專(zhuān)利名稱(chēng):一種文件解鎖的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全的技術(shù)領(lǐng)域��,特別是涉及ー種文件解鎖的方法和一種文件解鎖的裝置����。
背景技術(shù):
計(jì)算機(jī)病毒是指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)一旦染上病毒�����,計(jì)算機(jī)通常表現(xiàn)為其文件被増加�����、刪出���、改變名稱(chēng)或?qū)傩?、移?dòng)到其它目錄下�,病毒對(duì)計(jì)算機(jī)文件的這些操作��,可能會(huì)導(dǎo)致正常的程序無(wú)法運(yùn)行�����、計(jì)算機(jī)操作系統(tǒng)崩潰�、計(jì)算機(jī)被遠(yuǎn)程控制、用戶(hù)信息被盜用等一系列的問(wèn)題���。為了保證計(jì)算機(jī)的安全運(yùn)行���,需要對(duì)計(jì)算機(jī)中感染病毒的文件進(jìn)行病毒查殺��,以防止和清除病毒的破壞��。在安全軟件領(lǐng)域��,針對(duì)染毒計(jì)算機(jī)文件的“刪除”與“反刪除”是 安全軟件和惡意程序(計(jì)算機(jī)病毒)對(duì)抗的永恒主題之一?���,F(xiàn)有技術(shù)中的病毒�����,往往通過(guò)文件權(quán)限�����、所有者限制以及文件共享屬性獨(dú)占等手段給染毒文件加上了加密鎖���,采用常規(guī)手段無(wú)法破解加密鎖即無(wú)法刪除染毒文件����,這些手段阻止殺毒軟件查殺染毒文件���。安全軟件查殺病毒的過(guò)程�����,可以理解為對(duì)染毒文件進(jìn)行解鎖和粉碎?���,F(xiàn)有安全軟件,對(duì)染毒文件的解鎖和粉碎手段単一�,無(wú)法破除染毒文件設(shè)置的層層保護(hù),對(duì)抗能力不強(qiáng)�����。傳統(tǒng)安全軟件廠(chǎng)商只解決了部分“反刪除”問(wèn)題�����,在操作系統(tǒng)內(nèi)核態(tài)的攻防上往往體現(xiàn)出一定的能力缺失�����,驅(qū)動(dòng)級(jí)惡意程序(Rootkit)對(duì)抗能力偏弱���。因此����,目前需要本領(lǐng)域技術(shù)人員迫切解決的ー個(gè)技術(shù)問(wèn)題就是提出一種文件解鎖的處理機(jī)制��,不僅提供操作系統(tǒng)用戶(hù)態(tài)的攻防�,還進(jìn)ー步提供操作系統(tǒng)內(nèi)核態(tài)的攻防,在復(fù)雜的客戶(hù)端環(huán)境中識(shí)別惡意程序的文件自保護(hù)行為并加以對(duì)抗�����,以增強(qiáng)和驅(qū)動(dòng)級(jí)惡意程序攻防的對(duì)抗能力����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種文件解鎖的方法,以增強(qiáng)和驅(qū)動(dòng)級(jí)惡意程序攻防的對(duì)抗能力���。本發(fā)明還提供了一種文件解鎖的裝置�,用以保證上述方法在實(shí)際中的應(yīng)用及實(shí)現(xiàn)�����。為了解決上述問(wèn)題�����,本發(fā)明實(shí)施例公開(kāi)了ー種文件解鎖的方法,包括調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API打開(kāi)目標(biāo)文件�����;若所述目標(biāo)文件無(wú)法打開(kāi)�����,則判斷其返回值是否滿(mǎn)足預(yù)設(shè)類(lèi)型�;若是,則調(diào)用自定義的用于文件打開(kāi)的應(yīng)用程序接ロ對(duì)所述目標(biāo)文件進(jìn)行操作���,具體包括獲取文件操作請(qǐng)求��,所述請(qǐng)求中包括調(diào)用者輸入?yún)?shù)��,所述輸入?yún)?shù)中包括文件路徑���;
依據(jù)所述文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程;若查找到對(duì)應(yīng)的文件對(duì)象解析例程�����,則依據(jù)所述文件對(duì)象解析例程生成I/O請(qǐng)求包�,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址。優(yōu)選的���,所述I/O請(qǐng)求包中包括從文件操作請(qǐng)求中提取的文件操作信息��,在發(fā)送I/o請(qǐng)求包至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址之后�,所述調(diào)用自定義的用于文件打開(kāi)的應(yīng)用程序接ロ對(duì)所述目標(biāo)文件進(jìn)行操作的步驟還包括由所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息執(zhí)行對(duì)應(yīng)的文件操作�。優(yōu)選的,所述文件操作請(qǐng)求包括目標(biāo)文件打開(kāi)請(qǐng)求�,所述文件操作信息包括目標(biāo)文件打開(kāi)操作,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息執(zhí)行打開(kāi)所述目標(biāo)文件的操作�����。
優(yōu)選的���,所述文件操作請(qǐng)求還包括目標(biāo)文件刪除請(qǐng)求����,所述文件操作信息還包括目標(biāo)文件刪除操作���,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息在打開(kāi)所述目標(biāo)文件后�,執(zhí)行所述目標(biāo)文件的刪除操作�����。優(yōu)選的,所述預(yù)設(shè)類(lèi)型包括文件共享屬性獨(dú)占類(lèi)型����。優(yōu)選的,所述預(yù)設(shè)類(lèi)型還包括文件權(quán)限��、所有者限制的類(lèi)型����。優(yōu)選的,所述依據(jù)文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程的步驟具體包括以下子步驟�;子步驟SI、判斷文件路徑是否已經(jīng)拆解完畢����,若否,則執(zhí)行子步驟S2 ;若是��,則執(zhí)行子步驟S4 �����;子步驟S2、按照路徑分隔符拆解出文件路徑中下一個(gè)待拆解的路徑段�����;子步驟S3��、采用當(dāng)前拆解出的路徑段在對(duì)象管理器中捜索�����,判斷是否存在對(duì)應(yīng)的文件對(duì)象例程�����;若是�,則返回子步驟S I ;若否���,則執(zhí)行子步驟S5 ���;子步驟S4、獲得所述文件路徑對(duì)應(yīng)的文件對(duì)象解析例程��。子步驟S5���、返回未找到對(duì)應(yīng)文件對(duì)象解析例程的信息�����。本發(fā)明實(shí)施例還公開(kāi)了一種文件解鎖的裝置���,包括API調(diào)用模塊��,用于調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API打開(kāi)目標(biāo)文件��;返回碼判斷模塊�����,用于在所述目標(biāo)文件無(wú)法打開(kāi)時(shí)���,判斷其返回值是否滿(mǎn)足預(yù)設(shè)類(lèi)型;若是���,則調(diào)用文件穿透操作模塊��;文件穿透操作模塊�,用于調(diào)用自定義的用于文件打開(kāi)的應(yīng)用程序接ロ對(duì)所述目標(biāo)文件進(jìn)行操作��,具體包括內(nèi)核態(tài)請(qǐng)求獲取子模塊,用于獲取文件操作請(qǐng)求���,所述請(qǐng)求中包括調(diào)用者輸入?yún)?shù)����,所述輸入?yún)?shù)中包括文件路徑���;內(nèi)核態(tài)對(duì)象解析子模塊,用于依據(jù)所述文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程�����;若查找到對(duì)應(yīng)的文件對(duì)象解析例程���,則調(diào)用內(nèi)核態(tài)IRP生成發(fā)送子模塊����;內(nèi)核態(tài)IRP生成發(fā)送子模塊�����,用于依據(jù)所述文件對(duì)象解析例程生成I/O請(qǐng)求包�����,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址。優(yōu)選的��,所述I/O請(qǐng)求包中包括從文件操作請(qǐng)求中提取的文件操作信息��,所述文件系統(tǒng)下層設(shè)備用于依據(jù)所述文件操作信息執(zhí)行對(duì)應(yīng)的文件操作��。優(yōu)選的,所述文件操作請(qǐng)求包括目標(biāo)文件打開(kāi)請(qǐng)求����,所述文件操作信息包括目標(biāo)文件打開(kāi)操作,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息執(zhí)行打開(kāi)所述目標(biāo)文件的操作���。優(yōu)選的�,所述文件操作請(qǐng)求還包括目標(biāo)文件刪除請(qǐng)求��,所述文件操作信息還包括目標(biāo)文件刪除操作�����,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息在打開(kāi)所述目標(biāo)文件后�����,執(zhí)行所述目標(biāo)文件的刪除操作。優(yōu)選的�����,所述預(yù)設(shè)類(lèi)型包括文件共享屬性獨(dú)占類(lèi)型����。優(yōu)選的,所述預(yù)設(shè)類(lèi)型還包括文件權(quán)限���、所有者限制的類(lèi)型。優(yōu)選的����,所述內(nèi)核態(tài)對(duì)象解析子模塊具體包括以下單元;文件路徑拆解単元��,用于按照路徑分隔符逐級(jí)拆解出文件路徑中的路徑段�;
對(duì)象管理器搜索單元,用于采用當(dāng)前拆解出的路徑段在對(duì)象管理器中捜索����,查找對(duì)應(yīng)的文件對(duì)象例程。與現(xiàn)有技術(shù)相比���,本發(fā)明具有以下優(yōu)點(diǎn)本發(fā)明通過(guò)在操作系統(tǒng)用戶(hù)態(tài)接ロ完整實(shí)現(xiàn)ー套文件操作調(diào)用庫(kù)�����,當(dāng)調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API無(wú)法打開(kāi)目標(biāo)文件時(shí)�,在其返回值為文件共享屬性獨(dú)占,或者�����,文件權(quán)限�����、所有者限制的情況下�����,調(diào)用本發(fā)明實(shí)現(xiàn)的自定義應(yīng)用程序接ロ BAPI對(duì)所述目標(biāo)文件進(jìn)行文件解鎖和粉碎的操作��。本發(fā)明不僅提供了操作系統(tǒng)用戶(hù)態(tài)的攻防����,還進(jìn)一歩提供了操作系統(tǒng)內(nèi)核態(tài)的攻防,在復(fù)雜的客戶(hù)端環(huán)境中識(shí)別惡意程序的文件自保護(hù)行為并加以對(duì)抗����,增強(qiáng)了和驅(qū)動(dòng)級(jí)惡意程序攻防的對(duì)抗能力�����。本發(fā)明中調(diào)用者進(jìn)程發(fā)起文件操作請(qǐng)求���,調(diào)用對(duì)應(yīng)的自定義文件操作接ロ例程,操作系統(tǒng)內(nèi)核態(tài)驅(qū)動(dòng)獲取并校驗(yàn)所述來(lái)自用戶(hù)態(tài)的請(qǐng)求���,構(gòu)建查詢(xún)數(shù)據(jù)結(jié)構(gòu)循環(huán)解析傳入的文件路徑��,最終查找到對(duì)象管理器中維護(hù)的對(duì)象類(lèi)型,這ー過(guò)程有效對(duì)抗了內(nèi)核態(tài)的劫持內(nèi)險(xiǎn)���。此后����,操作系統(tǒng)內(nèi)核態(tài)驅(qū)動(dòng)構(gòu)建并填充IRP請(qǐng)求數(shù)據(jù)包�,發(fā)送至預(yù)先確定的文件系統(tǒng)下層設(shè)備的原始地址處,此時(shí)文件系統(tǒng)調(diào)用棧上的第三方過(guò)濾驅(qū)動(dòng)�,包括其他安全軟件和驅(qū)動(dòng)級(jí)惡意程序可以被穿透,從而既可以有效避免因文件操作干擾而導(dǎo)致和其他安全軟件間產(chǎn)生不兼容的潛在可能性�����;又可以增強(qiáng)和驅(qū)動(dòng)級(jí)惡意程序攻防時(shí)的對(duì)抗能力。本發(fā)明實(shí)施例中所采用的文件路徑解析方法還能動(dòng)態(tài)解析目標(biāo)文件路徑����,例如,對(duì)于動(dòng)態(tài)映射的網(wǎng)絡(luò)磁盤(pán)驅(qū)動(dòng)器�,通過(guò)搜索對(duì)象管理器就能動(dòng)態(tài)獲得DOS-Style文件路徑格式、盤(pán)符和文件系統(tǒng)下層設(shè)備對(duì)象之間的對(duì)應(yīng)處理關(guān)系��,因而本發(fā)明實(shí)施例還有適用范圍廣���,適用場(chǎng)景多的優(yōu)點(diǎn)�����。
圖I是本發(fā)明的一種文件解鎖的方法實(shí)施例的步驟流程圖��;圖2是本發(fā)明的一種優(yōu)選實(shí)施例中��,所述依據(jù)文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程的步驟流程圖��;圖3是本發(fā)明的ー種具體示例中在對(duì)象管理器中進(jìn)行搜索的第一示意圖��;圖4是本發(fā)明的ー種具體示例中在對(duì)象管理器中進(jìn)行搜索的第二示意圖���;圖5是本發(fā)明的ー種具體示例中在對(duì)象管理器中進(jìn)行搜索的第三示意圖�����;圖6是本發(fā)明的另一具體示例中在對(duì)象管理器中進(jìn)行搜索的第四示意圖����;圖7是本發(fā)明的另一具體示例中在對(duì)象管理器中進(jìn)行搜索的第五示意圖8是本發(fā)明的另一具體示例中在對(duì)象管理器中進(jìn)行搜索的第六示意圖�����;圖9是本發(fā)明的一種文件解鎖的方法實(shí)施例2的步驟流程圖���;圖10是操作系統(tǒng)文件操作執(zhí)行流的示意圖�����;圖11是應(yīng)用本發(fā)明實(shí)施例實(shí)現(xiàn)的文件操作執(zhí)行流示意圖;圖12是本發(fā)明的一種文件解鎖的裝置實(shí)施例的結(jié)構(gòu)框圖�。
具體實(shí)施例方式為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)ー步詳細(xì)的說(shuō)明��。本發(fā)明實(shí)施例的核心構(gòu)思之ー在于�����,在操作系統(tǒng)用戶(hù)態(tài)接ロ完整實(shí)現(xiàn)ー套文件操 作調(diào)用庫(kù)�����,當(dāng)調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API無(wú)法打開(kāi)目標(biāo)文件時(shí)����,在其返回值為文件共享屬性獨(dú)占�����,或者�����,文件權(quán)限����、所有者限制的情況下,調(diào)用本發(fā)明實(shí)現(xiàn)的自定義應(yīng)用程序接ロ BAPI對(duì)所述目標(biāo)文件進(jìn)行文件解鎖和粉碎的操作。參考圖I����,示出了本發(fā)明的ー種文件解鎖的方法實(shí)施例的步驟流程圖,具體可以包括以下步驟步驟101�、調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API打開(kāi)目標(biāo)文件;例如����,調(diào)用微軟操作系統(tǒng)的API =CreateFile函數(shù)打開(kāi)指定文件路徑和文件名的目標(biāo)文件,如C:\test. txt ο需要說(shuō)明的是���,在本發(fā)明實(shí)施例中�,所述文件打開(kāi)不是指通過(guò)雙擊鼠標(biāo)或按回車(chē)鍵等觸發(fā)方式打開(kāi)文件(如*. exe�、*. doc等類(lèi)型的文件);而是指用操作系統(tǒng)API或本發(fā)明的自定義BAPI (應(yīng)用本發(fā)明���,可以在操作系統(tǒng)用戶(hù)態(tài)接ロ完整實(shí)現(xiàn)ー套文件操作調(diào)用庫(kù))的CreateFileO函數(shù)等打開(kāi)文件����、得到文件句柄的操作�����,因?yàn)橹挥械玫轿募浔蟛趴梢赃M(jìn)ー步操作該文件�。從函數(shù)調(diào)用方法角度而言,本發(fā)明實(shí)施例中所指文件“打開(kāi)”主要包括以下幾種情形I��、使用Windows標(biāo)準(zhǔn)API CreateFile函數(shù)打開(kāi)目標(biāo)文件�;2、使用 Windows Native API ZwCreateFile/NtCreateFile 函數(shù)打開(kāi)目標(biāo)文件�;3、使用 Windows Native API ZwOpenFile/NtOpenFile 函數(shù)打開(kāi)目標(biāo)文件其中��,CreateFile的參數(shù)dwCreationDisposition可以控制函數(shù)行為是“創(chuàng)建新文件”還是“打開(kāi)已經(jīng)存在的文件”�����。在具體實(shí)現(xiàn)中�����,需要粉碎的目標(biāo)文件都需要先進(jìn)行解鎖打開(kāi)��。例如����,調(diào)用調(diào)用微軟操作系統(tǒng)的API DeleteFile函數(shù),該函數(shù)包含ー個(gè)輸入?yún)?shù)lpFileName,即目標(biāo)文件的路徑,這個(gè)路徑要先被打開(kāi)(調(diào)用CreateFile例程得到對(duì)應(yīng)的文件句柄)�,然后才能被刪除。步驟102、若所述目標(biāo)文件無(wú)法打開(kāi)����,則判斷其返回值是否滿(mǎn)足預(yù)設(shè)類(lèi)型; 在本發(fā)明的一種優(yōu)選實(shí)施例中�����,所述預(yù)設(shè)類(lèi)型包括文件共享屬性獨(dú)占類(lèi)型����。具體而言,如果文件被驅(qū)動(dòng)級(jí)惡意程序劫持�����,則文件打開(kāi)的過(guò)程可能會(huì)觸發(fā)共享沖突的問(wèn)題���。在這種情況下�����,操作系統(tǒng)的API會(huì)反饋文件共享屬性獨(dú)占的錯(cuò)誤返回值����。例如,如果目標(biāo)文件C:\test. txt文件已經(jīng)被進(jìn)程A獨(dú)占打開(kāi)(獨(dú)占的方法是調(diào)用 CreateFile 函數(shù)時(shí)�����,dwShareMode 參數(shù)域傳空-The objectcannot be shared),那么����,
其它任意進(jìn)程再?lài)L試打開(kāi)這個(gè)文件的時(shí)候(調(diào)用CreateFile函數(shù))都將得到錯(cuò)誤返回值ERROR_SHARING_VIOLATION���。其中��,ERROR_SHARING_VIOLATION 是ー個(gè)數(shù)值���,為 32。它的定義位于微軟WINERR0R. H頭文件中��,如下
Il
Il Messageld: ERROR—SHARING—VIOLATION
Il
Ii MessageText:
Il
Il The process cannot access the file because Il it is being used by another process.
Il
#define ERROR—SHARING—VIOLATION32L在本發(fā)明ー種更為優(yōu)選的實(shí)施例中����,所述預(yù)設(shè)類(lèi)型還可以包括文件權(quán)限、所有者限制的類(lèi)型����。具體而言�����,如果文件被驅(qū)動(dòng)級(jí)惡意程序劫持����,則文件打開(kāi)的過(guò)程可能會(huì)觸發(fā)操作無(wú)權(quán)限的問(wèn)題��。在這種情況下����,操作系統(tǒng)的API會(huì)反饋文件權(quán)限、所有者限制的錯(cuò)誤返回值�����?��!皺?quán)限限制”是微軟設(shè)計(jì)操作系統(tǒng)時(shí)的ー種細(xì)粒度訪(fǎng)問(wèn)控制機(jī)制����,Windows操作系統(tǒng)內(nèi)核有專(zhuān)門(mén)的功能模塊(縮寫(xiě)為Se�,全稱(chēng)是Security),設(shè)計(jì)的原則要符合美國(guó)C2級(jí)操作系統(tǒng)的安全標(biāo)準(zhǔn)���。目前微軟操作系統(tǒng)中權(quán)限限制細(xì)粒度的體現(xiàn)在如下方面(I)完全控制�;(2)遍歷文件夾/運(yùn)行文件;(3)列出文件夾/運(yùn)行數(shù)據(jù)�����;(4)讀取屬性���;(5)讀取擴(kuò)展屬性;(6)創(chuàng)建文件/寫(xiě)入數(shù)據(jù)�;(7)創(chuàng)建文件夾/附加數(shù)據(jù);(8)寫(xiě)入屬性�����;(9)寫(xiě)入擴(kuò)展屬性�����;(10)刪除�����;(11)讀取權(quán)限�;(12)更改權(quán)限��;(13)取得所有權(quán)����。
Windows操作系統(tǒng)導(dǎo)出了一組權(quán)限操作的API,如GetNamedSecurityInfo函數(shù)�、AccessCheck函數(shù)等。其中��,GetNamedSecurityInfo函數(shù)主要是用于得到目標(biāo)(如指定文件)的安全描述符(Security Descriptor簡(jiǎn)稱(chēng)SD,這是操作系統(tǒng)權(quán)限相關(guān)的ー個(gè)基本數(shù)據(jù)結(jié)構(gòu))��,AccessCheck函數(shù)主要是用于基于安全描述符查詢(xún)目標(biāo)權(quán)限限制情況�。對(duì)于調(diào)用者而言,成功將得到返回值ERROR_SUCCESS����,ERROR_SUCCESS是ー個(gè)數(shù)值,為0����,表示成功;失敗將得到錯(cuò)誤返回值ERROR_ACCESS_DENIED����,ERROR_ACCESS_DENIED是ー個(gè)數(shù)值,為5���。它的定義位于微軟WINERR0R. H頭文件中�,如下
權(quán)利要求
1.一種文件解鎖的方法,其特征在于�,包括 調(diào)用操作系統(tǒng)應(yīng)用程序接口 API打開(kāi)目標(biāo)文件; 若所述目標(biāo)文件無(wú)法打開(kāi)����,則判斷其返回值是否滿(mǎn)足預(yù)設(shè)類(lèi)型; 若是��,則調(diào)用自定義的用于文件打開(kāi)的應(yīng)用程序接口對(duì)所述目標(biāo)文件進(jìn)行操作����,具體包括 獲取文件操作請(qǐng)求����,所述請(qǐng)求中包括調(diào)用者輸入?yún)?shù),所述輸入?yún)?shù)中包括文件路徑; 依據(jù)所述文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程���; 若查找到對(duì)應(yīng)的文件對(duì)象解析例程�����,則依據(jù)所述文件對(duì)象解析例程生成I/o請(qǐng)求包�,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址。
2.如權(quán)利要求I所述的方法���,其特征在于����,所述I/O請(qǐng)求包中包括從文件操作請(qǐng)求中提取的文件操作信息���,在發(fā)送I/O請(qǐng)求包至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址之后����,所述調(diào)用自定義的用于文件打開(kāi)的應(yīng)用程序接口對(duì)所述目標(biāo)文件進(jìn)行操作的步驟還包括 由所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息執(zhí)行對(duì)應(yīng)的文件操作�。
3.如權(quán)利要求2所述的方法,其特征在于��,所述文件操作請(qǐng)求包括目標(biāo)文件打開(kāi)請(qǐng)求���,所述文件操作信息包括目標(biāo)文件打開(kāi)操作����,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息執(zhí)行打開(kāi)所述目標(biāo)文件的操作���。
4.如權(quán)利要求3所述的方法��,其特征在于��,所述文件操作請(qǐng)求還包括目標(biāo)文件刪除請(qǐng)求�����,所述文件操作信息還包括目標(biāo)文件刪除操作�����,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息在打開(kāi)所述目標(biāo)文件后��,執(zhí)行所述目標(biāo)文件的刪除操作�����。
5.如權(quán)利要求1�����、2��、3或4所述的方法���,其特征在于�,所述預(yù)設(shè)類(lèi)型包括文件共享屬性獨(dú)占類(lèi)型��。
6.如權(quán)利要求5所述的方法����,其特征在于,所述預(yù)設(shè)類(lèi)型還包括文件權(quán)限�����、所有者限制的類(lèi)型�。
7.如權(quán)利要求1、2��、3或4所述的方法��,其特征在于�����,所述依據(jù)文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程的步驟具體包括以下子步驟��; 子步驟SI�����、判斷文件路徑是否已經(jīng)拆解完畢,若否���,則執(zhí)行子步驟S2 ;若是����,則執(zhí)行子步驟S4 �����; 子步驟S2����、按照路徑分隔符拆解出文件路徑中下一個(gè)待拆解的路徑段; 子步驟S3����、采用當(dāng)前拆解出的路徑段在對(duì)象管理器中搜索,判斷是否存在對(duì)應(yīng)的文件對(duì)象例程���;若是,則返回子步驟S I ;若否�����,則執(zhí)行子步驟S5 ; 子步驟S4��、獲得所述文件路徑對(duì)應(yīng)的文件對(duì)象解析例程����。
子步驟S5、返回未找到對(duì)應(yīng)文件對(duì)象解析例程的信息�。
8.一種文件解鎖的裝置,其特征在于����,包括 API調(diào)用模塊,用于調(diào)用操作系統(tǒng)應(yīng)用程序接口 API打開(kāi)目標(biāo)文件�����; 返回碼判斷模塊�����,用于在所述目標(biāo)文件無(wú)法打開(kāi)時(shí)���,判斷其返回值是否滿(mǎn)足預(yù)設(shè)類(lèi)型���;若是�,則調(diào)用文件穿透操作模塊���; 文件穿透操作模塊�����,用于調(diào)用自定義的用于文件打開(kāi)的應(yīng)用程序接口對(duì)所述目標(biāo)文件進(jìn)行操作��,具體包括內(nèi)核態(tài)請(qǐng)求獲取子模塊�,用于獲取文件操作請(qǐng)求�,所述請(qǐng)求中包括調(diào)用者輸入?yún)?shù),所述輸入?yún)?shù)中包括文件路徑��; 內(nèi)核態(tài)對(duì)象解析子模塊����,用于依據(jù)所述文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程;若查找到對(duì)應(yīng)的文件對(duì)象解析例程�,則調(diào)用內(nèi)核態(tài)IRP生成發(fā)送子模塊; 內(nèi)核態(tài)IRP生成發(fā)送子模塊���,用于依據(jù)所述文件對(duì)象解析例程生成I/O請(qǐng)求包���,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址。
9.如權(quán)利要求8所述的裝置�,其特征在于,所述I/O請(qǐng)求包中包括從文件操作請(qǐng)求中提取的文件操作信息��,所述文件系統(tǒng)下層設(shè)備用于依據(jù)所述文件操作信息執(zhí)行對(duì)應(yīng)的文件操作�����。
10.如權(quán)利要求9所述的裝置�����,其特征在于�����,所述文件操作請(qǐng)求包括目標(biāo)文件打開(kāi)請(qǐng)求����,所述文件操作信息包括目標(biāo)文件打開(kāi)操作,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作 信息執(zhí)行打開(kāi)所述目標(biāo)文件的操作��。
11.如權(quán)利要求10所述的裝置����,其特征在于�,所述文件操作請(qǐng)求還包括目標(biāo)文件刪除請(qǐng)求����,所述文件操作信息還包括目標(biāo)文件刪除操作,所述文件系統(tǒng)下層設(shè)備依據(jù)所述文件操作信息在打開(kāi)所述目標(biāo)文件后�,執(zhí)行所述目標(biāo)文件的刪除操作。
12.如權(quán)利要求8�����、9����、10或11所述的裝置,其特征在于����,所述預(yù)設(shè)類(lèi)型包括文件共享屬性獨(dú)占類(lèi)型。
13.如權(quán)利要求12所述的裝置����,其特征在于,所述預(yù)設(shè)類(lèi)型還包括文件權(quán)限、所有者限制的類(lèi)型���。
14.如權(quán)利要求8�、9����、10或11所述的裝置�,其特征在于,所述內(nèi)核態(tài)對(duì)象解析子模塊具體包括以下單元��; 文件路徑拆解單元����,用于按照路徑分隔符逐級(jí)拆解出文件路徑中的路徑段; 對(duì)象管理器搜索單元�,用于采用當(dāng)前拆解出的路徑段在對(duì)象管理器中搜索,查找對(duì)應(yīng)的文件對(duì)象例程�����。
全文摘要
本發(fā)明提供了一種文件解鎖的方法及裝置�,其中所述方法包括調(diào)用操作系統(tǒng)應(yīng)用程序接口API打開(kāi)目標(biāo)文件;若所述目標(biāo)文件無(wú)法打開(kāi)����,則判斷其返回值是否滿(mǎn)足預(yù)設(shè)類(lèi)型�;若是���,則調(diào)用自定義的用于文件打開(kāi)的應(yīng)用程序接口對(duì)所述目標(biāo)文件進(jìn)行操作���,具體包括獲取文件操作請(qǐng)求,所述請(qǐng)求中包括調(diào)用者輸入?yún)?shù)���,所述輸入?yún)?shù)中包括文件路徑��;依據(jù)所述文件路徑在對(duì)象管理器中查找對(duì)應(yīng)的文件對(duì)象解析例程�����;若查找到對(duì)應(yīng)的文件對(duì)象解析例程����,則依據(jù)所述文件對(duì)象解析例程生成I/O請(qǐng)求包����,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址。本發(fā)明可以在復(fù)雜的客戶(hù)端環(huán)境中識(shí)別惡意程序的文件自保護(hù)行為并加以對(duì)抗����,以增強(qiáng)和驅(qū)動(dòng)級(jí)惡意程序攻防的對(duì)抗能力���。
文檔編號(hào)G06F21/56GK102855433SQ201110175399
公開(kāi)日2013年1月2日 申請(qǐng)日期2011年6月27日 優(yōu)先權(quán)日2011年6月27日
發(fā)明者王宇, 周鴻祎 申請(qǐng)人:奇智軟件(北京)有限公司