技术摘要：
本发明公开了一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法，包括通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护终端计算机系统的文件打开接口、防护拦截程序拦截所有文件打开操作，获取打开操作所携带的输入参数、防护拦截程序通过打开操  全部
背景技术：
Windows操作系统可以通过平台提供的接口，实现系统内核层文件访问的监控操 作。 PE格式为Windows可执行文件格式，U盘和网络共享为病毒的主要传播途径，病毒 感染前，病毒通常识别文件是否为PE格式，如果符合格式则感染，并执行文件改写操作来完 成病毒传播。 程序启动时，程序系统监控接口获取的操作进程名为文件进程名，由于病毒感染 时操作进程名会写入其他可执行文件，因此被打开文件名和打开进程文件名不同。本方法 通过判断被打开文件名和打开进程文件名是否相等，检测是否有病毒感染行为，实现对U盘 病毒的高效拦截。
技术实现要素：
本发明的主要目的在于提供一种基于Windows操作系统的U盘PE格式文件病毒的 拦截方法，该方法适用于Windows各平台操作系统，通过Windows操作系统文件过滤驱动技 术将防护拦截程序与系统的文件打开接口挂钩，从而实现文件访问监控，杜绝计算机感染 病毒，有效保障终端系统安全。 为了达到上述目的，本发明所采用的技术方案如下： 一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法，包含以下步骤： a．通过Windows操作系统文件过滤驱动技术设定将防护拦截程序挂钩被保护的终端计 算机系统的文件打开接口； b．防护拦截程序拦截所有文件打开操作，获取打开操作所携带的输入参数； 所述打开操作所携带的输入参数包括被打开文件的文件路径名、文件属性对象地址、 当前进程ID； c．防护拦截程序通过打开操作所携带的输入参数转换为文件打开操作的基本信息； 所述文件打开操作的基本信息包括被打开文件路径名、访问进程文件路径名、文件访 问属性； 通过当前进程ID，获取访问进程所在的文件路径名； 通过文件属性对象地址，获取所包含的文件访问权限，文件访问权限包括读、写； d．防护拦截程序判断文件访问属性，如果文件访问属性中包含写权限，继续执行步骤 e；如果文件访问属性中不包含写权限，则执行步骤h； e．防护拦截程序判断被打开文件的文件类型； 所述文件类型包括可执行文件、非可执行文件； 3 CN 111552962 A 说　明　书 2/4 页 防护拦截程序读取被打开文件的头部信息，判断被打开文件是否为PE格式，如果被打 开文件为PE格式，则判断被打开文件为可执行文件，继续执行步骤f；如果被打开文件为非 PE格式，则判断被打开文件为非可执行文件，执行步骤h； f．防护拦截程序判断被打开文件是否需要保护； 通过文件打开操作的基本信息，判断被打开文件是否需要保护，如果被打开文件路径 名和访问进程文件路径名相等，则判定不需保护，执行步骤h；如果被打开文件路径名和访 问进程文件路径名不相等，则判定被打开文件需要设定保护，继续执行步骤g； g．设定文件保护； 防护拦截程序修改被打开文件的文件打开操作的基本信息中的文件访问属性，去掉文 件访问属性中的写权限，并将去掉写属性的文件访问属性更新到打开操作所携带的输入参 数的文件属性对象地址中； h．执行文件操作； 防护拦截程序将被打开文件的文件打开操作的基本信息中的文件访问属性返回给操 作系统； 所述被保护的终端计算机利用Windows操作系统文件过滤驱动技术，监控可执行文件 的打开操作，执行步骤b。 本发明的方法与现有方法对比的有益效果是： 良好的系统兼容性，支持所有Windows操作系统。 具备较强的病毒免疫功能，可以保护文件不被可执行文件传染型病毒传染。 防护措施对系统性能损失较小。传统杀毒软件需要识别PE头之后，根据大量病毒 库识别是否有病毒才能判断是否允许程序运行，而使用本发明的保护方法后，只需要根据 可执行文件写入其他文件的感染动作，确定是否为感染行为，性能大幅度提升。 附图说明 图1为本发明的基于Windows操作系统的U盘PE格式文件病毒的拦截方法的流程 图。