一种恶意软件的防御方法、防御装置以及防御系统与流程

1.本技术涉及计算机安全技术领域，尤其涉及一种恶意软件的防御方法、防御装置以及防御系统。


背景技术：

2.恶意软件是指任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备，还可能会影响与受感染设备通信的其他设备。有些恶意软件可以加密或者修改受害者磁盘驱动器上的文件。
3.这些恶意软件通常用木马病毒的形式传播，例如假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载，也有可能与许多其他蠕虫病毒一样利用操作系统或者应用软件的漏洞计算机之间传播。
4.为降低这些恶意软件对文件的破坏，有研究者提出将受保护的文件复制多份，分别保存在不同的存储位置以实现备份。这样即使一个存储位置上的文件被恶意软件修改或加密，还可以从其他的存储位置上获得备份的文件。然而这种方式将大大提高文件的存储成本和管理维护难度，代价很高。


技术实现要素：

5.本技术实施例提供一种恶意软件的防御方法，用以降低对恶意软件进行防御时的代价和难度，提高对恶意软件防御的有效性。
6.第一方面，提供了一种恶意软件的防御方法。该方法由恶意软件的防御系统执行。防御系统在包括n个原有文件的受保护文件夹中添加m个元素文件，使得当根据文件名对所述受保护文件夹中的所有文件排序时，所述m个元素文件中的一个元素文件排在所述n个原有文件之前，m大于等于1，n大于等于1。防御系统监控所述m个元素文件是否被访问。如果所述m个元素文件中的元素文件被访问，防御系统终止访问所述元素文件的进程，所述进程被认为与恶意软件相关。
7.本技术实施例通过元素文件对受保护文件夹中的原有文件进行保护。当某一可疑进程访问受保护文件夹中的文件时，元素文件首先被访问，此时防御系统能够及时终止可疑进程，从而保护受保护文件夹中的原有文件免于被可疑进程加密或修改。该防御方案实施时无需对原有文件进行大量复制和分布存储，避免占用大量存储资源，也节约了维护管理多个原有文件副本所需耗费的处理资源，从而降低了防御代价。
8.可选地，在第一方面的一种可能的实现方式中，防御系统在生成元素文件时，根据受保护文件夹中的原有文件的文件名确定元素文件的文件名。即m个元素文件中每个元素文件的文件名是根据所述n个原有文件中至少一个原有文件的文件名确定的。
9.由于一个文件夹的文件名列表中文件名的默认排序方式是根据文件名进行排序，因此根据原有文件的文件名生成元素文件的文件名能够确保m个元素文件中的一个元素文件排在受保护文件夹的所有原有文件之前。这样排在受保护文件夹的所有原有文件之前的
元素文件能对受保护文件夹中的所有原有文件提供保护，实现完善的防御效果。
10.可选地，在第一方面的一种可能的实现方式中，排在所述n个原有文件之前的元素文件是根据基准原有文件生成的，其中，基于所述防御系统的默认文件名排序方式，所述基准原有文件排在所述n个原有文件的第一个。在确定元素文件之前，先从n个原有文件中确定基准原有文件，再根据基准原有文件的文件名以及默认文件名排序方式生成元素文件的文件名，能够提高生成元素文件的效率。
11.可选地，在第一方面的一种可能的实现方式中，防御系统确定所述n个原有文件中属于目标类别的目标原有文件。然后防御系统从所述目标原有文件中获得第一原有文件，其中，基于所述防御系统的默认文件名排序方式，所述第一原有文件的文件名在所述目标原有文件的文件名中排在第一个。防御系统生成第一元素文件，所述第一元素文件属于所述目标类别，且基于所述默认文件名排序方式，所述第一元素文件的文件名排在所述第一原有文件的文件名之前。
12.根据文件名的首字符，受保护文件夹中的原有文件被分为多种不同类别。虽然不同操作系统根据文件名对受保护文件夹中的所有文件排序时，采用的默认排序方式可能有所差异，但是同类文件名的排序方式具有相似性，即按照首字符在ascii表中对应的数值的大小顺序。因此按照原有文件的类别生成元素文件这种生成元素文件的方式，具有较好的通用性。
13.可选地，操作系统根据文件名对受保护文件夹中的所有文件排序时，默认文件名排序方式是同类文件文件名的首字符在美国信息交换标准代码(american standard code for information interchange，ascii)表中对应的数值从小到大的顺序，或者所述默认文件名排序方式是同类文件文件名的首字符在ascii表中对应的数值从大到小的顺序。
