CN111651414A - 监控文档被打开的方法、存储介质 - Google Patents
监控文档被打开的方法、存储介质 Download PDFInfo
- Publication number
- CN111651414A CN111651414A CN202010302790.4A CN202010302790A CN111651414A CN 111651414 A CN111651414 A CN 111651414A CN 202010302790 A CN202010302790 A CN 202010302790A CN 111651414 A CN111651414 A CN 111651414A
- Authority
- CN
- China
- Prior art keywords
- file
- monitoring
- directory
- opened
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 49
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000004590 computer program Methods 0.000 claims description 6
- 238000011161 development Methods 0.000 abstract description 5
- 238000012423 maintenance Methods 0.000 abstract description 5
- 208000032826 Ring chromosome 3 syndrome Diseases 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6272—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database by registering files or documents with a third party
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Human Computer Interaction (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种监控文档被打开的方法、存储介质,方法包括:创建一一对应各个系统磁盘的监控程序;若监控程序监控到一文件被创建,则获取所述一文件所在的目录;获取所述目录中的系统隐藏文件;解析所述系统隐藏文件的文件名,获取对应的路径;若所述路径对应的文件存在,则判定所述文件被打开。本发明能监控到计算机上的文件被打开;且不用安装驱动服务,因此具有易于实现、兼容性强、安全性高、维护简单、开发成本低和易于推广等优点。
Description
技术领域
本发明涉及资料安全领域,具体涉及监控文档被打开的方法、存储介质。
背景技术
在技术领域中,常常需要用到拦截和监控技术。目前Windows系统上常用的文件拦截监控技术有:文件过滤驱动、钩子和使用windows的api。现有技术中若想监控一文件的打开,如office文件的打开,一般使用文件过滤驱动和钩子来实现。但是文件过滤驱动需要开发系统驱动,因而具有复杂度高、需要安装系统驱动和杀毒软件的问题,另外,也容易与第三方驱动冲突,导致兼容性问题,因此维护较困难,开发代价也较高。Hook钩子技术也比较常用,但也存在安全性问题、杀毒软件拦截问题、被系统或第三方安全程序报病毒风险等问题。因此,现有技术的监控方式不利于技术的使用和推广。
发明内容
本发明所要解决的技术问题是:提供一种监控文档被打开的方法、存储介质,无需安装驱动服务,且安全性和兼容性高。
为了解决上述技术问题,本发明采用的技术方案为:
一种监控文档被打开的方法,包括:
创建一一对应各个系统磁盘的监控程序;
若监控程序监控到一文件被创建,则获取所述一文件所在的目录;
获取所述目录中的系统隐藏文件;
解析所述系统隐藏文件的文件名,获取对应的路径;
若所述路径对应的文件存在,则判定所述文件被打开。
本发明提供的另一个技术方案为:
一种计算机可读存储介质,其上存储有计算机程序,所述程序在被处理器执行时,能够实现上述一种监控文档被打开的方法所包含的步骤。
本发明的有益效果在于:本发明基于文件被打开后,系统将会“创建缓存”的特性,通过从缓存中提取文件的创建“记录”,实现文档被打开的监控;同时,结合在windows系统的ring3层文件创建监控服务,最终实现准确地监控文档被打开,且具有易于实现、兼容性强、安全性高、维护简单、开发成本低和易于推广等优点。
附图说明
图1为本发明一实施例一种监控文档被打开的方法的流程示意图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
本发明最关键的构思在于:利用windows系统的ring3层文件创建监控服务监控文档被打开后系统创建的缓存,据此解析出是哪一个文件被打开。
请参照图1,本发明提供一种监控文档被打开的方法,包括:
创建一一对应各个系统磁盘的监控程序;
若监控程序监控到一文件被创建,则获取所述一文件所在的目录;
获取所述目录中的系统隐藏文件;
解析所述系统隐藏文件的文件名,获取对应的路径;
若所述路径对应的文件存在,则判定所述文件被打开。
进一步地,获取所述目录中的系统隐藏文件,具体为:
在所述目录中查找第一个字符为~符号,第二个字符为$符号的系统隐藏文件。
由上述描述可知,依据系统隐藏文件的文件名中位于指定位置的特定符号,便可准确、快速地锁定系统隐藏文件。
进一步地,所述所述解析所述系统隐藏文件的文件名,获取对应的路径,具体为:
剔除所述第一个字符和第二个字符,获取剩余的路径参数。
由上述描述可知,依据缓存中系统隐藏文件的文件名隐含文件路径的特性,能够快速解析准确获取文件的路径。
进一步地,所述方法包括:
发送所述文件被打开的提示消息至指定方。
由上述描述可知,能够具备通知到指定方的功能。
进一步地,所述若监控程序监控到一文件被创建,则获取所述一文件所在的目录,具体为:
监控程序监控到一文件被操作后,发送对应所述一文件的通知消息,所述通知消息包括所述一文件的路径以及所述一文件的文件操作类型;
获取文件操作类型为创建的通知消息;
依据所获取的创建消息中的路径,获取所述一文件所在的目录。
由上述描述可知,能过滤掉无关的通知消息,而仅获取文件被创建的通知消息进行处理,从而提高处理效率。
进一步地,所述一文件为office格式文件。
由上述描述可知,特别适用于对office格式文档的打开进行有效监控。
本发明提供的另一个技术方案为:
一种计算机可读存储介质,其上存储有计算机程序,所述程序在被处理器执行时,能够实现下述监控文档被打开的方法所包含的步骤:
创建一一对应各个系统磁盘的监控程序;
若监控程序监控到一文件被创建,则获取所述一文件所在的目录;
获取所述目录中的系统隐藏文件;
解析所述系统隐藏文件的文件名,获取对应的路径;
若所述路径对应的文件存在,则判定所述文件被打开。
进一步地,获取所述目录中的系统隐藏文件,具体为:
在所述目录中查找第一个字符为~符号,第二个字符为$符号的系统隐藏文件。
进一步地,所述所述解析所述系统隐藏文件的文件名,获取对应的路径,具体为:
剔除所述第一个字符和第二个字符,获取剩余的路径参数。
进一步地,所述方法包括:
发送所述文件被打开的提示消息至指定方。
进一步地,所述若监控程序监控到一文件被创建,则获取所述一文件所在的目录,具体为:
监控程序监控到一文件被操作后,发送对应所述一文件的通知消息,所述通知消息包括所述一文件的路径以及所述一文件的文件操作类型;
获取文件操作类型为创建的通知消息;
依据所获取的创建消息中的路径,获取所述一文件所在的目录。
进一步地,所述一文件为office格式文件。
从上述描述可知,对应本领域普通技术人员可以理解实现上述技术方案中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来实现的,所述的程序可存储于一计算机可读取的存储介质中,该程序在执行时,可包括如上述各方法的流程。所述程序在被处理器执行后,同样能够实现对应各方法的有益效果。
其中,所述的存储介质可以是磁盘、光碟、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
实施例一
本实施例提供一种监控文档被打开的方法,本实施例以最具适用性的office 格式文档的打开监控为例进行说明。
S1:创建一一对应各个系统磁盘的监控程序;
首先,遍历获取用户的磁盘盘符,输出结果:如C:D:E:或更多;然后,通过Windows系统的API:ReadDirectoryChangesW函数针对各个盘符创建对应的监控线程,负责文件创建和目录创建的监听工作。
此时,已开始全磁盘的文件创建监听,但只能获取到文件创建的消息,而不能获取到文件被打开的消息。
S2:若用户打开一个aa.ppt文件,则系统并不会收到该文件被打开的消息,因为“打开文件”的操作系统无法监控。但是,这个文件被打开后,office应用程序将会惯常为打开这个文件创建缓存。缓存中包含了一个系统隐藏文件,这个系统隐藏文件中隐藏着这个被打来的文件的文件路径。由于缓存的创建,本质上是文件的创建,而基于上述S1,文件的创建都会被监控到,因此,我们可以从监控这个系统隐藏文件被创建的消息入手。
S3:若监控程序监控到一文件被创建,则获取所述一文件所在的目录;
具体而言,在监控到一文件被操作后,将接收到一通知消息,该通知消息中包含2个主要的数据:1、文件的路径;2、文件操作的类型。通过文件的路径可以获取文件所在目录。而文件操作的类型有:创建、编辑、删除和重命名4 种。所述通知消息具体是通过Windows系统的API:ReadDirectoryChangesW上获取的,指的是系统对任何文件的操作,都会收到通知,任何一个文件操作,将收到一通知,包括了office文档的操作,其缓存的产生,也会产生新建文件消息。本实施例只关注创建消息类型,因此,在一具体实施方式中,可以在收到通知消息后,依据其文件操作的类型来过滤掉非“创建”类型的通知消息,而对“创建”类型的通知消息进行处理,以提高处理效率。
S4:在所述目录中查找,获取所述目录中的系统隐藏文件;
具体而言,依据所述系统隐藏文件的通用文档命名规则:~$XX.ppt,即第一个字符为~符号,第二个字符为$符号,其后为缓存对应的文件名称。因此,对应上述打开的是aa.ppt这个文件,则对应该文件创建的缓存的系统隐藏文件为~$aa.ppt。
S5:解析获取到的系统隐藏文件的文件名,获取对应的路径;
具体而言,获取到这个系统隐藏文件后,则进行路径计算,即将路径中文件名的第一个和第二个个字符剔除,剩下后的路径,就是我们要监控的被打开的文件的路径参数。
S6:若所述路径对应的文件存在,则判定所述文件被打开。
通过判断路径所指文件是否存在,存在则发送文件打开消息给指定第三方,完成一次打开监控的操作记录。
在此,判断路径对应文件存在的目的在于起到校验作用,避免误判,以避免监测错误。
本实施例解决了在windows平台上只有通过安装驱动服务才能对office文档的打开进行监控的问题。提供了一种基于缓存记录,同时结合windows系统的ring3层文件创建监控服务来实现准确地监控文档被打开,且具有易于实现、兼容性强、安全性高、维护简单、开发成本低、易于推广、显著提升产品稳定性等优点。
实施例二
本实施例对应实施例一,提供一具体运用场景:
1、提前启动监控服务EXE(监控服务使用实施例一提供的方法对电脑全盘 (C、D、E、F和G盘)都进行监听。
2、用户打开“XXX爷爷植树.pptx”这一文件。
3、监控服务程序响应到用户打开文件,在右上角弹出提示窗口。
针对上面第3点,监控服务程序的内部流程包括:
3.1、遍历获取系统的磁盘盘符列表,获取结果如C:D:E:F:G:等;
3.2、创建多线程,每个线程监听一个盘符;
监听接口为:ReadDirectoryChangesW接口,监听参数为:
FILE_NOTIFY_CHANGE_FILE_NAME;以及
FILE_NOTIFY_CHANGE_CREATION。目的是过滤掉其他无用操作类型(编辑、删除和重命名)的消息而只获取我们关注的文件创建消息,即所有在当前目录下被创建的文件的路径。
文件创建消息里包含了:
DWORD NextEntryOffset;
DWORD Action;
DWORD FileNameLength;
WCHAR FileName[1];
