專利名稱:一種文件解鎖的方法及裝置的制作方法
技術領域:
本發(fā)明涉及計算機安全的技術領域,特別是涉及一種文件解鎖的方法和一種文件解鎖的裝置�����。
背景技術:
計算機病毒是指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼�����。計算機一旦染上病毒�����,計算機通常表現為其文件被增加��、刪出��、改變名稱或屬性���、移動到其它目錄下�,病毒對計算機文件的這些操作�,可能會導致正常的程序無法運行、計算機操作系統崩潰���、計算機被遠程控制�、用戶信息被盜用等一系列的問題�。為了保證計算機的安全運行,需要對計算機中感染病毒的文件進行病毒查殺����,以防止和清除病毒的破壞���。在安全軟件領域,針對染毒計算機文件的“刪除”與“反刪除”是安全軟件和惡意程序(計算機病毒)對抗的永恒主題之一?��,F有技術中的病毒�����,往往通過文件只讀屬性限制等手段給染毒文件加上了加密鎖,采用常規(guī)手段無法破解加密鎖即無法刪除染毒文件�����,這些手段阻止殺毒軟件查殺染毒文件���。安全軟件查殺病毒的過程�,可以理解為對染毒文件進行解鎖和粉碎?,F有安全軟件,對染毒文件的解鎖和粉碎手段單一���,無法破除染毒文件設置的層層保護��,對抗能力不強�����。傳統安全軟件廠商只解決了部分“反刪除”問題�����,在操作系統內核態(tài)的攻防上往往體現出一定的能力缺失����,驅動級惡意程序(Rootkit)對抗能力偏弱。因此��,目前需要本領域技術人員迫切解決的一個技術問題就是提出一種文件解鎖的處理機制�,用以在復雜的客戶端環(huán)境中識別惡意程序的文件自保護行為并加以對抗,增強和驅動級惡意程序攻防的對抗能力����。
發(fā)明內容
本發(fā)明所要解決的技術問題是提供一種文件解鎖的方法,以增強和驅動級惡意程序攻防的對抗能力����。本發(fā)明還提供了一種文件解鎖的裝置,用以保證上述方法在實際中的應用及實現����。為了解決上述問題���,本發(fā)明實施例公開了一種文件解鎖的方法,包括嘗試針對目標文件執(zhí)行刪除操作或寫入操作����;若所述目標文件無法執(zhí)行刪除或寫入操作,則獲取所述目標文件的屬性�;若所述目標文件的屬性為只讀,則調用自定義的用于文件屬性更改的應用程序接口去除所述目標文件的只讀屬性��。優(yōu)選的��,所述調用自定義的用于文件屬性更改的應用程序接口去除目標文件只讀屬性的步驟包括獲取針對目標文件的屬性更改請求�,所述請求中包括調用者輸入參數��,所述輸入參數中包括目標文件的路徑���;校驗所述調用者輸入參數����,若校驗通過�����,則依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程;若查找到對應的文件對象解析例程���,則依據所述文件對象解析例程生成I/O請求包����,并發(fā)送至預置的文件系統下層設備的原始地址�;其中,所述I/o請求包中包括依據所述屬性更改請求生成的目標文件屬性更改操作信息�;由所述文件系統下層設備依據所述目標文件屬性更改操作信息,去除目標文件的只讀屬性�。優(yōu)選的,所述獲取目標文件的屬性的步驟包括調用自定義的用于獲取文件屬性的應用程序接口獲取所述目標文件的屬性��,具體 包括獲取針對目標文件的屬性查詢請求��,所述請求中包括調用者輸入參數��,所述輸入參數中包括目標文件的路徑�;校驗所述調用者輸入參數,若校驗通過�,則依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程;若查找到對應的文件對象解析例程�,則依據所述文件對象解析例程生成I/O請求包�,并發(fā)送至預置的文件系統下層設備的原始地址����;其中,所述I/o請求包中包括依據所述屬性查詢請求生成的目標文件屬性查詢操作信息�;由所述文件系統下層設備依據所述目標文件屬性查詢操作信息,查詢目標文件的屬性���。優(yōu)選的����,所述獲取目標文件的屬性的步驟包括調用操作系統的應用程序接口 API獲取所述目標文件的屬性�,具體包括調用位于用戶態(tài)的文件屬性獲取例程的操作系統應用程序接口 API GetFileAttributes ;通過所述GetFileAttributes例程調用位于用戶態(tài)的文件信息查詢例程的操作系統原生應用程序接口 Native API ZwQueryInformationFiIe ��;通過所述用戶態(tài)的ZwQueryInformationFile例程調用位于內核態(tài)的文件信息查詢例程ZwQueryInformationFile,由所述內核態(tài)的ZwQueryInformationFile例程查詢目標文件的屬性���。優(yōu)選的�,在去除所述目標文件的只讀屬性后�,還包括調用操作系統應用程序接口 API刪除所述目標文件���,具體包括調用位于用戶態(tài)的文件刪除例程的操作系統應用程序接口 API =DeleteFile �����;通過所述DeleteFile例程調用位于用戶態(tài)的文件刪除例程的操作系統原生應用程序接口 Native API ZwDeleteFile ���;通過所述用戶態(tài)的ZwDeleteFiIe例程調用位于內核態(tài)的文件刪除例程ZwDeleteFile,通過所述內核態(tài)的ZwDeleteFile例程刪除目標文件�����。優(yōu)選的���,在去除所述目標文件的只讀屬性后,還包括調用自定義的用于刪除文件的應用程序接口刪除所述目標文件���,具體包括獲取針對目標文件的刪除請求��,所述請求中包括調用者輸入參數��,所述輸入參數中包括目標文件的路徑�;校驗所述調用者輸入參數�����,若校驗通過,則依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程��;若查找到對應的文件對象解析例程�����,則依據所述文件對象解析例程生成I/O請求包�����,并發(fā)送至預置的文件系統下層設備的原始地址�����;其中�����,所述I/O請求包中包括依據所述刪除請求生成的目標文件刪除操作信息�;由所述文件系統下層設備依據所述目標文件刪除操作信息,刪除所述目標文件���。優(yōu)選的�����,所述依據文件路徑在對象管理器中查找對應的文件對象解析例程的步驟具體包括以下子步驟�; 子步驟SI�����、判斷文件路徑是否已經拆解完畢����,若否,則執(zhí)行子步驟S2 ;若是�,則執(zhí) 行子步驟S4 ;子步驟S2�����、按照路徑分隔符拆解出文件路徑中下一個待拆解的路徑段�;子步驟S3、采用當前拆解出的路徑段在對象管理器中搜索���,判斷是否存在對應的文件對象例程���;若是,則返回子步驟SI ;若否����,則執(zhí)行子步驟S5 ���;子步驟S4、獲得所述文件路徑對應的文件對象解析例程���。子步驟S5���、返回未找到對應文件對象解析例程的信息。本發(fā)明實施例還公開了一種文件解鎖的裝置����,包括操作模塊,用于嘗試針對目標文件執(zhí)行刪除操作或寫入操作�����;屬性獲取模塊���,用于在所述目標文件無法執(zhí)行刪除或寫入操作時����,獲取所述目標文件的屬性�;只讀屬性去除模塊���,用于在所述目標文件的屬性為只讀時,調用自定義的用于文件屬性更改的應用程序接口去除所述目標文件的只讀屬性���。優(yōu)選的,所述只讀屬性去除模塊包括屬性更改請求獲取子模塊�,用于獲取針對目標文件的屬性更改請求,所述請求中包括調用者輸入參數�����,所述輸入參數中包括目標文件的路徑�;參數校驗子模塊,用于校驗所述調用者輸入參數�,若校驗通過,則觸發(fā)對象查找子模塊����;對象查找子模塊,用于依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程��;第一 IRP包發(fā)送子模塊���,用于在查找到對應的文件對象解析例程時�,依據所述文件對象解析例程生成I/o請求包,所述I/O請求包中包括依據所述屬性更改請求生成的目標文件屬性更改操作信息�����,并將所述I/o請求包發(fā)送至預置的文件系統下層設備的原始地址�;由所述文件系統下層設備依據所述目標文件屬性更改操作信息,去除目標文件的只讀屬性�����。優(yōu)選的�,所述屬性獲取模塊包括屬性查詢請求獲取子模塊,用于獲取針對目標文件的屬性查詢請求�,所述請求中包括調用者輸入參數,所述輸入參數中包括目標文件的路徑��;參數校驗子模塊�,用于校驗所述調用者輸入參數,若校驗通過�����,則觸發(fā)對象查找子模塊���;
對象查找子模塊����,用于依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程;第二 IRP包發(fā)送子模塊�����,用于在查找到對應的文件對象解析例程時���,依據所述文件對象解析例程生成I/o請求包,所述I/O請求包中包括依據所述屬性查詢請求生成的目標文件屬性查詢操作信息����;并將所述I/o請求包發(fā)送至預置的文件系統下層設備的原始地址,由所述文件系統下層設備依據所述目標文件屬性查詢操作信息�,查詢目標文件的屬性。優(yōu)選的�����,所述屬性獲取模塊包括用戶態(tài)文件屬性獲取API調用子模塊�,用于調用位于用戶態(tài)的文件屬性獲取例程 的操作系統應用程序接口 API GetFiIeAttributes ;用戶態(tài)文件屬性獲取Native API調用子模塊,用于通過所述GetFileAttributes例程調用位于用戶態(tài)的文件信息查詢例程的操作系統原生應用程序接口 Native API ZwQueryInformationFile ����;內核態(tài)文件屬性獲取Native API調用子模塊�,用于通過所述用戶態(tài)的ZwQueryInformationFile例程調用位于內核態(tài)的文件信息查詢例程ZwQueryInformationFile,由所述內核態(tài)的ZwQueryInformationFile例程查詢目標文件的屬性�。優(yōu)選的,所述的裝置��,還包括第一刪除模塊�����,用于在去除所述目標文件的只讀屬性后��,調用操作系統應用程序接口 API刪除所述目標文件,具體包括用戶態(tài)文件刪除API調用子模塊���,用于調用位于用戶態(tài)的文件刪除例程的操作系統應用程序接口 API =DeleteFile �;用戶態(tài)文件刪除Native API調用子模塊,用于通過所述DeleteFile例程調用位于用戶態(tài)的文件刪除例程的操作系統原生應用程序接口 NativeAPI ZwDeleteFile �;內核態(tài)文件刪除Native API調用子模塊,用于通過所述用戶態(tài)的ZwDeleteFile例程調用位于內核態(tài)的文件刪除例程ZwDeleteFile,通過所述內核態(tài)的ZwDeleteFile例程刪除目標文件。優(yōu)選的�,所述的裝置,還包括第二刪除模塊�����,用于在去除所述目標文件的只讀屬性后�����,調用自定義的用于刪除文件的應用程序接口刪除所述目標文件,具體包括文件刪除請求獲取子模塊��,用于獲取針對目標文件的刪除請求,所述請求中包括調用者輸入參數,所述輸入參數中包括目標文件的路徑;參數校驗子模塊,用于校驗所述調用者輸入參數��,若校驗通過�����,則觸發(fā)對象查找子模塊�;對象查找子模塊���,用于依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程����;第三IRP包發(fā)送子模塊���,用于在查找到對應的文件對象解析例程時�,依據所述文件對象解析例程生成I/O請求包,所述I/O請求包中包括依據所述刪除請求生成的目標文件刪除操作信息���,并將所述I/O請求包發(fā)送至預置的文件系統下層設備的原始地址,由所述文件系統下層設備依據所述目標文件刪除操作信息���,刪除所述目標文件�����。
與現有技術相比�����,本發(fā)明具有以下優(yōu)點本發(fā)明通過嘗試針對目標文件執(zhí)行刪除操作或寫入操作�,并在所述目標文件無法執(zhí)行刪除或寫入操作時����,則獲取所述目標文件的屬性;若所述目標文件的屬性為只讀,則調用自定義的用于文件屬性更改的應用程序接口去除所述目標文件的只讀屬性���,而后對去除只讀屬性的目標文件執(zhí)行解鎖和粉碎的操作�����。本發(fā)明所提供的文件解鎖��、粉碎機制不僅安全�、可靠、成功率高���,并且可以在復雜的客戶端環(huán)境中識別惡意程序的文件自保護行為并加以對抗����,增強了和驅動級惡意程序攻防的對抗能力�。
圖I是本發(fā)明的一種文件解鎖的方法實施例的步驟流程圖��;
圖2是本發(fā)明的一種文件解鎖的裝置實施例的結構框圖��。
具體實施例方式為使本發(fā)明的上述目的���、特征和優(yōu)點能夠更加明顯易懂���,下面結合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明����。參考圖1,示出了本發(fā)明的一種文件解鎖的方法實施例的步驟流程圖����,具體可以包括以下步驟步驟101、嘗試針對目標文件執(zhí)行刪除操作或寫入操作�;在Windows操作系統用戶態(tài),可以使用函數DeleteFile�����、ZwDeleteFile嘗試刪除目標文件�����;在Windows操作系統內核態(tài),可以使用函數ZwDeIeteFiIe嘗試刪除目標文件����。具體而言,即通過調用位于用戶態(tài)的文件刪除例程的操作系統應用程序接口 API DeleteFile ;然后通過所述DeleteFile例程調用位于用戶態(tài)的文件刪除例程的操作系統原生應用程序接口 Native API ZwDeleteFile ;再通過所述用戶態(tài)的ZwDeleteFile例程調用位于內核態(tài)的文件刪除例程ZwDeleteFile,通過所述內核態(tài)的ZwDeleteFile例程嘗試刪除目標文件��。更具體而言�,所述用戶態(tài)的DeleteFile例程內部會調用用戶態(tài)的ZwDeleteFile例程,用戶態(tài)的ZwDeleteFile例程調用內核態(tài)的ZwDeleteFile例程后,內核態(tài)的ZwDeleteFile例程內部會執(zhí)行目標文件刪除的操作�。在Windows操作系統用戶態(tài),可以使用函數WriteFile、ZwffriteFile嘗試向目標文件寫入內容�����;在Windows操作系統內核態(tài),可以使用函數ZwWriteFile嘗試向目標文件寫入內容�。具體而言�����,即通過調用位于用戶態(tài)的文件寫入例程的操作系統應用程序接口 API =WriteFile ;然后通過所述WriteFile例程調用位于用戶態(tài)的文件寫入例程的操作系統原生應用程序接口 Native API ZwffriteFile ;再通過所述用戶態(tài)的ZwWriteFile例程調用位于內核態(tài)的文件寫入例程ZwWriteFile,通過所述內核態(tài)的ZwWriteFile例程嘗試向目標文件寫入內容��。更具體而言����,所述用戶態(tài)的WriteFile例程內部會調用用戶態(tài)的ZwffriteFile例程,用戶態(tài)的ZwWriteFile例程調用內核態(tài)的ZwWriteFile例程后,內核態(tài)的ZwWriteFile例程內部會執(zhí)行向目標文件寫入內容的操作���。需要說明的是�����,上述刪除操作和寫入操作均是在打開文件的情況下執(zhí)行的���。在本發(fā)明實施例中,所述文件包括WINDOWS操作系統中所支持類型的文件���,所述文件打開不是指通過雙擊鼠標或按回車鍵等觸發(fā)方式打開文件(如*. exe, *. doc等類型的文件)��;而是指用操作系統API或本發(fā)明的自定義的應用程序接口 BAPI(應用本發(fā)明�,可以在操作系統用戶態(tài)接口完整實現一套文件操作調用庫)的CreateFileO函數等打開文件���、得到文件句柄的操作���,因為只有得到文件句柄后才可以進一步操作該文件。從函數調用方法角度而言��,本發(fā)明實施例中所指文件“打開”主要包括以下幾種情形I��、使用Windows標準API CreateFile函數打開目標文件;2��、使用 Windows Native API ZwCreateFile/NtCreateFile 函數打開目標文件���;3�、使用 Windows Native API ZwOpenFile/NtOpenFile 函數打開目標文件���。其中�����,CreateFile的參數dwCreationDisposition可以控制函數行為是“創(chuàng)建新文件”還是“打開已經存在的文件”����。步驟102����、若所述目標文件無法執(zhí)行刪除或寫入操作����,則獲取所述目標文件的屬性;在實際中����,若接收到上述目標文件刪除或寫入操作的調用錯誤碼�,則獲取該目標文件的屬性信息�。例如,如果目標文件具有只讀屬性����,則上述調用會返回錯誤碼,參考微軟MSDN 中的描述為“If the file is aread-only file, the function fails with ERR0R_ACCESS_DENIED (若文件為只讀文件���,則因為ERR0R_ACCESS_DENIED調用失敗)”�;其中�,ERR0R_ACCESS_DENIED是一個數值,值為5���。它的定義位于微軟WINERR0R. H頭文件中���,如
下
權利要求
1.一種文件解鎖的方法,其特征在于��,包括 嘗試針對目標文件執(zhí)行刪除操作或寫入操作�; 若所述目標文件無法執(zhí)行刪除或寫入操作,則獲取所述目標文件的屬性��; 若所述目標文件的屬性為只讀,則調用自定義的用于文件屬性更改的應用程序接口去除所述目標文件的只讀屬性�����。
2.如權利要求I所述的方法���,其特征在于��,所述調用自定義的用于文件屬性更改的應用程序接口去除目標文件只讀屬性的步驟包括 獲取針對目標文件的屬性更改請求�����,所述請求中包括調用者輸入參數��,所述輸入參數中包括目標文件的路徑��; 校驗所述調用者輸入參數�����,若校驗通過,則依據所述目標文件路徑在對象管理器中查 找對應的文件對象解析例程�����; 若查找到對應的文件對象解析例程,則依據所述文件對象解析例程生成I/o請求包�����,并發(fā)送至預置的文件系統下層設備的原始地址��;其中��,所述I/o請求包中包括依據所述屬性更改請求生成的目標文件屬性更改操作信息��; 由所述文件系統下層設備依據所述目標文件屬性更改操作信息���,去除目標文件的只讀屬性��。
3.如權利要求2所述的方法���,其特征在于,所述獲取目標文件的屬性的步驟包括 調用自定義的用于獲取文件屬性的應用程序接口獲取所述目標文件的屬性�,具體包括 獲取針對目標文件的屬性查詢請求,所述請求中包括調用者輸入參數���,所述輸入參數中包括目標文件的路徑�����; 校驗所述調用者輸入參數��,若校驗通過�����,則依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程����; 若查找到對應的文件對象解析例程,則依據所述文件對象解析例程生成I/o請求包�,并發(fā)送至預置的文件系統下層設備的原始地址;其中����,所述I/o請求包中包括依據所述屬性查詢請求生成的目標文件屬性查詢操作信息; 由所述文件系統下層設備依據所述目標文件屬性查詢操作信息�,查詢目標文件的屬性。
4.如權利要求I或2所述的方法�,其特征在于,所述獲取目標文件的屬性的步驟包括 調用操作系統的應用程序接口 API獲取所述目標文件的屬性�,具體包括 調用位于用戶態(tài)的文件屬性獲取例程的操作系統應用程序接口 API GetFileAttribute s ; 通過所述GetFileAttributes例程調用位于用戶態(tài)的文件信息查詢例程的操作系統原生應用程序接口 Native API ZwQueryInformationFiIe �����; 通過所述用戶態(tài)的ZwQueryInformationFile例程調用位于內核態(tài)的文件信息查詢例程ZwQueryInformationFile,由所述內核態(tài)的ZwQueryInformationFile例程查詢目標文件的屬性��。
5.如權利要求1���、2或3所述的方法��,其特征在于����,在去除所述目標文件的只讀屬性后�����,還包括調用操作系統應用程序接口 API刪除所述目標文件�,具體包括 調用位于用戶態(tài)的文件刪除例程的操作系統應用程序接口 API =DeleteFile ; 通過所述DeleteFile例程調用位于用戶態(tài)的文件刪除例程的操作系統原生應用程序接口 Native API ZwDeleteFile �; 通過所述用戶態(tài)的ZwDeleteFile例程調用位于內核態(tài)的文件刪除例程ZwDeleteFile,通過所述內核態(tài)的ZwDeleteFile例程刪除目標文件。
6.如權利要求1��、2或3所述的方法�,其特征在于,在去除所述目標文件的只讀屬性后����,還包括 調用自定義的用于刪除文件的應用程序接口刪除所述目標文件�����,具體包括 獲取針對目標文件的刪除請求��,所述請求中包括調用者輸入參數�����,所述輸入參數中包括目標文件的路徑�; 校驗所述調用者輸入參數��,若校驗通過�����,則依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程���; 若查找到對應的文件對象解析例程���,則依據所述文件對象解析例程生成I/O請求包,并發(fā)送至預置的文件系統下層設備的原始地址�����;其中,所述I/o請求包中包括依據所述刪除請求生成的目標文件刪除操作信息���; 由所述文件系統下層設備依據所述目標文件刪除操作信息,刪除所述目標文件����。
7.如權利要求2、3或6所述的方法�,其特征在于,所述依據文件路徑在對象管理器中查找對應的文件對象解析例程的步驟具體包括以下子步驟���; 子步驟SI���、判斷文件路徑是否已經拆解完畢,若否���,則執(zhí)行子步驟S2 ;若是�,則執(zhí)行子步驟S4 ����; 子步驟S2、按照路徑分隔符拆解出文件路徑中下一個待拆解的路徑段; 子步驟S3���、采用當前拆解出的路徑段在對象管理器中搜索�����,判斷是否存在對應的文件對象例程;若是,則返回子步驟SI ;若否��,則執(zhí)行子步驟S5 ; 子步驟S4、獲得所述文件路徑對應的文件對象解析例程�����。
子步驟S5、返回未找到對應文件對象解析例程的信息����。
8.一種文件解鎖的裝置,其特征在于�,包括 操作模塊�,用于嘗試針對目標文件執(zhí)行刪除操作或寫入操作; 屬性獲取模塊����,用于在所述目標文件無法執(zhí)行刪除或寫入操作時���,獲取所述目標文件的屬性�; 只讀屬性去除模塊��,用于在所述目標文件的屬性為只讀時,調用自定義的用于文件屬性更改的應用程序接口去除所述目標文件的只讀屬性�。
9.如權利要求8所述的裝置���,其特征在于,所述只讀屬性去除模塊包括 屬性更改請求獲取子模塊�,用于獲取針對目標文件的屬性更改請求�,所述請求中包括調用者輸入參數�,所述輸入參數中包括目標文件的路徑�; 參數校驗子模塊�����,用于校驗所述調用者輸入參數�����,若校驗通過���,則觸發(fā)對象查找子模塊�; 對象查找子模塊�,用于依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程;第一 IRP包發(fā)送子模塊���,用于在查找到對應的文件對象解析例程時����,依據所述文件對象解析例程生成I/O請求包,所述I/O請求包中包括依據所述屬性更改請求生成的目標文件屬性更改操作信息�,并將所述I/o請求包發(fā)送至預置的文件系統下層設備的原始地址�����;由所述文件系統下層設備依據所述目標文件屬性更改操作信息,去除目標文件的只讀屬性。
10.如權利要求9所述的裝置�����,其特征在于��,所述屬性獲取模塊包括 屬性查詢請求獲取子模塊�����,用于獲取針對目標文件的屬性查詢請求,所述請求中包括調用者輸入參數��,所述輸入參數中包 括目標文件的路徑; 參數校驗子模塊����,用于校驗所述調用者輸入參數����,若校驗通過,則觸發(fā)對象查找子模塊; 對象查找子模塊�����,用于依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程; 第二 IRP包發(fā)送子模塊,用于在查找到對應的文件對象解析例程時,依據所述文件對象解析例程生成I/O請求包���,所述I/O請求包中包括依據所述屬性查詢請求生成的目標文件屬性查詢操作信息;并將所述I/o請求包發(fā)送至預置的文件系統下層設備的原始地址,由所述文件系統下層設備依據所述目標文件屬性查詢操作信息�����,查詢目標文件的屬性���。
11.如權利要求8或9所述的裝置,其特征在于��,所述屬性獲取模塊包括 用戶態(tài)文件屬性獲取API調用子模塊,用于調用位于用戶態(tài)的文件屬性獲取例程的操作系統應用程序接口 API GetFiIeAttributes ����; 用戶態(tài)文件屬性獲取Native API調用子模塊��,用于通過所述GetFileAttributes例程調用位于用戶態(tài)的文件信息查詢例程的操作系統原生應用程序接口 Native API ZwQueryInformationFile ���; 內核態(tài)文件屬性獲取Native API調用子模塊,用于通過所述用戶態(tài)的ZwQueryInformationFile例程調用位于內核態(tài)的文件信息查詢例程ZwQueryInformationFile,由所述內核態(tài)的ZwQueryInformationFile例程查詢目標文件的屬性�。
12.如權利要求8、9或10所述的裝置���,其特征在于����,還包括 第一刪除模塊�,用于在去除所述目標文件的只讀屬性后,調用操作系統應用程序接口API刪除所述目標文件����,具體包括 用戶態(tài)文件刪除API調用子模塊,用于調用位于用戶態(tài)的文件刪除例程的操作系統應用程序接口 API DeleteFile �; 用戶態(tài)文件刪除Native API調用子模塊,用于通過所述DeleteFile例程調用位于用戶態(tài)的文件刪除例程的操作系統原生應用程序接口 NativeAPI =ZwDeleteFile �����; 內核態(tài)文件刪除Native API調用子模塊,用于通過所述用戶態(tài)的ZwDeleteFile例程調用位于內核態(tài)的文件刪除例程ZwDeleteFile,通過所述內核態(tài)的ZwDeleteFile例程刪除目標文件�����。
13.如權利要求8���、9或10所述的裝置�,其特征在于�,還包括 第二刪除模塊,用于在去除所述目標文件的只讀屬性后����,調用自定義的用于刪除文件的應用程序接口刪除所述目標文件��,具體包括文件刪除請求獲取子模塊��,用于獲取針對目標文件的刪除請求���,所述請求中包括調用者輸入參數,所述輸入參數中包括目標文件的路徑����; 參數校驗子模塊,用于校驗所述調用者輸入參數�����,若校驗通過��,則觸發(fā)對象查找子模塊��; 對象查找子模塊�����,用于依據所述目標文件路徑在對象管理器中查找對應的文件對象解析例程���; 第三IRP包發(fā)送子模塊���,用于在查找到對應的文件對象解析例程時�,依據所述文件對象解析例程生成I/O請求包�,所述I/O請求包中包括依據所述刪除請求生成的目標文件刪除操作信息��,并將所述I/O請求包發(fā)送至預置的文件系統下層設備的原始地址����,由所述文件系統下層設備依據所述目標文件刪除操作信息,刪除所述目標文件����。
全文摘要
本發(fā)明提供了一種文件解鎖的方法和裝置,其中���,所述方法包括嘗試針對目標文件執(zhí)行刪除操作或寫入操作�;若所述目標文件無法執(zhí)行刪除或寫入操作����,則獲取所述目標文件的屬性;若所述目標文件的屬性為只讀�,則調用自定義的用于文件屬性更改的應用程序接口去除所述目標文件的只讀屬性。本發(fā)明所提供的文件解鎖�、粉碎機制不僅安全����、可靠�、成功率高,并且可以在復雜的客戶端環(huán)境中識別惡意程序的文件自保護行為并加以對抗����,增強了和驅動級惡意程序攻防的對抗能力。
文檔編號G06F21/56GK102855436SQ20111017541
公開日2013年1月2日 申請日期2011年6月27日 優(yōu)先權日2011年6月27日
發(fā)明者王宇, 潘劍鋒 申請人:奇智軟件(北京)有限公司