14.可选地，在第一方面的一种可能的实现方式中，防御系统通过挂钩hook方式监控所述防御系统中的预定应用编程接口(application programming interface，api)。如果通过hook方式监控到所述预定api被调用，防御系统获得所述预定api被调用时的参数；如果所述参数中包括所述至少一个元素文件中的元素文件的文件名，则确定所述元素文件被访问；如果所述参数中未包括所述元素文件的文件名，则确定所述该m个元素文件中的元素文件未被访问。可选地，被监控的api是用于获取文件名列表的api，例如windows操作系统中的findfirstfile(),findnextfilea()等。
15.通过hook机制，防御系统能够可靠地监控到元素文件被正在运行的一个进程访问，从而有利于后续终止可疑的进程。
16.可选地，在第一方面的一种可能的实现方式中，防御系统在监控到有一个进程正在访问元素文件时，对进程的合法性进行检测，然后根据检测结果确定是否终止该进程，这样能够避免操作系统的正常功能及人员的正常操作不会被错误地阻断。具体地，防御系统获取所述进程的访问参数，所述访问参数包括进程名、产生所述进程的程序名、访问时间、或被访问的元素文件的文件名。防御系统比较所述进程的访问参数与设定的访问参数范围，如果所述进程的访问参数不属于所述访问参数范围，终止所述进程。其中设定的访问参数范围是根据历史上因操作系统的正常功能及人员的正常操作而运行的正常进程对所述至少一个元素文件的访问行为获得的。
17.第二方面，本技术实施例还提供了一种恶意软件的防御系统。该防御系统包括存
储器和至少一个处理器，所述存储器用于存储指令。所述至少一个处理器调用所述存储器中保存的指令，使得所述防御系统执行上述第一方面、或第一方面的任意一种可能的实现方式所描述的方法。
18.第三方面，本技术实施例还提供了一种恶意软件的防御装置，该防御装置具有实现上述第一方面所述方法或上述方面的任意一种可能的实现方式的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
19.第四方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质用于储存为上述防御系统所用的计算机软件指令，指令中包含用于执行上述第一方面或上述方面的任意一种可能的实现方式所设计的程序。
20.第五方面，本技术实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意一种可能的实现方式中所述的方法。
21.第六方面，本技术实施例提供了一种芯片，包括存储器和处理器，存储器用于存储计算机指令，处理器用于从存储器中调用并运行该计算机指令，以执行上述第一方面及其第一方面任意可能的实现方式中的方法。
附图说明
22.为了更清楚地说明本技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
23.图1为本技术实施例提供的一种恶意软件的防御方案的应用场景示意图；
24.图2为本技术实施例提供的另一种恶意软件的防御方案的应用场景示意图；
25.图3为本技术实施例提供的一种恶意软件的防御方法的流程示意图；
26.图4为本技术实施例中ascii表的示意图；
27.图5为本技术实施例提供的一种恶意软件的防御方法的流程示意图；
28.图6为本技术实施例提供的一个实例中包含若干原有文件的受保护文件夹的示意图；
29.图7为本技术实施例提供的一个实例中针对图6所示的受保护文件夹，生成的多个元素文件的示意图；
30.图8为本技术实施例提供的一个实例中添加了图7所示元素文件之后的受保护文件夹的示意图；
31.图9为本技术实施例提供的一种防御系统的结构示意图；
32.图10为本技术实施例提供的一种防御装置的结构示意图。
具体实施方式
33.下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。
34.本技术实施例提供了一种恶意软件的防御方案，该方案通过精心构造的元素文件对作为保护对象的文件进行保护。本技术实施例的基本思路是针对受保护文件夹(即受保护文件所在的文件夹)，生成元素文件，并将元素文件添加在目标文件夹中。以使得当根据文件名对所述受保护文件夹中的所有文件排序时，存在一个元素文件排在所有原有文件之前。在本技术实施例中，原有文件是指是元素文件被添加在所述受保护文件夹中之前，受保护文件夹中已存在的文件。
35.在一个进程对受保护文件夹整体进行加密之前需要先访问受保护文件夹中的文件。由于元素文件排在所有原有文件之前，因而元素文件早于原有文件先被访问。这样通过监控元素文件是否被访问，并且在监控到元素文件被访问时及时终止访问元素文件的可疑进程，能够避免受保护文件夹中的原有文件被可疑进程加密。这里的可疑进程与恶意软件相关，例如所述进程是恶意软件运行生成的。通过加密或者修改受害者磁盘驱动器上的文件的方式对受害者计算机系统进行破坏的恶意软件的一个例子是勒索软件(ransomware)，又称勒索病毒。
