專利名稱:一種實時防護文件的監(jiān)控方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機數(shù)據(jù)安全領(lǐng)域����,具體地說,涉及一種實時防護文件的監(jiān)控方 法及裝置����。
背景技術(shù):
由于互聯(lián)網(wǎng)的發(fā)展,病毒傳播的速度和范圍都有了極大的增長����。面對互聯(lián)網(wǎng)上 每天層出不窮的新病毒,各廠商們推出了各式各樣的殺毒軟件�����,每種都有各自得優(yōu)勢和 缺點���,為了更全面防護自己的電腦不受病毒侵害,用戶往往希望在電腦上安裝多個殺毒 軟件,以這些殺毒軟件間的優(yōu)勢互補��,來為自己的電腦提供更高程度的安全保障���。但事實卻是還沒等到病毒發(fā)起進攻��,電腦就已經(jīng)倒在了各種殺毒軟件的沖突 之下�����。為了更高的安全度�,絕大部分殺毒軟件一般都提供實時防護功能��。由于殺毒軟件 的實時防護功能通常需要接管操作系統(tǒng)的文件訪問驅(qū)動�,即對于操作系統(tǒng)中任何文件的 訪問都先由殺毒軟件的文件訪問驅(qū)動程序截獲,在處理之后再傳遞給要訪問該文件的應(yīng) 用程序�����。當安裝兩款以上殺毒軟件時����,多款殺毒軟件的實時防護文件驅(qū)動要同時攔截對 操作系統(tǒng)中同一文件的訪問,這時殺毒軟件之間就會產(chǎn)生沖突���,因此通常會造成操作系 統(tǒng)鎖死而無法繼續(xù)工作����。這就需要提出一種改進的實時防護文件監(jiān)控機制,以解決多個殺毒軟件共存和 操作系統(tǒng)鎖死的問題�����。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明所要解決的技術(shù)問題是提供了一種實時防護文件的監(jiān)控方法 及裝置�����,解決了殺毒軟件的文件訪問驅(qū)動程序之間沖突的問題�����。為了解決上述技術(shù)問題�,本發(fā)明公開了一種實時防護文件的監(jiān)控方法,應(yīng)用于 監(jiān)控裝置與其他裝置同時監(jiān)控到對操作系統(tǒng)中一文件的訪問行為的情況���,包括所述監(jiān) 控裝置監(jiān)控到所述訪問行為時�,在數(shù)據(jù)表中記錄所述文件并放行所述訪問行為;所述監(jiān) 控裝置輪詢所述數(shù)據(jù)表�����,根據(jù)其中的記錄查找所述文件并對其進行掃描��,再根據(jù)掃描結(jié) 果對所述訪問行為進行攔截或保持放行�����。進一步地�����,所述監(jiān)控裝置輪詢所述數(shù)據(jù)表�,根據(jù)所述數(shù)據(jù)表的記錄查找所述文 件并對其進行掃描���,再根據(jù)掃描結(jié)果對所述文件的訪問進行攔截或保持放行的步驟�,包 括第一子步驟所述監(jiān)控裝置周期或?qū)崟r輪詢所述數(shù)據(jù)表�,獲取其中新增加的所述文件 的標識,再根據(jù)所述數(shù)據(jù)表中記錄的所述文件的標識與地址之間的映射關(guān)系確定所述文 件在所述操作系統(tǒng)中的地址����。進一步地���,所述周期的長度設(shè)置為至少保證所述其他裝置對所述文件完成一次 掃描。進一步地��,所述監(jiān)控裝置輪詢所述數(shù)據(jù)表�����,根據(jù)所述數(shù)據(jù)表的記錄查找所述文 件并對其進行掃描���,再根據(jù)掃描結(jié)果對所述文件的訪問進行攔截或保持放行的步驟��,包括第二子步驟所述監(jiān)控裝置在所述操作系統(tǒng)的相應(yīng)地址沒有查找到所述文件�,則在所述數(shù)據(jù)表中清除所述文件的標識和地址����。進一步地,所述監(jiān)控裝置輪詢所述數(shù)據(jù)表����,根據(jù)所述數(shù)據(jù)表的記錄查找所述文 件并對其進行掃描,再根據(jù)掃描結(jié)果對所述文件的訪問進行攔截或保持放行的步驟�,包 括第二子步驟所述監(jiān)控裝置在所述操作系統(tǒng)的相應(yīng)地址查找到所述文件,如果掃描后 發(fā)現(xiàn)所述文件安全����,則對所述文件的訪問保持放行����;如果掃描后發(fā)現(xiàn)所述文件不安全���, 則攔截對所述文件的訪問,并根據(jù)策略直接處理或詢問用戶對所述文件的處理����。