一種移動存儲設備安全使用方法
【技術領域】
[0001]本發(fā)明涉及一種防止移動存儲設備上的病毒對操作系統(tǒng)造成危害的方法�。
【背景技術】
[0002]目前計算機系統(tǒng)感染病毒和木馬最主要的兩個途經,就是上網和連接包括U盤在內的各種移動存儲設備���。目前對移動存儲設備的防護有禁止訪問,只讀或只寫操作�,還有通過禁止程序的自動運行來保護,但如果一旦手工執(zhí)行移動存儲設備中的染毒程序或打開帶有宏病毒的資料時,如果該病毒或木馬為未知病毒或木馬�,或是現有安全防護手段無法識別的病毒或木馬,則計算機系統(tǒng)馬上會感染病毒���,這也是移動存儲設備帶來的最大的安全隱患���。
【發(fā)明內容】
[0003]本發(fā)明的目的是提供一種移動存儲設備安全使用方法,使得無須通過任何病毒防護程序�����,也無需禁止訪問����、只讀或只寫控制,即可實現移動存儲設備的安全文件操作和程序安全運行��,操作系統(tǒng)在使用移動存儲設備前后沒有任何變化�����,更不可能感染病毒和木馬����。
[0004]為了達到上述目的����,本發(fā)明的技術方案是提供了一種移動存儲設備安全使用方法�����,其特征在于:步驟為:
步驟1�����、在計算機中建立移動設備分區(qū)���,移動設備分區(qū)包括在計算機固定磁盤上建立的指定目錄�,該指定目錄與現有目錄--對應��,以及在注冊表建立的指定分支�,該指定分支與現有的注冊表項對應,和移動設備插入計算機后自動分配的臨時盤符��;
步驟2����、將移動存儲設備接入計算機后,計算機為該移動存儲設備分配一臨時盤符��;步驟3�、若當前運行的進程或線程滿足下列條件之一則將該進程或線程標記為移動設備運行屬性,其判斷條件為:
1)當前啟動的進程是在移動設備分區(qū)�����;
2)當前運行的進程或線程加載的可執(zhí)行模塊是在移動設備分區(qū)下���;
3)當前運行的進程或線程不是操作系統(tǒng)進程或線程��,且打開移動設備分區(qū)下的任何文件���;
4)當前運行的進程或線程的父進程被標記為移動設備運行屬性;
步驟4���、被標記為移動設備運行屬性的進程或線程對除移動設備分區(qū)下的所有目錄及所有注冊表項都是只讀操作���,若該進程或線程對某一目錄或某一注冊表項進行寫操作,則該寫操作會被重定向至與該目錄或該注冊表項相對應的指定目錄或指定分支����;
步驟5、當移動存儲設備斷開與計算機的連接后���,清除移動設備分區(qū)�����。
[0005]優(yōu)選地�,若當前運行的進程或線程被標記為移動設備運行屬性,則禁止該進程或線程安裝驅動��。
[0006]優(yōu)選地���,若當前運行的進程或線程被標記為移動設備運行屬性��,則該進程或線程全局應用鉤子調用時返回失敗����。
[0007]優(yōu)選地���,若當前運行的進程或線程被標記為移動設備運行屬性�,則該進程或線程注入或寫入標記為移動設備運行屬性以外的進程地址空間時返回失敗��。
[0008]優(yōu)選地�,若當前運行的進程或線程被標記為移動設備運行屬性,則禁止該進程或線程終止被標記為移動設備運行屬性的進程以外的進程。
[0009]優(yōu)選地�,若當前運行的進程或線程被標記為移動設備運行屬性,則禁止該進程或線程直接讀寫磁盤和內存�����。
[0010]優(yōu)選地�����,若當前運行的進程或線程被標記為移動設備運行屬性�,則禁止該進程或線程編輯操作系統(tǒng)帳號�、重啟或關閉機器、格式化磁盤操作�����。
[0011]本發(fā)明的一種移動存儲設備安全使用方法�,通過在計算機中建立移動設備分區(qū),使具有移動設備運行屬性的進程���,只能對移動設備分區(qū)中數據進行編輯修改��,而對移動設備分區(qū)以外的任何數據只能讀操作�,如要對移動設備分區(qū)以外的任何數據進行編輯操作��,則會自動重定向到移動設備分區(qū)中進行操作,這樣計算機系統(tǒng)在使用移動存儲設備前后不會有任何變化��,可以絕對避免病毒或木馬對計算機進行感染和破壞����。
【附圖說明】
[0012]圖1是本發(fā)明的一種移動存儲設備安全使用方法的防護流程圖。
【具體實施方式】
[0013]為使本發(fā)明更明顯易懂����,茲以一優(yōu)選實施例,并配合附圖作詳細說明如下���。
[0014]如圖1所示��,本發(fā)明提供的一種移動存儲設備安全使用方法�����,步驟為:
步驟1�、在計算機中建立移動設備分區(qū)����,移動設備分區(qū)包括在計算機固定磁盤上建立的指定目錄,該指定目錄與現有目錄--對應,以及在注冊表建立的指定分支����,該指定分支與現有的注冊表項對應,例如�,文件目錄移動設備分區(qū)會在系統(tǒng)每個固定磁盤文件系統(tǒng)分區(qū)根目錄創(chuàng)建一個/hull9usb目錄,注冊表移動設備分區(qū)會在每個注冊表項中第三節(jié)后面增加一個hull9usb項��;
步驟2��、將移動存儲設備接入計算機后��,計算機為該移動存儲設備分配一臨時盤符�����;步驟3����、若當前運行的進程或線程滿足下列條件之一則將該進程或線程標記為移動設備運行屬性���,其判斷條件為:
1)當前啟動的進程是在移動設備分區(qū)����;
2)當前運行的進程或線程加載的可執(zhí)行模塊是在移動設備分區(qū)下;
3)當前運行的進程或線程不是操作系統(tǒng)進程或線程�,且打開移動設備分區(qū)下的任何文件;
4)當前運行的進程或線程的父進程被標記為移動設備運行屬性��;
步驟4����、被標記為移動設備運行屬性的進程或線程對除移動設備分區(qū)下的所有目錄及所有注冊表項都是只讀操作,若該進程或線程對某一目錄或某一注冊表項進行寫操作���,則該寫操作會被重定向至與該目錄或該注冊表項相對應的指定目錄或指定分支���,因此,無法對系統(tǒng)造成任何影響�,但對于當前進程來說,重定向是完全透明的��;
優(yōu)選地�,若當前運行的進程或線程被標記為移動設備運行屬性,則禁止該進程或線程安裝驅動���。
[0015]優(yōu)選地�����,若當前運行的進程或線程被標記為移動設備運行屬性�����,則該進程或線程全局應用鉤子調用時返回失敗�����。
[0016]優(yōu)選地�,若當前運行的進程或線程被標記為移動設備運行屬性,則該進程或線程注入或寫入標記為移動設備運行屬性以外的進程地址空間時返回失敗�。
[0017]優(yōu)選地,若當前運行的進程或線程被標記為移動設備運行屬性�,則禁止該進程或線程終止被標記為移動設備運行屬性的進程以外的進程���。
[0018]優(yōu)選地�,若當前運行的進程或線程被標記為移動設備運行屬性�����,則禁止該進程或線程直接讀寫磁盤和內存���。
[0019]優(yōu)選地�,若當前運行的進程或線程被標記為移動設備運行屬性,則禁止該進程或線程編輯操作系統(tǒng)帳號�、重啟或關閉機器、格式化磁盤操作����。
[0020]步驟5、當移動存儲設備斷開與計算機的連接后��,清除移動設備分區(qū)���。
[0021]下面舉例描述標記為移動設備運行屬性的進程對計算機文件目錄的操作���。對任一個固定磁盤文件系統(tǒng)分區(qū),該分區(qū)根目錄都會分配一個移動設備分區(qū)目錄“/hull9usb”���,所有對移動設備分區(qū)以外目錄的編輯操作�,都會重定向到當前分區(qū)中hull9usb對應目錄下����;對于移動存儲設備上的文件具有完全操作權限,可以讀也可以寫��,不用重定向�����。
[0022]下面舉例描述在windows平臺下移動設備運行屬性的進程對注冊表的保護操作。對任一注冊表操作���,反映到核心的操作路徑只有這兩種情況:
\ \ \ \ Registry \ \ Machine \ \ xxxxxx \ \ xxxxxx,以及\\\\Registry\\USER\\xxxxxx\\xxxxxx0
[0023]標記為移動設備運行屬性的進程對注冊表編輯操作固定在當前路徑的第三節(jié)后面做重定向�,所有指定要保護的注冊表項�����,都會對第三節(jié)后面所有編輯操作重定向到第三節(jié)后面固定分支(hull9usb)后面:
\\\\Registry\\Machine\\xxxxxx\\hull9usb\\xxxxxx,以及\\\\Registry\\USER\\xxxxxx\\hull9usb\\xxxxxx�����。
[0024]所以標記為移動設備運行屬性的進程修改注冊表\\\\Registry\\Machine\\system \ \ testapp 時��,實際是對 \\\\Registry\\Machine\\system\\hull9usb\testapp的修改�����。
[0025]下面舉例介紹標記為移動設備運行屬性的進程對保護資源的訪問:
1.對移動設備分區(qū)以外目錄的寫操作��,全部重定向到當前磁盤分區(qū)的/ hull9usb中�。如:要寫文件 c:\\windows\\system32\\smon.dll 時��,實質上會寫入 c:\\hull9usb\\windows\\system32\\smon.dll。
[0026]2.對移動設備分區(qū)以外目錄的讀操作�����,如讀文件c:\\windows\\system32\\smon.dll,文件過濾驅動會先讀 c:\\hull9usb\\windows\\system32\\smon.dll,如這文件不存在����,才會去讀真實的文件c:\\windows\\system32\\smon.dll。
[0027]3.對移動設備分區(qū)以外注冊表項的寫操作���,全部重定向到對應注冊表的一個固定hull9usb分支����,hull9usb分支分配見前面介紹���。如:寫注冊表\\\\Registry\\Machine\\system \ \ testapp,注冊表過濾驅動會寫入 \\\\Registry\\Machine\\system\\hull9usb\\testapp ;寫注冊表 \\\\Regi stry\\user\\HKEY—CURRENT—USER\\testapp�����,注冊表過濾驅動會寫入 \\\\Registry\\user\\HKEY—QJRRENT—USER\\hull9usb \ \testapp�����。
[0028]4.對移動設備分區(qū)以外注冊表項的讀操作�。如:讀注冊表\ \ \\ Registry\ \ Machine\\system\\testapp,注冊表過濾驅動會先讀 \\\\Registry\\Machine\\system\\hull9usb\\testapp,如失敗則會讀真實地方 \\\\Registry\\Machine\\system\\testapp ;
根據上面訪問文件和注冊表中所述���,通過文件過濾驅動實現移動設備分區(qū)以外目錄的保護�����,通過注冊表過濾驅動實現對移動設備分區(qū)以外注冊表項的保護����。
[0029]以上標記為移動設備運行屬性的進程或線程對文件和注冊表操作也可以有其他情況實現:
對于系統(tǒng)有多個磁盤分區(qū)的情況���,不用在每個磁盤分區(qū)建立移動設備分區(qū)目錄�����,可以任意指定一個目錄或文件�����,然后在該目錄或文件中實現不同磁盤區(qū)的操作�,對于注冊表也可以通過在注冊表中不同位置實現����,同時移動設備分區(qū)注冊表也可通過獨立的文件實現。
【主權項】
1.一種移動存儲設備安全使用方法����,其特征在于:步驟為: 步驟1、在計算機中建立移動設備分區(qū)�����,移動設備分區(qū)包括在計算機固定磁盤上建立的指定目錄��,該指定目錄與現有目錄--對應����,以及在注冊表建立的指定分支,該指定分支與現有的注冊表項 對應��,和移動設備插入計算機后自動分配的臨時盤符��; 步驟2�、將移動存儲設備接入計算機后,計算機為該移動存儲設備分配一臨時盤符�����;步驟3、若當前運行的進程或線程滿足下列條件之一則將該進程或線程標記為移動設備運行屬性�����,其判斷條件為: 1)當前啟動的進程是在移動設備分區(qū)���; 2)當前運行的進程或線程加載的可執(zhí)行模塊是在移動設備分區(qū)下�����; 3)當前運行的進程或線程不是操作系統(tǒng)進程或線程�,且打開移動設備分區(qū)下的任何文件�����;
【專利摘要】本發(fā)明的一種移動存儲設備安全使用方法�,通過在計算機中建立移動設備分區(qū),使具有移動設備運行屬性的進程���,只能對移動設備分區(qū)中數據進行編輯修改��,而對移動設備分區(qū)以外的任何數據只能讀操作���,使得無須通過任何病毒防護程序,也無需禁止訪問、只讀或只寫控制���,即可實現移動存儲設備的安全文件操作和程序安全運行,操作系統(tǒng)在使用移動存儲設備前后沒有任何變化�,更不可能感染病毒和木馬。
【IPC分類】G06F21-71, G06F21-85
【公開號】CN104573563
【申請?zhí)枴緾N201310511757
【發(fā)明人】不公告發(fā)明人
【申請人】西安造新電子信息科技有限公司
【公開日】2015年4月29日
【申請日】2013年10月24日