4个属性,我们只需要Action为FILE_ACTION_ADDED时的FileName 参数即可。
获取FileName解析出其中的路径,举例子为:
E:\NDCloud\Coursewares\ea1a8697-5be9-48e5-a5f5-933467b86207\~$XXX爷爷植树.pptx
上述文件在系统的文件管理器中是无法查看到的,是一个带有隐藏属性、系统文件属性2种属性的文件。
通过路径分离出~$符号,得出最终的路径为:
E:\NDCloud\Coursewares\ea1a8697-5be9-48e5-a5f5-933467b86207\XXX爷爷植树.pptx
判断文件路径所指文件是否存在,如果存在,则验证了文件被打开了。
4、至此一个打开PPT文件到被监控到该文件被打开的消息完整流程结束。
实施例三
本实施例对应实施例一和实施例二,提供一计算机可读存储介质,其上存储有计算机程序,所述程序在被处理器执行时,能够实现上述实施例一或实施例二的一种监控文档被打开的方法所包含的步骤。具体的步骤内容在此不进行复述,详情请参阅实施例一和实施例二的记载。
综上所述,本发明提供的一种监控文档被打开的方法、存储介质,能监控到计算机上的文件被打开;且不用安装驱动服务,因此具有易于实现、兼容性强、安全性高、维护简单、开发成本低和易于推广等优点。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种监控文档被打开的方法,其特征在于,包括:
创建一一对应各个系统磁盘的监控程序;
若监控程序监控到一文件被创建,则获取所述一文件所在的目录;
获取所述目录中的系统隐藏文件;
解析所述系统隐藏文件的文件名,获取对应的路径;
若所述路径对应的文件存在,则判定所述文件被打开。
2.如权利要求1所述的一种监控文档被打开的方法,其特征在于,获取所述目录中的系统隐藏文件,具体为:
在所述目录中查找第一个字符为~符号,第二个字符为$符号的系统隐藏文件。
3.如权利要求2所述的一种监控文档被打开的方法,其特征在于,所述所述解析所述系统隐藏文件的文件名,获取对应的路径,具体为:
剔除所述第一个字符和第二个字符,获取剩余的路径参数。
4.如权利要求1所述的一种监控文档被打开的方法,其特征在于,所述方法包括:
发送所述文件被打开的提示消息至指定方。
5.如权利要求1所述的一种监控文档被打开的方法,其特征在于,所述若监控程序监控到一文件被创建,则获取所述一文件所在的目录,具体为:
监控程序监控到一文件被操作后,发送对应所述一文件的通知消息,所述通知消息包括所述一文件的路径以及所述一文件的文件操作类型;
获取文件操作类型为创建的通知消息;
依据所获取的创建消息中的路径,获取所述一文件所在的目录。
6.如权利要求1所述的一种监控文档被打开的方法,其特征在于,所述一文件为office格式文件。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序在被处理器执行时,能够实现上述权利要求1-6任意一项所述的一种监控文档被打开的方法所包含的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010302790.4A CN111651414A (zh) | 2020-04-17 | 2020-04-17 | 监控文档被打开的方法、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010302790.4A CN111651414A (zh) | 2020-04-17 | 2020-04-17 | 监控文档被打开的方法、存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111651414A true CN111651414A (zh) | 2020-09-11 |
Family
ID=72343998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010302790.4A Pending CN111651414A (zh) | 2020-04-17 | 2020-04-17 | 监控文档被打开的方法、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111651414A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114186280A (zh) * | 2022-02-14 | 2022-03-15 | 统信软件技术有限公司 | 一种文件访问方法、计算设备及可读存储介质 |
CN116483294A (zh) * | 2023-06-25 | 2023-07-25 | 闪捷信息科技有限公司 | 基于Linux内核管控的打印机水印添加方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101281543A (zh) * | 2008-05-13 | 2008-10-08 | 华为技术有限公司 | 文件同步方法及装置 |
CN102521076A (zh) * | 2011-12-01 | 2012-06-27 | 浪潮电子信息产业股份有限公司 | 一种智能实时文件备份方法 |
CN102567341A (zh) * | 2010-12-09 | 2012-07-11 | 腾讯科技(深圳)有限公司 | 一种实现软件内外目录同步的方法和系统 |
US20130036359A1 (en) * | 2011-08-05 | 2013-02-07 | Bank Of America Corporation | Monitoring Implementation Module and Method of Operation |
-
2020
- 2020-04-17 CN CN202010302790.4A patent/CN111651414A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101281543A (zh) * | 2008-05-13 | 2008-10-08 | 华为技术有限公司 | 文件同步方法及装置 |
