CN111581660A - 防止木马破坏共享文件的方法和装置,介质和电子设备 - Google Patents
防止木马破坏共享文件的方法和装置,介质和电子设备 Download PDFInfo
- Publication number
- CN111581660A CN111581660A CN201910123248.XA CN201910123248A CN111581660A CN 111581660 A CN111581660 A CN 111581660A CN 201910123248 A CN201910123248 A CN 201910123248A CN 111581660 A CN111581660 A CN 111581660A
- Authority
- CN
- China
- Prior art keywords
- access operation
- user terminal
- file
- shared
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title claims abstract description 79
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000000977 initiatory effect Effects 0.000 claims abstract description 28
- 230000006378 damage Effects 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000012550 audit Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 3
- 241000700605 Viruses Species 0.000 abstract description 30
- 238000012544 monitoring process Methods 0.000 abstract description 6
- 238000012986 modification Methods 0.000 abstract 1
- 230000004048 modification Effects 0.000 abstract 1
- 230000002159 abnormal effect Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种防止木马破坏共享文件的方法和装置,以及一种存储介质和电子设备,所述方法包括:获取对共享文件夹的访问操作;判断所述访问操作是否为预定操作;在所述访问操作为所述预定操作的情况下,确定发起所述访问操作的用户终端;降低所述用户终端的访问操作权限至预定访问操作权限。前述方法将预定操作设置成代表客户终端感染木马病毒情况下的操作,在监测对共享文件夹中共享文件的操作为预定操作的情况下,查找发起访问操作的用户终端并降低用户终端的访问操作权限至预定的访问操作权限,避免对应的用户终端发起更多的预定操作而造成对共享文件夹产生的可能同样的修改,继而避免因为相应的操作而产生更多的损失。
Description
技术领域
本发明涉及安全技术领域,特别涉及一种阻止木马破坏共享文件的方法和装置,以及一种介质和电子设备。
背景技术
木马病毒是一种典型的计算机病毒,其通过将木马程序植入到被控制端计算机中,偷取被控端计算机中的敏感数据或者利用控制端计算机进行非法操作。
为了方便不同用户终端共享文件数据,在局域网应用条件下或者类似应用条件下可能设置共享文件夹;在某些应用条件下,共享文件夹为所有的用户终端均设置了等级较高的访问操作权限,使得用户终端可以对共享文件内的文件进行改写、删除或者增加等操作。而在某一用户终端感染木马病毒、成为被控制端计算机时,此用户终端可能劫持共享文件夹中的共享文件,或者向共享文件夹中的共享文件写入木马程序。
发明内容
本发明提供的防止木马破坏共享文件的方法和装置,通过对共享文件的访问操作的监视确定相应的操作是否可能造成共享文件破坏,切断可能被木马感染的用户终端对共享文件的访问,继而阻值木马进一步地破坏共享文件。
本发明的目的是采用以下技术方案来实现的:
第一方面,本发明提供了一种防止木马破坏共享文件的方法,包括:
获取对共享文件夹的访问操作;
判断所述访问操作是否为预定操作;
