本发明专利技术提供了一种文件解锁的方法及装置,其中所述方法包括:调用操作系统应用程序接口API打开目标文件;若所述目标文件无法打开,则判断其返回值是否满足预设类型;若是,则调用自定义的用于文件打开的应用程序接口对所述目标文件进行操作,具体包括:获取文件操作请求,所述请求中包括调用者输入参数,所述输入参数中包括文件路径;依据所述文件路径在对象管理器中查找对应的文件对象解析例程;若查找到对应的文件对象解析例程,则依据所述文件对象解析例程生成I/O请求包,并发送至预置的文件系统下层设备的原始地址。本发明专利技术可以在复杂的客户端环境中识别恶意程序的文件自保护行为并加以对抗,以增强和驱动级恶意程序攻防的对抗能力。
【技术实现步骤摘要】
本专利技术涉及计算机安全的
,特别是涉及ー种文件解锁的方法和一种文件解锁的装置。
技术介绍
计算机病毒是指“編制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机一旦染上病毒,计算机通常表现为其文件被増加、删出、改变名称或属性、移动到其它目录下,病毒对计算机文件的这些操作,可能会导致正常的程序无法运行、计算机操作系统崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。为了保证计算机的安全运行,需要对计算机中感染病毒的文件进行病毒查杀,以防止和清除病毒的破坏。在安全软件领域,针对染毒计算机文件的“删除”与“反删除”是 安全软件和恶意程序(计算机病毒)对抗的永恒主题之一。现有技术中的病毒,往往通过文件权限、所有者限制以及文件共享属性独占等手段给染毒文件加上了加密锁,采用常规手段无法破解加密锁即无法删除染毒文件,这些手段阻止杀毒软件查杀染毒文件。安全软件查杀病毒的过程,可以理解为对染毒文件进行解锁和粉碎。现有安全软件,对染毒文件的解锁和粉碎手段単一,无法破除染毒文件设置的层层保护,对抗能力不强。传统安全软件厂商只解决了部分“反删除”问题,在操作系统内核态的攻防上往往体现出一定的能力缺失,驱动级恶意程序(Rootkit)对抗能力偏弱。因此,目前需要本领域技术人员迫切解决的ー个技术问题就是提出一种文件解锁的处理机制,不仅提供操作系统用户态的攻防,还进ー步提供操作系统内核态的攻防,在复杂的客户端环境中识别恶意程序的文件自保护行为并加以对抗,以增强和驱动级恶意程序攻防的对抗能力。
技术实现思路
本专利技术所要解决的技术问题是提供一种文件解锁的方法,以增强和驱动级恶意程序攻防的对抗能力。本专利技术还提供了一种文件解锁的装置,用以保证上述方法在实际中的应用及实现。为了解决上述问题,本专利技术实施例公开了ー种文件解锁的方法,包括调用操作系统应用程序接ロ API打开目标文件;若所述目标文件无法打开,则判断其返回值是否满足预设类型;若是,则调用自定义的用于文件打开的应用程序接ロ对所述目标文件进行操作,具体包括获取文件操作请求,所述请求中包括调用者输入參数,所述输入參数中包括文件路径;依据所述文件路径在对象管理器中查找对应的文件对象解析例程;若查找到对应的文件对象解析例程,则依据所述文件对象解析例程生成I/O请求包,并发送至预置的文件系统下层设备的原始地址。优选的,所述I/O请求包中包括从文件操作请求中提取的文件操作信息,在发送I/o请求包至预置的文件系统下层设备的原始地址之后,所述调用自定义的用于文件打开的应用程序接ロ对所述目标文件进行操作的步骤还包括由所述文件系统下层设备依据所述文件操作信息执行对应的文件操作。优选的,所述文件操作请求包括目标文件打开请求,所述文件操作信息包括目标文件打开操作,所述文件系统下层设备依据所述文件操作信息执行打开所述目标文件的操作。 优选的,所述文件操作请求还包括目标文件删除请求,所述文件操作信息还包括目标文件删除操作,所述文件系统下层设备依据所述文件操作信息在打开所述目标文件后,执行所述目标文件的删除操作。优选的,所述预设类型包括文件共享属性独占类型。优选的,所述预设类型还包括文件权限、所有者限制的类型。优选的,所述依据文件路径在对象管理器中查找对应的文件对象解析例程的步骤具体包括以下子步骤;子步骤SI、判断文件路径是否已经拆解完毕,若否,则执行子步骤S2 ;若是,则执行子步骤S4 ;子步骤S2、按照路径分隔符拆解出文件路径中下一个待拆解的路径段;子步骤S3、采用当前拆解出的路径段在对象管理器中捜索,判断是否存在对应的文件对象例程;若是,则返回子步骤S I ;若否,则执行子步骤S5 ;子步骤S4、获得所述文件路径对应的文件对象解析例程。子步骤S5、返回未找到对应文件对象解析例程的信息。本专利技术实施例还公开了一种文件解锁的装置,包括API调用模块,用于调用操作系统应用程序接ロ API打开目标文件;返回码判断模块,用于在所述目标文件无法打开时,判断其返回值是否满足预设类型;若是,则调用文件穿透操作模块;文件穿透操作模块,用于调用自定义的用于文件打开的应用程序接ロ对所述目标文件进行操作,具体包括内核态请求获取子模块,用于获取文件操作请求,所述请求中包括调用者输入參数,所述输入參数中包括文件路径;内核态对象解析子模块,用于依据所述文件路径在对象管理器中查找对应的文件对象解析例程;若查找到对应的文件对象解析例程,则调用内核态IRP生成发送子模块;内核态IRP生成发送子模块,用于依据所述文件对象解析例程生成I/O请求包,并发送至预置的文件系统下层设备的原始地址。优选的,所述I/O请求包中包括从文件操作请求中提取的文件操作信息,所述文件系统下层设备用于依据所述文件操作信息执行对应的文件操作。优选的,所述文件操作请求包括目标文件打开请求,所述文件操作信息包括目标文件打开操作,所述文件系统下层设备依据所述文件操作信息执行打开所述目标文件的操作。优选的,所述文件操作请求还包括目标文件删除请求,所述文件操作信息还包括目标文件删除操作,所述文件系统下层设备依据所述文件操作信息在打开所述目标文件后,执行所述目标文件的删除操作。优选的,所述预设类型包括文件共享属性独占类型。优选的,所述预设类型还包括文件权限、所有者限制的类型。优选的,所述内核态对象解析子模块具体包括以下单元;文件路径拆解単元,用于按照路径分隔符逐级拆解出文件路径中的路径段; 对象管理器搜索单元,用于采用当前拆解出的路径段在对象管理器中捜索,查找对应的文件对象例程。与现有技术相比,本专利技术具有以下优点本专利技术通过在操作系统用户态接ロ完整实现ー套文件操作调用库,当调用操作系统应用程序接ロ API无法打开目标文件时,在其返回值为文件共享属性独占,或者,文件权限、所有者限制的情况下,调用本专利技术实现的自定义应用程序接ロ BAPI对所述目标文件进行文件解锁和粉碎的操作。本专利技术不仅提供了操作系统用户态的攻防,还进一歩提供了操作系统内核态的攻防,在复杂的客户端环境中识别恶意程序的文件自保护行为并加以对抗,增强了和驱动级恶意程序攻防的对抗能力。本专利技术中调用者进程发起文件操作请求,调用对应的自定义文件操作接ロ例程,操作系统内核态驱动获取并校验所述来自用户态的请求,构建查询数据结构循环解析传入的文件路径,最终查找到对象管理器中维护的对象类型,这ー过程有效对抗了内核态的劫持内险。此后,操作系统内核态驱动构建并填充IRP请求数据包,发送至预先确定的文件系统下层设备的原始地址处,此时文件系统调用栈上的第三方过滤驱动,包括其他安全软件和驱动级恶意程序可以被穿透,从而既可以有效避免因文件操作干扰而导致和其他安全软件间产生不兼容的潜在可能性;又可以增强和驱动级恶意程序攻防时的对抗能力。本专利技术实施例中所采用的文件路径解析方法还能动态解析目标文件路径,例如,对于动态映射的网络磁盘驱动器,通过搜索对象管理器就能动态获得DOS-Style文件路径格式、盘符和文件系统下层设备对象之间的对应处理关系,因而本专利技术实施例还有适用范围广,适用场景多的优点。附图说明图I是本专利技术的一种文件解锁的方法实施例的步骤流程图;图2是本专利技术的一种优选实施例本文档来自技高网...
【技术保护点】
一种文件解锁的方法,其特征在于,包括:调用操作系统应用程序接口API打开目标文件;若所述目标文件无法打开,则判断其返回值是否满足预设类型;若是,则调用自定义的用于文件打开的应用程序接口对所述目标文件进行操作,具体包括:获取文件操作请求,所述请求中包括调用者输入参数,所述输入参数中包括文件路径;依据所述文件路径在对象管理器中查找对应的文件对象解析例程;若查找到对应的文件对象解析例程,则依据所述文件对象解析例程生成I/O请求包,并发送至预置的文件系统下层设备的原始地址。
【技术特征摘要】
【专利技术属性】
技术研发人员:王宇,周鸿祎,
申请(专利权)人:奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。