CN111639336A - 基于文件系统虚拟读写的勒索软件实时检测方法和防御方法 - Google Patents

Abstract

本发明提供一种基于文件系统虚拟读写的勒索软件实时检测方法和防御方法，属于系统安全技术领域，用于实时检测勒索软件并保护主机系统免受勒索软件的危害，主要通过对系统中可疑程序的读写操作进行虚拟化，在虚拟化磁盘中对写入内容进行考察，进一步地判断是否是勒索软件，提升主机系统的实时预警和主动防御能力，能够在低损耗，零损失的条件下实现对勒索软件进行高准确率的实时检测和终止，保护用户和企业的数据与财产安全。

Description

基于文件系统虚拟读写的勒索软件实时检测方法和防御方法

技术领域

本发明涉及系统安全技术领域及网络空间安全领域，是针对勒索软件，特别是文件加密 型勒索软件的实时监测方法和防御方法，更具体地，是一种基于文件系统虚拟读写的勒索软 件实时检测方法和防御方法。

背景技术

勒索软件是一类借助于社会工程学手段或者在野的nday漏洞进行感染和传播的以勒索 钱财为目的的恶意软件。2017年的Wannacry勒索软件利用MS17-010漏洞进行攻击，全球近 150多个国家和地区，超过了30万台电脑受到了感染，直接造成了80多亿的经济损失。在 近两年来，随着虚拟货币的价格迅速上涨，由于其匿名性和隐蔽性又为恶意代码的发展提供 了可靠的经济来源方式，经济利益的驱使使得恶意代码产业链循序革新和迭代。据McAfee的 2018年度11月份威胁报告显示，勒索软件和挖矿程序数量在近两年内数量迅速增长，特别 是勒索软件数量呈现爆发式的增长。如今的勒索软件趋于框架化、服务化、定制化，降低了 犯罪分析的技术门槛，更加重了其威胁程度。可以预见在未来，勒索软件的攻击方式、攻击 目标、传播方法、种类和数量都会呈现增长的趋势。

用户网络安全意识防护意识的薄弱也是勒索软件屡屡得逞的重要原因。一方面，用户缺 少平时备份文件的意识，一旦重要文件被加密，只能通过交付巨额的勒索赎金避免造成更大 的数据损失。另一方面，很多用户对网络攻击的防范意识薄弱，传统的钓鱼攻击依然奏效、 对出现很久的安全漏洞未进行修复，使得勒索软件得以广泛传播。

根据勒索软件勒索方式的不同，可以分为锁定型和加密型。锁定型勒索软件一般通过锁 定系统，让用户无法正常进入系统使用进行勒索。加密型勒索软件即利用复杂且强度高的密 码算法加密用户的文件、磁盘驱动等进行勒索。其中锁定型可以采用恢复系统或清理磁盘等 方法解决，相比之下加密型勒索软件更难以清楚，所以加密型勒索软件一般是网络犯罪集团 的首选，也是现在最为严重的威胁。文件加密型勒索软件进入用户的系统之后，首先会遍历 磁盘目录和文件，选择符合加密的文件类型进行操作，通过重写文件内容、替换文件的方式 进行加密，使用户无法正常使用。

目前对勒索软件的检测有静态检测和动态检测，静态检测是提取二进制文件的特征码与 特征库中的特征码进行匹配，来判断是否是已经出现的勒索软件。虽然静态检测速度快、准 确率高，但是样本库的维护需要投入大量的人力和物力，并且对新出现的勒索软件没有任何 的防范能力。动态检测一般采用设置陷阱文件或者通过监控系统操作两种方式实现。其中设 置陷阱文件的方式是在文件系统中插入的陷阱文件会被正常进程遍历访问到，由于文件格式 和内容与程序期望格式的存在差距，所以会给正常进程带来很多不可预知的后果；同时正常 用户程序也可能会修改陷阱文件造成检测的误报。目前提出的基于系统监控的方法，都会在 系统中插入大量的HOOK，严重的影响了系统的性能的同时在实时性、准确率上也存在问题， 缺陷十分明显。

发明内容

为了解决上述问题，本发明提出了一种基于文件系统虚拟读写的勒索软件实时检测方法 和防御方法，以及一种基于文件系统虚拟读写的勒索软件实时检测和防御系统，通过对系统 中可疑程序的读写操作进行虚拟化，在虚拟化磁盘中对写入内容进行考察，进一步地判断是 否是勒索软件，提升主机系统的实时预警和主动防御能力。

