本发明专利技术提供一种基于工作目录的恶意程序防御方法及装置,其中,该方法包括:工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。本发明专利技术能够缩小恶意程序的攻击范围,从而减少受攻击威胁的文件数量,使得在最坏的情况下,恶意程序可能造成的损失也是有限的。
【技术实现步骤摘要】
本专利技术涉及计算机,特别涉及一种基于工作目录的恶意程序防御方法及装置。
技术介绍
目前,随着计算机应用的普及,恶意程序层出不穷,给用户带来巨大的安全隐患。恶意程序的一个重要攻击形式是文件攻击,即窃取、修改或删除文件。当前,防御恶意程序文件攻击的主要方法是安装杀毒软件、防火墙软件等。然而,这类方法存在一个重要缺陷如果一个恶意程序未被成功识别,则该恶意程序通常能够攻击用户的所有文件;如果该恶意程序获得了系统管理员权限,则攻击范围是整个文件系统。 既然恶意程序在一定程度上无法避免,为了增强系统的安全性,就需要有一种技术手段来缩小恶意程序的攻击范围,减少受攻击威胁的文件数量。
技术实现思路
为了解决上述问题,本专利技术提供一种基于工作目录的恶意程序防御方法及装置,能够缩小恶意程序的攻击范围,从而减少受攻击威胁的文件数量,使得在最坏的情况下,恶意程序可能造成的损失也是有限的。本专利技术的基于工作目录的恶意程序防御方法,具体地,包括下列步骤A、将需要保护的所有文件存储在一个或多个逻辑磁盘上,并将这些逻辑磁盘设置为保护区;如果一个逻辑磁盘上不再保存需要保护的文件,可以从保护区中取消该磁盘。例如,计算机系统有三个逻辑磁盘C:、D:、E:,并且E:盘存放受保护的文件,则将E:盘设置为保护区。B、用户操作计算机时,如果需要处理某文件(目录),则将该文件(目录)所在目录设置为工作目录。根据需要,用户可以设置一个或多个工作目录。C、用户操作计算机时,如果某工作目录下没有文件(目录)需要处理了,则取消该工作目录。D、监控针对保护区的所有文件(目录)访问请求,对于任意程序P的文件(目录)访问请求I)如果P请求读目录信息、文件属性信息(不包括文件内容),则允许执行。2)如果P请求读写工作目录下的文件内容,则允许执行。3 )如果P请求在工作目录下创建(删除、重命名)文件(目录),则允许执行。4)其他情况(访问非工作目录下的受保护文件的访问请求等),则拒绝之,并提示用户某个程序P试图非法访问文件或目录。上述步骤A中,受保护文件应分目录存储,一般不直接存储在根目录下。若将某文件f直接存储在根目录下,根据步骤B,处理f时就需要将磁盘分区设置为工作目录。举例说明文件f的路径是“D: \f ”,如果要处理f,就需要将“D: ”设置为工作目录。上述步骤B中,工作目录原则上应该是待处理文件(目录)的直接上级目录。举例说明文件f的路径是“D: \dirl\dir2\dir3\f ”,那么,dir3是f的直接上级目录,dirl、dir2则是更高层的上级目录。上述步骤B中,待处理文件(目录)可以是已有或新创建的。举例说明需要在目录“D: \dirl\dir2\”下创建一个新文件f,那么,dir2应设置为工作目录。上述步骤C中,所述“某工作目录下没有文件(目录)需要处理了”是指用户认为在短时间内(例如半个小时),不再需要处理某工作目录下的文件(目录)。如果再次需要处理某目录下的文件(目录),则根据步骤B,将该目录设置为工作目录即可。本专利技术的基于工作目录的恶意程序防御装置,包括工作目录管理单元和文件访问监控单元,其中,工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。其中,工作目录管理单元和文件访问监控单元,其中,工作目录管理单元,用于创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元,用于接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。其中,工作目录管理单元与文件访问监控单元之间交换的数据是加密的。其中,所述文件管理功能,包括文件或目录的复制、粘贴、重命名、删除。