CN114117436A - 勒索程序识别方法、装置、电子设备、存储介质及产品 - Google Patents
勒索程序识别方法、装置、电子设备、存储介质及产品 Download PDFInfo
- Publication number
- CN114117436A CN114117436A CN202210097178.7A CN202210097178A CN114117436A CN 114117436 A CN114117436 A CN 114117436A CN 202210097178 A CN202210097178 A CN 202210097178A CN 114117436 A CN114117436 A CN 114117436A
- Authority
- CN
- China
- Prior art keywords
- file
- identified
- rewriting
- program
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 367
- 230000008569 process Effects 0.000 claims abstract description 294
- 230000006399 behavior Effects 0.000 claims description 18
- 230000008859 change Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 8
- 230000008014 freezing Effects 0.000 claims description 5
- 238000007710 freezing Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 abstract description 17
- 238000012545 processing Methods 0.000 description 15
- 241000700605 Viruses Species 0.000 description 4
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种勒索程序识别方法、装置、电子设备、存储介质及产品,所述方法包括:确定待识别进程,根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件,所述改写数值大于或等于预设的改写阈值,则判定所述待识别进程所对应的程序为勒索程序。本发明提供的勒索程序识别方法通过建立关联与设置阈值的方式保证了识别结果的准确性,提高了检测识别的效率。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种勒索程序识别方法、装置、电子设备、存储介质及产品。
背景技术
随着网络攻击方式的快速发展,人们对安全防护处理的要求越来越高。
目前,勒索病毒发展迅速,新型勒索病毒为了追求更快完成全盘文件加密,不再采用文件全文加密的方法,而是采用文件部分加密的方式去修改源文件,这种方式同样能够使文件被破坏、达到勒索的目的。
现有技术中,对于勒索病毒的防护方案,大多数采用对加密函数的检查,或者连续写文件前做好全文备份用于勒索程序的检出和恢复。但是,这种加密函数的检测很容易被绕过,而且检测的准确率较低,另外,连续写文件检出的方式会使很多正常软件行为落入其中,导致识别检测效率低且准确性不高。
发明内容
本发明提供一种勒索程序识别方法、装置、电子设备、存储介质及产品,用以解决现有技术中通过加密函数检出勒索程序导致检测的准确性不高,且效率低的技术问题,以实现保证勒索程序识别结果的准确性和提高识别效率的目的。
第一方面,本发明提供一种勒索程序识别方法,包括:
确定待识别进程;
根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件;
所述改写数值大于或等于预设的改写阈值,则判定所述待识别进程所对应的程序为勒索程序。
进一步,根据本发明提供的勒索程序识别方法,所述根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值,包括:
将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较;其中,所述第一目标文件为任意一个目标文件;
根据所述第一文件类型信息与所述第二文件类型信息,调整预设参数的值;
根据所述预设参数在预设时间段内的变化值,获取所述待识别进程在预设时间段内的改写数值。
进一步,根据本发明提供的勒索程序识别方法,所述将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较,包括:
在所述待识别进程对所述第一目标文件进行写打开操作的情况下,拦截所述写打开操作,并在记录所述第一文件类型信息之后,放行所述写打开操作;
在所述待识别进程对所述第一目标文件进行写关闭操作的情况下,拦截所述写关闭操作,并在记录所述第二文件类型信息之后,放行所述写关闭操作;
将所述第一文件类型信息与所述第二文件类型信息进行比较。
进一步,根据本发明提供的勒索程序识别方法,所述预设参数包括用于描述文件内容改写情况的文件改写参数和/或用于描述文件格式改写情况的格式改写参数;
相应的,所述根据所述第一文件类型信息与所述第二文件类型信息,调整预设参数的值,包括:
在所述第一文件类型信息不同于所述第二文件类型信息的情况下,同时调整文件改写参数与格式改写参数的值;
在所述第一文件类型信息与所述第二文件类型信息相同的情况下,调整文件改写参数的值。
进一步,根据本发明提供的勒索程序识别方法,所述改写数值包括用于描述文件内容改写次数的文件改写数值和/或用于描述文件格式改写次数的格式改写数值,所述预设的改写阈值包括预设的文件改写阈值和/或预设的格式改写阈值;
相应的,所述根据所述改写数值和预设的改写阈值,确定所述待识别进程所对应的程序为勒索程序,包括:
