[发明专利]一种文件解锁的方法及装置

说明书

本发明专利申请是申请日为2011年6月27日、申请号为201110175414.4、名称为“一种文件解锁的方法及装置”的中国发明专利申请的分案申请。

技术领域

本发明涉及计算机安全的技术领域，特别是涉及一种文件解锁的方法和一种文件解锁的装置。

背景技术

计算机病毒是指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机一旦染上病毒，计算机通常表现为其文件被增加、删出、改变名称或属性、移动到其它目录下，病毒对计算机文件的这些操作，可能会导致正常的程序无法运行、计算机操作系统崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。

为了保证计算机的安全运行，需要对计算机中感染病毒的文件进行病毒查杀，以防止和清除病毒的破坏。在安全软件领域，针对染毒计算机文件的“删除”与“反删除”是安全软件和恶意程序(计算机病毒)对抗的永恒主题之一。

现有技术中的病毒，往往通过文件只读属性限制等手段给染毒文件加上了加密锁，采用常规手段无法破解加密锁即无法删除染毒文件，这些手段阻止杀毒软件查杀染毒文件。安全软件查杀病毒的过程，可以理解为对染毒文件进行解锁和粉碎。现有安全软件，对染毒文件的解锁和粉碎手段单一，无法破除染毒文件设置的层层保护，对抗能力不强。传统安全软件厂商只解决了部分“反删除”问题，在操作系统内核态的攻防上往往体现出一定的能力缺失，驱动级恶意程序(Rootkit)对抗能力偏弱。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：提出一种文件解锁的处理机制，用以在复杂的客户端环境中识别恶意程序的文件自保护行为并加以对抗，增强和驱动级恶意程序攻防的对抗能力。

发明内容

本发明所要解决的技术问题是提供一种文件解锁的方法，以增强和驱动级恶意程序攻防的对抗能力。

本发明还提供了一种文件解锁的装置，用以保证上述方法在实际中的应用及实现。

为了解决上述问题，本发明实施例公开了一种文件解锁的方法，包括：

尝试针对目标文件执行删除操作或写入操作；

若所述目标文件无法执行删除或写入操作，则获取所述目标文件的属性；

若所述目标文件的属性为只读，则调用自定义的用于文件属性更改的应用程序接口去除所述目标文件的只读属性。

优选的，所述调用自定义的用于文件属性更改的应用程序接口去除目标文件只读属性的步骤包括：

获取针对目标文件的属性更改请求，所述请求中包括调用者输入参数，所述输入参数中包括目标文件的路径；

校验所述调用者输入参数，若校验通过，则依据所述目标文件路径在对象管理器中查找对应的文件对象解析例程；

若查找到对应的文件对象解析例程，则依据所述文件对象解析例程生成I/O请求包，并发送至预置的文件系统下层设备的原始地址；其中，所述I/O请求包中包括依据所述属性更改请求生成的目标文件属性更改操作信息；

由所述文件系统下层设备依据所述目标文件属性更改操作信息，去除目标文件的只读属性。

优选的，所述获取目标文件的属性的步骤包括：

调用自定义的用于获取文件属性的应用程序接口获取所述目标文件的属性，具体包括：

获取针对目标文件的属性查询请求，所述请求中包括调用者输入参数，所述输入参数中包括目标文件的路径；

校验所述调用者输入参数，若校验通过，则依据所述目标文件路径在对象管理器中查找对应的文件对象解析例程；

若查找到对应的文件对象解析例程，则依据所述文件对象解析例程生成I/O请求包，并发送至预置的文件系统下层设备的原始地址；其中，所述I/O请求包中包括依据所述属性查询请求生成的目标文件属性查询操作信息；

由所述文件系统下层设备依据所述目标文件属性查询操作信息，查询目标文件的属性。

优选的，所述获取目标文件的属性的步骤包括：

调用操作系统的应用程序接口API获取所述目标文件的属性，具体包括：

调用位于用户态的文件属性获取例程的操作系统应用程序接口API：GetFileAttributes；

通过所述GetFileAttributes例程调用位于用户态的文件信息查询例程的操作系统原生应用程序接口Native API：ZwQueryInformationFile；