CN1266228A - 文件***的动态监控方法 - Google Patents
文件***的动态监控方法 Download PDFInfo
- Publication number
- CN1266228A CN1266228A CN 99102482 CN99102482A CN1266228A CN 1266228 A CN1266228 A CN 1266228A CN 99102482 CN99102482 CN 99102482 CN 99102482 A CN99102482 A CN 99102482A CN 1266228 A CN1266228 A CN 1266228A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- file
- file system
- controlling method
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种文件***的动态监控方法,包括i)进行文件类型分析;ii)利用相关的动态链结库,进行监控条件检测,如符合用户需求,进行下一步骤,如不需要监测,进行步骤(vii);)(iii)进行相关处理;(iv)自动询问是否需要进行监测,如果要求监测,进行下一步骤,否则进行步骤(viii);(v)记录应用程序相关信息,然后进行下一步骤;(vi)程序转为准备阶段;(vii)如果条件检测结果不符合用户需求的检测条件,放弃监控,并进行下一步骤;(Viii)调用下一钩接函数。
Description
本发明涉及一种文件***的动态监控方法。
目前,为了能够实现对文件***动态地进行监控,分析出用户对文件***的操作,以便最大限度地减少甚至避免用户误操作所造成的***损坏,通常采用的工具,例如Cybermedia Uninstaller、Norton Uninstall、Clean Sweep以及Magic Folder(对目录加密)等,监控所采用的技术的共同点在于:分别在安装前和安装后对***进行快照(snapshot)处理,记录***当前的状态,然后进行比较,找到不同之处后,产生记录报告,其缺点在于:
1.将当前所有的***全部记录,不加分析和取舍,譬如用户在此期间进行了监控操作以外的其他类型的操作,其操作过程也会被上述工具记录下来,这样一来,既浪费了时间,又浪费大量***资源;
2.现有技术只是静态地比较操作记录,通过比较监控操作前、后两次快照的不同来进行比对等方式的处理,因此操作不具备即时性,操作时间长,记录不准确,甚至对***产生副作用。
本发明的目的在于提供一种文件***的动态监控方法,其可以动态、即时地对文件***进行监控操作,速度快,且占用很少的***资源。
本发明的另一目的在于提供一种文件***的动态监控方法,其针对文件***的监控提供一个标准的过滤器界面,用户可通过公用界面实现对文件***监控功能的定向扩充。
本发明的目的是这样实现的,即提供一种文件***的动态监控方法,包括下列步骤:(i)依据应用程序的文件请求,调用对应的过滤器,对文件进行监控条件检测;(ii)自动询问是否需要进行监测,如果用户要求监测,则进行至下一步骤,否则进行至步骤(vi);(iii)记录该应用程序的相关信息;(iv)接下来程序转为准备阶段,预备监控下一个应用程序;(v)如果条件检测的结果不符合用户需求的检测条件,则放弃监控,并进行至步骤(vi);及(vi)调用下一个钩接函数。
本发明还提供一种文件***的动态监控方法,包括下列步骤:当某一个应用程序发出文件操作请求后,在存储器中的操作***内核将其接驳到可安装文件***的管理程序,然后由其内部的链表调用第一个文件管理程序,对文件进行监控,然后依次遍及整个链表,以完成对应用程序的监控服务。
本发明利用所提供的极妙的监控性能,只有当用户对文件***的操作涉及到预先设定的敏感处(sensitive)时,才会启动该监控处理过程,而所处理的文件请求将会占用的是***分配给用以产生该请求程序的资源,无须***分配额外的资源,因此对于***资源的占用较少,其操作也简单,仅仅是对用户操作的识别和判断及相关处理。
下面结合附图,详细说明本发明的实施例,其中:
图1为本发明文件***的动态监控的功能模块图;
图2为本发明文件***的动态监控的过滤器的流程图;
图3为本发明文件***的动态监控的流程图;
图4为本发明文件***的动态监控的***文件保护的流程图;
图5为本发明文件***的动态监控的监控条件判别的流程图。
应用程序5a、5b、5c;操作***OS内核10;可安装文件***的管理***11;监控程序12;过滤器界面14;过滤器18;***内定文件16。
请参阅图1,其绘示本发明的功能模块(module)图,其中,用以实现本发明的文件***的动态监控方法的模块包括:操作OS内核10、监控程序12及过滤器界面14。当数个应用程序(APP)5a、5b、5c中的某一个应用程序产生一个文件请求时,操作***(OS)的内核(kernel)会调用操作***内部的可安装文件***的管理***11(Installable File System Manager),然后由这个管理***对文件请求完成服务。但本发明在响应(respond)该请求之前,加入了一个监控程序12,以实现在文件请求响应执行前,先被检测的目的。监控程序12在被激活(activate)后,调用标准的过滤器界面14。在文件通过监控程序12以过滤器18检测后,若满足检测的条件,则输出为***内定(default)文件16。
对应于过滤器界面14,用户可插接(plug in)达成不同目的的过滤器18,如图1所示,例如为了实现***文件保护的过滤器18a,及为了进行反安装(uninstall)记录的过滤器18b,或是其他用途的过滤器18c等。
上述过滤器18在本实施例中是以电脑配合软件加以实现,其流程图如图2所示,包括下列步骤:(i)步骤20,首先由监控程序调用过滤器界面;(ii)步骤22,接着相关动态链结库DLL对文件进行识别;(iii)步骤24,判断该文件是否满足被监控的条件,如果满足,则进行至下一步骤,否则回到步骤20,呼叫其后的程序响应服务,直至完成对该请求的服务;(iv)步骤26,设置标志并记录当前信息,然后回到步骤20,返回到***原有的文件管理循环中,而上述满足条件的文件将按照用户的要求进行处理。
请参阅图3,本发明的技术流程包括下列步骤:(i)步骤32,首先进行文件类型分析,例如文件名的分析;(ii)步骤34,接着利用相关的动态链结库(DLL),进行监控条件检测,看是否符合用户的需求条件,如果符合,则进行至下一步骤,如果用户不需要监测,则进行至步骤44;(iii)步骤36;进行相关处理,包括设置标志,启动监控;(iv)步骤38,自动询问是否需要进行监测,如果用户要求监测,则进行至下一步骤,否则进行至步骤46;(v)步骤40,记录该应用程序的相关信息,然后进行至步骤42;(vi)步骤42,接下来程序转为准备阶段,预备监控下一个应用程序;(vii)步骤44,如果条件检测的结果不符合用户需求的检测条件,则放弃监控,并进行至步骤46;(viii)步骤46,调用下一个钩接函数(HOOK)。
也就是说,当某一个应用程序发出文件操作请求后,操作***内核将其接驳到可安装文件***的管理程序,然后由其内部的链表(chained list)调用第一个文件管理程序,然后依次遍及整个链表,完成对应用程序的监控服务,在此过程中,被***的监控程序在获得管理权后,首先,通过调用一个动态链结库,对传入的文件请求,如果满足了监控条件则设置相关标志,进行相关处理,例如,如果文件具有安装程序文件名(file name)特征,则监控程序启动安装记录功能,如果文件名满足可执行程序文件名特征条件,则监控程序启动,针对写入操作将被禁止,由动态链结库返回值可以确知***对该请求是否予以满足,如果响应请求,则记录下当前处理过程设置记录标志,开始对该应用程序进行监控,当完成监控所要求的任务后,转去处理其他的文件请求。
为了具体说明本发明的技术实现方法,以下特举***文件保护的例子,在对***文件保护的监控过程中,需要判断文件是否为可执行文件或***文件,因为这两类型的文件是***文件保护的敏感文件类型,一旦删除或更改以上两种类型的文件,甚至会导致文件***的参数传递损坏。因此用户在调用某个文件***时,为了防止被他人删改或恶意破坏文件***,而设定监控程序,通过密码形式以限定用户的修改权限,以达到文件***的保护。
如图4所示,其为***文件保护V×D的动作流程,包括下列步骤:(i)步骤52,由***传递参数;(ii)步骤54,呼叫(call)外层16位动态链结库(DLL);(iii)步骤56,当文件表中的内容进行比较,判断是否为***文件,如果是,则进行下一步骤,否则进行至步骤62;(iv)步骤58,判断是否为修改性操作,如果欲修改***文件,则进行至下一步骤,否则进行至步骤62;(v)步骤60,监控程序不予响应,确认文件操作非法,返回开始;(vi)步骤62,向下传递参数,呼叫下一个程序。
请参阅图5,其为外层16位动态链结库动作的流程,用以判断文件请求是否满足监控条件,包括下列步骤:(i)步骤72,当接收到一个文件请求后,调用本发明所提供的标准过滤器,传入参数;(ii)步骤74,查找文件表;(iii)步骤76,判别此次文件请求是否列在表中,如果在表中,则确定该文件请求满足监控条件,进行至下一步骤,否则进行至步骤86;(iv)步骤78,继续判断该文件请求是否为写入操作,如果是,则进行至下一步骤,否则进行至步骤86;(v)步骤80,自动弹出报警对话盒,询问文件修改的权限密码;(vi)步骤82,确认密码是否正确,如果密码正确,则进行至步骤,否则进行至步骤88;(vii)步骤84;允许操作(删除、修改等),并继续响应下一文件请求;(viii)步骤86,返回***,将控制权移交给下一个管理程序;(ix)步骤88,中断响应,并返回。
上述步骤76,文件请求不在文件表中,是表示该文件请求不满足监控条件,故需返回***,并将控制权移交给下一管理程序。而步骤78中,当该文件请求不是写入操作时,不会影响到文件***的安全,故也无须继续监控,而只需返回***,将控制权移交给下一个管理程序。
Claims (8)
1.一种文件***的动态监控方法,其特征在于,包括下列步骤:
(i)依据应用程序的文件请求,调用对应的过滤器,对文件进行监控条件检测;
(ii)自动询问是否需要进行监测,如果用户要求监测,则进行至下一步骤,否则进行至步骤(vi);
(iii)记录该应用程序的相关信息;
(iv)接下来程序转为准备阶段,预备监控下一个应用程序;
(v)如果条件检测的结果不符合用户需求的检测条件,则放弃监控,并进行至步骤(vi);及
(vi)调用下一个钩接函数。
2.如权利要求1所述的文件***的动态监控方法,其特征在于,所述过滤器进行监测的流程包括下列步骤:
(1)进行文件类型分析;
(2)利用相关的动态链结库,进行监控条件检测,看是否符合用户的需求条件,如果符合,则进行至下一步骤,如果用户不需要监测,则进行至上述步骤(v);
(3)设置标志,启动监控。
3.如权利要求1所述的文件***的动态监控方法,其特征在于,所述过滤器包括实现***文件保护的过滤器、为了进行反安装记录的过滤器,或其他用途的过滤器等。
4.如权利要求2所述的文件***的动态监控方法,其特征在于,所述步骤(i)中是进行文件名的分析。
5.一种文件***的动态监控方法,其特征在于,包括下列步骤:当某一个应用程序发出文件操作请求后,在存储器中的操作***内核将其接驳到可安装文件***的管理程序,然后由其内部的链表调用第一个文件管理程序,对文件进行监控,然后依次过压整个链表,以完成对应用程序的监控服务。
6.如权利要求5所述的文件***的动态监控方法,其特征在于,在所述对文件进行监控的次过程中,被***的监控程序在获得管理权后,首先,通过调用一个动态链结库,对传入的文件请求,如果满足了监控条件则设置相关标志,进行相关处理,由动态链结库返回值可以确知***对该请求是否予以满足,如果响应请求,则记录下当前处理过程设置记录标志,开始对该应用程序进行监控,当完成监控所要求的任务后,转去处理其他的文件请求。
7.如权利要求6所述的文件***的动态监控方法,其特征在于,所述相关处理是当文件具有安装程序文件名特征时,则监控程序启动安装记录功能。
8.如权利要求6所述的文件***的动态监控方法,其特征在于,所述相关处理是当文件名满足可执行程序文件名特征条件时,则监控程序启动,对写入操作将被禁止。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN99102482A CN1117322C (zh) | 1999-03-04 | 1999-03-04 | 文件***的动态监控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN99102482A CN1117322C (zh) | 1999-03-04 | 1999-03-04 | 文件***的动态监控方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1266228A true CN1266228A (zh) | 2000-09-13 |
CN1117322C CN1117322C (zh) | 2003-08-06 |
Family
ID=5270836
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN99102482A Expired - Fee Related CN1117322C (zh) | 1999-03-04 | 1999-03-04 | 文件***的动态监控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1117322C (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100367230C (zh) * | 2004-01-19 | 2008-02-06 | 中国人民解放军理工大学 | 基于lsm的程序行为控制方法 |
CN100388234C (zh) * | 2005-12-09 | 2008-05-14 | 中兴通讯股份有限公司 | 一种基于有限状态机的对内存变量改写进行监控的方法 |
CN101866407A (zh) * | 2010-06-18 | 2010-10-20 | 北京九合创胜网络科技有限公司 | 一种实现操作***平台安全的方法及装置 |
CN107958152A (zh) * | 2017-12-04 | 2018-04-24 | 山东中创软件商用中间件股份有限公司 | 基于虚拟文件***的防篡改方法、装置以及设备 |
CN108573596A (zh) * | 2012-12-28 | 2018-09-25 | 松下电器(美国)知识产权公司 | 控制方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7607176B2 (en) * | 2004-11-12 | 2009-10-20 | International Business Machines Corporation | Trainable rule-based computer file usage auditing system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1021089C (zh) * | 1990-04-05 | 1993-06-02 | 杨筑平 | 存储信息保护机构 |
-
1999
- 1999-03-04 CN CN99102482A patent/CN1117322C/zh not_active Expired - Fee Related
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100367230C (zh) * | 2004-01-19 | 2008-02-06 | 中国人民解放军理工大学 | 基于lsm的程序行为控制方法 |
CN100388234C (zh) * | 2005-12-09 | 2008-05-14 | 中兴通讯股份有限公司 | 一种基于有限状态机的对内存变量改写进行监控的方法 |
CN101866407A (zh) * | 2010-06-18 | 2010-10-20 | 北京九合创胜网络科技有限公司 | 一种实现操作***平台安全的方法及装置 |
CN108573596A (zh) * | 2012-12-28 | 2018-09-25 | 松下电器(美国)知识产权公司 | 控制方法 |
CN108573596B (zh) * | 2012-12-28 | 2020-10-16 | 松下电器(美国)知识产权公司 | 控制方法 |
CN107958152A (zh) * | 2017-12-04 | 2018-04-24 | 山东中创软件商用中间件股份有限公司 | 基于虚拟文件***的防篡改方法、装置以及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN1117322C (zh) | 2003-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6802025B1 (en) | Restoration of a computer to a previous working state | |
US5491791A (en) | System and method for remote workstation monitoring within a distributed computing environment | |
AU2001286605B2 (en) | Method and system for determining the use and non-use of software programs | |
RU2163726C2 (ru) | Способ работы компьютерной системы | |
US7114104B1 (en) | System and method of fault detection in a Unix environment | |
CN103023984B (zh) | 终端应用服务器及其应用日志过滤方法 | |
CN104182288A (zh) | 一种服务器集群***功耗自动化测试的方法 | |
CA2614267A1 (en) | Per-user and system granular audit policy implementation | |
WO2003107220B1 (en) | LAYERED COMPUTER SYSTEMS AND METHODS FOR UNSECURED ENVIRONMENTS | |
CN111813646B (zh) | docker容器环境下注入应用探针的方法和装置 | |
CN112346829A (zh) | 一种用于任务调度的方法及设备 | |
CN110266544B (zh) | 一种云平台微服务化服务失败的原因定位的装置及方法 | |
US6519637B1 (en) | Method and apparatus for managing a memory shortage situation in a data processing system | |
CN1117322C (zh) | 文件***的动态监控方法 | |
CN101894033A (zh) | 自动在客户端计算器选欲运行操作***的安装***及方法 | |
CN107357809B (zh) | 海量平台海迅实时库量测数据接入*** | |
CN112328366A (zh) | 一种高效的云平台主机保护方法及*** | |
EP1865412B1 (fr) | Pilotage d'un dispositif multifonctions | |
US20100049749A1 (en) | System of synchronizing data between storage devices and method thereof | |
US20050102505A1 (en) | Method for dynamically changing intrusion detection rule in kernel level intrusion detection system | |
US7979238B2 (en) | System, method and computer program product for evaluating a test of an alternative system | |
US5559726A (en) | Method and system for detecting whether a parameter is set appropriately in a computer system | |
US7103783B1 (en) | Method and system for providing data security in a file system monitor with stack positioning | |
CN101714092A (zh) | 一种服务器启动顺序的控制方法 | |
CN1310395A (zh) | 登记库的动态监控方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20030806 Termination date: 20110304 |