一种数据保护方法及装置的制造方法
【专利摘要】本发明实施例公开了一种数据保护方法及装置,应用于第一应用程序,该方法包括:截获第二应用程序发送的数据操作指令,该数据操作指令中携带该第二应用程序的标识信息以及所针对的目标数据的标识信息;判断该目标数据的标识信息是否属于主引导记录MBR数据对应的标识信息;如果是,根据该第二应用程序的该标识信息,确定该第二应用程序对应的目标进程路径;判断该目标进程路径是否属于预设进程路径集合;如果属于,丢弃该数据操作指令。应用本发明实施例以避免MBR数据被终端中的应用程序修改,进而保障终端的系统的安全。
【专利说明】
一种数据保护方法及装置
技术领域
[0001]本发明涉及计算机系统优化领域,特别涉及一种数据保护方法及装置。
【背景技术】
[0002]对于终端中的硬盘而言,硬盘O柱面、O磁头和I扇区称为主导扇区,又称主引导记录(Master Boot Record-MBR),并且,该MBR属于引导区,引导区记录着一些硬件最基本的信息,如硬盘的分区信息。其中,在引导区记录的信息可以保证用户的硬盘的正常工作,如果这些信息被修改,那硬盘中存储的数据就会丢失,严重地破坏了终端的系统。
[0003]近年来,各种恶意应用程序层出不穷,终端中的各种数据存在很大隐患,尤其是MBR中的数据。具体的,对于MBR中的数据而言,恶意软件可以通过调用系统内核函数NtffriteFi Ie修改MBR中的数据,导致终端的系统受到破坏,现有技术对于这种破坏还未能防御。
【发明内容】
[0004]本发明实施例公开了一种数据保护方法及装置,以避免MBR数据被终端中的应用程序修改,进而保障终端的系统的安全。具体方案如下:
[0005]—方面,本发明实施例提供了一种数据保护方法,应用于第一应用程序,所述方法包括:
[0006]截获第二应用程序发送的数据操作指令,所述数据操作指令中携带所述第二应用程序的标识信息以及所针对的目标数据的标识信息;
[0007]判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息;
[0008]如果是,根据所述第二应用程序的所述标识信息,确定所述第二应用程序对应的目标进程路径;
[0009]判断所述目标进程路径是否属于预设进程路径集合;
[0010]如果属于,丢弃所述数据操作指令。
[0011]较佳的,所述预设进程路径集合中包括至少一个预先确定出的恶意应用程序的进程路径。
[0012]较佳的,所述截获第二应用程序发送的数据操作指令,包括:
[0013]基于预先挂钩的NtWriteFi Ie函数,截获所述第二应用程序通过调用所述NtWriteFi Ie函数发送的数据操作指令。
[0014]较佳的,所述目标数据的标识信息包括所述目标数据对应的目标磁盘设备标识;
[0015]所述判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息,包括:
[0016]判断所述目标磁盘设备标识是否为预定磁盘设备标识;
[0017]如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息;
[0018]如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。
[0019]较佳的,所述目标数据的标识信息包括所述目标数据对应的存储路径;
[0020]所述判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息,包括:
[0021]判断所述存储路径是否属于预设存储路径,所述预设存储路径为关于硬盘的主盘的存储路径;
[0022]如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息;
[0023]如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。
[0024]较佳的,本发明实施例所提供的一种数据保护方法还包括:
[0025]当所述目标数据的标识信息不属于所述MBR数据对应的标识信息时,调用所述NtWriteFi Ie函数,执行所述数据操作指令。
[0026]较佳的,在所述丢弃所述数据操作指令之后,本发明实施例所提供的一种数据保护方法还包括:
[0027]输出提示信息,所述提示信息携带所述第二应用程序的所述标识信息,以使用户根据所述标识信息,将所述第二应用程序卸载。
[0028]另一方面,本发明实施例还提供了一种数据保护装置,应用于第一应用程序,所述装置包括:操作指令截获模块、标识信息判断模块、目标进程路径确定模块、目标进程路径判断模块和操作指令丢弃模块;
[0029]所述操作指令截获模块:用于截获第二应用程序发送的数据操作指令,所述数据操作指令中携带所述第二应用程序的标识信息以及所针对的目标数据的标识信息;
[0030]所述标识信息判断模块:用于判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息,如果是,触发所述目标进程路径确定模块;
[0031 ]所述目标进程路径确定模块:用于根据所述第二应用程序的所述标识信息,确定所述第二应用程序对应的目标进程路径;
[0032]所述目标进程路径判断模块:用于判断所述目标进程路径是否属于预设进程路径集合,如果属于,触发所述操作指令丢弃模块;
[0033]所述操作指令丢弃模块:用于丢弃所述数据操作指令。
[0034]较佳的,所述预设进程路径集合中包括至少一个预先确定出的恶意应用程序的进程路径。
[0035]较佳的,所述操作指令截获模块具体用于:
[0036]基于预先挂钩的NtWriteFi Ie函数,截获所述第二应用程序通过调用所述NtWriteFi Ie函数发送的数据操作指令。
[0037]较佳的,所述目标数据的标识信息包括所述目标数据对应的目标磁盘设备标识;
[0038]所述标识信息判断模块具体用于:
[0039]判断所述目标磁盘设备标识是否为预定磁盘设备标识;
[0040]如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息;
[0041 ]如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。
[0042]较佳的,所述目标数据的标识信息包括所述目标数据对应的存储路径;
[0043]所述标识信息判断模块具体用于:
[0044]判断所述存储路径是否属于预设存储路径,所述预设存储路径为关于硬盘的主盘的存储路径;
[0045]如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息;
[0046]如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。
[0047]较佳的,本发明实施例所提供的一种数据保护装置还包括操作指令执行模块;
[0048]所述操作指令执行模块:用于当所述目标数据的标识信息不属于所述MBR数据对应的标识信息时,调用所述NtWriteFile函数,执行所述数据操作指令。
[0049]较佳的,本发明实施例所提供的一种数据保护装置还包括提示信息输出模块;
[0050]所述提示信息输出模块:用于在所述丢弃所述数据操作指令之后,输出提示信息,所述提示信息携带所述第二应用程序的所述标识信息,以使用户根据所述标识信息,将所述第二应用程序卸载。
[0051]在本方案中,截获第二应用程序发送的数据操作指令,该数据操作指令中携带该第二应用程序的标识信息以及所针对的目标数据的标识信息;判断该目标数据的标识信息是否属于主引导记录MBR数据对应的标识信息;如果是,根据该第二应用程序的该标识信息,确定该第二应用程序对应的目标进程路径;判断该目标进程路径是否属于预设进程路径集合;如果属于,丢弃该数据操作指令。以避免MBR数据被终端中的应用程序修改,进而保障终端的系统的安全。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
【附图说明】
[0052]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0053]图1为本发明实施例提供的一种数据保护方法的流程示意图;
[0054]图2为本发明实施例提供的一种数据保护方法的另一流程示意图;
[0055]图3为本发明实施例提供的一种数据保护装置的结构示意图;
[0056]图4为本发明实施例提供的一种数据保护装置的另一结构示意图。
【具体实施方式】
[0057]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0058]本发明实施例提供了一种数据保护方法及装置,以避免MBR数据被终端中的应用程序修改,进而保障终端的系统的安全。
[0059]下面首先对本发明实施例所提供的一种数据保护方法进行介绍。
[0060]需要说明的是,本发明实施例所提供的一种数据保护方法可以应用于第一应用程序,该第一应用程序可以安装于任一终端中,如电脑以及手机等。并且,可以实现该数据保护方法的功能软件可以是专门的客户端软件,也可以是其他安全软件的插件。
[0061]如图1所示,本发明实施例所提供的一种数据保护方法,可以包括步骤:
[0062]SlOl:截获第二应用程序发送的数据操作指令,该数据操作指令中携带该第二应用程序的标识信息以及所针对的目标数据的标识信息;
[0063]可以理解的是,该第一应用程序可以安装于任一终端中,该第一应用程序通过特定操作可以获得第二应用程序发送的数据操作指令,其中,该第二应用程序可以是与该第一应用程序安装于同一终端中的任一可以发送数据操作指令的应用程序。并且,该第一应用程序可以获得该第二应用程序针对该终端的硬盘的任何数据的数据操作指令。
[0064]S102:判断该目标数据的该标识信息是否属于MBR数据对应的标识信息,如果是,执行步骤S103;
[0065]具体的,对于该目标数据的标识信息,可以是该目标数据的名称、序号或MD5码,或者该目标数据对应的存储位置或存储位置的标识等等,这都是合理的。凡是能够唯一确定该目标数据的信息都可以作为该目标数据的标识信息。截获该数据操作指令后,根据该数据操作指令中携带的该目标数据的该标识信息,可以确定该目标数据是否为MBR数据。当该目标数据的该标识信息属于MBR数据对应的标识信息时,可以表明该目标数据为MBR数据,此时可以继续后续的数据保护流程;当该目标数据的该标识信息不属于MBR数据对应的标识信息时,可以表明该目标数据不为MBR数据,此时则可以结束该数据保护流程,发送(放行)并执行该数据操作指令。其中,该MBR数据可以包括关于该MBR的固有的数据,也可以包括在该MBR所存储的数据。
[0066]S103:根据该第二应用程序的该标识信息,确定该第二应用程序对应的目标进程路径;
[0067]在实际应用中,可以根据该第二应用程序的该标识信息,利用现有技术确定该第二应用程序对应的进程标识符,进而根据该进程标识符可以查找到该第二应用程序对应的目标进程路径。
[0068]S104:判断该目标进程路径是否属于预设进程路径集合,如果属于,执行步骤S105;
[0069]需要说明的是,在实际应用中,可以预先存储一个预设进程路径集合,该预设进程路径集合中包含有需要进行拦截(丢弃)的数据操作指令所对应的应用程序的进程路径。将该目标进程路径与该预设进程路径集合中的每一个进程路径进行一一匹配,若匹配成功,则判断该目标进程路径属于预设进程路径集合,继续进行后续的数据保护流程;若匹配不成功,则判断该目标进程路径不属于预设进程路径集合,发送并执行该数据操作指令。其中,该预设进程路径集合中可以包括至少一个预先确定出的恶意应用程序的进程路径。以避免恶意应用程序对终端中的数据的破坏。
[0070]S105:丢弃该数据操作指令。
[0071 ]可以理解的是,当判断该目标进程路径属于预设进程路径集合后,可以认为该数据操作指令是某些应用程序针对MBR数据发送的,如恶意应用程序,该类数据操作指令可以对该MBR数据进行读取以及修改,该MBR数据一旦被修改,就会导致终端硬盘中的数据的丢失,对终端的系统造成危害。此时就可以利用现有技术对该数据操作指令进行丢弃,以使该数据操作指令不能被执行。
[0072]应用本发明实施例,截获第二应用程序发送的数据操作指令,该数据操作指令中携带该第二应用程序的标识信息以及所针对的目标数据的标识信息;判断该目标数据的标识信息是否属于主引导记录MBR数据对应的标识信息;如果是,根据该第二应用程序的该标识信息,确定该第二应用程序对应的目标进程路径;判断该目标进程路径是否属于预设进程路径集合;如果属于,丢弃该数据操作指令。以避免MBR数据被终端中的应用程序修改,进而保障终端的系统的安全。
[0073]具体的,如图2所示,所述截获第二应用程序发送的数据操作指令(SlOl),可以包括:
[0074]SlOll:基于预先挂钩的NtWriteFile函数,截获该第二应用程序通过调用该NtWriteFi Ie函数发送的数据操作指令。
[0075]需要说明的是,可以依据系统服务描述符表(System Services DescriptorTable-SSDT)预先对该Ni^riteFiIe函数进行挂钩,在预先挂钩的NtWriteFiIe函数中,可以调用该函数NtWriteFile发送该数据操作指令,并执行数据操作的动作,也可以将该数据操作指令丢弃,使其不能再继续进行后续的数据操作的动作。
[0076]可以理解的是,该数据操作指令中携带所针对的该目标数据的该标识信息,在实际应用中,该目标数据的该标识信息可以包括该目标数据对应的目标磁盘设备标识,具体的,所述判断该目标数据的该标识信息是否属于MBR数据对应的标识信息,可以包括:
[0077]判断该目标磁盘设备标识是否为预定磁盘设备标识;
[0078]如果是,表明该目标数据的标识信息属于该MBR数据对应的标识信息;
[0079]如果不是,表明该目标数据的标识信息不属于该MBR数据对应的标识信息。
[0080]其中,该预定磁盘设备标识可以为DR0(Driver O),即为终端硬盘的主盘。将该目标数据对应的该目标磁盘设备标识与该预定磁盘设备标识进行匹配,如果匹配成功,则判断该目标磁盘设备标识为该预定磁盘设备标识,则继续后续的数据保护流程,反之,发送并执行该数据操作指令。
[0081 ]具体的,在另一种实现方式中,该目标数据的标识信息可以包括该目标数据对应的存储路径;
[0082]所述判断该目标数据的该标识信息是否属于MBR数据对应的标识信息,可以包括:
[0083]判断该存储路径是否属于预设存储路径,该预设存储路径为关于硬盘的主盘的存储路径;
[0084]如果是,表明该目标数据的标识信息属于该MBR数据对应的标识信息;
[0085]如果不是,表明该目标数据的标识信息不属于该MBR数据对应的标识信息。
[0086]可以理解的是,当该目标数据对应的存储路径属于预设存储路径时,可以表明该目标数据的标识信息属于该MBR数据对应的标识信息,即该目标数据为MBR数据,当该目标数据对应的存储路径不属于预设存储路径时,可以表明该目标数据的标识信息不属于该MBR数据对应的标识信息,即该目标数据不为MBR数据。
[0087]进一步的,由于该第一应用程序可以截获该第二应用程序发送的关于硬盘的任何数据的数据操作指令,并且该第二应用程序可以是与该第一应用程序安装于同一终端的任一应用程序。可以理解的是,对于该数据操作指令可能是恶意应用程序针对MBR数据发送的,也可能是针对其他硬盘数据发送的,还有可能是终端用户确实需要更改MBR数据而发送的,除了对该恶意应用程序针对MBR数据发送的数据操作指令进行丢弃外,对其他类型的数据操作指令则不进行限制,会继续发送并执行该数据操作指令。具体的,如图2所示,本发明实施例所提供的一种数据保护方法还可以包括:
[0088]S106:当该目标数据的标识信息不属于该MBR数据对应的标识信息时,调用该NtWriteFi Ie函数,执行该数据操作指令。
[0089]可以理解的是,在预先挂钩的Ni^riteFile函数中,可以直接调用该Ni^riteFile函数,执行该数据操作指令。
[0090]进一步的,为了更好的保障终端的硬盘的数据安全,进而保护终端的系统的安全,提高用户的使用体验,本发明实施例所提供的一种数据保护方法还可以包括:
[0091]输出提示信息,该提示信息携带该第二应用程序的该标识信息,以使用户根据该标识信息,将该第二应用程序卸载。
[0092]在实际应用中,该提示信息可以为声音提示,可以为屏幕亮度提示,可以为文字信息提示,还可以为界面跳转提示,等等,本发明实施例并不对该提示信息的提示形式进行限定。其中,该提示信息中可以携带该第二应用程序的该标识信息,以起到对该第二应用程序进行定位的作用,用户可以根据该提示信息对该第二应用程序进行处理,卸载或设置权限限制。或者该提示信息以界面跳转的形式进行提示,可以是直接跳转至该终端的程序卸载界面,定位在该第二应用程序上,以便该终端用户进行处理。等等,这都是合理的。
[0093]下面通过具体实施例对本发明实施例所提供的一种数据保护方法进行介绍。
[0094]在用户电脑中,存在一个第二应用程序A,第一应用程序B,并且预先挂钩了PtfflriteFiIe函数。当该第二应用程序A调用Ni^riteFi Ie函数发送数据操作指令I,该第一应用程序B通过调用该预先挂钩的NtffriteFile函数截获该数据操作指令I,经判断,该数据操作指令I为恶意应用程序(第二应用程序A)针对MBR数据发出的,对该数据操作指令I进行丢弃,使该恶意应用程序(第二应用程序A)不能修改MBR数据,从而更好的保护用户的电脑的安全。
[0095]相应于上述方法实施例,本发明实施例提供了一种数据保护装置,可以应用于第一应用程序,如图3所示,所述装置可以包括:操作指令截获模块301、标识信息判断模块302、目标进程路径确定模块303、目标进程路径判断模块304和操作指令丢弃模块305;
[0096]所述操作指令截获模块301:用于截获第二应用程序发送的数据操作指令,所述数据操作指令中携带所述第二应用程序的标识信息以及所针对的目标数据的标识信息;
[0097]所述标识信息判断模块302:用于判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息,如果是,触发所述目标进程路径确定模块;
[0098]所述目标进程路径确定模块303:用于根据所述第二应用程序的所述标识信息,确定所述第二应用程序对应的目标进程路径;
[0099]所述目标进程路径判断模块304:用于判断所述目标进程路径是否属于预设进程路径集合,如果属于,触发所述操作指令丢弃模块305;
[0100]所述操作指令丢弃模块305:用于丢弃所述数据操作指令。
[0101]应用本发明实施例,截获第二应用程序发送的数据操作指令,该数据操作指令中携带该第二应用程序的标识信息以及所针对的目标数据的标识信息;判断该目标数据的标识信息是否属于主引导记录MBR数据对应的标识信息;如果是,根据该第二应用程序的该标识信息,确定该第二应用程序对应的目标进程路径;判断该目标进程路径是否属于预设进程路径集合;如果属于,丢弃该数据操作指令。以避免MBR数据被终端中的应用程序修改,进而保障终端的系统的安全。
[0102]具体的,所述预设进程路径集合中包括至少一个预先确定出的恶意应用程序的进程路径。
[0103]具体的,所述操作指令截获模块301具体用于:
[0104]基于预先挂钩的NtWriteFiIe函数,截获所述第二应用程序通过调用所述NtWriteFi Ie函数发送的数据操作指令。
[0105]具体的,所述目标数据的标识信息包括所述目标数据对应的目标磁盘设备标识;
[0106]所述标识信息判断模块302具体用于:
[0107]判断所述目标磁盘设备标识是否为预定磁盘设备标识;
[0108]如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息;
[0109]如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。
[0110]具体的,所述目标数据的标识信息包括所述目标数据对应的存储路径;
[0111]所述标识信息判断模块302具体用于:
[0112]判断所述存储路径是否属于预设存储路径,所述预设存储路径为关于硬盘的主盘的存储路径;
[0113]如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息;
[0114]如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。
[0115]具体的,如图4所示,本发明实施例所提供的一种数据保护装置还可以包括操作指令执彳丁板块401 ;
[0116]所述操作指令执行模块401:用于当所述目标数据的标识信息不属于所述MBR数据对应的标识信息时,调用所述NtWriteFile函数,执行所述数据操作指令。
[0117]具体的,本发明实施例所提供的一种数据保护装置还可以包括信息输出模块;
[0118]所述提示信息输出模块:用于在所述丢弃所述数据操作指令之后,输出提示信息,所述提示信息携带所述第二应用程序的所述标识信息,以使用户根据所述标识信息,将所述第二应用程序卸载。
[0119]对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0120]需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0121]本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:R0M/RAM、磁碟、光盘等。
[0122]以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
【主权项】
1.一种数据保护方法,其特征在于,应用于第一应用程序,所述方法包括: 截获第二应用程序发送的数据操作指令,所述数据操作指令中携带所述第二应用程序的标识信息以及所针对的目标数据的标识信息; 判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息; 如果是,根据所述第二应用程序的所述标识信息,确定所述第二应用程序对应的目标进程路径; 判断所述目标进程路径是否属于预设进程路径集合; 如果属于,丢弃所述数据操作指令。2.根据权利要求1所述的方法,其特征在于,所述预设进程路径集合中包括至少一个预先确定出的恶意应用程序的进程路径。3.根据权利要求1所述的方法,其特征在于,所述截获第二应用程序发送的数据操作指令,包括: 基于预先挂钩的Ni^riteFi Ie函数,截获所述第二应用程序通过调用所述NtWriteFi Ie函数发送的数据操作指令。4.根据权利要求1-3任一项所述的方法,其特征在于,所述目标数据的标识信息包括所述目标数据对应的目标磁盘设备标识; 所述判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息,包括: 判断所述目标磁盘设备标识是否为预定磁盘设备标识; 如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息; 如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。5.根据权利要求1-3任一项所述的方法,其特征在于,所述目标数据的标识信息包括所述目标数据对应的存储路径; 所述判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息,包括: 判断所述存储路径是否属于预设存储路径,所述预设存储路径为关于硬盘的主盘的存储路径; 如果是,表明所述目标数据的标识信息属于所述MBR数据对应的标识信息; 如果不是,表明所述目标数据的标识信息不属于所述MBR数据对应的标识信息。6.根据权利要求3所述的方法,其特征在于,还包括: 当所述目标数据的标识信息不属于所述MBR数据对应的标识信息时,调用所述NtWriteFi Ie函数,执行所述数据操作指令。7.根据权利要求1-3任一项所述的方法,其特征在于,在所述丢弃所述数据操作指令之后,还包括: 输出提示信息,所述提示信息携带所述第二应用程序的所述标识信息,以使用户根据所述标识信息,将所述第二应用程序卸载。8.—种数据保护装置,其特征在于,应用于第一应用程序,所述装置包括:操作指令截获模块、标识信息判断模块、目标进程路径确定模块、目标进程路径判断模块和操作指令丢弃模块; 所述操作指令截获模块:用于截获第二应用程序发送的数据操作指令,所述数据操作指令中携带所述第二应用程序的标识信息以及所针对的目标数据的标识信息; 所述标识信息判断模块:用于判断所述目标数据的所述标识信息是否属于主引导记录MBR数据对应的标识信息,如果是,触发所述目标进程路径确定模块; 所述目标进程路径确定模块:用于根据所述第二应用程序的所述标识信息,确定所述第二应用程序对应的目标进程路径; 所述目标进程路径判断模块:用于判断所述目标进程路径是否属于预设进程路径集合,如果属于,触发所述操作指令丢弃模块; 所述操作指令丢弃模块:用于丢弃所述数据操作指令。9.根据权利要求8所述的装置,其特征在于,所述预设进程路径集合中包括至少一个预先确定出的恶意应用程序的进程路径。10.根据权利要求8所述的装置,其特征在于,所述操作指令截获模块具体用于: 基于预先挂钩的Ni^riteFi Ie函数,截获所述第二应用程序通过调用所述NtWriteFi Ie函数发送的数据操作指令。
【文档编号】G06F21/62GK105912948SQ201610208263
【公开日】2016年8月31日
【申请日】2016年4月6日
【发明人】杨峰
【申请人】北京金山安全软件有限公司