專利名稱:一種避免操作系統(tǒng)啟動文件被感染的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種避免操作系統(tǒng)啟動文件被感染的方法�����,具體來說��,涉及一種讓病毒感染后無法開機(jī)啟動的方法�。
背景技術(shù):
計(jì)算機(jī)病毒是現(xiàn)在計(jì)算機(jī)應(yīng)用方面面臨的重大問題���,它輕則影響系統(tǒng)性能����,破壞系統(tǒng)穩(wěn)定性����,重則刪除文件,盜取機(jī)密信息���,給計(jì)算機(jī)用戶帶來不便甚至經(jīng)濟(jì)上的損失。傳統(tǒng)上使用兩種手段來解決計(jì)算機(jī)使用中的病毒問題���。第一種是殺毒軟件技術(shù)����, 其原理是當(dāng)操作系統(tǒng)將要讀取文件的時(shí)候����,或者通過網(wǎng)絡(luò)傳輸數(shù)據(jù)的時(shí)候�,殺毒軟件模塊將會先分析文件或數(shù)據(jù)內(nèi)容�����,判斷是否和預(yù)先定義的病毒特征匹配。如果匹配�����,則認(rèn)為是有毒,那么殺毒軟件會阻止操作系統(tǒng)的文件操作�。殺毒軟件的主要缺點(diǎn)在于,由于可執(zhí)行代碼本身是可變換的���,如果病毒本身被壓縮�,或者加殼處理過�����,那么殺毒軟件的特征庫就完全失去了作用�。新型的殺毒軟件會用虛擬機(jī)模擬執(zhí)行的方式做行為特征匹配�����,但是這種方式誤判率很高,經(jīng)常會把正常軟件當(dāng)做病毒報(bào)警����,造成用戶的困擾。第二種是磁盤還原技術(shù)���,其原理是在磁盤上劃分出一塊保留區(qū)域�����,系統(tǒng)的所有寫盤操作都被還原驅(qū)動導(dǎo)向到保留區(qū)中���,并建立導(dǎo)向扇區(qū)和實(shí)際扇區(qū)的映射表。當(dāng)系統(tǒng)重啟之后���,拋棄上次的保留區(qū)數(shù)據(jù)和映射表。這樣每次開機(jī)看到的都是一樣的系統(tǒng)����,不會留下上次操作的痕跡,自然也沒有病毒可以在重啟之后保留下來����。磁盤還原的缺點(diǎn)是�����,只能針對整個(gè)磁盤卷做還原��,會對整個(gè)卷造成影響�����,保護(hù)的粒度過大����,同時(shí)磁盤還原需要對系統(tǒng)的所有磁盤操作進(jìn)行攔截和分析�����,所以會對系統(tǒng)性能有較大影響���。這樣用戶如果有其他有用數(shù)據(jù)需要保留��,則需要通過特殊的手段才能達(dá)成�����,造成了使用的不便�����。
發(fā)明內(nèi)容
針對上述現(xiàn)有技術(shù)����,本發(fā)明要解決的技術(shù)問題是提供一種避免操作系統(tǒng)啟動文件被感染的方法,使得病毒無法通過感染系統(tǒng)啟動文件的方式�����,隨系統(tǒng)開機(jī)而自動運(yùn)行����,取得系統(tǒng)控制權(quán)。為了解決上述技術(shù)問題��,本發(fā)明采用如下技術(shù)方案一種避免操作系統(tǒng)啟動文件被感染的方法�����,包括以下步驟
(1)初始化保護(hù)環(huán)境���,包括
A.在系統(tǒng)中安裝一個(gè)采用文件系統(tǒng)過濾驅(qū)動技術(shù)的保護(hù)驅(qū)動并由用戶輸入保護(hù)驅(qū)動名字��,所述保護(hù)驅(qū)動采用kernel mode driver (核心模式驅(qū)動程序)模型�,使用boot加載方式安裝�;
B.建立備份文件夾,備份系統(tǒng)啟動文件��,并于系統(tǒng)的system32目錄下建立文件名與保護(hù)驅(qū)動名字相同的驅(qū)動配置文件��,所述配置文件為備份文件夾路徑和卸載密碼���;
(2)系統(tǒng)啟動時(shí)加載保護(hù)驅(qū)動�,保護(hù)驅(qū)動截獲文件操作�����,判斷文件類型�����,如果是備份文件夾中的系統(tǒng)啟動文件�,則禁止操作;如果是系統(tǒng)啟動文件�����,則轉(zhuǎn)下一步驟(3);如果是其他
3文件,則放行操作���;
(3)判斷文件操作的類型和操作進(jìn)程�,如果是系統(tǒng)進(jìn)程�,且以Executive Image方式打開,則由保護(hù)驅(qū)動接管后續(xù)讀取操作����,讀取備份文件文件夾中的對應(yīng)文件;如果是其他情況�����,則放行操作����。作為優(yōu)選,所述的系統(tǒng)是指Windows NT, Windows 2000����,Windows XP, Windows 2003,Windows Vista, Windows 7 的 32 位操作系統(tǒng)��。作為優(yōu)選,所述的系統(tǒng)啟動文件是指系統(tǒng)開機(jī)到進(jìn)入桌面�����,所啟動的所有進(jìn)程對應(yīng)的可執(zhí)行文件����。作為優(yōu)選�,所述的系統(tǒng)進(jìn)程是指SYSTEM進(jìn)程,smss. exe進(jìn)程和當(dāng)前已經(jīng)啟動的系統(tǒng)啟動文件對應(yīng)進(jìn)程�。作為優(yōu)選,所述的禁止操作包括在文件系統(tǒng)過濾驅(qū)動的IRP_MJ_CREATE處理例程中���,返回 STATUS_ACCESS_DENIED�。 作為優(yōu)選�,所述的放行操作包括在文件系統(tǒng)過濾驅(qū)動的IRP_MJ_CREATE處理例程中,將傳入的IRP傳遞到下層驅(qū)動�����,并且標(biāo)記此文件對應(yīng)FileObject為放行操作��,以便在文件過濾驅(qū)動的其他例程中也直接將IRP傳遞到下層。作為優(yōu)選�,所述的接管后續(xù)讀取操作包括在文件系統(tǒng)過濾驅(qū)動的IRP_MJ_CREATE 處理例程中�,由文件系統(tǒng)過濾驅(qū)動打開指定的備份文件����,然后把文件handle寫入IRP中 FileObject的FsContext域中���,同時(shí)在后續(xù)的讀取例程中�����,驅(qū)動根據(jù)FsContext域的 handle信息����,通過系統(tǒng)調(diào)用完成實(shí)際讀取���,將結(jié)果寫入IRP對應(yīng)域中�����,后續(xù)的寫入操作都將被忽略��,但是向上層返回成功���,保證備份的文件不會被修改��。與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下優(yōu)點(diǎn)采用備份系統(tǒng)啟動文件的方式保護(hù)系統(tǒng)啟動文件�����,使得病毒無法在開機(jī)后立即在系統(tǒng)中運(yùn)行,從而使得病毒失去傳播和發(fā)作能力����, 由于驅(qū)動配置文件名由用戶指定,不固定��,并且被內(nèi)核驅(qū)動禁止寫入雙重保險(xiǎn)��,備份的系統(tǒng)啟動文件可以保證是正確的��。因?yàn)橄到y(tǒng)啟動文件數(shù)量是很少的(相對于整個(gè)盤的容量)��,所以備份所要的磁盤空間比起磁盤還原來說少很多�����,幾乎可以忽略不計(jì)���;而且��,由于系統(tǒng)啟動文件只有在系統(tǒng)啟動的時(shí)候才會被頻繁訪問�,所以本方法的運(yùn)行時(shí)效率也很高,幾乎不會影響系統(tǒng)性能����;本方法在保護(hù)系統(tǒng)啟動文件的同時(shí),不會對用戶的其他文件造成影響����。
圖1為本發(fā)明保護(hù)環(huán)境初始化的流程圖; 圖2為本發(fā)明具體工作的流程圖����。
具體實(shí)施例方式下面將結(jié)合附圖及實(shí)施例對本發(fā)明作進(jìn)一步的描述。如圖1所示為初始化環(huán)境保護(hù)的流程圖�,首先,初始化程序會將保護(hù)驅(qū)動文件名改為一個(gè)用戶輸入的名字�,并在需要保護(hù)的系統(tǒng)中將保護(hù)驅(qū)動安裝為boot加載方式。此步驟是為了防止有針對本保護(hù)方案的攻擊����;然后,建立一個(gè)文件名與保護(hù)驅(qū)動相同的配置文件于系統(tǒng)的system32目錄下�,內(nèi)容為啟動文件備份文件夾路徑(程序提示用戶輸入)和卸載密碼(程序提示用戶輸入)��。接下來�,建立啟動文件備份文件夾�����;初始化系統(tǒng)啟動文件有 3種情況1.如果需要保護(hù)的系統(tǒng)啟動文件已經(jīng)確定(比如一個(gè)集中化的計(jì)算機(jī)環(huán)境�,多臺計(jì)算機(jī)配置完全相同),那么可以直接將系統(tǒng)啟動文件放入備份文件夾中�����,先用文件管理器打開備份文件夾目錄并退出��,用戶自行拷貝內(nèi)容至備份文件夾內(nèi)��;2.初始化程序根據(jù)用戶選擇的備份的文件列表�,通常列出常用系統(tǒng)啟動文件列表和當(dāng)前系統(tǒng)開機(jī)啟動程序列表��, 用戶打鉤選擇�����,程序拷貝選擇需要備份的文件至備份文件夾內(nèi)�。3.留為空文件夾���,下次系統(tǒng)啟動時(shí),保護(hù)驅(qū)動會根據(jù)winlogon進(jìn)程啟動前的所有進(jìn)程進(jìn)行自動啟動文件識別和備份����。參見圖2為本方法的具體工作流程圖,系統(tǒng)在啟動時(shí)加載文件系統(tǒng)過濾驅(qū)動構(gòu)成的保護(hù)驅(qū)動�����,保護(hù)驅(qū)動截獲所有的文件操作���,當(dāng)截獲到文件打開操作時(shí)��,首先獲取將打開文件的全路徑���,如果是備份系統(tǒng)啟動文件,則返回拒絕訪問的錯(cuò)誤碼��,禁止操作文件����;如果是非系統(tǒng)啟動文件,那么允許通過�,正常操作文件�,直接傳遞Irp至下層設(shè)備��;如果是系統(tǒng)啟動文件��,那么將接管關(guān)于此FileObject的所有后續(xù)操作�����,例如����,根據(jù)調(diào)用參數(shù)和調(diào)用進(jìn)程, 判斷是否為系統(tǒng)進(jìn)程的正常讀取����,且以Executive Image方式打開�����,如果是則從配置文件獲取備份文件夾目錄位置����,讀取備份啟動文件,如果發(fā)現(xiàn)有寫入備份的系統(tǒng)啟動文件的動作�, 則禁止寫入���;如果對備份文件夾及其內(nèi)容有列目錄的操作,則隱藏備份文件夾���。如果是其他情況����,則讀入原始位置文件��,在此FileObject的FsContext域中記錄相關(guān)的對應(yīng)信息��,讓上層讀取對應(yīng)的備份系統(tǒng)啟動文件內(nèi)容��。如果需要更新系統(tǒng)����,先要暫停驅(qū)動。暫停驅(qū)動需要通過初始化程序輸入卸載密碼�, 并選擇暫停功能。保護(hù)驅(qū)動會校驗(yàn)程序md5碼和密碼��,防止惡意暫停和卸載����。暫停驅(qū)動后����, 系統(tǒng)可以自由更新���。再次啟動保護(hù)需要在初始化程序里開啟���,初始化程序會先更新備份更改的系統(tǒng)啟動文件,然后啟動保護(hù)驅(qū)動��。
權(quán)利要求
1.一種避免操作系統(tǒng)啟動文件被感染的方法�����,其特征在于包括以下步驟(1)初始化保護(hù)環(huán)境����,包括A.在系統(tǒng)中安裝一個(gè)采用文件系統(tǒng)過濾驅(qū)動技術(shù)的保護(hù)驅(qū)動并由用戶輸入保護(hù)驅(qū)動名字���,所述保護(hù)驅(qū)動采用kernel mode driver (核心模式驅(qū)動程序)模型����,使用boot加載方式安裝���;B.建立備份文件夾���,備份系統(tǒng)啟動文件��,并于系統(tǒng)的system32目錄下建立文件名與保護(hù)驅(qū)動名字相同的驅(qū)動配置文件���,所述配置文件為備份文件夾路徑和卸載密碼;(2)系統(tǒng)啟動時(shí)加載保護(hù)驅(qū)動�,保護(hù)驅(qū)動截獲文件操作,判斷文件類型����,如果是備份文件夾中的系統(tǒng)啟動文件,則禁止操作����;如果是系統(tǒng)啟動文件,則轉(zhuǎn)下一步驟(3);如果是其他文件�,則放行操作;(3)判斷文件操作的類型和操作進(jìn)程�����,如果是系統(tǒng)進(jìn)程,且以ExecutiveImage方式打開�,則由保護(hù)驅(qū)動接管后續(xù)讀取操作,讀取備份文件文件夾中的對應(yīng)文件����;如果是其他情況,則放行操作�����。
2.根據(jù)權(quán)利要求1所述的一種避免操作系統(tǒng)啟動文件被感染的方法�,其特征在于所述的系統(tǒng)是指Windows NT, Windows 2000,Windows XP, Windows 2003�,Windows Vista, Windows 7的32位操作系統(tǒng)。
3.根據(jù)權(quán)利要求1所述的一種避免操作系統(tǒng)啟動文件被感染的方法�����,其特征在于所述的系統(tǒng)啟動文件是指系統(tǒng)開機(jī)到進(jìn)入桌面���,所啟動的所有進(jìn)程對應(yīng)的可執(zhí)行文件�。
4.根據(jù)權(quán)利要求1所述的一種避免操作系統(tǒng)啟動文件被感染的方法��,其特征在于所述的系統(tǒng)進(jìn)程是指SYSTEM進(jìn)程,smss. exe進(jìn)程和當(dāng)前已經(jīng)啟動的系統(tǒng)啟動文件對應(yīng)進(jìn)程。
5.根據(jù)權(quán)利要求1所述的一種避免操作系統(tǒng)啟動文件被感染的方法��,其特征在于 所述的禁止操作包括在文件系統(tǒng)過濾驅(qū)動的IRP_MJ_CREATE處理例程中,返回STATUS_ ACCESS_DENIED����。
6.根據(jù)權(quán)利要求1所述的一種避免操作系統(tǒng)啟動文件被感染的方法�����,其特征在于所述的放行操作包括在文件系統(tǒng)過濾驅(qū)動的IRP_MJ_CREATE處理例程中�,將傳入的IRP傳遞到下層驅(qū)動���,并且標(biāo)記此文件對應(yīng)FileObject為放行操作�����,以便在文件過濾驅(qū)動的其他例程中也直接將IRP傳遞到下層。
7.根據(jù)權(quán)利要求1所述的一種避免操作系統(tǒng)啟動文件被感染的方法�,其特征在于所述的接管后續(xù)讀取操作包括在文件系統(tǒng)過濾驅(qū)動的IRP_MJ_CREATE處理例程中���,由文件系統(tǒng)過濾驅(qū)動打開指定的備份文件�����,然后把文件handle寫入IRP中FileObject的FsContext 域中,同時(shí)在后續(xù)的讀取例程中���,驅(qū)動根據(jù)FsContext域的handle信息���,通過系統(tǒng)調(diào)用完成實(shí)際讀取�,將結(jié)果寫入IRP對應(yīng)域中�,后續(xù)的寫入操作都將被忽略�����,但是向上層返回成功���, 保證備份的文件不會被修改����。
全文摘要
本發(fā)明公開了一種避免操作系統(tǒng)啟動文件被感染的方法����,包括步驟1��、初始化保護(hù)環(huán)境����,首先在系統(tǒng)中用boot加載安裝一保護(hù)驅(qū)動并由用戶輸入保護(hù)驅(qū)動名字����;其次建立備份系統(tǒng)啟動文件夾�����,并于系統(tǒng)的system32目錄下建立驅(qū)動配置文件����;2����、系統(tǒng)啟動時(shí)保護(hù)驅(qū)動截獲文件操作���,判斷文件類型�,如果是備份文件夾中的系統(tǒng)啟動文件,則禁止操作�;如果是系統(tǒng)啟動文件,則轉(zhuǎn)下一步驟��;如果是其他文件��,則放行操作;3����、判斷文件操作的類型和操作進(jìn)程,如果是系統(tǒng)進(jìn)程��,且以Executive Image方式打開�����,則由保護(hù)驅(qū)動接管后續(xù)讀取操作�����,讀取備份文件文件夾中的對應(yīng)文件����;如果是其他情況�����,則放行操作����。本發(fā)明使病毒無法通過感染系統(tǒng)啟動文件方式���,隨系統(tǒng)開機(jī)自動運(yùn)行,取得系統(tǒng)控制權(quán)����。
文檔編號G06F21/00GK102222185SQ20111013642
公開日2011年10月19日 申請日期2011年5月25日 優(yōu)先權(quán)日2011年5月25日
發(fā)明者強(qiáng)文, 許旭 申請人:成都康禾科技有限公司