9,本发明实施例还提出一种文件检测装置,所述文件检测装置包括:
获取模块10,用于获取当前文件操作请求。
需要说明的是,本实施例的执行主体为文件检测设备,还可为其他可实现相同或相似功能的设备,本实施例对此不作限制,在本实施例中,以文件检测设备为例进行说明。
在本实施例中,minifilter文件过滤框架是指微软提供给开发人员的文件操作监控的接口框架,开发人员可以根据此框架开发相关的文件监控以及过滤功能化,其中,所述当前文件操作请求可基于minifilter文件过滤框架监控得到,所述当前文件操作请求为用户对当前文件的操作信息,其中,所述操作信息包括文件的打开操作信息、文件的更改操作信息以及文件的关闭操作信息等,还可包括其他形式的操作信息,本实施例对此不作限制。
所述获取模块10,还用于若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件。
需要说明的是,在一般情况下,为了安全的考虑,文件只要出现了修改就会对文件进行全盘扫描,从而大大降低了系统的处理效率,在本实施例中,首先对当前文件的操作进行判断,是否有恶意文件的风险,在没有恶意文件风险时则进行放行处理,在有恶意文件风险时,则再进行恶意文件检测,从而进行主动的文件检测,只对有风险的文件进行检测,大大提高恶意文件检测的效率,所述预设类型为是否为对文件进行改写的操作。
检测模块20,用于通过文件检测引擎对所述待操作文件进行检测,得到检测结果。
需要说明的是,如图3所示的恶意文件检测的整体流程示意图,分为应用层和驱动层,在应用层包括用户的使用进程,例如进程A到驱动层的文件操作,还包括恶意文件检测引擎,所述恶意文件检测引擎用于检测文件是否为恶意文件,即进行文件检测以及返回检测结果给驱动层中的内核文件过滤驱动模块。
在本实施例中,进程A与文件操作泛指系统所有进程以及其进行的文件操作,包括打开文件、读取文件以及写入文件等,都会经过文件内核过滤驱动,文件内核过滤驱动用于监控操作系统所有进程的文件操作的模块,基于微软的微过滤器minifilter框架进行开发的文件系统过滤模块,针对相关的文件操作可以选择放行、拒绝或者重定向等过滤操作,文件检测引擎为根据文件过滤驱动解析传递的标准格式化路径等信息,打开文件通过恶意文件检测引擎鉴定文件黑白灰属性,然后将引擎返回文件内核过滤驱动中,如果返回非黑则放行,如果返回黑则将路径加入缓存中,供下次打开文件时查询,然后返回拒绝,其中,返回白则表示为安全文件,返回灰则表示为未知或者中间文件,从而实现对恶意文件的检测。
响应模块30,用于根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求。
可以理解的是,文件系统为操作系统的模块,真正的文件操作实现都在此实现,对于文件内核过滤驱动放行的进程文件操作行为都会传递到此模块,从而实现对文件的操作。
本实施例通过上述方案,通过获取当前文件操作请求;若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;通过文件检测引擎对所述待操作文件进行检测,得到检测结果;根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求,从而根据操作请求进行分析,根据分析结果进行主动恶意文件检测,而无需进行全面扫描,提高恶意文件的检测效率。
本发明所述文件检测装置采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器、RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种文件检测方法,其特征在于,所述文件检测方法包括以下步骤:
获取当前文件操作请求;
若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;
通过文件检测引擎对所述待操作文件进行检测,得到检测结果;
根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求;
所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果,包括:
获取所述文件检测引擎的文件操作信息;
根据所述文件操作信息生成所述文件检测引擎的操作路径表;
判断所述当前文件操作请求的操作类型;
在所述操作类型为打开文件操作或关闭文件操作时,查询所述待操作文件是否存在所述文件检测引擎的操作路径表,得到查询结果;
根据所述操作类型以及查询结果通过文件检测引擎对所述待操作文件进行检测,得到检测结果。
2.如权利要求1所述的文件检测方法,其特征在于,所述当前文件操作请求为打开文件操作请求;
所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果之前,所述方法还包括:
若所述待操作文件不为磁盘卷文件、文件夹或者新建文件,则执行获取所述待操作文件的全盘扫描路径或者部分扫描路径,根据所述全盘扫描路径或者部分扫描路径对所述待操作文件进行检测,得到检测结果。
3.如权利要求1所述的文件检测方法,其特征在于,所述当前文件操作请求为改写文件操作请求;
所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果之前,所述方法还包括:
对经过文件改写操作的所述待操作文件设置标签记录;
判断设置后的待操作文件是否进行关闭操作;
在判断结果为关闭操作以及标签记录为文件被更改过的标签时,解析所述待操作文件的全盘扫描路径或者部分扫描路径,执行所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果的步骤。
4.如权利要求1所述的文件检测方法,其特征在于,所述当前文件操作请求为关闭文件操作请求;
所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果之前,所述方法还包括:
判断所述待操作文件是否存在文件被更改过的标签信息;
在存在文件被更改过的标签信息时,解析所述待操作文件的全盘扫描路径或者部分扫描路径,并执行所述通过文件检测引擎对所述待操作文件进行检测,得到检测结果的步骤。
5.如权利要求1至4中任一项所述的文件检测方法,其特征在于,所述根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求之后,所述方法还包括:
将所述检测结果采用平衡二叉树构建鉴定标识信息,并将所述鉴定标识信息与检测后的文件信息存储至缓存区域;
获取检测后的文件信息的操作请求,判断所述缓存区域中是否存在所述操作请求中检测后的文件信息对应的鉴定标识信息;
若所述缓存区域中存在所述操作请求中检测后的文件信息对应的鉴定标识信息,则对检测后的文件信息的操作请求进行响应。
6.一种文件检测设备,其特征在于,所述文件检测设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行文件检测程序,所述文件检测程序被所述处理器执行时实现如权利要求1至5中任一项所述的文件检测方法的步骤。
7.一种存储介质,其特征在于,所述存储介质上存储有文件检测程序,所述文件检测程序被处理器执行时实现如权利要求1至5中任一项所述的文件检测方法的步骤。
8.一种文件检测装置,其特征在于,所述文件检测装置包括:
获取模块,用于获取当前文件操作请求;
所述获取模块,还用于若所述当前文件操作请求的请求类型属于预设类型,则获取与所述当前文件操作请求对应的待操作文件;
检测模块,用于通过文件检测引擎对所述待操作文件进行检测,得到检测结果;
响应模块,用于根据所述检测结果传递相应的操作指令至文件系统,通过所述文件系统响应所述当前文件操作请求;
所述检测模块,还用于获取所述文件检测引擎的文件操作信息;
