[发明专利]一种基于访问权限的检测和防御勒索软件的方法

权利要求书

1.一种基于访问权限的检测和防御勒索软件的方法，其特征在于，包括如下步骤：

S1.在待监测系统中设置敏感文件夹，生成敏感文件夹列表，并为待监测系统设置防御脚本及白名单；

S2.配置防御脚本实时监控文件遍历所需的系统API，对所有调用文件遍历系统API的进程进行拦截，并设置为关注进程，在白名单中查找关注进程对应的软件；

S3.当在白名单中没有关注进程对应的软件时，配置防御脚本判断关注进程调用系统API进行遍历的文件夹是否在敏感文件夹列表；步骤S3中，当在白名单中存在关注进程对应的软件时，配置防御脚本允许关注进程的操作；

S4.当关注进程调用系统API进行遍历的文件夹在敏感文件夹列表时，配置防御脚本对关注进程进行进程注入，监控关注进程的所有文件操作系统API，并将关注进程的每个文件操作系统API进行的文件操作提供给用户确认，再根据用户的确认结果对关注进程的动作进行相应的操作；步骤S4具体步骤如下：

S41.当关注进程调用系统API进行遍历的文件夹在敏感文件夹列表时，配置防御脚本对关注进程进行进程注入，监控关注进程的所有文件操作系统API；

S42.配置防御脚本将关注进程的每个文件操作系统API进行的文件操作提供给用户确认；

当用户同意时，配置防御脚本允许关注进程的当前文件操作系统API进行的文件操作，返回步骤S42；

当用户拒绝时，配置防御脚本阻断关注进程的当前文件操作系统API进行的文件操作，返回步骤S42；

步骤S41中，当关注进程调用系统API进行遍历的文件夹在敏感文件夹列表时，配置防御脚本对关注进程进行进程注入的同时，还判断文件操作系统API操作的文件夹是否发生变化；

若是，向用户发送勒索病毒提醒，并询问用户是否要将关注进程加入黑名单；

若否，继续监控关注进程的所有文件操作系统API；

步骤S42中，配置防御脚本将关注进程的每个文件操作系统API进行的文件操作提供给用户确认的同时，监控文件操作系统API进行的修改类文件操作；监控文件操作系统API进行的修改类文件操作具体步骤如下：

判断文件操作系统API进行的文件操作是否为修改类操作；

若是，进入步骤S43；

若否，返回步骤S42；

S43.记录一次修改类操作，并判断修改类操作是否超过设定阈值；

若超过设定阈值，则向用户发送勒索软件提醒，并询问用户是否要将关注进程加入黑名单；

若未超过设定阈值，则返回步骤S42；

步骤S1中还为待监测系统设置黑名单；

步骤S2中在白名单中查找关注进程对应的软件之前，还包括：

在黑名单中查找关注进程对应的软件；

当黑名单中存在关注进程对应的软件时，阻断关注进程的所有操作，返回步骤S2；

当黑名单中不存在关注进程对应的软件时，继续进行白名单的查找。

2.如权利要求1所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S42中，当用户同意，且将关注进程加入白名单时，配置防御脚本允许关注进程的当前文件操作系统API进行的文件操作，且更新白名单，返回步骤S3。

3.如权利要求1所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S42中，当用户拒绝，且将关注进程加入黑名单时，配置防御脚本阻断关注进程的所有操作，且更新黑名单，返回步骤S2。

4.如权利要求3所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S42中文件操作API进行的文件操作包括文件遍历、文件打开、文件创建、文件写、文件删除以及文件移动。