文件保護的方法

2023-05-02 16:07:31

專利名稱：：文件保護的方法
技術領域：
：本發明涉及一種計算機保護技術，特別是涉及一種保護計算機上文件的方法。
背景技術：
：作為安全產品的責任就是保護計算機資源，尤其殺毒軟體就是為了保護計算機系統，包括數據文件不受病毒的破壞和盜竊。以往的產品中都是被動的以識別病毒，並殺掉病毒為主要目標。但是眾所周知，殺毒軟體的病毒庫都是先發現病毒，後加入病毒庫，有滯後性，不能在第一時間內保護文件的安全。加文件保護功能以後，用戶可以先病毒一步，保護自己的重要文件。目前常用的文件保護方法是如圖l所示，通過攔截文件系統的文件操作，截獲文件操作請求，並解析出操作類型(如創建、修改、刪除、查看)，根據規則庫裡的規則對文件請求加以拒絕或放行，來達到保護文件的目的。這裡，解析文件操作請求是非常重要的一步，現有技術中截獲文件操作請求採用的是通用H00K技術，檢測IRP堆棧(以便讀取IRP包的信息，獲取文件打開操作類型信息)，修改文件驅動的IRP—MJ—CREATE(打開)、IRP—MJ—WRITE(寫入)、IRP_MJ_CLEANUP(關閉)、IRP_MJ_SET—INFORMATION(刪除)例程地址函數入口，使文件操作請求到達文件保護模塊，從而基本解析出操作類型。然而該技術存在著下列問題由於文件系統對代碼的執行效率要求很高，上述技術由於解析文件操作類型而P爭^f氐了效率；此外，由於文件系統本身的複雜度非常高，不能準確地識別出文件操作類型；尤其是由於創建文件和修改文件都有文件寫入動作，目前很難在寫入動作裡區別出來是修改文件還是創建文件，因此不能很好地適配相應的規則表。
發明內容本發明為解決上述問題而提出，本發明的目的在於提供一種安全可靠的文件保護方法，其通過引入緩衝區，還可以保證文件系統的高效性。而且，藉助緩衝區，還可以在文件保護過程準確地識別出文件操作的類型以達到有效保護文件的目的。根據本發明的一個方面，提供一種文件保護方法，包括(l)根據要被保護的文件或文件夾生成規則庫；(2)攔截文件操作請求；(3)利用緩衝區解析文件的操作類型增、鄰'J、改、查；(4)根據文件或文件夾的操作類型匹配規則庫；(5)根據匹配上的規則，對本次文件操作進行處理。其中當文件發生修改操作時，為了提高系統效率，通過引入緩沖'區，把具有寫權限的並且是被保護的文件或文件夾放入緩沖區當中，以便文件在真正發生寫入的時候不用檢索整個"改"規則表，提高系統效率。圖1表示現有技術的文件保護方法；圖2表示生成規則庫的流程圖；圖3表示文件保護流程圖；圖4表示識別文件才喿作類型的流程圖。具體實施例方式在本實施例中，文件保護過程包括根據要被保護的文件或文件夾生成規則庫，然後監聽並攔截文件操作請求，利用緩沖區列表解析文件的操作類型增、鄰'J、改、查，其中緩沖區列表是軟體執行過程中由頭見則庫生成並被不斷更新；根據文件或文件夾的操作類型匹配上述生成的規則庫，根據匹配上的規則，對本次文件操作進行處理，包括拒絕、放行、提示用戶。如果沒有在規則庫中找到相應的MJ'j就放行該文件操作。在本發明中，規則庫用來存儲被保護的文件或文件夾的信息，如被保護的文件或文件夾的全路徑、進程全路徑、是否是目錄、是否保護子文件夾、當前文件的處理方式(拒絕、》b阡、交由用戶決定)等，在本實施例中規則庫由增、刪、改、查四個失見則表構成。下表示出作為示例的"增"規則表，其中可對用戶目錄、載入的病毒庫以及系統文件均以設防保護，其它規則表類似，或者可根據實際需要定製。"增"規則表tableseeoriginaldocumentpage7其中"0"表示允許，"1"表示禁止，"2"表示交給用戶處理，這裡，進程全路徑是指一個程序的完整路徑，作用是只有是進程全路徑裡的這個進程訪問本條規則所要保護的文件才觸犯本規則，"*"表示所有進程，如果存的是那麼表示所有訪問這個文件的進程都會觸犯本條規則.根據本實施例的生成規則庫的過程如下。圖2是將要保護的文件或文件夾加入到規則庫的流程圖。在步驟1001中，用戶添加或選擇被保護的文件(全路徑)；在步驟1002中，對於用戶選擇的文件夾，判斷是否需要將其加入"增，，規則表？如果需要，就添加到"增"規則表，並設置表中對應各項的值，以確定對該文件夾的保護方式。例如，將用戶加入的文件夾ABC的"處理方式"設置為O,以允許在該文件夾中生成任何文件，同時將"是否保護子目錄，，_沒置為'T，，以保護事先在文件夾ABC存在的存有關鍵文件的子目錄，達到進一步保護關鍵文件的目的。如果在步驟1002中不加入到增規則表，則進至步驟1003，在此判斷是否需要加入"刪"規則表？如果允許刪除，就添加到"刪"規則表；可以在刪規則表中對選擇的文件或文件夾設置刪規則。如果不需要加入刪規則表，則在步驟1004中，判斷是否需要加入"改，，規則表？如果需要，就添加到"改，，規則表並設定相應的改規則。如果不需要加入規則表，則在步驟1005中，判斷是否需要加入"查"規則表？如果需要，就添加到"查，，規則表並設定相應的規則；至此就完成了規則添加流程，建立了規則庫。下面結合圖3描述本發明的文件保護過程。在建立了規則庫之後，執行根據本發明的文件保護程序，攔截系統的文件操作，以對文件操作實行控制。首先在步驟2001中，攔截文件訪問請求；在步驟2002中，解析文件才喿作類型；在步驟2003中，識別是哪種文件操作類型；在步驟2004中，才艮據不同的文件操作類型匹配不同規則庫。如果在步驟2003判斷當前文件操作是"增"操作，則進到步驟3001，與增規則表進行匹配。在步驟3002判斷所增加的文件夾是否與增規則表匹配。例如，如果當前文件操作是在目錄ABC的子目錄中創建新目錄，由前述設定可知，其與增規則表是匹配的，於是進至步驟7001。在步驟7001，提取規則信息，根據規則信息決定本次操作是放行，拒絕，或是通知用戶。在本例中，由目錄ABC對應配置項"是否保護子目錄"的設定可知，其子目錄是受保護的，因此拒絕該文件揭:作，並結束該處理過程。如果所增加的文件夾不與增規則表匹配，則》文4亍該文件才喿作。如果在步驟2004中判斷是刪操作，則進到步驟4001，將其與刪規則表進行匹配，如果匹配成功(步驟6002)，貝']根據相應的規則信息執行相應的處理，如果不成功，則》文行。如果在步驟2004中判斷是查操:作，則進到步驟6001，將其與查規則表進行匹配。如果匹配成功，則在步驟6003提取相應的規則信息並進到步驟6004根據相應的規則信息決定本次文件操作，包括放行、拒絕，或是通知用戶，由用戶決策。在本發明中，考慮到改文件的特殊性，在"查"文件後匹配"改，，規則表，因此在匹配上規則後生成一個"改，，文件規則緩衝列表來提高速度。具體地，在步驟6004之後，在步驟6005強制將該文件操作涉及的文件與"改"規則表進行匹配，如果在步驟6006中判斷"改"規則表中未包含該文件，則結束處理過程；否則進到步驟6007，生成包含該操作文件的"改"規則表的一個副本，並^:置到緩衝區中，作為可能被觸犯的並受保護的文件或文件夾的改規則的緩衝區列表。同樣，即使在步驟6002中匹配不成功，則過程仍進到步驟6005，執行與"改"規則表的匹配並更新緩沖區列表。如果在步驟2004中判斷是改搮:作，則進到步驟5001，在此，將該操作文件直接與緩沖區中可能存在的改規則的緩沖區列表進行匹配。在步驟5002中，如果匹配成功，即在表中讀取到這個文件的相關信息，說明本次修改的文件是需要被保護的文件，則在步驟7001提取規則信息。釆用這種方式，當真有對被保護的文件進行改操作的時候，由於可以直接從緩沖列表裡直接判斷是不是要被保護的文件，因此大大地加快了文件處理速度。為了更準確地識別文件操作類型，本發明提出一種文件才喿作類型識別方法。一般地，一個文件操作至少應包括打開文件、寫入文件或刪除文件或讀取文件、關閉文件。在程序攔截到文件請求後，文件保護模塊會根據例如系統提供的IRP—MJ-CREATE(打開)、RP-MJ—WRITE(寫入)、IRP_MJ_CLEANUP(關閉)、IRP—MJ-SET-INFORMATION(刪除)例程地址函數入口確定基本的文件操作，因而從打開文件、刪除文件、寫文件以及關閉文件四個不同的入口點得到系統文件請求，如圖4所示。在為打開文件入口點的情況下，根據IRP(這裡，IRP是指系統內核模式或者說驅動之間進行通信的數據包，這個包有規定的數據格式)棧判斷為創建文件後，由於系統在創建或打開文件時會使用同樣的標誌，所以有需要進一步確認文件是否真的存在，方式是嘗試打開文件。如果打開文件成功說明文件已經存在，識別為"查"，否則是真正的創建文件，即"創建"。由於作業系統在寫入文件數據時頻率很高，如果直接去匹配規則庫會使系統性能大大下降，所以在文件打開時就提前判斷哪些文件打開是有可能觸犯"寫"規則表的，即受到寫規則表保護的，並把包含該文件的一個改規則表副本放到緩衝區，在文件真正發生寫入時直接與緩沖區副本進行匹配，可以縮小匹配範圍來提高文件執行效率。這裡判斷依據可以是:是否有可能會觸犯"寫"規則表。採用該依據是因為這裡打開文件只是有寫權限，4旦是不一定真正會去寫文件，可它確實有觸犯"寫，，規則的可能性，所以^l巴當前具有寫權限的文件打開操作並且是被保護的文件放到緩衝區。具體地，在本實施例中，如圖4所示，在文件操作類型被識別為"查"並且文件操作具有寫權限之後，將其與"改"規則表進行匹配，以確定是否具有寫權限。當匹配成功，是受保護的文件時，並將相應的副本放入緩沖區，從而生成一個受保護文件的緩沖區列表。該緩衝區列表不僅存放與當前文件對應的"改"規則表的副本，還可以存放系統內部定義的FILE-OBJECT對象的內存地址，做為索引，它可以完全表示被打開文件的身份，通過它我們可以找到對應的規則和文件全路徑。在系統根據例程地址函數入口確定為寫文件入口的情況下，文件保護程序直接從緩沖區列表中查找該文件，如果找到該文件，則當前的文件操作類型是"修改"。可以看到，藉助緩衝區，本發明可以準確地、快速地區分出"創建，，與"修改"，即前面所定義的"查"與"改"揭:作類型，從而可以精確地適配相應的規則表，並提高文件效率。在為刪除文件入口的情況下，可以直接根據IRP棧識別刪除文件操作。應用本發明提供了一種可靠的文件保護實現方法，可以應用到安全產品領域，來保護用戶的文件，防止惡意程序破壞和盜取；可以保護個人隱私。如在病毒領域裡，這樣技術的應用可以使反病毒軟體更加強大某一類病毒喜歡通過系統honts文件來引導自己的運行，如果我們保護這個文件，準確區分對該文件的操作類型，禁止寫入或當發生寫入時進行報警，用戶可以通過這個報警來識別這個程序是不是用戶了解的進程，如果不是，可以禁止修改文件，達到抵禦病毒的目的。以上根據本發明的優選實施例進行了相應描述，應看到，上述實施例不是限定性的，本領域人員可以上述公開基礎上做出各種修改、變更而不脫離本發明的精神範圍。權利要求1.一種文件保護的方法，包括以下步驟(1)根據要被保護的文件或文件夾生成規則庫；(2)攔截文件操作請求；(3)通過創建所述規則庫的一個緩衝區列表，解析文件或文件夾的操作類型並根據該文件或文件夾的操作類型匹配所述規則庫；(4)根據匹配上的規則，對本次文件操作進行處理。2.如權利要求l所述的方法，其中，所述規則庫包括增、刪、改、查規則表，並且其中所述文件揭:作請求包括"打開文件"、"刪除文件"、"寫文件"以及"關閉文件，，四個入口點。3.如權利要求2所述的方法，其中當所述文件操作請求為"打開文件"時，根據IRP棧判斷所述文件操作類型是否為"增"，其中(l)如果為"否"，則判定文件操作類型是"查"；如果為"是"，則進一步判斷該文件是否存在，(2)如果為"否"，則判斷操作類型是"增"，否則如果為"是"，判斷操作類型為"查"。4、如權利要求3所述的方法，其中如果判斷操作類型為"查"時，將該文件與所述"改，，規則表匹配，其中在匹配時生成該文件的"改"規則表的緩衝區列表。5、如權利要求4所述的方法，當所述文件操作請求為"寫文件，，時，將該文件直接與上述緩沖區列表進行匹配，當匹配成功時確認所述寫文件操作類型是"改"。6、如權利要求5所述的方法，其中根據IRP棧判斷所述文件操作類型是否為"刪"。7、如4又利要求2-6中任一個的方法，當確定所述操作類型為"改"時，直接與緩沖區列表進行匹配，當確定所述操作類型是"查"、"刪"、"增"之一時，將其分別與增、鄰'J、查規則表進行匹配，並根據匹配的規則信息決定如何處理本次文件操作。全文摘要本發明提供一種文件保護的方法，包括根據要被保護的文件或文件夾生成規則庫；攔截文件操作請求；通過創建所述規則庫的一個緩衝區列表，解析文件或文件夾的操作類型並根據該文件或文件夾的操作類型匹配所述規則庫；根據匹配上的規則，對本次文件操作進行處理。根據本發明的文件保護方法通過引入緩衝區，可以保證文件系統的高效性，同時可以在文件保護過程準確地識別出文件操作的類型以達到有效保護文件的目的。文檔編號G06F21/00GK101414327SQ20071016243公開日2009年4月22日申請日期2007年10月15日優先權日2007年10月15日發明者宇韓申請人:北京瑞星國際軟體有限公司