在所述访问操作为所述预定操作的情况下,确定发起所述访问操作的用户终端;
降低所述用户终端的访问操作权限至预定访问操作权限。
可选的,所述预定操作为写入操作;所述写入操作为:
更改已经存储在所述共享文件夹中文件的后缀名的操作,或者,
删除所述共享文件夹中已经存储的文件的同时,在所述共享文件夹中增加与所述第一文件名称相同但后缀名不同的文件的操作;或者,
对所述共享文件夹中文件进行加密的操作。
可选的,在判断所述访问操作为所述预定操作后,还包括:
扫描所述访问操作对应的文件;
在判定所述文件包含木马程序的情况下,修复、删除或者隔离所述访问操作对应的文件;或者,
在判定访问操作将对应的文件加密的情况下,解密所述访问操作对应的文件。
可选的,获取对共享文件夹的访问操作,包括:
采用Audit组件获取用户终端对共享文件夹的访问操作。
可选的,确定发起所述访问操作的用户终端,包括:
查询发起所述访问操作的用户ID;
根据所述用户ID查询对应的IP地址、MAC地址或者用户名称,将所述IP地址、所述MAC地址或者所述用户名称对应的终端作为所述用户终端。
可选的,降低所述用户终端的访问操作权限至预定访问操作权限,包括:
停止所述用户终端对所述共享文件夹的访问,或者阻断所述用户终端对所述共享文件夹所在服务器的访问。
可选的,在所述访问操作为所述预定操作的情况下,确定发起所述访问操作的用户终端,包括:
在所述访问操作为所述预定操作的情况下,扫描并判定所述预定操作对应的文件是否包括木马程序,或者判定所述预定操作对应的文件是否被所述访问操作加密;
在所述文件包括木马程序或者被所述访问操作加密的情况下,确定发起所述访问操作的用户终端。
第二方面,本发明提供了一种防止木马破坏共享文件的装置,包括:
记录单元,用于获取对共享文件夹的访问操作;
第一判断单元,用于判断所述访问操作是否为预定操作;
查找单元,用于在所述访问操作为所述预定操作的情况下,确定发起所述访问操作的用户终端;
权限调整单元,用于降低所述用户终端的访问操作权限至预定访问操作权限。
可选的,所述预定操作为写入操作;
所述写入操作为:
更改已经存储在所述共享文件夹中文件的后缀名的操作,或者,
删除所述共享文件夹中已经存储的文件的同时,在所述共享文件夹中增加与所述第一文件名称相同但后缀名不同的文件的操作;或者,
对所述共享文件夹中文件进行加密的操作。
可选的,所述装置还包括:
扫描单元,用于在所述访问操作为写入操作的情况下,扫描所述访问操作对应的文件;
修复单元,用于在判定所述文件包含木马程序的情况下,修复或者删除所述访问操作对应的文件;或者,
在判定访问操作将所述对应文件加密的情况下,修复所述访问操作对应的文件。
可选的,所述记录单元为Audit组件。
可选的,所述查找单元查找发起所述访问操作的用户终端,包括:
查找发起所述访问操作的用户ID;
根据所述用户ID查询对应的IP地址、MAC地址或者用户名称,将所述IP地址、所述MAC地址或者所述用户名称标识的终端作为所述用户终端。
可选的,所述权限调整单元降低所述用户终端的访问操作权限至预定访问操作权限,具体为:
停止所述用户终端对所述共享文件夹的访问,或者阻断所述用户终端对所述共享文件夹所在服务器的访问。
可选的,所述查找单元确定发起所述访问操作的用户终端,包括:
在所述访问操作为所述预定操作的情况下,扫描并判定所述预定操作对应的文件是否包括木马程序,或者判定所述预定操作对应的文件是否被所述访问操作加密;
在所述文件包括木马程序或者被所述访问操作加密的情况下,确定发起所述访问操作的用户终端。
第三方面,本发明提供了一种存储介质,所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行如前所述的防止木马破坏共享文件的方法。
第四方面,本发明提供了一种电子设备,所述电子设备包括存储介质和处理器;所述处理器,适于实现各指令;所述存储介质,适于存储多条指令;所述指令适于由所述处理器加载并执行如前防止木马破坏共享文件的方法。
本申请提供的防止木马破坏共享文件的方法和装置,将预定操作设置成代表客户终端可能感染木马病毒情况下的操作,在监测对共享文件夹中共享文件的操作未为预定操作时,查找发起访问操作的用户终端,并降低用户终端的访问操作权限至预定的访问操作权限,避免对应的用户终端发起更多的预定操作而造成共享文件夹更多的共享文件被篡改,继而避免因为相应的操作而产生更多的损失。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是一个实施例提供的防止木马破坏共享文件的方法的流程图;