36.本技术实施例提供的恶意软件的防御方案由防御系统执行。该方案应用场景具有广泛的通用性。例如，防御系统是网络任意位置上的多种不同类型的计算设备或者多种计算设备组成的系统。本技术对每个计算设备的操作系统没有限定。图1至图2是两种典型的应用场景的示例，而并非对应用场景的限制。
37.图1是一种应用场景的示意图。防御系统是通过无线网络与互联网连接的个人计算机、服务器、笔记本电脑、虚拟机、可穿戴设备、智能手机、智慧屏电视、扫地机器人、投影仪、平板电脑、交换机、无线接入点(access point，ap)设备、智能汽车等等具备计算能力和网络连接能力的设备。可选地，上述无线网络包括移动网络、无线局域网(wireless local area network，wlan)或者无线热点(wifi)网络等。移动网络包括长期演进(英文：long term evolution，lte)网络，新一代无线接入技术(new radio access technology，nr)网络等。防御系统例如是图1中的智能手机101和103、投影仪104,、打印机105、智能汽车102。
38.图2是另一种应用场景示意图。防御系统是通过接入交换机或者接入网关连入互联网的园区网络中的个人计算机、服务器、或者物联网设备(如柜式采集站、智能摄像头)。或者该防御系统是交换机、路由器、或者防火墙等设备。防御系统还可以是由多个设备组成的系统。例如，防御系统是图2中的主机201、虚拟机202、视频电话终端203、智能摄像头204、柜式采集站205、交换机206、防火墙设备207、或网关208等，也可以是由图2中的部分设备组成的系统。
39.附图3是本技术实施例提供的恶意软件的防御方法的流程图。附图3主要从一个防御系统的角度，对恶意软件的防御方案的原理进行说明。可选地，附图3中的防御系统是附图1中智能手机101和103、投影仪104、打印机105、智能汽车102，或者附图2中的主机201、虚拟机202、视频电话终端203、智能摄像头204、柜式采集站205、交换机206、防火墙设备207、网关208中的任意一个。
40.附图3所示的流程包括步骤300～步骤302。
41.步骤300，在包括n个原有文件的受保护文件夹中添加m个元素文件，使得当根据文件名对所述受保护文件夹中的所有文件排序时，所述m个元素文件中的一个元素文件排在所述n个原有文件之前，m大于等于1，n大于等于1。
42.在本技术实施例中受保护文件夹是指受保护文件所在的文件夹。受保护文件是指对于文件所有者有价值的、应避免成为恶意软件攻击对象的文件。在对该受保护文件执行保护操作之前，该受保护文件夹中的所有已经存在的文件即为原有文件。本技术中假设受保护文件夹中包括n个原有文件。可选地，如果受保护文件夹中的所有文件均为受保护文件，则受保护文件等同于原有文件；如果受保护文件夹中的部分文件为受保护文件，则受保护文件是原有文件的子集。网络管理员或者防御系统的用户可以通过命令行、图形用户接口(graphical user interface，gui)等方式设置受保护文件或者受保护文件夹。磁盘驱动器也是受保护文件夹的一个实例，例如受保护文件夹是磁盘驱动器“c:\”。
43.在本技术实施例中，元素文件是防御系统为达到防范恶意软件的目的，为受保护文件夹生成的文件。元素文件被保存到受保护文件夹后，能够对受保护文件夹中的原有文件起到保护作用。
44.防御系统在受保护文件夹中添加元素文件，可以是直接在受保护文件夹中生成该元素文件，也可以是先生成该元素文件，再将该元素文件添加到该受保护文件夹中。可选地，防御系统在生成元素文件时，防御系统可以以任意方式生成该元素文件的内容，只要保证当根据文件名对所述受保护文件夹中的所有文件排序时，所述m个元素文件中的一个或多个元素文件排在所述n个原有文件之前即可。例如，防御系统设置元素文件的内容为空、或者将预定内容复制为该元素文件的内容、或者将防御系统中任意一个原有文件的内容复制为该元素文件的内容。可选地，元素文件在文件格式、文件属性、文件图标、文件对应内容、编码方式等方面与原有文件类似。
45.在许多场景中，操作系统中的进程都需要获取一个文件夹的文件名列表。例如当一个进程访问一个文件之前，先要获取该文件所在的文件夹的文件名列表以展示文件夹的视图界面，以便于用户从视图界面中选择待访问的文件；或者对整个文件夹进行整体性加密之前，先要获得文件夹的文件名列表以确定作为加密对象的文件。文件名排序方式是防御系统中的进程通过调用操作系统提供的api来获取一个文件夹的文件名列表时，文件名列表中文件名的排序方式。文件名排序方式可能有多种，例如根据文件大小进行排序，根据文件创建或最后修改时间进行排序、根据文件名进行排序等等。无论采用哪种排序方式，只要保证对受保护文件夹中的文件进行排序时，一个元素文件排在所有原有文件之前，就能实现通过元素文件对所有原有文件进行保护。在大多数操作系统中，默认的文件名排序方式通常是根据文件名进行排序。
