專利名稱:一種文件解鎖、粉碎的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全的技術(shù)領(lǐng)域�����,特別是涉及ー種文件解鎖�、粉碎的方法和一種文件解鎖��、粉碎的裝置�。
背景技術(shù):
計(jì)算機(jī)病毒是指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼��。計(jì)算機(jī)一旦染上病毒,計(jì)算機(jī)通常表現(xiàn)為其文件被増加�、刪出、改變名稱或?qū)傩?、移動到其它目錄下,病毒對?jì)算機(jī)文件的這些操作�����,可能會導(dǎo)致正常的程序無法運(yùn)行��、計(jì)算機(jī)操作系統(tǒng)崩潰�����、計(jì)算機(jī)被遠(yuǎn)程控制�、用戶信息被盜用等一系列的問題。
為了保證計(jì)算機(jī)的安全運(yùn)行�����,需要對計(jì)算機(jī)中感染病毒的文件進(jìn)行病毒查殺���,以防止和清除病毒的破壞�。在安全軟件領(lǐng)域�,針對染毒計(jì)算機(jī)文件的“刪除”與“反刪除”是安全軟件和惡意程序(計(jì)算機(jī)病毒)對抗的永恒主題之一?��,F(xiàn)有技術(shù)中的病毒,往往通過Windows操作系統(tǒng)應(yīng)用程序接ロ(API)的LockFile例程等手段給染毒文件加上了加密鎖���,采用常規(guī)手段無法破解加密鎖即無法刪除染毒文件�,這些手段阻止殺毒軟件查殺染毒文件�。安全軟件查殺病毒的過程,可以理解為對染毒文件進(jìn)行解鎖和粉碎?�,F(xiàn)有安全軟件��,對染毒文件的解鎖和粉碎手段単一�����,無法破除染毒文件設(shè)置的層層保護(hù)��,對抗能力不強(qiáng)�。傳統(tǒng)安全軟件廠商只解決了部分“反刪除”問題���,在操作系統(tǒng)內(nèi)核態(tài)的攻防上往往體現(xiàn)出一定的能力缺失�����,驅(qū)動級惡意程序(Rootkit)對抗能力偏尋層�����。因此���,目前需要本領(lǐng)域技術(shù)人員迫切解決的ー個技術(shù)問題就是提出一種文件解鎖����、粉碎的處理機(jī)制�����,用以在復(fù)雜的客戶端環(huán)境中識別惡意程序的文件自保護(hù)行為并加以対抗�,增強(qiáng)和驅(qū)動級惡意程序攻防的對抗能力。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供ー種文件解鎖�����、粉碎的方法��,以增強(qiáng)和驅(qū)動級惡意程序攻防的對抗能力����。本發(fā)明還提供了ー種文件解鎖���、粉碎的裝置,用以保證上述方法在實(shí)際中的應(yīng)用及實(shí)現(xiàn)��。為了解決上述問題�,本發(fā)明實(shí)施例公開了ー種文件解鎖、粉碎的方法�,包括判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定;若是���,則遍歷操作系統(tǒng)的句柄表�,獲得目標(biāo)文件對應(yīng)的文件句柄File Handle����,并獲取所述文件句柄File Handle所屬的進(jìn)程;切換到所述進(jìn)程�����,基于所述進(jìn)程調(diào)用自定義的用于文件解鎖��、粉碎的應(yīng)用程序接ロ發(fā)起目標(biāo)文件的解鎖操作�����;在所述目標(biāo)文件的解鎖操作完成后��,退出所述目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程����。優(yōu)選的,所述判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定的步驟包括對目標(biāo)文件執(zhí)行加鎖Lock操作�����;若目標(biāo)文件加鎖Lock成功��,則判定目標(biāo)文件未被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定��;若目標(biāo)文件加鎖Lock失敗�����,則判定目標(biāo)文件被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定��。