專利名稱:用于監(jiān)測可疑文件啟動的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種防范病毒侵襲的方法和裝置,尤其涉及一種監(jiān)測可疑文件啟動的方法和裝置����。
背景技術(shù):
在操作系統(tǒng)中,文件的類型是以文件的擴(kuò)展名來加以區(qū)分的�。就安全性而言,可將文件類型大體可分為兩大類其一�����,安全文件����,即��,文件本身并不包含可由系統(tǒng)運行的程序����,例如�����,由擴(kuò)展名“.txt”表示的純文本文件�����;其二�,具有潛在威脅的文件,文件中包含可由系統(tǒng)運行的程序����,而這些程序可能攜帶有侵害系統(tǒng)安全的惡意程序或病毒��,例如�,擴(kuò)展名“.exe”表示的可執(zhí)行文件。為此���,用戶經(jīng)常被告知要慎重打開那些來歷不明的具有潛在威脅的文件����,如“.exe”文件,以免遭到病毒的侵襲�。
然而,隨著計算機技術(shù)的發(fā)展��,由用戶根據(jù)擴(kuò)展名來初步識別文件的安全性���,已經(jīng)越來越困難�����。
現(xiàn)今的操作系統(tǒng)�,例如Windows操作系統(tǒng)�,不再限制文件名的長度,而且可以支持多個擴(kuò)展名�����,例如“abjeck.txt.exe”���。然而����,在操作系統(tǒng)的缺省狀態(tài)下,文件的最后一個擴(kuò)展名���,也就是真正標(biāo)識文件類型的擴(kuò)展名往往是隱藏起來不顯示的�,例如�,將“abjeck.txt.exe”顯示為“afjeck.txt”。這樣���,一個實際上具有威脅的可執(zhí)行文件看上去就變成了無害的文本文件���。另外,當(dāng)文件名過長時�,操作系統(tǒng)也只顯示文件名的開頭部分,而將文件名中的其他字符及擴(kuò)展名隱藏起來�����。因而���,用戶通常看不到長文件名文件的擴(kuò)展名����,難以分別其文件類型��。這就為病毒文件偽裝成正常無害文件創(chuàng)造了可能�。
此外���,在現(xiàn)今的操作系統(tǒng)中���,由于系統(tǒng)大量使用了文件關(guān)聯(lián)技術(shù),即����,將一類文件與相應(yīng)的應(yīng)用程序相關(guān)聯(lián),而使得可以運行的文件的類型大大增多�,已經(jīng)不再局限于傳統(tǒng)的可執(zhí)行文件類型。例如�����,系統(tǒng)可以運行文檔文件�、HTML文件、Flash文件等等����。而這些增加的文件類型中也會有一些具有攜帶病毒��、侵害系統(tǒng)的潛在可能��。最典型的例如微軟的Office產(chǎn)品文檔�����,由于其可以包含可執(zhí)行的腳本語言代碼��,因而這種文檔文件也很可能攜帶病毒��。
面對這些種類繁多的具有潛在威脅的文件類型����,以及經(jīng)過刻意偽裝的病毒文件�����,用戶難以人為地及時識別出可疑的文件��,從而時常導(dǎo)致最終用戶無意之間啟動了病毒的文件���。
為此需要尋找一種簡便易行的方法來防止用戶啟動可疑的程序或文檔�。
發(fā)明內(nèi)容
本發(fā)明的一個目的在于提供一種監(jiān)測計算機系統(tǒng)內(nèi)可疑文件啟動的方法,使用該方法可以有效阻止偽裝為正常文件的病毒文件的運行和傳播�。
為了實現(xiàn)上述的目的�����,本發(fā)明提出了一種監(jiān)測可疑文件啟動的方法���,包括以下步驟(a)截獲與待啟動文件相關(guān)聯(lián)的啟動操作����;(b)獲取所要啟動的文件的文件名和/或擴(kuò)展名�����;(c)判斷該文件名和/或擴(kuò)展名是否具有掩蓋該文件的真實文件類型的可能�����;(d)如果判斷結(jié)果為是����,則向用戶發(fā)出警告信息。
根據(jù)本發(fā)明的一個方面�,本發(fā)明提出的方法還包括在所述步驟(c)的判斷結(jié)果為是���,且判斷所述啟動操作具有威脅系統(tǒng)安全的可能時,向用戶發(fā)出警告���。
此外��,本發(fā)明還提出了用于實現(xiàn)上述方法的裝置�����、計算機系統(tǒng)���,以及用于承載實現(xiàn)上述方法的程序代碼的計算機程序產(chǎn)品。
參考下面結(jié)合附圖的說明書及權(quán)利要求書��,將更全面地了解本發(fā)明�,而且本發(fā)明的這些及其他特點將變得更加顯而易見。
以下將結(jié)合附圖和具體實施例對本發(fā)明進(jìn)行詳細(xì)描述�,其中圖1示出根據(jù)本發(fā)明一個實施例的用于監(jiān)測可疑文件啟動的方法的流程圖;圖2示出根據(jù)本發(fā)明一個實施例的用于監(jiān)測可疑文件啟動的監(jiān)測裝置的結(jié)構(gòu)框圖�����。
具體實施例方式
圖1示出根據(jù)本發(fā)明一個實施例的用于監(jiān)測可疑文件啟動的方法的流程圖���。
下面結(jié)合附圖1以用戶打開“adgegbjeck.txt.doc”為例詳細(xì)描述本發(fā)明���。其中���,在操作系統(tǒng)的缺省模式下��,“adgegbjeck.txt.doc”被顯示為“adgegbjeck.txt”����。
根據(jù)文件關(guān)聯(lián)技術(shù),操作系統(tǒng)將某一類文件(如“.doc”文件)與用于啟動這類文件的應(yīng)用程序(例如Office的Word程序)相關(guān)聯(lián)�,并且將這種關(guān)聯(lián)關(guān)系預(yù)先記錄在注冊表中。當(dāng)用戶期望啟動“adgegbieck.txt.doc”時���,操作系統(tǒng)就按照該文件的擴(kuò)展名“.doc”在注冊表中搜索����,若找到與之對應(yīng)的應(yīng)用程序——Word程序����,則啟動該應(yīng)用程序,從而完成該文件的啟動����。
本發(fā)明提出的方法正是在操作系統(tǒng)(Windows Shell)啟動任何文件之前通過實現(xiàn)IShellExecuteHook接口來攔截文件的啟動過程(步驟110)��。然后����,根據(jù)所攔截的啟動操作�����,獲取待啟動的文件的文件名和/或擴(kuò)展名——“adgegbjeck.txt.doc”(步驟120)�����。
繼而�,在步驟130中,判斷該文件的文件名和/或擴(kuò)展名是否在客觀上具有能夠掩蓋其文件的真實文件類型的可能性�����。在本發(fā)明中��,這種判斷可采用多種方式來實現(xiàn)���。例如���,當(dāng)待啟動的文件具有不止一個擴(kuò)展名時�����,則判斷該文件可疑��。在本實施例中��,由于adgegbjeck.txt.doc具有兩個擴(kuò)展名�����,則可判斷該文件可疑。為了判斷更為準(zhǔn)確�,還可以當(dāng)文件具有不止一個擴(kuò)展名或者文件名中含有的空白超過一預(yù)定閾值(如50個空格),而且與該類文件關(guān)聯(lián)的應(yīng)用程序(也就是該文件的真正文件類型)可能具有潛在威脅時�,判斷該文件可疑。在本實施例中���,與文件adgegbjeck.txt.doc關(guān)聯(lián)的Word程序具有潛在威脅����,因此在第二種判斷條件下該文件依然被判斷為可疑文件����。當(dāng)然����,具有潛在威脅的文件類型還可包括可執(zhí)行文件���,以及包含系統(tǒng)可執(zhí)行代碼的其他文件�。
接下來�,如果經(jīng)過判斷確認(rèn)該文件具有能夠掩蓋其文件的真實文件類型的可能,則繼而在步驟140中向用戶發(fā)出警告���,要求用戶進(jìn)一步確認(rèn)是否繼續(xù)啟動�。這樣就給用戶以確認(rèn)該文件沒有危害的時間�����,從而能夠阻止部分病毒程序或者文檔的運行以及傳播�����。如果在步驟130中未發(fā)現(xiàn)任何異常�,則結(jié)束本發(fā)明提出的監(jiān)測操作。
這里需要指出,本發(fā)明中僅示例性地描述了判別文件名和/或擴(kuò)展名的方法�����,然而在實際應(yīng)用中還可以針對各種病毒程序的特點����,制定其他的判別方法。
以上結(jié)合附圖1描述了本發(fā)明提出的監(jiān)測方法的實現(xiàn)過程����。本發(fā)明提出的方法可以由軟件來實現(xiàn),也可以由硬件來實現(xiàn)��,或者采用軟硬件結(jié)合的方式來實現(xiàn)���。
圖2示例性地給出了實現(xiàn)本發(fā)明提出的監(jiān)測方法的一種硬件結(jié)構(gòu)框圖。如圖2所示用于實現(xiàn)本發(fā)明提出的監(jiān)測方法的監(jiān)測裝置200包括截獲啟動操作單元210�,用于截獲與待啟動文件相關(guān)聯(lián)的啟動操作;獲取單元220���,用于根據(jù)所述截獲啟動操作單元截獲的啟動操作����,獲取所要啟動的文件的文件名和/或擴(kuò)展名��;判斷單元230,用于判斷所述獲取單元所獲取的該文件名和/或擴(kuò)展名是否具有掩蓋該文件的真實文件類型的可能���;告警單元240��,用于根據(jù)所述判斷單元230的判斷結(jié)果��,向用戶發(fā)出警告信截獲啟動�����。
以上結(jié)合附圖詳細(xì)描述了將本發(fā)明提出的方法應(yīng)用在Windows操作系統(tǒng)中的情況��,但本發(fā)明提出的方法并不限于Windows操作系統(tǒng)�����,還可以應(yīng)用于其他類似的操作系統(tǒng)中�����。
有益效果以上結(jié)合附圖描述了本發(fā)明提出的監(jiān)測可疑文件啟動的方法�。采用本發(fā)明提出的方法可以在文件啟動之前判斷其文件名和/或擴(kuò)展名是否包含偽裝欺騙的可能����,因而可以有效阻止部分病毒程序或惡意程序的傳播和執(zhí)行���。例如從即時通訊工具中由其他聯(lián)系人傳送過來的不明程序或者文檔。此外�����,本發(fā)明提出的方法簡便易行�����,處理時間短�����,也不會占用過多資源�。
雖然本發(fā)明已以前述優(yōu)選可實施例說明,然而其并非用于限制本發(fā)明�,任何本領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下�,可作各種的更動與修改�。因此本發(fā)明的保護(hù)范圍以所附的權(quán)利要求為準(zhǔn)。
權(quán)利要求
1.一種監(jiān)測可疑文件啟動的方法���,包括以下步驟(a)截獲與待啟動文件相關(guān)聯(lián)的啟動操作��;(b)根據(jù)所截獲的啟動操作����,獲取所要啟動的文件的文件名和/或擴(kuò)展名;(c)根據(jù)所獲取的文件名和/或擴(kuò)展名�,判斷該文件名和/或擴(kuò)展名是否具有掩蓋該文件的真實文件類型的可能;(d)如果判斷結(jié)果為是�,則向用戶發(fā)出警告信息。
2.如權(quán)利要求1所述的方法���,其中所述步驟(c)包括檢查所述文件名中的空格數(shù)目是否超過一個預(yù)定的閾值����;如果超過�,則判斷所述文件名具有掩蓋所述文件的真實文件類型的可能。
3.如權(quán)利要求1所述的方法��,其中所述步驟(c)包括檢查所述擴(kuò)展名中是否包含不止一個擴(kuò)展名�����;如果所述擴(kuò)展名包含不止一個擴(kuò)展名�,則判斷所述擴(kuò)展名具有掩蓋所述文件的真實文件類型的可能�。
4.如權(quán)利要求1-3任一所述的方法�����,其中所述步驟(d)還包括如果所述步驟(c)的判斷結(jié)果為是���,且判斷所述啟動操作具有威脅系統(tǒng)安全的可能�,則向用戶發(fā)出警告����。
5.如權(quán)利要求4所述的方法,其中判斷所述啟動操作具有威脅系統(tǒng)安全的可能的步驟包括判斷所述啟動操作是否為直接啟動可執(zhí)行程序���;如果是���,則判斷該啟動操作具有威脅系統(tǒng)安全的可能。
6.如權(quán)利要求4所述的方法���,其中判斷所述啟動操作具有威脅系統(tǒng)安全的可能的步驟包括判斷所述啟動操作是否包含運行所述文件中程序代碼的功能�;如果是�����,則判斷該啟動操作具有威脅系統(tǒng)安全的可能��。
7.如權(quán)利要求6所述的方法�����,其中所述程序代碼為腳本語言代碼���。
8.如權(quán)利要求1所述的方法�,其中所述文件包括可執(zhí)行程序或者文檔�。
9.如權(quán)利要求8所述的方法,其中所述文檔包括微軟Office產(chǎn)品的文檔�。
10.如權(quán)利要求1所述的方法,其中�,所述方法作為MicrosoftWindows的Shell擴(kuò)展形式工作,具體實現(xiàn)中實現(xiàn)了IShellExecuteHook接口�����。
11.一種監(jiān)測裝置����,用于監(jiān)測可疑文件的啟動,包括截獲啟動操作單元��,用于截獲與待啟動文件相關(guān)聯(lián)的啟動操作;獲取單元�,用于根據(jù)所述截獲啟動操作單元截獲的啟動操作,獲取所要啟動的文件的文件名和/或擴(kuò)展名�����;判斷單元�,用于判斷所述獲取單元所獲取的該文件名和/或擴(kuò)展名是否具有掩蓋該文件的真實文件類型的可能;告警單元����,用于根據(jù)所述判斷單元的判斷結(jié)果,向用戶發(fā)出警告信息��。
12.如權(quán)利要求11所述的監(jiān)測裝置�,其中所述判斷單元檢查所述文件名中的空格數(shù)目是否超過一個預(yù)定的閾值;如果超過���,則判斷所述文件名具有掩蓋所述文件的真實文件類型的可能�。
13.如權(quán)利要求11所述的監(jiān)測裝置����,其中所述判斷單元檢查所述擴(kuò)展名中是否包含不止一個擴(kuò)展名;如果所述擴(kuò)展名包含不止一個擴(kuò)展名����,則判斷所述擴(kuò)展名具有掩蓋所述文件的真實文件類型的可能�。
14.如權(quán)利要求11-13任一所述的監(jiān)測裝置�����,其中所述判斷單元還判斷所述啟動操作具有威脅系統(tǒng)安全的可能��。
15.如權(quán)利要求14所述的監(jiān)測裝置�����,其中所述判斷單元判斷所述啟動操作是否為直接啟動可執(zhí)行程序����;如果是�����,則判斷該啟動操作具有威脅系統(tǒng)安全的可能����。
16.一種計算機系統(tǒng),包括如權(quán)利要求11-15所述的用于監(jiān)測可疑文件啟動的監(jiān)測裝置��。
17.一種計算機程序產(chǎn)品,包括用于實現(xiàn)如權(quán)利要求1-10所述方法的計算機可讀代碼��。
全文摘要
一種監(jiān)測可疑文件啟動的方法��。該方法包括截獲程序啟動操作���;獲得待啟動的文件的文件名和/或擴(kuò)展名��;檢查該文件的文件名和/或擴(kuò)展名客觀上是否具有能夠掩蓋該文件的真實文件類型的可能性���,如果是,則向用戶發(fā)出警告信息��,由用戶選擇是否繼續(xù)啟動過程��。采用此方法可以使用戶在某些病毒文件或惡意程序啟動時得到警告����,并選擇是否繼續(xù)啟動。給用戶以確認(rèn)文件沒有危害的時間�,用以阻止部分病毒或惡意程序的運行以及傳播。
文檔編號G06F17/30GK1983294SQ20061010597
公開日2007年6月20日 申請日期2006年7月21日 優(yōu)先權(quán)日2005年12月12日
發(fā)明者張宇平 申請人:北京瑞星國際軟件有限公司