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值,且所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序。
进一步,根据本发明提供的勒索程序识别方法,所述将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较,还包括:
在所述待识别进程对所述第一目标文件进行写操作的情况下,拦截所述写操作,并在记录所述第一目标文件中的被改写内容以及被改写内容的地址信息之后,放行所述写操作;
相应的,在所述确定所述待识别进程所对应的程序为勒索程序之后,方法还包括:
获取所记录的所述第一目标文件中的被改写内容以及被改写内容的地址信息;
根据所述第一目标文件中的被改写内容以及被改写内容的地址信息,对经过写操作之后的所述第一目标文件进行还原。
进一步,根据本发明提供的勒索程序识别方法,所述确定待识别进程,包括:
确定目标进程;
根据注册表与预先设置的文件扩展名,得到与所述文件扩展名相关联的多个目标文件;
分析所述多个目标文件与所述目标进程之间是否存在预设关联关系,若不存在,则将所述目标进程确定待识别进程。
进一步,根据本发明提供的勒索程序识别方法,在所述确定所述待识别进程所对应的程序为勒索程序之后,方法还包括:
对所述待识别进程执行以下操作中的任意一种:杀死待识别进程、冻结待识别进程中的线程、阻止待识别进程后续执行写打开操作。
第二方面,本发明还提供一种勒索程序识别装置,包括:
第一确定模块,用于确定待识别进程;
获取模块,用于根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件;
第二确定模块,用于所述改写数值大于或等于预设的改写阈值,则判定所述待识别进程所对应的程序为勒索程序。
第三方面,本发明还提供一种电子设备,包括:
处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上任一项中所述勒索程序识别方法的步骤。
第四方面,本发明还提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使计算机执行如上所述勒索程序识别方法的步骤。
第五方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上任一项所述勒索程序识别方法的步骤。
本发明提供一种勒索程序识别方法、装置、电子设备、存储介质及产品,所述方法包括:确定待识别进程,根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件,根据所述改写数值和预设的改写阈值,确定所述待识别进程所对应的程序为勒索程序。本发明提供的勒索程序识别方法通过建立关联与设置阈值的方式保证了识别结果的准确性,提高了识别效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种勒索程序识别方法的流程示意图;
图2是本发明提供的一种勒索程序识别装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的勒索程序识别方法的流程示意图,如图1所示,本发明提供的勒索程序识别方法,包括以下步骤:
步骤101:确定待识别进程。
在本实施例中,需要确定待识别进程,比如有多个进程在进行文件写操作处理时,有的进程是与处理的文件具有关联关系的进程,这种进程本身是安全的,不需要确定为待识别进程。如处理文件为doc格式的文件,进程为word,这种情况下该进程不需要确定为待识别进程。对于那些与处理文件不具有关联关系的进程,确定为待识别进程。如处理文件为doc格式的文件,进程为pdf阅读器,这种情况下该进程需要确定为待识别进程,进行下一步的分析。其中,进程(Process)是指一段程序的执行过程,是计算机中的程序关于某数据集合上的一次运动活动,是系统进行资源分配和调度的基本单位,是程序的基本执行实体,是线程的容器。
步骤102:根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件。
在本实施例中,根据待识别进程在预设时间段内对多个目标文件的操作行为,获取待识别进程在该预设时间段内的改写数值,其中,改写数值是指目标文件被待识别进程改写次数的数值。例如,预设时间段为20s,在20s内待识别进程对目标文档进行改写操作的次数为10次,那么就将数值10次确定为待识别进程1在预设时间段20s内的改写数值。需要说明的是,预设时间段的大小可以根据实际需要进行设定,在此不作具体限定。
需要说明的是,目标文件是指与待识别进程并没有预设关联的文件,在两者不具有关联关系的情况下,需要对待识别进程进行检测识别处理,确定待识别进程所对应的程序是否为勒索程序。
步骤103:所述改写数值大于或等于预设的改写阈值,则判定所述待识别进程所对应的程序为勒索程序。
在本实施例中,将步骤102中得到的待识别进程的改写数值与预设的改写阈值进行比较判断,在待识别进程的改写数值大于或等于预设的改写阈值的情况下,判定待识别进程所对应的程序为勒索程序。其中,勒索程序为一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。
需要说明的是,本实施例中,在得到的待识别进程的改写数值大于或等于预设的改写阈值的情况下,将待识别进程所对应的程序确定为勒索程序,其中,预设的改写阈值为预设时间段内的阈值,阈值大小具体可以根据实际需要进行设定,在此不作具体限定。
根据本发明提供的勒索程序识别方法,先确定待识别进程,然后根据待识别进程在预设时间段内对多个目标文件的操作行为,获取待识别进程在预设时间段内的改写数值,其中,目标文件是与待识别进程并无预设关联的文件,改写数值大于或等于预设的改写阈值,确定待识别进程所对应的程序为勒索程序。本发明提供的勒索程序识别方法能够保证识别结果的准确性,提高检测识别的效率。
