针对可移动存储设备的病毒检测查杀方法
针对可移动存储设备的病毒检测查杀方法
【技术领域】
[0001]本发明涉及数据安全领域,具体地,涉及一种针对可移动存储设备的病毒检测查杀方法。
【背景技术】
[0002]目前,可移动存储设备(如:U盘)的广泛使用给人们带来了便利,越来越多的计算机用户通过可移动存储设备进行数据文件交换,正是这样的高使用率给计算机病毒程序的传播提供了方便。“熊猫烧香”、“AV终结者”等病毒纷纷把可移动存储设备作为主要传播途径。因可移动存储设备类病毒载体较为广泛,除了可移动存储设备之外,MP3、MP4、移动硬盘和数码相机等可移动储存设备无一例外地成为此类病毒的传播载体,并且此类病毒破坏性也较强,使得黑客对这类病毒程序“钟爱”有加,不断“推陈出新”。
[0003]利用可移动存储设备的便捷特性来传播的病毒程序,已经出现“人性化”的新特性,能准确预测用户中毒后的反应和操作步骤。受到新的病毒程序感染而无法正常使用的计算机系统,人们常常会选择格式化C盘重装系统来解决问题。而此类新病毒程序恰恰在这里精心的设置了陷阱。该病毒程序在遍历磁盘写入自动播放文件时,并不在C盘中写入,而在C盘以外的所有磁盘都写入病毒程序的副本。也就是说即使格式化重装系统,清理了计算机系统的安装分区,但病毒程序已经存在于硬盘的其余各个分区中,一旦安装全新系统后,没有检测清除硬盘其他分区的病毒程序而使用,则会再次让病毒程序破坏计算机系统,感染数据文件。
[0004]为了防止企业内部众多可移动存储设备将病毒带入计算机内,且需要进一步提升查杀管控效率,对于可移动存储设备中的病毒统一查杀与管控,及时发现病毒爆发趋势加以措施是当前面临需要解决的问题。
[0005]
【发明内容】
[0006]本发明的目的在于,针对上述问题,提出一种针对可移动存储设备的病毒检测查杀方法,以实现保证企业内网安全的优点。
[0007]为实现上述目的,本发明采用的技术方案是:
一种针对可移动存储设备的病毒检测查杀方法,包括以下步骤:
在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控;
当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。
[0008]优选的,所述病毒日志文件至少包括,查杀时间、病毒类型和病毒数量。
[0009]本发明的技术方案具有以下有益效果:
本发明的技术方案,对可移动存储设备进行病毒筛选查杀和管控,可有效对可移动存储设备(如:u盘、移动硬盘等)上的病毒进行全面检测和查杀,阻断可疑程序,防止计算机病毒进入到企业内网,从而进一步保证企业内网的安全。当可移动存储设备插入计算机后,能阻止从移动存储设备启动可疑的相关执行程序,从而有效阻断病毒程序的传播,而且还能对可移动存储设备进行深度扫描检测查杀,为方便地使用移动存储设备提供安全保障。内网管理中心对于可移动存储设备中的病毒统一查杀与管控,及时发现病毒爆发趋势加以处理。
[0010]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【附图说明】
[0011]图1为本发明实施例所述的针对可移动存储设备的病毒检测查杀方法的流程图。
【具体实施方式】
[0012]以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0013]如图1所示,一种针对可移动存储设备的病毒检测查杀方法,包括以下步骤: 在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控;
当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。
[0014]病毒日志文件至少包括,查杀时间、病毒类型和病毒数量。
[0015]可移动存储设备病毒查杀管理模块可采用瑞星企业终端安全代理组件等其它杀毒程序实现。
[0016]具体的,首先,在一台接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,其次,通过内网管理中心策略设置下发,启用可移动存储设备实时监控,一旦可移动设备接入到内网计算机上,可自动对可移动存储设备进行检测扫描(发现可疑执行程序可进行阻断)及病毒查杀,在内网管理中心上可查看到查杀时间、病毒类型、数量等日志信息,通过这些信息汇总可进行相关数据分析,生成报生口 ο
[0017]本发明采用文件系统筛选技术,阻止从可移动存储设备启动可疑相关的执行程序,从而有效阻断病毒程序的传播。
[0018]文件系统筛选驱动程序工作原理:文件系统筛选驱动是针对文件系统而言的,它附着在文件系统上。Windows系统的I/O管理器根据用户的读、写文件等操作请求构造IRP(I/O请求包)发给文件系统驱动,文件系统驱动把相应于文件系统的操作转换为相应于存储设备驱动程序的操作并通过I/O管理器来调用存储设备驱动程序。文件筛选驱动被插入到当前文件系统堆栈中,拦截发往内核模式IRP,通过重新处理这些IRP为当前文件系统提供一些新的功能。发往底层文件系统驱动的IRP被筛选驱动拦截,筛选驱动对拦截到的这些IRP做一些相应的处理,为系统提供一些新的功能或增值服务。
[0019]文件系统筛选驱动的作用:文件筛选驱动可以用于扩展、修改现存的文件系统的功能,为文件系统提供新的功能和服务。
[0020]主要有以下几个用途:
(1)为文件系统提供透明的附加功能。如在文件写过程中对数据进行加密,读的过程中进行解密,数据个性化等过程,针对特殊的过程进行特殊处理,增加文件系统效率等。
(2)病毒检测的功能。当系统在读写文件的时候,捕获读写的数据内容,检测其中是否含有病毒特征码。
(3)使用文件筛选进行数据读写控制,作为防信息泄漏软件的基础。
[0021]本发明还采用了深层病毒扫描查杀技术,当插入可移动存储设备时即可自动扫描查杀如ZIP、ARJ、CAB, LZH和RAR等压缩格式文件病毒;也可以识别多种可执行程序的压缩格式,如PKLITE、LZEXE, WffPACK, ASPACK和UPX等,让那些隐藏极深的病毒也不得不原形毕露。内置高速扫描引擎可以扫描多种格式的压缩文件所生成的文件,包括PKZIP、PKLITE、ARJ、Microsoft Compress、Diet、LZEXE和LZH等多种流行的压缩软件生成的文件。对于多重压缩的文档也提供搜索病毒功能,即一个文档由两种以上的压缩软件后生成的压缩文档,也可以进行搜索病毒,使得隐藏再深的病毒也难以逃脱。
[0022]最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种针对可移动存储设备的病毒检测查杀方法,其特征在于,包括以下步骤: 在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控; 当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。2.根据权利要求1所述的针对可移动存储设备的病毒检测查杀方法,其特征在于,所述病毒日志文件至少包括,查杀时间、病毒类型和病毒数量。
【专利摘要】本发明公开了一种针对可移动存储设备的病毒检测查杀方法,包括以下步骤:在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控;当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。实现保证企业内网安全的优点。
【IPC分类】G06F21/56, G06F21/85
【公开号】CN104899510
【申请号】CN201510235271
【发明人】崔阿军, 张玉宏, 何辉, 段军红, 张华峰, 闫晓斌, 李方军, 秦睿, 范迪龙, 张驯, 智勇, 戴亮, 龚波, 马之力, 李志茹, 袁晖
【申请人】国网甘肃省电力公司电力科学研究院
【公开日】2015年9月9日
【申请日】2015年5月11日
【技术领域】
[0001]本发明涉及数据安全领域,具体地,涉及一种针对可移动存储设备的病毒检测查杀方法。
【背景技术】
[0002]目前,可移动存储设备(如:U盘)的广泛使用给人们带来了便利,越来越多的计算机用户通过可移动存储设备进行数据文件交换,正是这样的高使用率给计算机病毒程序的传播提供了方便。“熊猫烧香”、“AV终结者”等病毒纷纷把可移动存储设备作为主要传播途径。因可移动存储设备类病毒载体较为广泛,除了可移动存储设备之外,MP3、MP4、移动硬盘和数码相机等可移动储存设备无一例外地成为此类病毒的传播载体,并且此类病毒破坏性也较强,使得黑客对这类病毒程序“钟爱”有加,不断“推陈出新”。
[0003]利用可移动存储设备的便捷特性来传播的病毒程序,已经出现“人性化”的新特性,能准确预测用户中毒后的反应和操作步骤。受到新的病毒程序感染而无法正常使用的计算机系统,人们常常会选择格式化C盘重装系统来解决问题。而此类新病毒程序恰恰在这里精心的设置了陷阱。该病毒程序在遍历磁盘写入自动播放文件时,并不在C盘中写入,而在C盘以外的所有磁盘都写入病毒程序的副本。也就是说即使格式化重装系统,清理了计算机系统的安装分区,但病毒程序已经存在于硬盘的其余各个分区中,一旦安装全新系统后,没有检测清除硬盘其他分区的病毒程序而使用,则会再次让病毒程序破坏计算机系统,感染数据文件。
[0004]为了防止企业内部众多可移动存储设备将病毒带入计算机内,且需要进一步提升查杀管控效率,对于可移动存储设备中的病毒统一查杀与管控,及时发现病毒爆发趋势加以措施是当前面临需要解决的问题。
[0005]
【发明内容】
[0006]本发明的目的在于,针对上述问题,提出一种针对可移动存储设备的病毒检测查杀方法,以实现保证企业内网安全的优点。
[0007]为实现上述目的,本发明采用的技术方案是:
一种针对可移动存储设备的病毒检测查杀方法,包括以下步骤:
在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控;
当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。
[0008]优选的,所述病毒日志文件至少包括,查杀时间、病毒类型和病毒数量。
[0009]本发明的技术方案具有以下有益效果:
本发明的技术方案,对可移动存储设备进行病毒筛选查杀和管控,可有效对可移动存储设备(如:u盘、移动硬盘等)上的病毒进行全面检测和查杀,阻断可疑程序,防止计算机病毒进入到企业内网,从而进一步保证企业内网的安全。当可移动存储设备插入计算机后,能阻止从移动存储设备启动可疑的相关执行程序,从而有效阻断病毒程序的传播,而且还能对可移动存储设备进行深度扫描检测查杀,为方便地使用移动存储设备提供安全保障。内网管理中心对于可移动存储设备中的病毒统一查杀与管控,及时发现病毒爆发趋势加以处理。
[0010]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【附图说明】
[0011]图1为本发明实施例所述的针对可移动存储设备的病毒检测查杀方法的流程图。
【具体实施方式】
[0012]以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0013]如图1所示,一种针对可移动存储设备的病毒检测查杀方法,包括以下步骤: 在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控;
当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。
[0014]病毒日志文件至少包括,查杀时间、病毒类型和病毒数量。
[0015]可移动存储设备病毒查杀管理模块可采用瑞星企业终端安全代理组件等其它杀毒程序实现。
[0016]具体的,首先,在一台接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,其次,通过内网管理中心策略设置下发,启用可移动存储设备实时监控,一旦可移动设备接入到内网计算机上,可自动对可移动存储设备进行检测扫描(发现可疑执行程序可进行阻断)及病毒查杀,在内网管理中心上可查看到查杀时间、病毒类型、数量等日志信息,通过这些信息汇总可进行相关数据分析,生成报生口 ο
[0017]本发明采用文件系统筛选技术,阻止从可移动存储设备启动可疑相关的执行程序,从而有效阻断病毒程序的传播。
[0018]文件系统筛选驱动程序工作原理:文件系统筛选驱动是针对文件系统而言的,它附着在文件系统上。Windows系统的I/O管理器根据用户的读、写文件等操作请求构造IRP(I/O请求包)发给文件系统驱动,文件系统驱动把相应于文件系统的操作转换为相应于存储设备驱动程序的操作并通过I/O管理器来调用存储设备驱动程序。文件筛选驱动被插入到当前文件系统堆栈中,拦截发往内核模式IRP,通过重新处理这些IRP为当前文件系统提供一些新的功能。发往底层文件系统驱动的IRP被筛选驱动拦截,筛选驱动对拦截到的这些IRP做一些相应的处理,为系统提供一些新的功能或增值服务。
[0019]文件系统筛选驱动的作用:文件筛选驱动可以用于扩展、修改现存的文件系统的功能,为文件系统提供新的功能和服务。
[0020]主要有以下几个用途:
(1)为文件系统提供透明的附加功能。如在文件写过程中对数据进行加密,读的过程中进行解密,数据个性化等过程,针对特殊的过程进行特殊处理,增加文件系统效率等。
(2)病毒检测的功能。当系统在读写文件的时候,捕获读写的数据内容,检测其中是否含有病毒特征码。
(3)使用文件筛选进行数据读写控制,作为防信息泄漏软件的基础。
[0021]本发明还采用了深层病毒扫描查杀技术,当插入可移动存储设备时即可自动扫描查杀如ZIP、ARJ、CAB, LZH和RAR等压缩格式文件病毒;也可以识别多种可执行程序的压缩格式,如PKLITE、LZEXE, WffPACK, ASPACK和UPX等,让那些隐藏极深的病毒也不得不原形毕露。内置高速扫描引擎可以扫描多种格式的压缩文件所生成的文件,包括PKZIP、PKLITE、ARJ、Microsoft Compress、Diet、LZEXE和LZH等多种流行的压缩软件生成的文件。对于多重压缩的文档也提供搜索病毒功能,即一个文档由两种以上的压缩软件后生成的压缩文档,也可以进行搜索病毒,使得隐藏再深的病毒也难以逃脱。
[0022]最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种针对可移动存储设备的病毒检测查杀方法,其特征在于,包括以下步骤: 在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控; 当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。2.根据权利要求1所述的针对可移动存储设备的病毒检测查杀方法,其特征在于,所述病毒日志文件至少包括,查杀时间、病毒类型和病毒数量。
【专利摘要】本发明公开了一种针对可移动存储设备的病毒检测查杀方法,包括以下步骤:在接入内网的终端设备上通过内网管理中心推送或下载方式进行可移动存储设备病毒查杀管理模块安装,并开启可移动存储设备查杀监控;当内网管理中心监控到内网上的终端插入可移动存储设备时,可移动存储设备病毒查杀管理模块自动检测可移动存储设备内的文件,并对检测到的可疑文件进行筛选阻断;然后通过终端设备手动或自动将上述筛选为病毒的文件删除,并上报感染病毒日志文件到内网管理中心,在内网管理中心可查看可移动存储设备感染病毒报告。实现保证企业内网安全的优点。
【IPC分类】G06F21/56, G06F21/85
【公开号】CN104899510
【申请号】CN201510235271
【发明人】崔阿军, 张玉宏, 何辉, 段军红, 张华峰, 闫晓斌, 李方军, 秦睿, 范迪龙, 张驯, 智勇, 戴亮, 龚波, 马之力, 李志茹, 袁晖
【申请人】国网甘肃省电力公司电力科学研究院
【公开日】2015年9月9日
【申请日】2015年5月11日
最新回复(0)