专利名称:一种基于工作目录的恶意程序防御方法及装置的制作方法
技术领域:
本发明涉及计算机,特别涉及一种基于工作目录的恶意程序防御方法及装置。
背景技术:
目前,随着计算机应用的普及,恶意程序层出不穷,给用户带来巨大的安全隐患。恶意程序的一个重要攻击形式是文件攻击,即窃取、修改或删除文件。当前,防御恶意程序文件攻击的主要方法是安装杀毒软件、防火墙软件等。然而,这类方法存在一个重要缺陷如果一个恶意程序未被成功识别,则该恶意程序通常能够攻击用户的所有文件;如果该恶意程序获得了系统管理员权限,则攻击范围是整个文件系统。
既然恶意程序在一定程度上无法避免,为了增强系统的安全性,就需要有一种技术手段来缩小恶意程序的攻击范围,减少受攻击威胁的文件数量。
发明内容
为了解决上述问题,本发明提供一种基于工作目录的恶意程序防御方法及装置,能够缩小恶意程序的攻击范围,从而减少受攻击威胁的文件数量,使得在最坏的情况下,恶意程序可能造成的损失也是有限的。本发明的基于工作目录的恶意程序防御方法,具体地,包括下列步骤A、将需要保护的所有文件存储在一个或多个逻辑磁盘上,并将这些逻辑磁盘设置为保护区;如果一个逻辑磁盘上不再保存需要保护的文件,可以从保护区中取消该磁盘。例如,计算机系统有三个逻辑磁盘C:、D:、E:,并且E:盘存放受保护的文件,则将E:盘设置为保护区。B、用户操作计算机时,如果需要处理某文件(目录),则将该文件(目录)所在目录设置为工作目录。根据需要,用户可以设置一个或多个工作目录。C、用户操作计算机时,如果某工作目录下没有文件(目录)需要处理了,则取消该工作目录。D、监控针对保护区的所有文件(目录)访问请求,对于任意程序P的文件(目录)访问请求I)如果P请求读目录信息、文件属性信息(不包括文件内容),则允许执行。2)如果P请求读写工作目录下的文件内容,则允许执行。3 )如果P请求在工作目录下创建(删除、重命名)文件(目录),则允许执行。4)其他情况(访问非工作目录下的受保护文件的访问请求等),则拒绝之,并提示用户某个程序P试图非法访问文件或目录。上述步骤A中,受保护文件应分目录存储,一般不直接存储在根目录下。若将某文件f直接存储在根目录下,根据步骤B,处理f时就需要将磁盘分区设置为工作目录。举例说明文件f的路径是“D: \f ”,如果要处理f,就需要将“D: ”设置为工作目录。上述步骤B中,工作目录原则上应该是待处理文件(目录)的直接上级目录。举例说明文件f的路径是“D: \dirl\dir2\dir3\f ”,那么,dir3是f的直接上级目录,dirl、dir2则是更高层的上级目录。上述步骤B中,待处理文件(目录)可以是已有或新创建的。举例说明需要在目录“D: \dirl\dir2\”下创建一个新文件f,那么,dir2应设置为工作目录。上述步骤C中,所述“某工作目录下没有文件(目录)需要处理了”是指用户认为在短时间内(例如半个小时),不再需要处理某工作目录下的文件(目录)。如果再次需要处理某目录下的文件(目录),则根据步骤B,将该目录设置为工作目录即可。本发明的基于工作目录的恶意程序防御装置,包括工作目录管理单元和文件访问监控单元,其中,工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
其中,工作目录管理单元和文件访问监控单元,其中,工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。其中,工作目录管理单元与文件访问监控单元之间交换的数据是加密的。其中,所述文件管理功能,包括文件或目录的复制、粘贴、重命名、删除。其中,工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能,具体包括设置、取消保护区,并将保护区更新信息发送给文件访问监控模块;
设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;将这些文件管理操作信息发送给文件访问监控模块;接收来自文件访问监控单元的报警信息,并显示给用户;加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。本发明的有益效果是依照本发明的基于工作目录的恶意程序防御方法及装置,如果当前运行程序中有恶意程序,那么它只能够攻击工作目录下的受保护文件,相对于全体受保护文件,工作目录下的文件通常是一个很小的集合,从而大大缩小了恶意程序的攻击范围;另外,对非工作目录下的受保护文件的访问请求,均会被拒绝。因此,本发明方法对已知和未知的恶意程序均有防御作用。
图I为本发明的基于工作目录的恶意程序防御方法的原理图。
具体实施例方式以下,参考附图详细描述本发明的基于工作目录的恶意程序防御方法及装置。下面以在Microsoft Windows XP以及Windows 7操作系统上的一种具体实施方式
为例来描述本发明。图I是本发明的基于工作目录的恶意程序防御方法的原理图。工作目录管理单元负责创建、取消保护区和工作目录,以及实现通常的文件管理功能。文件访问监控模块负责接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。工作目录管理单元、文件访问监控单元之间交换的数据是加密的。参见图1,工作目录管理单元是一个窗口应用程序,其功能是A、设置、取消保护区,并将保护区更新信息发送给文件访问监控模块;B、设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;C、文件管理功能,包括文件(目录)的复制、粘贴、重命名、删除等通常的文件(目录)管理操作。并将这些文件管理操作信息发送给文件访问监控模块;D、接收来自文件访问监控单元的报警信息,并显示给用户;E、加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。 参见图I,文件访问监控模块是一个文件驱动过滤程序,其功能是A、接收来自工作目录管理程序关于保护区、工作目录的设置和取消信息,并保存。B、监控所有的文件(目录)访问请求,如果访问请求针对非保护区内的文件(目录),则允许执行;如果访问请求针对保护区内的文件(目录),按以下规则处理I)如果访问请求是读目录信息、文件属性信息(不包括文件内容),则允许执行。否则,转2)。2)如果访问请求是工作目录管理程序发出的,则允许执行。否则,转3)。3)如果访问请求针对工作目录,即读写工作目录下的文件内容,或者在工作目录下创建(删除、重命名)文件、目录,则允许执行。否则,转4)。4)其他情况,则拒绝执行访问请求,并向工作目录管理程序发送报警信息。工作目录管理程序接收到报警信息后,将详细的信息(如发出攻击的进程的名称、试图攻击的文件或目录名称和路径)报告给用户。C、加密待发送给工作目录管理程序的信息,解密来自工作目录管理程序的信息。综上所述,依照本发明的基于工作目录的恶意程序防御方法及装置,具体如下优
占-
^ \\\ I)本发明方法中,如果当前运行程序中有恶意程序,那么它只能够攻击工作目录下的受保护文件。相对于全体受保护文件,工作目录下的文件通常是一个很小的集合,从而大大缩小了恶意程序的攻击范围。2)本发明方法中,对非工作目录下的受保护文件的访问请求,均会被拒绝。因此,本发明方法对已知和未知的恶意程序均有防御作用。以上是为了使本领域普通技术人员理解本发明,而对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
权利要求
1.一种基于工作目录的恶意程序防御方法,其特征在于,包括 工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能; 文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
2.如权利要求I所述的基于工作目录的恶意程序防御方法,其特征在于,工作目录管理单元与文件访问监控单元之间交换的数据是加密的。
3.如权利要求2所述的基于工作目录的恶意程序防御方法,其特征在于,所述文件管理功能,包括文件或目录的复制、粘贴、重命名、删除。
4.如权利要求3所述的基于工作目录的恶意程序防御方法,其特征在于,工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能,具体包括 设置、取消保护区,并将保护区更新信息发送给文件访问监控模块; 设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块; 将这些文件管理操作信息发送给文件访问监控模块; 接收来自文件访问监控单元的报警信息,并显示给用户; 加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。
5.如权利要求4所述的基于工作目录的恶意程序防御方法,其特征在于,文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求,具体包括 A、接收来自工作目录管理单元关于保护区、工作目录的设置和取消信息,并保存; B、监控所有的文件或目录访问请求,如果访问请求针对非保护区内的文件或目录,则允许执行; C、加密待发送给工作目录管理程序的信息,解密来自工作目录管理程序的信息。
6.如权利要求5所述的基于工作目录的恶意程序防御方法,其特征在于,在所述步骤B中,如果访问请求针对保护区内的文件或目录,按以下规则处理 BI :如果访问请求是读目录信息、文件属性信息,而不包括文件内容,则允许执行;否贝1J,执行B2 ; B2 :如果访问请求是工作目录管理程序发出的,则允许执行;否则,执行B3 ; B3 :如果访问请求针对工作目录,即读写工作目录下的文件内容,或者在工作目录下创建或删除或重命名文件、目录,则允许执行;否则,执行B4 ; B4 :拒绝执行访问请求,并向工作目录管理程序发送报警信息;工作目录管理程序接收到报警信息后,报告给用户。
7.一种基于工作目录的恶意程序防御装置,其特征在于,包括工作目录管理单元和文件访问监控单元,其中, 工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能; 文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
8.如权利要求7所述的基于工作目录的恶意程序防御装置,其特征在于,工作目录管理单元与文件访问监控单元之间交换的数据是加密的。
9.如权利要求8所述的基于工作目录的恶意程序防御装置,其特征在于,所述文件管理功能,包括文件或目录的复制、粘贴、重命名、删除。
10.如权利要求9所述的基于工作目录的恶意程序防御装置,其特征在于,工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能,具体包括 设置、取消保护区,并将保护区更新信息发送给文件访问监控模块; 设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块; 将这些文件管理操作信息发送给文件访问监控模块; 接收来自文件访问监控单元的报警信息,并显示给用户; 加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。
全文摘要
本发明提供一种基于工作目录的恶意程序防御方法及装置,其中,该方法包括工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。本发明能够缩小恶意程序的攻击范围,从而减少受攻击威胁的文件数量,使得在最坏的情况下,恶意程序可能造成的损失也是有限的。
文档编号G06F17/30GK102750492SQ20121018544
公开日2012年10月24日 申请日期2012年6月7日 优先权日2012年6月7日
发明者何鸿君, 张文政, 段志鹏, 汪洋, 罗莉, 董新锋, 赵伟 申请人:中国电子科技集团公司第三十研究所