在本发明的另一个实施例中,所述根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值,包括:
将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较;其中,所述第一目标文件为任意一个目标文件;
根据所述第一文件类型信息与所述第二文件类型信息,调整预设参数的值;
根据所述预设参数在预设时间段内的变化值,获取所述待识别进程在预设时间段内的改写数值。
在本实施例中,需要确定各个目标文件在被待识别进程进行写操作之前的文件类型信息和在被待识别进程进行写操作之后的文件类型信息。本实施例中将第一目标文件在被待识别进程进行写操作之前的第一文件类型信息与第一目标文件在被待识别进程进行写操作之后的第二文件类型信息进行比较,在两者不同的情况下,调整预设参数的值,根据预设参数在预设时间内的变化值,确定出待识别进程在预设时间段内的改写数值。其中,文件类型是指文件格式,第一文件类型信息可以是doc文件、pdf文件、jpg等类型中的任意一种,第二文件类型信息也可以是doc文件、pdf文件、jpg等类型中的任意一种。
需要说明的是,预设参数是指用于描述目标文件变化情况的参数,可以包括用于描述文件内容改写情况的文件改写参数,也可以包括用于描述文件格式改写情况的格式改写参数,具体可以根据实际需要进行设定,在此不作具体限定。
举例说明,假如预设参数包含文件改写参数和格式改写参数,文件改写参数初始值为3,格式改写参数初始值为1,第一目标文件在被待识别进程进行写操作之前的第一文件类型信息为doc,第一目标文件在被待识别进程进行写操作之后的第二文件类型信息为pdf,可见,写操作前后文件类型信息发生了变化,将文件改写参数加1,格式改写参数加1,然后通过这种比较方法在预设时间段内,确定文件改写参数和格式改写参数的变化值为待识别进程在该预设时间段内的改写数值。
根据本发明提供的勒索程序识别方法,通过第一目标文件在被待识别进程进行写操作前后的文件类型信息的变化情况,调整预设参数,并将预设参数的变化值确定为待识别进程的改写数值,用于后续勒索程序识别检测中,保证了勒索程序检测识别结果的准确性,提高了勒索程序检测识别的效率。
在本发明的另一个实施例中,所述将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较,包括:
在所述待识别进程对所述第一目标文件进行写打开操作的情况下,拦截所述写打开操作,并在记录所述第一文件类型信息之后,放行所述写打开操作;
在所述待识别进程对所述第一目标文件进行写关闭操作的情况下,拦截所述写关闭操作,并在记录所述第二文件类型信息之后,放行所述写关闭操作;
将所述第一文件类型信息与所述第二文件类型信息进行比较。
在本实施例中,需要通过文件过滤驱动和设置的规则信息对待识别进程的操作进行判断。当需要保护的第一目标文件在被与该目标文件不具有对应文件关联关系的待识别进程进行写打开操作时,文件过滤驱动将该写打开操作进行同步拦截,并将第一目标文件回调到应用层,应用层先获取第一目标文件的第一文件类型信息,并作记录,然后将该写打开操作放行。
当需要保护的第一目标文件被与该目标文件不具有对应文件关联关系的待识别进程进行写关闭操作时,文件过滤驱动将该写关闭操作进行异步通知,并将第一目标文件回调到应用层,应用层会再次获取第一目标文件的文件类型信息,也就是第二文件类型信息,并与之前记录的第一文件类型信息进行比较,根据比较结果对预设参数进行相应的调整。需要说明的是,在第一目标文件上会存在一个“已写”的标记,只有带有该标记的目标文件才会触发写关闭的操作,否则只是一个普通关闭。
需要说明的是,文件过滤驱动是一种进行文件加密的技术手段,是处于驱动层面,用于实现控制系统细节的一种技术。
根据本发明提供的勒索程序识别方法,当待识别进程对第一目标文件进行写打开操作时,拦截写打开操作,并在记录第一文件类型信息之后,放行写打开操作;当待识别进程对第一目标文件进行写关闭操作时,拦截写关闭操作,并再次记录第二文件类型信息,之后放行写关闭操作,将两次得到的文件类型信息进行比较,为后续确定待识别程序的改写数值提供了数据支持,提高勒索程序检测识别的效率。
在本发明的另一个实施例中,所述预设参数包括用于描述文件内容改写情况的文件改写参数和/或用于描述文件格式改写情况的格式改写参数;
相应的,所述根据所述第一文件类型信息与所述第二文件类型信息,调整预设参数的值,包括:
在所述第一文件类型信息不同于所述第二文件类型信息的情况下,同时调整文件改写参数与格式改写参数的值;
在所述第一文件类型信息与所述第二文件类型信息相同的情况下,调整文件改写参数的值。
在本实施例中,预设参数可以只包含用于描述文件内容改写情况的文件改写参数,也可以只包含用于描述文件格式改写情况的格式改写参数,又或者既包含用于描述文件内容改写情况的文件改写参数,也包含用于描述文件格式改写情况的格式改写参数。具体可以根据用户的实际需要进行设定,在此不作具体限定。
在本实施例中,当第一目标文件在被待识别进程进行写操作之前确定的第一文件类型信息与在被待识别进程进行写操作之后得到的第二文件类型信息不同时,需要同时调整文件改写参数和格式改写参数的值。如第一目标文件在被待识别进程进行写操作之前的第一文件类型信息为doc,在被待识别进程进行写操作之后的第二文件类型信息为pdf,文件类型发生了变化,同时调整文件改写参数和格式改写参数的值。
当第一目标文件在被待识别进程进行写操作之前确定的第一类型信息与在被待识别进程进行写操作之后得到的第二文件类型信息相同时,只需要调整文件改写参数的值,说明此时第一目标文件只是被待识别进程改写了文件内容,文件类型并没有发生改变。
根据本发明提供的勒索程序识别方法,通过判断第一目标文件的第一文件类型信息与第二文件类型信息是否相同,实现对相应的预设参数的调整,为后续确定待识别进程的改写数值提供了数据支持,同时能够提高勒索程序检测识别的效率。
在本发明的另一个实施例中,所述改写数值包括用于描述文件内容改写次数的文件改写数值和/或用于描述文件格式改写次数的格式改写数值,所述预设的改写阈值包括预设的文件改写阈值和/或预设的格式改写阈值;
相应的,所述根据所述改写数值和预设的改写阈值,确定所述待识别进程所对应的程序为勒索程序,包括:
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值,且所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序。
在本实施例中,将在上述实施例中已经确定的待识别进程的改写数值与预设的改写阈值进行比较。本实施例中,改写数值包括用于描述文件内容改写次数的文件改写数值和/或用于描述文件格式改写次数的格式改写数值,预设的改写阈值包括预设的文件改写阈值和/或预设的格式改写阈值。需要说明的是,改写数值与预设的改写阈值具有对应关系,当改写数值既包括用于描述文件内容改写次数的文件改写数值,也包括用于描述文件格式改写次数的格式改写数值,那么预设的改写阈值同样既包括预设的文件改写阈值,也包括预设的格式改写阈值。具体包含的内容可以根据实际需要进行设定,在此不作具体限定。
需要说明的是,一般预设的文件改写阈值M会高于预设的格式改写阈值N,因为对于少量的勒索程序,会故意不修改文件头,保持文件类型前后一致,只修改中间的文件内容,这种如果只从格式变化的方法进行检测识别会漏掉,因此,为文件改写阈值M设置合适的值,有助于避免这种情况的发生。
在本实施例中,在改写数值只包含用于描述文件内容改写次数的文件改写数值,预设的改写阈值只包含预设的文件改写阈值的情况下,当待识别进程对应的文件改写数值大于或等于预设的文件改写阈值时,将待识别进程所对应的程序确定为勒索程序。如预设的文件改写阈值M为10次,得到预设时间内待识别进程对应的文件改写数值为11,大于预设的文件改写阈值,因此将待识别进程所对应的程序确定为勒索程序。
在改写数值只包含用于描述文件格式改写次数的格式改写数值,且预设的改写阈值只包含预设的格式改写阈值的情况下,当待识别进程对应的格式改写数值N大于或等于预设的格式改写阈值时,将该待识别进程所对应的程序确定为勒索程序。如预设的格式改写阈值N为5次,得到预设时间段内待识别进程对应的格式改写数值为6次,大于预设的文件改写阈值,因此将该待识别进程所对应的程序确定为勒索程序。
在改写数值包含用于描述文件内容改写次数的文件改写数值和用于描述文件格式改写次数的格式改写数值,且预设的改写阈值包含预设的文件改写阈值和格式改写阈值的情况下,当待识别进程对应的文件改写数值大于或等于预设的文件改写阈值,且该待识别进程对应的格式改写数值大于或等于预设的格式改写阈值时,将待识别进程所对应的程序确定为勒索程序。如预设的文件改写阈值为10次,格式改写阈值为5次,得到预设时间段内待识别进程对应的文件改写数值为11次,格式改写数值为6次,均大于预设的改写阈值,将该待识别进程所对应的程序确定为勒索程序。
根据本发明提供的勒索程序识别方法,通过将得到的待识别进程对应的改写数值与预设的改写阈值进行比较,当得到的文件改写数值大于预设的文件改写阈值或格式改写数值大于预设的格式改写阈值,或两个改写数值均大于预设的改写阈值时,确定出待识别进程所对应的程序为勒索程序,提高了勒索程序检测识别的效率,保证了识别结果的准确性。
在本发明的另一个实施例中,所述将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较,还包括:
在所述待识别进程对所述第一目标文件进行写操作的情况下,拦截所述写操作,并在记录所述第一目标文件中的被改写内容以及被改写内容的地址信息之后,放行所述写操作;
相应的,在所述确定所述待识别进程所对应的程序为勒索程序之后,方法还包括:
获取所记录的所述第一目标文件中的被改写内容以及被改写内容的地址信息;
根据所述第一目标文件中的被改写内容以及被改写内容的地址信息,对经过写操作之后的所述第一目标文件进行还原。
在本实施例中,需要对目标文件中将要被改写的改写内容相关信息的部分进行备份,实现差量部分。当需要保护的第一目标文件在被与第一目标文件不具有关联关系的待识别进程进行写操作时,需要通过文件过滤驱动对该写操作进行同步拦截,并将第一目标文件回调到应用层,应用层把第一目标文件中的被改写内容以及被改写内容的地址信息进行备份,然后对写操作放行。其中,第一目标文件的被改写内容至少包括:改写的长度、改写内容本身,第一目标文件中被改写内容的地址信息是指第一目标文件的全路径信息和被改写的起始位置信息。需要说明的是,在对第一目标文件进行写操作时,需要对第一目标文件作一个“已写”的标记,用于后续写关闭操作处理。
在本实施例中,当确定待识别进程所对应的程序为勒索程序之后,还可以通过获取应用层所记录的关于第一目标文件的被改写内容以及被改写内容的地址信息,得到第一目标文件的历史备份,然后根据第一目标文件中的被改写内容以及被改写内容的地址信息,对备份的内容进行反向操作补回处理,恢复被勒索程序修改的第一目标文件,得到原始的第一目标文件。
需要说明的是,本实施例中,反向补回的是之前被修改过的部分内容,在应用层中对第一目标文件哪个位置被修改了,被修改的部分内容作了相应的记录和备份,需要恢复时直接将修改的部分内容写回。假设第一目标文件是一个doc文件1.doc,被待识别进程改写了内容0到5字节,将11111改写成了12345,导致文件格式被改写为PDF,在应用层中备份的内容为被改写的位置信息[0,5],文件改写内容为11111。当需要恢复时,直接将对应位置[0,5]中的文件内容由12345恢复为11111。
根据本发明提供的勒索程序识别方法,通过将第一目标文件中被改写的文件内容和被改写内容的地址信息作相应的记录处理,实现差量备份,并通过差量备份的内容实现对第一目标文件的还原,保证了对部分加密勒索病毒的检出性能,降低了文件备份的成本,提高了文件恢复的处理速度。
在本发明的另一个实施例中,所述确定待识别进程,包括:
确定目标进程;
根据注册表与预先设置的文件扩展名,得到与所述文件扩展名相关联的多个目标文件;
分析所述多个目标文件与所述目标进程之间是否存在预设关联关系,若不存在,则将所述目标进程确定待识别进程。
