[发明专利]管理主机中文件方法和装置

权利要求书

1.一种管理主机中文件的方法，其特征在于，包括：

获取主机上存储的可执行文件；

利用预先获取的钩子函数，获取对所述可执行文件的读写操作信息；

根据所述读写操作信息，确定所述主机上可执行文件的变化信息；

根据所述主机上可执行文件的变化信息，更新对所述主机上可执行文件的记录信息。

2.根据权利要求1所述的方法，其特征在于，所述根据所述读写操作信息，确定所述主机上可执行文件的变化信息，包括：

确定所述读写操作信息所使用的钩子函数中对应的功能号；

获取所述功能号对应的回调函数的处理信息；

根据所述回调函数的处理信息，确定主机的可执行文件的变化信息。

3.根据权利要求2所述的方法，其特征在于，所述确定所述读写操作信息所使用的钩子函数中对应的功能号，包括如下至少一个：

在所述读写操作信息为新增可执行文件时，所使用的主功能号依次为用于创建文件的主功能号、用于写入内容的主功能号和用于释放文件的功能号；

在所述读写操作信息为删除可执行文件时，所使用主功能号为用于创建文件的主功能号；

在所述读写操作信息为重命名可执行文件时，所使用的主功能号为用于设置文件信息的主功能号。

4.根据权利要求2或3所述的方法，其特征在于，所述根据所述回调函数的处理信息，确定主机的可执行文件的变化信息，包括如下至少一个：

在满足如下条件时，确定所述主机新增可执行文件，包括：以写权限打开一个文件，且打开的文件为可执行文件，并在打开的文件中写入内容，在写入操作完成后，释放所述文件；

在满足如下条件时，确定所述主机删除可执行文件，包括：以删除权限打开文件，且打开的文件是可执行文件，并成功删除文件；

在满足如下条件时，确定所述主机中对可执行文件进行重命名操作，包括：重命名操作成功，且所操作的文件是可执行文件。

5.根据权利要求4所述的方法，其特征在于，通过如下方式确定所述主机新增可执行文件，包括：

在用于创建文件的主功能号的回调函数的处理过程中，判断是否以写权限打开文件，以及判断所述文件是否是可执行程序，在判断是以写权限打开且文件是可执行文件后，创建上下文消息；

在用于写入内容的主功能号的回调函数的处理过程中，判断所述文件是否有上下文消息，如果存在上下文消息，则获取写入内容的长度信息，如果写入长度不为0，则启动对用于释放文件的功能号的回调函数的处理过程的检测；

在用于释放文件的功能号的回调函数的处理过程中，根据所述第二标识，判断是否存在上下文消息，如果存在上下文消息，则识别到文件创建。

6.根据权利要求5所述的方法，其特征在于：

在用于创建文件的主功能号的回调函数的处理过程中，在创建上下文消息之后，为创建的上下文消息增加第一标记，其中所述第一标记用于指示所述上下文消息为有效消息；

在用于写入内容的主功能号的回调函数的处理过程中，在判断所述文件存在上下文消息后，利用所述第一标记，判断所述上下文消息是否为有效消息，在判断所述上下文消息为有效信息后，再获取写入内容的长度信息。

7.根据权利要求5所述的方法，其特征在于：

在用于写入内容的主功能号的回调函数的处理过程中，在启动对用于释放文件的功能号的回调函数的处理过程的检测之前，为所述上下文消息增加第二标记，其中所述第二标记用于指示所述上下文消息为有效消息；

在用于释放文件的功能号的回调函数的处理过程中，在判断所述文件存在上下文消息后，利用所述第二标记，判断所述上下文消息是否为有效消息，在判断所述上下文消息为有效信息后，确定所述主机新增可执行文件。