本發明提供了一種針對windows全系統的文件保護方法及系統。該方法包括：采用Minifilter文件過濾驅動框架對系統內的文件訪問操作進行監控；當監控到進程嘗試打開文件時，獲取到當前文件的哈希值，以及當前進程的哈希值；查詢當前文件的哈希值是否存在于策略要保護的列表中；如果不存在，允許本次打開操作；如果存在，查詢當前進程的哈希值是否存在于可信進程列表中；如果存在于可信哈希列表中，允許本次打開操作；如果不存在于可信哈希列表中，通過重定向的方式觸發保護動作。本發明提供的針對windows全系統的文件保護方法及系統能夠實現在windows XP及以后的所有系統的文件保護功能，做到被保護文件不被不可信進程訪問、讀取、修改、重命名、刪除。

技術領域

本發明涉及計算機安全技術領域，特別是涉及一種針對windows全系統的文件保護方法及系統。

背景技術

操作系統的安全性一直是業界關注的問題。作為經典的操作系統，windows操作系統的安全問題也一直是關注的交點。在windows操作系統中，文件經常成為黑客執行攻擊的目標或者媒介。因此，文件的安全性在windows系統中十分重要。

發明內容

本發明要解決的技術問題是提供一種針對windows全系統的文件保護方法及系統，能夠實現在windows XP及以后的所有系統的文件保護功能，做到被保護文件不被不可信進程訪問、讀取、修改、重命名、刪除。

為解決上述技術問題，本發明提供了一種針對windows全系統的文件保護方法，所述方法包括：采用Minifilter文件過濾驅動框架對系統內的文件訪問操作進行監控；當監控到進程嘗試打開文件時，獲取到當前文件的哈希值，以及當前進程的哈希值；查詢當前文件的哈希值是否存在于策略要保護的列表中；如果不存在，允許本次打開操作；如果存在，查詢當前進程的哈希值是否存在于可信進程列表中；如果存在于可信哈希列表中，允許本次打開操作；如果不存在于可信哈希列表中，通過重定向的方式觸發保護動作。

在一些實施方式中，通過重定向的方式觸發保護動作，包括：將對文件的訪問重定向至傀儡文件。

在一些實施方式中，將對文件的訪問重定向至傀儡文件，包括：保護時先將Data中當前文件名的緩沖區釋放掉，然后申請一塊新的緩沖區，此緩沖區存入事先設置的傀儡文件的全路徑，用新的緩沖區更新Data中文件名的緩沖區變量，最后更新文件名的長度和實際緩沖區大小。

在一些實施方式中，將對文件的訪問重定向至傀儡文件之后，對文件的讀、寫、修改、刪除、重命名都是對傀儡文件的操作。

在一些實施方式中，當監控到進程嘗試打開文件時，獲取到當前文件的哈希值，以及當前進程的哈希值，包括：當進程嘗試打開文件時，會進入到監控函數FltPreCreateFile中，根據FltPreCreateFile(Data,FltObject,context)所帶的Data參數獲取到當前文件的哈希值和當前進程的哈希值。

在一些實施方式中，還包括：如果存在于可信哈希列表中，允許本次打開操作之后，返回Flt_PREOP_SUCCESS_NO_CALLBACK。

在一些實施方式中，還包括：如果不存在，允許本次打開操作之后，返回Flt_PREOP_S UCCESS_NO_CALLBACK。

此外，本發明還提供了一種針對windows全系統的文件保護系統，所述系統包括：一個或多個處理器；存儲裝置，用于存儲一個或多個程序；當所述一個或多個程序被所述一個或多個處理器執行，使得所述一個或多個處理器實現根據前文所述的針對windows全系統的文件保護方法。

采用這樣的設計后，本發明至少具有以下優點：

1.使用的文件重定向功能保證不會訪問到真實文件，并且可以保證真實文件不被常規的文件復制和讀取訪問。