[发明专利]一种应用于计算机文件的加密病毒的拦截方法及系统有效
| 申请号: | 201611056350.5 | 申请日: | 2016-11-24 |
| 公开(公告)号: | CN106778267B | 公开(公告)日: | 2019-12-17 |
| 发明(设计)人: | 颜华甲;秦伟杰 | 申请(专利权)人: | 北京金山安全管理系统技术有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 11331 北京康盛知识产权代理有限公司 | 代理人: | 张宇峰 |
| 地址: | 100041 北京市石景山*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种应用于计算机文件的加密病毒的拦截方法及系统,拦截方法包括:预置防御辅助文件,防御辅助文件为加密病毒对应加密的文件类型;预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;实时监测包括防御辅助文件在内的所有计算机文件,在计算机被执行操作时,获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄;根据第一关联表和第二关联表,判断操作行为是否为病毒的加密操作;若操作行为为病毒的加密操作,则拦截加密操作。本发明的拦截方法可以快捷、高效的判断出是否为病毒被执行的加密行为,克服了传统病毒查杀技术所存在的局限性。 | ||
| 搜索关键词: | 一种 应用于 计算机 文件 加密 病毒 拦截 方法 系统 | ||
【主权项】:
1.一种应用于计算机文件的加密病毒的拦截方法,其特征在于,包括:/n预置防御辅助文件,所述防御辅助文件为所述加密病毒对应加密的文件类型;/n预置文件路径与文件类型的第一关联表,以及文件句柄与文件类型的第二关联表;/n实时监测包括所述防御辅助文件在内的所有计算机文件,在所述计算机被执行操作时,获取所述计算机文件在调用过程中被执行的操作行为、所述计算机文件的文件路径及文件句柄;/n在获取所述计算机文件在调用过程中被执行的操作行为后,确定所述操作行为的类型,其中,所述操作行为的类型为以下类型的一种或几种:文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为;/n在所述操作行为的类型为文件移动行为时,根据所述第一关联表和第二关联表,判断所述操作行为是否为病毒的加密操作的过程包括:/n获取scr文件和dest文件,其中,所述scr文件为所述计算机文件在被执行所述文件移动行为之前的文件路径,所述dest文件为所述计算机文件在被执行所述文件移动行为之后的文件路径;/n判断被执行所述操作行为的所述scr文件是否为防御辅助文件,若是,则所述操作行为为病毒的加密操作;/n否则,从所述第一关联表中查找所述scr文件的文件路径,在所述第一关联表中查找到所述scr文件的文件路径时,根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;/n在所述第一关联表中未查找到所述scr文件的文件路径时,从所述第一关联表中查找去除文件后缀的dest文件的文件路径;若在所述第一关联表中查找到所述dest文件的文件路径,则根据scr文件的内容确定其文件类型;将所述scr文件的文件类型与第一关联表中的文件类型相匹配,若未匹配成功,则所述操作行为为病毒的加密操作;/n若在所述第一关联表中未查找到所述dest文件的文件路径,则根据所述scr文件的文件后缀和文件内容,确定所述scr文件是否为doc、xls、ppt、pdf中的其中一种文件类型;/n在所述scr文件的文件内容为doc、xls、ppt、pdf中的其中一种文件类型时,将所述scr文件的文件类型和文件路径添加至所述第一关联表中;/n若所述操作行为为病毒的加密操作,则拦截所述加密操作。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京金山安全管理系统技术有限公司,未经北京金山安全管理系统技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201611056350.5/,转载请声明来源钻瓜专利网。
- 上一篇:一种基于机器学习的安卓恶意软件动态检测方法
- 下一篇:恶意代码检测方法与系统
