專利名稱:一種監(jiān)控已打開文件的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域的監(jiān)控技術(shù)�,特別涉及一種監(jiān)控已打開文件的方法及裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展�,越來越多的文件可以被接入互聯(lián)網(wǎng)的終端共享,所述終端可以為計算機或移動終端等可以接入互聯(lián)網(wǎng)的設(shè)備��。在終端從互聯(lián)網(wǎng)下載到各種文件并打開運行時���,如何保證文件的安全性稱為了業(yè)內(nèi)關(guān)注的問題�。目前��,通常保證終端所打開文件的安全性方法為首先�,當(dāng)終端打開文件時,終端設(shè)置的監(jiān)控功能就會監(jiān)控到文件被打開����;然后��,終端設(shè)置的監(jiān)控功能就需要按照設(shè)定的各種安全條件掃描該文件����,即終端設(shè)置的監(jiān)控功能再次打開該文件���,對其進行掃描判斷���,確定其是否具備安全性,如果是���,則指示使用終端的用戶該文件是安全的或者不作出任何提示��; 如果不是��,則提示使用終端的用戶����,該文件是不安全的�,需要刪除。在這里,文件可以為各種格式的文本文檔或可執(zhí)行文件��,各種格式的文本文檔可以包括word文檔����、txt文檔或PDF文檔等。但是����,采用上述方式驗證終端所打開文件的安全性是有漏洞的,這是因為在終端設(shè)置的監(jiān)控功能再次打開文件時����,也就是終端設(shè)置的監(jiān)控功能調(diào)用該打開文件并操作執(zhí)行打開時,該操作過程很可能被在終端上非法安裝的其他不同類型的監(jiān)控功能所識別并惡意攔截該操作�,造成了終端設(shè)置的監(jiān)控功能無法實施對被打開文件進行后續(xù)的掃描和安全性的判定���。另外���,在終端設(shè)置的監(jiān)控功能再次打開文件時,也會占用終端內(nèi)的資源��,影響終端性能�����。在終端設(shè)置的監(jiān)控功能對打開文件的安全性比較繁瑣,影響了打開文件的監(jiān)控性能���。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明提供一種監(jiān)控已打開文件的方法�����,該方法能夠在監(jiān)控已打開文件確定是否為安全文件時�,避免被攔截��。本發(fā)明還提供一種監(jiān)控已打開文件的裝置����,該裝置能夠在監(jiān)控已打開文件確定是否為安全文件時,避免被攔截�����。為達到上述目的�����,本發(fā)明實施的技術(shù)方案具體是這樣實現(xiàn)的一種監(jiān)控已打開文件的方法,在終端上設(shè)置映射內(nèi)存映射區(qū)方式�,該方法包括終端的監(jiān)控功能掃描到已打開文件后,采用設(shè)置的映射內(nèi)存映射區(qū)方式���,獲取到已打開文件的句柄��,創(chuàng)建內(nèi)存映射區(qū)��,映射該內(nèi)存映射區(qū)��,在映射上對已打開文件進行掃描后�����,確定是否為安全文件��。所述在終端上設(shè)置映射內(nèi)存映射區(qū)方式為終端的系統(tǒng)平臺預(yù)先設(shè)置有映射內(nèi)存映射區(qū)功能����,終端的監(jiān)控功能直接采用 FsRtlCreateSectionForDataScan函數(shù)調(diào)用已打開文件的句柄����,創(chuàng)建內(nèi)存映射區(qū)。
3
所述在終端上設(shè)置映射內(nèi)存映射區(qū)方式為終端的監(jiān)控功能確定已打開文件不為空���,且已經(jīng)被打開后���,到終端的系統(tǒng)平臺獲取該已打開文件的互斥鎖,然后為該已打開文件設(shè)置操作標(biāo)識后�,確定該已打開文件大小不為零;終端的監(jiān)控功能調(diào)用終端的系統(tǒng)平臺創(chuàng)建函數(shù)在內(nèi)存中創(chuàng)建內(nèi)存映射區(qū)后����,將所創(chuàng)建的內(nèi)存映射區(qū)函數(shù)插入內(nèi)存的對象管理器。所述在映射上對已打開文件進行掃描后�����,確定是否為安全文件的過程為當(dāng)根據(jù)掃描結(jié)果確定已打開文件是安全文件時�,則終端的監(jiān)控功能指示使用終端的用戶該文件是安全的或者不作出任何提示;如果不是���,則提示使用終端的用戶�����,該文件是不安全的���,需要刪除�����。所述文件為各種格式的文本文檔或可執(zhí)行文件;所述終端為接入互聯(lián)網(wǎng)的移動終端����、固定終端或計算機。一種監(jiān)控已打開文件的裝置�,該裝置包括監(jiān)控功能控制模塊、設(shè)置模塊��、內(nèi)存映射區(qū)及掃描模塊���,其中����,設(shè)置模塊����,用于設(shè)置映射內(nèi)存映射區(qū)方式��;監(jiān)控功能控制模塊,用于接收到掃描模塊發(fā)送的通知后��,根據(jù)從設(shè)置模塊調(diào)用的映射內(nèi)存映射區(qū)方式�,利用已打開文件的句柄創(chuàng)建內(nèi)存映射區(qū),映射所建立的內(nèi)存映射區(qū)�����;掃描模塊����,用于掃描已打開文件并通知監(jiān)控控制功能模塊�,在映射上對已打開文件進行掃描�����,得到掃描結(jié)果��。所述裝置還包括提示模塊,用于從掃描模塊獲取掃描結(jié)果����,根據(jù)掃描結(jié)果確定該已打開文件是否為安全文件,如果是���,提示使用終端的用戶該文件是安全的或者不作出任何提示;如果否��,提示使用終端的用戶該文件是不安全的�����,需要刪除��。所述文件為各種格式的文本文檔或可執(zhí)行文件���;所述終端為接入互聯(lián)網(wǎng)的移動終端�����、固定終端或計算機�。由上述技術(shù)方案可見��,本發(fā)明提供的方法及裝置����,在終端設(shè)置的監(jiān)控功能中重新設(shè)置了采用映射內(nèi)存映射區(qū)方式對已打開的文件進行掃描,以確定該已打開文件是否為安全文件�����,而不像現(xiàn)有技術(shù)那樣再次打開已打開文件進行掃描���,從而不會被在終端上非法安裝的其他不同類型的監(jiān)控功能所識別并惡意攔截該操作,從而避免了被在終端上非法安裝的其他不同類型的監(jiān)控功能惡意攔截�。由于本發(fā)明提供的方法及裝置不需要再次打開已打開文件就可以完成安全性檢測,所以節(jié)省了終端內(nèi)的資源�,且監(jiān)控簡單,提高已打開文件的監(jiān)控功能��。
圖1為本發(fā)明提供的監(jiān)控已打開文件的方法流程圖��;圖2為本發(fā)明提供的監(jiān)控已打開文件的裝置結(jié)構(gòu)示意圖��;圖3為本發(fā)明提供的設(shè)置映射內(nèi)存映射區(qū)方式的流程圖����。
具體實施例方式
4
為使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白��,以下參照附圖并舉實施例��,對本發(fā)明作進一步詳細說明。從現(xiàn)有技術(shù)可以看出��,造成在監(jiān)控已打開文件過程中無法執(zhí)行的原因是�����,終端設(shè)置的監(jiān)控功能在再次打開已打開文件�,用以掃描以確定是否為安全文件時,這個執(zhí)行過程也會被在終端上非法安裝的其他不同類型的監(jiān)控功能所掃描到���,并攔截這個執(zhí)行過程����。因此����,為了克服這個問題,本發(fā)明重新提出了一種監(jiān)控方法�����,該方法在要掃描已打開文件以確定是否為安全文件之前����,不采用打開方式�����,而是采用映射內(nèi)存映射區(qū)方式���,在映射上讀取已打開文件進行掃描���。由于本發(fā)明不需要再次打開已打開文件���,也不會有執(zhí)行此操作產(chǎn)生,在終端上非法安裝的其他不同類型的監(jiān)控功能無法掃描到該打開已打開文件的操作�����,從而無法被在終端上非法安裝的其他不同類型的監(jiān)控功能惡意攔截��。另外���,本發(fā)明在監(jiān)控已打開文件的過程中���,由于不需要二次打開已打開文件,所以不會占用終端的資源,不會影響終端性能�。且監(jiān)控簡單,提高已打開文件的監(jiān)控功能��。終端采用映射已打開文件的內(nèi)存映射區(qū)方式�����,可以有兩種方法實現(xiàn)第一種��,對于采用系統(tǒng)平臺級別比較高的終端���,比如終端采用的是視窗xp SP2以上的系統(tǒng)平臺��,其支持映射已打開文件的內(nèi)存映射區(qū)功能����,則可以利用該系統(tǒng)平臺已有映射內(nèi)存映射區(qū)功能�����,即采用FsRtlCreat必ectionForDat必can函數(shù)調(diào)用已打開文件的局柄創(chuàng)建內(nèi)存映射區(qū)����,然后映射此內(nèi)存映射區(qū)����,在映射上對已打開文件進行讀取掃描����;第二種,對于采用系統(tǒng)平臺級別比較低的終端�,比如終端采用的是視窗xp SP2以下的系統(tǒng)平臺,則由終端的監(jiān)控功能在終端上直接設(shè)置映射已打開文件的內(nèi)存映射區(qū)功能����,利用設(shè)置的映射已打開文件的內(nèi)存映射區(qū)功能�����,調(diào)用已打開文件的局柄創(chuàng)建內(nèi)存映射區(qū)���,然后映射此內(nèi)存映射區(qū)����,在映射上對已打開文件進行讀取掃描��,這個過程在后續(xù)圖3所述的方法中詳細說明��。由于可以采用以上兩種不同的方式實現(xiàn)本發(fā)明,所以本發(fā)明提供的方法對終端的系統(tǒng)平臺并不限制�����。以下采用流程圖和裝置結(jié)構(gòu)圖的方式對本發(fā)明進行詳細說明�。圖1為本發(fā)明提供的監(jiān)控已打開文件的方法流程圖,其具體步驟為步驟101����、在終端的監(jiān)控功能中設(shè)置映射內(nèi)存映射區(qū)方式;步驟102�、終端的監(jiān)控功能掃描到已打開文件;步驟103��、終端采用設(shè)置的映射內(nèi)存映射區(qū)方式���,獲取到已打開文件的句柄����,創(chuàng)建內(nèi)存映射區(qū)���,然后映射此內(nèi)存映射區(qū)����,在映射上對已打開文件進行掃描;步驟104�、終端的監(jiān)控功能根據(jù)掃描結(jié)果確定該已打開文件是否為安全文件,如果是�,則執(zhí)行步驟105 ;如果否�,則執(zhí)行步驟106 ;在本步驟中�,終端的監(jiān)控功能如何根據(jù)掃描結(jié)果確定該已打開文件為安全文件為現(xiàn)有技術(shù),比如關(guān)鍵字的匹配����、病毒庫有匹配的對象等等,這里不再贅述��;步驟105�、終端的監(jiān)控功能指示使用終端的用戶該文件是安全的或者不作出任何提示����;在本步驟中,由于終端的功能已經(jīng)確定已打開文件為安全文件����,所以就可以默認(rèn)用戶使用該文件,而不做出任何響應(yīng)����;步驟106�����、終端的監(jiān)控功能提示使用終端的用戶��,該文件是不安全的��,需要刪除�����。
5
在本發(fā)明中�,使用終端的用戶就可以發(fā)送指令給終端的監(jiān)控功能���,終端的監(jiān)控功能根據(jù)該指令對文件進行相應(yīng)操作����,比如當(dāng)該指令為刪除指令時�,就將該文件刪除;如果該指令為確定文件為安全文件的指令時��,就對該文件不做任何處理�����。在本發(fā)明中,文件可以為各種格式的文本文檔或可執(zhí)行文件����,各種格式的文本文檔可以包括word文檔、txt文檔或PDF文檔等�����。在本發(fā)明中����,終端為計算機、固定終端或移動終端等可以接入互聯(lián)網(wǎng)的設(shè)備�����。圖2為本發(fā)明提供的監(jiān)控已打開文件的裝置結(jié)構(gòu)示意圖��,包括監(jiān)控功能控制模塊����、設(shè)置模塊�、內(nèi)存映射區(qū)����、掃描模塊及提示模塊�����,其中�,設(shè)置模塊,用于設(shè)置映射內(nèi)存映射區(qū)方式��;監(jiān)控功能控制模塊��,用于接收到掃描模塊發(fā)送的通知后����,根據(jù)從設(shè)置模塊調(diào)用的映射內(nèi)存映射區(qū)方式,利用已打開文件的句柄創(chuàng)建內(nèi)存映射區(qū)���,映射所建立的內(nèi)存映射區(qū)����;掃描模塊���,用于掃描已打開文件并通知監(jiān)控控制功能模塊���,在映射上對已打開文件進行掃描���,并將掃描結(jié)果發(fā)送給提示模塊;提示模塊���,用于根據(jù)掃描結(jié)果確定該已打開文件是否為安全文件���,如果是,提示使用終端的用戶該文件是安全的或者不作出任何提示����;如果否,提示使用終端的用戶該文件是不安全的����,需要刪除。舉一個具體例子說明一下����,比如有一個文檔文件,當(dāng)用戶打開該文檔文件時�����,終端的監(jiān)控功能掃描到該操作動作���,確認(rèn)要對該已打開的文檔文件進行監(jiān)控���。這時,終端根據(jù)設(shè)置映射內(nèi)存映射區(qū)方式����,首先從終端的內(nèi)存中獲取到已打開的文檔文件的句柄,創(chuàng)建內(nèi)存映射區(qū)�,然后映射此內(nèi)存映射區(qū),在映射上對已打開的文檔文件進行掃描后��,確定是否為安全文件�。也就是說,由終端的系統(tǒng)平臺再次創(chuàng)建一個線程����,對已打開的文檔文件進行掃描處理。圖3為本發(fā)明提供的設(shè)置映射內(nèi)存映射區(qū)方式的流程圖�,其具體步驟為步驟301、終端的監(jiān)控功能掃描到已打開文件�;該步驟為現(xiàn)有技術(shù),也就是終端的監(jiān)控功能掃描到已打開文件在內(nèi)存中所對應(yīng)的文件對象指針(SectionObjectPointer);在本步驟中�����,一般視窗系統(tǒng)平臺上都采用這個文件對象指針指示文件�,當(dāng)然,也可以采用其他名稱的指針指示該文件����,但是作用是可以在內(nèi)存中找到該文件;步驟302���、終端的監(jiān)控功能確定已打開文件是否為空��,如果是�����,則結(jié)束本流程����,如果否���,則執(zhí)行步驟303;在本步驟中�,也就是確定kctionObjectPointer是否為空,如果為空����,則返回錯誤碼���,退出整個過程�;步驟303���、終端的監(jiān)控功能確定已打開文件是否正被用戶執(zhí)行���,如果不是,則結(jié)束本流程�,如果是,則執(zhí)行步驟304 ���;在本步驟中�,終端的監(jiān)控功能直接確定該已打開文件的線程是否設(shè)置了 TopLevellrp�,也就是是否被用戶執(zhí)行,如果是�,則繼續(xù)以下的步驟;步驟304��、終端的監(jiān)控功能進入終端的系統(tǒng)平臺臨界區(qū),獲取到已打開文件的互斥鎖���;
在終端的系統(tǒng)平臺上�,一個已打開文件可以被多個線程所訪問���,也就是同步方式訪問已打開文件����,為了避免沖突�,系統(tǒng)平臺會為線程分配互斥鎖,確定一個時間內(nèi)已打開文件只能被一個線程所操作��;步驟305���、終端的監(jiān)控功能將已打開文件設(shè)置映射標(biāo)識�����,確定要為已打開文件設(shè)置映射內(nèi)存映射區(qū)方式��;在本步驟中�,設(shè)置映射標(biāo)識的過程為對已打開文件的TopLevellrp設(shè)置為 FSRTL_FSP_TOP_LEVEL_IRP,也就是映射標(biāo)識��;步驟306、終端的監(jiān)控功能確定已打開文件的文件大小是否為零�����,如果不是���,執(zhí)行步驟307 �����;如果是,則結(jié)束本流程���;步驟307����、終端的監(jiān)控功能為具備操作標(biāo)識的已打開文件創(chuàng)建內(nèi)存映射區(qū)����;在本步驟中,終端的監(jiān)控功能調(diào)用終端的系統(tǒng)平臺的MmCreatekction函數(shù)對應(yīng)已打開文件的操作標(biāo)識創(chuàng)建內(nèi)存映射區(qū)���;步驟308�、終端的監(jiān)控功能將所創(chuàng)建的內(nèi)存映射區(qū)進行映射,也就是將所創(chuàng)建的內(nèi)存映射區(qū)插入系統(tǒng)平臺的對象管理器����;執(zhí)行完本步驟后,就已經(jīng)設(shè)置映射內(nèi)存映射區(qū)方式���;步驟309����、終端的監(jiān)控功能釋放終端的資源�����,完成整個流程����。以上舉較佳實施例,對本發(fā)明的目的�、技術(shù)方案和優(yōu)點進行了進一步詳細說明,所應(yīng)理解的是����,以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改����、等同替換和改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種監(jiān)控已打開文件的方法����,其特征在于��,在終端上設(shè)置映射內(nèi)存映射區(qū)方式����,該方法包括終端的監(jiān)控功能掃描到已打開文件后,采用設(shè)置的映射內(nèi)存映射區(qū)方式���,獲取到已打開文件的句柄��,創(chuàng)建內(nèi)存映射區(qū)�,映射該內(nèi)存映射區(qū),在映射上對已打開文件進行掃描后����, 確定是否為安全文件。
2.如權(quán)利要求1所述的方法�,其特征在于,所述在終端上設(shè)置映射內(nèi)存映射區(qū)方式為 終端的系統(tǒng)平臺預(yù)先設(shè)置有映射內(nèi)存映射區(qū)功能���,終端的監(jiān)控功能直接采用FsRtlCreateSectionForDataScan函數(shù)調(diào)用已打開文件的句柄�����,創(chuàng)建內(nèi)存映射區(qū)��。
3.如權(quán)利要求1所述的方法��,其特征在于����,所述在終端上設(shè)置映射內(nèi)存映射區(qū)方式為 終端的監(jiān)控功能確定已打開文件不為空���,且已經(jīng)被打開后���,到終端的系統(tǒng)平臺獲取該已打開文件的互斥鎖�����,然后為該已打開文件設(shè)置操作標(biāo)識后��,確定該已打開文件大小不為零��;終端的監(jiān)控功能調(diào)用終端的系統(tǒng)平臺創(chuàng)建函數(shù)在內(nèi)存中創(chuàng)建內(nèi)存映射區(qū)后�����,將所創(chuàng)建的內(nèi)存映射區(qū)函數(shù)插入內(nèi)存的對象管理器��。
4.如權(quán)利要求1 3任一項權(quán)利要求所述的方法���,其特征在于,所述在映射上對已打開文件進行掃描后��,確定是否為安全文件的過程為當(dāng)根據(jù)掃描結(jié)果確定已打開文件是安全文件時���,則終端的監(jiān)控功能指示使用終端的用戶該文件是安全的或者不作出任何提示;如果不是���,則提示使用終端的用戶����,該文件是不安全的,需要刪除��。
5.如權(quán)利要求1 3任一項權(quán)利要求所述的方法�,其特征在于,所述文件為各種格式的文本文檔或可執(zhí)行文件�����;所述終端為接入互聯(lián)網(wǎng)的移動終端�、固定終端或計算機。
6.一種監(jiān)控已打開文件的裝置��,其特征在于�����,該裝置包括監(jiān)控功能控制模塊�、設(shè)置模塊、內(nèi)存映射區(qū)及掃描模塊���,其中���,設(shè)置模塊���,用于設(shè)置映射內(nèi)存映射區(qū)方式;監(jiān)控功能控制模塊�,用于接收到掃描模塊發(fā)送的通知后,根據(jù)從設(shè)置模塊調(diào)用的映射內(nèi)存映射區(qū)方式���,利用已打開文件的句柄創(chuàng)建內(nèi)存映射區(qū)��,映射所建立的內(nèi)存映射區(qū)�;掃描模塊�,用于掃描已打開文件并通知監(jiān)控控制功能模塊,在映射上對已打開文件進行掃描����,得到掃描結(jié)果。
7.如權(quán)利要求6所述的裝置��,其特征在于��,所述裝置還包括提示模塊���,用于從掃描模塊獲取掃描結(jié)果,根據(jù)掃描結(jié)果確定該已打開文件是否為安全文件,如果是�����,提示使用終端的用戶該文件是安全的或者不作出任何提示���;如果否����,提示使用終端的用戶該文件是不安全的��,需要刪除��。
8.如權(quán)利要求6所述的裝置�����,其特征在于�,所述文件為各種格式的文本文檔或可執(zhí)行文件;所述終端為接入互聯(lián)網(wǎng)的移動終端����、固定終端或計算機。
全文摘要
本發(fā)明公開了一種監(jiān)控已打開文件的方法及裝置��,該方法包括在終端上設(shè)置映射內(nèi)存映射區(qū)方式,該方法包括終端的監(jiān)控功能掃描到已打開文件后���,采用設(shè)置的映射內(nèi)存映射區(qū)方式����,獲取到已打開文件的句柄���,創(chuàng)建內(nèi)存映射區(qū)�,映射該內(nèi)存映射區(qū)�����,在映射上對已打開文件進行掃描后�����,確定是否為安全文件�。本發(fā)明提供的方法及裝置不會被在終端上非法安裝的其他不同類型的監(jiān)控功能所識別并惡意攔截該操作,從而避免了被攔截�����。
文檔編號G06F21/00GK102467622SQ20101053767
公開日2012年5月23日 申請日期2010年11月8日 優(yōu)先權(quán)日2010年11月8日
發(fā)明者張昕, 謝飛, 馬勁松, 高小明 申請人:騰訊科技(深圳)有限公司