CN114969772B - 加密文件的恢复方法、装置、电子设备和存储介质 - Google Patents
加密文件的恢复方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114969772B CN114969772B CN202210203568.8A CN202210203568A CN114969772B CN 114969772 B CN114969772 B CN 114969772B CN 202210203568 A CN202210203568 A CN 202210203568A CN 114969772 B CN114969772 B CN 114969772B
- Authority
- CN
- China
- Prior art keywords
- file
- protected
- protection area
- preset protection
- addressing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Quality & Reliability (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及计算机安全技术领域,提供了一种加密文件的恢复方法、装置、电子设备和存储介质。所述方法包括:本实施例通过获取待保护文件,在确定待保护文件被勒索病毒进行加密时,从预设保护区获取待保护文件的备份文件,其中,预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址,第二预设保护区用来存储待保护文件在预设数据区的第二编址,第三预设保护区用来存储所述备份文件;基于备份文件,对待保护文件进行恢复。采用该方式能够节省系统资源消耗,提高对待保护文件的恢复效率。
Description
技术领域
本公开涉及计算机安全技术领域,特别是涉及一种加密文件的恢复方法、装置、电子设备和存储介质。
背景技术
勒索病毒是一种常见的、危害性较大的新型计算机病毒,近年来被越来越多的不法分子青睐,该病毒主要以邮件、程序木马、网页挂马的形式进行传播,以此对计算机中的文件进行加密,被加密的文件将无法自行解密,在加密文件需要被解密时,需要向勒索病毒提供者支付赎金以获取私钥,以此实现对加密文件的恢复,因此,一旦感染勒索病毒将会给用户带来巨大损失。
现有技术中,通过采用持续数据保护(Continuous Data Protection,CDP)技术实时监控每个文件的IO操作,当捕捉到对文件的数据有所改动的行为时,提取数据改动的IO指令形成IO日志,基于此,在文件被加密时,需要对加密文件进行恢复时,能够通过IO日志选择需要恢复到的时间点即可实现加密文件的恢复。
然而,采用现有技术,需要监控每个文件的IO操作,导致需要占用较多的CPU资源,造成系统资源消耗大,降低对加密文件的恢复效率。
发明内容
基于此,有必要针对上述技术问题,提供了一种加密文件的恢复方法、装置、电子设备和存储介质。
本公开实施例提供了一种加密文件的恢复方法,应用于超融合系统,所述方法包括:
获取待保护文件;
在确定所述待保护文件被勒索病毒进行加密时,从预设保护区获取所述待保护文件的备份文件,其中,所述预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,所述第一预设保护区用来存储所述待保护文件的文件标识、初始路径、以及所述备份文件在所述第三预设保护区的第一编址,所述第一编址包括所述备份文件的起始编址、结束编址、起始偏移以及结束偏移,所述第二预设保护区用来存储所述待保护文件在预设数据区的第二编址,所述第三预设保护区用来存储所述备份文件;
基于所述备份文件,对所述待保护文件进行恢复。
在一个实施例中,所述方法还包括:
在获取所述待保护文件时,创建所述待保护文件对应的所述预设保护区;
将所述待保护文件的所述文件标识、所述初始路径保存在所述第一预设保护区。
在一个实施例中,在确定所述待保护文件被勒索病毒进行加密之前,还包括:
获取所述待保护文件在所述预设数据区的第二编址,并保存在所述第二预设保护区。
在一个实施例中,所述方法还包括:
获取所述待保护文件的大小,以确定所述备份文件的大小;
基于所述备份文件的大小,在所述第三预设保护区确定所述备份文件的所述第一编址,并将所述第一编址保存至所述第一预设保护区。
在一个实施例中,所述方法还包括:
基于所述待保护文件在所述预设数据区的第二编址,获取所述待保护文件的文件内容,并进行备份,以得到所述备份文件;
基于所述第一编址,将所述备份文件保存至所述第三预设保护区。
在一个实施例中,所述将所述备份文件保存至所述第三预设保护区之后,还包括:
在所述第二预设保护区更新所述待保护文件的第二编址。
在一个实施例中,所述从预设保护区获取所述待保护文件的备份文件,包括:
从所述第一预设保护区获取所述备份文件的第一编址;
基于所述第一编址,从所述第三预设保护区获取所述备份文件。
本公开实施例提供了一种加密文件的恢复装置,其特征在于,包括:
待保护文件获取模块,用于获取待保护文件;
备份文件获取模块,用于在确定所述待保护文件被勒索病毒进行加密时,从预设保护区获取所述待保护文件的备份文件,其中,所述预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,所述第一预设保护区用来存储所述待保护文件的文件标识、初始路径、以及所述备份文件在所述第三预设保护区的第一编址,所述第一编址包括所述备份文件的起始编址、结束编址、起始偏移以及结束偏移,所述第二预设保护区用来存储所述待保护文件在预设数据区的第二编址,所述第三预设保护区用来存储所述备份文件;
待保护文件恢复模块,用于基于所述备份文件,对所述待保护文件进行恢复。
本公开实施例提供了一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现本公开任意实施例所提供的一种加密文件的恢复方法的步骤。
本公开实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本公开任意实施例所提供的一种加密文件的恢复方法的步骤。
本公开实施例所提供的加密文件的恢复方法,通过获取待保护文件,在确定待保护文件被勒索病毒进行加密时,从预设保护区获取待保护文件的备份文件,其中,预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在所述第三预设保护区的第一编址,第一编址包括备份文件的起始编址、结束编址、起始偏移以及结束偏移,第二预设保护区用来存储待保护文件在预设数据区的第二编址,第三预设保护区用来存储所述备份文件;基于备份文件,对待保护文件进行恢复。这样,在确定指定的待保护文件时,只需要监控待保护文件是否进行加密操作,避免现有技术中需要监控每个文件频繁的IO操作,且在待保护文件被加密时,能够快速的从预设保护区获取备份文件,对待保护文件的进行恢复,从而节省系统资源消耗,提高对待保护文件的恢复效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种加密文件的恢复方法的流程示意图;
图2为本公开实施例提供的另一种加密文件的恢复方法的流程示意图;
图3为本公开实施例提供的再一种加密文件的恢复方法的流程示意图;
图4为本公开实施例提供的又一种加密文件的恢复方法的流程示意图;
图5为本公开实施例提供的又一种加密文件的恢复方法的流程示意图;
图6为本公开实施例提供的一种加密文件的恢复装置的结构示意图;
图7为本公开实施例提供的电子设备的内部结构图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
勒索病毒是一种常见的、危害性较大的新型计算机病毒,近年来被越来越多的不法分子青睐,该病毒主要以邮件、程序木马、网页挂马的形式进行传播,以此对计算机中的文件进行加密,被加密的文件将无法自行解密,在加密文件需要被解密时,需要向勒索病毒提供者支付赎金以获取私钥,以此实现对加密文件的恢复,因此,一旦感染勒索病毒将会给用户带来巨大损失。
现有技术中,通过采用持续数据保护(Continuous Data Protection,CDP)技术实时监控每个文件的IO操作,当捕捉到对文件的数据有所改动的行为时,提取数据改动的IO指令形成IO日志,基于此,在文件被加密时,需要对加密文件进行恢复时,能够通过IO日志选择需要恢复到的时间点即可实现加密文件的恢复。采用现有技术,需要监控每个文件的IO操作,导致需要占用较多的CPU资源,造成系统资源消耗大,降低对加密文件的恢复效率。
本公开提供了一种加密文件的恢复方法,通过获取待保护文件,在确定待保护文件被勒索病毒进行加密时,从预设保护区获取待保护文件的备份文件,其中,预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址,第一编址包括备份文件的起始编址、结束编址、起始偏移以及结束偏移,第二预设保护区用来存储待保护文件在预设数据区的第二编址,第三预设保护区用来存储所述备份文件;基于备份文件,对待保护文件进行恢复。这样,在确定指定的待保护文件时,只需要监控待保护文件是否进行加密操作,避免现有技术中需要监控每个文件频繁的IO操作,且在待保护文件被加密时,能够快速的从预设保护区获取备份文件,对待保护文件的进行恢复,从而节省系统资源消耗,提高对待保护文件的恢复效率。
本公开提供的加密文件的恢复方法可以应用在加密文件的恢复装置,该装置可以为各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等电子设备,可选的,该装置还可以为这些电子设备中可以实现数据处理方法的功能模块或者功能实体。
在一个实施例中,如图1所示,图1为本公开实施例提供的一种加密文件的恢复方法的流程示意图,具体包括以下步骤:
S11:获取待保护文件。
其中,待保护文件是指存储在超融合系统中虚拟磁盘上,被设置为需要保护的文件,该文件可以是文档文件、图片文件、文本文件、压缩文件等,示例性的,可以通过用户指示,以此设置一个或多个文件为待保护文件,例如,设置文档文件A,或者是图片文件B、图片文件C为待保护文件,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
上述超融合系统是指包含存储管理软件和商用硬件,通常应用虚拟存储设备,主要是由物理服务器如宿主机组成的集群系统,其存储通常采用分布式存储系统,将集群宿主机的物理磁盘,通过分布式存储系统统一管理,并抽象成存储资源池,为计算提供存储能力。目前,随着私有云领域的快速发展,超融合系统架构的云平台基于其灵活性与易用性,被用户的接收度越来越高。
S13:在确定待保护文件被勒索病毒进行加密时,从预设保护区获取待保护文件的备份文件。
其中,预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址,第一编址包括备份文件的起始编址、结束编址、起始偏移以及结束偏移,第二预设保护区用来存储待保护文件在预设数据区的第二编址,第三预设保护区用来存储备份文件。
基于上述实施例,其中,预设保护区是指用来存储待保护文件的相关信息,是由虚拟磁盘的磁盘块组成的,需要注意的是,只有在获取待保护文件时,即用户设置需要进行保护的文件时,才会创建待保护文件对应的预设保护区,即,通过创建磁盘块,以实现对预设保护区的创建。基于此,第一预设保护区、第二预设保护区以及第三预设保护区也是由虚拟磁盘的磁盘块组成的。
预设数据区是指用来存储待保护文件对应的文件内容的,预设数据区也是由虚拟磁盘的磁盘块组成的,示例性的,通过文件系统映射,将待保护文件散布在虚拟磁盘块中,又由于磁盘块是由分布式存储系统提供,即,虚拟磁盘块分布在分布式集群系统的各个节点中,则虚拟机能够在集群中任意迁移,虚拟磁盘也能够实现在虚拟机所在的宿主机中同步创建,从而将待保护文件对应的文件内容存储在虚拟磁盘块中,即,预设数据区。
文件标识是指用来表示待保护文件的唯一标识,任意一个待保护文件对应唯一一个文件标识,示例性的,对于待保护文件A,其对应的文件标识可以是1。初始路径是指待保护文件在文件系统中最原始的存储路径,示例性的,对于待保护文件A,初始路径可以是“/path/文件A”,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
备份文件是指通过拷贝待保护文件,以得到的文件,其和待保护文件具有相同的文件大小、文件内容等。
第一编址是指备份文件在第三预设保护区的存储位置信息,基于该第一编址能够快速的在第三预设保护区找到备份文件对应的文件内容,示例性的,在第一预设保护区,可以通过创建表格存储该备份文件对应的第一编址,即存储备份文件对应的起始编址、结束编址、起始偏移以及结束偏移,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
第二编址是指待保护文件在预设数据区存储位置信息,示例性的,在第二预设保护区中,可以利用数组存储待保护文件在预设数据区存储位置信息,其中,数组中的元素为8字节的整数,数组的大小与预设数据区的长度相同,数组下标与待保护文件在预设数据区的编址对应,数组元素记录待保护文件对应的文件标识,以此标识在该预设数据区中的第几个磁盘块中存储待保护文件的文件内容,可以理解的是,对于数组元素,若数值为0时,表示该磁盘块没有被保护文件的文件内容,若数值为待保护文件对应的文件标识如1时,表示该磁盘块有待保护文件的文件内容,即对应的磁盘块此时禁止写入数据等操作,以此防止待保护文件被覆盖,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
具体的,在确定待保护文件被勒索病毒进行加密处理之后,可以从预设保护区获取待保护文件的备份文件。
在上述实施例的基础上,在本公开的一些实施例中,从预设保护区获取所述待保护文件的备份文件,一种可以实现的方式为:
从第一预设保护区获取备份文件的第一编址。
基于第一编址,从第三预设保护区获取备份文件。
具体的,当确定待保护文件被勒索病毒进行加密处理后,从第一预设保护区中可以已知待保护文件对应的备份文件在第三预设保护区的第一编址,即在第三预设保护区的存储位置。基于该第一编址,获取备份文件。
示例性的,对于待保护文件A,可以在第一预设保护区中的表格中获取待保护文件A对应的备份文件在第三预设保护区的第一编址,该第一编址包括备份文件的起始编址如0、结束编址如1、起始偏移如20480以及结束偏移524287,根据得到的第一编址,从第三预设保护区对应的磁盘块读取备份文件。
S15:基于备份文件,对待保护文件进行恢复。
具体的,根据从第三预设保护区读取的备份文件,对已经被加密的待保护文件进行恢复。
示例性的,对于待保护文件A,当用户查看并指定需要恢复该文件A时,此时agent创建一个要恢复的文件A,并将基于第一编址,在第三预设保护区读取的备份文件对应的文件内容传输至agent,agent收到数据后,将备份文件的文件内容写入创建的文件A中,以此实现对待保护文件的恢复,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
这样,本实施例通过获取待保护文件,在确定待保护文件被勒索病毒进行加密时,从预设保护区获取待保护文件的备份文件,其中,预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址,第一编址包括备份文件的起始编址、结束编址、起始偏移以及结束偏移,第二预设保护区用来存储待保护文件在预设数据区的第二编址,第三预设保护区用来存储所述备份文件;基于备份文件,对待保护文件进行恢复。这样,在确定指定的待保护文件时,只需要监控待保护文件是否进行加密操作,避免现有技术中需要监控每个文件频繁的IO操作,且在待保护文件被加密时,能够快速的从预设保护区获取备份文件,对待保护文件的进行恢复,从而节省系统资源消耗,提高对待保护文件的恢复效率。
在上述实施例的基础上,在本公开的一些实施例中,如图2所示,进一步的,还包括:
S111:在获取待保护文件时,创建待保护文件对应的预设保护区。
S112:将待保护文件的文件标识、初始路径保存在第一预设保护区。
具体的,在确定待保护文件时,相应的创建待保护文件对应的预设保护区,并将该待保护文件对应的文件标识、初始路径存储在第一预设保护区。
示例性的,对于待保护文件A,agent将其对应的初始路径传输至宿主机的存储管理模块,存储管理模块将初始路径和文件标识保存至第一预设保护区,例如可以通过建立表格,将初始路径如“/path/文件A”,以及生成待保护文件A对应的文件标识如1记录在表格中,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
图3为本公开实施例提供的再一种加密文件的恢复方法的流程示意图,如图3所示,在确定待保护文件被勒索病毒进行加密之前,还包括:
S121:获取待保护文件在预设数据区的第二编址,并保存在第二预设保护区。
示例性的,针对待保护文件A,agent通过HOOK删除函数在操作系统中,截获到待保护文件A要被加密删除时,此时在HOOK删除函数中获取待保护文件A在预设数据区的第二编址,并传输至存储管理模块,存储管理模块在第一预设保护区中查询对应的文件标识,并根据该待保护文件A在预设数据区的第二编址进行更新,并保存在第二预设保护区中的数组中。
图4为本公开实施例提供的又一种加密文件的恢复方法的流程示意图,如图4所示,进一步的,还包括:
S122:获取待保护文件的大小,以确定备份文件的大小。
S123:基于备份文件的大小,在第三预设保护区确定备份文件的第一编址,并将第一编址保存至第一预设保护区。
示例性的,针对待保护文件A,agent通过HOOK删除函数中在操作系统中,截获到待保护文件A要被加密删除时,此时在HOOK删除函数中获取到待保护文件A的起始偏移与结束偏移,以得到待保护文件A的大小,以此确定备份文件的大小,根据备份文件的大小在第三预设保护区中寻找存储空间,即存储空间对应的位置为备份文件的第一编址,并将备份文件的第一编址保存至第一预设保护区。
这样,本实施例通过确定备份文件在第三预设保护区的第一编址,并保存至第一预设保护区,能够使得在对待保护文件进行恢复时,可以利用保存在第一预设保护区的第一编址,快速的读取待保护文件对应的备份文件的文件内容。
图5为本公开实施例提供的又一种加密文件的恢复方法的流程示意图,如图5所示,进一步的,还包括:
S124:基于待保护文件在预设数据区的第二编址,获取待保护文件的文件内容,并进行备份,以得到备份文件。
S125:基于第一编址,将备份文件保存至第三预设保护区。
示例性的,针对待保护文件A,在第二预设保护区中获取待保护文件在预设数据区的第二编址,根据该第二编址,在预设数据区中读取待保护文件对应的文件内容,并进行拷贝备份,以得到备份文件,并基于第一编址,将备份文件的文件内容保存至第三预设保护区。
可选的,在上述实施例的基础上,在本公开的一些实施例中,将备份文件保存至第三预设保护区之后,还包括:
在第二预设保护区更新待保护文件的第二编址。
具体的,当将待保护文件的文件内容进行拷贝备份,得到备份文件并保存至第三预设保护区之后,对保存在第二预设保护区的待保护文件对应的第二编址进行更新处理。
示例性的,利用数组存储待保护文件预设数据区存储位置信息,将数组下标与待保护文件在预设数据区的编址对应,数组元素记录待保护文件对应的文件标识,以此标识在该预设数据区中的第几个磁盘块中存储待保护文件的文件内容,示例性的,当将待保护文件A、文件标识为1的文件内容进行拷贝备份之后,将在预设数据区的编址对应的数组元素的值更新为0,使得该预设数据区的磁盘块可以快速写入其他文件内容,以此释放磁盘的内存。但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
这样,本实施例通过在将待保护文件进行拷贝备份之后,实时的对保存在第二预设保护区的待保护文件的第二编址进行更新,使得该预设数据区的磁盘块可以快速写入其他文件内容,以此释放磁盘的内存。
图6为本公开实施例提供的一种加密文件的恢复装置,包括:待保护文件获取模块11、备份文件获取模块13以及待保护文件恢复模块15。
其中,待保护文件获取模块11,用于获取待保护文件。
备份文件获取模块13,用于在确定待保护文件被勒索病毒进行加密时,从预设保护区获取待保护文件的备份文件,其中,预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址,第一编址包括备份文件的起始编址、结束编址、起始偏移以及结束偏移,第二预设保护区用来存储待保护文件在预设数据区的第二编址,第三预设保护区用来存储备份文件。
待保护文件恢复模块15,用于基于备份文件,对待保护文件进行恢复。
在上述实施例中,待保护文件获取模块11,还包括:预设保护区创建模块和保存模块,其中,预设保护区创建模块用于在获取待保护文件时,创建待保护文件对应的预设保护区。第一保存模块,用于将待保护文件的文件标识、初始路径保存在第一预设保护区。
在上述实施例中,保存模块,还用于获取所述待保护文件在所述预设数据区的第二编址,并保存在所述第二预设保护区。
在上述实施例中,所述装置还包括,备份文件获取模块,用于获取所述待保护文件的大小,以确定所述备份文件的大小。保存模块,还用于基于备份文件的大小,在第三预设保护区确定备份文件的第一编址,并将第一编址保存至第一预设保护区。
在上述实施例中,备份文件获取模块,还用于基于待保护文件在预设数据区的第二编址,获取待保护文件的文件内容,并进行备份,以得到备份文件。保存模块,还用于基于第一编址,将备份文件保存至第三预设保护区。
在上述实施例中,所述装置还包括,更新模块,用于在所述第二预设保护区更新所述待保护文件的第二编址。
在上述实施例中,备份文件获取模块13,具体用于从第一预设保护区获取备份文件的第一编址;基于第一编址,从第三预设保护区获取备份文件。
这样,本实施例通过待保护文件获取模块11,用于获取待保护文件。备份文件获取模块13,用于在确定待保护文件被勒索病毒进行加密时,从预设保护区获取待保护文件的备份文件,其中,预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,第一预设保护区用来存储待保护文件的文件标识、初始路径、以及备份文件在第三预设保护区的第一编址,第一编址包括备份文件的起始编址、结束编址、起始偏移以及结束偏移,第二预设保护区用来存储待保护文件在预设数据区的第二编址,第三预设保护区用来存储备份文件。待保护文件恢复模块15,用于基于备份文件,对待保护文件进行恢复。这样,在确定指定的待保护文件时,只需要监控待保护文件是否进行加密操作,避免现有技术中需要监控每个文件频繁的IO操作,且在待保护文件被加密时,能够快速的从预设保护区获取备份文件,对待保护文件的进行恢复,从而节省系统资源消耗,提高对待保护文件的恢复效率。
本实施例的装置对应的可用于执行上述图1到图5任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开实施例提供了一种电子设备,如图7所示,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时可以实现本公开实施例提供的加密文件的恢复方法,例如,处理器执行计算机程序时可以实现图1到图5任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时可以实现本公开实施例提供的加密文件的恢复方法,例如,计算机程序被处理器执行时实现图1到图5任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种加密文件的恢复方法,其特征在于,应用于超融合系统,所述方法包括:
获取待保护文件;
在确定所述待保护文件被勒索病毒进行加密时,从预设保护区获取所述待保护文件的备份文件,其中,所述预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,所述第一预设保护区用来存储所述待保护文件的文件标识、初始路径、以及所述备份文件在所述第三预设保护区的第一编址,所述第一编址包括所述备份文件的起始编址、结束编址、起始偏移以及结束偏移,所述第二预设保护区用来存储所述待保护文件在预设数据区的第二编址,所述第三预设保护区用来存储所述备份文件;
基于所述备份文件,对所述待保护文件进行恢复。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在获取所述待保护文件时,创建所述待保护文件对应的所述预设保护区;
将所述待保护文件的所述文件标识、所述初始路径保存在所述第一预设保护区。
3.根据权利要求1所述的方法,其特征在于,在确定所述待保护文件被勒索病毒进行加密之前,还包括:
