WO2018171283A1 - 实现文件保护的方法、装置和计算设备 - Google Patents

Abstract

一种实现文件保护的方法、装置和计算设备。该方法包括：确定需要保护的文件(S110)；监控需要保护的文件上执行的操作(S120)；当监控到有进程在需要保护的文件上执行特定操作时，执行与该特定操作对应的处理(S130)。

Description

实现文件保护的方法、装置和计算设备

相关申请的交叉参考

本申请要求于2017年3月24日提交中国专利局、申请号为201710184527.8、名称为“一种实现文件保护的方法、装置和计算设备”，2017年3月24日提交中国专利局、申请号为201710186412.2、名称为“一种实现文件保护的方法、装置和计算设备”以及2017年3月24日提交中国专利局、申请号为201710184528.2、名称为“一种保护文件的方法、装置和计算设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本公开涉及计算机技术领域，具体涉及一种实现文件保护的方法、装置和计算设备。

背景技术

随着计算机技术在社会生活和工作中的普及，大量的文件被保存在各种终端设备中，例如手机、pad、台式电脑等，其中不乏一些比较重要的文件。有些不法分子会采用各种方法侵入私人终端设备文件进行非法修改等操作，并且要求用户给予一定的报酬，然后才将修改的文件恢复。如果用户听之任之，不仅会造成一定的经济损失，还会纵容该行为的再次发生；如果用户不予理会，则这些被修改的文件，特别是一些重要的文件，将无法恢复到原始状态或直接导致丢失，这无疑会给用户的生活或者工作带来一定的影响和损失，降低用户体验。因此，如何有效进行文件的保护、防止文件被非法修改成为了急需解决的问题。

发明内容

鉴于上述问题，提出了本公开以便提供一种克服上述问题或者至少部分地解决上述问题的实现文件保护的方法相应的装置、计算设备。

依据本公开的一个方面，提供了一种实现文件保护的方法，该方法包括：

确定需要保护的文件；

监控需要保护的文件上执行的操作；

当监控到有进程在需要保护的文件上执行特定操作时，执行与该特定操作对应的处理。

根据本公开的另一方面，提供了一种实现文件保护的装置，该装置包括：

文件确定单元，适于确定需要保护的文件；

文件保护单元，适于监控需要保护的文件上执行的操作，当监控到有进程在需要保护的文件上执行特定操作时，执行与该特定操作对应的处理。

根据本公开的又一方面提供了一种计算机程序，包括：

计算机可读代码，当计算机可读代码在计算设备上运行时，导致计算设备执行上述实现文件保护的方法。

根据本公开的又一方面提供了一种计算机可读介质，包括：

存储了上述执行上述实现文件保护的方法的计算机程序。

根据本公开的技术方案，一旦监控到有进程在需要保护的文件上执行的操作属于特定的操作时，就对该进程进行相应的处理。首先确定需要保护的文件，然后实时监控需要保护的文件上执行的操作，一旦监控到有进程在需要保护的文件上执行特定操作时，就执行与该特定操作对应的处理。例如，当有进程修改需要保护的文件的时候，就可以对该文件进行备份处理。这样，在违背用户本人意愿下，对需要保护的文件进行修改的时候，就可以执行本方案，以达到对需要保护的文件进行保护的效果，防止因文件被非法操作导致的不可用的情况出现，同时也维护了用户的自身利益，有助于提升用户体验。

上述说明仅是本公开技术方案的概述，为了能够更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为了让本公开的上述和其它目的、特征和优点能够更明显易懂，以下特举本公开的具体实施方式。

附图概述

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本公开的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本公开一个实施例的一种实现文件保护的方法的流程示意图；

图2示出了根据本公开一个实施例的一种实现文件保护的装置的结构示意图；

图3示出了根据本公开另一个实施例的一种实现文件保护的装置的结构示意图；

图4示意性地示出了用于执行根据本公开实施例的实现文件保护的方法的计算设备的框图；以及

图5示意性地示出了用于保持或者携带实现根据本公开实施例的实现文件保护的方法的程序代码的存储单元。

本发明的较佳实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本公开一个实施例的一种实现文件保护的方法的流程示意图，如图1所示，该方法包括：

步骤S110，确定需要保护的文件。

需要保护的文件可以是默认的或者用户自定义的一个或者多个类型的文件，也可以是用户选定的一个或多个文件，也可以是一些容易受到非法修改的文件。本实施例中，对需要保护的文件不做具体的限定，默认的文件、用户指定的文件，均可以作为需要保护的文件；或者仅仅是用户根据自身选择的文件。

步骤S120，监控需要保护的文件上执行的操作。

因为对需要保护的文件进行违背用户本人意愿的操作，一般是针对需要保护的文件自身进行的操作，例如修改文件、删除文件、加密文件等。所以，当需要保护的文件确定后，实时监控需要保护的文件上执行的操作，需要保护的文件上是否执行了特定操作。

步骤S130，当监控到有进程在需要保护的文件上执行特定操作时，执行 与该特定操作对应的处理。

预先指定一些特定的操作，例如修改文件、删除文件、移动文件、复制文件、加密文件等。当监控到有进程在需要保护的文件上执行特定操作时，就确定该需要保护的文件可能是被非法操作，那么就执行与该特定操作对应的处理。例如，该特定操作为对需要保护的文件进行修改，且修改的结果被保存时，则针对该修改文件操作，可以将该需要保护的文件进行备份处理，并将备份文件存储至特定位置。该特定位置可以是系统默认的位置，也可以是用户指定的位置。需要说明的是，此处的备份并非备份修改后的文件，而是备份修改之前的原文件，这样才能够在后续过程中恢复被修改的文件。

这样，如果是在违背用户本人意愿下，对需要保护的文件进行修改，就可以执行本方案，以达到对需要保护的文件进行保护的效果，防止因文件被非法操作导致的不可用的情况出现，同时也维护了用户的自身利益，有助于提升用户体验。

在本公开的一个实施例中，步骤S110中的确定需要保护的文件可以通过如下的一种或多种方式进行：

(1)将指定的一个或多个类型的文件作为默认需要保护文件。例如，指定图片文件、文本文件作为需要保护的文件，将终端设备中的这些文件设定为默认需要保护的文件。

(2)接收用户的指令，根据用户的指令确定需要保护的文件。例如可以提供用户自定义接口，通过该用户自定义接口接收用户的指令，根据用户的指令确定需要保护的文件。除了在(1)中的默认文件，用户还可以自定义需要保护的文件，以根据用户的自定义确定需要保护的文件，例如，视频、音频等。此外用户还可以指定一个或多个文件夹，该一个或多个文件夹中的文件是需要保护的文件，不管文件类型为何种。

(3)扫描本机上存储的文件，将本机上存储的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件。为了方便用户选择，预先扫描本机上已经存储的文件的类型，并展示给用户，用户在了解了本机上的文件的类型后，根据自身需求进行选择需要保护的文件类型，提高用户体验。在另一实施例中，也可以列出本机上存储的所有文件，以供用户选择特定文件进行保护。

(4)将易受攻击的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件。为了进一步的方便用户选择，还可以只给用户展示比较容易受攻击的文件的类型，以便用户选择。例如文档类的文件比较容易受到篡改攻击，因此将此类文件的类型信息(如word、PDF等)展示给用户供用户进行勾选。

