【技术实现步骤摘要】
本申请涉及信息安全,尤其涉及一种针对系统磁盘加密的处理方法、装置、电子设备以及介质。
技术介绍
1、在windows系统中,存在有磁盘。同时,系统中还自带有bitlocker磁盘加密功能。通过该功能,能够对磁盘进行加密,从而实现磁盘下整个卷中数据的加密保护。
2、目前,一些恶意脚本也是利用了windows系统中的bitlocker磁盘加密功能,对系统中的磁盘进行加密,从而使得系统中的一些正常功能出现异常。例如:powershell脚本通过windows管理架构(windows managementinstrumentation,wmi)调用系统中的bitlocker磁盘加密功能对系统盘进行加密。由于系统开机启动,需要使用系统盘中的数据,系统盘被加密后,就会造成系统无法正常开机。为了使系统功能恢复正常,就需要对系统中被加密的磁盘进行解密。例如:使用bitlocker drive encryption对系统中被加密的磁盘解除加密、重装系统(重装系统后,系统中的磁盘就恢复了初始状态,初始状态下的磁盘未加密)等。
3、然而,使用bitlocker drive encryption对系统中被加密的磁盘解除加密,其过程较为复杂,需要耗费一定的时间。而重装系统,为了避免系统数据丢失,还需要事先将系统数据备份。数据备份与系统重装,也需要耗费一定的时间。这样,就会使系统功能在一段时间内(加密、解密、系统重装期间)持续异常,影响系统功能的正常使用。
技术实现思路
1、本申请实施
2、为解决上述技术问题,本申请实施例提供如下技术方案:
3、本申请第一方面提供一种针对系统磁盘加密的处理方法,所述方法用于内核层,所述方法包括:拦截针对系统中磁盘的加密请求;判断所述加密请求是否为系统正常发出;若否,则拒绝所述加密请求,以使所述磁盘跳过被恶意加密。
4、相较于现有技术,本申请第一方面提供的针对系统磁盘加密的处理方法,通过在内核层拦截针对系统磁盘的加密请求,并在判断出加密请求并非系统正常发出的情况下,拒绝加密请求,这样能够避免系统磁盘被攻击者进行恶意加密,进而避免系统由于磁盘被恶意加密而出现功能异常,确保系统功能的正常使用。
5、在本申请第一方面的一些变更实施方式中,所述判断所述加密请求是否为系统正常发出,包括:针对所述加密请求进行线程溯源,得到目标线程;判断所述目标线程是否运行磁盘加密向导程序;若是,则确定所述加密请求为系统正常发出;若否,则确定所述加密请求不是系统正常发出。
6、通过发出加密请求的线程,能够判断出加密请求是否为系统中的磁盘向导程序发出,由于系统中磁盘的正常加密,都是通过磁盘向导程序进行的,因此,通过磁盘向导程序,能够准确地确定加密请求是否为攻击者发出。
7、在本申请第一方面的一些变更实施方式中,所述针对所述加密请求进行线程溯源,得到目标线程,包括:通过远程过程调用(remote procedure call,rpc)对所述加密请求进行线程溯源,得到目标线程。
8、通过rpc获取发出加密请求的线程,由于rpc是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议,因此能够更加的锁定目标线程,提高目标线程的确定效率。
9、在本申请第一方面的一些变更实施方式中,所述加密请求包括请求码,不同的请求码用于控制所述系统中的不同设备运行;在针对所述加密请求进行线程溯源,得到目标线程之前,所述方法还包括:判断所述请求码是否用于控制磁盘加密设备对所述系统中的磁盘加密;若是,则执行针对所述加密请求进行线程溯源,得到目标线程的步骤。
10、在根据请求码确定线程之前,需要先判断请求码是否对应磁盘加密设备,如果对应,再基于请求码确定线程,这样,能够避免基于错误的请求码进行线程的确定,减少无用的工作量,提高线程的确定效率。
11、在本申请第一方面的一些变更实施方式中,在拦截针对系统中磁盘的加密请求之前,所述方法还包括:创建过滤设备;在所述系统的内核层,将所述过滤设备附加到磁盘加密设备上,所述磁盘加密设备用于根据加密请求对所述系统中的磁盘加密,以使所述过滤设备对所述磁盘加密设备接收到的加密请求进行拦截及处理。
12、由于系统磁盘加密的根源在于系统内核层中的磁盘加密设备,因此,通过系统内核层在磁盘加密设备上添加过滤设备,以截获发送给磁盘加密设备的所有加密请求,能够确保磁盘加密设备接收的所有加密请求都被截获,进而提高系统磁盘跳过被恶意加密的概率。
