一種文件解鎖的方法及裝置制造方法及圖紙

本發明專利技術提供了一種文件解鎖的方法及裝置，其中所述方法包括：調用操作系統應用程序接口API打開目標文件；若所述目標文件無法打開，則判斷其返回值是否滿足預設類型；若是，則調用自定義的用于文件打開的應用程序接口對所述目標文件進行操作，具體包括：獲取文件操作請求，所述請求中包括調用者輸入參數，所述輸入參數中包括文件路徑；依據所述文件路徑在對象管理器中查找對應的文件對象解析例程；若查找到對應的文件對象解析例程，則依據所述文件對象解析例程生成I/O請求包，并發送至預置的文件系統下層設備的原始地址。本發明專利技術可以在復雜的客戶端環境中識別惡意程序的文件自保護行為并加以對抗，以增強和驅動級惡意程序攻防的對抗能力。

【技術實現步驟摘要】

本專利技術涉及計算機安全的
，特別是涉及ー種文件解鎖的方法和一種文件解鎖的裝置。
技術介紹
計算機病毒是指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機一旦染上病毒，計算機通常表現為其文件被増加、刪出、改變名稱或屬性、移動到其它目錄下，病毒對計算機文件的這些操作，可能會導致正常的程序無法運行、計算機操作系統崩潰、計算機被遠程控制、用戶信息被盜用等一系列的問題。為了保證計算機的安全運行，需要對計算機中感染病毒的文件進行病毒查殺，以防止和清除病毒的破壞。在安全軟件領域，針對染毒計算機文件的“刪除”與“反刪除”是 安全軟件和惡意程序(計算機病毒)對抗的永恒主題之一?，F有技術中的病毒，往往通過文件權限、所有者限制以及文件共享屬性獨占等手段給染毒文件加上了加密鎖，采用常規手段無法破解加密鎖即無法刪除染毒文件，這些手段阻止殺毒軟件查殺染毒文件。安全軟件查殺病毒的過程，可以理解為對染毒文件進行解鎖和粉碎。現有安全軟件，對染毒文件的解鎖和粉碎手段単一，無法破除染毒文件設置的層層保護，對抗能力不強。傳統安全軟件廠商只解決了部分“反刪除”問題，在操作系統內核態的攻防上往往體現出一定的能力缺失，驅動級惡意程序(Rootkit)對抗能力偏弱。因此，目前需要本領域技術人員迫切解決的ー個技術問題就是提出一種文件解鎖的處理機制，不僅提供操作系統用戶態的攻防，還進ー步提供操作系統內核態的攻防，在復雜的客戶端環境中識別惡意程序的文件自保護行為并加以對抗，以增強和驅動級惡意程序攻防的對抗能力。
技術實現思路
本專利技術所要解決的技術問題是提供一種文件解鎖的方法，以增強和驅動級惡意程序攻防的對抗能力。本專利技術還提供了一種文件解鎖的裝置，用以保證上述方法在實際中的應用及實現。為了解決上述問題，本專利技術實施例公開了ー種文件解鎖的方法，包括調用操作系統應用程序接ロ API打開目標文件；若所述目標文件無法打開，則判斷其返回值是否滿足預設類型；若是，則調用自定義的用于文件打開的應用程序接ロ對所述目標文件進行操作，具體包括獲取文件操作請求，所述請求中包括調用者輸入參數，所述輸入參數中包括文件路徑；依據所述文件路徑在對象管理器中查找對應的文件對象解析例程；若查找到對應的文件對象解析例程，則依據所述文件對象解析例程生成I/O請求包，并發送至預置的文件系統下層設備的原始地址。優選的，所述I/O請求包中包括從文件操作請求中提取的文件操作信息，在發送I/o請求包至預置的文件系統下層設備的原始地址之后，所述調用自定義的用于文件打開的應用程序接ロ對所述目標文件進行操作的步驟還包括由所述文件系統下層設備依據所述文件操作信息執行對應的文件操作。優選的，所述文件操作請求包括目標文件打開請求，所述文件操作信息包括目標文件打開操作，所述文件系統下層設備依據所述文件操作信息執行打開所述目標文件的操作。 優選的，所述文件操作請求還包括目標文件刪除請求，所述文件操作信息還包括目標文件刪除操作，所述文件系統下層設備依據所述文件操作信息在打開所述目標文件后，執行所述目標文件的刪除操作。優選的，所述預設類型包括文件共享屬性獨占類型。優選的，所述預設類型還包括文件權限、所有者限制的類型。優選的，所述依據文件路徑在對象管理器中查找對應的文件對象解析例程的步驟具體包括以下子步驟；子步驟SI、判斷文件路徑是否已經拆解完畢，若否，則執行子步驟S2 ;若是，則執行子步驟S4 ；子步驟S2、按照路徑分隔符拆解出文件路徑中下一個待拆解的路徑段；子步驟S3、采用當前拆解出的路徑段在對象管理器中捜索，判斷是否存在對應的文件對象例程；若是，則返回子步驟S I ;若否，則執行子步驟S5 ；子步驟S4、獲得所述文件路徑對應的文件對象解析例程。子步驟S5、返回未找到對應文件對象解析例程的信息。本專利技術實施例還公開了一種文件解鎖的裝置，包括API調用模塊，用于調用操作系統應用程序接ロ API打開目標文件；返回碼判斷模塊，用于在所述目標文件無法打開時，判斷其返回值是否滿足預設類型；若是，則調用文件穿透操作模塊；文件穿透操作模塊，用于調用自定義的用于文件打開的應用程序接ロ對所述目標文件進行操作，具體包括內核態請求獲取子模塊，用于獲取文件操作請求，所述請求中包括調用者輸入參數，所述輸入參數中包括文件路徑；內核態對象解析子模塊，用于依據所述文件路徑在對象管理器中查找對應的文件對象解析例程；若查找到對應的文件對象解析例程，則調用內核態IRP生成發送子模塊；內核態IRP生成發送子模塊，用于依據所述文件對象解析例程生成I/O請求包，并發送至預置的文件系統下層設備的原始地址。優選的，所述I/O請求包中包括從文件操作請求中提取的文件操作信息，所述文件系統下層設備用于依據所述文件操作信息執行對應的文件操作。優選的,所述文件操作請求包括目標文件打開請求，所述文件操作信息包括目標文件打開操作，所述文件系統下層設備依據所述文件操作信息執行打開所述目標文件的操作。優選的，所述文件操作請求還包括目標文件刪除請求，所述文件操作信息還包括目標文件刪除操作，所述文件系統下層設備依據所述文件操作信息在打開所述目標文件后，執行所述目標文件的刪除操作。優選的，所述預設類型包括文件共享屬性獨占類型。優選的，所述預設類型還包括文件權限、所有者限制的類型。優選的，所述內核態對象解析子模塊具體包括以下單元；文件路徑拆解単元，用于按照路徑分隔符逐級拆解出文件路徑中的路徑段； 對象管理器搜索單元，用于采用當前拆解出的路徑段在對象管理器中捜索，查找對應的文件對象例程。與現有技術相比，本專利技術具有以下優點本專利技術通過在操作系統用戶態接ロ完整實現ー套文件操作調用庫，當調用操作系統應用程序接ロ API無法打開目標文件時，在其返回值為文件共享屬性獨占，或者，文件權限、所有者限制的情況下，調用本專利技術實現的自定義應用程序接ロ BAPI對所述目標文件進行文件解鎖和粉碎的操作。本專利技術不僅提供了操作系統用戶態的攻防，還進一歩提供了操作系統內核態的攻防，在復雜的客戶端環境中識別惡意程序的文件自保護行為并加以對抗，增強了和驅動級惡意程序攻防的對抗能力。本專利技術中調用者進程發起文件操作請求，調用對應的自定義文件操作接ロ例程，操作系統內核態驅動獲取并校驗所述來自用戶態的請求，構建查詢數據結構循環解析傳入的文件路徑，最終查找到對象管理器中維護的對象類型，這ー過程有效對抗了內核態的劫持內險。此后，操作系統內核態驅動構建并填充IRP請求數據包，發送至預先確定的文件系統下層設備的原始地址處，此時文件系統調用棧上的第三方過濾驅動，包括其他安全軟件和驅動級惡意程序可以被穿透，從而既可以有效避免因文件操作干擾而導致和其他安全軟件間產生不兼容的潛在可能性；又可以增強和驅動級惡意程序攻防時的對抗能力。本專利技術實施例中所采用的文件路徑解析方法還能動態解析目標文件路徑，例如，對于動態映射的網絡磁盤驅動器，通過搜索對象管理器就能動態獲得DOS-Style文件路徑格式、盤符和文件系統下層設備對象之間的對應處理關系，因而本專利技術實施例還有適用范圍廣，適用場景多的優點。附圖說明圖I是本專利技術的一種文件解鎖的方法實施例的步驟流程圖；圖2是本專利技術的一種優選實施例本文檔來自技高網...

【技術保護點】
一種文件解鎖的方法，其特征在于，包括：調用操作系統應用程序接口API打開目標文件；若所述目標文件無法打開，則判斷其返回值是否滿足預設類型；若是，則調用自定義的用于文件打開的應用程序接口對所述目標文件進行操作，具體包括：獲取文件操作請求，所述請求中包括調用者輸入參數，所述輸入參數中包括文件路徑；依據所述文件路徑在對象管理器中查找對應的文件對象解析例程；若查找到對應的文件對象解析例程，則依據所述文件對象解析例程生成I/O請求包，并發送至預置的文件系統下層設備的原始地址。

【技術特征摘要】

【專利技術屬性】
技術研發人員：王宇，周鴻祎，
申請(專利權)人：奇智軟件北京有限公司，
類型：發明
國別省市：