本发明采用的技术方案如下：

一种基于文件系统虚拟读写的勒索软件实时检测方法，包括以下步骤：

在主机系统的内核层，利用文件系统过滤驱动对发起文件遍历请求的进程记录其进程号；

记录该进程接下来的所有文件操作，如果具有重复性的写入文件操作和删除或重命名文 件操作，则将该进程加入灰名单中；

对灰名单中的进程的文件操作请求进行虚拟化，主要步骤是以操作请求中的文件路径作 为索引，以文件的其他相关信息，包括文件属性、文件全路径、本次操作的类型、操作者、 删除标记构成的结构体等，作为值存储到HashMap中，并在内存虚拟磁盘中执行写入、删除、 重命名等文件操作；

从灰名单中筛选出文件操作频率大于预设临界值的进程，计算该进程在内存虚拟磁盘中 写入的文件的香农熵值，并结合文件二进制格式系数，计算加权均值文件熵值；

根据该进程在内存虚拟磁盘中发生的写入文件操作的总数与删除和重命名文件操作的总 数，计算行为可疑度；

根据加权均值文件熵值和行为可疑度，计算可疑性度量，如果可疑性度量超过预设阈值， 则判定该进程对应的软件为勒索软件。

进一步地，判断是否具有重复性的写文件操作和删除或重命名文件操作的方法为：统计 进程在接下来的一段时间内的所有文件操作，统计写文件操作和删除或重命名文件操作的重 复发生次数，如果次数大于一设定的阈值，则判定具有重复性的写文件操作和删除或重命名 文件操作。

进一步地，对于发起当前文件操作的一进程，获取文件操作请求的文件路径，判断该文 件路径是否在HashMap中。

进一步地，如果文件路径在HashMap中，读取hash位置存储的数据并判断是否有删除 标记，如果有，则直接返回文件不存在，否则将文件操作请求下发给内存虚拟磁盘驱动，执 行文件操作。

进一步地，如果文件路径不在HashMap中，则判断该进程是否在灰名单中，如果该进程 不在灰名单中，或者该进程在灰名单中且为读取文件操作请求，则将文件操作请求直接下发 给下层的物理磁盘驱动执行相应的文件操作。

进一步地，如果件路径不在HashMap中，且该进程在灰名单中，则执行下述步骤：

如果是写入文件或修改文件属性的操作请求，则先判断物理磁盘上是否存在该文件，如 果存在该文件，则将该文件拷贝入内存虚拟磁盘中，然后向内存虚拟磁盘驱动下发该操作请 求，再在HashMap中对应的hash位置存储该文件名、该操作的类型以及操作者；

如果是创建文件的操作请求，则对该操作请求的文件路径做切割，依照路径递归地向虚 拟磁盘驱动下发该操作请求；

如果是删除文件操作请求，则先判断物理磁盘上是否存该文件，如果不存在该文件，则 直接返回文件不存在，如果存在该文件，则在HashMap中对应的hash位置存储该文件名、该 文件被删除的标记以及操作者，返回删除文件成功。

一种基于文件系统虚拟读写的勒索软件实时防御方法，基于上述的一种基于文件系统虚 拟读写的勒索软件实时检测方法，包括以下步骤：

如果进程对应的软件被判定是勒索软件，则先挂起该进程的所有文件操作，并暂停该进 程所有的线程，并通知用户；

如果用户认定其为勒索软件，则终止该进程，并清空内存虚拟磁盘的操作缓存和HashMap 的数据记录；

如果进程对应的程序被判定不是勒索软件，或者上述被判定的勒索软件被用户认定为正 常程序，则将其进程从灰名单中清除，并放行该进程的文件操作，恢复该进程的所有线程， 并且将内存虚拟磁盘上缓存的文件操作都写入真实的物理磁盘，同时清空HashMap。

进一步地，对于被判定的勒索软件，将其进程的文件操作请求添加到请求等待队列中， 返回等待处理状态，并依次遍历该进程的所有线程并暂停所有线程。

进一步地，对于被用户认定的勒索软件，递归地终止该进程及其所有子进程，清除该进 程在文件操作请求在等待队列中的数据；并将该进程从灰名单中清除，删除该进程在内存虚 拟磁盘中的所有文件操作，同时清空HashMap。

一种基于文件系统虚拟读写的勒索软件实时检测和防御系统，包括文件操作监控模块、 文件系统虚拟读写模块、勒索软件判别模块、告警和阻断模块和清空模块；其中，

文件操作监控模块，用于在主机系统的内核层，利用文件系统过滤驱动对发起文件遍历 请求的进程记录其进程号，并记录该进程接下来的所有文件操作，如果具有重复性的写入文 件操作和删除或重命名文件操作，则将该进程加入灰名单中；

文件系统虚拟读写模块，用于对灰名单中的进程的文件操作请求进行过滤；对写入文件 操作请求和文件属性修改操作请求进行虚拟化，将产生的文件操作的结果缓存到内存虚拟磁 盘中，并在HashMap中对文件名和产生的修改进行记录；对删除文件操作请求进行虚拟化， 仅在HashMap中记录被删除的文件；

勒索软件判别模块，用于从灰名单中筛选出文件操作频率大于预设临界值的进程，计算 该进程在内存虚拟磁盘中写入的文件的香农熵值，并结合文件二进制格式系数，计算加权均 值文件熵值；根据该进程在内存虚拟磁盘中发生的写入文件操作的总数与删除和重命名文件 操作的总数，计算行为可疑度；根据加权均值文件熵值和行为可疑度，计算可疑性度量，如 果可疑性度量超过预设阈值，则判定该进程对应的软件为勒索软件；将判定的勒索软件交给 告警和阻断模块，将非勒索软件交给清空模块；

告警和阻断模块，用于对被判定的勒索软件，首先挂起其进程的所有文件操作，暂停该 进程的所有线程，并向用户用桌面弹框的方式发送勒索软件进程警告；如果其被用户认定为 勒索软件，则终止该进程，并清空内存虚拟磁盘的操作缓存和HashMap的数据记录；如果其 被用户认定为正常程序，则将其进程发送给清空模块；

清空模块，用于对被判定的非勒索软件或被用户认可的正常程序，首先放行其进程的所 有文件操作，恢复该进程的所有线程，并且将内存虚拟磁盘上缓存的文件操作都写入真实的 物理磁盘，同时清空HashMap。

由上述技术方案可知，本发明的方法和系统能够在低损耗零损失的条件下实现对勒索软 件进行高准确率的实时检测和终止，保护用户和企业的数据与财产安全。

附图说明

图1为实施例的勒索软件实时检测和防御系统结构示意图。

图2为实施例的勒索软件实时检测和防御系统的模块工作流程图。

图3为文件系统虚拟读写模块的工作流程图。

图4为清空模块的工作流程图。

具体实施方式

为使本发明的技术方案能更明显易懂，特举实施例并结合附图详细说明如下。

本实施例公开一种基于文件系统虚拟读写的勒索软件实时检测和防御系统，其结构如图 1所示。其中实线矩形框内为本系统的各个基本组成模块，其他的实线框部分是为实现五大 模块之间的通信而设计的数据存储结构。另外，在图1中实线箭头表示控制流，空心方框箭 头表示数据流。五个模块的工作流程如图2所示，下面以模块为单位介绍上述检测方法的具 体实现步骤。

文件系统监控模块的工作步骤如下：

步骤1：在某时刻t，内核层的文件系统过滤驱动发现某进程发起了文件遍历请求，则记 录此进程的进程号p。

步骤2：根据文件修改方式的不同，可以将加密型勒索软件的行为模式分为三类：第一类 是读取文件到内存中，完成对文件内容的加密后将加密数据直接覆盖到原文件位置上，最后 对文件进行重命名；第二类是读取文件内容，将加密后的文件写入到相同路径下的一个新文 件，然后删除原文件；第三类是读取原文件，然后删除源文件，最后将加密的内容写入同路 径下的新文件中。所以，需要判断进程接下来是否具有重复性的同时写文件操作和删除或重 命名文件操作。统计进程p在接下来的Δt的时间内所有的文件操作，将文件操作按时间的顺 序进行排列，统计操作模式<读取,写入,重命名或删除>重复发生的次数q。为了提高准确率， 可以适当调整Δt的大小。