46.后面将结合多种不同的文件名排序方式对生成元素文件的过程进行举例说明，例如防御系统可以根据受保护文件夹中原有文件的文件名生成元素文件的文件名，也可以不依赖于受保护文件夹中原有文件的文件名生成元素文件的文件名。
47.步骤301，监控所述m个元素文件是否被访问。
48.如果m个元素文件中有一个元素文件被访问，则执行步骤302；如果m个元素文件均未被访问则继续执行步骤301。
49.在本技术实施例中一个文件被访问包括但不限于该文件的文件名被获取，该文件被读写等等。
50.可选地，防御系统通过监控防御系统中的预定api是否被调用来监控元素文件是否被访问。当监控到所述预定api被调用时，获得所述预定api被调用时的参数，所述参数包
括文件名。如果预定api被调用时的参数中包括该m个元素文件中的元素文件的文件名，则确定所述m个元素文件中的元素文件被访问。
51.可选地，上述预定api包括用于对文件进行查找、读取等操作的api。以windows操作系统为例，这些api包括用于获取文件名列表的api，如findfirstfile(),findnextfilea()等。不同的操作系统，用于对文件进行操作的api也会有所差异。
52.可选地，在不同的操作系统中，可采用的具体监控方式也会有所差异。例如windows操作系统、linux操纵系统、emacs操作系统和ios操作系统通常都支持挂钩编程(hooking)，利用hooking能够监控预定api是否被调用。
53.hooking是指通过拦截软件模块间的函数调用、消息传递、事件传递来修改或扩展操作系统、应用程序或其他软件组件的行为的技术。用于处理被拦截的函数调用、事件、消息的代码，被称为钩子。在本实施例中，被拦截的预定的api包括上述用于对文件进行查找、读取等操作的api。当通过hooking方式拦截到所述预定api被调用时，用钩子对拦截到的函数调用执行以下处理：获得所述预定api被调用时的参数，所述参数包括文件名；判断预定api被调用时的参数中是否包括该m个元素文件中元素文件的文件名。如果预定api被调用时的参数中包括该m个元素文件中元素文件的文件名，确定该m个元素文件中的元素文件被访问；如果预定api被调用时的参数中不包括该m个元素文件中元素文件的文件名，则确定该m个元素文件中的元素文件未被访问。
54.步骤302，如果所述m个元素文件中的元素文件被访问，则终止访问所述元素文件的进程。所述进程与恶意软件相关，例如所述进程是恶意软件运行生成的。
55.防御系统终止一个进程的方式与操作系统有关，不同的操作系统有不同的终止进程的机制。以windows操作系统为例，防御系统通过调用特定的api来关闭指定进程，例如防御系统调用terminateprocess()指示任务管理器终止某个进程。
56.本技术实施例中防御系统首先生成元素文件并将生成的元素文件添加到受保护文件夹中，使得当根据文件名对所述受保护文件夹中的所有文件排序时，存在一个元素文件排在受保护文件夹中所有原有文件之前。这样，当某一可疑进程访问受保护文件夹中的文件时，元素文件首先被访问，从而实现对受保护文件夹中的原有文件进行保护。防御系统监控元素文件是否被访问来发现可疑进程，并及时终止可疑进程，从而保护受保护文件夹中的原有文件免于被可疑进程加密或修改。这种防御方案实施时无需对原有文件进行大量复制和分布存储，避免占用大量存储资源，也节约了维护管理多个原有文件副本所需耗费的处理资源，从而降低了防御代价。
57.在防御系统实际运行过程中，元素文件可能会被系统进程或人员的正常操作访问。例如：windows操作系统初始化受保护文件夹的视图界面时会访问受保护文件夹中的元素文件。
58.可选地，为保证操作系统能正常提供功能，不影响用户体验，防御系统对访问元素文件的进程预先设定一个访问参数范围。该访问参数范围实质上起到了白名单的功能。该访问参数范围是通过预先的学习阶段获取的。学习阶段是在一个相对安全的环境中执行的。例如，当防御系统刚刚运行过杀毒软件并根据杀毒软件的查杀结果确认防御系统中不存在安全隐患的情况下，认为是相对安全的环境。可选地，防御系统为学习阶段设置一个默认时长或者允许管理员通过命令行接口为学习阶段设置一个时长，例如学习阶段的默认时
长为一周。在学习阶段，防御系统在监控到受保护文件夹中的元素文件被访问时，不执行附图3中步骤302所示的处理，即暂时关闭防御功能。在工作阶段，防御系统执行附图3所示的流程，即开启防御功能。