需要说明的是，本实施例中的需要保护的文件可以是上述的任意一种，也可以是上述的任意组合。

因为对需要保护的文件进行违背用户本人意愿的操作，一般是针对需要保护的文件自身进行的操作，在本公开的一个实施例中，图1所示的方法中的特定操作包括如下中的一种或多种：修改文件内容、修改文件名称、删除文件、移动文件、复制文件、打开文件。那么，当监控到有进程在需要保护的文件上执行上述的这些特定操作时，执行与该特定操作对应的处理。下面对执行与该特定操作对应的处理进行详细说明：

(1)当特定操作为打开文件时，执行与该特定操作对应的处理包括：判断是否以系统默认工具打开需要保护的文件；如果是，则不做处理；如果否，则进行报警提示。

例如，打开文件夹“我的文档”中的文件，系统默认工具是microsoft office word，但是当打开该文件夹中的文件的时候用的不是microsoft office word，就进行报警提示，提示用户需要保护的文件正在被非默认工具打开。

(2)当特定操作为修改文件名称、删除文件、移动文件或复制文件时，执行与该特定操作对应的处理包括：进行弹窗提示，并提供“允许”、“阻止”和“回滚”操作选项。这里的修改文件名称的操作，指的是完成文件名称修改并进行保存的操作。

当进行弹窗提示时，提供的每个选项对应不同的处理策略：

当用户选择“允许”操作选项时，不对进程进行任何处理。

当用户选择“阻止”操作选项时，强制停止进程，阻止该进程在本机中再进行删除、复制和修改文件名称的操作。

当用户选择“回滚”操作选项时，回滚进程的操作，将文件恢复到被该进程操作前的状态。当有进程对文件进行操作时，将该进程对文件进行的哪些操作以及何种操作都进行记录。当用户选择“回滚”操作选项时，根据记 录信息，将文件恢复到被该进程操作前的状态。例如，该进程对文件进行了修改文件名称的操作，将“工作文件”改成“abcd”，一旦用户选择“回滚”操作选项，将该文件的名称从“abcd”改回原来的“工作文件”。

(3)当特定操作为修改文件内容时，即完成文件内容的修改并进行保存时，执行与该特定操作对应的处理包括：对文件进行备份，得到备份文件；备份文件获得后，将备份文件保存到特定位置，以便用户可以根据保存的备份文件将被修改的需要保护的文件进行恢复，防止非用户本人利用该被修改的文件索取利益。用于保存备份文件的特定位置可以是系统默认的位置，也可以是用户指定的位置。例如，该特定的位置可以根据本地各磁盘的磁盘剩余空间的大小，选择磁盘剩余空间最大的一个磁盘，在该磁盘上新建一个文件夹；以及将备份文件保存到新建的文件夹中，这样就可以合理地利用本机的存储空间。

需要指出的是，如果在将备份文件保存到文件夹的过程中，发现文件夹所在磁盘的剩余空间不足时，可以提示用户磁盘空间不足。当然，在提示的同时，也可以将备份文件保存到重新选择的磁盘上，或者不保存备份文件而直接拒绝对文件的修改的保存，这样也可以最大程度上保证文件不被非法修改。

需要说明的是，这里的修改文件内容的操作，指的是完成文件的内容的修改并进行保存的操作。例如，这里的判断对需要保护的文件是否被修改主要可以通过该需要保护的文件在编辑模式下打开，进行内容的修改后进行了保存的操作，或者该需要保护的文件在编辑模式下打开，进行内容的修改后并关闭时，在被提示“是否需要保存”时，接收到了“是”的指令。也就是说当需要保护的文件被修改后并触发了保存的指令，就对该文件进行备份。

本领域的技术人员应可了解，若文件仅仅是在编辑模式下打开，或者在编辑模式下打开且被修改，只要未保存该修改，就不会进行备份。更近一步，此处的备份并非备份修改后的文件，而是备份修改之前的原文件，这样才能够在后续过程中恢复被修改的文件。

为了防止备份文件也被非法修改，进一步地，将备份文件保存到特定位置包括：对备份文件进行加密处理，得到加密文件；以备份文件的文件名、原始路径和原始大小的组合作为备份文件的索引；备份文件的文件名为需要 保护的文件的内容的MD5值或sha-1值；将备份文件的索引和加密文件对应保存到特定位置。

对备份文件进行加密处理可以通过预先配置的加密算法进行，同时获取该备份文件的索引，以便用户可以通过索引，根据索引中的信息，找到被修改的文件，并利用备份文件将原文件恢复到原来的状态。

具体地，上述的加密算法可以是MD5(Message-Digest Algorithm 5)加密算法，将需要保护的原文件的内容进行MD5计算，然后仅以需要保护的文件的MD5值作为相应的备份文件的文件名，这样备份文件的文件名是没有后缀的。例如，将word文档进行备份后，备份文件的文件名只是一个MD5值，没有“.doc”的后缀。

具体地，上述的加密算法可以是sha(Secure Hash Algorithm，安全散列)加密算法。例如，sha-1加密算法，将原文件的内容进行sha-1加密计算，然后仅以需要保护的文件的内容的sha-1值作为相应的备份文件的文件名，同MD5加密类似，这样备份文件的文件名是没有后缀的。

又或者，使用DES加密算法或者RSA加密算法，在本实施例中，加密算法不做具体限定，本方案可提供多种加密算法工具，用户可根据自身需求进行自行选择。

下面将特定操作为修改文件内容的情况作为本公开的优选实施例进行详细说明。

通常情况下，不法分子为达到索取更多非法利益的目的，对需要保护的文件进行非法操作一般是修改需要保护的文件的内容，且是对需要保护的文件进行大面积的删除或者修改。所以，在本公开的一个优选实施例中，为了进一步确定对需要保护的文件进行的修改是违背用户本人意愿的非法修改，当特定操作为修改文件内容时，执行与该特定操作对应的处理包括：

记录该进程对需要保护的文件进行的修改的操作，当有程序对文件进行修改时，对该文件进行备份，且将该程序对文件进行的哪些操作以及何种操作都进行记录；当该进程的文件修改操作满足如下条件中的一种或多种时，进行报警提示：

(1)当该进程所修改的文件数量超过第一预设值，且修改数据量与文件总数据量的比值达到第二预设值时，进行报警提示。只有上述两个条件均满 足的情况下，才确定对需要保护的文件进行的修改是非法修改。例如，第一预设值为50％，第二预设值为80％，在一个较短的时间内，对本机中的文本文档的个数已经超过了本机存储的总文本文档个数的50％，并且对每一个文本文档进行的修改的字数已经超过该文本文档总字数的80％，那么就确定该程序的修改为非法修改，需要对本机用户进行报警提示，以便可以采取相应的措施，保护本机的文件。如果，对本机中的文本文档的个数只是本机存储的总文本文档个数的10％，并且对每一个文本文档进行的修改的字数只占该文本文档总字数的20％，那么就确定该程序的修改不是非法修改。

(2)在预定时间内修改的文件数量超过阈值。例如，预设阈值为50％，在1h的时间内，对本机中的文本文档的数量已经超过了本机存储的总文本文档数量的50％，就进行报警提示。该预设时间可自定义，在这里不做限制。

(3)对一个文件的内容的修改比例超过阈值。这里可以通过字数进行判断，例如，预设阈值为80％，对每一个文本文档进行的修改的字数已经超过该文本文档总字数的80％，就进行报警提示。

(4)所修改的相同类型文件的数量超过阈值。例如，对相同类型文件的修改的数量超过该相同文件类型的总数量的50％，就进行报警提示。

(5)对相同类型文件的修改数据量超过阈值。例如，对相同类型文件的修改的数据量(例如字数)超过该相同文件类型的总数据量(例如同种类型所有文件的总字数)的50％，就进行报警提示。

需要说明的是，判断该进程的文件修改操作是否满足条件时，可以使用上述的任意一个条件，也可以使用上述条件的任意组合。在另一实施例中，也可以通过以下方式判断对需要保护的文件进行的修改是非法修改：当需要保护的文件被修改时，判断是否以系统默认工具修改该需要保护的文件，若否，则可以判断该修改是非法修改。

具体地，上述的进行报警提示包括：进行弹窗提示，并提供“允许”、“阻止”和“回滚”三个操作选项；每个操作选项对应不同的处理策略：

当用户选择“允许”操作选项时，不对进程进行任何处理；

当用户选择“阻止”操作选项时，强制停止进程，阻止该进程在本机中再进行修改的操作。

当用户选择“回滚”操作选项时，根据所记录的文件修改操作和备份文 件，回滚进程的修改操作，将文件恢复到被该进程修改前的状态。因为如上文，当文件被修改时，对文件进行备份，得到备份文件，将备份文件获得后，将备份文件保存到特定位置；且已经记录了该进程的文件修改操作，当用户选择“回滚”操作时，就可以利用备份文件以及记录的该进程的文件修改操作，回滚该进程的操作，对被修改的文件进行恢复，达到保护文件的效果，防止因文件被非法操作导致的不可用的情况出现。

另外，对需要保护的文件进行修改后，还可能将文件进行加密处理。为保证将加密的文件可以进行恢复，在本公开的另一个优选实施例中，当特定操作为修改文件内容时，执行与该特定操作对应的处理包括：

对于进行文件修改操作的进程，判断该进程是否使用指定加密算法对文件进行加密处理。

当对需要保护的文件进行非法修改的时候，通常会利用相应的可执行程序exe进行，当检测到有程序在进行文件的修改时，就判断对文件进行修改操作的进程中是否使用指定的加密算法进行加密处理。这里的指定加密算法一般是现有技术中已经存在的加密算法，可以预知，在通常情况下，为了减少时间成本，对文件进行非法加密时，通常会使用现有的加密算法。例如，DES加密算法。所以，在本优选实施例中，会预先配置一些指定的加密算法，在判断该进程是否使用指定加密算法对文件进行加密处理的时候，可以利用加密算法的特征码进行匹配，如果可以匹配，则说明该进程确实在使用指定加密算法对文件进行加密处理。

如果该进程使用指定加密算法对文件进行加密处理，则利用钩子函数导出指定加密算法所使用的密钥并保存。

另外，也可以判断这些程序是否调用系统DLL进行加密，若是，则可以通过钩取(HOOK)系统DLL的导出函数来获取密钥并保存。

经过判断后，如果确定该进程是在使用指定加密算法对文件进行加密处理，就通过插入钩子函数的方式，将指定加密算法当前使用的密钥导出并保存起来。另外，当判断这些程序是调用系统DLL进行加密时，也可以通过钩取(HOOK)系统DLL的导出函数来获取密钥并保存。这里密钥的存储位置可以系统默认的，也可以是用户指定的，当存储的时候，为了便于查找和解密，可以将被加密的文件名和对应的密钥一起保存或者以被加密的文件的文 件名、原始路径的组合作为密钥的索引，将该密钥的索引和加密文件对应保存到一个特定位置，以便用户可以获知哪些文件被加密，并且利用索引中的信息和密钥对加密的文件进行解密。

当需要时，根据指定加密算法和所保存密钥对被加密处理的文件进行解密处理。

当用户使用已经被加密的文件时，发现该文件已经被加密，那么用户就可以直接利用已经保存的密钥对加密的文件进行解密，无需通过使用该可执行程序exe的不法分子，就可以将该文件解密。

可见，本公开可以实现在文件被非法加密后，利用导出的密钥将加密的文件进行解密，以恢复加密的文件，有效的保护文件，维护用户自身的利益，提高用户体验。

如上文说明，在判断该进程是否使用指定加密算法对文件进行加密处理的时候，可以利用加密算法的特征码；而且，通常进行文件修改操作的进程使用的指定加密算法是使用第三方加解密库进行加密算法的调用，或者在该进程本身代码中包含有加密算法的执行程序。那么，进一步地，上述的判断该进程是否使用指定加密算法对文件进行加密处理包括：

在该进程中注入预先指定的动态链接库DLL，由该DLL扫描并判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含指定加密算法的特征码。动态链接库DLL提供了一种方法，使进程可以调用不属于其可执行代码的函数。本实施例中，在该进程中注入动态链接库DLL，判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含指定加密算法的特征码。

如果该进程所调用的第三方加解密库中包含指定加密算法的特征码，和/或，该进程本身的代码中包含指定加密算法的特征码，则确定该进程使用指定加密算法对文件进行加密处理。例如，如果调用的第三方加解密库中包含DES加密算法的特征码，或者该exe进程本身的代码中包含DES加密算法的特征码，则确定该进程使用DES加密算法对文件进行加密处理。

针对上述的包含指定加密算法的特征码的位置的不同，导出指定加密算法所使用的密钥的方式也不同。详见下文说明：

(1)如果该进程所调用的第三方加解密库中包含指定加密算法的特征 码，则利用钩子函数导出指定加密算法所使用的密钥包括：利用钩子函数HOOK第三方加解密库的导出接口以拦截到指定加密算法所使用的密钥。

钩子函数可以捕捉系统中所有进程将发生的事件消息，当一个事件发生时，如果安装了一个钩子函数，进程中的钩子函数将被调用。在本实施例中，当确定该进程使用指定加密算法对文件进行加密处理的事件发生时，就会调用预先安装的钩子函数，HOOK第三方加解密库的导出接口以拦截到指定加密算法所使用的密钥。HOOK这里可以理解为“钩住”，即利用钩子函数通过第三方加解密库的导出接口拦截指定加密算法所使用的密钥。

(2)如果该进程本身的代码中包含指定加密算法的特征码，则用钩子函数导出指定加密算法所使用的密钥包括：在指定加密算法的特征码所在位置处设置硬件执行断点或INT3断点，当该进程执行到所设置的断点处时触发异常，进而由处理异常的钩子函数从CPU寄存器和/或堆栈中的上下文信息中找出指定加密算法所使用的密钥。

当该进程本身的代码中包含指定加密算法的特征码，则确定该进程使用指定加密算法对文件进行加密处理，加密处理的密钥信息会在CPU寄存器和/或堆栈中的上下文信息中。因为在指定加密算法的特征码所在的位置处设置了硬件执行断点或INT3断点，当程序执行到指定加密算法的特征码所在的位置处时，就会触发硬件执行断点或INT3断点的指定，触发一个异常，调试器或CPU就会捕捉这个异常从而停在断点处，然后从断点处调用钩子函数，从CPU寄存器和/或堆栈中的上下文信息中找出指定加密算法所使用的密钥。

这样当通过钩子函数获取到指定加密算法所使用的密钥并保存，当需要对加密的文件进行解密时，就可以利用保存的密钥进行。

在本公开的一个实施例中，图1所示的方法中指定加密算法为对称加密算法。在对称加密算法中，数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。也就是说，在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密。如果进行文件修改操作的进程使用对称加密算法对文件进行加密处理，当已 经利用钩子函数获取到加密算法所使用的密钥后，就可以对文件进行解密。

本公开提供的保护文件的方法的前提是非用户本人对文件进行了非法修改操作，如果只是用户本人正常的修改就不需要执行本方案。那么，为了进一步确定对文件的修改是非法修改。在本公开的一个实施例中，对于进行文件修改操作的进程，在判断该进程是否使用指定加密算法对文件进行加密处理之前，该方法进一步包括：判断该进程的文件修改操作是否满足如下条件中的一种或多种：在预定时间内修改的文件数量超过阈值、对一个文件的内容的修改比例超过阈值、所修改的相同类型文件的数量超过阈值、对相同类型文件的修改数据量超过阈值。如果判断为是，再执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤；如果判断为否，则不执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤。也就是说当该进程的文件修改操作满足如上文所述的进行报警提示的条件中的一种或多种时，再执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤。

需要说明的是，判断该进程的文件修改操作是否满足条件时，可以使用上文所述的进行报警提示的条件中的任意一个条件，也可以使用上文所述的进行报警提示的条件的任意组合。在另一实施例中，也可以通过以下方式判断对需要保护的文件进行的修改是非法修改：当需要保护的文件被修改时，判断是否以系统默认工具修改该需要保护的文件，若否，则可以判断该修改是非法修改。

本方案可以只针对一些特定的文件，对于用户来讲，终端设备中存储的文件并非都是重要的，有一些文件可能都已经是无用的文件，为了避免在执行本方案时系统资源的非必要消耗，可是预先指定一些需要保护的默认文件，或者用户自定义一些需要保护的文件，只有这些需要保护的文件被进行加密处理时，才执行本方案。所以，在本公开的一个实施例中，对于进行文件修改操作的进程，在判断该进程是否使用指定加密算法对文件进行加密处理之前，该方法进一步包括：判断该进程修改的文件是否包括预先被指定为需要保护的文件。如果包括，再执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤；如果不包括，则不执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤。

具体地，这里需要保护的文件与上文所述的需要保护的文件种类相同，在此不再赘述。进一步地，该方法进一步包括：当需要时，根据指定加密算法和所保存密钥对被加密处理的文件进行解密处理。当用户使用已经被加密的文件时，发现该文件已经被加密，那么用户就可以直接利用已经保存的密钥对加密的文件进行解密，无需通过使用该可执行程序exe的不法分子，就可以将该文件解密。这样也可以有效的保护文件，维护用户自身的利益，提高用户体验。

图2示出了根据本公开一个实施例的一种实现文件保护的装置的结构示意图。如图2所示，该实现文件保护的装置200包括：

文件确定单元210，适于确定需要保护的文件。

需要保护的文件可以是默认的或者用户自定义的一个或者多个类型的文件，也可以是用户选定的一个或多个文件，也可以是一些容易受到非法修改的文件。本实施例中，对需要保护的文件不做具体的限定，默认的文件、用户指定的文件，均可以作为需要保护的文件；或者仅仅是用户根据自身选择的文件。

文件保护单元220，适于监控需要保护的文件上执行的操作，当监控到有进程在需要保护的文件上执行特定操作时，执行与该特定操作对应的处理。

因为对需要保护的文件进行违背用户本人意愿的操作，一般是针对需要保护的文件自身进行的操作，例如，修改文件、删除文件、移动文件、加密文件等。所以，当需要保护的文件确定后，实时监控需要保护的文件上执行的操作，需要保护的文件上是否执行了特定操作。

这里可以预先指定一些特定的操作，例如，修改文件、删除文件、复制文件、加密文件等。当监控到有进程在需要保护的文件上执行特定操作时，就确定该需要保护的文件可能是被非法操作，那么就对该进程执行与该特定操作对应的处理。例如，该特定操作为对需要保护的文件进行修改，且修改的结果被保存时，则针对该修改文件操作，可以将该需要保护的文件进行备份处理，并将备份文件存储至特定位置。该特定位置可以是系统默认的位置，也可以是用户指定的位置。需要说明的是，此处的备份并非备份修改后的文件，而是备份修改之前的原文件，这样才能够在后续过程中恢复被修改的文件。

这样，如果是在违背用户本人意愿下，对需要保护的文件进行修改，就可以执行本方案，以达到对需要保护的文件进行保护的效果，防止因文件被非法操作导致的不可用的情况出现，同时也维护了用户的自身利益，有助于提升用户体验。

在本公开的一个实施例中，文件确定单元210，适于根据如下中的一种或多种方式确定需要保护的文件：

(1)将指定的一个或多个类型的文件作为默认需要保护文件。例如，指定图片文件、文本文件作为需要保护的文件，将终端设备中的这些文件设定为默认需要保护的文件。

(2)接收用户的指令，根据用户的指令确定需要保护的文件。例如可以提供用户自定义接口，通过该用户自定义接口接收用户的指令，根据用户的指令确定需要保护的文件。除了在(1)中的默认文件，用户还可以自定义需要保护的文件，以根据用户的自定义确定需要保护的文件，例如，视频、音频等。此外用户还可以指定一个或多个文件夹，该一个或多个文件夹中的文件是需要保护的文件，不管文件类型为何种。

(3)扫描本机上存储的文件，将本机上存储的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件。为了方便用户选择，预先扫描本机上已经存储的文件的类型，并展示给用户，用户在了解了本机上的文件的类型后，根据自身需求进行选择需要保护的文件类型，提高用户体验。在另一实施例中，也可以列出本机上存储的所有文件，以供用户选择特定文件进行保护。

(4)将易受攻击的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件。为了进一步的方便用户选择，还可以只给用户展示比较容易受攻击的文件的类型，以便用户选择。例如文档类的文件比较容易受到篡改攻击，因此将此类文件的类型信息(如word、PDF等)展示给用户供用户进行勾选。

需要说明的是，本实施例中的需要保护的文件可以是上述的任意一种，也可以是上述的任意组合。

因为对需要保护的文件进行违背用户本人意愿的操作，一般是针对需要保护的文件自身进行的操作，在本公开的一个实施例中，上述的特定操作包 括如下中的一种或多种：修改文件内容、修改文件名称、删除文件、移动文件、复制文件、打开文件。那么，当监控到有进程在需要保护的文件上执行上述的这些特定操作时，执行与该特定操作对应的处理。下面对文件保护单元220执行与该特定操作对应的处理进行详细说明：

(1)文件保护单元220，适于当特定操作为打开文件时，判断是否以系统默认工具打开需要保护的文件；如果是，则不做处理；如果否，则进行报警提示。

例如，打开文件夹“我的文档”中的文件，系统默认工具是microsoft office word，但是当打开该文件夹中的文件的时候用的不是microsoft office word，就进行报警提示，提示用户需要保护的文件正在被非默认工具打开。

(2)文件保护单元220，适于当特定操作为修改文件名称、删除文件、移动文件或复制文件时，进行弹窗提示，并提供“允许”、“阻止”和“回滚”操作选项。这里的修改文件名称的操作，指的是完成文件名称修改并进行保存的操作。当进行弹窗提示时，提供的每个操作选项对应不同的处理策略：当用户选择“允许”操作选项时，不对进程进行任何处理。当用户选择“阻止”操作选项时，强制停止进程，阻止该进程在本机中再进行删除、复制和修改文件名称的操作。当用户选择“回滚”操作选项时，回滚进程的操作，将文件恢复到被该进程操作前的状态。当有进程对文件进行操作时，将该进程对文件进行的哪些操作以及何种操作都进行记录。当用户选择“回滚”操作选项时，根据记录信息，将文件恢复到被该进程操作前的状态。例如，该进程对文件进行了修改文件名称的操作，将“工作文件”改成“abcd”，一旦用户选择“回滚”操作选项，将该文件的名称从“abcd”改回原来的“工作文件”。

(3)文件保护单元220，适于当特定操作为修改文件内容时，即完成文件内容的修改并进行保存时，对文件进行备份，得到备份文件，备份文件获得后，并将备份文件保存到特定位置，以便用户可以根据保存的备份文件将被修改的需要保护的文件进行恢复，防止非用户本人利用该被修改的文件索取利益。用于保存备份文件的特定位置可以是系统默认的位置，也可以是用户指定的位置。例如，该特定的位置可以根据本地各磁盘的磁盘剩余空间的大小，选择磁盘剩余空间最大的一个磁盘，在该磁盘上新建一个文件夹；以 及将备份文件保存到新建的文件夹中，这样就可以合理地利用本机的存储空间。

需要指出的是，如果在将备份文件保存到文件夹的过程中，发现文件夹所在磁盘的剩余空间不足时，可以提示用户磁盘空间不足。当然，在提示的同时，也可以将备份文件保存到重新选择的磁盘上，或者不保存备份文件而直接拒绝对文件的修改的保存，这样也可以最大程度上保证文件不被非法修改。

需要说明的是，这里的修改文件内容的操作，指的是完成文件的内容的修改并进行保存的操作。例如，这里的判断对需要保护的文件是否被修改主要可以通过该需要保护的文件在编辑模式下打开，进行内容的修改后进行了保存的操作，或者该需要保护的文件在编辑模式下打开，进行内容的修改后并关闭时，在被提示“是否需要保存”时，接收到了“是”的指令。也就是说当需要保护的文件被修改后并触发了保存的指令，就对该文件进行备份。

本领域的技术人员应可了解，若文件仅仅是在编辑模式下打开，或者在编辑模式下打开且被修改，只要未保存该修改，就不会进行备份。更近一步，此处的备份并非备份修改后的文件，而是备份修改之前的原文件，这样才能够在后续过程中恢复被修改的文件。

为了防止备份文件也被非法修改，进一步地，文件保护单元220，适于对备份文件进行加密处理，得到加密文件；以备份文件的文件名、原始路径和原始大小的组合作为备份文件的索引，其中，备份文件的文件名为需要保护的文件的内容的MD5值或者sha-1值；将备份文件的索引和加密文件对应保存到特定位置。

对备份文件进行加密处理可以通过预先配置的加密算法进行，同时获取该备份文件的索引，以便用户可以通过索引，根据索引中的信息，找到被修改的文件，并利用备份文件将原文件恢复到原来的状态。

具体地，上述的加密算法可以是MD5(Message-Digest Algorithm 5)加密算法，将需要保护的原文件的内容进行MD5计算，然后仅以需要保护的文件的MD5值作为相应的备份文件的文件名，这样备份文件的文件名是没有后缀的。例如，将word文档进行备份后，备份文件的文件名只是一个MD5值，没有“.doc”的后缀。

具体地，上述的加密算法可以是sha(Secure Hash Algorithm，安全散列)加密算法。例如，sha-1加密算法，将原文件的内容进行sha-1加密计算，然后仅以需要保护的文件的内容的sha-1值作为相应的备份文件的文件名，同MD5加密类似，这样备份文件的文件名是没有后缀的。

又或者，使用DES加密算法或者RSA加密算法，在本实施例中，加密算法不做具体限定，本方案可提供多种加密算法工具，用户可根据自身需求进行自行选择。

下面将特定操作为修改文件内容的情况作为本公开的优选实施例进行详细说明。

通常情况下，不法分子为达到索取更多非法利益的目的，对需要保护的文件进行非法操作一般是修改需要保护的文件的内容，且是对需要保护的文件进行大面积的删除或者修改。所以，在本公开的一个优选实施例中，为了进一步确定对需要保护的文件进行的修改是违背用户本人意愿的非法修改，文件保护单元220，适于当特定操作为修改文件内容时，记录该进程对需要保护的文件进行的修改的操作，当有程序对文件进行修改时，对该文件进行备份，且将该程序对文件进行的哪些操作以及何种操作都进行记录；当该进程的文件修改操作满足如下条件中的一种或多种时，进行报警提示：

(1)当该进程所修改的文件数量超过第一预设值，且修改数据量与文件总数据量的比值达到第二预设值时，进行报警提示。只有上述两个条件均满足的情况下，才确定对需要保护的文件进行的修改是非法修改。例如，第一预设值为50％，第二预设值为80％，在一个较短的时间内，对本机中的文本文档的个数已经超过了本机存储的总文本文档个数的50％，并且对每一个文本文档进行的修改的字数已经超过该文本文档总字数的80％，那么就确定该程序的修改为非法修改，需要对本机用户进行报警提示，以便可以采取相应的措施，保护本机的文件。如果，对本机中的文本文档的个数只是本机存储的总文本文档个数的10％，并且对每一个文本文档进行的修改的字数只占该文本文档总字数的20％，那么就确定该程序的修改不是非法修改。

(2)在预定时间内修改的文件数量超过阈值。例如，预设阈值为50％，在1h的时间内，对本机中的文本文档的数量已经超过了本机存储的总文本文档数量的50％，就进行报警提示。该预设时间可自定义，在这里不做限制。

(3)对一个文件的内容的修改比例超过阈值。这里可以通过字数进行判断，例如，预设阈值为80％，对每一个文本文档进行的修改的字数已经超过该文本文档总字数的80％，就进行报警提示。

(4)所修改的相同类型文件的数量超过阈值。例如，对相同类型文件的修改的数量超过该相同文件类型的总数量的50％，就进行报警提示。

(5)对相同类型文件的修改数据量超过阈值。例如，对相同类型文件的修改的数据量(例如字数)超过该相同文件类型的总数据量(例如同种类型所有文件的总字数)的50％，就进行报警提示。

需要说明的是，判断该进程的文件修改操作是否满足条件时，可以使用上述的任意一个条件，也可以使用上述条件的任意组合。在另一实施例中，也可以通过以下方式判断对需要保护的文件进行的修改是非法修改：当需要保护的文件被修改时，判断是否以系统默认工具修改该需要保护的文件，若否，则可以判断该修改是非法修改。

具体地，文件保护单元220，适于进行弹窗提示，并提供“允许”、“阻止”和“回滚”三个操作选项。每个操作选项对应不同的处理策略：当用户选择“允许”操作选项时，不对进程进行任何处理。当用户选择“阻止”操作选项时，强制停止进程，阻止该进程在本机中再进行修改的操作。当用户选择“回滚”操作选项时，根据所记录的文件修改操作和备份文件，回滚进程的修改操作，将文件恢复到被该进程修改前的状态。因为如上文，当文件被修改时，对文件进行备份，得到备份文件，将备份文件获得后，将备份文件保存到特定位置；且已经记录了该进程的文件修改操作，当用户选择“回滚”操作时，就可以利用备份文件以及记录的该进程的文件修改操作，回滚该进程的操作，对被修改的文件进行恢复，达到保护文件的效果，防止因文件被非法操作导致的不可用的情况出现。

图3示出了根据本公开另一个实施例的一种实现文件保护的装置的结构示意图。如图3所示，该实现文件保护的装置300包括：文件确定单元310，文件保护单元320、加密判断单元330、密钥获取单元340和文件解密单元350。其中，文件确定单元310，文件保护单元320和图2所示的文件确定单 元210，文件保护单元220具有对应相同的功能，相同的部分在此不再赘述。

加密判断单元330，适于当特定操作为修改文件内容时，判断该进程是否使用指定加密算法对文件进行加密处理。

当对终端设备中存储的文件进行非法修改的时候，通常会利用相应的可执行程序exe进行，当检测到有程序在进行文件的修改时，就判断对文件进行修改操作的进程中是否使用指定的加密算法进行加密处理。这里的指定加密算法一般是现有技术中已经存在的加密算法，可以预知，在通常情况下，为了减少时间成本，对文件进行非法加密时，通常会使用现有的加密算法。例如，DES加密算法。所以，在本实施例中，会预先配置一些指定的加密算法，在判断该进程是否使用指定加密算法对文件进行加密处理的时候，可以利用加密算法的特征码进行匹配，如果可以匹配，则说明该进程确实在使用指定加密算法对文件进行加密处理。另外，也可以判断这些程序是否调用系统DLL进行加密。

密钥获取单元340，适于当加密判断单元330判断出该进程使用指定加密算法对文件进行加密处理时，利用钩子函数导出指定加密算法所使用的密钥并保存。

经过判断后，如果确定该进程是在使用指定加密算法对文件进行加密处理，就通过插入钩子函数的方式，将指定加密算法当前使用的密钥导出并保存起来。另外，当判断这些程序是调用系统DLL进行加密时，也可以通过钩取(HOOK)系统DLL的导出函数来获取密钥并保存。这里密钥的存储位置可以系统默认的，也可以是用户指定的，当存储的时候，为了便于查找和解密，可以将被加密的文件名和对应的密钥一起保存或者以被加密的文件的文件名、原始路径的组合作为密钥的索引，将该密钥的索引和加密文件对应保存到一个特定位置，以便用户可以获知哪些文件被加密，并且利用索引中的信息和密钥对加密的文件进行解密。

文件解密单元350，适于当需要时，根据指定加密算法和所保存密钥对被加密处理的文件进行解密处理。

当用户使用已经被加密的文件时，发现该文件已经被加密，那么用户就可以直接利用已经保存的密钥对加密的文件进行解密，无需通过使用该可执 行程序exe的不法分子，就可以将该文件解密。本公开可以实现在文件被非法加密后，利用导出的密钥将加密的文件进行解密，以恢复加密的文件，可以有效的保护文件，维护用户自身的利益，提高用户体验。

如上文说明，在判断该进程是否使用指定加密算法对文件进行加密处理的时候，可以利用加密算法的特征码；而且，通常进行文件修改操作的进程使用的指定加密算法是使用第三方加解密库进行加密算法的调用，或者在该进程本身代码中包含有加密算法的执行程序。那么，在本公开的一个实施例中，加密判断单元330，适于在该进程中注入预先指定的动态链接库DLL，由该DLL扫描并判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含指定加密算法的特征码。动态链接库DLL提供了一种方法，使进程可以调用不属于其可执行代码的函数。本实施例中，在该进程中注入动态链接库DLL，扫描并判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含指定加密算法的特征码。

如果该进程所调用的第三方加解密库中包含指定加密算法的特征码，和/或，该进程本身的代码中包含指定加密算法的特征码，则确定该进程使用指定加密算法对文件进行加密处理。例如，如果调用的第三方加解密库中包含DES加密算法的特征码，和/或该exe进程本身的代码中包含DES加密算法的特征码，则确定该进程使用DES加密算法对文件进行加密处理。

动态链接库DLL提供了一种方法，使进程可以调用不属于其可执行代码的函数。本实施例中，在该进程中注入动态链接库DLL，判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含指定加密算法的特征码。

针对上述的包含指定加密算法的特征码的位置的不同，导出指定加密算法所使用的密钥的方式也不同。详见下文说明：

(1)密钥获取单元340，适于当该进程所调用的第三方加解密库中包含指定加密算法的特征码时，利用钩子函数HOOK第三方加解密库的导出接口以拦截到指定加密算法所使用的密钥。

钩子函数可以捕捉系统中所有进程将发生的事件消息，当一个事件发生时，如果安装了一个钩子函数，进程中的钩子函数将被调用。在本实施例中，当确定该进程使用指定加密算法对文件进行加密处理的事件发生时，就会调 用预先安装的钩子函数，HOOK第三方加解密库的导出接口以拦截到指定加密算法所使用的密钥。HOOK这里可以理解为“钩住”，即利用钩子函数通过第三方加解密库的导出接口拦截指定加密算法所使用的密钥。

(2)密钥获取单元340，适于当该进程本身的代码中包含指定加密算法的特征码时，在指定加密算法的特征码所在位置处设置硬件执行断点或INT3断点，当该进程执行到所设置的断点处时触发异常，进而由处理异常的钩子函数从CPU寄存器和/或堆栈中的上下文信息中找出指定加密算法所使用的密钥。

当该进程本身的代码中包含指定加密算法的特征码，则确定该进程使用指定加密算法对文件进行加密处理，加密处理的密钥信息会在CPU寄存器和/或堆栈中的上下文信息中。因为在指定加密算法的特征码所在的位置处设置了硬件执行断点或INT3断点，当程序执行到指定加密算法的特征码所在的位置处时，就会触发硬件执行断点或INT3断点的指定，触发一个异常，调试器或CPU就会捕捉这个异常从而停在断点处，然后从断点处调用钩子函数，从CPU寄存器和/或堆栈中的上下文信息中找出指定加密算法所使用的密钥。

这样当通过钩子函数获取到指定加密算法所使用的密钥并保存，当需要对加密的文件进行解密时，就可以利用保存的密钥进行。

在本公开的一个实施例中，指定加密算法为对称加密算法。在对称加密算法中，数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。也就是说，在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密。如果进行文件修改操作的进程使用对称加密算法对文件进行加密处理，当已经利用钩子函数获取到加密算法所使用的密钥后，就可以对文件进行解密。

本公开提供的保护文件的方案的前提是非用户本人对文件进行了非法修改操作，如果只是用户本人正常的修改就不需要执行本方案。那么，为了进一步确定对文件的修改是非法修改。在本公开的一个实施例中，加密判断单元330，适于对于进行文件修改操作的进程，在判断该进程是否使用指定加 密算法对文件进行加密处理之前，进一步判断该进程的文件修改操作是否满足如下条件中的一种或多种：在预定时间内修改的文件数量超过阈值、对一个文件的内容的修改比例超过阈值、所修改的相同类型文件的数量超过阈值、对相同类型文件的修改数据量超过阈值。如果判断为是，再执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤；如果判断为否，则不执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤。

也就是说，当该进程的文件修改操作满足如上文方法实施例所述的进行报警提示的条件中的一种或多种时，再执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤。

需要说明的是，判断该进程的文件修改操作是否满足条件时，可以使用上文所述的进行报警提示的条件中的任意一个条件，也可以使用上文所述的进行报警提示的条件的任意组合。在另一实施例中，也可以通过以下方式判断对需要保护的文件进行的修改是非法修改：当需要保护的文件被修改时，判断是否以系统默认工具修改该需要保护的文件，若否，则可以判断该修改是非法修改。

本方案可以只针对一些特定的文件，对于用户来讲，终端设备中存储的文件并非都是重要的，有一些文件可能都已经是无用的文件，为了避免在执行本方案时系统资源的非必要消耗，可是预先指定一些需要保护的默认文件，或者用户自定义一些需要保护的文件，只有这些需要保护的文件被进行加密处理时，才执行本方案。所以，在本公开的一个实施例中，对于进行文件修改操作的进程，在判断该进程是否使用指定加密算法对文件进行加密处理之前，该方法进一步包括：判断该进程修改的文件是否包括预先被指定为需要保护的文件。如果包括，再执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤；如果不包括，则不执行判断该进程是否使用指定加密算法对文件进行加密处理的步骤。

具体地，这里需要保护的文件与上文所述的需要保护的文件种类相同，在此不再赘述。

需要说明的是，图2和图3所示的装置的各实施例与图1所示方法的各实施例对应相同，上文已有详细说明，在此不再赘述。

图4示出了可以实现本公开的上述实现文件保护的方法的计算设备。该 计算设备传统上包括处理器410和以存储设备420形式的计算机程序产品或者计算机可读介质。存储设备420可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储设备420具有存储用于执行上述方法中的任何方法步骤的程序代码431的存储空间430。例如，存储程序代码的存储空间430可以包括分别用于实现上面的方法中的各种步骤的各个程序代码431。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘、紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为例如图5所示的便携式或者固定存储单元。该存储单元可以具有与图4的计算设备中的存储设备420类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本公开的方法步骤的计算机可读代码431＇，即可以由诸如410之类的处理器读取的代码，当这些代码由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

综上所述，根据本公开的技术方案，一旦监控到有进程在需要保护的文件上执行的操作属于特定的操作时，就对该进程进行相应的处理。首先确定需要保护的文件，然后实时监控需要保护的文件上执行的操作，一旦监控到有进程在需要保护的文件上执行特定操作时，就执行与该特定操作对应的处理。例如，当有进程修改需要保护的文件的时候，就可以对该文件进行备份处理。这样，在违背用户本人意愿下，对需要保护的文件进行修改的时候，就可以执行本方案，以达到对需要保护的文件进行保护的效果，防止因文件被非法操作导致的不可用的情况出现，同时也维护了用户的自身利益，有助于提升用户体验。需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本公开也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本公开的内容，并且上面对特定语言所做的描述是为了披露本公开的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本公开的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未 详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个公开方面中的一个或多个，在上面对本公开的示例性实施例的描述中，本公开的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本公开要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，公开方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本公开的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本公开的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本公开的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本公开实施例的实现文件保护的装置和计算设备中的一些或者全部部件的一些或者全部功能。本公开还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本公开的程序可以存储在计算机可读介质上，或者可以具有一个或 者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本公开进行说明而不是对本公开进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (36)

1. 一种实现文件保护的方法，包括：

   确定需要保护的文件；

   监控需要保护的文件上执行的操作；

   当监控到有进程在需要保护的文件上执行特定操作时，执行与该特定操作对应的处理。
2. 如权利要求1所述的方法，其中，所述确定需要保护的文件包括如下的一种或多种：

   将指定的一个或多个类型的文件作为默认需要保护文件；

   接收用户的指令，根据用户的指令确定需要保护的文件；

   扫描本机上存储的文件，将本机上存储的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件；

   将易受攻击的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件。
3. 如权利要求1所述的方法，其中，所述特定操作包括如下中的一种或多种：

   修改文件内容；

   修改文件名称；

   删除文件；

   移动文件；

   复制文件；

   打开文件。
4. 如权利要求3所述的方法，其中，当所述特定操作为打开文件时，所述执行与该特定操作对应的处理包括：

   判断是否以系统默认工具打开需要保护的文件；

   如果是，则不做处理；

   如果否，则进行报警提示。
5. 如权利要求3所述的方法，其中，当所述特定操作为修改文件名称、删除文件、移动文件或复制文件时，所述执行与该特定操作对应的处理包括：

   进行弹窗提示，并提供“允许”、“阻止”和“回滚”操作选项；

   当用户选择“允许”操作选项时，不对所述进程进行任何处理；

   当用户选择“阻止”操作选项时，强制停止所述进程；

   当用户选择“回滚”操作选项时，回滚所述进程的操作，将文件恢复到被该进程操作前的状态。
6. 如权利要求3所述的方法，其中，当所述特定操作为修改文件内容时，所述执行与该特定操作对应的处理包括：

   对文件进行备份，得到备份文件；

   将备份文件保存到特定位置。
7. 如权利要求6所述的方法，其中，所述将备份文件保存到特定位置包括：

   对所述备份文件进行加密处理，得到加密文件；

   以所述备份文件的文件名、原始路径和原始大小的组合作为备份文件的索引；

   备份文件的文件名为所述需要保护的文件的内容的MD5值；

   将所述备份文件的索引和加密文件对应保存到特定位置。
8. 如权利要求3所述的方法，其中，当所述特定操作为修改文件内容时，所述执行与该特定操作对应的处理包括：

   记录该进程对所述需要保护的文件进行的修改的操作；

   当该进程对所述需要保护的文件进行的修改操作满足如下条件中的一种或多种时，进行报警提示：

   在预定时间内修改的文件数量超过阈值；

   对一个文件的内容的修改比例超过阈值；

   所修改的相同类型文件的数量超过阈值；

   对相同类型文件的修改数据量超过阈值。
9. 如权利要求8所述的方法，其中，

   所述进程报警提示包括：进行弹窗提示，并提供“允许”、“阻止”和“回滚”三个操作选项；

   当用户选择“允许”操作选项时，不对所述进程进行任何处理；

   当用户选择“阻止”操作选项时，强制停止所述进程；

   当用户选择“回滚”操作选项时，根据所记录的文件修改操作和备份文件，回滚所述进程的修改操作，将文件恢复到被该进程修改前的状态。
10. 如权利要求3所述的方法，其中，当所述特定操作为修改文件内容时，所述执行与该特定操作对应的处理包括：

    判断该进程是否使用指定加密算法对文件进行加密处理；

    如果该进程使用指定加密算法对文件进行加密处理，则利用钩子函数导出所述指定加密算法所使用的密钥并保存。
11. 如权利要求10所述的方法，其中，所述判断该进程是否使用指定加密算法对文件进行加密处理包括：

    在该进程中注入预先指定的动态链接库DLL，由该DLL扫描并判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含所述指定加密算法的特征码；

    如果该进程所调用的第三方加解密库中包含所述指定加密算法的特征码，或者，该进程本身的代码中包含所述指定加密算法的特征码，则确定该进程使用指定加密算法对文件进行加密处理。
12. 如权利要求11所述的方法，其中，

    如果该进程所调用的第三方加解密库中包含所述指定加密算法的特征码，则所述利用钩子函数导出所述指定加密算法所使用的密钥包括：利用钩子函数HOOK所述第三方加解密库的导出接口以拦截到所述指定加密算法所使用的密钥；

    如果该进程本身的代码中包含所述指定加密算法的特征码，则所述用钩子函数导出所述指定加密算法所使用的密钥包括：在所述指定加密算法的特征码所在位置处设置硬件执行断点或INT3断点，当该进程执行到所设置的断点处时触发异常，进而由处理异常的钩子函数从CPU寄存器和/或堆栈中的上下文信息中找出所述指定加密算法所使用的密钥。
13. 如权利要求10-12中任一项所述的方法，其中，该方法进一步包括：

    当需要时，根据所述指定加密算法和所保存密钥对被加密处理的文件进行解密处理。
14. 如权利要求6所述的方法，其中，所述对文件进行备份包括：

    在修改的结果被保存时，对该文件进行备份。
15. 如权利要求6所述的方法，其中，

    该方法进一步包括：根据本地各磁盘的磁盘剩余空间的大小，选择磁盘剩余空间最大的一个磁盘，在该磁盘上新建一个文件夹；

    所述将备份文件保存到特定位置包括：将备份文件保存到所述新建的文件夹中。
16. 如权利要求10所述的方法，其中，所述指定加密算法为对称加密算法。
17. 如权利要求10-12及16中任一项所述的方法，其中，对于进行文件修改操作的进程，在判断该进程是否使用指定加密算法对文件进行加密处理之前，该方法进一步包括：

    判断该进程修改的文件是否包括预先被指定为需要保护的文件；

    如果包括，再执行所述判断该进程是否使用指定加密算法对文件进行加密处理的步骤。
18. 一种实现文件保护的装置，包括：

    文件确定单元，适于确定需要保护的文件；

    文件保护单元，适于监控需要保护的文件上执行的操作，当监控到有进程在需要保护的文件上执行特定操作时，执行与该特定操作对应的处理。
19. 如权利要求18所述的装置，其中，所述文件确定单元，适于根据如下中的一种或多种方式确定需要保护的文件：

    将指定的一个或多个类型的文件作为默认需要保护文件；

    接收用户的指令，根据用户的指令确定需要保护的文件；

    扫描本机上存储的文件，将本机上存储的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件；

    将易受攻击的各类文件的类型信息展示给用户供其进行选择，将用户选择的类型对应的文件确定为需要保护的文件。
20. 如权利要求18所述的装置，其中，所述特定操作包括如下中的一种或多种：

    修改文件内容；

    修改文件名称；

    删除文件；

    移动文件；

    复制文件；

    打开文件。
21. 如权利要求20所述的装置，其中，

    所述文件保护单元，适于当所述特定操作为打开文件时，判断是否以系统默认工具打开需要保护的文件；如果是，则不做处理；如果否，则进行报警提示。
22. 如权利要求20所述的装置，其中，

    所述文件保护单元，适于当所述特定操作为修改文件名称、删除文件、移动文件或复制文件时，进行弹窗提示，并提供“允许”、“阻止”和“回滚”操作选项；当用户选择“允许”操作选项时，不对所述进程进行任何处理；当用户选择“阻止”操作选项时，强制停止所述进程；当用户选择“回滚”操作选项时，回滚所述进程的操作，将文件恢复到被该进程操作前的状态。
23. 如权利要求20所述的装置，其中，

    所述文件保护单元，适于当所述特定操作为修改文件内容时，对文件进行备份，得到备份文件，并将备份文件保存到特定位置。
24. 如权利要求23所述的装置，其中，

    所述文件保护单元，适于对所述备份文件进行加密处理，得到加密文件；以所述备份文件的文件名、原始路径和原始大小的组合作为备份文件的索引，其中，备份文件的文件名为所述需要保护的文件的内容的MD5值；将所述备份文件的索引和加密文件对应保存到特定位置。
25. 如权利要求20所述的装置，其中，

    所述文件保护单元，适于当所述特定操作为修改文件内容时，记录该进程对所述需要保护的文件进行的修改的操作；当该进程对所述需要保护的文件进行的修改操作满足如下条件中的一种或多种时，进行报警提示：

    在预定时间内修改的文件数量超过阈值；

    对一个文件的内容的修改比例超过阈值；

    所修改的相同类型文件的数量超过阈值；

    对相同类型文件的修改数据量超过阈值。
26. 如权利要求25所述的装置，其中，

    所述文件保护单元，适于进行弹窗提示，并提供“允许”、“阻止”和“回滚”三个操作选项；当用户选择“允许”操作选项时，不对所述进程进行任何处理；当用户选择“阻止”操作选项时，强制停止所述进程；当用户选择“回滚”操作选项时，根据所记录的文件修改操作和备份文件，回滚所述进程的修改操作，将文件恢复到被该进程修改前的状态。
27. 如权利要求20所述的装置，其中，该装置进一步包括：

    加密判断单元，适于当所述特定操作为修改文件内容时，判断该进程是否使用指定加密算法对文件进行加密处理；

    密钥获取单元，适于当加密判断单元判断出该进程使用指定加密算法对文件进行加密处理时，利用钩子函数导出所述指定加密算法所使用的密钥并保存。
28. 如权利要求27所述的装置，其中，

    所述加密判断单元，适于在该进程中注入预先指定的动态链接库DLL，由该DLL扫描并判断该进程所调用的第三方加解密库中和/或该进程本身的代码中是否包含所述指定加密算法的特征码；如果该进程所调用的第三方加解密库中包含所述指定加密算法的特征码，或者，该进程本身的代码中包含所述指定加密算法的特征码，则确定该进程使用指定加密算法对文件进行加密处理。
29. 如权利要求28所述的装置，其中，

    所述密钥获取单元，适于当该进程所调用的第三方加解密库中包含所述指定加密算法的特征码时，利用钩子函数HOOK所述第三方加解密库的导出接口以拦截到所述指定加密算法所使用的密钥；以及适于当该进程本身的代码中包含所述指定加密算法的特征码时，在所述指定加密算法的特征码所在位置处设置硬件执行断点或INT3断点，当该进程执行到所设置的断点处时触发异常，进而由处理异常的钩子函数从CPU寄存器和/或堆栈中的上下文信息中找出所述指定加密算法所使用的密钥。
30. 如权利要求27-29中任一项所述的装置，其中，该装置进一步包括：

    文件解密单元，适于当需要时，根据所述指定加密算法和所保存密钥对被加密处理的文件进行解密处理。
31. 如权利要求23所述的装置，其中，

    所述文件保护单元，适于在修改的结果被保存时，对该文件进行备份。
32. 如权利要求23所述的装置，其中，

    所述文件保护单元，进一步适于根据本地各磁盘的磁盘剩余空间的大小，选择磁盘剩余空间最大的一个磁盘，在该磁盘上新建一个文件夹；以及将备份文件保存到所述新建的文件夹中。
33. 如权利要求27所述的装置，其中，所述指定加密算法为对称加密算法。
34. 如权利要求27-29及33中任一项所述的装置，其中，所述加密判断单元，适于对于进行文件修改操作的进程，在判断该进程是否使用指定加密算法对文件进行加密处理之前，进一步判断该进程修改的文件是否包括预先被指定为需要保护的文件；如果包括，再执行所述判断该进程是否使用指定加密算法对文件进行加密处理的步骤。
35. 一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求1-17中的任一项所述的实现文件保护的方法。
36. 一种计算机可读介质，其中存储了如权利要求35所述的计算机程序。

Images