CN114186222A - 一种勒索病毒的防护方法及系统 - Google Patents
一种勒索病毒的防护方法及系统 Download PDFInfo
- Publication number
- CN114186222A CN114186222A CN202111458735.5A CN202111458735A CN114186222A CN 114186222 A CN114186222 A CN 114186222A CN 202111458735 A CN202111458735 A CN 202111458735A CN 114186222 A CN114186222 A CN 114186222A
- Authority
- CN
- China
- Prior art keywords
- file
- computer program
- program
- judgment
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 230000004224 protection Effects 0.000 title claims abstract description 27
- 238000004590 computer program Methods 0.000 claims abstract description 145
- 241000700605 Viruses Species 0.000 claims abstract description 51
- 238000012545 processing Methods 0.000 claims abstract description 51
- 244000035744 Hura crepitans Species 0.000 claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims abstract description 31
- 230000006399 behavior Effects 0.000 claims description 60
- 230000008569 process Effects 0.000 claims description 56
- 230000008859 change Effects 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 8
- 238000002955 isolation Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 abstract description 7
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 6
- 230000001066 destructive effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 235000015122 lemonade Nutrition 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009979 protective mechanism Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000013522 software testing Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明涉及计算机安全技术领域,具体涉及一种勒索病毒的防护方法及系统,包括:S1:当一计算机程序访问一文件时,判断计算机程序是否具有访问文件的权限;若是,结束判断并返回S1;若否,转向S2;S2:将计算机程序的进程移动至一沙箱程序内,并记录计算机程序的处理行为;S3:根据处理行为判断计算机程序是否为勒索病毒;若是,对所述文件和/或所述处理行为进行处理,随后结束判断;若否,结束判断。本发明的有益效果在于:解决了现有技术中对可疑计算机程序需要人工创建沙箱环境对计算机程序进行测试,测试成本较高实时性较差的问题,进而实现了在正常工作环境下对勒索病毒的常态化监控,更好地适应了企业的局域网环境。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及一种勒索病毒的防护方法及系统。
背景技术
