[發明專利]針對windows全系統的文件保護方法及系統在審
| 申請號: | 202111462685.8 | 申請日: | 2021-12-02 |
| 公開(公告)號: | CN114116606A | 公開(公告)日: | 2022-03-01 |
| 發明(設計)人: | 郭昌盛;邱斌;王磊;姜昱西;劉祥宇;田鵬飛;黃河;汪文曉 | 申請(專利權)人: | 北京江民新科技術有限公司 |
| 主分類號: | G06F16/11 | 分類號: | G06F16/11;G06F16/16;G06F21/62 |
| 代理公司: | 北京方韜法業專利代理事務所(普通合伙) 11303 | 代理人: | 黨小林 |
| 地址: | 100000 北京市海淀區藍靛*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 針對 windows 全系統 文件 保護 方法 系統 | ||
1.一種針對windows全系統的文件保護方法,其特征在于,包括:
采用Minifilter文件過濾驅動框架對系統內的文件訪問操作進行監控;
當監控到進程嘗試打開文件時,獲取到當前文件的哈希值,以及當前進程的哈希值;
查詢當前文件的哈希值是否存在于策略要保護的列表中;
如果不存在,允許本次打開操作;
如果存在,查詢當前進程的哈希值是否存在于可信進程列表中;
如果存在于可信哈希列表中,允許本次打開操作;
如果不存在于可信哈希列表中,通過重定向的方式觸發保護動作。
2.根據權利要求1所述的針對windows全系統的文件保護方法,其特征在于,通過重定向的方式觸發保護動作,包括:
將對文件的訪問重定向至傀儡文件。
3.根據權利要求2所述的針對windows全系統的文件保護方法,其特征在于,將對文件的訪問重定向至傀儡文件,包括:
保護時先將Data數據結構中當前文件名的緩沖區釋放掉,然后申請一塊新的緩沖區,此緩沖區存入事先設置的傀儡文件的全路徑,用新的緩沖區更新Data中文件名的緩沖區變量,最后更新文件名的長度和實際緩沖區大小。
4.根據權利要求2所述的針對windows全系統的文件保護方法,其特征在于,將對文件的訪問重定向至傀儡文件之后,對文件的讀、寫、修改、刪除、重命名都是對傀儡文件的操作。
5.根據權利要求1所述的針對windows全系統的文件保護方法,其特征在于,當監控到進程嘗試打開文件時,獲取到當前文件的哈希值,以及當前進程的哈希值,包括:
當進程嘗試打開文件時,會進入到監控函數FltPreCreateFile中,根據FltPreCreateFile(Data,FltObject,context)所帶的Data參數獲取到當前文件的哈希值和當前進程的哈希值。
6.根據權利要求1所述的針對windows全系統的文件保護方法,其特征在于,還包括:
如果存在于可信哈希列表中,允許本次打開操作之后,返回Flt_PREOP_SUCCESS_NO_CALLBACK。
7.根據權利要求1所述的針對windows全系統的文件保護方法,其特征在于,還包括:
如果不存在,允許本次打開操作之后,返回Flt_PREOP_SUCCESS_NO_CALLBACK。
8.一種針對windows全系統的文件保護系統,其特征在于,包括:
一個或多個處理器;
存儲裝置,用于存儲一個或多個程序;
當所述一個或多個程序被所述一個或多個處理器執行,使得所述一個或多個處理器實現根據權利要求1至7任意一項所述的針對windows全系統的文件保護方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京江民新科技術有限公司,未經北京江民新科技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202111462685.8/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種CT數據的壓縮方法
- 下一篇:雙模式開關頻率控制電路