根据所述文件操作信息生成所述文件检测引擎的操作路径表;
判断所述当前文件操作请求的操作类型;
在所述操作类型为打开文件操作或关闭文件操作时,查询所述待操作文件是否存在所述文件检测引擎的操作路径表,得到查询结果;
根据所述操作类型以及查询结果通过文件检测引擎对所述待操作文件进行检测,得到检测结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911354487.2A CN111125701B (zh) | 2019-12-24 | 2019-12-24 | 文件检测方法、设备、存储介质及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911354487.2A CN111125701B (zh) | 2019-12-24 | 2019-12-24 | 文件检测方法、设备、存储介质及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111125701A CN111125701A (zh) | 2020-05-08 |
| CN111125701B true CN111125701B (zh) | 2022-04-29 |
Family
ID=70503259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911354487.2A Active CN111125701B (zh) | 2019-12-24 | 2019-12-24 | 文件检测方法、设备、存储介质及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111125701B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343241B (zh) * | 2021-07-20 | 2023-04-11 | 南京中孚信息技术有限公司 | 基于在线恶意软件扫描平台的动态标签生成方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010271963A (ja) * | 2009-05-22 | 2010-12-02 | Hitachi Ltd | ファイル変更通知インタフェースを持ったストレージシステム |
| CN103198253A (zh) * | 2013-03-29 | 2013-07-10 | 北京奇虎科技有限公司 | 运行文件的方法及系统 |
| CN103810428A (zh) * | 2014-02-24 | 2014-05-21 | 珠海市君天电子科技有限公司 | 一种宏病毒检测方法及装置 |
| CN107846381A (zh) * | 2016-09-18 | 2018-03-27 | 阿里巴巴集团控股有限公司 | 网络安全处理方法及设备 |
| CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
-
2019
- 2019-12-24 CN CN201911354487.2A patent/CN111125701B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010271963A (ja) * | 2009-05-22 | 2010-12-02 | Hitachi Ltd | ファイル変更通知インタフェースを持ったストレージシステム |
| CN103198253A (zh) * | 2013-03-29 | 2013-07-10 | 北京奇虎科技有限公司 | 运行文件的方法及系统 |
| CN103810428A (zh) * | 2014-02-24 | 2014-05-21 | 珠海市君天电子科技有限公司 | 一种宏病毒检测方法及装置 |
| CN107846381A (zh) * | 2016-09-18 | 2018-03-27 | 阿里巴巴集团控股有限公司 | 网络安全处理方法及设备 |
| CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111125701A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11636206B2 (en) | Deferred malware scanning | |
| CN109299135B (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
| US9282112B2 (en) | System and method for determining category of trust of applications performing interface overlay | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| US8640233B2 (en) | Environmental imaging | |
| CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| AU2006200224A1 (en) | End user data activation | |
| CN112351017B (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
| CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| GB2614426A (en) | Enterprise network threat detection | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN109800569A (zh) | 程序鉴别方法及装置 | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 | |
| KR101308866B1 (ko) | 공개형 악성코드 관리 및 분석 시스템 | |
| CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
| RU2747514C2 (ru) | Система и способ категоризации приложения на вычислительном устройстве | |
| CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 | |
| US11983272B2 (en) | Method and system for detecting and preventing application privilege escalation attacks | |
| CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
| CN112395600B (zh) | 恶意行为的去误报方法、装置及设备 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| RU2739833C1 (ru) | Система и способ снижения нагрузки на сервис обнаружения вредоносных приложений | |
| CN112688944B (zh) | 局域网安全状态检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |