WO2018108051A1 - 一种系统管理方法及装置、存储介质 - Google Patents

Abstract

一种系统管理方法及装置、存储介质，方法包括：电子设备启动后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序（101）；基于所述启动顺序加载处于第一启动顺序的目标应用（102）；依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理（103）；其中，N为大于等于2的整数；其中，所述基于所述目标应用至少针对所述文件系统或应用进行写入处理，包括：确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

Description

一种系统管理方法及装置、存储介质

相关申请的交叉引用

本申请基于申请号为201611159444.5、申请日为2016年12月15日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本发明涉及信息处理领域中的设备管理技术，尤其涉及一种系统管理方法及装置、存储介质。

背景技术

随着杀毒软件监控查杀越来越强力，病毒为生存而对抗杀软的方法也越来越隐蔽，很多病毒通过自动消失、自动变形、自动复活等技术来躲避杀毒软件的查杀，而面对这些技术，传统的查杀技术往往无法准确定位病毒并查杀。

但是，已有的冻结技术，不能处理操作系统重启后，在文件系统驱动加载之前，或加载之后且查杀驱动加载之前启动的病毒样本对系统数据的写入，从而存在无法全面保证电子设备的安全性的问题。

发明内容

本发明实施例提供一种系统管理方法及装置、存储介质，能至少解决现有技术中存在的上述问题。

本发明实施例的技术方案是这样实现的：

本发明实施例提供一种系统管理方法，所述方法包括：

电子设备启动后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；

基于所述启动顺序加载处于第一启动顺序的目标应用；

依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理；其中，N为大于等于2的整数；

其中，所述基于所述目标应用至少针对所述文件系统或应用进行写入处理，包括：确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

本发明实施例提供一种系统管理装置，所述电子设备包括：

初始单元，配置为电子设备启动后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；

处理单元，配置为基于所述启动顺序加载处于第一启动顺序的目标应用；依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理；其中，N为大于等于2的整数；

其中，所述处理单元，还配置为确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

本发明实施例中提供的系统管理方法及装置、存储介质，保证在电子设备启动之后，直接根据电子设备中的启动顺序确定加载目标应用，进而基于目标应用针对第N启动顺序的文件系统或应用进行写入处理。如此，就能够避免启动目标应用之前，电子设备存在部分驱动或部分文件系统首先开启，而导致的无法全面的进行写入处理的问题，提升了电子设备的安全性。

附图说明

图1-1为本发明实施例系统管理方法流程示意图一；

图1-2为本发明实施例系统管理方法流程示意图二；

图2为本发明实施例系统管理方法流程示意图三；

图3为本发明实施例系统处理示意图；

图4为本发明实施例系统管理方法流程示意图四；

图5为本发明实施例系统管理装置组成结构示意图；

图6为本发明实施例系统管理装置硬件示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例一、

本发明实施例提供了一种系统管理方法，如图1-1所示，包括：

步骤101：电子设备启动后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；

步骤102：基于所述启动顺序加载处于第一启动顺序的目标应用；

步骤103：依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理；其中，N为大于等于2的整数；

其中，所述基于所述目标应用至少针对所述文件系统或应用进行写入处理，包括：确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

本实施例中，步骤101可以具体为：在电子设备启动之后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；或者，在电 子设备启动时，也即启动的时刻，即去获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序。

相应地，所述确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作，可以具体为：

在确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用之后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作；或者，

在确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用的时刻，即通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

需要说明的是，本实施例所提供的处理方法可以通过装置实现，该装置可以为设置在上述电子设备中的装置，也可以为能够与电子设备灵活连接或断开的装置，比如U盘等，只要能够对电子设备中的系统启动顺序等进行控制即在本实施例的保护范围内。

这里，执行步骤101之前，所述电子设备可以为刚刚完成硬件启动的状态。可以理解的是，电子设备的启动可以划分为硬件启动以及软件启动这两个部分，首先要完成硬件启动然后再进行软件启动，而上述步骤101之前需要完成硬件启动，也就是说，本实施例中的步骤101的电子设备启动，主要针对的为软件启动中的处理。

进一步地，上述硬件启动可以包括有主板插入电源后，检测到电源开关按下，然后通知南桥产生PS-ON(电源接通)的信号等操作，这里不再一一赘述。

也就是说，本实施例的初始状态为电子设备未进行任何系统数据的加载的状态。具体的，执行步骤101之前，可以包括：判断所述电子设备是 否完成硬件启动，若完成，则执行步骤101。

查杀相关驱动抢先在系统加载最早点启动(早于文件系统和所有病毒)，如何抢先，保证重启后最早启动，将在后续说明。

具体来说，上述步骤101的实现方式可以为获取电子设备中的至少一个服务分组，基于至少一个服务分组对应的启动顺序，确定所述至少一个应用以及至少一个文件系统的启动顺序。

本实施例通过创建服务分组，提升驱动加载的顺序，使得目标应用(查杀应用)先在文件系统启动之前最早加载，并且注册文件系统变更通知，在第一时间收到变更通知时，挂载文件系统过滤驱动，开始冻结系统，禁止注册表或文件数据写入。

上述步骤101的实现方式还可以为：提取到启动顺序列表，通过所述启动顺序列表获取到至少一个应用以及至少一个文件系统的启动顺序。上述启动顺序列表中可以为仅包括有应用的启动顺序，也可以包括有文件系统的启动顺序，还可以为针对电子设备中全部应用以及文件系统的启动顺序。重点在于，上述启动顺序中目标应用设置在第一启动顺序。其中，所述目标应用可以为能够对其他文件系统或应用进行写入控制的应用，比如，可以为杀毒应用。

上述步骤102中，基于所述启动顺序加载处于第一启动顺序的目标应用，具体来说，可以为从所述启动顺序中获取到处于第一启动顺序的目标应用，然后启动所述目标应用。进一步地，启动上述目标应用之后，就能够对其他文件系统或应用在启动的时候进行相应的处理。

进一步地，上述步骤102所述基于所述启动顺序加载处于第一启动顺序的目标应用之后，所述方法还包括：

基于所述目标应用向所述电子设备的系统注册表配置过滤参数；

通过所述过滤参数控制禁止针对所述系统注册表中的至少一个目标注 册表进行写入操作。

具体的，所述过滤参数可以为过滤回调函数，通过调用系统(CM)API函数：NTSTATUS CmRegisterCallback(_In_PEX_CALLBACK_FUNCTION Function,_In_opt_PVOID Context,_Out_PLARGE_INTEGER Cookie)；(用于针对对象进行调用之前的通知，以及调用之后的具体修改内容进行通知)；传入过滤回调函数作为参数，可以为：NTSTATUS RegistryCallback(_In_PVOID CallbackContext,_In_opt_PVOID Argument1,_In_opt_PVOID Argument2)(用于对格式进行描述)。

需要指出的是，上述针对注册表的控制与步骤103的处理可以为同时操作，也可以为首先针对注册表进行过滤参数的设置，然后执行步骤103，在针对预设文件系统或预设应用进行检测以及禁止写入操作的同时，基于针对注册表的过滤参数保持针对注册表的控制。

进一步地，上述步骤103中，依次启动处于第N启动顺序的文件系统或应用可以为基于启动顺序，检测最后启动的文件系统或应用的启动顺序；当确定最后启动的文件系统或应用的启动顺序为第N-1启动顺序时，确定启动处于第N启动顺序的文件系统或应用。另外，还可以包括：判断是否存在第N启动顺序的文件系统或应用，若存在，则启动处于第N启动顺序的文件系统或应用，否则，结束处理。

所述确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作之前，所述方法还包括：

向所述电子设备的操作系统配置文件系统变更参数；其中，所述文件系统变更参数用于指示所述操作系统加载文件系统或应用后，反馈文件系统或应用处于加载状态。

这里，所述指示所述操作系统加载文件系统或应用后，反馈文件系统 或应用的处于加载状态可以具体为：

在指示所述操作系统加载文件系统或应用时，也即在指示操作系统加载文件系统或应用的时刻，反馈文件系统或应用的处于加载状态；或者，

在在指示所述操作系统加载文件系统或应用后的特定时刻，反馈文件系统或应用的处于加载状态。

其中，所述文件系统变更参数可以为变更通知回调函数，具体的通过调用系统API函数，比如文件注册改变函数NTSTATUS IoRegisterFsRegistrationChange(_In_PDRIVER_OBJECT DriverObject,_In_PDRIVER_FS_NOTIFICATION DriverNotificationRoutine)，传入回调函数地址，使得有变更的时候，系统会调用我们的回调函数。其中，回调函数的签名可以为VOID DriverNotificationRoutine(_In_struct_DEVICE_OBJECT*DeviceObject,_In_BOOLEAN FsActive)。

也就是说，目标应用启动之后向操作系统发送文件系统变更参数，以使得操作系统在启动任意一个应用或文件系统后，向目标应用反馈相应的加载状态。

相应的，所述确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作，包括：

确定获取到所述操作系统反馈的处于第N启动顺序的文件系统或应用处于加载状态的信息后，判断所述文件系统是否为预设文件系统、或应用是否为预设应用；

若确定所述文件系统为预设文件系统、或应用为预设应用，则所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

具体来说，禁止在文件系统中进行写入的操作可以为：通过调用系统API函数NTSTATUS FltRegisterFilter(即针对文件系统的过滤器)，传入一系列的回调函数及配置参数，使得在特定的事件发生时，我们可以及时收 到通知并对事件进行过滤处理，放行或者禁止。

所述预设文件系统或预设应用可以为根据实际情况进行设置，另外，所述预设文件系统或预设应用可以为预设在目标应用中，即目标应用中可以包括有一个列表，在该列表中设置关心的文件系统的名称或应用的名称。

具体来说，所述禁止针对所述预设文件系统或预设应用的写入操作的方式，可以为检测对应的路径，一旦检测到有针对所述预设文件系统或预设应用的路径的处理后，可以针对该路径上的所有写入操作进行禁止。

下面结合图2针对电子设备开启之后就控制启动目标应用进行说明，其中，目标应用可以为一个针对病毒文件的查杀应用：

在查杀驱动启动后，先向系统注册注册表过滤参数(过滤回调函数)，通过回调函数检查并拦截对敏感注册表位置的写入，防止病毒变形，此处保持禁写，冻结到系统关机。

向操作系统注册文件系统变更通知回调函数，操作系统继续进行初始化引导启动，当操作系统加载文件系统，如NTFS文件系统时，会检查当前是否有注册的回调函数，并调用我们的通知回调函数；我们在注册的回调函数中收到通知时，这个时候，系统文件系统还未完全初始化完成，所有人均无法通过文件系统向磁盘写入数据。在这个时候，我们判断是否是感兴趣的目标文件系统，如果是，则立即向该文件系统注册文件过滤函数，并在文件过滤函数中，检查并拦截对敏感文件路径数据的写入，防止病毒样本变形及复活。这样，就能在最早可用的时机，锁定文件系统的写入，直到系统关机，保持全程冻结。这里是我们使用的关键技术点。

至此，结合图3，可以看出，本实施例提供的方案，能够使得注册表和文件系统均在开启启动时，就被查杀驱动使用过滤函数冻结禁写，一直到关机，都能保持冻结状态，使得系统无懈可击，病毒无法变形，便于定位查杀。

另外，本实施例还针对在本次开启之前的上一次操作中，针对目标应用的启动顺序进行设置的处理，在上述图1-1的基础之上，可以参见图1-2，所述获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序之前，所述还包括：

步骤a1：在注册表中创建所述目标应用的服务分组，所述目标应用的服务分组与所述目标应用的启动顺序相对应；

步骤a2：设置新的服务分组的启动顺序为第一启动顺序；重启所述电子设备。

需要指出的是：注册表是一个树状结构，有很多节点，每个节点保存了不同的信息用来配置操作系统的行为。其中有一个节点-Service Group(服务分组)，该节点下定义的行为就是操作系统加载所有Service Group的顺序，而每个驱动或文件系统都属于对应的某个Service Group，同一个Service Group可能包含多个驱动。所以，我们改变服务分组里Group的顺序，就可以改变具体某个驱动或文件系统的加载顺序。

所述在注册表中创建新的服务分组之前，所述方法还包括：启动所述目标应用，基于所述目标应用禁止针对系统注册表的写入操作。也就是说，一旦启动目标应用就可以针对所有针对系统注册表中的全部注册表的写入操作进行检测以及禁止写入操作的处理。

参见图4，下面针对如何保证重启后驱动最早加载的设置操作进行说明：

在准备要冻结系统时，首先锁定注册表，不允许第三方程序再写入任何数据到相关注册表；

在注册表指定位置创建一个新的服务分组，并且将该服务分组的启动顺序设成最早；

将我们的查杀驱动放置在新创建的服务分组中，使得下次开机，能够 在系统引导的最早时期被加载；

锁定文件，禁止相关位置的文件写入。

本次开机的系统冻结完成，病毒无法自动变形或复活，在关机之前均生效。且下次开机能最早启动，实施再次冻结策略。

如此，在冻结系统后，病毒已无法自动变形、复活，失去了自我保护能力，因此，可以继续使用以往查杀技术对样本进行处理。

可见，通过上述方案，就能够保证在电子设备启动之后，直接根据电子设备中的启动顺序确定加载目标应用，进而基于目标应用针对第N启动顺序的文件系统或应用进行写入处理。如此，就能够避免启动目标应用之前，电子设备存在部分驱动或部分文件系统首先开启，而导致的无法全面的进行写入处理的问题，提升了电子设备的安全性。

实施例二、

本发明实施例提供了一种系统管理装置，如图5所示，包括：

初始单元51，配置为电子设备启动后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；

处理单元52，配置为基于所述启动顺序加载处于第一启动顺序的目标应用；依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理；其中，N为大于等于2的整数；

其中，所述处理单元52，还配置为确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

本实施例中，初始单元51可以具体配置为：在电子设备启动之后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；或者，在电子设备启动时，也即启动的时刻，即去获取所述电子设备中至少一个 应用以及至少一个文件系统的启动顺序。

相应地，所述确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作，可以具体为：

在确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用之后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作；或者，

在确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用的时刻，即通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。

需要说明的是，本实施例系统管理装置，可以为设置在上述电子设备中的装置，也可以为能够与电子设备灵活连接或断开的装置，比如U盘等，只要能够对电子设备中的系统启动顺序等进行控制即在本实施例的保护范围内。

电子设备的启动可以划分为硬件启动以及软件启动这两个部分，首先要完成硬件启动然后再进行软件启动，而获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序之前需要完成硬件启动，也就是说，本实施例中的电子设备启动时，主要针对的为软件启动中的处理。

进一步地，上述硬件启动可以包括有主板插入电源后，检测到电源开关按下，然后通知南桥产生PS-ON(电源接通)的信号等操作，这里不再一一赘述。

也就是说，本实施例的初始状态为电子设备未进行任何系统数据的加载的状态。具体的，初始单元51，还配置为判断所述电子设备是否完成硬件启动，若完成，则获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序。

查杀相关驱动抢先在系统加载最早点启动(早于文件系统和所有病毒)，如何抢先，保证重启后最早启动，将在后续说明。

具体来说，初始单元51，配置为获取电子设备中的至少一个服务分组，基于至少一个服务分组对应的启动顺序，确定所述至少一个应用以及至少一个文件系统的启动顺序。

本实施例通过创建服务分组，提升驱动加载的顺序，使得目标应用(查杀应用)先在文件系统启动之前最早加载，并且注册文件系统变更通知，在第一时间收到变更通知时，挂载文件系统过滤驱动，开始冻结系统，禁止注册表或文件数据写入。

还可以为：初始单元51，配置为提取到启动顺序列表，通过所述启动顺序列表获取到至少一个应用以及至少一个文件系统的启动顺序。上述启动顺序列表中可以为仅包括有应用的启动顺序，也可以包括有文件系统的启动顺序，还可以为针对电子设备中全部应用以及文件系统的启动顺序。重点在于，上述启动顺序中目标应用设置在第一启动顺序。其中，所述目标应用可以为能够对其他文件系统或应用进行写入控制的应用，比如，可以为杀毒应用。

基于所述启动顺序加载处于第一启动顺序的目标应用，具体来说，可以为从所述启动顺序中获取到处于第一启动顺序的目标应用，然后启动所述目标应用。进一步地，启动上述目标应用之后，就能够对其他文件系统或应用在启动的时候进行相应的处理。

所述电子设备还包括：预设单元53，配置为在注册表中创建所述目标应用的服务分组，所述目标应用的服务分组与所述目标应用的启动顺序相对应；设置新的服务分组的启动顺序为第一启动顺序；相应的，所述处理单元，配置为重启所述电子设备。

进一步地，所述处理单元，配置为基于所述目标应用向所述电子设备 的系统注册表配置过滤参数；通过所述过滤参数控制禁止针对所述系统注册表中的至少一个目标注册表进行写入操作。

需要指出的是，上述针对注册表的控制与依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理的处理可以为同时操作，也可以为首先针对注册表进行过滤参数的设置，然后执行依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理，在针对预设文件系统或预设应用进行检测以及禁止写入操作的同时，基于针对注册表的过滤参数保持针对注册表的控制。

所述处理单元，配置为向所述电子设备的操作系统配置文件系统变更参数；其中，所述文件系统变更参数用于指示所述操作系统加载文件系统或应用后，反馈文件系统或应用处于加载状态。

在一具体示例中，目标应用启动之后向操作系统发送文件系统变更参数，以使得操作系统在启动任意一个应用或文件系统后，向目标应用反馈相应的加载状态。

这里，所述指示所述操作系统加载文件系统或应用后，反馈文件系统或应用的处于加载状态可以具体为：

在指示所述操作系统加载文件系统或应用时，也即在指示操作系统加载文件系统或应用的时刻，反馈文件系统或应用的处于加载状态；或者，

在在指示所述操作系统加载文件系统或应用后的特定时刻，反馈文件系统或应用的处于加载状态。

相应的，所述处理单元，配置为当获取到所述操作系统反馈的处于第N启动顺序的文件系统或应用处于加载状态的信息后，判断所述文件系统是否为预设文件系统、或应用是否为预设应用；

若确定所述文件系统为预设文件系统、或应用为预设应用，则所述目 标应用禁止针对所述预设文件系统或预设应用的写入操作。

所述预设文件系统或预设应用可以为根据实际情况进行设置，另外，所述预设文件系统或预设应用可以为预设在目标应用中，即目标应用中可以包括有一个列表，在该列表中设置关心的文件系统的名称或应用的名称。

具体来说，所述禁止针对所述预设文件系统或预设应用的写入操作的方式，可以为检测对应的路径，一旦检测到有针对所述预设文件系统或预设应用的路径的处理后，可以针对该路径上的所有写入操作进行禁止。

下面结合图2针对电子设备开启之后就控制启动目标应用进行说明，其中，目标应用可以为一个针对病毒文件的查杀应用：

在查杀驱动启动后，先向系统注册注册表过滤参数(过滤回调函数)，通过回调函数检查并拦截对敏感注册表位置的写入，防止病毒变形，此处保持禁写，冻结到系统关机。

向操作系统注册文件系统变更通知回调函数，操作系统继续进行初始化引导启动，当操作系统加载文件系统，如NTFS文件系统时，会检查当前是否有注册的回调函数，并调用我们的通知回调函数

我们在注册的回调函数中收到通知时，这个时候，系统文件系统还未完全初始化完成，所有人均无法通过文件系统向磁盘写入数据。在这个时候，我们判断是否是感兴趣的目标文件系统，如果是，则立即向该文件系统注册文件过滤函数，并在文件过滤函数中，检查并拦截对敏感文件路径数据的写入，防止病毒样本变形及复活。这样，就能在最早可用的时机，锁定文件系统的写入，直到系统关机，保持全程冻结。这里是我们使用的关键技术点。

至此，结合图3，可以看出，本实施例提供的方案，能够在注册表和文件系统均在开机最早被查杀驱动使用过滤函数冻结禁写，而查杀驱动又不允许反注册或卸载，一直到关机，都能保持冻结状态，使得系统无懈可击， 病毒无法变形，便于定位查杀。

另外，本实施例还针对在本次开启之前的上一次操作中，针对目标应用的启动顺序进行设置的处理，具体如下：

所述处理单元，配置为启动所述目标应用，基于所述目标应用禁止针对系统注册表的写入操作。也就是说，一旦启动目标应用就可以针对所有针对系统注册表中的全部注册表的写入操作进行检测以及禁止写入操作的处理。

所述处理单元，配置为获取电子设备中的至少一个服务分组，基于至少一个服务分组对应的启动顺序，确定所述至少一个应用以及至少一个文件系统的启动顺序。

参见图4，下面针对如何保证重启后驱动最早加载的设置操作进行说明：

在准备要冻结系统时，首先锁定注册表，不允许第三方程序再写入任何数据到相关注册表；

在注册表指定位置创建一个新的服务分组，并且将该服务分组的启动顺序设成最早；

将我们的查杀驱动放置在新创建的服务分组中，使得下次开机，能够在系统引导的最早时期被加载；

锁定文件，禁止相关位置的文件写入。

本次开机的系统冻结完成，病毒无法自动变形或复活，在关机之前均生效。且下次开机能最早启动，实施再次冻结策略。

如此，在冻结系统后，病毒已无法自动变形、复活，失去了自我保护能力，因此，可以继续使用以往查杀技术对样本进行处理。

本实施例通过创建服务分组，提升驱动加载的顺序，使得目标应用(查杀应用)先在文件系统启动之前最早加载，并且注册文件系统变更通知， 在第一时间收到变更通知时，挂载文件系统过滤驱动，开始冻结系统，禁止注册表或文件数据写入。

实际应用中，所述初始单元51、处理单元52以及预设单元53均可由中央处理器(CPU)、或微处理器(MPU)、或数字信号处理器(DSP)、或可编程门阵列(FPGA)实现。

本实施例还提供了一种系统管理装置，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行以上所述方法的步骤。

这里，实际应用中，存储器可以由任何类型的易失性或非易失性存储设备、或者它们的组合来实现。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，Ferromagnetic Random Access Memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态 随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

所述处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP，Digital Signal Processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成前述方法的步骤。

本实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，其中，该计算机程序被处理器执行时实现以上所述方法的步骤。

这里，计算机可读存储介质可以是FRAM、ROM、可编程只读存储器PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器；也可以是包括上述存储器之一或任意组合的各种设备。

本发明实施例提供的系统管理装置可以以各种形式来实施。例如，本发明中描述的装置可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图6为实现本发明各个实施例的系统管理装置的硬件结构示意。

系统管理装置100可以包括用户输入单元130、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图中示出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。

用户输入单元130可以根据用户输入的命令生成键输入数据以控制移动终端的各种操作。用户输入单元130允许用户输入各种类型的信息，并且可以包括键盘、锅仔片、触摸板(例如，检测由于被接触而导致的电阻、压力、电容等等的变化的触敏组件)、滚轮、摇杆等等。特别地，当触摸板以层的形式叠加在显示单元151上时，可以形成触摸屏。

接口单元170用作至少一个外部装置与移动终端100连接可以通过的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。识别模块可以是存储用于验证用户使用移动终端100的各种信息并且可以包括用户识别模块(UIM)、客户识别模块(SIM)、通用客户识别模块(USIM)等等。另外，具有识别模块的装置(下面称为"识别装置")可以采取智能卡的形式，因此，识别装置可以经由端口或其它连接装置与移动终端100连接。接口单元170可以用于接收来自外部装置的输入(例如，数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端和外部装置之间传输数据。

另外，当移动终端100与外部底座连接时，接口单元170可以用作允许通过其将电力从底座提供到移动终端100的路径或者可以用作允许从底座输入的各种命令信号通过其传输到移动终端的路径。从底座输入的各种命令信号或电力可以用作用于识别移动终端是否准确地安装在底座上的信号。输出单元150被构造为以视觉、音频和/或触觉方式提供输出信号(例如， 音频信号、视频信号、警报信号、振动信号等等)。

输出单元150可以包括显示单元151等等。显示单元151可以显示在移动终端100中处理的信息。例如，当移动终端100处于电话通话模式时，显示单元151可以显示与通话或其它通信(例如，文本消息收发、多媒体文件下载等等)相关的用户界面(UI)或图形用户界面(GUI)。当移动终端100处于视频通话模式或者图像捕获模式时，显示单元151可以显示捕获的图像和/或接收的图像、示出视频或图像以及相关功能的UI或GUI等等。

同时，当显示单元151和触摸板以层的形式彼此叠加以形成触摸屏时，显示单元151可以用作输入装置和输出装置。显示单元151可以包括液晶显示器(LCD)、薄膜晶体管LCD(TFT-LCD)、有机发光二极管(OLED)显示器、柔性显示器、三维(3D)显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状以允许用户从外部观看，这可以称为透明显示器，典型的透明显示器可以例如为TOLED(透明有机发光二极管)显示器等等。根据特定想要的实施方式，移动终端100可以包括两个或更多显示单元(或其它显示装置)，例如，移动终端可以包括外部显示单元(未示出)和内部显示单元(未示出)。触摸屏可用于检测触摸输入压力以及触摸输入位置和触摸输入面积。

存储器160可以存储由控制器180执行的处理和控制操作的软件程序等等，或者可以暂时地存储己经输出或将要输出的数据(例如，电话簿、消息、静态图像、视频等等)。而且，存储器160可以存储关于当触摸施加到触摸屏时输出的各种方式的振动和音频信号的数据。

存储器160可以包括至少一种类型的存储介质，所述存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等等。而且，移动终端100可以与通过网络连接执行存储器160 的存储功能的网络存储装置协作。

控制器180通常控制移动终端的总体操作。例如，控制器180执行与语音通话、数据通信、视频通话等等相关的控制和处理。

电源单元190在控制器180的控制下接收外部电力或内部电力并且提供操作各元件和组件所需的适当的电力。

这里描述的各种实施方式可以以使用例如计算机软件、硬件或其任何组合的计算机可读介质来实施。对于硬件实施，这里描述的实施方式可以通过使用特定用途集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理装置(DSPD)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、被设计为执行这里描述的功能的电子单元中的至少一种来实施，在一些情况下，这样的实施方式可以在控制器180中实施。对于软件实施，诸如过程或功能的实施方式可以与允许执行至少一种功能或操作的单独的软件模块来实施。软件代码可以由以任何适当的编程语言编写的软件应用程序(或程序)来实施，软件代码可以存储在存储器160中并且由控制器180执行。

可见，通过上述方案，就能够保证在电子设备启动之后，直接根据电子设备中的启动顺序确定加载目标应用，进而基于目标应用针对第N启动顺序的文件系统或应用进行写入处理。如此，就能够避免启动目标应用之前，电子设备存在部分驱动或部分文件系统首先开启，而导致的无法全面的进行写入处理的问题，提升了电子设备的安全性。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光 盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、电子设备、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

工业实用性

本发明实施例能够保证在电子设备启动之后，直接根据电子设备中的启动顺序确定加载目标应用，进而基于目标应用针对第N启动顺序的文件系统或应用进行写入处理。如此，就能够避免启动目标应用之前，电子设备存在部分驱动或部分文件系统首先开启，而导致的无法全面的进行写入处理的问题，提升了电子设备的安全性。

Claims (16)

1. 一种系统管理方法，所述方法包括：

   电子设备启动后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；

   基于所述启动顺序加载处于第一启动顺序的目标应用；

   依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至少针对所述文件系统或应用进行写入处理；其中，N为大于等于2的整数；

   其中，所述基于所述目标应用至少针对所述文件系统或应用进行写入处理，包括：确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。
2. 根据权利要求1所述的方法，其中，所述获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序之前，所述方法还包括：

   在系统注册表中创建所述目标应用的服务分组，所述目标应用的服务分组与所述目标应用的启动顺序相对应；

   设置新的服务分组的启动顺序为第一启动顺序；

   重启所述电子设备。
3. 根据权利要求2所述的方法，其中，所述在系统注册表中创建所述目标应用的服务分组之前，所述方法还包括：

   启动所述目标应用，基于所述目标应用禁止针对系统注册表的写入操作。
4. 根据权利要求2或3所述的方法，其中，所述获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序，包括：

   获取电子设备中的至少一个服务分组，基于至少一个服务分组对应的 启动顺序，确定所述至少一个应用以及至少一个文件系统的启动顺序。
5. 根据权利要求1所述的方法，其中，所述基于所述启动顺序加载处于第一启动顺序的目标应用之后，所述方法还包括：

   基于所述目标应用向所述电子设备的系统注册表配置过滤参数；

   通过所述过滤参数控制禁止针对所述系统注册表中的至少一个目标注册表进行写入操作。
6. 根据权利要求1所述的方法，其中，所述确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作之前，所述方法还包括：

   向所述电子设备的操作系统配置文件系统变更参数；其中，所述文件系统变更参数用于指示所述操作系统加载文件系统或应用后，反馈文件系统或应用处于加载状态。
7. 根据权利要求6所述的方法，其中，所述确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作，包括：

   确定获取到所述操作系统反馈的处于第N启动顺序的文件系统或应用处于加载状态的信息后，判断所述文件系统是否为预设文件系统、或应用是否为预设应用；

   若确定所述文件系统为预设文件系统、或应用为预设应用，则所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。
8. 一种系统管理装置，所述电子设备包括：

   初始单元，配置为电子设备启动后，获取所述电子设备中至少一个应用以及至少一个文件系统的启动顺序；

   处理单元，配置为基于所述启动顺序加载处于第一启动顺序的目标应用；依次启动处于第N启动顺序的文件系统或应用，基于所述目标应用至 少针对所述文件系统或应用进行写入处理；其中，N为大于等于2的整数；

   其中，所述处理单元，还配置为确定处于第N启动顺序的文件系统为预设文件系统、或所述应用为预设应用后，通过所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。
9. 根据权利要求8所述的装置，其中，所述装置还包括：

   预设单元，配置为在系统注册表中创建所述目标应用的服务分组，所述目标应用的服务分组与所述目标应用的启动顺序相对应；设置新的服务分组的启动顺序为第一启动顺序；

   相应的，所述处理单元，配置为重启所述电子设备。
10. 根据权利要求9所述的装置，其中，所述处理单元，配置为重启所述电子设备之前，启动所述目标应用，基于所述目标应用禁止针对系统注册表的写入操作。
11. 根据权利要求9所述的装置，其中，所述初始单元，配置为获取电子设备中的至少一个服务分组，基于至少一个服务分组对应的启动顺序，确定所述至少一个应用以及至少一个文件系统的启动顺序。
12. 根据权利要求8所述的装置，其中，所述处理单元，还配置为基于所述目标应用向所述电子设备的系统注册表配置过滤参数；通过所述过滤参数控制禁止针对所述系统注册表中的至少一个目标注册表进行写入操作。
13. 根据权利要求8所述的装置，其中，所述处理单元，还配置为向所述电子设备的操作系统配置文件系统变更参数；其中，所述文件系统变更参数用于指示所述操作系统加载文件系统或应用后，反馈文件系统或应用处于加载状态。
14. 根据权利要求8所述的装置，其中，所述处理单元，还配置为确定获取到所述操作系统反馈的处于第N启动顺序的文件系统或应用处于加 载状态的信息后，判断所述文件系统是否为预设文件系统、或应用是否为预设应用；若确定所述文件系统为预设文件系统、或应用为预设应用，则所述目标应用禁止针对所述预设文件系统或预设应用的写入操作。
15. 一种系统管理装置，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行权利要求1至7所述方法的步骤。
16. 一种计算机可读存储介质，其上存储有计算机程序，其中，该计算机程序被处理器执行时实现权利要求1至7所述方法的步骤。

Images