图2是另一实施例提供的防止木马破坏共享文件的方法的流程图;
图3是另一实施例提供的防止木马破坏共享文件的方法的流程图;
图4是一个实施例提供的防止木马破坏共享文件的装置的结构图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为了更为明了的了解本申请的技术方案,以下先就本申请技术方案可能应用的一个场景做介绍。
一个可能的应用场景为局域网应用场景;在局域网中,包括多台计算机:其中一台计算机作为共享文件服务器,其提供共享文件服务功能;其他计算机作为用户终端,以预设的访问操作权限访问共享服务器的共享文件夹;具体的,预设的访问操作权限可以包括:删除共享文件夹中共享文件,修改共享文件夹中的共享文件,向共享文件夹中增加新文件。
因为某些原因,某台或者某几台用户终端感染了木马病毒,成为木马病毒的被控制端,可以被木马病毒的控制端控制执行非法操作。在前述情况下,木马病毒的控制端(也就是木马病毒控制的用户终端)可能对共享文件夹进行非法操作。
例如,控制端控制被控制用户终端将包含木马程序加入到共享文件夹中,并使木马病毒伪装成为正常文件;其他用户终端下载文件后也感染木马病毒,成为被控制端。
还如:控制端在共享文件夹的共享文件中添加木马病毒源代码,其他用户下载文件后感染木马病毒,成为被控制端。
又如:控制端控制被控制端所在的用户终端对共享文件夹中的文件进行破坏或加密操作,以达到勒索金钱等目的。
为了防止木马程序利用共享文件快速地传播木马病毒,或者对共享文件夹中的文件造成过多的破坏,本申请提供了相应的防止木马破坏共享文件的技术方案。
图1是一个实施例提供的防止木马破坏共享文件的方法的流程图。如图1所示,在一个实施例中,用于防止木马破坏共享文件的方法的技术方案包括步骤S101-S104。
S101:获取对共享文件夹的访问操作。
在共享文件服务器开启其中共享文件夹,为用户终端提供共享文件服务后,开启相应的操作监视功能,用于获取对共享文件夹的访问操作,以为后续预防性操作提供判断信息。
考虑当前应用的很多操作系统均设置访问日志,因此在实际应用中,可以通过读取操作系统中的访问日志获取访问操作,并在访问日志中记录新的访问操作后启动后续操作。
应当注意,考虑到尽可能地减小木马造成损害,后续的所有操作均应尽早地执行,所以步骤S101中优选实时获取对共享文件夹的访问操作,以尽早地发现异常操作。
当然,在另外一些情况下,例如在用户终端只能以轮询访问共享文件夹中共享文件的情况下,也可以在一个用户终端的访问时间结束后,获取其对共享文件夹的访问操作。在其他应用情况下,也可以设定一定的查询间隔时间,在经过查询间隔时间后获取对共享文件夹的访问操作。
S102:判断访问操作是否为预定操作。如果访问操作为预定操作,则执行S103,如果访问操作不是预定操作,则结束执行。
在获得S101中对共享文件夹的访问操作后,判断访问操作的类型,具体为根据访问操作的属性标识判断访问操作是否为预定操作。
实际应用中,前述的预定操作被预先设置为可能的非法操作或者非正常操作;当相应的访问操作被认定为预定操作后,则有相当大的概率预估相应的访问操作可能为非法操作或者非正常操作。
而非法操作或者非正常操作被正常操作用户终端的用户启动的概率较小;但是用户终端确触发了相应的访问操作,则判定相应的操作可能不是用户启动的,也就可以预估触发相应访问操作的用户终端被木马感染的概率较大。
S103:确定发起访问操作的用户终端。
在S102确定了访问操作为预定访问操作后,则可以通过访问日志或者回溯访问动作的执行路径确定发起访问操作的用户终端,判定相应的用户终端可能为已经感染木马病毒的用户终端。
S104:降低用户终端的访问操作权限至预定访问操作权限。
在确定用户终端可能为感染木马病毒的用户终端后,为避免用户终端再以较高的操作权限继续执行前述访问操作,使得共享文件夹中出现其它同种类型的访问操作而造成更多的文件出现问题(如出现前述出现更多共享文件感染木马病毒或者更多共享文件被加密),则降低相应用户终端的访问操作权限至预定的访问操作权限;例如,可以将相应用户终端的访问权限设置成仅能查看共享文件。
根据前述步骤S101-S104的操作过程可知,本申请实施例提供的防止木马破坏共享文件的方法,将某些操作设置成代表客户终端感染木马病毒情况时发生的预定操作,在监测对共享文件夹中共享文件的操作未为预定操作的情况下,查找发起访问操作的用户终端并降低用户终端的访问操作权限至预定的访问操作权限,避免对应的用户终端发起更多的预定操作而造成共享文件夹更多的共享文件被篡改,继而避免因为相应的操作而产生更多的损失。
