【技术实现步骤摘要】
文件回溯方法、装置和设备
本专利技术涉及信息安全
,尤其涉及一种文件回溯方法、装置和设备。
技术介绍
随着网络技术的飞速发展,网络为用户提供了丰富多彩的应用软件,使得人们可以在网络上将自己所需的应用软件方便的下载到诸如电脑、智能手机等本地终端中来进行使用,从而极大的丰富了用户的网络生活,提高了用户使用应用软件的便利性。而随着计算机网络技术的广泛应用,互联网逐渐成为恶意程序传播的主要途径之一。恶意程序被下载到本地终端运行后,有些会恶意修改本地终端中的文件,有些会窃取用户的个人信息,有些甚至会造成系统瘫痪等。因此,有必要对恶意程序进行检测和查杀,目前的木马查杀软件一般是检测出恶意文件后,删除恶意文件,以避免恶意文件执行恶意行为。但是,目前的木马查杀软件只是直接删除恶意文件,而无法回溯出恶意文件的来源,因而无法对恶意文件的来源进行彻底查杀,掐断恶意文件的来源。
技术实现思路
有鉴于此,本专利技术提供一种文件回溯方法、装置和设备,用于实现对文件的回溯,以对回溯出的文件来源进行彻底查杀,掐断恶意文件的来源。为了实现上述目的,第一方面,本专利技术实施例提供一种文件回溯方法,...
【技术保护点】
1.一种文件回溯方法,其特征在于,包括:当监控到可移植的执行体PE文件的创建操作时,确定创建所述PE文件的操作者;在数据库中建立所述PE文件与所述PE文件的操作者之间的对应关系,其中,所述数据库中记录的PE文件的操作者包括PE格式的文件;当检测到恶意文件时,查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者。
【技术特征摘要】
1.一种文件回溯方法,其特征在于,包括:当监控到可移植的执行体PE文件的创建操作时,确定创建所述PE文件的操作者;在数据库中建立所述PE文件与所述PE文件的操作者之间的对应关系,其中,所述数据库中记录的PE文件的操作者包括PE格式的文件;当检测到恶意文件时,查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者。2.根据权利要求1所述的方法,其特征在于,所述数据库中记录的PE文件的操作者还包括内存区域,所述方法还包括:当监控到内存区域被设置为可执行属性时,确定申请所述内存区域的操作者;在数据库中建立所述内存区域与所述内存区域的操作者之间的对应关系。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:当监控到程序模块的加载操作时,确定加载所述程序模块的操作者;在数据库中建立所述程序模块对应的PE文件与所述程序模块的操作者之间的对应关系。4.根据权利要求3所述的方法,其特征在于,在所述确定加载所述程序模块的操作者之前,所述方法还包括:当监控到程序模块的加载操作时,确定所述程序模块是首次加载的程序模块。5.根据权利要求3所述的方法,其特征在于,在所述当监控到程序模块的加载操作时,确定加载所述程序模块的操作者之前,所述方法还包括:当监控到有进程首次启动时,监控程序模块的加载操作。6.根据权利要求3所述的方法,其特征在于,所述方...
【专利技术属性】
技术研发人员:郑劲松,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。