在本实施例中,还需要根据注册表和预先设置的文件扩展名,确定出该扩展名相同的多个目标文件,然后判断得到的多个目标文件与目标进程之间是否存在预设的关联关系,在不具有关联关系的时候,将目标进程确定为待识别进程,进行后续的识别处理。需要说明的是,注册表(Registry)是MicrosoftWindows中的一个重要的数据库,用于存储系统和应用程序的设置信息。
举例说明,如根据注册表与预设的文件扩展名得到多个扩展名为.docx的目标文件,确定目标进程1为PDF进程,目标进程2为word进程,根据多个目标文件与目标进程之间是否具有预设的关联关系,确定出待识别进程,对于扩展名为.docx的目标文件,目标进程2与其具有关联关系,让其不进入勒索程序识别处理中,而目标进程1与多个目标文件不具有关联关系,将目标进程1确定为待识别进程,进行后续的勒索程序识别中。
根据本发明提供的勒索程序识别方法,通过确定出待识别进程,能够提高勒索程序检测识别的速度,提高识别效率。
在本发明的另一个实施例中,在所述确定所述待识别进程所对应的程序为勒索程序之后,方法还包括:
对所述待识别进程执行以下操作中的任意一种:杀死待识别进程、冻结待识别进程中的线程、阻止待识别进程后续执行写打开操作。
在本发明实施例中,在将待识别进程所对应的程序确定为勒索程序之后,对该待识别进程进行相应的处理来保护用户系统的安全,如杀死该待识别进程,或者冻结该待识别进程中的线程,或者也可以默认阻止待识别进程后续执行写打开等危险操作。需要说明的是,具体的处理方式可以根据用户的实际需要进行设定,在此不作具体限定。
根据本发明提供的勒索程序识别方法,通过设置多种处理方式对待识别进程进行处理,保证了用户系统的安全,提高了处理效率。
在本发明的一个实施例中,首先遍历注册表,把文件扩展名相对应的文件进行关联,并获取多个候选文件;从配置中预先获取文件改写阈值M和格式改写阈值N;确定待识别进程,并从多个候选文件中确定多个目标文件,其中,目标文件是与待识别进程不具有预设关联的文件,然后根据文件过滤驱动和设置的规则信息,对需要保护的目标文件在被待识别进程进行写打开操作时进行同步拦截,并将目标文件调回到应用层,应用层获取目标文件的第一文件类型信息并记录下来,随后对写打开操作放行。
在需要保护的目标文件被待识别进程进行写操作时,文件过滤驱动进行同步拦截,并将目标文件回调到应用层,应用层把目标文件的全路径信息、要被改写的起始位置信息、改写的长度以及改写内容本身均备份在备份区,随后对写操作行为放行。
在需要保护的目标文件被待识别进程进行写关闭时,文件过滤驱动进行异步通知并将目标文件回调到应用层,应用层获取目标文件的第二文件类型信息,与之前记录保存的第一文件类型信息进行比较,若第二文件类型信息与第一文件类型信息不同,则将待识别进程的文件改写数值和格式改写数值均加1;若第二文件类型信息与第一文件类型信息相同,则只把待识别进程的文件改写数值加1。
在预设时间段内待识别进程的格式改写数值大于或等于预设的格式改写阈值N的情况下,确定待识别进程所对应的程序为勒索程序;在预设时间段内待识别进程的文件改写数值大于或等于预设的文件改写阈值M的情况下,确定待识别进程所对应的程序为勒索程序。当勒索程序检出后,根据设置的处理方式对待识别进程进行处理,如杀死待识别进程、冻结待识别进程中的线程,也可以默认阻止后续的写打开等危险操作。
在本实施例中,还可以检索待识别进程的所有目标文件的历史备份,把改写的部分备份内容通过反向操作补回,恢复所有被勒索程序修改的目标文件,得到还原后的原始目标文件。
根据本实施例提供的勒索程序识别方法,能够保证勒索程序识别结果的准确性,同时采用差量备份的方式,对现在逐渐流行的部分加密类勒索程序具有更好的备份性能,节约备份成本,提高勒索程序识别检出的效率。
图2为本发明实施例提供的一种勒索程序识别装置,如图2所示,本发明实施例提供的勒索程序识别装置,包括:
第一确定模块201,用于确定待识别进程;
获取模块202,用于根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件;
第二确定模块203,用于所述改写数值大于或等于预设的改写阈值,则判定所述待识别进程所对应的程序为勒索程序。
本发明提供一种勒索程序识别装置,先确定待识别进程,然后根据待识别进程在预设时间段内对多个目标文件的操作行为,获取待识别进程在预设时间段内的改写数值,其中,目标文件是与所述待识别进程并无预设关联的文件,改写数值大于或等于预设的改写阈值,确定待识别进程所对应的程序为勒索程序。本发明提供的勒索程序识别装置保证了检测识别结果的准确性,提高了检测识别的效率。
进一步,获取模块202还用于:
将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较;其中,所述第一目标文件为任意一个目标文件;
根据所述第一文件类型信息与所述第二文件类型信息,调整预设参数的值;
根据所述预设参数在预设时间段内的变化值,获取所述待识别进程在预设时间段内的改写数值。
根据本发明提供的勒索程序识别方法,通过第一目标文件在被待识别进程进行写操作前后的文件类型信息的变化情况,调整预设参数,并将预设参数的变化值确定为待识别进程的改写数值,用于后续勒索程序识别检测中,保证了勒索程序检测识别结果的准确性,提高了勒索程序检测识别的效率。
进一步,获取模块202还用于:
在所述待识别进程对所述第一目标文件进行写打开操作的情况下,拦截所述写打开操作,并在记录所述第一文件类型信息之后,放行所述写打开操作;
在所述待识别进程对所述第一目标文件进行写关闭操作的情况下,拦截所述写关闭操作,并在记录所述第二文件类型信息之后,放行所述写关闭操作;
将所述第一文件类型信息与所述第二文件类型信息进行比较。
根据本发明提供的勒索程序识别方法,当待识别进程对第一目标文件进行写打开操作时,拦截写打开操作,并在记录第一文件类型信息之后,放行写打开操作;当待识别进程对第一目标文件进行写关闭操作时,拦截写关闭操作,并再次记录第二文件类型信息,之后放行写关闭操作,将两次得到的文件类型信息进行比较,为后续确定待识别进程的改写数值提供了数据支持,提高勒索程序检测识别的效率。