图2是另一实施例提供的防止木马破坏共享文件的方法的流程图。如图2所示,另一实施例的方法包括步骤S201-S205。
S201:获取对共享文件夹的访问操作。
在共享文件服务器开启其中共享文件夹,为用户终端提供共享文件服务后,共享文件服务器也开启相应的操作监视功能,用于获取对共享文件夹的访问操作,以为后续预防性操作提供监控信息。
考虑到尽可能地减小木马造成损害,后续的所有操作均应尽早的执行,所以步骤S201中优选实时获取对共享文件夹的访问操作,以尽早地发现异常操作。
当然,在另外一些情况下,例如在用户终端只能以轮询访问共享文件夹中共享文件的情况下,也可以在一个用户终端的访问时间结束后,获取其对共享文件夹的访问操作。
在其他应用情况下,也可以设定一定的查询间隔时间,在经过查询间隔时间后获取对共享文件夹的访问操作。
S202:判断访问操作是否为预定操作;如果访问操作为预定操作,则执行S203,如果访问操作不是预定操作,则结束执行。
与前述实施例中S102类似的,本申请实施例也是将某些操作判定为非法操作或者非正常操作,此类操作被当做预定操作;当相应的访问操作被认定为预定操作后,则有相当的概率可以预估相应的访问操作可能为非法操作或者非正常操作。如果访问操作是预定操作,则判定触发应用操作的用户终端可能感染木马病毒。
S203:扫描并判定预定操作对应的文件是否包括木马程序;如果预定操作对应的文件包括木马程序,则执行S204;如果预定操作对应的文件不包括木马程序,则结束执行。
在正常情况下,如果出现了预定操作,则可能相应的操作并不是用户终端主动触发的,而是由潜藏在用户终端的木马病毒主动触发的,并且,木马病毒代码已经通过预定操作写入到共享文件夹中被预定操作操作的文件中。
为了验证相应的操作是否在共享文件夹的文件中引入了木马程序,则扫描预定操作对应的文件。如果扫描文件后发现文件中包含木马程序,则可以确定相应的操作并不是由使用用户终端的用户主动触发,而是由木马病毒触发,则可以判定触发相应预定操作的用户终端感染木马病毒。当然,在此种情况下,需要保证具有较多的木马程序样本,以能够较为准确地识别共享文件中的木马程序。
S204:确定发起预定操作的用户终端。
S205:降低用户终端的访问操作权限至预定访问操作权限。
在确定触发相应预定操作会在共享文件中写入木马程序后,则需要回溯发起预定操作的用户终端,并改变相应用户终端的访问操作权限,避免此用户终端再在共享文件夹中执行前述的预定操作而使得更多的共享文件被添加木马程序。
本申请实施提供的防止木马破坏共享文件的方法中,在查询到有预定的访问操作后,扫描发起访问操作针对的共享文件,判断共享文件是否包含了木马程序,在共享程序包含木马程序的情况下,确定预定操作对应的用户终端已经感染木马程序,则降低用户终端的访问操作权限,避免用户终端再次发起前述的操作,而避免共享文件夹中的其他共享文件感染木马程序。
图3是另一实施例提供的防止木马破坏共享文件的方法的流程图。图3是另外一种防止木马破坏共享文件的方法的流程图;请参见图3,本实施例的方法仅是在一个步骤与前述实施例不同,具体的是:前述的S203被替换为S303:扫描并判定所述预定操作对应的文件是被预定操作加密;如果文件被预定操作加密,则执行S304;如果文件没有被预定操作加密,则执行结束。
本申请实施例提供的防止木马破坏共享文件的方法中,在确定出现预定操作后,并且预定操作使得文件被加密后,则判定相应的加密操作可能使为了劫持文件而勒索,为了避免发生同样的操作而造成更多的共享文件被加密,则降低对应用户终端访问操作权限,可以避免共享文件夹的其它共享文件感染木马程序。
前述三个实施例提供的防止木马破坏共享文件的方法,均可以应用在应Microsoft的Windows操作系统;在应用在Windows操作系统中时,可以使用系统配套的Audit组件记录用户终端对共享文件夹的访问操作。Audit组件包括auditctl配置工具、ausearch结果查找工具、aureport工具和autrace跟踪工具;相应的操作方式和操作方法可以Windows的使用手册。
在其他实施例中,如果共享文件夹安装在其他操作系统,也可以采用对应操作系统提供的查询工具或者日志获取工具;或者,可以开发相应的访问操作记录软件,专门用于获取对共享文件夹的访问操作。
在前述几个实施例的大多数情况下,木马病毒的设计者或者使用者为了达到获取非法利益的目的,多通过写入操作改变共享文件内容或者对共享文件文件加密,即访问操作多为为特定类型的写入操作。为了应对此类动作。
