[发明专利]针对windows全系统的文件保护方法及系统

说明书

本发明提供了一种针对windows全系统的文件保护方法及系统。该方法包括：采用Minifilter文件过滤驱动框架对系统内的文件访问操作进行监控；当监控到进程尝试打开文件时，获取到当前文件的哈希值，以及当前进程的哈希值；查询当前文件的哈希值是否存在于策略要保护的列表中；如果不存在，允许本次打开操作；如果存在，查询当前进程的哈希值是否存在于可信进程列表中；如果存在于可信哈希列表中，允许本次打开操作；如果不存在于可信哈希列表中，通过重定向的方式触发保护动作。本发明提供的针对windows全系统的文件保护方法及系统能够实现在windows XP及以后的所有系统的文件保护功能，做到被保护文件不被不可信进程访问、读取、修改、重命名、删除。

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种针对windows全系统的文件保护方法及系统。

背景技术

操作系统的安全性一直是业界关注的问题。作为经典的操作系统，windows操作系统的安全问题也一直是关注的交点。在windows操作系统中，文件经常成为黑客执行攻击的目标或者媒介。因此，文件的安全性在windows系统中十分重要。

发明内容

本发明要解决的技术问题是提供一种针对windows全系统的文件保护方法及系统，能够实现在windows XP及以后的所有系统的文件保护功能，做到被保护文件不被不可信进程访问、读取、修改、重命名、删除。

为解决上述技术问题，本发明提供了一种针对windows全系统的文件保护方法，所述方法包括：采用Minifilter文件过滤驱动框架对系统内的文件访问操作进行监控；当监控到进程尝试打开文件时，获取到当前文件的哈希值，以及当前进程的哈希值；查询当前文件的哈希值是否存在于策略要保护的列表中；如果不存在，允许本次打开操作；如果存在，查询当前进程的哈希值是否存在于可信进程列表中；如果存在于可信哈希列表中，允许本次打开操作；如果不存在于可信哈希列表中，通过重定向的方式触发保护动作。

在一些实施方式中，通过重定向的方式触发保护动作，包括：将对文件的访问重定向至傀儡文件。

在一些实施方式中，将对文件的访问重定向至傀儡文件，包括：保护时先将Data中当前文件名的缓冲区释放掉，然后申请一块新的缓冲区，此缓冲区存入事先设置的傀儡文件的全路径，用新的缓冲区更新Data中文件名的缓冲区变量，最后更新文件名的长度和实际缓冲区大小。

在一些实施方式中，将对文件的访问重定向至傀儡文件之后，对文件的读、写、修改、删除、重命名都是对傀儡文件的操作。

在一些实施方式中，当监控到进程尝试打开文件时，获取到当前文件的哈希值，以及当前进程的哈希值，包括：当进程尝试打开文件时，会进入到监控函数FltPreCreateFile中，根据FltPreCreateFile(Data,FltObject,context)所带的Data参数获取到当前文件的哈希值和当前进程的哈希值。

在一些实施方式中，还包括：如果存在于可信哈希列表中，允许本次打开操作之后，返回Flt_PREOP_SUCCESS_NO_CALLBACK。

在一些实施方式中，还包括：如果不存在，允许本次打开操作之后，返回Flt_PREOP_S UCCESS_NO_CALLBACK。

此外，本发明还提供了一种针对windows全系统的文件保护系统，所述系统包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现根据前文所述的针对windows全系统的文件保护方法。

采用这样的设计后，本发明至少具有以下优点：

1.使用的文件重定向功能保证不会访问到真实文件，并且可以保证真实文件不被常规的文件复制和读取访问。