识别文件打开方式篡改方法、装置、电子设备和存储介质与流程

本发明涉及计算机，尤其涉及识别文件打开方式篡改方法、装置、电子设备和存储介质。

背景技术：

1、在计算机中，文件是通过文件扩展名关联的进程(应用程序)打开的。文件扩展名关联的进程等关联信息存储在注册表的子键中，通过修改子键可以实现文件打开方式的变更。受文档处理类进程竞争愈发激烈的影响，一些同类进程为提高使用率而频繁、不经用户允许的篡改文件打开方式来霸占打开入口。一些带有内核驱动的文档处理类进程(例如进程名称为a的pdf、进程名称为b的pdf等)还会通过调用内核的注册注册表事件回调函数(cmregistercallback函数)来安装注册表变更过滤器，再利用注册表变更过滤器来拦截文件打开方式变更以达到霸占打开入口的目的。目前没有能够辨别变更文件打开方式的触发对象是用户还是非用户的第三方进程(即其他同类进程)的技术，也没有能够对抗第三方进程未经允许在应用层变更文件打开方式的技术。

技术实现思路

1、本发明提供识别文件打开方式篡改方法、装置、电子设备和存储介质，用于实现在应用层识别文件打开方式的变更类型，进而实现对篡改变更文件打开方式的进程的篡改操作的识别。

2、第一个方面，本发明实施例提供一种识别文件打开方式篡改的方法，所述方法包括：

3、利用监视函数监视注册表；

4、在监视到所述注册表中与所述文件打开方式关联的键值被修改的情况下，确定所述文件打开方式发生变更；

5、获取执行变更所述文件打开方式的第一进程，根据所述第一进程判定所述文件打开方式的变更类型。

6、可选地，所述根据所述第一进程判定所述文件打开方式的变更类型，包括：

7、判定所述第一进程是否存在许可标记，在所述第一进程存在所述许可标记的情况下，确定所述第一进程的变更类型为正常变更；在所述进程不存在所述许可标记的情况下，确定所述第一进程的变更类型为篡改变更；

8、其中，所述许可标记注册在操作系统的应用层。

9、可选地，在所述许可标记注册在操作系统的应用层之前，所述方案还包括：

10、判断所述第一进程是否为操控进程；

11、在判定所述第一进程为操控进程的情况下，判断所述第一进程的路径携带的表征信息是否符合第一要求；在所述第一进程的路径携带的所述表征信息符合第一要求的情况下，在所述操作系统的应用层对所述第一进程进行所述许可标记注册；

12、其中，所述操控进程为用户变更所述文件打开方式采用的进程。

13、可选地，所述方法还包括：

14、所述第一要求的标准表征信息包含：

15、注册表的根键-用户信息文件、主键-应用程序信息文件、微软、操作系统、当前版本、浏览器、文件格式名、通配符和用户选择；

16、所述通配符为文件扩展名字符串或者其他字符串。

17、可选地，在所述判断所述第一进程的路径携带的表征信息是否符合第一要求之前，所述方法还包括：

18、挂钩键值设置函数；

19、注入切面函数，利用所述切面函数获取所述第一进程的路径携带的所述表征信息。

20、可选地，所述操控进程，包括：资源管理器、控制面板和系统设置中的至少一个。

21、可选地，所述确定所述第一进程的变更类型为篡改变更之后，所述方法还包括：向第二进程发送文件打开方式被篡改的通知。

22、可选地，所述获取所述第一进程的路径携带的所述表征信息之后，所述方法还包括：调回所述键值设置函数。

23、第二方面，本发明还提供识别文件打开方式篡改的装置，所述装置包括：

24、监视模块，用于利用监视函数监视注册表；

25、查找模块，用于在监视到所述注册表中与所述文件打开方式关联的键值被修改的情况下，确定所述文件打开方式发生变更；

26、识别模块，获取执行变更所述文件打开方式的第一进程，根据所述第一进程判定所述文件打开方式的变更类型。

27、第三方面，本发明还提供一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述识别文件打开方式篡改的方法的步骤。

28、第四方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述识别文件打开方式篡改的方法的步骤。

29、本发明提供的识别文件打开方式篡改方法、装置、电子设备和存储介质，利用监视函数对注册表中与文件打开方式关联的键值进行变更监视，从而监控变更文件打开方式事件的发生，并通过辨别此次文件打开方式的变更类型，进而准确识别文件打开方式是否被篡改。此外，因为能辨别出文件打开方式是否由第三方进程篡改，因此可以阻止第三方进程对文件打开方式变更的拦截，进而抑制第三方进程霸占文件打开入口的现象。

技术特征：

1.一种识别文件打开方式篡改的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的识别文件打开方式篡改的方法，其特征在于，所述根据所述第一进程判定所述文件打开方式的变更类型，包括：

3.根据权利要求2所述的识别文件打开方式篡改的方法，其特征在于，在所述许可标记注册在操作系统的应用层之前，所述方案还包括：

4.根据权利要求3所述的识别文件打开方式篡改的方法，其特征在于，所述方法还包括：

5.根据权利要求3所述的识别文件打开方式篡改的方法，其特征在于，在所述判断所述第一进程的路径携带的表征信息是否符合第一要求之前，所述方法还包括：

6.根据权利要求3所述的识别文件打开方式篡改的方法，其特征在于，所述操控进程，包括：资源管理器、控制面板和系统设置中的至少一个。

7.根据权利要求2所述的识别文件打开方式篡改的方法，其特征在于，所述确定所述第一进程的变更类型为篡改变更之后，所述方法还包括：向第二进程发送文件打开方式被篡改的通知。

8.根据权利要求5所述的识别文件打开方式篡改的方法，其特征在于，所述获取所述第一进程的路径携带的所述表征信息之后，所述方法还包括：调回所述键值设置函数。

9.一种识别文件打开方式篡改的装置，其特征在于，所述装置包括：

10.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任一项所述识别文件打开方式篡改的方法的步骤。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至8任一项所述识别文件打开方式篡改的方法的步骤。

技术总结
本发明涉及一种识别文件打开方式篡改方法、装置、电子设备和存储介质，所述方法包括：利用监视函数监视注册表；在监视到注册表中与文件打开方式关联的键值被修改的情况下，确定文件打开方式发生变更；获取执行变更文件打开方式的第一进程；根据第一进程判定文件打开方式的变更类型。本发明利用监视函数对注册表中与文件打开方式关联的键值进行变更监视，从而监控变更文件打开方式事件的发生，并通过辨别此次文件打开方式变更是用户主动执行的，还是第三方进程的定时执行，进而准确识别第三方进程对文件打开方式的篡改操作。

技术研发人员：付浩,侯京
受保护的技术使用者：珠海金山办公软件有限公司
技术研发日：
技术公布日：2024/1/11