因此,在前述几个实施例中,可以将写入操作设置为预定操作,并且把写入操作设置为几个特殊的写入操作;具体应用中,根据木马程序实现诱导用户感染或者要挟用户的方式的不同,相应的预定操作可以包括以下三种:(1)写入操作为更改已经存储在共享文件中文件的后缀名的操作;(2)删除共享文件夹中已经存储的文件的同时,在共享文件夹中增加与前述文件名称相同但后缀名不同的文件的操作;(3)对共享文件夹中文件进行加密的操作。
应当注意,在已经执行前述的几种类型写入操作的情况下,共享文件夹中被执行写入操作的共享文件已经感染了木马病毒,或者被加密,为了避免相应的损失,或者避免其他没有被感染木马病毒的用户终端打开文件而造成病毒感染,在判定访问操作为预定的写入操作后,前述实施例还可以执行步骤S401和S402。
S401:扫描访问操作对应的文件。
S402:在判定访问操作对应的文件包含木马程序的情况下,修复、删除或者隔离对应文件;或者,在判定访问操作将对应的文件加密的情况下,解密访问操作对应的文件。
在某些情况下,木马病毒的使用者也可能仅仅为了删除共享文件夹,而使得局域网拥有者的信息资产出现丢失;因此,在某些情况下,也可以将删除操作设置为预定操作。
在前述三个实施例中,确定发起访问操作的用户终端的过程包括步骤S501和S502。
S501:查询发起访问操作的用户ID。
S502:根据用户ID查询对应的IP地址,将IP地址对应的用户终端作为非法用户终端。
在某些类型的操作系统中,虽然可以采用诸如Audit组件一类的工具查找访问操作的操作类型和操作用户ID,但是此用户ID也仅仅是为了标识出操作是由某个用户发出,而并不能直接利用用户ID识别出真正的用户终端。
但是在一个局域网情况下,用户终端的IP地址具有一定时间内的唯一性,并且服务器可以查找到对应的用户终端的IP地址,所以可以采用用户ID反向查找对应的操作对应的用户IP地址,将此IP地址对应的用户终端作为非法用户终端,继而降低此IP地址对一个的终端作为用户终端。
在某些实施例中,因为局域网采用动态分配IP地址的策略,随着用户终端的关机或者离线,相应的IP地址也就被回收,而相应的IP地址可能被没有感染木马病毒的用户使用;或者被感染木马病毒的终端可能采用更换IP地址的策略访问共享文件夹。
为解决这一问题,在其他实施例中,还可以采用用户ID查询用户的MAC地址或者用户名称,利用用户MAC地址或者用户名称对应的终端作为用户终端;在一个局域网中,用户的MAC地址或者用户名称具有唯一性,所以采用MAC地址或者用户名称可以始终锁定相应的用户终端,避免相应的用户终端再次启动时分配新的IP地址,或者用户终端通过更换IP的策略来再次访问共享文件夹。
在前述几个实施例中,在执行S104、S205、S305的步骤中,降低用户终端访问权限至预定访问权限具体可以为:
停止用户终端对共享文件夹的访问,或者阻断用户终端对共享文件夹所在服务器的访问。
在实际应用中,可以根据应用需求确定相应的访问权限,例如在客户终端需要与服务器主机进行其他类型的交互操作的情况下,可以仅停止用户终端对服务器中共享文件夹的访问;而如果服务器主机仅作为共享文件夹主机,则可以直接阻断用户终端对共享文件夹所在服务器的访问,例如服务器在接收到用户终端发送的数据报文后直接丢弃。
除了提供前述的三个防止木马破坏共享文件的方法的实施例外,本发明实施例还提供了防止木马破坏共享文件的装置。
图4是本申请实施例提供的防止木马破坏共享文件的装置的结构图。如图4所示,装置包括记录单元41、第一判断单元42、查找单元43和权限调整单元44。
其中:记录单元41用于获取对共享文件夹的访问操作;第一判断单元42用于判断访问操作是否为预定操作;查找单元43用于在访问操作为预定操作的情况下,确定发起访问操作的用户终端;权限调整单元44用于降低用户终端的访问操作权限至预定访问操作权限。
在一些实施例中,查找单元43在在访问操作为预定操作的情况下,扫描并判定预定操作对应的文件是否包括木马程序,或者判定预定操作对应的文件是否被访问操作加密;
在文件包括木马程序或者被访问操作加密的情况下,确定发起访问操作的用户终端。
在一些实施例中,预定操作为写入操作;写入操作为:
更改已经存储在共享文件夹中文件的后缀名的操作,或者,
删除共享文件夹中已经存储的文件的同时,在共享文件夹中增加与第一文件名称相同但后缀名不同的文件的操作;或者,
对共享文件夹中文件进行加密的操作。
此外,在预定操作为写入操作的情况下,一些实施例提供的防止木马破坏共享文件的装置还包括:扫描单元和修复单元。
扫描单元用于在访问操作为写入操作的情况下,扫描访问操作对应的文件;
修复单元用于在判定文件包含木马程序的情况下,修复或者删除访问操作对应的文件;或者,在判定访问操作将对应文件加密的情况下,修复访问操作对应的文件。
在一些实施例中,记录单元41为Audit组件。
在一些实施例中,查找单元43查找发起访问操作的用户终端,包括:
查找发起访问操作的用户ID;
根据用户ID查询对应的IP地址、MAC地址或者用户名称,将IP地址、MAC地址或者用户名称标识的终端作为用户终端。
在一些实施例中,权限调整单元44降低用户终端的访问操作权限至预定访问操作权限,具体为:停止用户终端对共享文件夹的访问,或者阻断用户终端对共享文件夹所在服务器的访问。
在一些实施例中,所述查找单元确定发起所述访问操作的用户终端,包括:
在所述访问操作为所述预定操作的情况下,扫描并判定所述预定操作对应的文件是否包括木马程序,或者判定所述预定操作对应的文件是否被所述访问操作加密;
在所述文件包括木马程序或者被所述访问操作加密的情况下,确定发起所述访问操作的用户终端。
本发明实施例还提供一种存储介质,存储介质存储有多条指令,指令用于由处理器加载并执行前述的防止木马破坏共享文件的方法。
另外,本申请实施例还提供一种电子设备,其包括存储介质和处理器;处理器用于实现各指令,存储器则用于存储多条指令,而指令适用于由处理器加载并执行前述的防止木马破坏共享文件的方法。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求防护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求防护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的防止木马破坏共享文件的方法、装置以及存储介质、电子设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种防止木马破坏共享文件的方法,其特征在于,包括:
获取对共享文件夹的访问操作;
判断所述访问操作是否为预定操作;
在所述访问操作为所述预定操作的情况下,确定发起所述访问操作的用户终端;
降低所述用户终端的访问操作权限至预定访问操作权限。
2.根据权利要求1所述的防止木马破坏共享文件的方法,其特征在于,
所述预定操作为写入操作;所述写入操作为:
更改已经存储在所述共享文件夹中文件的后缀名的操作,或者,
删除所述共享文件夹中已经存储的文件的同时,在所述共享文件夹中增加与所述第一文件名称相同但后缀名不同的文件的操作;或者,
对所述共享文件夹中文件进行加密的操作。
3.根据权利要求2所述的防止木马破坏共享文件的方法,其特征在于,在判断所述访问操作为所述预定操作后,还包括:
扫描所述访问操作对应的文件;
在判定所述文件包含木马程序的情况下,修复、删除或者隔离所述访问操作对应的文件;或者,
在判定访问操作将对应的文件加密的情况下,解密所述访问操作对应的文件。
4.根据权利要求1所述的防止木马破坏共享文件的方法,其特征在于,
获取对共享文件夹的访问操作,包括:
采用Audit组件获取用户终端对共享文件夹的访问操作。
5.根据权利要求1所述的防止木马破坏共享文件的方法,其特征在于,
确定发起所述访问操作的用户终端,包括:
查询发起所述访问操作的用户ID;
根据所述用户ID查询对应的IP地址、MAC地址或者用户名称,将所述IP地址、所述MAC地址或者所述用户名称对应的终端作为所述用户终端。
6.根据权利要求1所述的防止木马破坏共享文件的方法,其特征在于,
降低所述用户终端的访问操作权限至预定访问操作权限,包括:
停止所述用户终端对所述共享文件夹的访问,或者阻断所述用户终端对所述共享文件夹所在服务器的访问。
7.根据权利要求1-6任一项所述的防止木马破坏共享文件的方法,其特征在于,
在所述访问操作为所述预定操作的情况下,确定发起所述访问操作的用户终端,包括:
在所述访问操作为所述预定操作的情况下,扫描并判定所述预定操作对应的文件是否包括木马程序,或者判定所述预定操作对应的文件是否被所述访问操作加密;
在所述文件包括木马程序或者被所述访问操作加密的情况下,确定发起所述访问操作的用户终端。
8.一种防止木马破坏共享文件的装置,其特征在于,包括:
记录单元,用于获取对共享文件夹的访问操作;
第一判断单元,用于判断所述访问操作是否为预定操作;
