[发明专利]通用、可靠的文件复制操作识别方法

权利要求书

1.通用、可靠的文件复制操作识别方法，其特征在于，该方法包含以下步骤：

a．捕获文件的基本操作：利用文件微过滤驱动捕获文件的基本操作以及基本操作携带的数据；

所述文件的基本操作包括：打开、查询扩展属性、创建、关闭；

所述文件的基本操作携带的数据包括：文件打开分类、进程ID、查询扩展属性操作发生时间、关闭操作发生时间、文件大小、文件名、文件路径；

所述文件打开分类包括：打开、创建、创建并覆盖；

b．存储文件的基本操作：将捕获到的文件的基本操作以及基本操作携带的数据存储在内存中；

以哈希表作为数据结构，以文件路径和文件名为索引，如果所述哈希表中不存在该文件，则将该文件的基本操作以及基本操作携带的数据添加到哈希表中；如果所述哈希表中存在该文件，则更新哈希表中的该文件的基本操作以及基本操作携带的数据；

c．分析文件的基本操作：分析存储在内存中的文件的基本操作以及基本操作携带的数据，识别文件是否发生了复制操作。

2.根据权利要求1所述的方法，其特征在于，所述步骤c中，进一步包括以下步骤：

c1．根据文件的基本操作进行判断，如果基本操作是关闭，则继续执行步骤c2；如果基本操作不是关闭，则结束，即没有发生文件复制操作；

c2．获取当前系统时间；

c3．根据文件的打开分类进行判断，如果文件的打开分类是创建或者是创建并覆盖，则继续执行步骤c4；如果文件打开分类是打开，则结束，即没有发生文件复制操作；

c4．遍历哈希表中的节点，获取与所述文件的文件大小、进程ID相同，且查询扩展属性操作发生时间不为零的节点，生成节点列表；

c5．将所述节点列表中的每个节点的文件关闭操作发生时间与步骤c2获取的当前系统时间进行比较，如果二者之差小于2秒，则继续执行步骤c6；如果二者之差大于或等于2秒，则结束，即没有发生文件复制操作；

c6．根据节点的文件路径进行判断，如果文件路径指向的文件存在，则所述文件发生复制操作；如果文件路径指向的文件不存在，则没有发生文件复制操作。