[發明專利]一種基于訪問權限的檢測和防御勒索軟件的方法有效
| 申請號: | 202010154798.0 | 申請日: | 2020-03-08 |
| 公開(公告)號: | CN111475806B | 公開(公告)日: | 2022-08-05 |
| 發明(設計)人: | 王傳國 | 申請(專利權)人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 濟南舜源專利事務所有限公司 37205 | 代理人: | 張營磊 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 訪問 權限 檢測 防御 勒索 軟件 方法 | ||
1.一種基于訪問權限的檢測和防御勒索軟件的方法,其特征在于,包括如下步驟:
S1.在待監測系統中設置敏感文件夾,生成敏感文件夾列表,并為待監測系統設置防御腳本及白名單;
S2.配置防御腳本實時監控文件遍歷所需的系統API,對所有調用文件遍歷系統API的進程進行攔截,并設置為關注進程,在白名單中查找關注進程對應的軟件;
S3.當在白名單中沒有關注進程對應的軟件時,配置防御腳本判斷關注進程調用系統API進行遍歷的文件夾是否在敏感文件夾列表;步驟S3中,當在白名單中存在關注進程對應的軟件時,配置防御腳本允許關注進程的操作;
S4.當關注進程調用系統API進行遍歷的文件夾在敏感文件夾列表時,配置防御腳本對關注進程進行進程注入,監控關注進程的所有文件操作系統API,并將關注進程的每個文件操作系統API進行的文件操作提供給用戶確認,再根據用戶的確認結果對關注進程的動作進行相應的操作;步驟S4具體步驟如下:
S41.當關注進程調用系統API進行遍歷的文件夾在敏感文件夾列表時,配置防御腳本對關注進程進行進程注入,監控關注進程的所有文件操作系統API;
S42.配置防御腳本將關注進程的每個文件操作系統API進行的文件操作提供給用戶確認;
當用戶同意時,配置防御腳本允許關注進程的當前文件操作系統API進行的文件操作,返回步驟S42;
當用戶拒絕時,配置防御腳本阻斷關注進程的當前文件操作系統API進行的文件操作,返回步驟S42;
步驟S41中,當關注進程調用系統API進行遍歷的文件夾在敏感文件夾列表時,配置防御腳本對關注進程進行進程注入的同時,還判斷文件操作系統API操作的文件夾是否發生變化;
若是,向用戶發送勒索病毒提醒,并詢問用戶是否要將關注進程加入黑名單;
若否,繼續監控關注進程的所有文件操作系統API;
步驟S42中,配置防御腳本將關注進程的每個文件操作系統API進行的文件操作提供給用戶確認的同時,監控文件操作系統API進行的修改類文件操作;監控文件操作系統API進行的修改類文件操作具體步驟如下:
判斷文件操作系統API進行的文件操作是否為修改類操作;
若是,進入步驟S43;
若否,返回步驟S42;
S43.記錄一次修改類操作,并判斷修改類操作是否超過設定閾值;
若超過設定閾值,則向用戶發送勒索軟件提醒,并詢問用戶是否要將關注進程加入黑名單;
若未超過設定閾值,則返回步驟S42;
步驟S1中還為待監測系統設置黑名單;
步驟S2中在白名單中查找關注進程對應的軟件之前,還包括:
在黑名單中查找關注進程對應的軟件;
當黑名單中存在關注進程對應的軟件時,阻斷關注進程的所有操作,返回步驟S2;
當黑名單中不存在關注進程對應的軟件時,繼續進行白名單的查找。
2.如權利要求1所述的基于訪問權限的檢測和防御勒索軟件的方法,其特征在于,步驟S42中,當用戶同意,且將關注進程加入白名單時,配置防御腳本允許關注進程的當前文件操作系統API進行的文件操作,且更新白名單,返回步驟S3。
3.如權利要求1所述的基于訪問權限的檢測和防御勒索軟件的方法,其特征在于,步驟S42中,當用戶拒絕,且將關注進程加入黑名單時,配置防御腳本阻斷關注進程的所有操作,且更新黑名單,返回步驟S2。
4.如權利要求3所述的基于訪問權限的檢測和防御勒索軟件的方法,其特征在于,步驟S42中文件操作API進行的文件操作包括文件遍歷、文件打開、文件創建、文件寫、文件刪除以及文件移動。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司,未經蘇州浪潮智能科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010154798.0/1.html,轉載請聲明來源鉆瓜專利網。
