一種文件解鎖、粉碎的方法及裝置制造方法及圖紙

本發(fā)明專利技術(shù)提供了一種文件解鎖、粉碎的方法及裝置，其中所述方法包括：判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接口API的LockFile函數(shù)鎖定；若是，則遍歷操作系統(tǒng)的句柄表，獲得目標(biāo)文件對(duì)應(yīng)的文件句柄File?Handle，并獲取所述文件句柄File?Handle所屬的進(jìn)程；切換到所述進(jìn)程，基于所述進(jìn)程調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接口發(fā)起目標(biāo)文件的解鎖操作；在所述目標(biāo)文件的解鎖操作完成后，退出所述目標(biāo)文件的文件句柄File?Handle所屬的進(jìn)程。本發(fā)明專利技術(shù)所提供的文件解鎖、粉碎、粉碎機(jī)制不僅安全、可靠、成功率高，并且可以在復(fù)雜的客戶端環(huán)境中識(shí)別惡意程序的文件自保護(hù)行為并加以對(duì)抗，增強(qiáng)了和驅(qū)動(dòng)級(jí)惡意程序攻防的對(duì)抗能力。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及計(jì)算機(jī)安全的
，特別是涉及ー種文件解鎖、粉碎的方法和一種文件解鎖、粉碎的裝置。
技術(shù)介紹
計(jì)算機(jī)病毒是指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)一旦染上病毒，計(jì)算機(jī)通常表現(xiàn)為其文件被増加、刪出、改變名稱或?qū)傩浴⒁苿?dòng)到其它目錄下，病毒對(duì)計(jì)算機(jī)文件的這些操作，可能會(huì)導(dǎo)致正常的程序無法運(yùn)行、計(jì)算機(jī)操作系統(tǒng)崩潰、計(jì)算機(jī)被遠(yuǎn)程控制、用戶信息被盜用等一系列的問題。 為了保證計(jì)算機(jī)的安全運(yùn)行，需要對(duì)計(jì)算機(jī)中感染病毒的文件進(jìn)行病毒查殺，以防止和清除病毒的破壞。在安全軟件領(lǐng)域，針對(duì)染毒計(jì)算機(jī)文件的“刪除”與“反刪除”是安全軟件和惡意程序(計(jì)算機(jī)病毒)對(duì)抗的永恒主題之一。現(xiàn)有技術(shù)中的病毒，往往通過Windows操作系統(tǒng)應(yīng)用程序接ロ(API)的LockFile例程等手段給染毒文件加上了加密鎖，采用常規(guī)手段無法破解加密鎖即無法刪除染毒文件，這些手段阻止殺毒軟件查殺染毒文件。安全軟件查殺病毒的過程，可以理解為對(duì)染毒文件進(jìn)行解鎖和粉碎?，F(xiàn)有安全軟件，對(duì)染毒文件的解鎖和粉碎手段単一，無法破除染毒文件設(shè)置的層層保護(hù)，對(duì)抗能力不強(qiáng)。傳統(tǒng)安全軟件廠商只解決了部分“反刪除”問題，在操作系統(tǒng)內(nèi)核態(tài)的攻防上往往體現(xiàn)出一定的能力缺失，驅(qū)動(dòng)級(jí)惡意程序(Rootkit)對(duì)抗能力偏尋層。因此，目前需要本領(lǐng)域技術(shù)人員迫切解決的ー個(gè)技術(shù)問題就是提出一種文件解鎖、粉碎的處理機(jī)制，用以在復(fù)雜的客戶端環(huán)境中識(shí)別惡意程序的文件自保護(hù)行為并加以対抗，增強(qiáng)和驅(qū)動(dòng)級(jí)惡意程序攻防的對(duì)抗能力。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)所要解決的技術(shù)問題是提供ー種文件解鎖、粉碎的方法，以增強(qiáng)和驅(qū)動(dòng)級(jí)惡意程序攻防的對(duì)抗能力。本專利技術(shù)還提供了ー種文件解鎖、粉碎的裝置，用以保證上述方法在實(shí)際中的應(yīng)用及實(shí)現(xiàn)。為了解決上述問題，本專利技術(shù)實(shí)施例公開了ー種文件解鎖、粉碎的方法，包括判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定；若是，則遍歷操作系統(tǒng)的句柄表，獲得目標(biāo)文件對(duì)應(yīng)的文件句柄File Handle，并獲取所述文件句柄File Handle所屬的進(jìn)程；切換到所述進(jìn)程，基于所述進(jìn)程調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接ロ發(fā)起目標(biāo)文件的解鎖操作；在所述目標(biāo)文件的解鎖操作完成后，退出所述目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程。優(yōu)選的，所述判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定的步驟包括對(duì)目標(biāo)文件執(zhí)行加鎖Lock操作；若目標(biāo)文件加鎖Lock成功，則判定目標(biāo)文件未被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定；若目標(biāo)文件加鎖Lock失敗，則判定目標(biāo)文件被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定。優(yōu)選的，所述目標(biāo)文件具有對(duì)應(yīng)的全路徑；所述句柄表位于操作系統(tǒng)內(nèi)核，其中維 護(hù)有所有進(jìn)程打開的句柄信息，所述句柄信息中包括文件句柄File Handle的信息，所述文件句柄File Handle的信息中包括各文件句柄File Handle對(duì)應(yīng)的文件的全路徑,所述遍歷操作系統(tǒng)的句柄表，獲得目標(biāo)文件對(duì)應(yīng)的文件句柄File Handle的步驟包括將目標(biāo)文件的全路徑與各文件句柄File Handle對(duì)應(yīng)的文件的全路徑進(jìn)行對(duì)比，若找到一致的文件全路徑，則提取該文件全路徑對(duì)應(yīng)的文件句柄File Handle為所述目標(biāo)文件對(duì)應(yīng)的文件句柄File Handle。優(yōu)選的，所述的方法，還包括判斷所述文件句柄File Handle所屬的進(jìn)程是否能切換，若在能切換時(shí)執(zhí)行所述切換至進(jìn)程的步驟。優(yōu)選的，所述切換到所述進(jìn)程的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API的堆棧連接進(jìn)程例程KeStackAttachProcess執(zhí)行的；所述退出目標(biāo)文件的文件句柄FileHandle所屬的進(jìn)程的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API的出棧分離進(jìn)程例程KeUnstackDetachProcess 執(zhí)行的。優(yōu)選的，所述遍歷操作系統(tǒng)的句柄表的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API的系統(tǒng)信息查詢例程ZwQuerySystemInformation中的句柄信息系統(tǒng)SystemHandleInformation 的功能執(zhí)行的。優(yōu)選的，所述調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接ロ發(fā)起文件解鎖、粉碎操作的步驟包括獲取針對(duì)目標(biāo)文件的解鎖操作請(qǐng)求，所述請(qǐng)求中包括調(diào)用者輸入?yún)?shù)，所述輸入?yún)?shù)中包括所述目標(biāo)文件的路徑；校驗(yàn)所述調(diào)用者輸入?yún)?shù)，若校驗(yàn)通過，則依據(jù)所述目標(biāo)文件的路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程；若查找到對(duì)應(yīng)的文件對(duì)象解析例程，則依據(jù)所述文件對(duì)象解析例程生成1/0請(qǐng)求包，并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址；其中，所述I/o請(qǐng)求包中包括從所述請(qǐng)求中提取的目標(biāo)文件解鎖、粉碎操作的信息；由所述文件系統(tǒng)下層設(shè)備依據(jù)所述信息對(duì)所述目標(biāo)文件執(zhí)行解鎖操作。優(yōu)選的，所述依據(jù)文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程的步驟具體包括以下子步驟；子步驟SI、判斷文件路徑是否已經(jīng)拆解完畢，若否，則執(zhí)行子步驟S2 ;若是，則執(zhí)行子步驟S4 ；子步驟S2、按照路徑分隔符拆解出文件路徑中下一個(gè)待拆解的路徑段；子步驟S3、采用當(dāng)前拆解出的路徑段在對(duì)象管理器中捜索，判斷是否存在對(duì)應(yīng)的文件對(duì)象例程；若是，則返回子步驟SI ;若否，則執(zhí)行子步驟S5 ；子步驟S4、獲得所述文件路徑對(duì)應(yīng)的文件對(duì)象解析例程。子步驟S5、返回未找到對(duì)應(yīng)文件對(duì)象解析例程的信息。優(yōu)選的，所述的方法，還包括刪除經(jīng)解鎖的目標(biāo)文件。 本專利技術(shù)實(shí)施例還公開了ー種文件解鎖、粉碎的裝置，包括文件鎖定判斷模塊，用于判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定；若是，則調(diào)用句柄表遍歷模塊；句柄表遍歷模塊，用于遍歷操作系統(tǒng)的句柄表，獲得目標(biāo)文件對(duì)應(yīng)的文件句柄File Handle ；進(jìn)程獲取模塊，用于獲取所述文件句柄File Handle所屬的進(jìn)程；進(jìn)程切換模塊，用于切換到所述進(jìn)程；解鎖操作發(fā)起模塊，用于基于所述進(jìn)程調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接ロ發(fā)起目標(biāo)文件的解鎖操作；進(jìn)程回退模塊，用于在所述目標(biāo)文件的解鎖操作完成后，退出所述目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程。優(yōu)選的，所述目標(biāo)文件具有對(duì)應(yīng)的全路徑；所述句柄表位于操作系統(tǒng)內(nèi)核，其中維護(hù)有所有進(jìn)程打開的句柄信息，所述句柄信息中包括文件句柄File Handle的信息，所述文件句柄File Handle的信息中包括各文件句柄File Handle對(duì)應(yīng)的文件的全路徑，所述目標(biāo)文件對(duì)應(yīng)的文件句柄File Handle通過所述全路徑對(duì)比獲得。優(yōu)選的，所述的裝置，還包括切換判斷模塊，用于判斷所述文件句柄File Handle所屬的進(jìn)程是否能切換，以及，在能切換時(shí)調(diào)用進(jìn)程切換模塊。優(yōu)選的，所述解鎖操作發(fā)起模塊包括請(qǐng)求獲取子模塊，用于獲取針對(duì)目標(biāo)文件的解鎖操作請(qǐng)求，所述請(qǐng)求中包括調(diào)用者輸入?yún)?shù)，所述輸入?yún)?shù)中包括所述目標(biāo)文件的路徑；參數(shù)檢驗(yàn)子模塊，用于校驗(yàn)所述調(diào)用者輸入?yún)?shù)；解析例程查找子模塊，用于在所述調(diào)用者輸入?yún)?shù)校驗(yàn)通過時(shí)，依據(jù)所述目標(biāo)文件的路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程；IRP包發(fā)送子模塊，用于在查找到對(duì)應(yīng)的本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種文件解鎖、粉碎的方法，其特征在于，包括：判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接口API的LockFile函數(shù)鎖定；若是，則遍歷操作系統(tǒng)的句柄表，獲得目標(biāo)文件對(duì)應(yīng)的文件句柄File？Handle，并獲取所述文件句柄File？Handle所屬的進(jìn)程；切換到所述進(jìn)程，基于所述進(jìn)程調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接口發(fā)起目標(biāo)文件的解鎖操作；在所述目標(biāo)文件的解鎖操作完成后，退出所述目標(biāo)文件的文件句柄File？Handle所屬的進(jìn)程。

【技術(shù)特征摘要】

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：潘劍鋒，王宇，
申請(qǐng)(專利權(quán))人：奇智軟件北京有限公司，
類型：發(fā)明
國(guó)別省市：