[发明专利]一种电子设备的安全防护方法及装置

说明书

技术领域

本发明属于安全技术领域，特别涉及一种电子设备的安全防护方法及装置。

背景技术

随着互联网和计算机技术的普及，涌现出越来越多的影响电子设备安全的恶意因素，如各类恶意软件、病毒以及木马。

目前很多影响电子设备安全的因素都是以活动的应用程序的方式体现，如木马、可执行程序传染的病毒(其寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染)以及恶意软件，而一经运行，该影响电子设备安全的因素就驻留在电脑系统的内存中，因此现有的计算机安全防护方法通过查看系统进程可发现可疑进程，并以此来推断影响电子设备安全的因素的存在。

然而发明人在实现本发明实施例的过程中发现，现有技术至少存在如下缺点：

恶意因素一旦运行起来后，其行为的变种极其频繁，随着技术的不断更新，恶意因素的行为特征几乎天天都在变化，因此现有技术的通过监控进程的防御方式需要不断扩充监控点来达到完整防御的目的。而监控点的增加，使得安全模块在执行安全防护功能的同时会大量占用系统有限的资源，影响系统性能。

发明内容

本发明实施例的目的在于提供一种电子设备的安全防护方法及装置，降低安全防护带来的系统性能下降。

为了实现上述目的，本发明实施例提供了一种电子设备的安全防护方法，电子设备包括存储单元，安全防护方法包括：

截获正在保存到电子设备的存储单元中的待处理文件；

判断待处理文件是否是通过电子设备的入口点进入的文件，获取判断结果；

在判断结果为是时，利用安全防护引擎对待处理文件进行安全扫描，并在待处理文件通过安全防护引擎的扫描时，保存待处理文件到存储单元。

上述的安全防护方法，其中，截获正在保存到电子设备的存储单元中的待处理文件具体包括：

监控操作系统中用于保存文件到存储单元的第一对象的调用情况，获取第一监控结果；

在第一监控结果指示第一对象被调用时，截获第一对象的操作的待处理文件。

上述的安全防护方法，其中，截获正在保存到电子设备的存储单元中的待处理文件具体包括：

监控保存于存储单元的文件夹的文件变化情况，获取第二监控结果；

在第二监控结果指示文件夹中的文件发生变化时，根据第二监控结果截获待处理文件。

上述的安全防护方法，其中，操作系统中运行有存储单元的驱动程序，截获正在保存到电子设备的存储单元中的待处理文件具体包括：

监控驱动程序执行的IO操作，获取第三监控结果；

在第二监控结果指示驱动程序执行IO写操作时，根据第三监控结果截获IO写操作对应的待处理文件。

上述的安全防护方法，其中，判断待处理文件是否是通过电子设备的入口点进入的文件，获取判断结果具体包括：

确定请求调用第一对象的应用程序；第一对象为用于保存文件到存储单元的对象；

判断应用程序是否能够从电子设备外部获取文件；

在应用程序能够从电子设备外部获取文件，获取指示待处理文件是通过入口点进入的文件的判断结果，否则获取指示待处理文件不是通过入口点进入的文件的判断结果。

上述的安全防护方法，其中，判断待处理文件是否是通过电子设备的入口点进入的文件，获取判断结果具体包括：

获取待处理文件的第一文件特征；

判断第一文件特征是否与第二文件特征相同；第二文件特征为通过网络层或外设接口进入的文件的文件特征；

在第一文件特征与第二文件特征相同时，获取指示待处理文件是通过入口点进入的文件的判断结果，否则获取指示待处理文件不是通过入口点进入的文件的判断结果。

上述的安全防护方法，其中，判断待处理文件是否是通过电子设备的入口点进入的文件，获取判断结果具体包括：

获取待处理文件的源文件路径；

判断源文件路径是否与存储单元相关；

在源文件路径与存储单元不相关时，获取指示待处理文件是通过入口点进入的文件的判断结果，否则获取指示待处理文件不是通过入口点进入的文件的判断结果。

上述的安全防护方法，其中，利用安全防护引擎对待处理文件进行安全扫描具体包括：

利用保存于存储单元中的本地安全防护引擎对待处理文件进行安全扫描；和/或

利用保存于云服务器端的云安全防护引擎对待处理文件进行安全扫描。