為了解決上述技術(shù)問題,本發(fā)明還公開了一種實時防護文件的監(jiān)控方法��,應(yīng)用 于監(jiān)控裝置與其他裝置同時監(jiān)控到對操作系統(tǒng)中一文件的訪問行為的情況���,所述監(jiān)控裝 置包括驅(qū)動側(cè)和掃描側(cè)����,所述監(jiān)控方法包括所述驅(qū)動側(cè)監(jiān)控到對操作系統(tǒng)中一文件的 訪問行為時���,在數(shù)據(jù)表中記錄所述文件并放行所述訪問行為�;所述掃描側(cè)輪詢所述數(shù)據(jù) 表�����,根據(jù)所述數(shù)據(jù)表的記錄查找所述文件并對其進行掃描,并將掃描結(jié)果記錄在所述數(shù) 據(jù)表中����;所述驅(qū)動側(cè)讀取所述數(shù)據(jù)表,根據(jù)所述掃描結(jié)果對所述文件的訪問進行攔截或 保持放行�����。進一步地��,所述驅(qū)動側(cè)監(jiān)控到對操作系統(tǒng)中一文件的訪問行為���,在數(shù)據(jù)表中記 錄所述文件���,并放行對所述文件的訪問的步驟,包括所述驅(qū)動側(cè)檢查所述文件是否記 錄在所述數(shù)據(jù)表中��,如果沒有記錄�����,將所述文件的標識和在所述操作系統(tǒng)中的地址記錄 到所述數(shù)據(jù)表中,放行對所述文件的訪問行為����。進一步地,所述掃描側(cè)輪詢所述數(shù)據(jù)表���,根據(jù)所述數(shù)據(jù)表的記錄查找所述文件 并對其進行掃描�����,并將掃描結(jié)果記錄在所述數(shù)據(jù)表中的步驟,包括第一子步驟所述掃 描側(cè)周期或?qū)崟r輪詢所述數(shù)據(jù)表����,獲取新增加的所述文件的標識,再根據(jù)所述數(shù)據(jù)表中 記錄的所述文件的標識與地址之間的映射關(guān)系確定所述文件在所述操作系統(tǒng)中的地址���。進一步地����,所述周期的長度設(shè)置為至少保證所述其他裝置對所述文件完成一次 掃描�。進一步地,所述掃描側(cè)輪詢所述數(shù)據(jù)表�,根據(jù)所述數(shù)據(jù)表的記錄查找所述文件 并對其進行掃描,并將掃描結(jié)果記錄在所述數(shù)據(jù)表中的步驟,包括第二子步驟所述掃 描側(cè)在所述操作系統(tǒng)的相應(yīng)地址查找到所述文件����,如果掃描后發(fā)現(xiàn)所述文件安全,則在 所述數(shù)據(jù)表內(nèi)將所述文件的安全屬性記錄為安全����;如果掃描后發(fā)現(xiàn)所述文件不安全,則 在所述數(shù)據(jù)表內(nèi)將所述文件的安全屬性記錄為不安全��。進一步地��,所述驅(qū)動側(cè)讀取所述數(shù)據(jù)表���,根據(jù)所述掃描結(jié)果對所述文件的訪問 進行攔截或保持的步驟�,包括所述驅(qū)動側(cè)周期或?qū)崟r輪詢所述數(shù)據(jù)表��,讀取所述數(shù)據(jù) 表中更新的所述文件的安全屬性����,在獲知所述文件安全時對所述文件的訪問保持放行; 在獲知所述文件不安全時攔截對所述文件的訪問����,并根據(jù)策略直接處理或詢問用戶對所 述文件的處理����。為了解決上述技術(shù)問題�,本發(fā)明還公開了一種實時防護文件的監(jiān)控裝置,包 括文件訪問驅(qū)動模塊���、數(shù)據(jù)表和掃描模塊����,其中�����,所述文件訪問驅(qū)動模塊��,用于監(jiān)控 對操作系統(tǒng)中一文件的訪問行為�����,在所述數(shù)據(jù)表中記錄所述文件的標識和地址�����,并放行 對所述文件的訪問��;讀取所述數(shù)據(jù)表�,依據(jù)其中所述文件的安全屬性對所述文件的訪問 進行攔截或保持放行;所述掃描模塊��,用于輪詢所述數(shù)據(jù)表��,根據(jù)所述文件的標識和地址查找所述文件并對其進行掃描�,再根據(jù)掃描結(jié)果在所述數(shù)據(jù)表中記錄所述文件的安全 屬性;所述數(shù)據(jù)表�����,用于記錄所述文件的標識�����、地址和安全屬性���。進一步地��,所述掃描模塊�����,用于周期或?qū)崟r輪詢所述數(shù)據(jù)表���,獲取新增加的所 述文件的標識���,再根據(jù)所述數(shù)據(jù)表中記錄的所述文件的標識與地址之間的映射關(guān)系確定 所述文件在所述操作系統(tǒng)中的地址。
