一种恶意软件的防御方法、防御装置以及防御系统制造方法及图纸

本申请公开了一种恶意软件的防御方法、防御装置以及防御系统，用以降低对恶意软件进行防御时的代价和难度，提高对恶意软件防御的有效性。防御设备在包括N个原有文件的受保护文件夹中添加M个元素文件，使得当根据文件名对所述受保护文件夹中的所有文件排序时，所述M个元素文件中的一个元素文件排在所述N个原有文件之前，M大于等于1，N大于等于1；监控所述M个元素文件是否被访问；如果所述M个元素文件中的元素文件被访问，终止访问所述元素文件的进程，所述进程被认为与恶意软件相关。所述进程被认为与恶意软件相关。所述进程被认为与恶意软件相关。

【技术实现步骤摘要】
一种恶意软件的防御方法、防御装置以及防御系统


[0001]本申请涉及计算机安全
，尤其涉及一种恶意软件的防御方法、防御装置以及防御系统。

技术介绍

[0002]恶意软件是指任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备，还可能会影响与受感染设备通信的其他设备。有些恶意软件可以加密或者修改受害者磁盘驱动器上的文件。
[0003]这些恶意软件通常用木马病毒的形式传播，例如假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载，也有可能与许多其他蠕虫病毒一样利用操作系统或者应用软件的漏洞计算机之间传播。
[0004]为降低这些恶意软件对文件的破坏，有研究者提出将受保护的文件复制多份，分别保存在不同的存储位置以实现备份。这样即使一个存储位置上的文件被恶意软件修改或加密，还可以从其他的存储位置上获得备份的文件。然而这种方式将大大提高文件的存储成本和管理维护难度，代价很高。

技术实现思路

[0005]本申请实施例提供一种恶意软件的防御方法，用以降低对恶意软件进行防御时的代价和难度，提高对恶意软件防御的有效性。
[0006]第一方面，提供了一种恶意软件的防御方法。该方法由恶意软件的防御系统执行。防御系统在包括N个原有文件的受保护文件夹中添加M个元素文件，使得当根据文件名对所述受保护文件夹中的所有文件排序时，所述M个元素文件中的一个元素文件排在所述N个原有文件之前，M大于等于1，N大于等于1。防御系统监控所述M个元素文件是否被访问。如果所述M个元素文件中的元素文件被访问，防御系统终止访问所述元素文件的进程，所述进程被认为与恶意软件相关。
[0007]本申请实施例通过元素文件对受保护文件夹中的原有文件进行保护。当某一可疑进程访问受保护文件夹中的文件时，元素文件首先被访问，此时防御系统能够及时终止可疑进程，从而保护受保护文件夹中的原有文件免于被可疑进程加密或修改。该防御方案实施时无需对原有文件进行大量复制和分布存储，避免占用大量存储资源，也节约了维护管理多个原有文件副本所需耗费的处理资源，从而降低了防御代价。
[0008]可选地，在第一方面的一种可能的实现方式中，防御系统在生成元素文件时，根据受保护文件夹中的原有文件的文件名确定元素文件的文件名。即M个元素文件中每个元素文件的文件名是根据所述N个原有文件中至少一个原有文件的文件名确定的。
[0009]由于一个文件夹的文件名列表中文件名的默认排序方式是根据文件名进行排序，因此根据原有文件的文件名生成元素文件的文件名能够确保M个元素文件中的一个元素文件排在受保护文件夹的所有原有文件之前。这样排在受保护文件夹的所有原有文件之前的
元素文件能对受保护文件夹中的所有原有文件提供保护，实现完善的防御效果。
[0010]可选地，在第一方面的一种可能的实现方式中，排在所述N个原有文件之前的元素文件是根据基准原有文件生成的，其中，基于所述防御系统的默认文件名排序方式，所述基准原有文件排在所述N个原有文件的第一个。在确定元素文件之前，先从N个原有文件中确定基准原有文件，再根据基准原有文件的文件名以及默认文件名排序方式生成元素文件的文件名，能够提高生成元素文件的效率。
[0011]可选地，在第一方面的一种可能的实现方式中，防御系统确定所述N个原有文件中属于目标类别的目标原有文件。然后防御系统从所述目标原有文件中获得第一原有文件，其中，基于所述防御系统的默认文件名排序方式，所述第一原有文件的文件名在所述目标原有文件的文件名中排在第一个。防御系统生成第一元素文件，所述第一元素文件属于所述目标类别，且基于所述默认文件名排序方式，所述第一元素文件的文件名排在所述第一原有文件的文件名之前。
[0012]根据文件名的首字符，受保护文件夹中的原有文件被分为多种不同类别。虽然不同操作系统根据文件名对受保护文件夹中的所有文件排序时，采用的默认排序方式可能有所差异，但是同类文件名的排序方式具有相似性，即按照首字符在ASCII表中对应的数值的大小顺序。因此按照原有文件的类别生成元素文件这种生成元素文件的方式，具有较好的通用性。
[0013]可选地，操作系统根据文件名对受保护文件夹中的所有文件排序时，默认文件名排序方式是同类文件文件名的首字符在美国信息交换标准代码(American Standard Code for Information Interchange，ASCII)表中对应的数值从小到大的顺序，或者所述默认文件名排序方式是同类文件文件名的首字符在ASCII表中对应的数值从大到小的顺序。
[0014]可选地，在第一方面的一种可能的实现方式中，防御系统通过挂钩hook方式监控所述防御系统中的预定应用编程接口(application programming interface，API)。如果通过hook方式监控到所述预定API被调用，防御系统获得所述预定API被调用时的参数；如果所述参数中包括所述至少一个元素文件中的元素文件的文件名，则确定所述元素文件被访问；如果所述参数中未包括所述元素文件的文件名，则确定所述该M个元素文件中的元素文件未被访问。可选地，被监控的API是用于获取文件名列表的API，例如Windows操作系统中的FindFirstFile(),FindNextFileA()等。
[0015]通过hook机制，防御系统能够可靠地监控到元素文件被正在运行的一个进程访问，从而有利于后续终止可疑的进程。
[0016]可选地，在第一方面的一种可能的实现方式中，防御系统在监控到有一个进程正在访问元素文件时，对进程的合法性进行检测，然后根据检测结果确定是否终止该进程，这样能够避免操作系统的正常功能及人员的正常操作不会被错误地阻断。具体地，防御系统获取所述进程的访问参数，所述访问参数包括进程名、产生所述进程的程序名、访问时间、或被访问的元素文件的文件名。防御系统比较所述进程的访问参数与设定的访问参数范围，如果所述进程的访问参数不属于所述访问参数范围，终止所述进程。其中设定的访问参数范围是根据历史上因操作系统的正常功能及人员的正常操作而运行的正常进程对所述至少一个元素文件的访问行为获得的。
[0017]第二方面，本申请实施例还提供了一种恶意软件的防御系统。该防御系统包括存
储器和至少一个处理器，所述存储器用于存储指令。所述至少一个处理器调用所述存储器中保存的指令，使得所述防御系统执行上述第一方面、或第一方面的任意一种可能的实现方式所描述的方法。
[0018]第三方面，本申请实施例还提供了一种恶意软件的防御装置，该防御装置具有实现上述第一方面所述方法或上述方面的任意一种可能的实现方式的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
[0019]第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质用于储存为上述防御系统所用的计算机软件指令，指令中包含用于执行上述第一方面或上述方面的任意一种可本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意软件的防御方法，其特征在于，由防御系统执行，所述方法包括：在包括N个原有文件的受保护文件夹中添加M个元素文件，使得当根据文件名对所述受保护文件夹中的所有文件排序时，所述M个元素文件中的一个元素文件排在所述N个原有文件之前，M大于等于1，N大于等于1；监控所述M个元素文件是否被访问；如果所述M个元素文件中的元素文件被访问，终止访问所述元素文件的进程，所述进程被认为与恶意软件相关。2.根据权利要求1所述的防御方法，其特征在于，所述M个元素文件中每个元素文件的文件名是根据所述N个原有文件中至少一个原有文件的文件名确定的。3.据权利要求2所述的防御方法，其特征在于，所述排在所述N个原有文件之前的元素文件是根据基准原有文件生成的，其中，基于所述防御系统的默认文件名排序方式，所述基准原有文件排在所述N个原有文件的第一个。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：确定所述N个原有文件中属于目标类别的目标原有文件；从所述目标原有文件中获得第一原有文件，其中，基于所述防御系统的默认文件名排序方式，所述第一原有文件的文件名在所述目标原有文件的文件名中排在第一个；生成第一元素文件，所述第一元素文件属于所述目标类别，且基于所述默认文件名排序方式，所述第一元素文件的文件名排在所述第一原有文件的文件名之前。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：从所述目标原有文件中获得第二原有文件，其中，基于所述默认文件名排序方式，所述第二原有文件的文件名在所述目标原有文件的文件名中排序在最后一个；生成第二元素文件，所述第二元素文件属于所述目标类别，且基于所述默认文件名排序方式，所述第二元素文件的文件名排在所述第二原有文件的文件名之后。6.根据权利要求4或5所述的方法，其特征在于，所述目标类别包括文件名的首字符是符号的文件，或文件名的首字符是数字的文件，或文件名的首字符是字母的文件。7.根据权利要求4至6中任一所述的方法，其特征在于，所述默认文件名排序方式是同类文件文件名的首字符在ASCII表中对应的数值从小到大的顺序。8.根据权利要求4至6中任一所述的方法，其特征在于，所述默认文件名排序方式是同类文件文件名的首字符在ASCII表中对应的数值从大到小的顺序。9.根据权利要求1至8中任一所述的方法，其特征在于，所述方法还包括：通过挂钩hook方式监控所述防御系统中的预定应用编程接口API；所述监控所述至少一个元素文件是否被访问，包括：如果通过hook方式监控到所述预定API被调用，获得所述预定API被调用时的参数；如果所述参数中包括所述至少一个元素文件中的元素文件的文件名，则确定所述元素文件被访问。10.根据权利要求9所述的方法，其特征在于，所述预定API包括：用于获取文件名列表的API。11.根据权利要求1-10任意一项所述的方法，其特征在于，所述终止所述进程包括：获取所述进程的访问参数，所述访问参数包括进程名、产生所述进程的程序名、访问时
间、或被访问的元素文件的文件名；比较所述进程的访问参数与设定的访问参数范围，如果所述进程的访问参数不属于所述访问参数范围，终止所述进程。12.一种恶意软件防御系统，其特征在于，包括存储器和至少一个处理器，所述存储器用于存储程序指令，所述至少一个处理器读取所述存储器中保存的程序指令后，使得所述防御系统执行以下操作：在包括N个原有文件的受保护文件夹中添加M个元素文件，使得当根据文件名对所述受保护文件夹中的所有文件排序时，所述M个元素文件中的一个元素文件排在所述N个原有文件之前，M大于等于1，N大于等于1；监控所述M个元素文件是否被访问；如果所述M个元素文件中的元素文件被访问，终止访问所述元素文件的进程，所述进程被认为与恶意软件相关。13.根据权利要求12所述的防御系统，其特征在于，所述M个元素文件中每个元素文件的文件名是根据所述N个原有文件中至少一个原有文件的文件名确定的。14.根据权利要求13所述...

【专利技术属性】
技术研发人员：杨利东，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：