本发明专利技术提供一种文件回溯方法、装置和设备,其中,该方法,包括:当监控到PE文件的创建操作时,确定创建所述PE文件的操作者;在数据库中建立所述PE文件与所述PE文件的操作者之间的对应关系,其中,所述数据库中记录的PE文件的操作者包括PE格式的文件;当检测到恶意文件时,查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者。本发明专利技术提供的技术方案可以回溯出恶意文件的源操作者,从而可以对回溯出的文件源操作者进行彻底查杀,掐断恶意文件的来源。
【技术实现步骤摘要】
文件回溯方法、装置和设备
本专利技术涉及信息安全
,尤其涉及一种文件回溯方法、装置和设备。
技术介绍
随着网络技术的飞速发展,网络为用户提供了丰富多彩的应用软件,使得人们可以在网络上将自己所需的应用软件方便的下载到诸如电脑、智能手机等本地终端中来进行使用,从而极大的丰富了用户的网络生活,提高了用户使用应用软件的便利性。而随着计算机网络技术的广泛应用,互联网逐渐成为恶意程序传播的主要途径之一。恶意程序被下载到本地终端运行后,有些会恶意修改本地终端中的文件,有些会窃取用户的个人信息,有些甚至会造成系统瘫痪等。因此,有必要对恶意程序进行检测和查杀,目前的木马查杀软件一般是检测出恶意文件后,删除恶意文件,以避免恶意文件执行恶意行为。但是,目前的木马查杀软件只是直接删除恶意文件,而无法回溯出恶意文件的来源,因而无法对恶意文件的来源进行彻底查杀,掐断恶意文件的来源。
技术实现思路
有鉴于此,本专利技术提供一种文件回溯方法、装置和设备,用于实现对文件的回溯,以对回溯出的文件来源进行彻底查杀,掐断恶意文件的来源。为了实现上述目的,第一方面,本专利技术实施例提供一种文件回溯方法,包括:当监控到PE文件的创建操作时,确定创建所述PE文件的操作者;在数据库中建立所述PE文件与所述PE文件的操作者之间的对应关系,其中,所述数据库中记录的PE文件的操作者包括PE格式的文件;当检测到恶意文件时,查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者。通过监控PE文件的创建操作,在监控到PE文件的创建操作时,确定创建PE文件的操作者;再在数据库中建立PE文件与PE文件的操作者之间的对应关系,就可以建立回溯数据库;然后在检测到恶意文件时,就可以查询数据库中与恶意文件相关的所有对应关系,回溯出恶意文件的源操作者,从而可以对回溯出的文件源操作者进行彻底查杀,掐断恶意文件的来源。作为本专利技术实施例一种可选的实施方式,所述数据库中记录的PE文件的操作者还包括内存区域,所述方法还包括:当监控到内存区域被设置为可执行属性时,确定申请所述内存区域的操作者;在数据库中建立所述内存区域与所述内存区域的操作者之间的对应关系。通过上述实施方式,可以提高文件回溯的准确性。作为本专利技术实施例一种可选的实施方式,所述方法还包括:当监控到程序模块的加载操作时,确定加载所述程序模块的操作者;在数据库中建立所述程序模块对应的PE文件与所述程序模块的操作者之间的对应关系。通过上述实施方式,可以提高文件回溯的全面性。作为本专利技术实施例一种可选的实施方式,在所述确定加载所述程序模块的操作者之前,所述方法还包括:当监控到程序模块的加载操作时,确定所述程序模块是首次加载的程序模块。通过上述实施方式,可以减小数据库的大小。作为本专利技术实施例一种可选的实施方式,在所述当监控到程序模块的加载操作时,确定加载所述程序模块的操作者之前,所述方法还包括:当监控到有进程首次启动时,监控程序模块的加载操作。通过上述实施方式,可以减小数据库的大小。作为本专利技术实施例一种可选的实施方式,所述方法还包括:当监控到预设的注册表项的写操作时,确定所述注册表项的操作者和写入的PE文件;在数据库中建立所述写入的PE文件与所述注册表项的操作者之间的对应关系。通过上述实施方式,可以提高文件回溯的准确性。作为本专利技术实施例一种可选的实施方式,所述当监控到PE文件的创建操作时,确定创建所述PE文件的操作者,包括:通过文件过滤驱动监控PE文件的创建操作;当监控到所述PE文件的创建操作时,获取所述PE文件的创建操作所在线程的起始地址;根据所述起始地址查找所述线程的创建者;确定所述线程的创建者为所述PE文件的操作者。作为本专利技术实施例一种可选的实施方式,所述查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者,包括:将所述恶意文件作为当前查询文件,对所述当前查询文件进行查询操作,所述查询操作包括:查询所述数据库中的对应关系,确定所述当前查询文件的操作者;将所述当前查询文件的操作者作为新的当前查询文件,返回执行所述查询操作,直至查询不到新的当前查询文件的操作者为止;将最后一次查询到的当前查询文件的操作者确定为所述恶意文件的源操作者。作为本专利技术实施例一种可选的实施方式,所述方法还包括:当监控到预设文件的写操作时,确定所述预设文件的操作者;确定所述操作者为恶意文件。