勒索病毒,指形如wannacry这一类的新型电脑病毒,主要以邮件、程序木马、网页木马等形式进行传播。该类电脑病毒在感染计算机系统后,会采用各类加密方式对文件进行加密,进而使得用户无法正常读取、执行计算机文件。沙箱程序,指一种用于构建虚拟计算机系统的计算机程序,其在实际的计算机系统中构建出一个由虚拟化硬件组成的独立作业环境。沙箱程序在软件测试等领域存在有较多的应用,其通过设置相关参数对虚拟化硬件进行调整以模拟出不同的运行环境,或是在该独立作业环境中对于不可信任的计算机程序进行执行、行为监控以避免勒索病毒对实际的计算机系统造成损害。
现有技术中,对于勒索病毒的识别方法,主要依赖于提取可疑的计算机程序并放入沙箱程序进行执行,在沙箱程序中对可疑的计算机程序的执行步骤进行重放,根据其执行步骤判别是否有文件加密恶意行为发生。但是,在实际实施过程中,发明人发现,上述现有技术在检测勒索病毒的过程中需要耗费大量时间、人力、物力和财力,且提取的勒索病毒样本已发生实施性破坏行为,不具有防护的实时性。并且,对于遭到勒索病毒加密的文件的恢复过程也需要占用大量的人力、物力和财力,还容易因为勒索病毒自身程序的BUG造成无法解密,文件无法恢复的问题。
发明内容
针对现有技术中存在的上述问题,亟需发明一种具有实时检测和保护的方法,可以有效识别未知的或新型的勒索病毒,并且避免勒索病毒造成的实质性破坏。为此,本发明提供一种勒索病毒的防护方法及系统。
具体技术方案如下:
一种勒索病毒的防护方法,适用一监控程序,所述监控程序读取计算机系统中的各个进程,则所述防护方法包括:
步骤S1:当一计算机程序访问一文件时,判断所述计算机程序是否具有访问所述文件的权限;
若是,结束判断;
若否,转向步骤S2;
步骤S2:将所述计算机程序的进程移动至一沙箱程序内,并记录所述计算机程序的处理行为;
步骤S3:根据所述处理行为判断所述计算机程序是否为勒索病毒;
若是,对所述文件和/或所述处理行为进行处理,随后结束判断;
若否,结束判断。
优选地,所述步骤S1中,采用一预设的程序白名单判断所述计算机程序是否具有访问所述文件的权限;
程序白名单中包括:对应于所述文件的文件标识信息及对应于可访问所述文件的计算机程序的程序校验信息;
其中,所述文件标识信息包括所述文件的后缀名、所述文件的文件名称及所述文件路径、所述文件的文件名称中的字段及文件路径中的一个;
所述程序校验信息包括所述计算机程序的文件名、所述计算机程序的文件路径、所述计算机程序的数字签名、所述计算机程序的哈希值中的至少一个;
则所述步骤S1包括:
步骤S11:获取所述文件的所述文件标识信息,以及所述计算机程序的所述程序校验信息;
步骤S12:根据所述文件标识信息、所述程序校验信息和所述程序白名单判断所述计算机程序是否具有访问所述文件的权限;
若是,结束判断;
若否,转向步骤S2。
优选地,所述步骤S2包括:
步骤A21:创建一对应于所述文件的镜像文件,并将所述计算机程序的所述处理行为映射至所述镜像文件;
步骤A22:记录所述处理行为以生成监控日志。
优选地,所述步骤S3包括:
步骤A31:根据所述监控日志获取所述处理行为;
步骤A32:生成所述处理行为与一预设的样本行为的相似度;
步骤A33:根据所述相似度判断所述计算机程序是否为勒索病毒;
若是,删除所述镜像文件,随后结束判断;
若否,将所述镜像文件中的变化内容合并至所述文件中,随后结束判断。
优选地,所述步骤S2包括:
步骤B21:创建一对应于所述文件的镜像文件,并将所述计算机程序的所述处理行为映射至所述镜像文件;
步骤B22:当所述处理行为导致所述镜像文件的内容发生改变时,将当前时刻的所述镜像文件作为过程文件,所述过程文件用于表示所述处理行为对所述镜像文件进行的改动。
优选地,所述步骤S3包括:
步骤B31:读取所述过程文件;
步骤B32:根据读取结果判断所述过程文件是否被加密;
若是,认为所述计算机程序是勒索病毒,删除所述镜像文件,随后结束判断;若否,认为所述计算机程序不是勒索病毒,将所述镜像文件中的所述变化内容合并至所述文件中,随后结束判断。
一种勒索病毒的防护系统,用于实施上述的防护方法,包括:
监控模块,所述监控模块获取当前运行的计算机程序的进程;
沙箱模块,所述沙箱模块在所述监控模块的控制下运行所述计算机程序;
判断模块,所述判断模块连接所述沙箱模块,所述判断模块根据所述计算机程序的处理行为判断所述计算机程序是否为所述勒索病毒。
优选地,所述监控模块包括:
进程获取子模块,所述进程获取子模块获取所述进程的内存地址和进程标识;
行为监测子模块,所述行为监测子模块获取所述计算机程序对文件的访问行为;
权限判断子模块,所述权限判断子模块判断所述计算机程序是否具有访问所述文件的权限并生成权限判断结果。
优选地,所述沙箱模块包括:
文件子模块,所述文件子模块根据所述权限判断结果生成所述文件的镜像文件;
隔离子模块,所述隔离子模块根据所述权限判断结果、所述内存地址和所述进程标识在一虚拟化环境中运行所述计算机程序;
所述判断模块包括:
文件监测子模块,所述文件监测子模块以一预设的时间间隔获取所述镜像文件,并根据多个所述镜像文件的变化内容生成处理日志;
校验子模块,所述校验子模块获取所述处理日志并根据所述处理日志判断所述计算机程序是否为所述勒索病毒。
上述技术方案具有如下优点或有益效果:通过设置监控程序实现了在计算机系统中对计算机程序的实时获取并及时移入沙箱,解决了现有技术中对可疑计算机程序需要人工创建沙箱环境对计算机程序进行测试,测试成本较高实时性较差的问题,进而实现了在正常工作环境下对勒索病毒的常态化监控,更好地适应了企业的局域网环境。
附图说明
参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于说明和阐述,并不构成对本发明范围的限制。
图1为本发明实施例的整体流程示意图;
图2为本发明实施例中步骤S1子步骤示意图;
图3为本发明实施例中步骤S2子步骤示意图;
图4为本发明实施例中步骤S3子步骤示意图;
图5为本发明另一实施例中步骤S2子步骤示意图;
图6为本发明另一实施例中步骤S3子步骤示意图;
图7为本发明实施例中的系统原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明包括:
一种勒索病毒的防护方法,适用一监控程序,监控程序读取计算机系统中的各个进程,则如图1所示,防护方法包括:
步骤S1:当一计算机程序访问一文件时,判断计算机程序是否具有访问文件的权限;
若是,结束判断;
若否,转向步骤S2;
步骤S2:将计算机程序的进程移动至一沙箱程序内,并记录计算机程序的处理行为;
步骤S3:根据处理行为判断计算机程序是否为勒索病毒;
若是,对文件和/或处理行为进行处理,随后结束判断;
若否,结束判断。
作为可选的实施方式,在步骤S3中,当判断计算机程序为勒索病毒后,对该计算机程序进行处置,处置行为包括:生成报警信号以通知运维人员进行处置、放弃计算机程序对文件的修改、采用一预先建立的备份镜像对计算机程序访问的文件进行回滚、将计算机程序加入黑名单中的至少一个。
具体地,针对现有技术中,通过沙箱程序对可疑的计算机程序进行单独测试,对勒索病毒的防护和处置耗时较长,且对可疑计算机程序防护不具有实时性的问题,本发明设置了相应的监控程序。通过监控程序在实际的作业环境中对计算机程序进行监测,只有当必要的时候才将计算机程序移入沙箱程序中判断计算机程序是否为勒索病毒,进而实现了整体的勒索病毒的防护过程的高时效性,更为贴合具有大量数据交换、高实时性需求的企业局域网环境。
在实际的实施过程中,监控程序可以是一种包含形如GetCurrentProcess()这类函数或方法的进程监控程序,其可以实时获取当前运行中的计算机程序的进程,以及该进程访问的程序,沙箱程序可以是一种形如sandboxie的简易沙箱程序,其可以在计算机系统中创建独立的虚拟作业环境以及基于真实的磁盘文件在该虚拟作业环境中创建其临时镜像,以供计算机程序正常读取、执行、修改该文件,并且可控制地选择是否允许该计算机程序进行外部通信,或将临时镜像文件的改动合并至真实的磁盘文件中。
在一种较优的实施例中,步骤S1中,采用一预设的程序白名单判断计算机程序是否具有访问文件的权限;
程序白名单中包括:对应于该文件的文件标识信息及对应于可访问该文件的计算机程序的程序校验信息;
其中,文件标识信息包括文件的后缀名、文件的文件名称及文件路径、文件的文件名称中的字段及文件路径中的一种;
程序校验信息包括计算机程序的文件名、计算机程序的文件路径、计算机程序的数字签名、计算机程序的哈希值中的至少一个;
则如图2所示,步骤S1包括:
步骤S11:获取文件的文件标识信息,以及计算机程序的程序校验信息;
步骤S12:根据文件标识信息、程序校验信息和程序白名单判断计算机程序是否具有访问文件的权限;
若是,结束判断;
若否,转向步骤S2。
具体地,在本实施例中,采用了白名单的方式实现了对计算机程序的相关权限的识别。在实际的实施过程中,对于可信任的计算机程序,通过添加白名单的方式可以省去对其进行监测的步骤,进而避免重复监测造成时间和计算资源的浪费。但是,现有技术中的白名单设置方法仅是基于计算机程序名称或是进程名称进行的简单判断,对于具有伪装功能的,如将进程名伪装成形如“svchost.exe”的勒索病毒并不能很好地识别,因此本实施例中采用了该计算机程序访问的文件的后缀名、文件路径、文件名、程序数字签名及哈希值等信息进行进一步判断。当计算机程序及其行为与白名单中的记录不符时,即会触发沙箱程序对计算机程序的行为进行进一步监测,进而实现了对具有伪装功能的勒索病毒的较好的识别效果。
在一种较优的实施例中,如图3所示,步骤S2包括:
步骤A21:创建一对应于文件的镜像文件,并将计算机程序的处理行为映射至镜像文件;
步骤A22:记录处理行为以生成监控日志。
具体地,在本实施例中,针对现有技术中对计算机程序进行检测时,无法满足样本分析与实际作业环境同步防护的实时性要求的问题,本实施例采用了在沙箱程序中创建临时的镜像文件的方法。具体来说,当计算机程序触发了沙箱程序时,沙箱程序会及时创建一现有计算机系统的相同的虚拟作业环境以及对应于该计算机访问的文件的镜像文件,并将该计算机程序所对应的进程、该进程所在的内存地址及内存数据移动至该虚拟作业环境中,以此来实现计算机程序在真实的计算机系统中的操作映射至沙箱程序中的虚拟作业环境,进而不影响用户正常使用该计算机程序。此时,终止在真实的计算机系统中的该计算机程序的进程,同时放弃该计算机程序对磁盘中的文件的改动即可避免勒索病毒对计算机系统造成的损害。
另一方面,为实现对处理行为的监控,本实施例采用了监控日志的方法记录该计算机程序在沙箱程序中的具体行为,以实现对计算机程序的有效监控。
在一种较优的实施例中,如图4所示,步骤S3包括:
步骤A31:根据监控日志获取处理行为;
步骤A32:生成处理行为与一预设的样本行为的相似度;
步骤A33:根据相似度判断计算机程序是否为勒索病毒;
若是,删除镜像文件,随后结束判断;
若否,将镜像文件中的变化内容合并至文件中,随后结束判断。
具体地,为实现对各类勒索病毒较好的识别效果,本实施例中采用了预设的多个样本行为,用于反映常见的勒索病毒的破坏行为,如计算机程序对文件加密并尝试将密钥发送至外网的一个远程地址、计算机程序修改文件名及后缀名等。通过计算处理行为与预设的样本行为的相似度可以获得多个对应于样本行为的置信度。在本实施例中,判断方法可以是设置一对应于置信度的门限值,当达到这一门限值时即表明该计算机行为实行了勒索病毒的破坏行为,以此来实现较好的勒索病毒识别效果,并通过删除镜像文件来避免勒索病毒对真实的磁盘中的文件造成损坏。同时,当判定该计算机程序的行为不属于勒索病毒的破坏行为时,通过将镜像文件的变化内容合并至真实的磁盘中的文件以实现对用户工作内容的保存,避免数据丢失影响用户的正常工作。
在一种较优的实施例中,如图5所示,步骤S2包括:
步骤B21:创建一对应于文件的镜像文件,并将计算机程序的处理行为映射至镜像文件;
步骤B22:当处理行为导致镜像文件的内容发生改变时,将当前时刻的镜像文件作为过程文件,过程文件用于表示处理行为对镜像文件进行的改动。
具体地,在本实施例中,针对现有技术中对计算机程序进行测试时,出于安全考虑用户在该过程中不能运行该计算机程序导致影响用户正常工作的问题,本实施例采用了在沙箱程序中创建临时的镜像文件的方法。具体来说,当计算机程序触发了沙箱程序时,沙箱程序会及时创建一现有计算机系统的相同的虚拟作业环境以及对应于该计算机访问的文件的镜像文件,并将该计算机程序所对应的进程、该进程所在的内存地址及内存数据移动至该虚拟作业环境中,以此来实现计算机程序在真实的计算机系统中的操作映射至沙箱程序中的虚拟作业环境,进而不影响用户正常使用该计算机程序。此时,终止在真实的计算机系统中的该计算机程序的进程,同时放弃该计算机程序对磁盘中的文件的改动即可避免勒索病毒对计算机系统造成的损害。
进一步地,本实施例中,针对WannaCry这类勒索病毒,本实施例采用了记录过程文件的方式来识别该类勒索病毒。该类勒索病毒通常具有对文件进行加密的特性,其设计目的在于入侵用户的计算机系统后,对磁盘内的文件如文档、图片、视频、音频等进行加密、修改文件名称及后缀名,进而使得用户无法正常访问、使用该类文件,并且无法通过常规手段对文件进行恢复,以此来向用户勒索解密程序及密钥。因此,针对该类勒索病毒,通过识别其访问文件的行为并及时将其移入沙箱程序中,可以有效地避免其对真实的磁盘中的文件进行加密,保护了用户的数据。
在一种较优的实施例中,如图6所示,步骤S3包括:
步骤B31:读取过程文件;
步骤B32:根据读取结果判断过程文件是否被加密;
若是,认为计算机程序是勒索病毒,删除镜像文件,随后结束判断;
若否,认为计算机程序不是勒索病毒,将镜像文件中的变化内容合并至文件中,随后结束判断。
具体地,本实施例中,针对WannaCry这类勒索病毒的破坏行为,可以采用简单的文件访问方法判断过程文件是否被该类勒索病毒损坏,比如,在生成过程文件之前,预先获取对应于该镜像文件的文件的后缀名,如.doc、.txt这类文本文件的后缀名,随后采用相应的文档处理程序,如WPS,读取该过程文件,并判断是否能够正常打开文档内容,以此来判断该文件是否被勒索病毒加密。通过上述识别方法可以有效降低对勒索病毒的识别成本,缩短判断的时间,节省计算资源。
作为可选的实施方式,当步骤S3执行完成后,若该计算机程序不是勒索病毒,继续在沙箱程序中运行该计算机程序,并将镜像文件的变化内容合并至文件中,直至该计算机程序结束进程。
一种勒索病毒的防护系统,如图7所示,用于实施上述的防护方法,包括:
监控模块1,监控模块1获取当前运行的计算机程序的进程;
沙箱模块2,沙箱模块2在监控模块的控制下运行计算机程序;
判断模块3,判断模块连接沙箱模块3,判断模块根据计算机程序的处理行为判断计算机程序是否为勒索病毒。
具体地,针对现有技术中,通过沙箱程序对可疑的计算机程序进行单独测试,耗时较长使得计算机程序不具有实时性、用户在测试过程中无法使用该计算机程序的问题,本实施例通过设置监控模块1,在实际的作业环境中对计算机程序进行监测,只有当必要的时候才将计算机程序移动到沙箱模块2中执行,并由判断模块3判断计算机程序是否为勒索病毒,进而实现了整体的勒索病毒的防护过程的高时效性,更为贴合具有大量数据交换、高实时性需求的企业局域网环境。
在一种较优的实施例中,如图7所示,监控模块包括:
进程获取子模块11,进程获取子模块11获取进程的内存地址和进程标识;
行为监测子模块12,行为监测子模块12获取计算机程序对文件的访问行为;
权限判断子模块13,权限判断子模块13判断计算机程序是否具有访问文件的权限并生成权限判断结果。
在一种较优的实施例中,如图7所示,沙箱模块2包括:
文件子模块21,文件子模块21根据权限判断结果生成文件的镜像文件;
隔离子模块22,隔离子模块22根据权限判断结果、内存地址和进程标识在一虚拟化环境中运行计算机程序。
在一种较优的实施例中,判断模块3包括:
文件监测子模块31,文件监测子模块31以一预设的时间间隔获取镜像文件,并根据多个镜像文件的变化内容生成处理日志;
校验子模块32,校验子模块32获取处理日志并根据处理日志判断计算机程序是否为勒索病毒。
本发明的有益效果在于:通过设置监控程序实现了在计算机系统中对计算机程序的实时获取并及时移入沙箱,解决了现有技术中对可疑计算机程序需要人工创建沙箱环境对计算机程序进行测试,测试成本较高实时性较差的问题,进而实现了在正常工作环境下对勒索病毒的常态化监控,更好地适应了企业的局域网环境。
以上仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (9)
1.一种勒索病毒的防护方法,其特征在于,适用一监控程序,所述监控程序读取计算机系统中的各个进程,则所述防护方法包括:
步骤S1:当一计算机程序访问一文件时,判断所述计算机程序是否具有访问所述文件的权限;
若是,结束判断;
若否,转向步骤S2;
步骤S2:将所述计算机程序的进程移动至一沙箱程序内,并记录所述计算机程序的处理行为;
步骤S3:根据所述处理行为判断所述计算机程序是否为勒索病毒;
若是,对所述文件和/或所述处理行为进行处理,随后结束判断;
若否,结束判断。
2.根据权利要求1所述的防护方法,其特征在于,所述步骤S1中,采用一预设的程序白名单判断所述计算机程序是否具有访问所述文件的权限;
程序白名单中包括:对应于所述文件的文件标识信息及对应于可访问所述文件的计算机程序的程序校验信息;
其中,所述文件标识信息包括所述文件的后缀名、所述文件的文件名称及所述文件路径、所述文件的文件名称中的字段及文件路径中的一个;
所述程序校验信息包括所述计算机程序的文件名、所述计算机程序的文件路径、所述计算机程序的数字签名、所述计算机程序的哈希值中的至少一个;
则所述步骤S1包括:
步骤S11:获取所述文件的所述文件标识信息,以及所述计算机程序的所述程序校验信息;
步骤S12:根据所述文件标识信息、所述程序校验信息和所述程序白名单判断所述计算机程序是否具有访问所述文件的权限;
若是,结束判断;
若否,转向步骤S2。
3.根据权利要求1所述的防护方法,其特征在于,所述步骤S2包括:
步骤A21:创建一对应于所述文件的镜像文件,并将所述计算机程序的所述处理行为映射至所述镜像文件;
步骤A22:记录所述处理行为以生成监控日志。
4.根据权利要求3所述的防护方法,其特征在于,所述步骤S3包括:
步骤A31:根据所述监控日志获取所述处理行为;
步骤A32:生成所述处理行为与一预设的样本行为的相似度;
步骤A33:根据所述相似度判断所述计算机程序是否为勒索病毒;
若是,删除所述镜像文件,随后结束判断;
若否,将所述镜像文件中的变化内容合并至所述文件中,随后结束判断。
5.根据权利要求1所述的防护方法,其特征在于,所述步骤S2包括:
步骤B21:创建一对应于所述文件的镜像文件,并将所述计算机程序的所述处理行为映射至所述镜像文件;
步骤B22:当所述处理行为导致所述镜像文件的内容发生改变时,将当前时刻的所述镜像文件作为过程文件,所述过程文件用于表示所述处理行为对所述镜像文件进行的改动。
6.根据权利要求5所述的的防护方法,其特征在于,所述步骤S3包括:
步骤B31:读取所述过程文件;
步骤B32:根据读取结果判断所述过程文件是否被加密;
若是,认为所述计算机程序是勒索病毒,删除所述镜像文件,随后结束判断;若否,认为所述计算机程序不是勒索病毒,将所述镜像文件中的所述变化内容合并至所述文件中,随后结束判断。
7.一种勒索病毒的防护系统,其特征在于,用于实施如权利要求1-6任意一项所述的防护方法,包括:
监控模块,所述监控模块获取当前运行的计算机程序的进程;
沙箱模块,所述沙箱模块在所述监控模块的控制下运行所述计算机程序;
判断模块,所述判断模块连接所述沙箱模块,所述判断模块根据所述计算机程序的处理行为判断所述计算机程序是否为所述勒索病毒。
8.根据权利要求7所述的防护系统,其特征在于,所述监控模块包括:
进程获取子模块,所述进程获取子模块获取所述进程的内存地址和进程标识;
行为监测子模块,所述行为监测子模块获取所述计算机程序对文件的访问行为;
权限判断子模块,所述权限判断子模块判断所述计算机程序是否具有访问所述文件的权限并生成权限判断结果。
9.根据权利要求8所述的防护系统,其特征在于,所述沙箱模块包括:
文件子模块,所述文件子模块根据所述权限判断结果生成所述文件的镜像文件;
隔离子模块,所述隔离子模块根据所述权限判断结果、所述内存地址和所述进程标识在一虚拟化环境中运行所述计算机程序;
所述判断模块包括:
文件监测子模块,所述文件监测子模块以一预设的时间间隔获取所述镜像文件,并根据多个所述镜像文件的变化内容生成处理日志;
校验子模块,所述校验子模块获取所述处理日志并根据所述处理日志判断所述计算机程序是否为所述勒索病毒。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111458735.5A CN114186222A (zh) | 2021-12-01 | 2021-12-01 | 一种勒索病毒的防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111458735.5A CN114186222A (zh) | 2021-12-01 | 2021-12-01 | 一种勒索病毒的防护方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114186222A true CN114186222A (zh) | 2022-03-15 |
Family
ID=80603231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111458735.5A Withdrawn CN114186222A (zh) | 2021-12-01 | 2021-12-01 | 一种勒索病毒的防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114186222A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886406A (zh) * | 2023-08-04 | 2023-10-13 | 广州市博立信息科技有限公司 | 一种计算机网络数据安全智能防护系统 |
-
2021
- 2021-12-01 CN CN202111458735.5A patent/CN114186222A/zh not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886406A (zh) * | 2023-08-04 | 2023-10-13 | 广州市博立信息科技有限公司 | 一种计算机网络数据安全智能防护系统 |
CN116886406B (zh) * | 2023-08-04 | 2024-01-30 | 广州市博立信息科技有限公司 | 一种计算机网络数据安全智能防护系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3462698B1 (en) | System and method of cloud detection, investigation and elimination of targeted attacks | |
US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
US20160371152A1 (en) | System and method of restoring modified data | |
CN107004088B (zh) | 确定装置、确定方法及记录介质 | |
US9690598B2 (en) | Remotely establishing device platform integrity | |
CN107563199A (zh) | 一种基于文件请求监控的勒索软件实时检测与防御方法 | |
CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
CN101877039A (zh) | 一种服务器操作系统的故障检测技术 | |
JP2010182019A (ja) | 異常検知装置およびプログラム | |
CN110135151B (zh) | 基于lsm与系统调用拦截相配合的可信计算实现系统及方法 | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
Kara | A basic malware analysis method | |
CN105760787A (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
KR101223594B1 (ko) | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 | |
Hamed et al. | Protecting windows OS against local threats without using antivirus | |
CN114186222A (zh) | 一种勒索病毒的防护方法及系统 | |
US9967263B2 (en) | File security management apparatus and management method for system protection | |
Zhan et al. | A high-performance virtual machine filesystem monitor in cloud-assisted cognitive IoT | |
KR20130074224A (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
RU2622630C2 (ru) | Система и способ восстановления модифицированных данных | |
Petkovic et al. | A host based method for data leak protection by tracking sensitive data flow | |
CN107231365B (zh) | 一种取证的方法及服务器以及防火墙 | |
US20230315855A1 (en) | Exact restoration of a computing system to the state prior to infection | |
CN110874474A (zh) | 勒索者病毒防御方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220315 |
|
WW01 | Invention patent application withdrawn after publication |