1.一種應用于計算機文件的加密病毒的攔截方法,其特征在于,包括:
預置防御輔助文件,所述防御輔助文件為所述加密病毒對應加密的文件類型;
預置文件路徑與文件類型的第一關聯表,以及文件句柄與文件類型的第二關聯表;
實時監測包括所述防御輔助文件在內的所有計算機文件,在所述計算機被執行操作時,獲取所述計算機文件在調用過程中被執行的操作行為、所述計算機文件的文件路徑及文件句柄;
根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作;
若所述操作行為為病毒的加密操作,則攔截所述加密操作。
2.根據權利要求1所述的攔截方法,其特征在于,還包括:
在獲取所述計算機文件在調用過程中被執行的操作行為后,確定所述操作行為的類型,其中,所述操作行為的類型為以下類型的一種或幾種:文件創建行為、文件打開行為、文件移動行為、文件寫入行為和文件刪除行為。
3.根據權利要求2所述的攔截方法,其特征在于,在所述操作行為的類型為文件創建行為和文件打開行為的其中一種時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作的過程包括:
判斷去除文件后綴的所述計算機文件的文件路徑是否為所述第一關聯表中的文件路徑,若是,則將所述計算機文件的文件句柄添加至所述第二關聯表;
若否,則判斷所述計算機文件的文件后綴是否為doc、xls、ppt、pdf中的其中一種;在所述計算機文件的文件后綴為doc、xls、ppt、pdf中的其中一種時,判斷所述計算機文件的文件大小是否大于8;
若所述計算機文件的文件大小大于8,根據所述計算機文件的內容重新確定所述計算機文件是否為doc、xls、ppt、pdf中的其中一種文件類型;
在所述計算機文件為doc、xls、ppt、pdf中的其中一種文件類型時,將所述計算機文件的文件類型添加至所述第一關聯表中。
4.根據權利要求2所述的攔截方法,其特征在于,在所述操作行為的類型為文件移動行為時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作的過程包括:
獲取scr文件和dest文件,其中,所述scr文件為所述計算機文件在被執行所述文件移動行為之前的文件路徑,所述dest文件為所述計算機文件在被執行所述文件移動行為之后的文件路徑;
判斷被執行所述操作行為的所述scr文件是否為防御輔助文件,若是,則所述操作行為為病毒的加密操作;
否則,從所述第一關聯表中查找所述scr文件的文件路徑,在所述第一關聯表中查找到所述scr文件的文件路徑時,根據scr文件的內容確定其文件類型;將所述scr文件的文件類型與第一關聯表中的文件類型相匹配,若未匹配成功,則所述操作行為為病毒的加密操作;
在所述第一關聯表中未查找到所述scr文件的文件路徑時,從所述第一關聯表中查找去除文件后綴的dest文件的文件路徑;若在所述第一關聯表中查找到所述dest文件的文件路徑,則根據scr文件的內容確定其文件類型;將所述scr文件的文件類型與第一關聯表中的文件類型相匹配,若未匹配成功,則所述操作行為為病毒的加密操作;
若在所述第一關聯表中未查找到所述dest文件的文件路徑,則根據所述scr文件的文件后綴和文件內容,確定所述scr文件是否為doc、xls、ppt、pdf中的其中一種文件類型;
在所述scr文件的文件內容為doc、xls、ppt、pdf中的其中一種文件類型時,將所述scr文件的文件類型和文件路徑添加至所述第一關聯表中。
5.根據權利要求2所述的攔截方法,其特征在于,在所述操作行為的類型為文件寫入行為時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作的過程包括:
在被執行所述文件寫入行為的所述計算機文件為防御輔助文件時,則獲取所述文件寫入行為的寫入內容,判斷所述寫入內容是否為修改文件類型,若是,則所述操作行為為病毒的加密操作;
在被執行所述文件寫入行為的所述計算機文件不為防御輔助文件時,則從所述第二關聯表中查找所述計算機文件的文件句柄;若在所述第二關聯表中查找到所述計算機文件的文件句柄,則獲取所述文件寫入行為的寫入內容,判斷所述寫入內容是否為修改文件類型,若是,則所述操作行為為病毒的加密操作。
6.根據權利要求2所述的攔截方法,其特征在于,在所述操作行為的類型為文件刪除行為時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作的過程包括:
在被執行所述文件刪除行為的所述計算機文件為防御輔助文件時,所述操作行為為病毒的加密操作。
7.一種攔截系統,其特征在于,包括:
第一單元,用于預置防御輔助文件,所述防御輔助文件為所述加密病毒對應加密的文件類型;以及預置文件路徑與文件類型的第一關聯表,以及文件句柄與文件類型的第二關聯表;
第二單元,用于實時監測包括所述防御輔助文件在內的所有計算機文件,在所述計算機被執行操作時,獲取所述計算機文件在調用過程中被執行的操作行為、所述計算機文件的文件路徑及文件句柄;
第三單元,用于根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作;
第四單元,用于在所述操作行為為病毒的加密操作,則攔截所述加密操作。
8.根據權利要求7所述的攔截系統,其特征在于,所述第二單元還用于:
在獲取所述計算機文件在調用過程中被執行的操作行為后,確定所述操作行為的類型,其中,所述操作行為的類型為以下類型的一種或幾種:文件創建行為、文件打開行為、文件移動行為、文件寫入行為和文件刪除行為。
9.根據權利要求8所述的攔截系統,其特征在于,所述第三單元還用于:在所述操作行為的類型為文件創建行為和文件打開行為的其中一種時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作,過程包括:
判斷去除文件后綴的所述計算機文件的文件路徑是否為所述第一關聯表中的文件路徑,若是,則將所述計算機文件的文件句柄添加至所述第二關聯表;
若否,則判斷所述計算機文件的文件后綴是否為doc、xls、ppt、pdf中的其中一種;在所述計算機文件的文件后綴為doc、xls、ppt、pdf中的其中一種時,判斷所述計算機文件的文件大小是否大于8;
若所述計算機文件的文件大小大于8,根據所述計算機文件的內容重新確定所述計算機文件是否為doc、xls、ppt、pdf中的其中一種文件類型;
在所述計算機文件為doc、xls、ppt、pdf中的其中一種文件類型時,將所述計算機文件的文件類型添加至所述第一關聯表中。
10.根據權利要求8所述的攔截系統,其特征在于,所述第三單元還用于:在所述操作行為的類型為文件移動行為時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作,過程包括:
獲取scr文件和dest文件,其中,所述scr文件為所述計算機文件在被執行所述文件移動行為之前的文件路徑,所述dest文件為所述計算機文件在被執行所述文件移動行為之后的文件路徑;
判斷被執行所述操作行為的所述scr文件是否為防御輔助文件,若是,則所述操作行為為病毒的加密操作;
否則,從所述第一關聯表中查找所述scr文件的文件路徑,在所述第一關聯表中查找到所述scr文件的文件路徑時,根據scr文件的內容確定其文件類型;將所述scr文件的文件類型與第一關聯表中的文件類型相匹配,若未匹配成功,則所述操作行為為病毒的加密操作;
在所述第一關聯表中未查找到所述scr文件的文件路徑時,從所述第一關聯表中查找去除文件后綴的dest文件的文件路徑;若在所述第一關聯表中查找到所述dest文件的文件路徑,則根據scr文件的內容確定其文件類型;將所述scr文件的文件類型與第一關聯表中的文件類型相匹配,若未匹配成功,則所述操作行為為病毒的加密操作;
若在所述第一關聯表中未查找到所述dest文件的文件路徑,則根據所述scr文件的文件后綴和文件內容,確定所述scr文件是否為doc、xls、ppt、pdf中的其中一種文件類型;
在所述scr文件的文件內容為doc、xls、ppt、pdf中的其中一種文件類型時,將所述scr文件的文件類型和文件路徑添加至所述第一關聯表中。
11.根據權利要求8所述的攔截系統,其特征在于,所述第三單元還用于:在所述操作行為的類型為文件寫入行為時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作,過程包括:
在被執行所述文件寫入行為的所述計算機文件為防御輔助文件時,則獲取所述文件寫入行為的寫入內容,判斷所述寫入內容是否為修改文件類型,若是,則所述操作行為為病毒的加密操作;
在被執行所述文件寫入行為的所述計算機文件不為防御輔助文件時,則從所述第二關聯表中查找所述計算機文件的文件句柄;若在所述第二關聯表中查找到所述計算機文件的文件句柄,則獲取所述文件寫入行為的寫入內容,判斷所述寫入內容是否為修改文件類型,若是,則所述操作行為為病毒的加密操作。
12.根據權利要求8所述的攔截系統,其特征在于,所述第三單元還用于:在所述操作行為的類型為文件刪除行為時,根據所述第一關聯表和第二關聯表,判斷所述操作行為是否為病毒的加密操作,過程包括:
在被執行所述文件刪除行為的所述計算機文件為防御輔助文件時,所述操作行為為病毒的加密操作。