優(yōu)選的����,所述目標(biāo)文件具有對應(yīng)的全路徑;所述句柄表位于操作系統(tǒng)內(nèi)核,其中維 護(hù)有所有進(jìn)程打開的句柄信息����,所述句柄信息中包括文件句柄File Handle的信息,所述文件句柄File Handle的信息中包括各文件句柄File Handle對應(yīng)的文件的全路徑,所述遍歷操作系統(tǒng)的句柄表�,獲得目標(biāo)文件對應(yīng)的文件句柄File Handle的步驟包括將目標(biāo)文件的全路徑與各文件句柄File Handle對應(yīng)的文件的全路徑進(jìn)行對比,若找到一致的文件全路徑�,則提取該文件全路徑對應(yīng)的文件句柄File Handle為所述目標(biāo)文件對應(yīng)的文件句柄File Handle。優(yōu)選的��,所述的方法�,還包括判斷所述文件句柄File Handle所屬的進(jìn)程是否能切換,若在能切換時執(zhí)行所述切換至進(jìn)程的步驟��。優(yōu)選的���,所述切換到所述進(jìn)程的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API的堆棧連接進(jìn)程例程KeStackAttachProcess執(zhí)行的����;所述退出目標(biāo)文件的文件句柄FileHandle所屬的進(jìn)程的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API的出棧分離進(jìn)程例程KeUnstackDetachProcess 執(zhí)行的��。優(yōu)選的����,所述遍歷操作系統(tǒng)的句柄表的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接ロ API的系統(tǒng)信息查詢例程ZwQuerySystemInformation中的句柄信息系統(tǒng)SystemHandleInformation 的功能執(zhí)行的。優(yōu)選的,所述調(diào)用自定義的用于文件解鎖����、粉碎的應(yīng)用程序接ロ發(fā)起文件解鎖�、粉碎操作的步驟包括獲取針對目標(biāo)文件的解鎖操作請求,所述請求中包括調(diào)用者輸入?yún)?shù)��,所述輸入?yún)?shù)中包括所述目標(biāo)文件的路徑����;校驗(yàn)所述調(diào)用者輸入?yún)?shù),若校驗(yàn)通過�����,則依據(jù)所述目標(biāo)文件的路徑在對象管理器中查找對應(yīng)的文件對象解析例程��;若查找到對應(yīng)的文件對象解析例程����,則依據(jù)所述文件對象解析例程生成1/0請求包,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址�����;其中,所述I/o請求包中包括從所述請求中提取的目標(biāo)文件解鎖�����、粉碎操作的信息��;由所述文件系統(tǒng)下層設(shè)備依據(jù)所述信息對所述目標(biāo)文件執(zhí)行解鎖操作��。優(yōu)選的���,所述依據(jù)文件路徑在對象管理器中查找對應(yīng)的文件對象解析例程的步驟具體包括以下子步驟�;子步驟SI����、判斷文件路徑是否已經(jīng)拆解完畢,若否����,則執(zhí)行子步驟S2 ;若是,則執(zhí)行子步驟S4 �;
子步驟S2、按照路徑分隔符拆解出文件路徑中下一個待拆解的路徑段���;子步驟S3���、采用當(dāng)前拆解出的路徑段在對象管理器中捜索�����,判斷是否存在對應(yīng)的文件對象例程���;若是����,則返回子步驟SI ;若否,則執(zhí)行子步驟S5 �����;子步驟S4���、獲得所述文件路徑對應(yīng)的文件對象解析例程�����。子步驟S5�、返回未找到對應(yīng)文件對象解析例程的信息���。優(yōu)選的�,所述的方法,還包括刪除經(jīng)解鎖的目標(biāo)文件�����。
本發(fā)明實(shí)施例還公開了ー種文件解鎖����、粉碎的裝置,包括文件鎖定判斷模塊�,用于判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定;若是�,則調(diào)用句柄表遍歷模塊;句柄表遍歷模塊�����,用于遍歷操作系統(tǒng)的句柄表����,獲得目標(biāo)文件對應(yīng)的文件句柄File Handle ;進(jìn)程獲取模塊���,用于獲取所述文件句柄File Handle所屬的進(jìn)程��;進(jìn)程切換模塊��,用于切換到所述進(jìn)程�;解鎖操作發(fā)起模塊,用于基于所述進(jìn)程調(diào)用自定義的用于文件解鎖�、粉碎的應(yīng)用程序接ロ發(fā)起目標(biāo)文件的解鎖操作;進(jìn)程回退模塊�,用于在所述目標(biāo)文件的解鎖操作完成后,退出所述目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程�����。優(yōu)選的�����,所述目標(biāo)文件具有對應(yīng)的全路徑����;所述句柄表位于操作系統(tǒng)內(nèi)核���,其中維護(hù)有所有進(jìn)程打開的句柄信息�����,所述句柄信息中包括文件句柄File Handle的信息����,所述文件句柄File Handle的信息中包括各文件句柄File Handle對應(yīng)的文件的全路徑,所述目標(biāo)文件對應(yīng)的文件句柄File Handle通過所述全路徑對比獲得���。優(yōu)選的����,所述的裝置���,還包括切換判斷模塊�����,用于判斷所述文件句柄File Handle所屬的進(jìn)程是否能切換����,以及��,在能切換時調(diào)用進(jìn)程切換模塊�����。優(yōu)選的,所述解鎖操作發(fā)起模塊包括請求獲取子模塊�,用于獲取針對目標(biāo)文件的解鎖操作請求,所述請求中包括調(diào)用者輸入?yún)?shù)���,所述輸入?yún)?shù)中包括所述目標(biāo)文件的路徑�����;參數(shù)檢驗(yàn)子模塊�����,用于校驗(yàn)所述調(diào)用者輸入?yún)?shù)�����;解析例程查找子模塊,用于在所述調(diào)用者輸入?yún)?shù)校驗(yàn)通過時�����,依據(jù)所述目標(biāo)文件的路徑在對象管理器中查找對應(yīng)的文件對象解析例程�;IRP包發(fā)送子模塊,用于在查找到對應(yīng)的文件對象解析例程吋���,依據(jù)所述文件對象解析例程生成I/o請求包����,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址;其中���,所述I/O請求包中包括從所述請求中提取的目標(biāo)文件解鎖����、粉碎操作的信息�����;由所述文件系統(tǒng)下層設(shè)備依據(jù)所述信息對所述目標(biāo)文件執(zhí)行解鎖操作����。優(yōu)選的,所述的裝置�����,還包括文件刪除模塊�,用于刪除經(jīng)解鎖的目標(biāo)文件。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)本發(fā)明實(shí)施例在目標(biāo)文件被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定吋�,通過查找到目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程,以該進(jìn)程的名義發(fā)起解鎖操作請求����,并基于穿透的技術(shù)執(zhí)行文件解鎖、粉碎操作���。本發(fā)明所提供的文件解鎖��、粉碎�����、粉碎機(jī)制不僅安全����、可靠�、成功率高,并且可以在復(fù)雜的客戶端環(huán)境中識別惡意程序的文件自保護(hù)行為并加以對抗�����,增強(qiáng)了和驅(qū)動級惡意程序攻防的對抗能力���。
圖I是本發(fā)明的ー種文件解鎖��、粉碎的方法實(shí)施例的步驟流程圖��;圖2是本發(fā)明的ー種文件解鎖�、粉碎的裝置實(shí)施例的結(jié)構(gòu)框圖����。
具體實(shí)施例方式為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂�,下面結(jié)合附圖和具體實(shí)施方式
對本發(fā)明作進(jìn)ー步詳細(xì)的說明。
本發(fā)明實(shí)施例的核心構(gòu)思之ー在于����,在目標(biāo)文件被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定時,通過查找到目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程,以該進(jìn)程的名義發(fā)起解鎖操作請求�,并基于穿透的技術(shù)執(zhí)行文件解鎖、粉碎操作�。參考圖1,示出了本發(fā)明的ー種文件解鎖�、粉碎的方法實(shí)施例的步驟流程圖,具體可以包括以下步驟步驟101��、判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定;在具體實(shí)現(xiàn)中����,本步驟具體可以包括如下子步驟子步驟SI I�����、對目標(biāo)文件執(zhí)行加鎖Lock操作����;子步驟S12�、若目標(biāo)文件加鎖Lock成功,則判定目標(biāo)文件未被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定���;子步驟S13�����、若目標(biāo)文件加鎖Lock失敗�,則判定目標(biāo)文件被操作系統(tǒng)應(yīng)用程序接ロ API的LockFile函數(shù)鎖定��。例如��,假設(shè)待解鎖和/或待刪除的文件名(路徑)是C:\test. txt�����,如果刪不掉�,則通過“加鎖一次”的方法判斷目標(biāo)文件是否已經(jīng)被LockFile函數(shù)鎖定。如果目標(biāo)文件被加鎖成功����,說明該文件之前沒有被任何進(jìn)程LockFile函數(shù)鎖定(即目標(biāo)文件無需解鎖),在這種情況下���,會在解鎖后退出判斷邏輯����;如果目標(biāo)文件被加鎖失敗��,說明該文件之前已經(jīng)被某個進(jìn)程調(diào)用LockFile函數(shù)鎖定��,想刪除該文件���,則需要采用本發(fā)明實(shí)施例對其進(jìn)行強(qiáng)制解鎖����。在Windows操作系統(tǒng)的應(yīng)用中��,LockFile函數(shù)如果鎖定文件成功��,會返回“非零”(相対“零”而言,一般是1)����,LockFile函數(shù)如果鎖定文件失敗,會返回“零”�����,這ー點(diǎn)在MSDN文檔中有描述Return Value If the function succeeds�����,the return value is nonzero.If the function fails����,the return value is zero.如果LockFile函數(shù)鎖定文件失敗,通過調(diào)用Windows API的GetLastError函數(shù)可以取得出錯的原因���,在具體應(yīng)用中��,可能的錯誤值有
權(quán)利要求
1.一種文件解鎖���、粉碎的方法,其特征在于��,包括 判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接口 API的LockFile函數(shù)鎖定; 若是��,則遍歷操作系統(tǒng)的句柄表����,獲得目標(biāo)文件對應(yīng)的文件句柄File Handle,并獲取所述文件句柄File Handle所屬的進(jìn)程�����; 切換到所述進(jìn)程�,基于所述進(jìn)程調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接口發(fā)起目標(biāo)文件的解鎖操作���; 在所述目標(biāo)文件的解鎖操作完成后��,退出所述目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程�����。
2.如權(quán)利要求I所述的方法�����,其特征在于���,所述判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接口 API的LockFile函數(shù)鎖定的步驟包括 對目標(biāo)文件執(zhí)行加鎖Lock操作�; 若目標(biāo)文件加鎖Lock成功����,則判定目標(biāo)文件未被操作系統(tǒng)應(yīng)用程序接口 API的LockFile函數(shù)鎖定; 若目標(biāo)文件加鎖Lock失敗��,則判定目標(biāo)文件被操作系統(tǒng)應(yīng)用程序接口 API的LockFile函數(shù)鎖定�。
3.如權(quán)利要求I或2所述的方法,其特征在于����,所述目標(biāo)文件具有對應(yīng)的全路徑;所述句柄表位于操作系統(tǒng)內(nèi)核�����,其中維護(hù)有所有進(jìn)程打開的句柄信息�,所述句柄信息中包括文件句柄File Handle的信息,所述文件句柄File Handle的信息中包括各文件句柄FileHandle對應(yīng)的文件的全路徑,所述遍歷操作系統(tǒng)的句柄表���,獲得目標(biāo)文件對應(yīng)的文件句柄FileHandle的步驟包括 將目標(biāo)文件的全路徑與各文件句柄File Handle對應(yīng)的文件的全路徑進(jìn)行對比�,若找到一致的文件全路徑,則提取該文件全路徑對應(yīng)的文件句柄File Handle為所述目標(biāo)文件對應(yīng)的文件句柄File Handle�����。
4.如權(quán)利要求3所述的方法�����,其特征在于���,還包括 判斷所述文件句柄File Handle所屬的進(jìn)程是否能切換,若在能切換時執(zhí)行所述切換至進(jìn)程的步驟����。
5.如權(quán)利要求4所述的方法,其特征在于�,所述切換到所述進(jìn)程的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接口 API的堆棧連接進(jìn)程例程KeStackAttachProcess執(zhí)行的;所述退出目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接口 API的出棧分離進(jìn)程例程KeUnstackDetachProcess執(zhí)行的�。
6.如權(quán)利要求5所述的方法,其特征在于��,所述遍歷操作系統(tǒng)的句柄表的操作是通過調(diào)用操作系統(tǒng)應(yīng)用程序接口 API的系統(tǒng)信息查詢例程ZwQuerySystemInformation中的句柄信息系統(tǒng)SystemHandleInformation的功能執(zhí)行的�。
7.如權(quán)利要求I所述的方法,其特征在于����,所述調(diào)用自定義的用于文件解鎖�����、粉碎的應(yīng)用程序接口發(fā)起文件解鎖�、粉碎操作的步驟包括 獲取針對目標(biāo)文件的解鎖操作請求��,所述請求中包括調(diào)用者輸入?yún)?shù)�����,所述輸入?yún)?shù)中包括所述目標(biāo)文件的路徑�; 校驗(yàn)所述調(diào)用者輸入?yún)?shù),若校驗(yàn)通過����,則依據(jù)所述目標(biāo)文件的路徑在對象管理器中查找對應(yīng)的文件對象解析例程;若查找到對應(yīng)的文件對象解析例程���,則依據(jù)所述文件對象解析例程生成I/o請求包����,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址��;其中,所述I/o請求包中包括從所述請求中提取的目標(biāo)文件解鎖���、粉碎操作的信息����; 由所述文件系統(tǒng)下層設(shè)備依據(jù)所述信息對所述目標(biāo)文件執(zhí)行解鎖操作���。
8.如權(quán)利要求7所述的方法���,其特征在于,所述依據(jù)文件路徑在對象管理器中查找對應(yīng)的文件對象解析例程的步驟具體包括以下子步驟����; 子步驟SI�、判斷文件路徑是否已經(jīng)拆解完畢,若否�����,則執(zhí)行子步驟S2 ;若是���,則執(zhí)行子步驟S4 �; 子步驟S2、按照路徑分隔符拆解出文件路徑中下一個待拆解的路徑段�; 子步驟S3、采用當(dāng)前拆解出的路徑段在對象管理器中搜索����,判斷是否存在對應(yīng)的文件對象例程;若是�����,則返回子步驟SI ;若否����,則執(zhí)行子步驟S5 ; 子步驟S4���、獲得所述文件路徑對應(yīng)的文件對象解析例程�����。
子步驟S5���、返回未找到對應(yīng)文件對象解析例程的信息。
9.如權(quán)利要求7或8所述的方法���,其特征在于���,還包括 刪除經(jīng)解鎖的目標(biāo)文件��。
10.一種文件解鎖����、粉碎的裝置�,其特征在于,包括 文件鎖定判斷模塊�,用于判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接口 API的LockFile函數(shù)鎖定;若是���,則調(diào)用句柄表遍歷模塊���; 句柄表遍歷模塊�����,用于遍歷操作系統(tǒng)的句柄表��,獲得目標(biāo)文件對應(yīng)的文件句柄FileHandle ��; 進(jìn)程獲取模塊,用于獲取所述文件句柄File Handle所屬的進(jìn)程�; 進(jìn)程切換模塊,用于切換到所述進(jìn)程���; 解鎖操作發(fā)起模塊���,用于基于所述進(jìn)程調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接口發(fā)起目標(biāo)文件的解鎖操作��; 進(jìn)程回退模塊��,用于在所述目標(biāo)文件的解鎖操作完成后����,退出所述目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程。
11.如權(quán)利要求10所述的裝置��,其特征在于���,所述目標(biāo)文件具有對應(yīng)的全路徑�����;所述句柄表位于操作系統(tǒng)內(nèi)核��,其中維護(hù)有所有進(jìn)程打開的句柄信息�,所述句柄信息中包括文件句柄File Handle的信息,所述文件句柄File Handle的信息中包括各文件句柄FileHandle對應(yīng)的文件的全路徑,所述目標(biāo)文件對應(yīng)的文件句柄File Handle通過所述全路徑對比獲得�����。
12.如權(quán)利要求10或11所述的裝置�����,其特征在于�����,還包括 切換判斷模塊�,用于判斷所述文件句柄File Handle所屬的進(jìn)程是否能切換,以及�����,在能切換時調(diào)用進(jìn)程切換模塊�。
13.如權(quán)利要求10所述的裝置���,其特征在于�,所述解鎖操作發(fā)起模塊包括 請求獲取子模塊,用于獲取針對目標(biāo)文件的解鎖操作請求�����,所述請求中包括調(diào)用者輸入?yún)?shù)��,所述輸入?yún)?shù)中包括所述目標(biāo)文件的路徑�; 參數(shù)檢驗(yàn)子模塊,用于校驗(yàn)所述調(diào)用者輸入?yún)?shù)��; 解析例程查找子模塊�,用于在所述調(diào)用者輸入?yún)?shù)校驗(yàn)通過時,依據(jù)所述目標(biāo)文件的路徑在對象管理器中查找對應(yīng)的文件對象解析例程��; IRP包發(fā)送子模塊��,用于在查找到對應(yīng)的文件對象解析例程時���,依據(jù)所述文件對象解析例程生成I/O請求包�����,并發(fā)送至預(yù)置的文件系統(tǒng)下層設(shè)備的原始地址���;其中����,所述I/O請求包中包括從所述請求中提取的目標(biāo)文件解鎖��、粉碎操作的信息����;由所述文件系統(tǒng)下層設(shè)備依據(jù)所述信息對所述目標(biāo)文件執(zhí)行解鎖操作。
14.如權(quán)利要求10所述的裝置����,其特征在于,還包括 文件刪除模塊�����,用于刪除經(jīng)解鎖的目標(biāo)文件���。
全文摘要
本發(fā)明提供了一種文件解鎖�、粉碎的方法及裝置����,其中所述方法包括判斷目標(biāo)文件是否被操作系統(tǒng)應(yīng)用程序接口API的LockFile函數(shù)鎖定;若是,則遍歷操作系統(tǒng)的句柄表�����,獲得目標(biāo)文件對應(yīng)的文件句柄File Handle��,并獲取所述文件句柄File Handle所屬的進(jìn)程��;切換到所述進(jìn)程���,基于所述進(jìn)程調(diào)用自定義的用于文件解鎖、粉碎的應(yīng)用程序接口發(fā)起目標(biāo)文件的解鎖操作����;在所述目標(biāo)文件的解鎖操作完成后,退出所述目標(biāo)文件的文件句柄File Handle所屬的進(jìn)程�����。本發(fā)明所提供的文件解鎖�、粉碎、粉碎機(jī)制不僅安全���、可靠����、成功率高,并且可以在復(fù)雜的客戶端環(huán)境中識別惡意程序的文件自保護(hù)行為并加以對抗�,增強(qiáng)了和驅(qū)動級惡意程序攻防的對抗能力。
文檔編號G06F21/56GK102855431SQ20111017538
公開日2013年1月2日 申請日期2011年6月27日 優(yōu)先權(quán)日2011年6月27日
發(fā)明者潘劍鋒, 王宇 申請人:奇智軟件(北京)有限公司