CN112818346A - 文件诱捕反勒索病毒的方法 - Google Patents
文件诱捕反勒索病毒的方法 Download PDFInfo
- Publication number
- CN112818346A CN112818346A CN202010828818.8A CN202010828818A CN112818346A CN 112818346 A CN112818346 A CN 112818346A CN 202010828818 A CN202010828818 A CN 202010828818A CN 112818346 A CN112818346 A CN 112818346A
- Authority
- CN
- China
- Prior art keywords
- virus
- file
- irp
- application layer
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及内核驱动技术领域,尤其是文件诱捕反勒索病毒的方法,包括用以实现计算机内核支持功能的驱动部分和实现计算机用户界面显示与用户交互操作的应用层部分,首先注册文件过滤驱动;在查询文件事件IRP_MJ_DIRECTORY_CONTROL的响应函数时,于返回的数据头部中插入虚拟的文件;并对IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_SET_INFORMATION事件进行过滤监控;将判定后的勒索病毒的完全路径以及创建病毒的父进程树上抛到应用层部分;应用层部分接收由驱动部分命中的勒索病毒的完全路径和父进程树后,跳出弹窗,提醒用户选择结束该病毒或结束该病毒相关的整个进程树,并同时将病毒放到隔离区中;本发明可以在病毒加密行为产生前进行预判查杀,可以高效安全的保护用户重要文档的安全。
Description
技术领域
本发明涉及内核驱动技术领域,尤其涉及文件诱捕反勒索病毒的方法。
背景技术
目前市面上主要勒索预防方法是逆向病毒寻找病毒特征码,将特征码加入 病毒特征库中文件诱捕反勒索病毒的方法,当病毒文件落地到某一计算机上时, 文件监控系统遍历文件搜索病毒特征码,命中极为勒索病毒,但此方法有滞后 性,因为往往是病毒已经对系统重要文件进行了破坏后才会分析病毒的特征, 而且一旦病毒制造者修改了特征,就又要重新寻找特征码;文件诱捕反勒索病 毒的方法还有一个方法是对勒索病毒的行为进行判断,将搜索文件,打开文件, 读写文件,加密文件编成一个行为组,如果某组特征命中即判读为勒索病毒, 但是这种方法也有一定的滞后性,因为行为发生时往往病毒已经破坏重要文档 了,无法完全有效的预防勒索病毒对设备重要文档的破坏。
综上所述,市场上诱捕反勒索病毒的方法存在的缺陷:诱捕反勒索病毒的 方法大多是对病毒的特征码进行匹配,这样虽然可以预防大量病毒,但病毒一 但修改特征就无能为力了,并且对新出现的勒索病毒,由于病毒库中没有病毒 案例无法匹配特征进行预防。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的文件诱捕反勒 索病毒的方法。
为达到以上目的,本发明采用的技术方案为:文件诱捕反勒索病毒的方法, 包括用以实现计算机内核支持功能的驱动部分和实现计算机用户界面显示与用 户交互操作的应用层部分,具体包括以下步骤:
(1)驱动部分:
(i)注册文件过滤驱动;
(ii)查询文件事件IRP_MJ_DIRECTORY_CONTROL的响应函数时,于返回的 数据头部中插入虚拟的文件;
(iii)对IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_ SET_INFORMATION事件进行过滤监控,如果发现上述事件对虚拟文件进行写预期 打开、读操作、写操作、修改属性中的一种或多种,则判断为勒索病毒;
(iv)将判定后的勒索病毒的完全路径以及创建病毒的父进程树上抛到应 用层部分;
(v)调用Hook进程创建函数,当某一进程被命中为勒索病毒后,该进程 完全路径被加入到其存放路径的列表中,Hook进程创建的函数在进程创建时会 过滤这张表,如果是勒索病毒则阻止其创建;
(2)应用层部分:
(i)应用层部分接收由驱动部分命中的勒索病毒的完全路径和父进程树后, 跳出弹窗,提醒用户选择结束该病毒或结束该病毒相关的整个进程树,并同时 将病毒放到隔离区中;
(ii)用户通过计算机用户界面显示查看放到隔离区中的病毒文件,可以 选择将病毒文件传到后台交由病毒分析师分析病毒行为特征,或可以对隔离的 病毒文件进行恢复操作;
(iii)用户通过对计算机文件进行配置可以实现黑白名单功能,如果是 黑名单中进程,该病毒创建即被驱动部分认定为勒索病毒,如果是白名单中的 进程,驱动部分不会判定所操作的计算机文件为勒索病毒。
与现有技术相比,本发明具有以下有益效果:本发明对勒索文件反诱捕的 方法可以在病毒加密行为产生前进行预判查杀;当病毒查找遍历计算机文档时, 诱捕驱动会首先给病毒返回一个虚拟的不存在的文件,病毒会对虚拟文档加密, 一旦加密行为产生,驱动就会拦截加密事件并在加密行为之前杀掉病毒,能够 高效安全的保护用户重要文档的安全。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐 述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显 而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可 以通过下面的说明书来实现和获得。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实 施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一 部分实施例,而不是全部的实施例。
因此,以下对提供的本发明的实施例的详细描述并非旨在限制要求保护的 本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
在本发明的上述描述中,需要说明的是,该发明产品使用时惯常摆放的 方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示 所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不 能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于区分描述, 而不能理解为指示或暗示相对重要性。
此外,术语“相同”等术语并不表示要求部件绝对相同,而是可以存在微 小的差异;术语“垂直”仅仅是指部件之间的位置关系相对“平行”而言更加 垂直,并不是表示该结构一定要完全垂直,而是可以稍微倾斜。
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述 中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
文件诱捕反勒索病毒的方法,包括用以实现计算机内核支持功能的驱动部 分和实现计算机用户界面显示与用户交互操作的应用层部分,具体包括以下步 骤:
(1)驱动部分:
(i)注册文件过滤驱动;
(ii)查询文件事件IRP_MJ_DIRECTORY_CONTROL的响应函数时,于返回的 数据头部中插入虚拟的文件;
(iii)对IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_ SET_INFORMATION事件进行过滤监控,如果发现上述事件对虚拟文件进行写预期 打开、读操作、写操作、修改属性中的一种或多种,则判断为勒索病毒;
(iv)将判定后的勒索病毒的完全路径以及创建病毒的父进程树上抛到应 用层部分;
(v)调用Hook进程创建函数,当某一进程被命中为勒索病毒后,该进程 完全路径被加入到其存放路径的列表中,Hook进程创建的函数在进程创建时会 过滤这张表,如果是勒索病毒则阻止其创建;
(2)应用层部分:
(i)应用层部分接收由驱动部分命中的勒索病毒的完全路径和父进程树后, 跳出弹窗,提醒用户选择结束该病毒或结束该病毒相关的整个进程树,并同时 将病毒放到隔离区中;
(ii)用户通过计算机用户界面显示查看放到隔离区中的病毒文件,可以 选择将病毒文件传到后台交由病毒分析师分析病毒行为特征,或可以对隔离的 病毒文件进行恢复操作;
(iii)用户通过对计算机文件进行配置可以实现黑白名单功能,如果是 黑名单中进程,该病毒创建即被驱动部分认定为勒索病毒,如果是白名单中的 进程,驱动部分不会判定所操作的计算机文件为勒索病毒。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。
本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例 和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本 发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围 内。
本发明要求的保护范围由所附的权利要求书及其等。
Claims (1)
1.文件诱捕反勒索病毒的方法,包括用以实现计算机内核支持功能的驱动部分和实现计算机用户界面显示与用户交互操作的应用层部分,其特征在于,具体包括以下步骤:
(1)驱动部分:
(i)注册文件过滤驱动;
(ii)查询文件事件IRP_MJ_DIRECTORY_CONTROL的响应函数时,于返回的数据头部中插入虚拟的文件;
(iii)对IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_SET_INFORMATION事件进行过滤监控,如果发现上述事件对虚拟文件进行写预期打开、读操作、写操作、修改属性中的一种或多种,则判断为勒索病毒;
(iv)将判定后的勒索病毒的完全路径以及创建病毒的父进程树上抛到应用层部分;
(v)调用Hook进程创建函数,当某一进程被命中为勒索病毒后,该进程完全路径被加入到其存放路径的列表中,Hook进程创建的函数在进程创建时会过滤这张表,如果是勒索病毒则阻止其创建;
(2)应用层部分:
(i)应用层部分接收由驱动部分命中的勒索病毒的完全路径和父进程树后,跳出弹窗,提醒用户选择结束该病毒或结束该病毒相关的整个进程树,并同时将病毒放到隔离区中;
(ii)用户通过计算机用户界面显示查看放到隔离区中的病毒文件,可以选择将病毒文件传到后台交由病毒分析师分析病毒行为特征,或可以对隔离的病毒文件进行恢复操作;
用户通过对计算机文件进行配置可以实现黑白名单功能,如果是黑名单中进程,该病毒创建即被驱动部分认定为勒索病毒,如果是白名单中的进程,驱动部分不会判定所操作的计算机文件为勒索病毒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010828818.8A CN112818346A (zh) | 2020-08-17 | 2020-08-17 | 文件诱捕反勒索病毒的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010828818.8A CN112818346A (zh) | 2020-08-17 | 2020-08-17 | 文件诱捕反勒索病毒的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112818346A true CN112818346A (zh) | 2021-05-18 |
Family
ID=75852980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010828818.8A Pending CN112818346A (zh) | 2020-08-17 | 2020-08-17 | 文件诱捕反勒索病毒的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112818346A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818345A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 遍历隐藏进程 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170324755A1 (en) * | 2016-05-03 | 2017-11-09 | Check Point Software Technologies Ltd. | Method and System for Mitigating the Effects of Ransomware |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| CN108616510A (zh) * | 2018-03-24 | 2018-10-02 | 张瑜 | 一种基于数字免疫的隐遁勒索病毒检测技术 |
| US10122752B1 (en) * | 2016-06-10 | 2018-11-06 | Vmware, Inc. | Detecting and preventing crypto-ransomware attacks against data |
| WO2019039730A1 (ko) * | 2017-08-23 | 2019-02-28 | 주식회사 수산아이앤티 | 랜섬웨어 방지 장치 및 방법 |
| US20200204589A1 (en) * | 2017-09-22 | 2020-06-25 | Acronis International Gmbh | Systems and methods for preventive ransomware detection using file honeypots |
| CN112818345A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 遍历隐藏进程 |
| CN112822150A (zh) * | 2020-08-19 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 可疑ip的检测方法 |
-
2020
- 2020-08-17 CN CN202010828818.8A patent/CN112818346A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170324755A1 (en) * | 2016-05-03 | 2017-11-09 | Check Point Software Technologies Ltd. | Method and System for Mitigating the Effects of Ransomware |
| US10122752B1 (en) * | 2016-06-10 | 2018-11-06 | Vmware, Inc. | Detecting and preventing crypto-ransomware attacks against data |
| WO2019039730A1 (ko) * | 2017-08-23 | 2019-02-28 | 주식회사 수산아이앤티 | 랜섬웨어 방지 장치 및 방법 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| US20200204589A1 (en) * | 2017-09-22 | 2020-06-25 | Acronis International Gmbh | Systems and methods for preventive ransomware detection using file honeypots |
| CN108616510A (zh) * | 2018-03-24 | 2018-10-02 | 张瑜 | 一种基于数字免疫的隐遁勒索病毒检测技术 |
| CN112818345A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 遍历隐藏进程 |
| CN112822150A (zh) * | 2020-08-19 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 可疑ip的检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 胡吉颖: "基于Minifilter框架的文件系统安全模块的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 03, pages 138 - 120 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818345A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 遍历隐藏进程 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11611586B2 (en) | Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots | |
| US10169586B2 (en) | Ransomware detection and damage mitigation | |
| US11206282B2 (en) | Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign | |
| US10581895B2 (en) | Time-tagged pre-defined scenarios for penetration testing | |
| Lindqvist et al. | How to systematically classify computer security intrusions | |
| US7784098B1 (en) | Snapshot and restore technique for computer system recovery | |
| EP0443423A2 (en) | Method for executing trust-path commands | |
| CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
| US8739290B1 (en) | Generating alerts in event management systems | |
| US20160006758A1 (en) | Command injection protection for java applications | |
| CN112487383A (zh) | 一种保证信息安全的计算机系统及其控制方法 | |
| US20160117124A1 (en) | Storage System Having Security Storage Device and Management System Therefor | |
| JPH10312335A (ja) | データ処理方法およびデータ処理装置 | |
| CN101667161A (zh) | 存储设备的数据保护方法、数据保护装置及计算机系统 | |
| US7346611B2 (en) | System and method for accessing data from a data storage medium | |
| CN104537310A (zh) | 移动存储设备的管理方法及客户端 | |
| Steel | Windows forensics: The field guide for conducting corporate computer investigations | |
| CN105550598A (zh) | 一种移动存储设备的安全管理方法和装置 | |
| Solomon | PC viruses: Detection, analysis and cure | |
| CN112818346A (zh) | 文件诱捕反勒索病毒的方法 | |
| Ahmad et al. | A method to prevent SQL injection attack using an improved parameterized stored procedure | |
| JPH06150084A (ja) | Icカード | |
| CN105488436A (zh) | 一种移动存储设备访问方法和装置 | |
| KR20030090568A (ko) | 단말기 내의 자원 보호 시스템 및 방법 | |
| Kono et al. | An unknown malware detection using execution registry access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |