本发明专利技术的目的在于提供一种电子设备的安全防护方法及装置,所述电子设备包括存储单元,所述安全防护方法包括:截获正在保存到所述电子设备的存储单元中的待处理文件;判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果;在所述判断结果为是时,利用安全防护引擎对所述待处理文件进行安全扫描,并在所述待处理文件通过所述安全防护引擎的扫描时,保存所述待处理文件到所述存储单元。本发明专利技术降低了安全防护带来的系统性能下降。
【技术实现步骤摘要】
本专利技术属于安全
,特别涉及一种电子设备的安全防护方法及装置。
技术介绍
随着互联网和计算机技术的普及,涌现出越来越多的影响电子设备安全的恶意因素,如各类恶意软件、病毒以及木马。目前很多影响电子设备安全的因素都是以活动的应用程序的方式体现,如木马、可执行程序传染的病毒(其寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染)以及恶意软件,而一经运行,该影响电子设备安全的因素就驻留在电脑系统的内存中,因此现有的计算机安全防护方法通过查看系统进程可发现可疑进程,并以此来推断影响电子设备安全的因素的存 在。然而专利技术人在实现本专利技术实施例的过程中发现,现有技术至少存在如下缺点恶意因素一旦运行起来后,其行为的变种极其频繁,随着技术的不断更新,恶意因素的行为特征几乎天天都在变化,因此现有技术的通过监控进程的防御方式需要不断扩充监控点来达到完整防御的目的。而监控点的增加,使得安全模块在执行安全防护功能的同时会大量占用系统有限的资源,影响系统性能。
技术实现思路
本专利技术实施例的目的在于提供一种电子设备的安全防护方法及装置,降低安全防护带来的系统性能下降。为了实现上述目的,本专利技术实施例提供了一种电子设备的安全防护方法,电子设备包括存储单元,安全防护方法包括截获正在保存到电子设备的存储单元中的待处理文件;判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果;在判断结果为是时,利用安全防护引擎对待处理文件进行安全扫描,并在待处理文件通过安全防护引擎的扫描时,保存待处理文件到存储单元。上述的安全防护方法,其中,截获正在保存到电子设备的存储单元中的待处理文件具体包括监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;在第一监控结果指示第一对象被调用时,截获第一对象的操作的待处理文件。上述的安全防护方法,其中,截获正在保存到电子设备的存储单元中的待处理文件具体包括监控保存于存储单元的文件夹的文件变化情况,获取第二监控结果;在第二监控结果指示文件夹中的文件发生变化时,根据第二监控结果截获待处理文件。上述的安全防护方法,其中,操作系统中运行有存储单元的驱动程序,截获正在保存到电子设备的存储单元中的待处理文件具体包括监控驱动程序执行的IO操作,获取第三监控结果;在第二监控结果指示驱动程序执行IO写操作时,根据第三监控结果截获IO写操作对应的待处理文件。上述的安全防护方法,其中,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括确定请求调用第一对象的应用程序;第一对象为用于保存文件到存储单元的对象; 判断应用程序是否能够从电子设备外部获取文件;在应用程序能够从电子设备外部获取文件,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。上述的安全防护方法,其中,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括获取待处理文件的第一文件特征;判断第一文件特征是否与第二文件特征相同;第二文件特征为通过网络层或外设接口进入的文件的文件特征;在第一文件特征与第二文件特征相同时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。上述的安全防护方法,其中,判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果具体包括获取待处理文件的源文件路径;判断源文件路径是否与存储单元相关;在源文件路径与存储单元不相关时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。上述的安全防护方法,其中,利用安全防护引擎对待处理文件进行安全扫描具体包括利用保存于存储单元中的本地安全防护引擎对待处理文件进行安全扫描;和/或利用保存于云服务器端的云安全防护引擎对待处理文件进行安全扫描。为了实现上述目的,本专利技术实施例提供了一种电子设备的安全防护装置,电子设备包括存储单元,安全防护装置包括截获模块,用于截获正在保存到电子设备的存储单元中的待处理文件;判断模块,用于判断待处理文件是否是通过电子设备的入口点进入的文件,获取判断结果;扫描处理模块,用于在判断结果为是时,利用安全防护引擎对待处理文件进行安全扫描,并在待处理文件通过安全防护引擎的扫描时,保存待处理文件到存储单元。上述的安全防护装置,其中,截获模块具体包括第一监控单元,用于监控操作系统中用于保存文件到存储单元的第一对象的调用情况,获取第一监控结果;第一截获单元,用于在第一监控结果指示第一对象被调用时,截获第一对象的操作的待处理文件。上述的安全防护装置,其中,截获模块具体包括第二监控单元,用于监控保存于存储单元的文件夹的文件变化情况,获取第二监控结果;第二截获单元,用于在第二监控结果指示文件夹中的文件发生变化时,根据第二监控结果截获待处理文件。 上述的安全防护装置,其中,截获模块具体包括第三监控单元,用于监控驱动程序执行的IO操作,获取第三监控结果;第三截获单元,用于在第二监控结果指示驱动程序执行IO写操作时,根据第三监控结果截获IO写操作对应的待处理文件。上述的安全防护装置,其中,判断模块具体包括确定单元,用于确定请求调用第一对象的应用程序;第一对象为用于保存文件到存储单元的对象;应用程序判断单元,用于判断应用程序是否能够从电子设备外部获取文件;第一判断结果获取单元,用于在应用程序能够从电子设备外部获取文件,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。上述的安全防护装置,其中,判断模块具体包括文件特征获取单元,用于获取待处理文件的第一文件特征;文件特征判断单元,用于判断第一文件特征是否与第二文件特征相同;第二文件特征为通过网络层或外设接口进入的文件的文件特征;第二判断结果获取单元,用于在第一文件特征与第二文件特征相同时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。上述的安全防护装置,其中,判断模块具体包括文件路径获取单元,用于获取待处理文件的源文件路径;文件路径判断单元,用于判断源文件路径是否与存储单元相关;第二判断结果获取单元,用于在源文件路径与存储单元不相关时,获取指示待处理文件是通过入口点进入的文件的判断结果,否则获取指示待处理文件不是通过入口点进入的文件的判断结果。上述的安全防护装置,其中,安全防护引擎为保存于存储单元中的本地安全防护引擎和/或保存于云服务器端的云安全防护引擎。本专利技术实施例具有以下有益效果在本专利技术的具体实施例中,截获通过入口点进入电子设备的文件,并进行扫描,由于系统入口点进入文件的机会是很少的,在通过上述方式隔离恶意因素的进入后,就不用时时监控系统中的各类程序的运行,而只有当外部有文件进入到系统时才会触发安全防护方法,能够大大降低安全防护带来的系统性能下降。同时,不管病毒、木马、恶意程序等恶意因素如何变化更新,从进入系统的方式而言,其都是以文件形式存在,而其进入的方式基本不会发生变化,不外乎通过USB接口、网卡等方式进入,因此,本专利技术本文档来自技高网...
【技术保护点】
一种电子设备的安全防护方法,其特征在于,所述电子设备包括存储单元,所述安全防护方法包括:截获正在保存到所述电子设备的存储单元中的待处理文件;判断所述待处理文件是否是通过所述电子设备的入口点进入的文件,获取判断结果;在所述判断结果为是时,利用安全防护引擎对所述待处理文件进行安全扫描,并在所述待处理文件通过所述安全防护引擎的扫描时,保存所述待处理文件到所述存储单元。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈勇,刘桂峰,陈章群,孙明焱,程虎,王昆,
申请(专利权)人:北京金山安全软件有限公司,珠海市君天电子科技有限公司,可牛网络技术北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。