13、在本申请第一方面的一些变更实施方式中,在拒绝所述加密请求之前,所述方法还包括:基于所述加密请求生成安全事件提示;上报所述安全事件提示;根据所述安全事件提示的反馈信息处理所述加密请求;其中,当所述反馈信息指示所述加密请求无安全风险时,执行所述加密请求;当所述反馈信息指示所述加密请求存在安全风险时,执行拒绝所述加密请求的步骤。
14、在正式拒绝加密请求之前,基于加密请求上报安全事件提示,进而根据安全事件提示的反馈的具体内容对加密请求进行不同的处理(拒绝或接受),能够避免被误判的加密请求遭到拒绝,提高加密请求处理的准确性。
15、在本申请第一方面的一些变更实施方式中,所述拒绝所述加密请求,包括以下至少一项:丢弃所述加密请求;将所述加密请求的状态修改为失效,并将所述加密请求保存至黑名单,以使新拦截的加密请求能够与所述黑名单中的加密请求进行相似度对比,并将相似度大于预设相似度的新拦截的加密请求进行拒绝;将所述磁盘的状态配置为不可修改。
16、通过将加密请求丢弃、加入黑名单,或者将磁盘配置为不可修改,都能够有效的避免磁盘加密设备对系统磁盘进行加密,提高了系统磁盘的安全性。并且,黑名单中的加密请求还可以作为新截获的加密请求是否存在安全问题的参照,提高了加密请求是否安全的判断效率。
17、本申请第二方面提供一种针对系统磁盘加密的处理装置,所述装置用于内核层,所述装置包括:拦截模块,用于拦截针对系统中磁盘的加密请求;判断模块,用于判断所述加密请求是否为系统正常发出;若否,则进入处理模块;处理模块,用于拒绝所述加密请求,以使所述磁盘跳过被恶意加密。
18、本申请第三方面提供一种电子设备,所述电子设备包括:处理器、存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行第一方面中的方法。
19、本申请第四方面提供一种计算机可读存储介质,所述存储介质包括:存储的程序;其中,在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。
20、本申请第二方面提供的针对系统磁盘加密的处理装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质,与第一方面提供的针对系统磁盘加密的处理方本文档来自技高网...
【技术保护点】
1.一种针对系统磁盘加密的处理方法,其特征在于,所述方法用于内核层,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述判断所述加密请求是否为系统正常发出,包括:
3.根据权利要求2所述的方法,其特征在于,所述针对所述加密请求进行线程溯源,得到目标线程,包括:
4.根据权利要求2所述的方法,其特征在于,所述加密请求包括请求码,不同的请求码用于控制所述系统中的不同设备运行;在针对所述加密请求进行线程溯源,得到目标线程之前,所述方法还包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,在拦截针对系统中磁盘的加密请求之前,所述方法还包括:
6.根据权利要求1至4中任一项所述的方法,其特征在于,在拒绝所述加密请求之前,所述方法还包括:
7.根据权利要求1至4中任一项所述的方法,其特征在于,所述拒绝所述加密请求,包括以下至少一项:
8.一种针对系统磁盘加密的处理装置,其特征在于,所述装置用于内核层,所述装置包括:
9.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器
10.一种计算机可读存储介质,其特征在于,所述存储介质包括:存储的程序;其中,在所述程序运行时控制所述存储介质所在设备执行如权利要求1至7中任一项所述的方法。
...【技术特征摘要】
1.一种针对系统磁盘加密的处理方法,其特征在于,所述方法用于内核层,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述判断所述加密请求是否为系统正常发出,包括:
3.根据权利要求2所述的方法,其特征在于,所述针对所述加密请求进行线程溯源,得到目标线程,包括:
4.根据权利要求2所述的方法,其特征在于,所述加密请求包括请求码,不同的请求码用于控制所述系统中的不同设备运行;在针对所述加密请求进行线程溯源,得到目标线程之前,所述方法还包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,在拦截针对系统中磁盘的加密请求之前,所述方法还包括:
6.根据权利要求1至4中任一项所述的方...
【专利技术属性】
技术研发人员:王丹阳,兰宏浩,王明广,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。