查找单元,用于在所述访问操作为所述预定操作的情况下,确定发起所述访问操作的用户终端;
权限调整单元,用于降低所述用户终端的访问操作权限至预定访问操作权限。
9.一种介质,其特征在于,所述介质为存储介质;所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行如权利要求1-7中任一项所述的防止木马破坏共享文件的方法。
10.一种电子设备,其特征在于,所述电子设备包括存储介质和处理器;
所述处理器,适于实现各指令;
所述存储介质,适于存储多条指令;
所述指令适于由所述处理器加载并执行如权利要求1-7中任一项防止木马破坏共享文件的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910123248.XA CN111581660A (zh) | 2019-02-18 | 2019-02-18 | 防止木马破坏共享文件的方法和装置,介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910123248.XA CN111581660A (zh) | 2019-02-18 | 2019-02-18 | 防止木马破坏共享文件的方法和装置,介质和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111581660A true CN111581660A (zh) | 2020-08-25 |
Family
ID=72125970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910123248.XA Pending CN111581660A (zh) | 2019-02-18 | 2019-02-18 | 防止木马破坏共享文件的方法和装置,介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111581660A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844669A (zh) * | 2022-03-17 | 2022-08-02 | 中国工商银行股份有限公司 | 数据的处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1987884A (zh) * | 2005-12-19 | 2007-06-27 | 国际商业机器公司 | 用于对资源内容进行访问控制的方法和系统 |
| KR20120128412A (ko) * | 2011-05-17 | 2012-11-27 | 주식회사 링크 | 네트워크 파일 시스템 제어 장치 및 그 방법 |
| CN103108009A (zh) * | 2011-11-14 | 2013-05-15 | 腾讯科技(深圳)有限公司 | 基于离线空间的文件共享方法及装置 |
| CN105450750A (zh) * | 2015-12-01 | 2016-03-30 | 成都汇合乾元科技有限公司 | 智能终端安全交互方法 |
| CN106998329A (zh) * | 2017-03-31 | 2017-08-01 | 腾讯科技(深圳)有限公司 | 文件共享方法及装置 |
-
2019
- 2019-02-18 CN CN201910123248.XA patent/CN111581660A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1987884A (zh) * | 2005-12-19 | 2007-06-27 | 国际商业机器公司 | 用于对资源内容进行访问控制的方法和系统 |
| KR20120128412A (ko) * | 2011-05-17 | 2012-11-27 | 주식회사 링크 | 네트워크 파일 시스템 제어 장치 및 그 방법 |
| CN103108009A (zh) * | 2011-11-14 | 2013-05-15 | 腾讯科技(深圳)有限公司 | 基于离线空间的文件共享方法及装置 |
| CN105450750A (zh) * | 2015-12-01 | 2016-03-30 | 成都汇合乾元科技有限公司 | 智能终端安全交互方法 |
