CN112579330A - 操作***异常数据的处理方法、装置及设备 - Google Patents
操作***异常数据的处理方法、装置及设备 Download PDFInfo
- Publication number
- CN112579330A CN112579330A CN201910943747.3A CN201910943747A CN112579330A CN 112579330 A CN112579330 A CN 112579330A CN 201910943747 A CN201910943747 A CN 201910943747A CN 112579330 A CN112579330 A CN 112579330A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- operating system
- items
- item
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 199
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000001514 detection method Methods 0.000 claims abstract description 34
- 238000012544 monitoring process Methods 0.000 claims abstract description 22
- 238000009434 installation Methods 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 8
- 238000003672 processing method Methods 0.000 claims 1
- 230000008439 repair process Effects 0.000 abstract description 73
- 238000013515 script Methods 0.000 description 26
- 230000008569 process Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种操作***异常数据的处理方法、装置及设备,涉及网络安全技术领域。其中方法包括:监测操作***对应的多个关键项的安全性,所述多个关键项至少包括安装软件、注册表、WMI、计划任务、***引导区代码中的一个或多个;若所述多个关键项中存在异常项,则根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,其中,不同的异常项都有各自对应预设的修复规则。本申请可实现对操作***异常项的全面检测与修复,扩大了操作***异常项的修复范围,提高了操作***异常项检测的精确性。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种操作***异常数据的处理方法、装置及设备。
背景技术
文件***存储着操作***中的关键数据,其中在操作***中文件***包括磁盘文件***和注册表,注册表与文件目录结构相似,同时内存也是操作***一个重要的组成部分,一旦这些区域的数据被篡改,可能导致操作***行为发生异常。
目前,现有的操作***异常检测只是针对文件***进行检测是否存在异常,而没有或是很少关注操作***其他的关键项,因而如果由于操作***其他关键项导致出现异常时,现有技术将无法及时检测到以及做相应的安全处理,不但会影响用户使用,而且还可能会造成一定的安全隐患。
发明内容
有鉴于此,本申请提供了一种操作***异常数据的处理方法、装置及设备,主要目的在于解决现有技术中操作***异常项检测不全面,不但会影响用户使用,而且还可能会造成一定安全隐患的技术问题。
根据本申请的一个方面,提供了一种操作***异常数据的处理方法,该方法包括:
监测操作***对应的多个关键项的安全性,所述多个关键项至少包括安装软件、注册表、WMI、计划任务、***引导区代码中的一个或多个;
若所述多个关键项中存在异常项,则根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,其中,不同的异常项都有各自对应预设的修复规则。
可选的,所述操作***对应的安装软件的安全检测,具体包括:
获取所述操作***中运行的目标软件的文件列表;
对所述文件列表进行路径和/或文件哈希值的安全检测;
若根据所述路径和/或文件哈希值判定存在异常,则确定所述安装软件对应的关键项为异常项。
可选的,所述操作***对应的注册表的安全检测,具体包括:
对操作***注册表项、和/或具备自启动性质项、和/或COM组件项进行路径和对应值的安全检测;
若判定所述操作***注册表项、和/或具备自启动性质项、和/或COM组件项存在异常,则确定所述注册表对应的关键项为异常项。
可选的,所述操作***对应的WMI的安全检测,具体包括:
获取WMI消费者及触发器并进行解析;
对解析内容进行恶意关键字项匹配;
若恶意关键字项匹配成功,则确定所述WMI对应的关键项为异常项。
可选的,所述操作***对应的计划任务的安全检测,具体包括:
解析计划任务的名称以及所述计划任务的目标文件路径;
对所述计划任务的名称进行异常名称匹配;
若异常名称匹配成功,则获取所述目标文件路径中目标文件进行异常特征匹配;
若异常特征匹配成功,则确定所述计划任务对应的关键项为异常项。
可选的,所述操作***对应的***引导区代码的安全检测,具体包括:
将主引导记录MBR数据与所述操作***干净的MBR数据进行对比;
若存在异常的跳转指令,则确定所述***引导区代码对应的关键项为异常项。
可选的,若根据所述异常项确定安装包管理软件存在异常,则所述根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,具体包括:
通过注册表获取所述安装包管理软件的安装目录;
获取所述安装目录中所述安装包管理软件所在的文件夹位置;
若所述文件夹位置存在预定目标文件,则获取所述预定目标文件的文件信息并与异常规则字段描述进行匹配;
若异常规则字段描述匹配成功,则在所述文件夹位置中删除所述预定目标文件。
可选的,在所述根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复之前,所述方法还包括:
根据所述目标修复规则,判断所述操作***当前的文件***和/或注册表是否需要后续修复操作;
若所述文件***和/或注册表需要后续修复操作,则备份修复前所述文件***和注册表原始位置的数据;
所述根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,具体包括:
若修复失败导致损坏所述操作***的当前环境,则利用备份数据修复损坏的所述操作***的当前环境。
可选的,所述方法还包括:
在对所述异常项进行修复的过程中,对所述目标修复规则进行动态更新。
可选的,所述对所述目标修复规则进行动态更新,具体包括:
获取所述目标修复规则中待更新的原字节码信息,以及与所述原字节码信息对应的标签信息;
将所述原字节码信息和所述标签信息发送给云端服务器,以使得所述云端服务器根据所述标签信息确定是否对所述原字节码信息进行更新;
接收所述云端服务器返回的更新后的新字节码信息;
在所述目标修复规则中更新替换所述原字节码信息为所述新字节码信息。
根据本申请的另一方面,提供了一种操作***异常数据的处理装置,该装置包括:
监测模块,用于监测操作***对应的多个关键项的安全性,所述多个关键项至少包括安装软件、注册表、WMI、计划任务、***引导区代码中的一个或多个;
修复模块,用于若所述多个关键项中存在异常项,则根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,其中,不同的异常项都有各自对应预设的修复规则。
可选的,所述监测模块,具体用于获取所述操作***中运行的目标软件的文件列表;
对所述文件列表进行路径和/或文件哈希值的安全检测;
若根据所述路径和/或文件哈希值判定存在异常,则确定所述安装软件对应的关键项为异常项。
可选的,所述监测模块,具体用于对操作***注册表项、和/或具备自启动性质项、和/或COM组件项进行路径和对应值的安全检测;
若判定所述操作***注册表项、和/或具备自启动性质项、和/或COM组件项存在异常,则确定所述注册表对应的关键项为异常项。
可选的,所述监测模块,具体用于获取WMI消费者及触发器并进行解析;
对解析内容进行恶意关键字项匹配;
若恶意关键字项匹配成功,则确定所述WMI对应的关键项为异常项。
可选的,所述监测模块,具体用于解析计划任务的名称以及所述计划任务的目标文件路径;
对所述计划任务的名称进行异常名称匹配;
若异常名称匹配成功,则获取所述目标文件路径中目标文件进行异常特征匹配;
若异常特征匹配成功,则确定所述计划任务对应的关键项为异常项。
可选的,所述监测模块,具体用于将主引导记录MBR数据与所述操作***干净的MBR数据进行对比;
若存在异常的跳转指令,则确定所述***引导区代码对应的关键项为异常项。
可选的,所述修复模块,具体用于若根据所述异常项确定安装包管理软件存在异常,则通过注册表获取所述安装包管理软件的安装目录;
获取所述安装目录中所述安装包管理软件所在的文件夹位置;
若所述文件夹位置存在预定目标文件,则获取所述预定目标文件的文件信息并与异常规则字段描述进行匹配;
若异常规则字段描述匹配成功,则在所述文件夹位置中删除所述预定目标文件。
可选的,所述装置还包括:判断模块和备份模块;
所述判断模块,用于根据所述目标修复规则,判断所述操作***当前的文件***和/或注册表是否需要后续修复操作;
所述备份模块,用于若所述文件***和/或注册表需要后续修复操作,则备份修复前所述文件***和注册表原始位置的数据;
所述修复模块,具体用于若修复失败导致损坏所述操作***的当前环境,则利用备份数据修复损坏的所述操作***的当前环境。
可选的,所述装置还包括:
更新模块,用于在对所述异常项进行修复的过程中,对所述目标修复规则进行动态更新。
可选的,所述更新模块,具体用于获取所述目标修复规则中待更新的原字节码信息,以及与所述原字节码信息对应的版本标签信息;
将所述原字节码信息和所述版本标签信息发送给云端服务器,以使得所述云端服务器根据所述版本标签信息确定是否对所述原字节码信息进行更新;
接收所述云端服务器返回的更新后的新字节码信息;
在所述目标修复规则中更新替换所述原字节码信息为所述新字节码信息。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述操作***异常数据的处理方法。
依据本申请再一个方面,提供了一种操作***异常数据处理的实体设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述操作***异常数据的处理方法。
借由上述技术方案,本申请提供的一种操作***异常数据的处理方法、装置及设备。与目前现有的操作***异常检测只是针对文件***进行检测相比,本申请可同时监测操作***对应的安装软件、注册表、WMI、计划任务、***引导区代码等多个关键项的安全性,并且对于这些关键项可实现具有针对性的异常项修复。进而可实现对操作***异常项的全面检测与修复,扩大了操作***异常项的修复范围,提高了操作***异常项检测的精确性,在发现操作***存在异常项时可做到及时响应和快速修复,减少对用户使用的影响,提高了一定的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种操作***异常数据的处理方法的流程示意图;
图2示出了本申请实施例提供的另一种操作***异常数据的处理方法的流程示意图;
图3示出了本申请实施例提供的一种操作***异常项修复策略动态更新方法的***架构示意图;
图4示出了本申请实施例提供的一种操作***异常数据的处理装置的结构示意图;
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
目前现有的操作***异常检测只是针对文件***进行检测是否存在异常,而没有或是很少关注操作***其他的关键项,鉴于此,本实施例提供了一种操作***异常数据的处理方法,可实现更加全面的操作***异常项检测,如图1所示,该方法包括:
101、监测操作***对应的多个关键项的安全性。
其中,多个关键项至少包括安装软件、注册表、WMI(Windows ManagementInstrumentation,Windows管理规范)、计划任务、***引导区代码中的一个或多个。相当于除了监控原有文件***以外,本实施例还可同时监控这些其他关键项的安全性。
对于本实施例的执行主体可为操作***异常数据的处理装置或设备,可配置在客户端侧,或者根据实际需求配置在服务器侧。具体可用于操作***异常项检测与修复处理。
102、若监测到多个关键项中存在异常项,则根据与异常项对应预设的目标修复规则,对异常项进行修复。
其中,不同的异常项都有各自对应预设的修复规则。修复规则中可包括删除、和/或更新、和/或禁用、和/或启用、和/或替换、和/或复制、和/或锁定等操作。并且可选的,这些操作在执行时可以选择是否告知用户。以便考虑实际情况,减少对用户使用的影响。
在本实施例中,可预先针对不同的异常项,编辑各自对应的修复规则脚本,在利用修复规则对异常项修复时,可获取相应的修复规则脚本进行解析,然后执行相应的修复策略指令,进而实现对异常项的有效修复。
本实施例提供的一种操作***异常数据的处理方法,与目前现有的操作***异常检测只是针对文件***进行检测相比,本实施例可同时监测操作***对应的安装软件、注册表、WMI、计划任务、***引导代码等多个关键项的安全性,并且对于这些关键项可实现具有针对性的异常项修复。进而可实现对操作***异常项的全面检测与修复,扩大了操作***异常项的修复范围,提高了操作***异常项检测的精确性,在发现操作***存在异常项时可做到及时响应和快速修复,减少对用户使用的影响,提高了一定的安全性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的实施过程,提供了另一种操作***异常数据的处理方法,如图2所示,该方法包括:
201、监测操作***对应的多个关键项的安全性。
为了说明每个关键项安全性检测的过程,下面给出多个可选实例(a至e):
a、操作***对应的安装软件的安全检测,具体可包括:首先获取操作***中运行的目标软件的文件列表;然后对该文件列表进行路径和/或文件哈希值的安全检测;若根据路径和/或文件哈希值判定存在异常,则确定安装软件对应的关键项为异常项。
例如,针对所运行操作***上的软件检测,通过获取软件所有文件的列表,对该列表进行路径、文件hash规则判定,若命中异常规则,则认为是异常项。通过这种可选方式可准确判别操作***关于安装软件方面的异常项。
b、操作***对应的注册表的安全检测,具体包括:对操作***注册表项、和/或具备自启动性质项、和/或COM组件(COM component)项进行路径和对应值的安全检测;若判定操作***注册表项、和/或具备自启动性质项、和/或COM组件项存在异常,则确定注册表对应的关键项为异常项。
例如,针对***服务注册表项、具备自启动性质项,以及本机存在的COM组件等项进行路径及值进行规则匹配,若名字异常规则,则认为是异常项。通过这种可选方式可准确判别操作***关于注册表方面的异常项。
c、操作***对应的WMI的安全检测,具体包括:首先获取WMI消费者及触发器并进行解析;然后对解析内容进行恶意关键字项匹配;若恶意关键字项匹配成功,则确定WMI对应的关键项为异常项。
例如,针对WMI的检测,通过取得本机存在的WMI消费者及触发器,解析其中内容,对内容进行恶意关键字项的匹配,匹配成功认为是异常项。通过这种可选方式可准确判别操作***关于WMI方面的异常项。
d、操作***对应的计划任务的安全检测,具体包括:首先解析计划任务的名称以及计划任务的目标文件路径;然后对计划任务的名称进行异常名称匹配;若异常名称匹配成功,则获取目标文件路径中目标文件进行异常特征匹配;若异常特征匹配成功,则确定计划任务对应的关键项为异常项。
例如,针对计划任务,解析计划任务名称,及计划任务的目标文件路径,对计划任务名称进行异常名称规则匹配,成功再认为是可疑项,同时再对目标文件进行特征匹配,若命中特征,则确定为异常计划任务项。通过这种可选方式可准确判别操作***关于计划任务方面的异常项。
e、操作***对应的***引导区代码的安全检测,具体包括:将主引导记录(MasterBoot Record,MBR)数据与操作***干净的MBR数据进行对比;若存在异常的跳转指令,则确定***引导区代码对应的关键项为异常项。
例如,针对***引导代码,取得本机MBR数据,与该***下干净的MBR数据进行对比,若发现存在异常的跳转指令,则认为是异常的引导项。通过这种可选方式可准确判别操作***关于计划任务方面的异常项。通过这种可选方式可准确判别操作***关于***引导区代码方面的异常项。
202、若监测出多个关键项中存在异常项,则根据与异常项对应预设的目标修复规则,判断操作***当前的文件***和/或注册表是否需要后续修复操作。
例如,具体可对目标修复规则进行解析,根据解析内容判断后续对异常项修复时,是否也涉及到修复操作***当前的文件***和/或注册表。
203、若判定文件***和/或注册表需要后续修复操作,则备份修复前文件***和注册表原始位置的数据。
在本实施例中,由于文件***和注册表的文件也是很大的,如果备份全部数据可能会影响整体的异常项修复效率,所以可针对文件***和注册表中需要修复的数据进行提前备份,这样备份的数据量级大大减小,备份速度加快,进而可提高操作***异常项的修复效率。
204、根据目标修复规则,对异常项进行修复,若修复失败导致损坏操作***的当前环境,则利用备份数据修复损坏的操作***的当前环境。
对于本实施例,通过上述首先数据备份然后再进行修复的方式,能够有效避免修复失败损坏操作***当前环境,减少对用户使用的影响。
为了说明具体利用修复规则进行修复的过程,示例性可选的,若根据异常项确定安装包管理软件存在异常,则根据目标修复规则,对异常项进行修复具体可包括:首先通过注册表获取安装包管理软件的安装目录;再获取该安装目录中安装包管理软件所在的文件夹位置;若文件夹位置存在预定目标文件,则获取预定目标文件的文件信息并与异常规则字段描述进行匹配;若异常规则字段描述匹配成功,则在文件夹位置中删除该预定目标文件。通过这种可选方式,可有效对安装包管理软件中的漏洞进行修复,减少操作***由于安装软件方面的异常项对用户使用的影响,使得用户可安全在操作***中使用该安装包管理软件。
例如,以修复WinRar漏洞为例,首先通过注册表获取本机WinRar的安装目录;再取出安装目录中WinRar所在文件夹位置;然后判断文件夹位置是否存在UNACEV2.DLL,如果存在,则获取该UNACEV2.DLL目标文件版本、大小等信息,与异常规则字段描述进行匹配;如果匹配成功,可在执行修复逻辑时将该UNACEV2.DLL目标文件删除。
上述步骤201至204所示的过程,具体可利用操作***异常项修复策略脚本来实现。该异常项修复策略脚本适用于通过“扫描”(对指定位置、对象进行安全性扫描)以及“修复”(对扫描结果进行处理)两个操作,用以检测与修复当前操作***的异常、问题、缺陷、风险项等。在目前传统的方案中,都是事先编写脚本然后下发到客户端本地执行,相当于本实施例中的异常项修复策略脚本与具体实现相分离。然而,考虑到本实施例方法的应用场景,如果后续需要对异常项修复策略进行更新时,通过传统这种脚本与实现分离的方式,会使得更新的时效性受限,不能应对突发情况;并且异常项修复策略可能会存在缺陷、问题,而无法及时进行有效规避。如果中途暂停运行异常项修复策略脚本来替换运行更新后的异常项修复策略脚本,在暂停时间段内无法对操作***异常项进行有效检测与修复。
为了解决上述问题,本实施例方法进一步可选的,提出一种操作***异常项修复策略的动态更新方案,即在对操作***异常项进行修复的过程中,可对目标修复规则进行动态更新。通过本可选方式,可以极大的提升异常项修复策略以及数据的控制能力,同时提升了异常项修复策略更新的时效性。
可选的,上述对目标修复规则进行动态更新,具体可包括:首先获取目标修复规则中待更新的原字节码信息,以及与原字节码信息对应的标签信息;然后将原字节码信息和标签信息发送给云端服务器,以使得云端服务器根据该标签信息确定是否对原字节码信息进行更新;接收云端服务器返回的更新后的新字节码信息;然后在目标修复规则中更新替换原字节码信息为该新字节码信息。通过这种可选方式可有效实现操作***异常项修复策略的动态更新,即可在运行该异常项修复策略脚本的过程中,对修复策略中的字节码信息进行动态更新,进而可及时修复该策略脚本中的缺陷与问题,不会中途暂停运行异常项修复策略脚本,可保证实时对操作***异常项进行有效检测与修复。
下面说明本动态更新过程的具体实现方式,需要说明的是,本实现方式只是示例性给出,并不对本实施例方法做任何限定:
(1)首先配置异常项修复策略,给出控制信息的获取位置,如配置云端服务器(cloud)获取所用的网址,以及本地(local)获取所用的本地磁盘目录。
(2)通过步骤(1)给出的位置,可获取到控制信息,其中会列出功能脚本的列表信息。
例如,<script id="0"guid="2690b77e-276c-4bff-99f6-5fff2607ea19"/>
<script id="1"guid="38e62270-cd24-4aa2-9483-b27060158c9c"/>
其中guid部分用以区分不同的功能脚本。
(3)通过步骤(2)获取到功能脚本列表,调用GetScript接口函数,传入需要载入的guid列表,该接口会优先在cloud端获取,若获取失败,则表示该脚本无更新,此时从本地获取即可,反之则从cloud端直接获取到最新的脚本。
(4)功能脚本提供“扫描”、“修复”功能,其中针对规则数据的定义,
以异常统一资源定位符(Uniform Resource Locator,URL)信息为例,在更新前URL列表中包含aa.com、bb.com、cc.com。如果需要新增一个dd.com,在现有的情况下需要重新脚本并发布。但可使用本实施例中的方法,通过提供形如“GetScript”的思路,提供了GetListData接口,该接口传入标签TAG,用以区分当前规则列表版本信息等,后续的{“aa.com”,”bb.com”,”cc.com”}也被传入,如black_url_list=GetListData(TAG,{"aa.com","bb.com","cc.com"}。
(5)GetListData接口将TAG及现有列表传入云端服务器,云端服务器区分TAG后对列表数据进行修正操作(增、删),如增加dd.com,最后返回被修正后的数据。通过上述逻辑完成对策略脚本、规则数据的动态更新功能,本实施例方法原型图如图3所示。
通过应用上述本实施例方案,可有效实现操作***异常项修复策略的动态更新,即可在运行该异常项修复策略脚本的过程中,对修复策略中的字节码信息进行动态更新,进而可及时修复该策略脚本中的缺陷与问题,不会中途暂停运行异常项修复策略脚本,可保证实时对操作***异常项进行有效检测与修复。
进一步的,作为图1、图2所示方法的具体实现,本实施例提供了一种操作***异常数据的处理装置,如图4所示,该装置包括:监测模块31、修复模块32。
监测模块31,可用于监测操作***对应的多个关键项的安全性,所述多个关键项至少包括安装软件、注册表、WMI、计划任务、***引导区代码中的一个或多个;
修复模块32,可用于若所述多个关键项中存在异常项,则根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,其中,不同的异常项都有各自对应预设的修复规则。
在具体的应用场景中,所述监测模块31,具体可用于获取所述操作***中运行的目标软件的文件列表;对所述文件列表进行路径和/或文件哈希值的安全检测;若根据所述路径和/或文件哈希值判定存在异常,则确定所述安装软件对应的关键项为异常项。
在具体的应用场景中,所述监测模块31,具体还可用于对操作***注册表项、和/或具备自启动性质项、和/或COM组件项进行路径和对应值的安全检测;若判定所述操作***注册表项、和/或具备自启动性质项、和/或COM组件项存在异常,则确定所述注册表对应的关键项为异常项。
在具体的应用场景中,所述监测模块31,具体还可用于获取WMI消费者及触发器并进行解析;对解析内容进行恶意关键字项匹配;若恶意关键字项匹配成功,则确定所述WMI对应的关键项为异常项。
在具体的应用场景中,所述监测模块31,具体还可用于解析计划任务的名称以及所述计划任务的目标文件路径;对所述计划任务的名称进行异常名称匹配;若异常名称匹配成功,则获取所述目标文件路径中目标文件进行异常特征匹配;若异常特征匹配成功,则确定所述计划任务对应的关键项为异常项。
在具体的应用场景中,所述监测模块31,具体还可用于将主引导记录MBR数据与所述操作***干净的MBR数据进行对比;若存在异常的跳转指令,则确定所述***引导区代码对应的关键项为异常项。
在具体的应用场景中,所述修复模块32,具体可用于若根据所述异常项确定安装包管理软件存在异常,则通过注册表获取所述安装包管理软件的安装目录;获取所述安装目录中所述安装包管理软件所在的文件夹位置;若所述文件夹位置存在预定目标文件,则获取所述预定目标文件的文件信息并与异常规则字段描述进行匹配;若异常规则字段描述匹配成功,则在所述文件夹位置中删除所述预定目标文件。
在具体的应用场景中,本装置还包括:判断模块和备份模块;
所述判断模块,用于根据所述目标修复规则,判断所述操作***当前的文件***和/或注册表是否需要后续修复操作;
所述备份模块,用于若所述文件***和/或注册表需要后续修复操作,则备份修复前所述文件***和注册表原始位置的数据;
所述修复模块32,具体还可用于若修复失败导致损坏所述操作***的当前环境,则利用备份数据修复损坏的所述操作***的当前环境。
在具体的应用场景中,本装置还包括:更新模块;
更新模块,可用于在对所述异常项进行修复的过程中,对所述目标修复规则进行动态更新。
在具体的应用场景中,所述更新模块,具体用于获取所述目标修复规则中待更新的原字节码信息,以及与所述原字节码信息对应的版本标签信息;将所述原字节码信息和所述版本标签信息发送给云端服务器,以使得所述云端服务器根据所述版本标签信息确定是否对所述原字节码信息进行更新;接收所述云端服务器返回的更新后的新字节码信息;在所述目标修复规则中更新替换所述原字节码信息为所述新字节码信息。
需要说明的是,本实施例提供的一种操作***异常数据的处理装置所涉及各功能单元的其它相应描述,可以参考图1、图2中的对应描述,在此不再赘述。
基于上述如图1、图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1、图2所示的操作***异常数据的处理方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该待识别软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图4所示的虚拟装置实施例,为了实现上述目的,本实施例还提供了一种操作***异常数据处理的实体设备,具体可以为个人计算机、服务器、智能手机、平板电脑、或者其它网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1、图2所示的方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种操作***异常数据处理的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作***、网络通信模块。操作***是管理上述实体设备硬件和待识别软件资源的程序,支持信息处理程序以及其它待识别软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用实施例的技术方案,与目前现有的操作***异常检测只是针对文件***进行检测相比,本实施例可同时监测操作***对应的安装软件、注册表、WMI、计划任务、***引导代码等多个关键项的安全性,并且对于这些关键项可实现具有针对性的异常项修复。进而可实现对操作***异常项的全面检测与修复,扩大了操作***异常项的修复范围,提高了操作***异常项检测的精确性,在发现操作***存在异常项时可做到及时响应和快速修复,减少对用户使用的影响,提高了一定的安全性。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种操作***异常数据的处理方法,其特征在于,包括:
监测操作***对应的多个关键项的安全性,所述多个关键项至少包括安装软件、注册表、WMI、计划任务、***引导区代码中的一个或多个;
若所述多个关键项中存在异常项,则根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,其中,不同的异常项都有各自对应预设的修复规则。
2.根据权利要求1所述的方法,其特征在于,所述操作***对应的安装软件的安全检测,具体包括:
获取所述操作***中运行的目标软件的文件列表;
对所述文件列表进行路径和/或文件哈希值的安全检测;
若根据所述路径和/或文件哈希值判定存在异常,则确定所述安装软件对应的关键项为异常项。
3.根据权利要求1所述的方法,其特征在于,所述操作***对应的注册表的安全检测,具体包括:
对操作***注册表项、和/或具备自启动性质项、和/或COM组件项进行路径和对应值的安全检测;
若判定所述操作***注册表项、和/或具备自启动性质项、和/或COM组件项存在异常,则确定所述注册表对应的关键项为异常项。
4.根据权利要求1所述的方法,其特征在于,所述操作***对应的WMI的安全检测,具体包括:
获取WMI消费者及触发器并进行解析;
对解析内容进行恶意关键字项匹配;
若恶意关键字项匹配成功,则确定所述WMI对应的关键项为异常项。
5.根据权利要求1所述的方法,其特征在于,所述操作***对应的计划任务的安全检测,具体包括:
解析计划任务的名称以及所述计划任务的目标文件路径;
对所述计划任务的名称进行异常名称匹配;
若异常名称匹配成功,则获取所述目标文件路径中目标文件进行异常特征匹配;
若异常特征匹配成功,则确定所述计划任务对应的关键项为异常项。
6.根据权利要求1所述的方法,其特征在于,所述操作***对应的***引导区代码的安全检测,具体包括:
将主引导记录MBR数据与所述操作***干净的MBR数据进行对比;
若存在异常的跳转指令,则确定所述***引导区代码对应的关键项为异常项。
7.根据权利要求1所述的方法,其特征在于,若根据所述异常项确定安装包管理软件存在异常,则所述根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,具体包括:
通过注册表获取所述安装包管理软件的安装目录;
获取所述安装目录中所述安装包管理软件所在的文件夹位置;
若所述文件夹位置存在预定目标文件,则获取所述预定目标文件的文件信息并与异常规则字段描述进行匹配;
若异常规则字段描述匹配成功,则在所述文件夹位置中删除所述预定目标文件。
8.一种操作***异常数据的处理装置,其特征在于,包括:
监测模块,用于监测操作***对应的多个关键项的安全性,所述多个关键项至少包括安装软件、注册表、WMI、计划任务、***引导区代码中的一个或多个;
修复模块,用于若所述多个关键项中存在异常项,则根据与所述异常项对应预设的目标修复规则,对所述异常项进行修复,其中,不同的异常项都有各自对应预设的修复规则。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的操作***异常数据的处理方法。
10.一种操作***异常数据的处理设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的操作***异常数据的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910943747.3A CN112579330B (zh) | 2019-09-30 | 2019-09-30 | 操作***异常数据的处理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910943747.3A CN112579330B (zh) | 2019-09-30 | 2019-09-30 | 操作***异常数据的处理方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112579330A true CN112579330A (zh) | 2021-03-30 |
| CN112579330B CN112579330B (zh) | 2024-02-06 |
Family
ID=75116833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910943747.3A Active CN112579330B (zh) | 2019-09-30 | 2019-09-30 | 操作***异常数据的处理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112579330B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113468158A (zh) * | 2021-07-13 | 2021-10-01 | 广域铭岛数字科技有限公司 | 数据修复方法、***、电子设备及介质 |
| CN117455465A (zh) * | 2023-12-21 | 2024-01-26 | 广东须臾科技有限公司 | 基于设备物联平台多阶段运行数据的分析管理*** |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005148814A (ja) * | 2003-11-11 | 2005-06-09 | Business Eggs:Kk | ファイルアクセス監視装置、方法、プログラムおよび記録媒体 |
| US20100082963A1 (en) * | 2008-10-01 | 2010-04-01 | Chun Hui Li | Embedded system that automatically updates its software and the method thereof |
| CN102799500A (zh) * | 2012-06-25 | 2012-11-28 | 腾讯科技(深圳)有限公司 | ***修复方法、装置及存储介质 |
| CN102867141A (zh) * | 2012-09-29 | 2013-01-09 | 北京奇虎科技有限公司 | 对主引导记录恶意程序进行处理的方法及装置 |
| CN103198011A (zh) * | 2012-01-09 | 2013-07-10 | 阿里巴巴集团控股有限公司 | 一种探测java 程序文件扰动的方法及装置 |
| CN103902855A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种文件篡改检测及修复的方法和*** |
| CN103971052A (zh) * | 2013-01-28 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 磁盘引导区病毒识别方法及装置 |
| CN106921731A (zh) * | 2017-01-24 | 2017-07-04 | 北京奇虎科技有限公司 | 漏洞修复方法及装置 |
| CN108304699A (zh) * | 2018-02-13 | 2018-07-20 | 北京奇安信科技有限公司 | 一种对安全软件进行保护的方法及装置 |
| US10146515B1 (en) * | 2015-03-10 | 2018-12-04 | Twitter, Inc. | Live code updates |
| US20190012458A1 (en) * | 2017-07-10 | 2019-01-10 | Dell Products, Lp | System and method for a security filewall system for protection of an information handling system |
| CN109241729A (zh) * | 2017-07-10 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 应用程序的检测、处理方法、装置、终端设备及电子设备 |
| CN109254827A (zh) * | 2018-08-27 | 2019-01-22 | 电子科技大学成都学院 | 一种基于大数据与机器学习的虚拟机安全防护方法及*** |
| CN110197071A (zh) * | 2018-04-25 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 引导区数据处理方法及装置、计算机存储介质、电子设备 |
-
2019
- 2019-09-30 CN CN201910943747.3A patent/CN112579330B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005148814A (ja) * | 2003-11-11 | 2005-06-09 | Business Eggs:Kk | ファイルアクセス監視装置、方法、プログラムおよび記録媒体 |
| US20100082963A1 (en) * | 2008-10-01 | 2010-04-01 | Chun Hui Li | Embedded system that automatically updates its software and the method thereof |
| CN103198011A (zh) * | 2012-01-09 | 2013-07-10 | 阿里巴巴集团控股有限公司 | 一种探测java 程序文件扰动的方法及装置 |
| CN102799500A (zh) * | 2012-06-25 | 2012-11-28 | 腾讯科技(深圳)有限公司 | ***修复方法、装置及存储介质 |
| US20150106652A1 (en) * | 2012-06-25 | 2015-04-16 | Tencent Technology (Shenzhen) Company Limited | System repair method and device, and storage medium |
| CN102867141A (zh) * | 2012-09-29 | 2013-01-09 | 北京奇虎科技有限公司 | 对主引导记录恶意程序进行处理的方法及装置 |
| CN103971052A (zh) * | 2013-01-28 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 磁盘引导区病毒识别方法及装置 |
| CN103902855A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种文件篡改检测及修复的方法和*** |
| US10146515B1 (en) * | 2015-03-10 | 2018-12-04 | Twitter, Inc. | Live code updates |
| CN106921731A (zh) * | 2017-01-24 | 2017-07-04 | 北京奇虎科技有限公司 | 漏洞修复方法及装置 |
| US20190012458A1 (en) * | 2017-07-10 | 2019-01-10 | Dell Products, Lp | System and method for a security filewall system for protection of an information handling system |
| CN109241729A (zh) * | 2017-07-10 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 应用程序的检测、处理方法、装置、终端设备及电子设备 |
| CN108304699A (zh) * | 2018-02-13 | 2018-07-20 | 北京奇安信科技有限公司 | 一种对安全软件进行保护的方法及装置 |
| CN110197071A (zh) * | 2018-04-25 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 引导区数据处理方法及装置、计算机存储介质、电子设备 |
| CN109254827A (zh) * | 2018-08-27 | 2019-01-22 | 电子科技大学成都学院 | 一种基于大数据与机器学习的虚拟机安全防护方法及*** |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113468158A (zh) * | 2021-07-13 | 2021-10-01 | 广域铭岛数字科技有限公司 | 数据修复方法、***、电子设备及介质 |
| CN113468158B (zh) * | 2021-07-13 | 2023-10-31 | 广域铭岛数字科技有限公司 | 数据修复方法、***、电子设备及介质 |
| CN117455465A (zh) * | 2023-12-21 | 2024-01-26 | 广东须臾科技有限公司 | 基于设备物联平台多阶段运行数据的分析管理*** |
| CN117455465B (zh) * | 2023-12-21 | 2024-04-26 | 广东须臾科技有限公司 | 基于设备物联平台多阶段运行数据的分析管理*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112579330B (zh) | 2024-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102736978B (zh) | 一种检测应用程序的安装状态的方法及装置 | |
| US10437703B2 (en) | Correlation of source code with system dump information | |
| US20200042703A1 (en) | Anomaly-Based Ransomware Detection for Encrypted Files | |
| CN106951345B (zh) | 一种虚拟机磁盘数据的一致性测试方法及装置 | |
| CN109409096B (zh) | 内核漏洞修复方法、装置、服务器及*** | |
| US20170076094A1 (en) | System and method for analyzing patch file | |
| CN112395616B (zh) | 漏洞处理的方法、装置及计算机设备 | |
| US8661418B2 (en) | Setting program, workflow creating method, and work flow creating apparatus | |
| US20130239214A1 (en) | Method for detecting and removing malware | |
| US10579796B1 (en) | Systems and methods of detecting malicious powershell scripts | |
| US20170277887A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| US9734330B2 (en) | Inspection and recovery method and apparatus for handling virtual machine vulnerability | |
| CN109074448B (zh) | 计算装置的安全状态与额定安全状态的偏差的检测 | |
| US20170235945A1 (en) | Malicious code analysis device and method based on external device connected via usb cable | |
| US20230161614A1 (en) | Detecting vulnerabilities in configuration code of a cloud environment utilizing infrastructure as code | |
| KR20130134790A (ko) | 어플리케이션 무결성 정보 저장 방법 및 시스템, 어플리케이션 무결성 검사 방법 및 시스템 | |
| US8799716B2 (en) | Heap dump occurrence detection | |
| WO2015131643A1 (zh) | 软件检测方法及装置 | |
| CN109120584B (zh) | 基于UEFI和WinPE的终端安全防范方法及*** | |
| CN112860645A (zh) | 一种离线压缩文件的处理方法、装置、计算机设备及介质 | |
| CN112579330B (zh) | 操作***异常数据的处理方法、装置及设备 | |
| US10915624B2 (en) | Method and apparatus for determining behavior information corresponding to a dangerous file | |
| CN109711149B (zh) | 动态更新机制判定方法及应用全生命周期行为监控方法 | |
| CN108459927B (zh) | 一种数据备份方法、装置和服务器 | |
| JP2022100232A (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |