1.一種追溯網(wǎng)頁(yè)篡改行為源的方法，用于對(duì)待偵測(cè)的文件或目錄受到篡改時(shí)的篡改行為源進(jìn)行追溯，其特征在于，所述追溯網(wǎng)頁(yè)篡改行為源的方法具體包括下述步驟：

(1)篡改進(jìn)程偵測(cè)：在操作系統(tǒng)的文件系統(tǒng)驅(qū)動(dòng)層添加鉤子函數(shù)，在鉤子函數(shù)中能配置待偵測(cè)的文件或目錄；當(dāng)待偵測(cè)的文件或目錄有任何操作行為時(shí)，能夠觸發(fā)鉤子函數(shù)，鉤子函數(shù)能夠獲取到篡改進(jìn)程；

(2)篡改行為關(guān)聯(lián)：步驟(1)獲取到篡改進(jìn)程后，鉤子函數(shù)能夠進(jìn)一步追查到調(diào)用篡改進(jìn)程的所有進(jìn)程，形成調(diào)用篡改進(jìn)程行為的進(jìn)程列表；

(3)進(jìn)程PID對(duì)應(yīng)：鉤子函數(shù)能夠進(jìn)一步追查到步驟(1)中篡改進(jìn)程的進(jìn)程PID、步驟(2)中進(jìn)程列表的進(jìn)程PID；

(4)進(jìn)程行為分析：對(duì)步驟(3)得到的進(jìn)程PID行為進(jìn)行分析，得到進(jìn)程分析結(jié)果；

所述進(jìn)程分析結(jié)果包括但不限于：登陸用戶(hù)、登陸IP、登陸時(shí)間、行為；

(5)篡改行為源追溯：總結(jié)步驟(1)至步驟(4)，追溯到篡改行為源：篡改用戶(hù)、篡改頁(yè)面；

所述篡改用戶(hù)是指步驟(4)中的進(jìn)程分析結(jié)果；

所述篡改頁(yè)面是指步驟(1)中鉤子函數(shù)監(jiān)測(cè)到被篡改的文件。

2.根據(jù)權(quán)利要求1所述的一種追溯網(wǎng)頁(yè)篡改行為源的方法，其特征在于，所述鉤子函數(shù)能對(duì)文件操作函數(shù)及由文件操作所觸發(fā)的消息進(jìn)行HOOK；鉤子函數(shù)能實(shí)現(xiàn)：首先偵測(cè)篡改進(jìn)程，再偵測(cè)調(diào)用篡改進(jìn)程的進(jìn)程列表，然后獲取篡改進(jìn)程PID及調(diào)用篡改進(jìn)程的進(jìn)程列表的進(jìn)程PID，并對(duì)進(jìn)程PID行為進(jìn)行分析，完成對(duì)網(wǎng)頁(yè)篡改行為源的精準(zhǔn)追溯。

3.根據(jù)權(quán)利要求1所述的一種追溯網(wǎng)頁(yè)篡改行為源的方法，其特征在于，所述待偵測(cè)的文件或目錄是指網(wǎng)頁(yè)目錄。