步骤3：如果q大于设定的阈值，则将进程p加入灰名单中，否则不再关注p进程。

文件系统虚拟读写模块的工作步骤如附图3所示，具体的流程如下：

步骤1：读取进程灰名单列表<p1,p2,…,pn>，记此集合为P，获取发起当前操作的进程号 记做p。

步骤2：过滤文件操作请求，获取此请求操作的文件路径，如果此文件路径已存储在 HashMap中则转到步骤4，否则转到步骤3。将虚拟化的操作以HashMap的形式进行存储，方便其他程序发起请求时进行检索，以防止系统中的其他进程进行文件操作时发生不一致的 问题。

步骤3：判断p是否属于P，如果p∈P则转到步骤5，否则转到步骤6。

步骤4：在HashMap中读取以此文件路径作为索引的位置存储的数据，如果此文件有被 删除的标记，直接返回文件不存在，否则将此请求直接下发给内存虚拟磁盘驱动。

步骤5：读取本次文件操作的类型，根据文件操作请求种类的不同，分为如下几种：

步骤5.1：如果是文件读取请求，直接将请求下发给下层的磁盘驱动，结束处理。

步骤5.2：如果是文件写入请求或文件属性修改请求，先判断物理磁盘上是否存在此文件， 如果有此文件，就将此文件拷贝入内存虚拟磁盘中，然后向内存虚拟磁盘驱动下发此文件请 求，最后在HashMap中存储以文件路径为索引，以此文件名以及本次操作的类型以及操作者 p为值的数据，结束处理。

步骤5.3：如果是文件创建请求，就对请求的文件路径做切割，依照路径递归的向虚拟磁 盘驱动下发此文件创建请求，最后在HashMap中存储以文件路径为索引，以此文件名以及本 次操作的类型以及操作者p为值的数据，结束处理。

步骤5.4：如果是文件删除请求，先判断物理磁盘上是否存此文件，如果没有此文件，直 接返回文件不存在，否则在HashMap中存储文件路径为索引，以此文件名、本文件被删除的 标记以及操作者p为值得数据，返回文件删除成功，结束处理。

步骤6：将此文件操作请求直接下发给下层的物理磁盘驱动，结束处理。

勒索软件判别模块的工作流程如下：

步骤1：读取进程灰名单列表<p1,p2,…,pn>，记此集合为P，遍历此集合依次获取需要判 别的进程，记做p。

步骤2：从内存虚拟磁盘获取进程p在一段时间ω内的所有文件操作，记总数为

则可 以计算时间ω的时间段中的文件操作频率

如果υ小于临界值ε，则将此进程发送到清 空模块，继续遍历下一个进程，否则进入步骤3。此处为了降低漏报率，可以给ε选一个尽可 能小的值，这里选取为200次/秒。

步骤3：文件香农熵Ε是介于0到8之间的一个值，利用如下公式分别计算内存虚拟磁 盘中该进程写入的所有文件的香农熵值：

其中P_i是字节值i在文件所有的字节数组中出现的频率。按照上述公式计算出内存虚拟 磁盘n个文件的熵值为Ε_i。

步骤4：由于考虑到勒索软件对文件进行加密后会破坏原有文件的组织格式，所以在这 里还需要为每个文件的熵值添加系数ε_i，ε_i的值由下面方式确定：

α是一个参数，取值在(0,1)之间，这里取值为0.8。

步骤5：计算加权均值文件熵值

此值取值范围是[0,8]，计算公式如下。

步骤6：记该进程在内存虚拟磁盘中发生的所有操作中写入操作总数是为β，删除操作和 重命名操作的总数为γ，则行为可疑度Ф可以用如下的公式计算。

Ф的取值范围也在是[0,8]之间。

步骤7：根据加权均值文件熵值

和行为可疑度Ф计算进程p的可疑性度量M(p)，计算 公式如下。

γ₁和γ₂代表行为可疑度Ф和加权均值文件熵值

两个评测指标在最终的可疑性度量中所 占的比重，为了不失一般性，此处设定γ₁＝γ₂＝1，根据计算得到的进程p的可疑性度量M(p)。 如果此可疑程度高于门限值α，这里取值为6.6，则判定此程序为勒索软件，将此进程发送给 告警和阻断模块，最终由用户决定进程p是否是恶意程序；如果低于门限值α则认为此进程 是合法的，将此进程发送给清空模块。最后将p从P集合中删除。

