[发明专利]SMB远程传输文件检测方法及装置

权利要求书

1.一种SMB远程传输文件检测方法，其特征在于，包括：

基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据，并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的，记录所述目标文件的创建时间；

基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据，并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为，记录所述网络连接行为的发生时间；

在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下，确定所述目标文件为SMB远程传输文件。

2.根据权利要求1所述的SMB远程传输文件检测方法，其特征在于，所述第一跟踪记录数据包括：第一进程信息、操作文件信息以及堆栈跟踪记录信息；

相应的，所述根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的，包括：

根据所述第一进程信息判断所述目标文件创建行为的来源进程是否为系统进程；

根据所述堆栈跟踪记录信息判断是否存在SMB驱动模块；

根据操作文件信息判断所述目标文件创建行为的操作对象是否为文件；

在所述目标文件创建行为的来源进程是系统进程、所述堆栈信息中存在SMB驱动模块、所述目标文件创建行为的操作对象是文件的情况下，确定所述目标文件是基于SMB协议传输并创建的。

3.根据权利要求1所述的SMB远程传输文件检测方法，其特征在于，所述第二跟踪记录数据包括：第二进程信息、端口连接信息以及网络连接行为类型信息；

相应的，所述根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为，包括：

根据所述第二进程信息判断所述网络连接行为的来源进程是否为系统进程；

根据所述端口连接信息判断所述网络连接行为是否通过445端口进行通讯连接；

根据所述网络连接行为类型信息判断所述网络连接行为的类型是否属于TCP的Connection或Received；

在所述网络连接行为的来源进程是系统进程、所述网络连接行为通过445端口进行通讯连接以及所述网络连接行为的类型是TCP的Connection或Received的情况下，确定所述网络连接行为是基于SMB协议的网络连接行为。

4.根据权利要求1所述的SMB远程传输文件检测方法，其特征在于，在所述基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据之前，方法还包括：

开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数；

为所述文件创建监控事件设置属性信息，以使得所述文件创建监控事件的监听回调函数所获取的目标文件创建行为的第一跟踪记录数据中包含有堆栈跟踪记录信息。

5.根据权利要求4所述的SMB远程传输文件检测方法，其特征在于，所述开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数，包括：

调用Win32API的StartTrace创建事件会话,并调用Win32API EnableTraceEx开启预设Microsoft-Windows-Kernel-File的文件创建监控事件的监听回调函数，以及开启Microsoft-Windows-Kernel-Network网络信息连接监控事件的监听回调函数。

6.根据权利要求4所述的SMB远程传输文件检测方法，其特征在于，所述为所述文件创建监控事件设置属性信息，包括：

为所述文件创建监控事件设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性。

7.根据权利要求1至6任一项所述的SMB远程传输文件检测方法，其特征在于，在所述确定所述目标文件为SMB远程传输文件之后，方法还包括：

将所述目标文件和/或所述目标文件的传输行为数据传送至杀毒引擎，以对所述目标文件进行安全鉴定。