进一步,所述预设参数包括用于描述文件内容改写情况的文件改写参数和/或用于描述文件格式改写情况的格式改写参数;
相应的,获取模块202还用于:
在所述第一文件类型信息不同于所述第二文件类型信息的情况下,同时调整文件改写参数与格式改写参数的值;
在所述第一文件类型信息与所述第二文件类型信息相同的情况下,调整文件改写参数的值。
根据本发明提供的勒索程序识别方法,通过判断第一目标文件的第一文件类型信息与第二文件类型信息是否相同,实现对相应的预设参数的调整,为后续确定待识别进程的改写数值提供了数据支持,同时能够提高勒索程序检测识别的效率。
进一步,所述改写数值包括用于描述文件内容改写次数的文件改写数值和/或用于描述文件格式改写次数的格式改写数值,所述预设的改写阈值包括预设的文件改写阈值和/或预设的格式改写阈值;
相应的,第二确定模块203还用于:
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值,且所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序。
根据本发明提供的勒索程序识别方法,通过将得到的待识别进程对应的改写数值与预设的改写阈值进行比较,当得到的文件改写数值大于预设的文件改写阈值或格式改写数值大于预设的格式改写阈值,或两个改写数值均大于预设的改写阈值时,确定出待识别进程所对应的程序为勒索程序,提高了勒索程序识别检出的效率,保证了识别结果的准确性。
进一步,获取模块202还用于:
在所述待识别进程对所述第一目标文件进行写操作的情况下,拦截所述写操作,并在记录所述第一目标文件中的被改写内容以及被改写内容的地址信息之后,放行所述写操作;
相应的,在所述确定所述待识别进程所对应的程序为勒索程序之后,方法还包括:
获取所记录的所述第一目标文件中的被改写内容以及被改写内容的地址信息;
根据所述第一目标文件中的被改写内容以及被改写内容的地址信息,对经过写操作之后的所述第一目标文件进行还原。
根据本发明提供的勒索程序识别方法,通过将第一目标文件中被改写的文件内容和被改写内容的地址信息作相应的记录处理,实现差量备份,并通过差量备份的内容能够实现对第一目标文件的还原,保证了对部分加密勒索病毒的检出性能,降低了文件备份的成本,提高了文件恢复的处理速度。
进一步,第一确定模块201还用于:
确定目标进程;
根据注册表与预先设置的文件扩展名,得到与所述文件扩展名相关联的多个目标文件;
分析所述多个目标文件与所述目标进程之间是否存在预设关联关系,若不存在,则将所述目标进程确定待识别进程。
根据本发明提供的勒索程序识别方法,通过确定出待识别进程,能够提高勒索程序识别检出的速度,提高识别效率。
进一步,勒索程序识别装置还用于:
对所述待识别进程执行以下操作中的任意一种:杀死待识别进程、冻结待识别进程中的线程、阻止待识别进程后续执行写打开操作。
根据本发明提供的勒索程序识别方法,通过设置多种处理方式对待识别进程进行处理,保证了用户系统的安全,提高了处理效率。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
图3为本发明实施例中提供的电子设备实体结构示意图,如图3所示,本发明提供一种电子设备,包括:处理器(processor)301、存储器(memory)302和总线303;
其中,处理器301、存储器302通过总线303完成相互间的通信;
处理器301用于调用存储器302中的程序指令,以执行上述各方法实施例中所提供的方法,例如包括:确定待识别进程,根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件,根据所述改写数值和预设的改写阈值,确定所述待识别进程所对应的程序为勒索程序。
本发明实施例中提供一种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,计算机指令使所述计算机执行上述各方法实施例中所提供的方法,例如包括:确定待识别进程,根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件,根据所述改写数值和预设的改写阈值,确定所述待识别进程所对应的程序为勒索程序。
本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各实施例所提供的方法,该方法包括:确定待识别进程,根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件,根据所述改写数值和预设的改写阈值,确定所述待识别进程所对应的程序为勒索程序。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例中所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种勒索程序识别方法,其特征在于,包括:
确定待识别进程;
根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件;
所述改写数值大于或等于预设的改写阈值,则判定所述待识别进程所对应的程序为勒索程序。
2.根据权利要求1所述的勒索程序识别方法,其特征在于,所述根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值,包括:
将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较;其中,所述第一目标文件为任意一个目标文件;
根据所述第一文件类型信息与所述第二文件类型信息,调整预设参数的值;
根据所述预设参数在预设时间段内的变化值,获取所述待识别进程在预设时间段内的改写数值。
3.根据权利要求2所述的勒索程序识别方法,其特征在于,所述将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较,包括:
在所述待识别进程对所述第一目标文件进行写打开操作的情况下,拦截所述写打开操作,并在记录所述第一文件类型信息之后,放行所述写打开操作;