第二方面,本专利技术实施例提供一种文件回溯装置,包括:确定模块,用于当监控到PE文件的创建操作时,确定创建所述PE文件的操作者;数据库建立模块,用于在数据库中建立所述PE文件与所述PE文件的操作者之间的对应关系,其中,所述数据库中记录的PE文件的操作者包括PE格式的文件;回溯模块,用于当检测到恶意文件时,查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者。作为本专利技术实施例一种可选的实施方式,所述数据库中记录的PE文件的操作者还包括内存区域,所述确定模块,还用于当监控到内存区域被设置为可执行属性时,确定申请所述内存区域的操作者;所述数据库建立模块,还用于在数据库中建立所述内存区域与所述内存区域的操作者之间的对应关系。作为本专利技术实施例一种可选的实施方式,所述确定模块,还用于当监控到程序模块的加载操作时,确定加载所述程序模块的操作者;所述数据库建立模块,还用于在数据库中建立所述程序模块对应的PE文件与所述程序模块的操作者之间的对应关系。作为本专利技术实施例一种可选的实施方式,所述确定模块,还用于当监控到程序模块的加载操作时,在所述确定加载所述程序模块的操作者之前,确定所述程序模块是首次加载的程序模块。作为本专利技术实施例一种可选的实施方式,所述装置还包括:监控模块,用于当监控到有进程首次启动时,监控程序模块的加载操作。作为本专利技术实施例一种可选的实施方式,所述确定模块,还用于当监控到预设的注册表项的写操作时,确定所述注册表项的操作者和写入的PE文件;所述数据库建立模块,还用于在数据库中建立所述写入的PE文件与所述注册表项的操作者之间的对应关系。作为本专利技术实施例一种可选的实施方式,所述确定模块,具体用于:通过文件过滤驱动监控PE文件的创建操作;当监控到所述PE文件的创建操作时,获取所述PE文件的创建操作所在线程的起始地址;根据所述起始地址查找所述线程的创建者;确定所述线程的创建者为所述PE文件的操作者。作为本专利技术实施例一种可选的实施方式,所述回溯模块,具体用于:将所述恶意文件作为当前查询文件,对所述当前查询文件进行查询操作,所述查询操作包括:查询所述数据库中的对应关系,确定所述当前查询文件的操作者;将所述当前查询文件的操作者作为新的当前查询文件,返回执行所述查询操作,直至查询不到新的当前查询文件的操作者为止;将最后一次查询到的当前查询文件的操作者确定为所述恶意文件的源操作者。作为本专利技术实施例一种可选的实施方式,所述确定模块还用于:当监控到预设文件的写操作时,确定所述预设文件的操作者;确定所述操作者为恶意文件。上述第二方面以及上述第二方面的各可能的实施方式所提供的装置,其有益效果可以参见上述第一方面和第一方面的各可能的实施方式所带来的有益效果,在此不再赘述。第三方面,本专利技术实施例提供一种文件回溯设备,包括:存储器和处理器本文档来自技高网...
【技术保护点】
1.一种文件回溯方法,其特征在于,包括:当监控到可移植的执行体PE文件的创建操作时,确定创建所述PE文件的操作者;在数据库中建立所述PE文件与所述PE文件的操作者之间的对应关系,其中,所述数据库中记录的PE文件的操作者包括PE格式的文件;当检测到恶意文件时,查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者。
【技术特征摘要】
1.一种文件回溯方法,其特征在于,包括:当监控到可移植的执行体PE文件的创建操作时,确定创建所述PE文件的操作者;在数据库中建立所述PE文件与所述PE文件的操作者之间的对应关系,其中,所述数据库中记录的PE文件的操作者包括PE格式的文件;当检测到恶意文件时,查询所述数据库中与所述恶意文件相关的所有对应关系,回溯出所述恶意文件的源操作者。2.根据权利要求1所述的方法,其特征在于,所述数据库中记录的PE文件的操作者还包括内存区域,所述方法还包括:当监控到内存区域被设置为可执行属性时,确定申请所述内存区域的操作者;在数据库中建立所述内存区域与所述内存区域的操作者之间的对应关系。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:当监控到程序模块的加载操作时,确定加载所述程序模块的操作者;在数据库中建立所述程序模块对应的PE文件与所述程序模块的操作者之间的对应关系。4.根据权利要求3所述的方法,其特征在于,在所述确定加载所述程序模块的操作者之前,所述方法还包括:当监控到程序模块的加载操作时,确定所述程序模块是首次加载的程序模块。5.根据权利要求3所述的方法,其特征在于,在所述当监控到程序模块的加载操作时,确定加载所述程序模块的操作者之前,所述方法还包括:当监控到有进程首次启动时,监控程序模块的加载操作。6.根据权利要求3所述的方法,其特征在于,所述方...
【专利技术属性】
技术研发人员:郑劲松,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。