步骤8：重复以上步骤，直到灰名单为空。

一种基于文件系统虚拟读写的勒索软件实时防御方法，基于上述的一种基于文件系统虚 拟读写的勒索软件实时检测方法，包括以下步骤：

告警和阻断模块的工作流程如下：

步骤1：获取勒索软件判别模块判定为勒索软件的进程，记此进程的进程号为p。

步骤2：对文件操作进行过滤，发现文件操作请求是由进程p发起的，则将此请求添加 到请求等待队列中，返回等待处理状态。

步骤3：依次遍历此进程的所有线程并暂停所有线程。

步骤4：通过桌面弹框的方式向用户发送勒索软件告警，等待用户处理。如果用户在一分 钟内还没有进行处理，则断定此程序为恶意。如果用户选择信任此程序，则判定此程序为良 性。

步骤5：将此进程的信息发送到清空模块。

清空模块的工作步骤如附图4所示，具体的工作流程如下：

步骤1：获取需要清空的进程的信息，如果该进程是由勒索软件判别模块发送来的，转到 步骤2；如果是告警和阻断模块发送来的，转到步骤3。

步骤2：将此进程从灰名单中清除，转到步骤7。

步骤3：如果此进程被用户判定为勒索软件，则转到步骤4，否则转到步骤5。

步骤4：找到此进程的进程号，递归的终止此进程以及所有子进程，清除此进程在文件操 作请求等待队列中数据，然后转到步骤8。

步骤5：将此进程从灰名单中清除，然后遍历此进程的所有子线程，恢复子线程的执行。

步骤6：遍历文件操作请求队列，依次响应所有由该进程发起的所有请求。

步骤7：将此进程在内存虚拟磁盘内缓存的文件操作都写入真实的物理磁盘，同时删除 对应的HashMap表中的内容，结束处理。

步骤8：将此进程从灰名单中清除，删除此进程在内存虚拟磁盘中的所有操作，同时删除 对应的HashMap表中的内容，结束处理。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可 以对本发明的技术方案进行修改或者等同替换，本发明的保护范围以权利要求所述为准。

Claims (10)

1.一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，包括以下步骤：

在主机系统的内核层，利用文件系统过滤驱动对发起文件遍历请求的进程记录其进程号；

记录该进程接下来的所有文件操作，如果具有重复性的写入文件操作和删除或重命名文件操作，则将该进程加入灰名单中；

对灰名单中的进程的文件操作请求进行虚拟化，主要是以操作请求中的文件路径作为索引，文件的其他相关信息作为值存储到HashMap中，并在内存虚拟磁盘中执行文件操作，该文件操作包括写入、删除、重命名；

从灰名单中筛选出文件操作频率大于预设临界值的进程，计算该进程在内存虚拟磁盘中写入的文件的香农熵值，并结合文件二进制格式系数，计算加权均值文件熵值；

根据该进程在内存虚拟磁盘中发生的写入文件操作的总数与删除和重命名文件操作的总数，计算行为可疑度；

根据加权均值文件熵值和行为可疑度，计算可疑性度量，如果可疑性度量超过预设阈值，则判定该进程对应的软件为勒索软件。

2.如权利要求1的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，判断是否具有重复性的写入文件操作和删除或重命名文件操作的方法为：统计进程在接下来的一段时间内的所有文件操作，统计写入文件操作和删除或重命名文件操作的重复发生次数，如果次数大于一设定的阈值，则判定具有重复性的写入文件操作和删除或重命名文件操作。

3.如权利要求1的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，对于发起当前文件操作的一进程，获取文件操作请求的文件路径，判断该文件路径是否在HashMap中。

4.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果文件路径在HashMap中，读取以该文件路径作为索引的位置所存储的数据，并判断该数据是否有删除标记，如果有，则直接返回文件不存在，否则将文件操作请求下发给内存虚拟磁盘驱动，执行文件操作。

5.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果文件路径不在HashMap中，则判断该进程是否在灰名单中，如果该进程不在灰名单中，或者该进程在灰名单中且为读取文件操作请求，则将文件操作请求直接下发给下层的物理磁盘驱动执行相应的文件操作。

