【技术实现步骤摘要】
一种恶意软件的防御方法、防御装置以及防御系统
[0001]本申请涉及计算机安全
,尤其涉及一种恶意软件的防御方法、防御装置以及防御系统。
技术介绍
[0002]恶意软件是指任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备,还可能会影响与受感染设备通信的其他设备。有些恶意软件可以加密或者修改受害者磁盘驱动器上的文件。
[0003]这些恶意软件通常用木马病毒的形式传播,例如假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载,也有可能与许多其他蠕虫病毒一样利用操作系统或者应用软件的漏洞计算机之间传播。
[0004]为降低这些恶意软件对文件的破坏,有研究者提出将受保护的文件复制多份,分别保存在不同的存储位置以实现备份。这样即使一个存储位置上的文件被恶意软件修改或加密,还可以从其他的存储位置上获得备份的文件。然而这种方式将大大提高文件的存储成本和管理维护难度,代价很高。
技术实现思路
[0005]本申请实施例提供一种恶意软件的防御方法,用以降低对恶意软件进行防御时的代价和难度,提高对恶意软件防御的有效性。
[0006]第一方面,提供了一种恶意软件的防御方法。该方法由恶意软件的防御系统执行。防御系统在包括N个原有文件的受保护文件夹中添加M个元素文件,使得当根据文件名对所述受保护文件夹中的所有文件排序时,所述M个元素文件中的一个元素文件排在所述N个原有文件之前,M大于等于1,N大于等于1。防御系统监控所述M个元素文件是否被访问。如果所述M个元素文件中的元素文件被访问 ...
【技术保护点】
【技术特征摘要】
1.一种恶意软件的防御方法,其特征在于,由防御系统执行,所述方法包括:在包括N个原有文件的受保护文件夹中添加M个元素文件,使得当根据文件名对所述受保护文件夹中的所有文件排序时,所述M个元素文件中的一个元素文件排在所述N个原有文件之前,M大于等于1,N大于等于1;监控所述M个元素文件是否被访问;如果所述M个元素文件中的元素文件被访问,终止访问所述元素文件的进程,所述进程被认为与恶意软件相关。2.根据权利要求1所述的防御方法,其特征在于,所述M个元素文件中每个元素文件的文件名是根据所述N个原有文件中至少一个原有文件的文件名确定的。3.据权利要求2所述的防御方法,其特征在于,所述排在所述N个原有文件之前的元素文件是根据基准原有文件生成的,其中,基于所述防御系统的默认文件名排序方式,所述基准原有文件排在所述N个原有文件的第一个。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:确定所述N个原有文件中属于目标类别的目标原有文件;从所述目标原有文件中获得第一原有文件,其中,基于所述防御系统的默认文件名排序方式,所述第一原有文件的文件名在所述目标原有文件的文件名中排在第一个;生成第一元素文件,所述第一元素文件属于所述目标类别,且基于所述默认文件名排序方式,所述第一元素文件的文件名排在所述第一原有文件的文件名之前。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:从所述目标原有文件中获得第二原有文件,其中,基于所述默认文件名排序方式,所述第二原有文件的文件名在所述目标原有文件的文件名中排序在最后一个;生成第二元素文件,所述第二元素文件属于所述目标类别,且基于所述默认文件名排序方式,所述第二元素文件的文件名排在所述第二原有文件的文件名之后。6.根据权利要求4或5所述的方法,其特征在于,所述目标类别包括文件名的首字符是符号的文件,或文件名的首字符是数字的文件,或文件名的首字符是字母的文件。7.根据权利要求4至6中任一所述的方法,其特征在于,所述默认文件名排序方式是同类文件文件名的首字符在ASCII表中对应的数值从小到大的顺序。8.根据权利要求4至6中任一所述的方法,其特征在于,所述默认文件名排序方式是同类文件文件名的首字符在ASCII表中对应的数值从大到小的顺序。9.根据权利要求1至8中任一所述的方法,其特征在于,所述方法还包括:通过挂钩hook方式监控所述防御系统中的预定应用编程接口API;所述监控所述至少一个元素文件是否被访问,包括:如果通过hook方式监控到所述预定API被调用,获得所述预定API被调用时的参数;如果所述参数中包括所述至少一个元素文件中的元素文件的文件名,则确定所述元素文件被访问。10.根据权利要求9所述的方法,其特征在于,所述预定API包括:用于获取文件名列表的API。11.根据权利要求1-10任意一项所述的方法,其特征在于,所述终止所述进程包括:获取所述进程的访问参数,所述访问参数包括进程名、产生所述进程的程序名、访问时
间、或被访问的元素文件的文件名;比较所述进程的访问参数与设定的访问参数范围,如果所述进程的访问参数不属于所述访问参数范围,终止所述进程。12.一种恶意软件防御系统,其特征在于,包括存储器和至少一个处理器,所述存储器用于存储程序指令,所述至少一个处理器读取所述存储器中保存的程序指令后,使得所述防御系统执行以下操作:在包括N个原有文件的受保护文件夹中添加M个元素文件,使得当根据文件名对所述受保护文件夹中的所有文件排序时,所述M个元素文件中的一个元素文件排在所述N个原有文件之前,M大于等于1,N大于等于1;监控所述M个元素文件是否被访问;如果所述M个元素文件中的元素文件被访问,终止访问所述元素文件的进程,所述进程被认为与恶意软件相关。13.根据权利要求12所述的防御系统,其特征在于,所述M个元素文件中每个元素文件的文件名是根据所述N个原有文件中至少一个原有文件的文件名确定的。14.根据权利要求13所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。