一种文件隔离方法、装置和系统制造方法及图纸

本发明专利技术实施例公开了一种文件隔离方法、装置和系统，以方法的实现为例，包括：通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求；确定所述第一进程是否为沙箱内的进程，若是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备，并将所述重定向后的更改操作请求发送给所述输入/输出对象管理器。以上方案利用I/O对象管理器的重定向能力及卷虚拟技术，在I/O请求到达卷设备之前确定I/O请求的发起者是否为沙箱内的进程，使得在卷设备这一层可以确定I/O请求的最初发起者是否是沙箱内的进程，从而可以实现卷设备级别的文件隔离。

【技术实现步骤摘要】
一种文件隔离方法、装置和系统
本专利技术涉及通信
，特别涉及一种文件隔离方法、装置和系统。
技术介绍
文件隔离技术广泛用于沙箱，位于沙箱内的应用程序对系统所做的修改操作会被隔离掉，不会对真实系统产生任何影响。如:沙箱内应用程序的进程在C:\Windows目录下创建了文件Virus, exe,沙箱内进程能看到,但是系统的C:\Windows目录下并不存在该文件。这就是文件隔离技术。目前的文件隔离技术一般基于文件过滤驱动程序实现，文件过滤驱动监控文件的创建、读写以及更改，并结合重定位来实现文件隔离。其中主要有以下两种处理方法:部分重定位和完全重定位。使用部分重定位技术需要监控文件的打开，读写，大小更改，重命名等诸多操作，而且需要为每个更改过的文件都维护一份更改记录，因此部分重定位过于复杂繁琐。完全重定位技术，则是简单的重定位文件夹，如某运行在沙箱内的木马进程在C: \ffindows目录下释放病毒文件virus, exe,完全重定位将文件夹C: \Windows重定位到另一个文件下如C:\SandBox\Windows下，这样文件将不会生成在windows目录，实现了一定程度的文件隔离，这种方法使得沙箱内进程释放的恶意文件仍然存在，虽然不存在于C: \ffindows\下，但却存在于C: \SandBox\ffindows,因此安全性较差。
技术实现思路
本专利技术实施例提供了一种文件隔离方法、装置和系统，用于提高设备的安全性。一种文件隔离方法，包括:通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求；确定所述第一进程是否为沙箱内的进程，若是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备，并将所述重定向后的更改操作请求发送给所述输入/输出对象管理器。一种文件隔离方法，包括:接收第一进程发出的对文件系统下的卷设备的更改操作请求；将所述更改操作请求发送给注册文件过滤驱动，并接收所述注册文件过滤驱动在确定所第一进程为沙箱内进程后，返回的重定向后的更改操作请求；将所述重定向后的更改操作请求，发送给所述重定向后的更改操作请求指向的虚拟卷设备所在的虚拟文件系统。一种文件隔离装置，包括:请求接收单元，用于通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求；进程确定单元，用于确定所述第一进程是否为沙箱内的进程；重定向单元，用于若所述进程确定单元确定结果为是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备；请求发送单元，用于将所述重定向单元重定向后的更改操作请求发送给所述输入/输出对象管理器。一种文件隔离装置，包括:第一请求接收单元，用于接收第一进程发出的对文件系统下的卷设备的更改操作请求；第一请求发送单元，用于将所述请求接收单元接收的更改操作请求发送给注册文件过滤驱动；第二请求接收单元，用于接收所述注册文件过滤驱动在确定所第一进程为沙箱内进程后，返回的重定向后的更改操作请求；第二请求发送单元，用于将所述第二请求接收单元接收的重定向后的更改操作请求，发送给所述重定向后的更改操作请求指向的虚拟卷设备所在的虚拟文件系统。一种文件隔离系统，包括:输入/输出对象管理器，用于接收第一进程发出的对文件系统下的卷设备的更改操作请求；将所述更改操作请求发送给注册文件过滤驱动，并接收所述注册文件过滤驱动在确定所第一进程为沙箱内进程后，返回的重定向后的更改操作请求；将所述重定向后的更改操作请求，发送给所述重定向后的更改操作请求指向的虚拟卷设备所在的虚拟文件系统；注册文件过滤驱动，用于通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求；确定所述第一进程是否为沙箱内的进程，若是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备，并将所述重定向后的更改操作请求发送给所述输入/输出对象管理器；虚拟文件系统，用于将接收到的重定向后的更改操作请求，发送给所述重定向后的更改操作请求对应的虚拟卷设备。从以上技术方案可以看出，本专利技术实施例具有以下优点:利用I/O对象管理器的重定向能力及卷虚拟技术，在I/o请求到达卷设备之前确定I/O请求的发起者是否为沙箱内的进程，使得在卷设备这一层可以确定I/o请求的最初发起者是否是沙箱内的进程，从而可以实现卷设备级别的文件隔离。【附图说明】为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的卷设备级别的方案的方法流程示意图；图2为本专利技术实施例方法流程示意图；图3为本专利技术实施例方法流程示意图；图4为本专利技术实施例举例的数据流向示意图；图5为本专利技术实施例举例的数据流向示意图；图6为本专利技术实施例举例的数据流向示意图；图7为本专利技术实施例装置结构示意图；图8为本专利技术实施例装置结构示意图；图9为本专利技术实施例系统结构示意图；图10为本专利技术实施例系统结构示意图。【具体实施方式】为了使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述，显然，所描述的实施例仅仅是本专利技术一部份实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。基于专利技术人对现有技术的分析，专利技术人提出了使用卷设备级别来解决前述技术问题的方案，卷设备级别的方案如图1所示的进程数据流示意图，具体流程如下:101:进程A对卷设备C: \进行操作，例如创建文件C:\l_ txt,向I/O (Input/Output，输入/输出)对象管理器发送上述操作的操作请求；上述操作请求以更改操作请求为例，进行说明。更改操作请求是对卷设备C:\内的数据进行更改的操作，可以是创建也可以是修改，具体的操作形式本专利技术实施例不予限定。102:1/0 (Input/Output，输入/输出)对象管理器经过一系列操作后，将前述操作请求发给卷设备C:\对应的文件系统。103:文件系统对上述操作请求经过处理后，以同步或异步的方式将上述操作请求对应的数据写入卷设备C:\。若上述操作请求对应的数据在步骤103中以异步的方式写入，那么卷设备C:\在得到请求后，获取到的当前进程是系统进程。因此使用卷设备级别进行文件隔离存在困难即:卷设备级别的隔离方案在卷设备无法判断I/o最初发起者是否是沙箱内进程，进而无法完成隔离操作。本专利技术实施例提供了一种文件隔离方法，该方法可以在具有过滤功能的注册文件过滤驱动中实现，在后续实施例中将以此为例给出更详细的说明，如图2所示，包括:201:通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求；上述更改操作请求对应的可以是，对文件系统下的卷设备中的文件或者数据进行的任意可能产生变更的操作，其通常的表现形式可以是创建文件、修改数据等等，其具体的表现形式本专利技术实施例不予限定。202:确定上述第一进程是否为沙箱内的进程，若是，则将上述更改操作请求重定向到与上述更改操作请求指向的卷设备对本文档来自技高网...