在所述待识别进程对所述第一目标文件进行写关闭操作的情况下,拦截所述写关闭操作,并在记录所述第二文件类型信息之后,放行所述写关闭操作;
将所述第一文件类型信息与所述第二文件类型信息进行比较。
4.根据权利要求2所述的勒索程序识别方法,其特征在于,所述预设参数包括用于描述文件内容改写情况的文件改写参数和/或用于描述文件格式改写情况的格式改写参数;
相应的,所述根据所述第一文件类型信息与所述第二文件类型信息,调整预设参数的值,包括:
在所述第一文件类型信息不同于所述第二文件类型信息的情况下,同时调整文件改写参数与格式改写参数的值;
在所述第一文件类型信息与所述第二文件类型信息相同的情况下,调整文件改写参数的值。
5.根据权利要求1所述的勒索程序识别方法,其特征在于,所述改写数值包括用于描述文件内容改写次数的文件改写数值和/或用于描述文件格式改写次数的格式改写数值,所述预设的改写阈值包括预设的文件改写阈值和/或预设的格式改写阈值;
相应的,所述根据所述改写数值和预设的改写阈值,确定所述待识别进程所对应的程序为勒索程序,包括:
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序;
或,
在所述待识别进程对应的文件改写数值大于或等于预设的文件改写阈值,且所述待识别进程对应的格式改写数值大于或等于预设的格式改写阈值的情况下,将所述待识别进程所对应的程序确定为勒索程序。
6.根据权利要求2所述的勒索程序识别方法,其特征在于,所述将第一目标文件在被所述待识别进程进行写操作之前的第一文件类型信息与所述第一目标文件在被所述待识别进程进行写操作之后的第二文件类型信息进行比较,还包括:
在所述待识别进程对所述第一目标文件进行写操作的情况下,拦截所述写操作,并在记录所述第一目标文件中的被改写内容以及被改写内容的地址信息之后,放行所述写操作;
相应的,在所述确定所述待识别进程所对应的程序为勒索程序之后,方法还包括:
获取所记录的所述第一目标文件中的被改写内容以及被改写内容的地址信息;
根据所述第一目标文件中的被改写内容以及被改写内容的地址信息,对经过写操作之后的所述第一目标文件进行还原。
7.根据权利要求1至6任一项所述的勒索程序识别方法,其特征在于,所述确定待识别进程,包括:
确定目标进程;
根据注册表与预先设置的文件扩展名,得到与所述文件扩展名相关联的多个目标文件;
分析所述多个目标文件与所述目标进程之间是否存在预设关联关系,若不存在,则将所述目标进程确定待识别进程。
8.根据权利要求1至6任一项所述的勒索程序识别方法,其特征在于,在所述确定所述待识别进程所对应的程序为勒索程序之后,方法还包括:
对所述待识别进程执行以下操作中的任意一种:杀死待识别进程、冻结待识别进程中的线程、阻止待识别进程后续执行写打开操作。
9.一种勒索程序识别装置,其特征在于,包括:
第一确定模块,用于确定待识别进程;
获取模块,用于根据所述待识别进程在预设时间段内对多个目标文件的操作行为,获取所述待识别进程在预设时间段内的改写数值;其中,所述目标文件是与所述待识别进程并无预设关联的文件;
第二确定模块,用于所述改写数值大于或等于预设的改写阈值,则判定所述待识别进程所对应的程序为勒索程序。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至8中任一项所述勒索程序识别方法的步骤。
11.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至8中任一项所述勒索程序识别方法的步骤。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述勒索程序识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210097178.7A CN114117436A (zh) | 2022-01-27 | 2022-01-27 | 勒索程序识别方法、装置、电子设备、存储介质及产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210097178.7A CN114117436A (zh) | 2022-01-27 | 2022-01-27 | 勒索程序识别方法、装置、电子设备、存储介质及产品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114117436A true CN114117436A (zh) | 2022-03-01 |
Family
ID=80361294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210097178.7A Pending CN114117436A (zh) | 2022-01-27 | 2022-01-27 | 勒索程序识别方法、装置、电子设备、存储介质及产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114117436A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116662075A (zh) * | 2023-07-28 | 2023-08-29 | 深圳市科力锐科技有限公司 | 数据保护方法、系统、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107403096A (zh) * | 2017-08-04 | 2017-11-28 | 郑州云海信息技术有限公司 | 一种基于文件状态分析的勒索软件检测方法 |
| US20180357133A1 (en) * | 2017-06-12 | 2018-12-13 | Acronis International Gmbh | Anti-malware protection using volume filters |
| CN109284608A (zh) * | 2017-07-19 | 2019-01-29 | 阿里巴巴集团控股有限公司 | 勒索软件的识别方法、装置和设备、安全处理方法 |
| CN113449302A (zh) * | 2021-06-24 | 2021-09-28 | 北京卫达信息技术有限公司 | 一种检测恶意软件的方法 |
-
2022
- 2022-01-27 CN CN202210097178.7A patent/CN114117436A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180357133A1 (en) * | 2017-06-12 | 2018-12-13 | Acronis International Gmbh | Anti-malware protection using volume filters |
| CN109284608A (zh) * | 2017-07-19 | 2019-01-29 | 阿里巴巴集团控股有限公司 | 勒索软件的识别方法、装置和设备、安全处理方法 |
| CN107403096A (zh) * | 2017-08-04 | 2017-11-28 | 郑州云海信息技术有限公司 | 一种基于文件状态分析的勒索软件检测方法 |
| CN113449302A (zh) * | 2021-06-24 | 2021-09-28 | 北京卫达信息技术有限公司 | 一种检测恶意软件的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116662075A (zh) * | 2023-07-28 | 2023-08-29 | 深圳市科力锐科技有限公司 | 数据保护方法、系统、设备及存储介质 |
| CN116662075B (zh) * | 2023-07-28 | 2024-03-22 | 深圳市科力锐科技有限公司 | 数据保护方法、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9852289B1 (en) | Systems and methods for protecting files from malicious encryption attempts | |
| US6813712B1 (en) | Viral replication detection using a counter virus | |
| US8990164B1 (en) | Systems and methods for performing incremental backups | |
| CN107563192B (zh) | 一种勒索软件的防护方法、装置、电子设备及存储介质 | |
| US10783041B2 (en) | Backup and recovery of data files using hard links | |
| EP1967954A1 (en) | A method for deleting virus program and a method to get back the data destroyed by the virus. | |
| CN104615504B (zh) | 一种实现数据保护的方法及装置 | |
| CN106971120B (zh) | 一种实现文件保护的方法、装置和计算设备 | |
| US20170220797A1 (en) | Malware Detection Method and Malware Detection Apparatus | |
| US11113391B2 (en) | Method and computer system for preventing malicious software from attacking files of the computer system and corresponding non-transitory computer readable storage medium | |
| US20130024466A1 (en) | System event logging system | |
| CN111382126B (zh) | 删除文件及阻碍文件恢复的系统和方法 | |
| CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
| CN114117436A (zh) | 勒索程序识别方法、装置、电子设备、存储介质及产品 | |
| JP2022100232A (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 | |
| CN112003824B (zh) | 攻击检测方法、装置及计算机可读存储介质 | |
| CN109472140B (zh) | 基于窗体标题校验阻止勒索软件加密的方法及系统 | |
| CN109271341B (zh) | 一种镜像磁盘文件过滤方法 | |
| US8224778B1 (en) | Systems and methods for backing up emails | |
| CN111159126A (zh) | 文件压缩操作的审计方法、装置、电子设备及存储介质 | |
| US20210397498A1 (en) | Information processing apparatus, control method, and program | |
| CN116662076B (zh) | 数据保护方法、装置、设备及存储介质 | |
| CN116662075B (zh) | 数据保护方法、系统、设备及存储介质 | |
| CN110610086B (zh) | 非法代码识别方法、系统、装置及存储介质 | |
| US20240354411A1 (en) | Rapid ransomware detection and recovery |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220301 |