[发明专利]一种应用于计算机文件的加密病毒的拦截方法及系统

说明书

本发明公开了一种应用于计算机文件的加密病毒的拦截方法及系统，拦截方法包括：预置防御辅助文件，防御辅助文件为加密病毒对应加密的文件类型；预置文件路径与文件类型的第一关联表，以及文件句柄与文件类型的第二关联表；实时监测包括防御辅助文件在内的所有计算机文件，在计算机被执行操作时，获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄；根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作；若操作行为为病毒的加密操作，则拦截加密操作。本发明的拦截方法可以快捷、高效的判断出是否为病毒被执行的加密行为，克服了传统病毒查杀技术所存在的局限性。

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种应用于计算机文件的加密病毒的拦截方法及系统。

背景技术

兴起于20世纪中期的计算机技术，经过数几十年时间的发展，已经被普及到现代社会的各个领域，计算机系统作为一种信息存储、传输及处理的载体，其具有信息存储量大、传输速度快、处理效率高等优点，因此，越来越多的信息是以电子数据文件的形式存储于计算机系统，但是，由于计算机病毒及黑客入侵等因素的存在，如何防止电子数据文件被入侵始终是计算机安全技术的重要研究课题。

勒索者病毒是一类会针对用户电脑中特定后缀的文件进行加密的病毒，要想解密被勒索者病毒所加密的文件，受害者往往需要向黑客支付高额的赎金；因此，这种病毒的存在对计算机的使用形成了极大的安全隐患。

传统的病毒查杀技术大多是将疑似勒索者病毒程序的特征与病毒数据库中的已有特征相匹配，以作为判断程序是否为勒索者病毒程序的依据，但是当勒索者病毒程序存在新变种时，病毒数据库往往并不能及时更新对应的特征，影响了对病毒的拦截操作，因此，常规的病毒查杀方式会对勒索者病毒的检测和拦截构成限制。

发明内容

本发明所要解决的技术问题是：提供一种应用于计算机文件的加密病毒的拦截方法及系统，以解决现有病毒技术中利用特征匹配来判断病毒的方式所存在的弊端。

本发明解决上述技术问题所采用的技术方案是：

本发明提供了一种应用于计算机文件的加密病毒的拦截方法，包括：预置防御辅助文件，防御辅助文件为加密病毒对应加密的文件类型；预置文件路径与文件类型的第一关联表，以及文件句柄与文件类型的第二关联表；实时监测包括防御辅助文件在内的所有计算机文件，在计算机被执行操作时，获取计算机文件在调用过程中被执行的操作行为、计算机文件的文件路径及文件句柄；根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作；若操作行为为病毒的加密操作，则拦截加密操作。

进一步的，拦截方法还包括：在获取计算机文件在调用过程中被执行的操作行为后，确定操作行为的类型，其中，操作行为的类型为以下类型的一种或几种：文件创建行为、文件打开行为、文件移动行为、文件写入行为和文件删除行为。

进一步的，在操作行为的类型为文件创建行为和文件打开行为的其中一种时，根据第一关联表和第二关联表，判断操作行为是否为病毒的加密操作的过程包括：判断去除文件后缀的计算机文件的文件路径是否为第一关联表中的文件路径，若是，则将计算机文件的文件句柄添加至第二关联表；若否，则判断计算机文件的文件后缀是否为doc、xls、ppt、pdf中的其中一种；在计算机文件的文件后缀为doc、xls、ppt、pdf中的其中一种时，判断计算机文件的文件大小是否大于8；若计算机文件的文件大小大于8，根据计算机文件的内容重新确定计算机文件是否为doc、xls、ppt、pdf中的其中一种文件类型；在计算机文件为doc、xls、ppt、pdf中的其中一种文件类型时，将计算机文件的文件类型添加至第一关联表中。