6.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果件路径不在HashMap中，且该进程在灰名单中，则执行下述步骤：

如果是写入文件或修改文件属性的操作请求，则先判断物理磁盘上是否存在该文件，如果存在该文件，则将该文件拷贝入内存虚拟磁盘中，然后向内存虚拟磁盘驱动下发该操作请求，再在HashMap中对应的hash位置存储该文件名、该操作的类型以及操作者；

如果是创建文件的操作请求，则对该操作请求的文件路径做切割，依照路径递归地向虚拟磁盘驱动下发该操作请求；

如果是删除文件操作请求，则先判断物理磁盘上是否存该文件，如果不存在该文件，则直接返回文件不存在，如果存在该文件，则在HashMap中对应的hash位置存储该文件名、该文件被删除的标记以及操作者，返回删除文件成功。

7.一种基于文件系统虚拟读写的勒索软件实时防御方法，基于上述权利要求1-6任一项所述的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，包括以下步骤：

如果进程对应的软件被判定是勒索软件，则先挂起该进程的所有文件操作，并暂停该进程所有的线程，并通知用户；

如果用户认定其为勒索软件，则终止该进程，并清空内存虚拟磁盘的操作缓存和HashMap的数据记录；

如果进程对应的程序被判定不是勒索软件，或者上述被判定的勒索软件被用户认定为正常程序，则将其进程从灰名单中清除，并放行该进程的文件操作，恢复该进程的所有线程，并且将内存虚拟磁盘上缓存的文件操作都写入真实的物理磁盘，同时清空HashMap。

8.如权利要求7的一种基于文件系统虚拟读写的勒索软件实时防御方法，其特征在于，对于被判定的勒索软件，将其进程的文件操作请求添加到请求等待队列中，返回等待处理状态，并依次遍历该进程的所有线程并暂停所有线程。

9.如权利要求7的一种基于文件系统虚拟读写的勒索软件实时防御方法，其特征在于，对于被用户认定的勒索软件，递归地终止该进程及其所有子进程，清除该进程在文件操作请求在等待队列中的数据；并将该进程从灰名单中清除，删除该进程在内存虚拟磁盘中的所有文件操作，同时清空HashMap。

10.一种基于文件系统虚拟读写的勒索软件实时检测和防御系统，其特征在于，包括文件操作监控模块、文件系统虚拟读写模块、勒索软件判别模块、告警和阻断模块和清空模块；其中，

文件操作监控模块，用于在主机系统的内核层，利用文件系统过滤驱动对发起文件遍历请求的进程记录其进程号，并记录该进程接下来的所有文件操作，如果具有重复性的写入文件操作和删除或重命名文件操作，则将该进程加入灰名单中；

文件系统虚拟读写模块，用于对灰名单中的进程的文件操作请求进行过滤；对写入文件操作请求和文件属性修改操作请求进行虚拟化，将产生的文件操作的结果缓存到内存虚拟磁盘中，并在HashMap中对文件名和产生的修改进行记录；对删除文件操作请求进行虚拟化，仅在HashMap中记录被删除的文件；

勒索软件判别模块，用于从灰名单中筛选出文件操作频率大于预设临界值的进程，计算该进程在内存虚拟磁盘中写入的文件的香农熵值，并结合文件二进制格式系数，计算加权均值文件熵值；根据该进程在内存虚拟磁盘中发生的写入文件操作的总数与删除和重命名文件操作的总数，计算行为可疑度；根据加权均值文件熵值和行为可疑度，计算可疑性度量，如果可疑性度量超过预设阈值，则判定该进程对应的软件为勒索软件；将判定的勒索软件交给告警和阻断模块，将非勒索软件交给清空模块；

告警和阻断模块，用于对被判定的勒索软件，首先挂起其进程的所有文件操作，暂停该进程的所有线程，并向用户用桌面弹框的方式发送勒索软件进程警告；如果其被用户认定为勒索软件，则终止该进程，并清空内存虚拟磁盘的操作缓存和HashMap的数据记录；如果其被用户认定为正常程序，则将其进程发送给清空模块；

清空模块，用于对被判定的非勒索软件或被用户认可的正常程序，首先放行其进程的所有文件操作，恢复该进程的所有线程，并且将内存虚拟磁盘上缓存的文件操作都写入真实的物理磁盘，同时清空HashMap。

Images