其中,工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能,具体包括设置、取消保护区,并将保护区更新信息发送给文件访问监控模块; 设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;将这些文件管理操作信息发送给文件访问监控模块;接收来自文件访问监控单元的报警信息,并显示给用户;加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。本专利技术的有益效果是依照本专利技术的基于工作目录的恶意程序防御方法及装置,如果当前运行程序中有恶意程序,那么它只能够攻击工作目录下的受保护文件,相对于全体受保护文件,工作目录下的文件通常是一个很小的集合,从而大大缩小了恶意程序的攻击范围;另外,对非工作目录下的受保护文件的访问请求,均会被拒绝。因此,本专利技术方法对已知和未知的恶意程序均有防御作用。附图说明图I为本专利技术的基于工作目录的恶意程序防御方法的原理图。具体实施例方式以下,参考附图详细描述本专利技术的基于工作目录的恶意程序防御方法及装置。下面以在Microsoft Windows XP以及Windows 7操作系统上的一种具体实施方式为例来描述本专利技术。图I是本专利技术的基于工作目录的恶意程序防御方法的原理图。工作目录管理单元负责创建、取消保护区和工作目录,以及实现通常的文件管理功能。文件访问监控模块负责接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。工作目录管理单元、文件访问监控单元之间交换的数据是加密的。参见图1,工作目录管理单元是一个窗口应用程序,其功能是A、设置、取消保护区,并将保护区更新信息发送给文件访问监控模块;B、设置、取消工作目录,并将工作目录更新信息发送给文件访问监控模块;C、文件管理功能,包括文件(目录)的复制、粘贴、重命名、删除等通常的文件(目录)管理操作。并将这些文件管理操作信息发送给文件访问监控模块;D、接收来自文件访问监控单元的报警信息,并显示给用户;E、加密待发送给文件访问监控单元的信息,解密来自文件访问监控单元的信息。 参见图I,文件访问监控模块是一个文件驱动过滤程序,其功能是A、接收来自工作目录管理程序关于保护区、工作目录的设置和取消信息,并保存。B、监控所有的文件(目录)访问请求,如果访问请求针对非保护区内的文件(目录),则允许执行;如果访问请求针对保护区内的文件(目录),按以下规则处理I)如果访问请求是读目录信息、文件属性信息(不包括文件内容),则允许执行。否则,转2)。2)如果访问请求是工作目录管理程序发出的,则允许执行。否则,转3)。3)如果访问请求针对工作目录,即读写工作目录下的文件内容,或者在工作目录下创建(删除、重命名)文件、目录,则允许执行。否则,转4)。4)其他情况,则拒绝执行访问请求,并向工作目录管理程序发送报警信息。工作目录管理程序接收到报警信息后,将详细的信息(如发出攻击的进程的名称、试图攻击的文件或目录名称和路径)报告给用户。C、加密待发送给工作目录管理程序的信息,解密来自工作目录管理程序的信息。综上所述,依照本专利技术的基于工作目录的恶意程序防御方法及装置,具体如下优占-^ \\\ I)本专利技术方法中,如果当前运行程序中有恶意程序,那么它只能够攻击工作目录下的受保护文件。相对于全体受保护文件,工作目录下的文件通常是一个很小的集合,从而大大缩小了恶意程序的攻击范围。2)本专利技术方法中,对非工作目录下的受保护文件的访问请求,均会被拒绝。因此,本本文档来自技高网...
【技术保护点】
一种基于工作目录的恶意程序防御方法,其特征在于,包括:工作目录管理单元创建、取消保护区和工作目录,以及实现文件管理功能;文件访问监控单元接收和处理来自工作目录管理单元的信息,监控所有的文件访问请求,拒绝非法访问请求。
【技术特征摘要】
【专利技术属性】
技术研发人员:张文政,何鸿君,董新锋,罗莉,赵伟,段志鹏,汪洋,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。