【技术保护点】
一种文件隔离方法，其特征在于，包括：通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求；确定所述第一进程是否为沙箱内的进程，若是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备，并将所述重定向后的更改操作请求发送给所述输入/输出对象管理器。

【技术特征摘要】
1.一种文件隔离方法，其特征在于，包括: 通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求； 确定所述第一进程是否为沙箱内的进程，若是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备，并将所述重定向后的更改操作请求发送给所述输入/输出对象管理器。2.根据权利要求1所述方法，其特征在于，还包括: 若所述第一进程不是沙箱内的进程，则将所述更改操作请求发送给所述更改操作请求指向的卷设备所在的文件系统。3.根据权利要求1或2所述方法，其特征在于，还包括: 通过输入/输出对象管理器接收来自第二进程对所述文件系统下的卷设备的读取操作请求； 若确定所述第二进程为沙箱内的进程，则将所述读取操作请求重定向到与所述读取操作请求指向的卷设备对应的虚拟卷设备；并将所述重定向后的读取操作请求发送给所述输入/输出对象管理器。4.根据权利要求3所述方法，其特征在于，还包括: 若确定所述第二进程不是沙箱内的进程，则将所述读取操作请求发送给所述读取操作请求指向的卷设备所在的文件系统。5.一种文件隔离方法，其特征在于，包括: 接收第一进程发出的对文件系统下的卷设备的更改操作请求； 将所述更改操作请求发送给注册文件过滤驱动，并接收所述注册文件过滤驱动在确定所第一进程为沙箱内进程后，返回的重定向后的更改操作请求； 将所述重定向后的更改操作请求，发送给所述重定向后的更改操作请求指向的虚拟卷设备所在的虚拟文件系统。6.根据权利要求5所述方法，其特征在于，还包括: 接收第二进程发出的对文件系统下的卷设备的读取操作请求； 将所述读取操作请求发送给注册文件过滤驱动，并接收所述注册文件过滤驱动在确定所述第二进程为沙箱内进程后，返回的重定向后的读取操作请求； 将所述重定向后的读取操作请求，发送给所述重定向后的读取操作请求指向的虚拟卷设备所在的虚拟文件系统。7.一种文件隔离装置，其特征在于，包括: 请求接收单元，用于通过输入/输出对象管理器接收来自第一进程对文件系统下的卷设备的更改操作请求； 进程确定单元，用于确定所述第一进程是否为沙箱内的进程； 重定向单元，用于若所述进程确定单元确定结果为是，则将所述更改操作请求重定向到与所述更改操作请求指向的卷设备对应的虚拟卷设备； 请求发送单元，用于将所述重定向单元重定向后的更改操作请求发送给所述输入/输出对象管理器。8.根据权利要求7所述装置，其特征在于，所述请求发送单元，还用于若所述进程确定单元确定所述第一进程不是沙箱内的进程，则将所述更改操作请求发送给所述更改操作请求指向的卷设备所在的文件系统。9.根据权利要求7或8所述装置，其特征在于， 所述请求接收单元，还用于通过输入/输出对象管理器接收来自第二进程对所述文件系统下的卷设备的读取操作请求； 所述进程确定单元，还用于确定所述第二进程是否为沙箱内的进程； 所述重定向单元，还用于若所述进程确定单元确定结果为是，则将所述读取操作请求重定向到与所述读取操作请求指向的卷设备对应的虚拟卷设备； 所述请求发送单元，还用于将所述重定向单元重定向后的读取操作请求发送给所述输入/输出对象管理器。10.根据权利要求9所述装置，其特征在于， 所述请求发送单元，还用于若所述进程确定单元确定所述第二...

【专利技术属性】
技术研发人员：肖全举，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44