技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別涉及一種文件隔離方法、裝置和系統(tǒng)。

背景技術(shù)

文件隔離技術(shù)廣泛用于沙箱，位于沙箱內(nèi)的應(yīng)用程序?qū)ο到y(tǒng)所做的修改操作會(huì)被隔離掉，不會(huì)對真實(shí)系統(tǒng)產(chǎn)生任何影響。如：沙箱內(nèi)應(yīng)用程序的進(jìn)程在C:/Windows目錄下創(chuàng)建了文件Virus.exe，沙箱內(nèi)進(jìn)程能看到，但是系統(tǒng)的C:/Windows目錄下并不存在該文件。這就是文件隔離技術(shù)。

目前的文件隔離技術(shù)一般基于文件過濾驅(qū)動(dòng)程序?qū)崿F(xiàn)，文件過濾驅(qū)動(dòng)監(jiān)控文件的創(chuàng)建、讀寫以及更改，并結(jié)合重定位來實(shí)現(xiàn)文件隔離。其中主要有以下兩種處理方法：部分重定位和完全重定位。

使用部分重定位技術(shù)需要監(jiān)控文件的打開，讀寫，大小更改，重命名等諸多操作，而且需要為每個(gè)更改過的文件都維護(hù)一份更改記錄，因此部分重定位過于復(fù)雜繁瑣。

完全重定位技術(shù)，則是簡單的重定位文件夾，如某運(yùn)行在沙箱內(nèi)的木馬進(jìn)程在C:/Windows目錄下釋放病毒文件virus.exe，完全重定位將文件夾C:/Windows重定位到另一個(gè)文件下如C:/SandBox/Windows下，這樣文件將不會(huì)生成在windows目錄，實(shí)現(xiàn)了一定程度的文件隔離，這種方法使得沙箱內(nèi)進(jìn)程釋放的惡意文件仍然存在，雖然不存在于C:/Windows/下，但卻存在于C:/SandBox/Windows，因此安全性較差。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種文件隔離方法、裝置和系統(tǒng)，用于提高設(shè)備的安全性。

一種文件隔離方法，包括：

通過輸入/輸出對象管理器接收來自第一進(jìn)程對文件系統(tǒng)下的卷設(shè)備的更改操作請求；

確定所述第一進(jìn)程是否為沙箱內(nèi)的進(jìn)程，若是，則將所述更改操作請求重定向到與所述更改操作請求指向的卷設(shè)備對應(yīng)的虛擬卷設(shè)備，并將所述重定向后的更改操作請求發(fā)送給所述輸入/輸出對象管理器。

一種文件隔離方法，包括：

接收第一進(jìn)程發(fā)出的對文件系統(tǒng)下的卷設(shè)備的更改操作請求；

將所述更改操作請求發(fā)送給注冊文件過濾驅(qū)動(dòng)，并接收所述注冊文件過濾驅(qū)動(dòng)在確定所第一進(jìn)程為沙箱內(nèi)進(jìn)程后，返回的重定向后的更改操作請求；

將所述重定向后的更改操作請求，發(fā)送給所述重定向后的更改操作請求指向的虛擬卷設(shè)備所在的虛擬文件系統(tǒng)。

一種文件隔離裝置，包括：

請求接收單元，用于通過輸入/輸出對象管理器接收來自第一進(jìn)程對文件系統(tǒng)下的卷設(shè)備的更改操作請求；

進(jìn)程確定單元，用于確定所述第一進(jìn)程是否為沙箱內(nèi)的進(jìn)程；

重定向單元，用于若所述進(jìn)程確定單元確定結(jié)果為是，則將所述更改操作請求重定向到與所述更改操作請求指向的卷設(shè)備對應(yīng)的虛擬卷設(shè)備；

請求發(fā)送單元，用于將所述重定向單元重定向后的更改操作請求發(fā)送給所述輸入/輸出對象管理器。

一種文件隔離裝置，包括：

第一請求接收單元，用于接收第一進(jìn)程發(fā)出的對文件系統(tǒng)下的卷設(shè)備的更改操作請求；

第一請求發(fā)送單元，用于將所述請求接收單元接收的更改操作請求發(fā)送給注冊文件過濾驅(qū)動(dòng)；

第二請求接收單元，用于接收所述注冊文件過濾驅(qū)動(dòng)在確定所第一進(jìn)程為沙箱內(nèi)進(jìn)程后，返回的重定向后的更改操作請求；

第二請求發(fā)送單元，用于將所述第二請求接收單元接收的重定向后的更改操作請求，發(fā)送給所述重定向后的更改操作請求指向的虛擬卷設(shè)備所在的虛擬文件系統(tǒng)。

一種文件隔離系統(tǒng)，包括：

輸入/輸出對象管理器，用于接收第一進(jìn)程發(fā)出的對文件系統(tǒng)下的卷設(shè)備的更改操作請求；將所述更改操作請求發(fā)送給注冊文件過濾驅(qū)動(dòng)，并接收所述注冊文件過濾驅(qū)動(dòng)在確定所第一進(jìn)程為沙箱內(nèi)進(jìn)程后，返回的重定向后的更改操作請求；將所述重定向后的更改操作請求，發(fā)送給所述重定向后的更改操作請求指向的虛擬卷設(shè)備所在的虛擬文件系統(tǒng)；

注冊文件過濾驅(qū)動(dòng)，用于通過輸入/輸出對象管理器接收來自第一進(jìn)程對文件系統(tǒng)下的卷設(shè)備的更改操作請求；確定所述第一進(jìn)程是否為沙箱內(nèi)的進(jìn)程，若是，則將所述更改操作請求重定向到與所述更改操作請求指向的卷設(shè)備對應(yīng)的虛擬卷設(shè)備，并將所述重定向后的更改操作請求發(fā)送給所述輸入/輸出對象管理器；

虛擬文件系統(tǒng)，用于將接收到的重定向后的更改操作請求，發(fā)送給所述重定向后的更改操作請求對應(yīng)的虛擬卷設(shè)備。