[发明专利]一种识别移动存储设备中的非法写入的方法及装置

说明书

技术领域

 本发明涉及计算机技术领域，特别是涉及一种识别移动存储设备中的非法写入的方法及装置。

背景技术

随着时代的进步和计算机应用的普及，人们对移动存储设备的使用越来越频繁。移动存储设备，诸如闪存盘，移动硬盘，Secure Digital Memory Card（安全数码卡，简称SD卡）等，在人们的日常生活中得到越来越广泛应用。特别是在当今时代，数据交换的数据量动辄以Gb（Gigabyte，千兆字节，一种计算机存储单位）计，移动存储设备，特别是大容量、传输速度快的移动存储设备的广泛应用，给用户与计算机之间，用户与用户之间的数据交换带来了巨大便利。

移动存储设备通常使用支持设备的即插即用和热插拔功能的计算机接口，比如USB（Universal Serial BUS，通用串行总线，一种用于电脑与外部设备的连接和通讯的标准或接口技术）接口，与计算机等设备连接，由于此类接口支持设备的即插即用和热插拔功能，在计算机等设备的操作系统支持的情况下，移动存储设备通过此类接口与计算机等设备连接后，能够达到快速被操作系统识别，自动配置，快速删除等效果，非常方便用户的使用。上述这些特点，也是当今移动存储设备备受青睐的主要原因之一。

然而，随着移动存储设备的普及，针对移动存储设备的恶意程序也泛滥起来，移动存储设备的广泛应用，以及其自身的应用特性，使其成为诸多恶意程序的攻击、利用目标，也成为病毒和木马等程序传播的主要途径。

针对上述攻击、利用移动存储设备的病毒或木马等恶意程序，可以使用一些杀毒软件，或者一些专门用于查杀此类恶意程序的专用工具，来清除针对移动存储设备的恶意程序。而在实际的使用当中，限于杀毒软件或工具的相对于恶意程序出现时间上的滞后性，或者杀毒软件或工具本身的查杀恶意程序的准确性，以及用户对颇具迷惑性的恶意程序的判断力，等等因素，有时并不能及时地发现移动存储设备中的病毒或木马等恶意程序。

综上所述，迫切需要本领域技术人员解决的技术问题就在于，如何更加及时地发现移动存储设备中的病毒或木马等恶意程序。

发明内容

本发明提供了识别移动存储设备中的非法写入的方法，能够更加及时地发现移动存储设备中的非法写入，有利于及时切断病毒或木马等恶意程序的传播路径。

本发明提供了如下方案：

一种识别移动存储设备中的非法写入的方法，包括：

检测到移动存储设备插入后，监控向所述移动存储设备写入文件的操作；

当检测到所述写入文件的操作时，判断所述写入文件的操作是否伴随有修改注册表特定键值的操作；

根据判断结果，识别所述写入文件的操作是否为非法写入。

其中，所述判断所述写入文件的操作是否伴随有修改注册表特定键值的操作包括：

判断所述写入文件的操作是否伴随有通过修改注册表键值，将系统中的显示属性修改为不显示隐藏的文件及文件夹的操作。

优选地，所述检测到移动存储设备插入后，还包括：

根据当前的注册表键值，确定系统中当前的显示属性；

如果所述显示属性为不显示隐藏的文件及文件夹，则修改注册表键值，将系统中的显示属性修改为显示隐藏的文件及文件夹。

其中，所述根据判断结果，识别所述写入文件的操作是否为非法写入包括：

如果在检测到所述写入文件操作之后的预置时间段内，检测到所述通过修改注册表键值，将系统中的显示属性修改为不显示隐藏的文件及文件夹的操作，则所述写入文件的操作为非法写入。

其中，所述根据判断结果，识别所述写入文件的操作是否为非法写入包括：

如果在检测到所述写入文件操作之后的预置时间段内，检测到通过修改注册表键值，将系统中的显示属性修改为不显示隐藏的文件及文件夹的操作，则将所述注册表键值修改回显示隐藏的文件及文件夹的状态；

如果在预置时间段内，再次检测到通过修改注册表键值，将系统中的显示属性修改为不显示隐藏的文件及文件夹的操作，则所述写入文件的操作为非法写入。

其中，所述检测到通过修改注册表键值，将系统中的显示属性修改为不显示隐藏的文件及文件夹的操作之后还包括：

记录修改后的注册表键值，以便当所述写入文件的操作不是非法写入时，恢复到所述修改后的注册表键值。

优选地，还包括：

如果所述写入文件的操作为非法写入，则将所写入的文件从所述移动存储设备中清除，或者，向用户进行提示。

一种识别移动存储设备中的非法写入的装置，包括：