CN102567341A (zh) * | 2010-12-09 | 2012-07-11 | 腾讯科技(深圳)有限公司 | 一种实现软件内外目录同步的方法和系统 |
US20130036359A1 (en) * | 2011-08-05 | 2013-02-07 | Bank Of America Corporation | Monitoring Implementation Module and Method of Operation |
CN102521076A (zh) * | 2011-12-01 | 2012-06-27 | 浪潮电子信息产业股份有限公司 | 一种智能实时文件备份方法 |
Non-Patent Citations (1)
Title |
---|
灬重来灬: ""判断Word是否已打开"", 《HTTPS://BLOG.CSDN.NET/LIN304510260/ARTICLE/DETAILS/7940748》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114186280A (zh) * | 2022-02-14 | 2022-03-15 | 统信软件技术有限公司 | 一种文件访问方法、计算设备及可读存储介质 |
CN116483294A (zh) * | 2023-06-25 | 2023-07-25 | 闪捷信息科技有限公司 | 基于Linux内核管控的打印机水印添加方法和装置 |
CN116483294B (zh) * | 2023-06-25 | 2023-09-01 | 闪捷信息科技有限公司 | 基于Linux内核管控的打印机水印添加方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11178167B2 (en) | Graphical display suppressing events indicating security threats in an information technology system | |
US9251345B2 (en) | Detecting malicious use of computer resources by tasks running on a computer system | |
US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
CN111066015B (zh) | 端点检测和响应系统事件特征数据传输 | |
EP3285194B1 (en) | Tracing system operations across remote procedure linkages to identify request originators | |
US20100293615A1 (en) | Method and apparatus for detecting the malicious behavior of computer program | |
US8024608B2 (en) | Solution for checking a health of a computer system | |
CN111651414A (zh) | 监控文档被打开的方法、存储介质 | |
US10652255B2 (en) | Forensic analysis | |
US10826756B2 (en) | Automatic generation of threat remediation steps by crowd sourcing security solutions | |
US8561195B1 (en) | Detection of malicious code based on its use of a folder shortcut | |
US8418170B2 (en) | Method and system for assessing deployment and un-deployment of software installations | |
US9075496B1 (en) | Encapsulation of software support tools | |
US20100138795A1 (en) | Managing advisories for complex model nodes in a graphical modeling application | |
CN115794064B (zh) | 任务处理流程的配置方法、装置、电子设备及存储介质 | |
CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
CN106874004B (zh) | 低版本软件兼容高版本文件的方法以及客户端和服务器 | |
CN115758353A (zh) | 应用程序保护方法、装置、设备及存储介质 | |
US20190199754A1 (en) | System for processing content in scan and remediation processing | |
GB2574209A (en) | Threat control | |
WO2021242687A1 (en) | Computer-implemented methods and systems for pre-analysis of emails for threat detection | |
CN115600206A (zh) | 一种病毒查杀方法、装置、设备及介质 | |
US11888817B2 (en) | Filtering data logs from disparate data sources for processing by a security engine | |
CN107135098B (zh) | 一种第三方网络的可用性监控方法及系统 | |
CN116980409A (zh) | 一种降低云桌面关机失败概率的方法、装置和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200911 |