| CN106998329A (zh) * | 2017-03-31 | 2017-08-01 | 腾讯科技(深圳)有限公司 | 文件共享方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844669A (zh) * | 2022-03-17 | 2022-08-02 | 中国工商银行股份有限公司 | 数据的处理方法及装置 |
| CN114844669B (zh) * | 2022-03-17 | 2024-01-30 | 中国工商银行股份有限公司 | 数据的处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10664602B2 (en) | Determining malware prevention based on retrospective content scan | |
| US11611586B2 (en) | Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots | |
| US12079340B2 (en) | Cloud based just in time memory analysis for malware detection | |
| US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
| US8719935B2 (en) | Mitigating false positives in malware detection | |
| US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
| US7533413B2 (en) | Method and system for processing events | |
| US7591016B2 (en) | System and method for scanning memory for pestware offset signatures | |
| US11520886B2 (en) | Advanced ransomware detection | |
| CN104820801A (zh) | 一种保护指定应用程序的方法及装置 | |
| US8458789B1 (en) | System, method and computer program product for identifying unwanted code associated with network communications | |
| EP3682332B1 (en) | Method and apparatus for erasing or writing flash data | |
| CN115221524B (zh) | 业务数据保护方法、装置、设备及存储介质 | |
| US20180026986A1 (en) | Data loss prevention system and data loss prevention method | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| US20080028462A1 (en) | System and method for loading and analyzing files | |
| US8578495B2 (en) | System and method for analyzing packed files | |
| CN111581660A (zh) | 防止木马破坏共享文件的方法和装置,介质和电子设备 | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| US11928205B1 (en) | Systems and methods for implementing cybersecurity using blockchain validation | |
| US11822647B1 (en) | Data structure for trust store | |
| WO2023167946A1 (en) | Systems and methods for generating trust binaries |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |