[发明专利]一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法

说明书

本发明公开了一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法，包括通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护终端计算机系统的文件打开接口、防护拦截程序拦截所有文件打开操作，获取打开操作所携带的输入参数、防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息、防护拦截程序依次判断文件访问属性是否包含写权限、文件类型是否为可执行文件、被打开文件路径名和访问进程文件路径名是否相等、当文件访问属性包含写权限、文件类型为可执行文件、被打开文件路径名和访问进程文件路径名不相等时，设定文件保护并允许操作系统执行文件访问操作。

技术领域

本发明属于计算机网络安全管理技术领域，特别是涉及一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法。

背景技术

Windows操作系统可以通过平台提供的接口，实现系统内核层文件访问的监控操作。

PE格式为Windows可执行文件格式，U盘和网络共享为病毒的主要传播途径，病毒感染前，病毒通常识别文件是否为PE格式，如果符合格式则感染，并执行文件改写操作来完成病毒传播。

程序启动时，程序系统监控接口获取的操作进程名为文件进程名，由于病毒感染时操作进程名会写入其他可执行文件，因此被打开文件名和打开进程文件名不同。本方法通过判断被打开文件名和打开进程文件名是否相等，检测是否有病毒感染行为，实现对U盘病毒的高效拦截。

发明内容

本发明的主要目的在于提供一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法，该方法适用于Windows各平台操作系统，通过Windows操作系统文件过滤驱动技术将防护拦截程序与系统的文件打开接口挂钩，从而实现文件访问监控，杜绝计算机感染病毒，有效保障终端系统安全。

为了达到上述目的，本发明所采用的技术方案如下：

一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法，包含以下步骤：

a．通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护的终端计算机系统的文件打开接口；

b．防护拦截程序拦截所有文件打开操作，获取打开操作所携带的输入参数；

所述打开操作所携带的输入参数包括被打开文件的文件路径名、文件属性对象地址、当前进程ID；

c．防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息；

所述文件打开操作的基本信息包括被打开文件路径名、访问进程文件路径名、文件访问属性；

通过当前进程ID，获取访问进程所在的文件路径名；

通过文件属性对象地址，获取所包含的文件访问权限，文件访问权限包括读、写；

d．防护拦截程序判断文件访问属性，如果文件访问属性中包含写权限，继续执行步骤e；如果文件访问属性中不包含写权限，则执行步骤h；

e．防护拦截程序判断被打开文件的文件类型；

所述文件类型包括可执行文件、非可执行文件；

防护拦截程序读取被打开文件的头部信息，判断被打开文件是否为PE格式，如果被打开文件为PE格式，则判断被打开文件为可执行文件，继续执行步骤f；如果被打开文件为非PE格式，则判断被打开文件为非可执行文件，执行步骤h；

f．防护拦截程序判断被打开文件是否需要保护；