本发明专利技术公开了一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法,包括通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护终端计算机系统的文件打开接口、防护拦截程序拦截所有文件打开操作,获取打开操作所携带的输入参数、防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息、防护拦截程序依次判断文件访问属性是否包含写权限、文件类型是否为可执行文件、被打开文件路径名和访问进程文件路径名是否相等、当文件访问属性包含写权限、文件类型为可执行文件、被打开文件路径名和访问进程文件路径名不相等时,设定文件保护并允许操作系统执行文件访问操作。
【技术实现步骤摘要】
一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法
本专利技术属于计算机网络安全管理
,特别是涉及一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法。
技术介绍
Windows操作系统可以通过平台提供的接口,实现系统内核层文件访问的监控操作。PE格式为Windows可执行文件格式,U盘和网络共享为病毒的主要传播途径,病毒感染前,病毒通常识别文件是否为PE格式,如果符合格式则感染,并执行文件改写操作来完成病毒传播。程序启动时,程序系统监控接口获取的操作进程名为文件进程名,由于病毒感染时操作进程名会写入其他可执行文件,因此被打开文件名和打开进程文件名不同。本方法通过判断被打开文件名和打开进程文件名是否相等,检测是否有病毒感染行为,实现对U盘病毒的高效拦截。
技术实现思路
本专利技术的主要目的在于提供一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法,该方法适用于Windows各平台操作系统,通过Windows操作系统文件过滤驱动技术将防护拦截程序与系统的文件打开接口挂钩,从而实现文件访问监控,杜绝计算机感染病毒,有效保障终端系统安全。为了达到上述目的,本专利技术所采用的技术方案如下:一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法,包含以下步骤:a.通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护的终端计算机系统的文件打开接口;b.防护拦截程序拦截所有文件打开操作,获取打开操作所携带的输入参数;所述打开操作所携带的输入参数包括被打开文件的文件路径名、文件属性对象地址、当前进程ID;c.防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息;所述文件打开操作的基本信息包括被打开文件路径名、访问进程文件路径名、文件访问属性;通过当前进程ID,获取访问进程所在的文件路径名;通过文件属性对象地址,获取所包含的文件访问权限,文件访问权限包括读、写;d.防护拦截程序判断文件访问属性,如果文件访问属性中包含写权限,继续执行步骤e;如果文件访问属性中不包含写权限,则执行步骤h;e.防护拦截程序判断被打开文件的文件类型;所述文件类型包括可执行文件、非可执行文件;防护拦截程序读取被打开文件的头部信息,判断被打开文件是否为PE格式,如果被打开文件为PE格式,则判断被打开文件为可执行文件,继续执行步骤f;如果被打开文件为非PE格式,则判断被打开文件为非可执行文件,执行步骤h;f.防护拦截程序判断被打开文件是否需要保护;通过文件打开操作的基本信息,判断被打开文件是否需要保护,如果被打开文件路径名和访问进程文件路径名相等,则判定不需保护,执行步骤h;如果被打开文件路径名和访问进程文件路径名不相等,则判定被打开文件需要设定保护,继续执行步骤g;g.设定文件保护;防护拦截程序修改被打开文件的文件打开操作的基本信息中的文件访问属性,去掉文件访问属性中的写权限,并将去掉写属性的文件访问属性更新到打开操作所携带的输入参数的文件属性对象地址中;h.执行文件操作;防护拦截程序将被打开文件的文件打开操作的基本信息中的文件访问属性返回给操作系统;所述被保护的终端计算机利用Windows操作系统文件过滤驱动技术,监控可执行文件的打开操作,执行步骤b。本专利技术的方法与现有方法对比的有益效果是:良好的系统兼容性,支持所有Windows操作系统。具备较强的病毒免疫功能,可以保护文件不被可执行文件传染型病毒传染。防护措施对系统性能损失较小。传统杀毒软件需要识别PE头之后,根据大量病毒库识别是否有病毒才能判断是否允许程序运行,而使用本专利技术的保护方法后,只需要根据可执行文件写入其他文件的感染动作,确定是否为感染行为,性能大幅度提升。附图说明图1为本专利技术的基于Windows操作系统的U盘PE格式文件病毒的拦截方法的流程图。具体实施方式下面结合附图和实施例,对本专利技术的基于Windows操作系统的U盘PE格式文件病毒的拦截方法做进一步详细描述。实施例例如,操作系统为Windows7的终端计算机PC1上打开C:\Windows\system32路径下的可执行文件notepad.exe,同时终端计算机PC1上J:emp路径下的virus.exe文件将要对可执行文件notepad.exe执行感染操作,本专利技术的基于Windows操作系统的U盘PE格式文件病毒的拦截方法,具体包括如下步骤:a.通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护的终端计算机系统的文件打开接口;通过Windows操作系统文件过滤驱动技术调用注册过滤器,设定将防护拦截程序挂钩终端计算机PC1的Windows7操作系统的文件打开接口;b.防护拦截程序拦截所有文件打开操作,获取打开操作所携带的输入参数;所述打开操作所携带的输入参数包括被打开文件的文件路径名、文件属性对象地址、当前进程ID;防护拦截程序拦截到终端计算机PC1上打开文件notepad.exe的操作,获取到打开操作所携带的输入参数;终端计算机PC1上打开文件notepad.exe的操作的打开操作所携带的输入参数包括被打开文件的文件路径名为C:\Windows\system32\notepad.exe、文件属性对象地址为0x89953000、当前进程ID为7568;c.防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息;所述文件打开操作的基本信息包括被打开文件路径名、访问进程文件路径名、文件访问属性;通过当前进程ID,获取访问进程所在的文件路径名。通过文件属性对象地址,获取所包含的文件访问权限,文件访问权限包括读、写;防护拦截程序获取到终端计算机PC1上被打开文件的路径名为C:\Windows\system32\notepad.exe;防护拦截程序通过当前进程ID为7568,获取到终端计算机PC1上打开进程文件路径名为J:emp\virus.exe;防护拦截程序通过文件属性对象地址为0x89953000,获取到终端计算机PC1上被打开的可执行文件notepad.exe的文件访问权限为读写;d.防护拦截程序判断文件访问属性,如果文件访问属性中包含写权限,则继续执行步骤e,如果文件访问属性中不包含写权限,则执行步骤h;防护拦截程序判断终端计算机PC1上被打开的文件notepad.exe的文件访问属性包含写权限,继续执行步骤e;e.防护拦截程序判断被打开文件的文件类型;所述文件类型包括可执行文件、非可执行文件;防护拦截程序读取被打开文件的头部信息,判断被打开文件是否为PE格式,如果被打开文件为PE格式,则判断被打开文件为可执行文件,继续本文档来自技高网...
【技术保护点】
1.一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法,包含以下步骤:/na.通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护的终端计算机系统的文件打开接口;/nb.防护拦截程序拦截所有文件打开操作,获取打开操作所携带的输入参数;/n所述打开操作所携带的输入参数包括被打开文件的文件路径名、文件属性对象地址、当前进程ID;/nc.防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息;/n所述文件打开操作的基本信息包括被打开文件路径名、访问进程文件路径名、文件访问属性;/n通过当前进程ID,获取访问进程所在的文件路径名;/n通过文件属性对象地址,获取所包含的文件访问权限,文件访问权限包括读、写;/nd.防护拦截程序判断文件访问属性,如果文件访问属性中包含写权限,继续执行步骤e;如果文件访问属性中不包含写权限,则执行步骤h;/ne.防护拦截程序判断被打开文件的文件类型;/n所述文件类型包括可执行文件、非可执行文件;/n防护拦截程序读取被打开文件的头部信息,判断被打开文件是否为PE格式,如果被打开文件为PE格式,则判断被打开文件为可执行文件,继续执行步骤f;如果被打开文件为非PE格式,则判断被打开文件为非可执行文件,执行步骤h;/nf.防护拦截程序判断被打开文件是否需要保护;/n通过文件打开操作的基本信息,判断被打开文件是否需要保护,如果被打开文件路径名和访问进程文件路径名相等,则判定不需保护,执行步骤h;如果被打开文件路径名和访问进程文件路径名不相等,则判定被打开文件需要设定保护,继续执行步骤g;/ng.设定文件保护;/n防护拦截程序修改被打开文件的文件打开操作的基本信息中的文件访问属性,去掉文件访问属性中的写权限,并将去掉写属性的文件访问属性更新到打开操作所携带的输入参数的文件属性对象地址中;/nh.执行文件操作;/n防护拦截程序将被打开文件的文件打开操作的基本信息中的文件访问属性返回给操作系统;/n所述被保护的终端计算机利用Windows操作系统文件过滤驱动技术,监控可执行文件的打开操作,执行步骤b。/n...
【技术特征摘要】
1.一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法,包含以下步骤:
a.通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护的终端计算机系统的文件打开接口;
b.防护拦截程序拦截所有文件打开操作,获取打开操作所携带的输入参数;
所述打开操作所携带的输入参数包括被打开文件的文件路径名、文件属性对象地址、当前进程ID;
c.防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息;
所述文件打开操作的基本信息包括被打开文件路径名、访问进程文件路径名、文件访问属性;
通过当前进程ID,获取访问进程所在的文件路径名;
通过文件属性对象地址,获取所包含的文件访问权限,文件访问权限包括读、写;
d.防护拦截程序判断文件访问属性,如果文件访问属性中包含写权限,继续执行步骤e;如果文件访问属性中不包含写权限,则执行步骤h;
e.防护拦截程序判断被打开文件的文件类型;
所述文件类型包括可执行文件、非可执行文件;
防护拦...
【专利技术属性】
技术研发人员:李凯,孔祥焱,吴艳,
申请(专利权)人:沈阳通用软件有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。