進一步地����,所述掃描模塊,輪詢所述數(shù)據(jù)表的周期的長度設(shè)置為至少保證其他 監(jiān)控裝置對所述文件完成一次掃描��。進一步地���,所述掃描模塊��,在所述操作系統(tǒng)的相應(yīng)地址沒有查找到所述文件����, 則在所述數(shù)據(jù)表中清除所述文件的標識�、地址和安全屬性�����;當掃描后發(fā)現(xiàn)所述文件安 全�,則在所述數(shù)據(jù)表內(nèi)對所述文件的安全屬性記錄為安全����;當掃描后發(fā)現(xiàn)所述文件不安 全��,則在所述數(shù)據(jù)表內(nèi)對所述文件的安全屬性記錄為不安全�����。進一步地�����,所述文件訪問驅(qū)動模塊��,周期或?qū)崟r輪詢所述數(shù)據(jù)表�����,讀取所述數(shù) 據(jù)表中更新的所述文件的安全屬性��,在獲知所述文件安全時對所述文件的訪問保持放 行�����;在獲知所述文件不安全時攔截對所述文件的訪問�����,根據(jù)策略直接處理或詢問用戶對 所述文件的處理。與現(xiàn)有的方案相比�,本發(fā)明所獲得的技術(shù)效果1)本發(fā)明解決了殺毒軟件的文件訪問驅(qū)動程序之間的沖突,使得使用本發(fā)明 技術(shù)的殺毒裝置可以和其他殺毒裝置并存�,并同時開啟實時防護而不會出現(xiàn)操作系統(tǒng)鎖 死;2)同時本發(fā)明的方式不會導(dǎo)致操作系統(tǒng)性能變慢���,而且在其他殺毒裝置的實時 防護開啟時���,使用本發(fā)明技術(shù)的殺毒裝置的實時防護也正常工作而沒有被關(guān)閉,保證了 用戶的電腦的安全性�����。
圖1為本發(fā)明實施例的方法流程圖���;圖2為本發(fā)明實施例的處理示意3為本發(fā)明實施例的裝置結(jié)構(gòu)示意圖��。
具體實施例方式以下將配合圖式及實施例來詳細說明本發(fā)明的實施方式�����,藉此對本發(fā)明如何應(yīng) 用技術(shù)手段來解決技術(shù)問題并達成技術(shù)功效的實現(xiàn)過程能充分理解并據(jù)以實施����。本發(fā)明的核心構(gòu)思在于驅(qū)動側(cè)監(jiān)控到對操作系統(tǒng)中一文件的訪問行為�,在數(shù) 據(jù)表中記錄所述文件,并放行對所述文件的訪問��;掃描側(cè)輪詢所述數(shù)據(jù)表��,根據(jù)所述數(shù) 據(jù)表的記錄查找所述文件并對其進行掃描����,并將掃描結(jié)果記錄在所述數(shù)據(jù)表中;驅(qū)動側(cè) 讀取所述數(shù)據(jù)表�,根據(jù)所述掃描結(jié)果對所述文件的訪問進行攔截或保持放行。在監(jiān)控裝置監(jiān)控到一程序?qū)Σ僮飨到y(tǒng)中的一文件的訪問行為的同時����,如果安裝 在電腦上的其他監(jiān)控裝置也監(jiān)控到了此訪問行為,按現(xiàn)有技術(shù)進行攔截并同時對所述文 件進行掃描處理時�,兩者必然發(fā)生沖突從而導(dǎo)致操作系統(tǒng)鎖死;但是在本發(fā)明的方案中�����,通過記錄放行的操作對該文件暫不處理��,從而避免了沖突的發(fā)生。另外�����,本發(fā)明通過記錄放行的操作和/或周期設(shè)置所消耗的時間�,使得安裝在 電腦上的其他監(jiān)控裝置可以在這段時間內(nèi)優(yōu)先掃描處理這個文件,這樣保證了此文件不 會被漏過�,確保了電腦的安全性;在這段時間內(nèi)��,當安裝在電腦上的其他監(jiān)控裝置攔截掃描后認為所述文件不安 全�,則對所述文件進行對應(yīng)的處理;當安裝在電腦上的其他監(jiān)控裝置攔截掃描后認為所 述文件安全��,則放行對所述文件的訪問��;而安裝在電腦上的其他監(jiān)控裝置判定過的這些文件后�����,本發(fā)明的監(jiān)控裝置還要 進行再一次攔截掃描����,進一步保證了用戶的電腦的安全性,達到了多重防御的效果。如圖1和圖2所示�,為本發(fā)明實施例的方法包括步驟Si,安裝在電腦上的監(jiān)控裝置1的實時防護功能開啟�����,監(jiān)控裝置1的文件 訪問驅(qū)動模塊10監(jiān)控對電腦的操作系統(tǒng)中任何文件的訪問�;步驟S2����,文件訪問驅(qū)動模塊10在某一時刻監(jiān)視發(fā)現(xiàn)某程序正在對操作系統(tǒng)中的 一文件A進行訪問。此時����,安裝在電腦上的其他監(jiān)控裝置也監(jiān)控到了某程序正在對所述文件A進行 訪問ο步驟S3,文件訪問驅(qū)動模塊10首先檢查文件A是否記錄在數(shù)據(jù)表11中��,如果 沒有記錄���,則說明是殺毒軟件1第一次發(fā)現(xiàn)該文件A被訪問��,將該文件A的標識和地址 記錄到數(shù)據(jù)表11中��,放行所述程序?qū)ξ募嗀的訪問行為�;數(shù)據(jù)表11中保存有文件A的標識、地址和文件的安全屬性�����;文件訪問驅(qū)動模塊 10在此步驟所記錄的是該文件A的標識和地址���,此時安全屬性為空白�����;步驟S4����,掃描模塊12周期性輪詢數(shù)據(jù)表11�,發(fā)現(xiàn)數(shù)據(jù)表11新增加了文件A的 標識后,將所述文件A的標識添加到自己的掃描隊列中��;所述掃描模塊12輪詢數(shù)據(jù)表11的周期長度的設(shè)置要至少保證安裝在電腦上的其 他監(jiān)控裝置可以對所述文件A進行一次掃描����;在實際操作中,往往是在一個周期內(nèi)或者實時對多個文件的訪問行為進行監(jiān) 控����,所以掃描模塊12會通過多個文件被添加的順序組織掃描隊列���,根據(jù)掃描隊列排列管 理所述文件的標識,并依據(jù)掃描隊列完成對所述文件的掃描���。在上述周期內(nèi)���,電腦上的其他監(jiān)控裝置應(yīng)該已經(jīng)對文件A完成掃描���,可能文件 A被其他監(jiān)控裝置掃描后認為是惡意程序��,在經(jīng)過用戶許可后被其他監(jiān)控裝置清除��,也 可能文件A被其他監(jiān)控裝置掃描后認為安全�,而對訪問進行放行�;此時不考慮其他監(jiān)控 裝置的處理結(jié)果,監(jiān)控裝置1依然對文件A進行掃描���。注意��,因為目前監(jiān)控裝置的掃描處理速度是非?�?斓?���,而一般情況下步驟S3中 如“將文件A的標識記錄到數(shù)據(jù)表,放行所述程序?qū)ξ募嗀的訪問行為”等處理所消 耗的時長已足夠保證這些監(jiān)控裝置對所述文件A進行一次掃描��,所以對于上述情況�,掃 描模塊12也可以實時輪詢掃描隊列;但是在有些監(jiān)控裝置不能在步驟S3的操作同時對文件A完成掃描時�����,周期的設(shè) 置還是需要的��,使本方案在各種惡劣情況下依然穩(wěn)定地保證了使用本發(fā)明技術(shù)的監(jiān)控裝 置可以和其他監(jiān)控裝置并存����。
步驟S5,掃描模塊12根據(jù)掃描隊列中文件A的標識����,在操作系統(tǒng)的相應(yīng)地址查 找文件A ;文件A的標識除了標識文件���,還用于指向數(shù)據(jù)表中記錄的文件A在操作系統(tǒng)中 的地址數(shù)據(jù)表中記錄有文件標識與文件地址的映射關(guān)系�,掃描模塊12可以通過掃描隊 列中文件標識映射到數(shù)據(jù)表中的文件地址���,從而確定所述文件在操作系統(tǒng)中的地址�;步驟S6,掃描模塊12沒有在操作系統(tǒng)的相應(yīng)地址查找到所述文件A����,說明文 件A已被其他監(jiān)控裝置判定為不安全并進行了清除,則從掃描隊列和數(shù)據(jù)表11中清除所 述文件A的信息(包括標識����、地址和空白的安全屬性),跳轉(zhuǎn)步驟Si��,繼續(xù)進行實時防 護����;步驟S7�,掃描模塊12在所述地址查找到所述文件A,說明文件A可能被其他監(jiān) 控裝置判定為不安全但并未進行處理�,也可能被其他監(jiān)控裝置判定為安全,此時掃描模 塊12依然對文件A進行掃描��,如果掃描后發(fā)現(xiàn)所述文件A為安全���,執(zhí)行步驟S8;如果 掃描后發(fā)現(xiàn)所述文件A為不安全���,執(zhí)行步驟SlO ��;步驟S8����,如果掃描后發(fā)現(xiàn)所述文件A為安全�,則掃描模塊12在數(shù)據(jù)表11內(nèi)對 文件A的安全屬性記錄為安全,從掃描隊列中清除所述文件A的標識��;步驟S9��,文件訪問驅(qū)動模塊10周期或?qū)崟r輪詢數(shù)據(jù)表11�����,在數(shù)據(jù)表11中讀取 文件A的安全屬性記錄為安全�,則放行對所述文件A的訪問,跳轉(zhuǎn)步驟Si�,繼續(xù)進行實 時防護;步驟S10�����,如果掃描后發(fā)現(xiàn)所述文件A為不安全����,則掃描模塊12在數(shù)據(jù)表11內(nèi) 對文件A的安全屬性記錄為不安全�,從掃描隊列中清除所述文件A的標識�;步驟S11,文件訪問驅(qū)動模塊10周期或?qū)崟r輪詢數(shù)據(jù)表11���,在數(shù)據(jù)表11中讀 取文件A的安全屬性記錄為不安全�����,根據(jù)策略直接處理或詢問用戶是否對文件A進行處 理���,例如拒絕訪問、對文件A進行隔離或刪除等等���,跳轉(zhuǎn)步驟Si,繼續(xù)進行實時防 護���。上述步驟S3中�,如果文件訪問驅(qū)動模塊10發(fā)現(xiàn)文件A已經(jīng)記錄在數(shù)據(jù)表11 中����,則說明安裝在電腦上的各殺毒軟件之前已對該文件A進行過掃描判斷�����,文件訪問驅(qū) 動模塊10讀取數(shù)據(jù)表11記錄的文件A的安全屬性���,如果文件A為安全,則直接放行���; 如果文件A為不安全�,則根據(jù)策略直接處理或詢問用戶是否對文件A進行處理即可�����。由上可知����,對于容易引發(fā)沖突的上述訪問行為經(jīng)過上述的處理之后避免了沖突 的發(fā)生,而且各監(jiān)控裝置在之后實時保護監(jiān)控中也不會再存在沖突如果本發(fā)明的監(jiān)控裝置對某行為或程序的狀態(tài)設(shè)置記錄為安全�,必然是所有監(jiān) 控裝置都認為是安全的,則在之后的監(jiān)控中�����,所有監(jiān)控裝置會對該行為或程序直接放 行,因此��,監(jiān)控裝置之間不會產(chǎn)生沖突��;如果本發(fā)明的監(jiān)控裝置對某行為或程序的狀態(tài)設(shè)置記錄為不安全����,則必然是別 的監(jiān)控裝置已經(jīng)判定為安全的,在之后的監(jiān)控中���,別的監(jiān)控裝置會直接放行�,而本發(fā)明 的監(jiān)控裝置會對該訪問攔截�����,因此���,監(jiān)控裝置之間也不會產(chǎn)生沖突����,而且也可以保證電 腦的安全�����。如圖3所示�,為本發(fā)明實施例的監(jiān)控裝置結(jié)構(gòu)示意圖,包括文件訪問驅(qū)動模 塊10����、數(shù)據(jù)表11和掃描模塊12;
9
文件訪問驅(qū)動模塊10,在某一時刻監(jiān)控到一程序?qū)Σ僮飨到y(tǒng)中一文件的訪問行 為時��,將該文件的標識和地址記錄到數(shù)據(jù)表11中���,并放行所述程序?qū)λ鑫募脑L問����; 周期或?qū)崟r輪詢數(shù)據(jù)表11���,讀取更新的數(shù)據(jù)表11中的所述文件的安全屬性�,在獲知所述 文件安全時繼續(xù)保持對所述訪問的放行���;在獲知所述文件不安全時攔截所述訪問�,根據(jù) 策略直接處理或詢問用戶是否對所述文件進行處理�����,例如拒絕訪問、對文件A進行隔 離或刪除等等���;數(shù)據(jù)表11�����,記錄所述文件的標識�����、地址和安全屬性�����;掃描模塊12��,周期性輪詢數(shù)據(jù)表11��,每一周期發(fā)現(xiàn)數(shù)據(jù)表11新增加了文件的 標識后��,將所述文件的標識添加到自己的掃描隊列中����,根據(jù)掃描隊列中所述文件的標識 在數(shù)據(jù)表11中映射到所述文件的地址��,并據(jù)此查找所述文件并對其進行掃描處理��,并在 掃描處理后對應(yīng)記錄所述文件的安全屬性到數(shù)據(jù)表11����、從掃描隊列中清除所述文件的標 識。掃描模塊12��,沒有在操作系統(tǒng)的地址查找到所述文件��,則從所述掃描隊列清除 所述文件的標識��,并從數(shù)據(jù)表11中清除所述文件的信息(包括標識�����、地址和空白的安全 屬性)�����;掃描模塊12�����,掃描后發(fā)現(xiàn)所述文件安全�,則在數(shù)據(jù)表11內(nèi)對所述文件的安全 屬性記錄為安全����,從掃描隊列中清除所述文件的標識��;掃描后發(fā)現(xiàn)所述文件為不安全�����, 則在數(shù)據(jù)表11內(nèi)對所述文件的安全屬性記錄為不安全�����,從掃描隊列中清除所述文件的標 識��。另外����,如前所述,掃描模塊12��,也可以實時輪詢掃描隊列�����,數(shù)據(jù)表11中記錄有 文件標識與文件地址的映射關(guān)系����,掃描模塊12可以通過所述文件標識確定所述文件在操 作系統(tǒng)中的地址�。掃描模塊12���,輪詢數(shù)據(jù)表11的周期的長度設(shè)置為至少保證其他監(jiān)控裝置對所述 文件完成一次掃描。上述裝置與前述的方法的特征對應(yīng)�,不足之處可以參考前述方法部分。上述說明示出并描述了本發(fā)明的若干優(yōu)選實施例�,但如前所述,應(yīng)當理解本發(fā) 明并非局限于本文所披露的形式���,不應(yīng)看作是對其他實施例的排除���,而可用于各種其他 組合、修改和環(huán)境��,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi)��,通過上述教導(dǎo)或相關(guān)領(lǐng)域的技 術(shù)或知識進行改動���。而本領(lǐng)域人員所進行的改動和變化不脫離本發(fā)明的精神和范圍����,則 都應(yīng)在本發(fā)明所附權(quán)利要求的保護范圍內(nèi)。
權(quán)利要求
1. 一種實時防護文件的監(jiān)控方法����,其特征在于,應(yīng)用于監(jiān)控裝置與其他裝置同時監(jiān) 控到對操作系統(tǒng)中一文件的訪問行為的情況��,包括所述監(jiān)控裝置監(jiān)控到所述訪問行為時���,在數(shù)據(jù)表中記錄所述文件并放行所述訪問行為���;所述監(jiān)控裝置輪詢所述數(shù)據(jù)表,根據(jù)其中的記錄查找所述文件并對其進行掃描����,再 根據(jù)掃描結(jié)果對所述訪問行為進行攔截或保持放行。
2.如權(quán)利要求1所述的監(jiān)控方法��,其特征在于�,所述監(jiān)控裝置輪詢所述數(shù)據(jù)表,根據(jù) 所述數(shù)據(jù)表的記錄查找所述文件并對其進行掃描�����,再根據(jù)掃描結(jié)果對所述文件的訪問進 行攔截或保持放行的步驟����,包括第一子步驟所述監(jiān)控裝置周期或?qū)崟r輪詢所述數(shù)據(jù)表���,獲取其中新增加的所述文件的標識,再 根據(jù)所述數(shù)據(jù)表中記錄的所述文件的標識與地址之間的映射關(guān)系確定所述文件在所述操 作系統(tǒng)中的地址���。
3.如權(quán)利要求2所述的監(jiān)控方法���,其特征在于���,所述周期的長度設(shè)置為至少保證所述其他裝置對所述文件完成一次掃描�����。
4.如權(quán)利要求1所述的監(jiān)控方法�����,其特征在于�����,所述監(jiān)控裝置輪詢所述數(shù)據(jù)表��,根據(jù) 所述數(shù)據(jù)表的記錄查找所述文件并對其進行掃描��,再根據(jù)掃描結(jié)果對所述文件的訪問進 行攔截或保持放行的步驟��,包括第二子步驟所述監(jiān)控裝置在所述操作系統(tǒng)的相應(yīng)地址沒有查找到所述文件����,則在所述數(shù)據(jù)表中 清除所述文件的標識和地址。
5.如權(quán)利要求1所述的監(jiān)控方法�,其特征在于,所述監(jiān)控裝置輪詢所述數(shù)據(jù)表����,根據(jù) 所述數(shù)據(jù)表的記錄查找所述文件并對其進行掃描,再根據(jù)掃描結(jié)果對所述文件的訪問進 行攔截或保持放行的步驟���,包括第二子步驟所述監(jiān)控裝置在所述操作系統(tǒng)的相應(yīng)地址查找到所述文件��,如果掃描后發(fā)現(xiàn)所述文 件安全�,則對所述文件的訪問保持放行���;如果掃描后發(fā)現(xiàn)所述文件不安全����,則攔截對所 述文件的訪問,并根據(jù)策略直接處理或詢問用戶對所述文件的處理�。
6.—種實時防護文件的監(jiān)控方法,其特征在于�����,應(yīng)用于監(jiān)控裝置與其他裝置同時監(jiān) 控到對操作系統(tǒng)中一文件的訪問行為的情況�,所述監(jiān)控裝置包括驅(qū)動側(cè)和掃描側(cè),所述 監(jiān)控方法包括所述驅(qū)動側(cè)監(jiān)控到對操作系統(tǒng)中一文件的訪問行為時��,在數(shù)據(jù)表中記錄所述文件并 放行所述訪問行為�;所述掃描側(cè)輪詢所述數(shù)據(jù)表��,根據(jù)所述數(shù)據(jù)表的記錄查找所述文件并對其進行掃 描����,并將掃描結(jié)果記錄在所述數(shù)據(jù)表中;所述驅(qū)動側(cè)讀取所述數(shù)據(jù)表�,根據(jù)所述掃描結(jié)果對所述文件的訪問進行攔截或保持 放行。
7.如權(quán)利要求6所述的監(jiān)控方法�����,其特征在于,所述驅(qū)動側(cè)監(jiān)控到對操作系統(tǒng)中一文 件的訪問行為�,在數(shù)據(jù)表中記錄所述文件,并放行對所述文件的訪問的步驟����,進一步包 括所述驅(qū)動側(cè)檢查所述文件是否記錄在所述數(shù)據(jù)表中,如果沒有記錄�����,將所述文件的 標識和在所述操作系統(tǒng)中的地址記錄到所述數(shù)據(jù)表中��,放行對所述文件的訪問行為���。
8.如權(quán)利要求7所述的監(jiān)控方法����,其特征在于����,所述掃描側(cè)輪詢所述數(shù)據(jù)表,根據(jù)所 述數(shù)據(jù)表的記錄查找所述文件并對其進行掃描����,并將掃描結(jié)果記錄在所述數(shù)據(jù)表中的步 驟,包括第一子步驟所述掃描側(cè)周期或?qū)崟r輪詢所述數(shù)據(jù)表,獲取新增加的所述文件的標識����,再根據(jù)所 述數(shù)據(jù)表中記錄的所述文件的標識與地址之間的映射關(guān)系確定所述文件在所述操作系統(tǒng) 中的地址。
9.如權(quán)利要求8所述的監(jiān)控方法�,其特征在于,所述周期的長度設(shè)置為至少保證所述其他裝置對所述文件完成一次掃描。
10.如權(quán)利要求8所述的監(jiān)控方法,其特征在于�����,所述掃描側(cè)輪詢所述數(shù)據(jù)表��,根據(jù) 所述數(shù)據(jù)表的記錄查找所述文件并對其進行掃描����,并將掃描結(jié)果記錄在所述數(shù)據(jù)表中的 步驟�,包括第二子步驟所述掃描側(cè)在所述操作系統(tǒng)的相應(yīng)地址查找到所述文件,如果掃描后發(fā)現(xiàn)所述文件 安全���,則在所述數(shù)據(jù)表內(nèi)將所述文件的安全屬性記錄為安全;如果掃描后發(fā)現(xiàn)所述文件 不安全���,則在所述數(shù)據(jù)表內(nèi)將所述文件的安全屬性記錄為不安全�����。
11.如權(quán)利要求10所述的監(jiān)控方法��,其特征在于�����,所述驅(qū)動側(cè)讀取所述數(shù)據(jù)表�,根據(jù) 所述掃描結(jié)果對所述文件的訪問進行攔截或保持的步驟,進一步包括所述驅(qū)動側(cè)周期或?qū)崟r輪詢所述數(shù)據(jù)表�,讀取所述數(shù)據(jù)表中更新的所述文件的安全 屬性,在獲知所述文件安全時對所述文件的訪問保持放行�����;在獲知所述文件不安全時攔 截對所述文件的訪問����,并根據(jù)策略直接處理或詢問用戶對所述文件的處理。
12.—種實時防護文件的監(jiān)控裝置�����,其特征在于���,包括文件訪問驅(qū)動模塊��、數(shù)據(jù)表 和掃描模塊��,其中�����,所述文件訪問驅(qū)動模塊�,用于監(jiān)控對操作系統(tǒng)中一文件的訪問行為,在所述數(shù)據(jù)表 中記錄所述文件的標識和地址����,并放行對所述文件的訪問;讀取所述數(shù)據(jù)表�����,依據(jù)其中 所述文件的安全屬性對所述文件的訪問進行攔截或保持放行����;所述掃描模塊,用于輪詢所述數(shù)據(jù)表���,根據(jù)所述文件的標識和地址查找所述文件并 對其進行掃描��,再根據(jù)掃描結(jié)果在所述數(shù)據(jù)表中記錄所述文件的安全屬性����;所述數(shù)據(jù)表�,用于記錄所述文件的標識、地址和安全屬性�����。
13.如權(quán)利要求12所述的監(jiān)控裝置����,其特征在于,所述掃描模塊��,用于周期或?qū)崟r輪詢所述數(shù)據(jù)表�����,獲取新增加的所述文件的標識�����, 再根據(jù)所述數(shù)據(jù)表中記錄的所述文件的標識與地址之間的映射關(guān)系確定所述文件在所述 操作系統(tǒng)中的地址��。
14.如權(quán)利要求13所述的監(jiān)控裝置,其特征在于��,所述掃描模塊����,輪詢所述數(shù)據(jù)表的周期的長度設(shè)置為至少保證其他監(jiān)控裝置對所述 文件完成一次掃描。
15.如權(quán)利要求13所述的監(jiān)控裝置���,其特征在于����,所述掃描模塊���,在所述操作系統(tǒng)的相應(yīng)地址沒有查找到所述文件���,則在所述數(shù)據(jù)表 中清除所述文件的標識、地址和安全屬性�����;當掃描后發(fā)現(xiàn)所述文件安全��,則在所述數(shù)據(jù) 表內(nèi)對所述文件的安全屬性記錄為安全�;當掃描后發(fā)現(xiàn)所述文件不安全�,則在所述數(shù)據(jù) 表內(nèi)對所述文件的安全屬性記錄為不安全�。
16.如權(quán)利要求15所述的監(jiān)控裝置���,其特征在于�����,所述文件訪問驅(qū)動模塊���,周期或?qū)崟r輪詢所述數(shù)據(jù)表,讀取所述數(shù)據(jù)表中更新的所 述文件的安全屬性����,在獲知所述文件安全時對所述文件的訪問保持放行;在獲知所述文 件不安全時攔截對所述文件的訪問���,根據(jù)策略直接處理或詢問用戶對所述文件的處理���。
全文摘要
本發(fā)明公開了一種實時防護文件的監(jiān)控方法及裝置,應(yīng)用于監(jiān)控裝置與其他裝置同時監(jiān)控到對操作系統(tǒng)中一文件的訪問行為的情況�,包括所述監(jiān)控裝置監(jiān)控到所述訪問行為時,在數(shù)據(jù)表中記錄所述文件并放行所述訪問行為�;所述監(jiān)控裝置輪詢所述數(shù)據(jù)表���,根據(jù)其中的記錄查找所述文件并對其進行掃描,再根據(jù)掃描結(jié)果對所述訪問行為進行攔截或保持放行�。本發(fā)明解決了殺毒軟件的文件訪問驅(qū)動程序之間的沖突,使得使用本發(fā)明技術(shù)的殺毒裝置可以和其他殺毒裝置并存�,不會出現(xiàn)操作系統(tǒng)鎖死;同時本發(fā)明的方式不會導(dǎo)致操作系統(tǒng)性能變慢����,而且在其他殺毒裝置的實時防護開啟時,本發(fā)明的殺毒裝置的實時防護也正常工作而沒有被關(guān)閉����,保證了用戶的電腦的安全性。
文檔編號G06F21/24GK102012992SQ201010552530
公開日2011年4月13日 申請日期2010年11月19日 優(yōu)先權(quán)日2010年11月19日
發(fā)明者王烜, 鄒貴強 申請人:奇智軟件(北京)有限公司