获取所述待保护文件在所述预设数据区的第二编址,并保存在所述第二预设保护区。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
获取所述待保护文件的大小,以确定所述备份文件的大小;
基于所述备份文件的大小,在所述第三预设保护区确定所述备份文件的所述第一编址,并将所述第一编址保存至所述第一预设保护区。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
基于所述待保护文件在所述预设数据区的第二编址,获取所述待保护文件的文件内容,并进行备份,以得到所述备份文件;
基于所述第一编址,将所述备份文件保存至所述第三预设保护区。
6.根据权利要求5所述的方法,其特征在于,所述将所述备份文件保存至所述第三预设保护区之后,还包括:
在所述第二预设保护区更新所述待保护文件的第二编址。
7.根据权利要求1所述的方法,其特征在于,所述从预设保护区获取所述待保护文件的备份文件,包括:
从所述第一预设保护区获取所述备份文件的第一编址;
基于所述第一编址,从所述第三预设保护区获取所述备份文件。
8.一种加密文件的恢复装置,其特征在于,包括:
待保护文件获取模块,用于获取待保护文件;
备份文件获取模块,用于在确定所述待保护文件被勒索病毒进行加密时,从预设保护区获取所述待保护文件的备份文件,其中,所述预设保护区包括第一预设保护区、第二预设保护区以及第三预设保护区,所述第一预设保护区用来存储所述待保护文件的文件标识、初始路径、以及所述备份文件在所述第三预设保护区的第一编址,所述第一编址包括所述备份文件的起始编址、结束编址、起始偏移以及结束偏移,所述第二预设保护区用来存储所述待保护文件在预设数据区的第二编址,所述第三预设保护区用来存储所述备份文件;
待保护文件恢复模块,用于基于所述备份文件,对所述待保护文件进行恢复。
9.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述加密文件的恢复方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述加密文件的恢复方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210203568.8A CN114969772B (zh) | 2022-03-03 | 2022-03-03 | 加密文件的恢复方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210203568.8A CN114969772B (zh) | 2022-03-03 | 2022-03-03 | 加密文件的恢复方法、装置、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114969772A CN114969772A (zh) | 2022-08-30 |
CN114969772B true CN114969772B (zh) | 2022-11-29 |
Family
ID=82975671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210203568.8A Active CN114969772B (zh) | 2022-03-03 | 2022-03-03 | 加密文件的恢复方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114969772B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106096447A (zh) * | 2016-06-15 | 2016-11-09 | 杭州华三通信技术有限公司 | 一种文件保护方法及装置 |
CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
CN112115002A (zh) * | 2020-09-21 | 2020-12-22 | 武汉轻工大学 | 从损坏或不可信机械硬盘恢复文件的方法及装置 |
CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
CN113407376A (zh) * | 2021-06-18 | 2021-09-17 | 北京金山云网络技术有限公司 | 一种数据恢复方法、装置及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190158512A1 (en) * | 2017-11-20 | 2019-05-23 | Fortinet, Inc. | Lightweight anti-ransomware system |
-
2022
- 2022-03-03 CN CN202210203568.8A patent/CN114969772B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106096447A (zh) * | 2016-06-15 | 2016-11-09 | 杭州华三通信技术有限公司 | 一种文件保护方法及装置 |
CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
CN112115002A (zh) * | 2020-09-21 | 2020-12-22 | 武汉轻工大学 | 从损坏或不可信机械硬盘恢复文件的方法及装置 |
CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
CN113407376A (zh) * | 2021-06-18 | 2021-09-17 | 北京金山云网络技术有限公司 | 一种数据恢复方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114969772A (zh) | 2022-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI786399B (zh) | 用於基於雲端的資料保護服務之後處理之非暫時性電腦可存取儲存媒體、方法及電腦系統 | |
US8805788B2 (en) | Transactional virtual disk with differential snapshots | |
US8631203B2 (en) | Management of external memory functioning as virtual cache | |
US10204235B2 (en) | Content item encryption on mobile devices | |
US20180357133A1 (en) | Anti-malware protection using volume filters | |
US9952933B1 (en) | Fingerprint change during data operations | |
JP2014515858A (ja) | 実行中の命令を再結合する方法および装置 | |
WO2012145915A1 (zh) | 数据安全读取方法及装置 | |
JP6255336B2 (ja) | 安全なデータ格納方法およびデバイス | |
Wang et al. | Mimosaftl: adding secure and practical ransomware defense strategy to flash translation layer | |
US11797206B2 (en) | Hash migration using a gold image library management system | |
Xie et al. | Enabling accurate data recovery for mobile devices against malware attacks | |
CN114969772B (zh) | 加密文件的恢复方法、装置、电子设备和存储介质 | |
Chen et al. | The block-based mobile pde systems are not secure-experimental attacks | |
CN113778826B (zh) | 一种日志处理方法及装置 | |
Hsu et al. | Data concealments with high privacy in new technology file system | |
JP2022155462A (ja) | 仮想マシンの分散型エージェントによるバックアップを行うシステムおよび方法 | |
KR101552580B1 (ko) | 모바일 기기를 포함하는 시스템 복원 및 멀티 운영체제를 지원하는 백업 방법 | |
US20230119688A1 (en) | Ransomware-Aware Solid-State Drive | |
US20230336339A1 (en) | Automatic key cleanup to better utilize key table space | |
TW200839504A (en) | Method for restoration data backup | |
CN107209727B (zh) | 存储系统 | |
CN117763636A (zh) | 数据写入方法,恢复方法,读取方法以及对应装置 | |
CN116501550A (zh) | 加密型勒索软件的数据恢复方法 | |
JP2018041163A (ja) | マルウエア検知プログラム、マルウエア検知装置及びマルウエア検知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |