(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111475806A(43)申请公布日2020.07.31(21)申请号202010154798.0(22)申请日2020.03.08(71)申请人苏州浪潮智能科技有限公司地址215100江苏省苏州市吴中区吴中经济开发区郭巷街道官浦路1号9幢(72)发明人王传国(74)专利代理机构济南舜源专利事务所有限公司37205代理人张营磊(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书5页附图2页(54)发明名称一种基于访问权限的检测和防御勒索软件的方法(57)摘要本发明提供一种基于访问权限的检测和防御勒索软件的方法：在待监测系统中设置敏感文件夹，并为待监测系统设置防御脚本及白名单配置防御脚本实时监控文件遍历所需的系统API，对所有调用文件遍历系统API的进程进行拦截，并设置为关注进程，在白名单中查找关注进程对应的软件；当在白名单中没有关注进程对应的软件时，判断关注进程调用系统API进行遍历的文件夹是否在敏感文件夹列表；当关注进程调用系统API进行遍历的文件夹是敏感文件夹时，对关注进程进行进程注入，监控关注进程的所有文件操作系统API，并将关注进程的每个文件操作系统API进行的文件操作提供给用户确认，再根据用户的确认结果对关注进程的动作进行相应的操作。CN111475806ACN111475806A权利要求书1/2页1.一种基于访问权限的检测和防御勒索软件的方法，其特征在于，包括如下步骤：S1.在待监测系统中设置敏感文件夹，生成敏感文件夹列表，并为待监测系统设置防御脚本及白名单；S2.配置防御脚本实时监控文件遍历所需的系统API，对所有调用文件遍历系统API的进程进行拦截，并设置为关注进程，在白名单中查找关注进程对应的软件；S3.当在白名单中没有关注进程对应的软件时，配置防御脚本判断关注进程调用系统API进行遍历的文件夹是否在敏感文件夹列表；S4.当关注进程调用系统API进行遍历的文件夹在敏感文件夹列表时，配置防御脚本对关注进程进行进程注入，监控关注进程的所有文件操作系统API，并将关注进程的每个文件操作系统API进行的文件操作提供给用户确认，再根据用户的确认结果对关注进程的动作进行相应的操作。2.如权利要求1所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S3中，当在白名单中存在关注进程对应的软件时，配置防御脚本允许关注进程的操作。3.如权利要求1所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S4具体步骤如下：S41.当关注进程调用系统API进行遍历的文件夹在敏感文件夹列表时，配置防御脚本对关注进程进行进程注入，监控关注进程的所有文件操作系统API；S42.配置防御脚本将关注进程的每个文件操作系统API进行的文件操作提供给用户确认；当用户同意时，配置防御脚本允许关注进程的当前文件操作系统API进行的文件操作，返回步骤S42；当用户拒绝时，配置防御脚本阻断关注进程的当前文件操作系统API进行的文件操作，返回步骤S42。4.如权利要求3所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S42中，当用户同意，且将关注进程加入白名单时，配置防御进程允许关注进程的当前文件操作系统API进行的文件操作，且更新白名单，返回步骤S3。5.如权利要求3所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S1中还为待监测系统设置黑名单；步骤S2中在白名单中查找关注进程对应的软件之前，还包括：在黑名单中查找关注进程对应的软件；当黑名单中存在关注进程对应的软件时，阻断关注进程的所有操作，返回步骤S2；当黑名单中不存在关注进程对应的软件时，继续进行白名单的查找。6.如权利要求5所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S42中，当用户拒绝，且将关注进程加入黑名单时，配置防御进程阻断关注进程的所有操作，且更新黑名单，返回步骤S2。7.如权利要求6所述的基于访问权限的检测和防御勒索软件的方法，其特征在于，步骤S42中文件操作API进行的文件操作包括文件遍历、文件打开、文件创建、文件写、文件删除以及文件移动。8.如权利要求7所述的基于权限的检测和防御勒索软件的方法，其特征在于，步骤S422CN111475806A权利要求书2/2页中，配置防御脚本将关注进程的每个文件操作系统API进行的文件操作提供给用户确认的同时，监控文件操作系统API进行的修改类文件操作。9.如权利要求8所述的基于权限的检测和防御勒索软件的方法，其特征在于，监控文件操作系统API进行的修改类文件操作具体步骤如下：判断文件操作系统API进行的文件操作是否为修改类操作；若是，进入步骤S43；若否，返回步骤S42；S43.记录