59.在学习阶段，防御系统在监控到元素文件被访问时，记录访问元素文件的进程的相关行为信息，例如产生进程的程序名、访问时间、访问了哪些元素文件等信息。这些记录的信息有助于设置上述访问参数范围。例如，通过人工分析、或者机器学习的方法基于记录的信息确定访问参数范围。通过学习阶段记录的信息，防御系统获取上述访问参数范围，保证在后续工作阶段操作系统的正常功能及人员的正常操作不会被防御系统错误地阻断。例如，监测到进程访问该m个元素文件中的一个元素文件时，该防御系统获取所述进程的访问参数，比较所述进程的访问参数与设定的访问参数范围，如果所述进程的访问参数不属于所述访问参数范围，终止所述进程。所述访问参数包括进程名、产生所述进程的程序名、访问时间、或被访问的元素文件的文件名。
60.接下来，本技术将对生成元素文件的过程进行详细说明。在介绍生成元素文件的过程之前，先对根据文件名对受保护文件夹中文件进行排序所采用排序方式进行简单说明。
61.操作系统中的文件名是通过ascii表示的。ascii表定义了计算机操作系统中的可显示字符在存储器中的表达形式。图4是ascii表的示意图。参照图4，ascii表中规定了可显示字符用哪些对应的(二进制、十进制或者十六进制)数值来表示。ascii表使用指定的7位或8位二进制数组合来表示128或256种可能的字符。为了简明起见，在本技术实施例后续描述中使用十进制数值指示ascii表中对应的字符。
62.一个文件的文件名是由ascii表中的字符组成的。具体地，文件名包括字母、符号、数字、或者文件名包括字母、符号、数字中任意至少两种的组合。字母包括26个英文字母。数字包括0至9。符号包括空格(space)符、“！”、“#”、“％”、“&”、“*”等等。
63.ascii表中符号对应的数值范围是32～47(32是空格)、58～64、91～96、123～126是。ascii表中0到9这十个阿拉伯数字对应的数值范围为48～57。
64.ascii表中26个大写英文字母对应的数值范围是65～90，26个小写英文字母对应的数值范围是97～122。
65.在根据文件名对所述受保护文件夹中的所有文件排序时，默认文件名排序方式通常与文件名的首字符在ascii表中对应的数值有关。
66.根据文件名的首字符的类别不同，计算机文件系统所管理的文件可被分为多种类别，包括但不限于：文件名的首字符是符号的文件、文件名的首字符是数字的文件、文件名的首字符是字母的文件、文件名的首字符是汉字的文件、文件名的首字符是日语的文件等等。
67.可选地，默认文件名排序方式包括同类文件名的首字符在ascii表中对应的数值从小到大的顺序、或同类文件名首字符在ascii表中对应的数值从大到小的顺序。
68.在受保护文件夹中同时存在多种不同类别的文件名时，两个不同类别文件的文件名的先后顺序可能遵循文件名的首字符在ascii表中对应的数值从小到大的顺序，也可能不遵循文件名的首字符在ascii表中对应的数值从小到大的顺序。这与防御系统有关。虽然上述默认文件名排序方式适用于多数操作系统，但考虑到实际应用中操作系统之间存在差
异，还可能有其他默认文件名排序方式，在这里不再一一列举。
69.可选地，默认文件名排序方式在两个文件名的首字符相同的情况下，在获取两个文件名的第二个字符。在第二个字符不同的情况下，再基于两个文件名的第二个字符在ascii表中对应的数值进行排序，依次类推，直到找到两个文件名中产生差异的字符，并根据产生差异的字符在ascii表中对应的数值进行排序。后缀名被视为文件名中的一部分。文件名从整体上作为一个字符串作为排序的依据。
70.例如受保护文件夹中包括两个原有文件，这两个原有文件的文件名分别为“a网络介绍.doc”和“a网络介绍.ppt”。当受保护文件夹的文件名列表被获取时，由于这两个原有文件名的前6个字符均为“a网络介绍.”，因此在排序时根据这两个原有文件的文件名中的第7个字符进行排序，文件名“a网络介绍.doc”的第7个字符是d，字符d在ascii表对应100。文件名“a网络介绍.ppt”的第7个字符是p，字符p在ascii表对应112。因此在受保护文件夹的文件名列表被获取时，在默认文件名排序方式为首字符在ascii表中对应的数值从小到大的顺序的情况下，“a网络介绍.doc”排在“a网络介绍.ppt”之前。
71.下面以几个例子对默认文件名排序方式进行说明。
72.假定受保护文件夹中包含2个原有文件，这两个原有文件属于文件名首字符是字母的文件。两个原有文件的文件名分别为“a网络介绍.ppt”、“b系统说明.ppt”。文件名“a网络介绍.ppt”的首字符a在ascii表对应97，文件名“b系统说明.ppt”的首字符b在ascii表对应98。因此当受保护文件夹文件名列表被获取时，基于默认文件名排序方式，文件名“a网络介绍.ppt”排第一个，文件名“b系统说明.ppt”排在第二个，即文件名“a网络介绍.ppt”排在文件名“b系统说明.ppt”之前。
73.又例如，假定受保护文件夹中包含3个原有文件，这三个原有文件属于文件名首字符是数字的文件。三个原有文件的文件名分别为“2_24test1_97pe9x.pdf”,“2_24test1_pbc4ip.pdf”和“4.1.67.134(2018-9-10 16_57_59).txt”。文件名“2_24test1_97pe9x.pdf”和“2_24test1_pbc4ip.pdf”对应的首字符2在ascii表对应50，文件名“4.1.67.134(2018-9-10 16_57_59).txt”的首字符4在ascii表对应52。文件名“2_24test1_97pe9x.pdf”和“2_24test1_pbc4ip.pdf”前10个字符相同，在第11个字符产生差异，产生差异的字符分别是9和p，9在ascii表对应50，p在ascii表对应112。因此当受保护文件夹文件名列表被获取时，基于默认文件名排序方式，文件名“2_24test1_97pe9x.pdf”排第一个，文件名“2_24test1_pbc4ip.pdf”排在第二个，文件名“4.1.67.134(2018-9-10 16_57_59).txt”排第三个。
74.又例如，假定受保护文件夹包含3个原有文件，这三个原有文件属于文件名首字符是汉字的文件。三个原有文件的文件名分别为“安全报告.docx”,“工程能力自动化.ppt”和“软件介绍.docx”。由于汉字的数量远远大于256，因此不能直接用ascii表中的数字指示。在中国大陆地区是按照首个汉字拼音的首字母在ascii表中对应的数值从小到大的顺序排序，例如“安全报告.docx”中首个汉字拼音的首字母是a，“工程能力自动化.ppt”中首个汉字拼音的首字母是g，“软件介绍.docx”中首个汉字拼音的首字母是r。由于在ascii表中a对应的数值是98，g对应的数值是103，r对应的数值是114。那么“安全报告.docx”排第一个，“工程能力自动化.ppt”排第二个，“软件介绍.docx”排第三个。在香港是在首个汉字笔画数目排序。汉字的其他排序方式、以及日语等其他语种的排序方式在这里不再一一列举。
75.在前面提及的几种文件类别中，文件名的首字符是符号的文件、文件名的首字符是数字的文件、文件名的首字符是字母的文件，这三种类别具有较高的通用性，因此在本技术实施例中进行详细说明。
76.可以理解，后缀名在文件名中相对靠后的位置，而在大多数情况下，在对多个文件名进行排序时，仅根据文件名靠前的一两个字符就可以得到先后顺序，因此后缀名对文件名排序的影响较小。因此，防御系统在生成元素文件时，对如何生成元素文件的文件名中的后缀名并没有特殊限制，例如，从后缀名集合中随机选择一个后缀名作为元素文件的后缀名，或者将受保护文件夹中同类原有文件中任意一个原有文件的文件名中的后缀名作为元素文件的后缀名，或者将包含受保护文件夹中同类原有文件的文件名的子列表中指定位置的文件名中的后缀名作为元素文件的后缀名等等，在这里难以进行一一列举。
77.可选地，防御系统为了实现元素文件被添加到受保护文件夹后，根据文件名对所述受保护文件夹中的所有文件排序时，元素文件排在第一位这一目的，在生成元素文件的文件名时，采用以下多种命名方式中的一种或多种。
78.方式一
79.防御系统无需参考受保护文件夹中原有文件的文件名，而是直接根据ascii表生成元素文件。例如，由于符号“！”在ascii表中对应的数值是33，是ascii表中最靠前的可显示字符。符号“～”在ascii表中对应的数值是126，是ascii表中最靠后的可显示字符。防御系统生成一个文件名为“！.docx”的元素文件、并生成一个文件名为“～.docx”的元素文件。可选地，这两个元素文件的内容为空、或者与任意一个原有文件的内容相同。
80.防御系统将这两个元素文件添加在受保护文件夹中。那么，无论默认文件名排序方式是同类文件名首字符在ascii表中对应的数值从小到大的顺序，还是同类文件名首字符在ascii表中对应的数值从大到小的顺序，在这两个元素文件被添加至受保护文件夹之后，在更新后的受保护文件夹文件名列表中排在第一位的都是元素文件的文件名。
81.然而，在一些操作系统的默认文件名排序方式，两个不同类别文件的文件名的先后顺序可能并不遵循首字符在ascii表中对应的数值从小到大的顺序。例如名为“～.docx”的元素文件并不是排在所有文件名的最后1位，而是排在首字符为数字的所有文件名之前。换句话说，如果默认文件名排序方式是文件名首字符在ascii表中对应的数值从大到小的顺序，将文件名为“～.docx”的元素文件添加至受保护文件夹后，在文件名列表中，元素文件的文件名“～.docx”在排在首字符为数字的所有原有文件的文件名之后，因此并不能对文件类别为文件名首字符为数字的原有文件进行保护。
82.通过上面的分析可知，按照方式一所描述的元素文件的生成方式生成的元素文件可能难以达到最佳防御效果。
83.可选地，防御系统针对每种类别文件分别生成两个元素文件，其中，基于同类文件名首字符在ascii表中对应的数值从小到大的顺序，第一个元素文件的文件名是最靠前的，第二个元素文件的文件名是最靠后的。例如针对文件名首字符是数字的文件，生成两个元素文件，分别为名为“0.docx”的文件和名为“9.docx”的文件。对于其他可能的文件类别，类似地均生成两个元素文件。这种方式简单易行、防御效果也较好。但是在受保护文件夹中原有文件所属的文件类别较少时，可能会出现一些实际上无用的元素文件，对存储空间造成少量浪费。例如受保护文件夹中仅存在首字符是符号的文件，那么针对文件名首字符是数
字的文件类别、以及文件名首字符是字母的文件类别所生成的几个元素文件是没必要的。
84.方式二
85.防御系统根据受保护文件夹中原有文件的文件名生成元素文件的文件名。换句话说，在图3步骤300中，m个元素文件中每个元素文件的文件名是根据n个原有文件中至少一个原有文件的文件名确定的。
86.可选地，在附图3步骤300中，排在所述n个原有文件之前的元素文件是根据基准原有文件生成的。其中基准原有文件是基于所述防御系统的默认文件名排序方式，排在所述n个原有文件的第一个的文件。只要保证根据所述默认文件名排序方式，生成一个元素文件排在基准原有文件之前，就可以保证该生成的元素文件排在所述n个原有文件之前。
87.例如，假定受保护文件夹中包含4个原有文件，这四个原有文件的文件名分别为“a网络介绍.ppt”、“b系统说明.ppt”、“2_24test1_97pe9x.pdf”和“安全报告.docx”。防御系统在生成元素文件之前，先根据默认文件名排序方式对受保护文件夹中的4个原有文件进行排序从而得到文件名列表。在文件名列表中的“a网络介绍.ppt”排第一位，“b系统说明.ppt”排第二位，“2_24test1_97pe9x.pdf”排第三位，“安全报告.docx”排第四位。
88.在文件名列表中第一个的文件名为“a网络介绍.ppt”。其中基准原有文件即为文件名为“a网络介绍.ppt”的原有文件。然后，防御系统根据基准原有文件的文件名“a网络介绍.ppt”，生成一个元素文件，该元素文件的文件名为“a a.xlsx”，内容为空。这样将名为“a a.xlsx”、内容为空的元素文件添加到受保护文件夹后，能够对保护文件夹中的2个原有文件起到防护作用。
89.在实际中，由于受保护文件夹中可能同时包含多种不同类别文件的文件名，例如包含几个文件名首字符是符号的文件、以及几个文件名首字符是数字的文件等等。经过对现有多种不同操作系统的默认文件名排序方式进行分析发现，虽然不同操作系统根据文件名对受保护文件夹中的所有文件排序时，采用的默认排序方式可能有所差异，但是对于同类文件名，不同操作系统的排序方式是相似的，即按照首字符在ascii表中对应的数值的大小顺序。因此，分别针对上述每种不同类别的文件，分别生成至少一个元素文件，使得在每类文件各自对应的文件名子列表中，有一个元素文件的文件名排在第一位。这就能够保证将生成的元素文件添加到受保护文件夹后，受保护文件夹的文件名列表中排名第一位的是元素文件的文件名。
90.例如，受保护文件夹中同时包含上述三种类别文件。按照文件类别的不同，根据受保护文件夹中的原有文件，防御系统生成三个子列表。基于默认文件名排序方式，防御系统针对文件名首字符是符号的文件对应的第一子列表，生成第一元素文件，第一元素文件的文件名在第一子列表中的所有原有文件的文件名之前。防御系统针对文件名首字符是数字的文件对应的第二子列表，生成第二元素文件，第二元素文件的文件名在第二子列表中的所有原有文件的文件名之前。防御系统针对文件名首字符是字母的文件对应的第三子列表，生成第三元素文件，第三元素文件的文件名在第三子列表中的所有原有文件的文件名之前。通过这三个新生成的元素文件，就能保证将这三个元素文件添加到受保护文件夹后，受保护文件夹的文件名列表中排名第一位的是元素文件的文件名。
91.可选地，为了实现更佳的防护效果，防御系统针对每个子列表，再额外生成一个元素文件，该额外生成的元素文件的文件名在子列表中所有原有文件的文件名之后。例如，针
对文件名首字符是符号的文件对应的第一子列表，生成第四元素文件，第四元素文件的文件名在第一子列表中的所有原有文件的文件名之后。
92.这样无论默认文件名排序方式是同类文件名首字符在ascii表中对应的数值从小到大的顺序、还是同类文件名首字符在ascii表中对应的数值从大到小的顺序，当针对同一类文件生成的两个元素文件被添加到受保护文件夹后，文件名子列表中排在第一位的总是元素文件。
93.通过上述描述可以看出，受保护文件夹的文件名列表实际上是由每种不同类别的文件分别对应的子列表组成的。防御系统从受保护文件夹中原有文件的文件类别中，选择基于默认文件名排序在前的文件类别。并进一步获得第一子列表，第一子列表中包含受保护文件夹中文件类别为选择出的文件类别的原有文件的文件名。
94.防御系统针对第一子列表，生成一个元素文件。基于默认文件名排序，该元素文件的文件名在第一子列表中包含的所有原有文件名之前。也就是说，当生成的元素文件被添加到受保护文件夹后，基于默认文件名排序，在更新后的第一子列表中，元素文件的文件名排在第一位。这就能够保证生成的元素文件被添加到受保护文件夹后，受保护文件夹的文件名列表中排名第一位的是元素文件的文件名。
95.例如，受保护文件夹中包含的文件有两类，分别是文件名首字符是数字的文件、和文件名首字符是字母的文件。由于这两类文件的文件名中，数字在ascii表中数值范围是48～57，字母在ascii表中数值范围是65～90、97～122。因此只需要针对文件名首字符是数字的这一类文件，生成一个元素文件(记为元素文件1)。基于默认文件名排序，元素文件1的文件名在文件名首字符是数字的文件对应的子列表中所有原有文件的文件名之前。这样，就可以保证元素文件1被添加至受保护文件夹后，受保护文件夹的文件名列表中排名第一位的是元素文件的文件名。可选地，为了实现更佳的防护效果，防御系统针对文件名首字符是字母的文件，再额外生成一个元素文件(记为元素文件2)，元素文件2的文件名在文件名首字符是字母的所有原有文件的文件名之后。这样将元素文件1和元素文件2添加至受保护文件夹后，无论默认文件名排序方式是同类文件名首字符在ascii表中对应的数值从小到大的顺序、还是同类文件名首字符在ascii表中对应的数值从大到小的顺序，文件名列表中排在第一位的总是元素文件。
96.上面所列举的方式二实质上是根据受保护文件夹中的原有文件的文件名，生成元素文件。方式一在生成元素文件时无需参考受保护文件夹中的原有文件的文件名。两种方式各有优势。其中方式二防御效果较好、方式二的实施复杂性高于方式一。
97.防御系统根据受保护文件夹中原有文件的文件名，生成的元素文件的数量可能为一个或者多个。
98.在下面的实施例中将结合更为详尽的实例，对采用方式二生成元素文件的过程进行说明。在上述实施例提及的方式二中，防御系统针对上述每种不同类别的文件名，分别生成一个或多个元素文件，下面以几种类别的文件名分别进行举例说明。
99.附图5为在受保护文件夹中的原有文件属于一个或多个文件类别情况下，防御系统生成元素文件的过程。在这种情况下，防御系统生成元素文件的过程如附图5所示。
100.步骤500，防御系统从受保护文件夹包含的n个原有文件中属于目标类别的原有文件。
101.为简明起见，这里将“n个原有文件中属于目标类别的原有文件”称为目标原有文件。
102.步骤510，防御系统从目标原有文件中获得第一原有文件，其中基于默认文件名排序方式，第一原有文件的文件名在目标原有文件的文件名中排在第一个。
103.步骤520，防御系统生成第一元素文件，所述第一元素文件属于所述目标类别，且基于默认文件名排序方式，所述第一元素文件的文件名排在所述第一原有文件的文件名之前。
104.可选地，为了适应多种可替换的默认文件名排序方式，对受保护文件夹中的原有文件进行更完善的保护，附图5所示的流程还包括步骤530和步骤540。
105.步骤530，防御系统从所述目标原有文件中获得第二原有文件，其中，基于所述默认文件名排序方式，所述第二原有文件的文件名在所述目标原有文件的文件名中排序在最后一个。
106.步骤540，防御系统生成第二元素文件，所述第二元素文件属于所述目标类别，且基于所述默认文件名排序方式，所述第二元素文件的文件名排在所述第二原有文件的文件名之后。
107.通过步骤530至步骤540，防御系统具有更好的通用性，即便还存在另一种可替换的默认文件名排序方式是同类文件名首字符在ascii表中对应的数值从大到小的顺序，那么生成的第二元素文件在受保护文件夹作为一个整体被加密时，仍然是加密过程中第一个被访问的文件，从而触发防御系统终止访问第二元素文件的进程，实现保护受保护文件夹中的原有文件的目的。
108.附图5所示的流程中，目标类别包括文件名的首字符是符号的文件，或文件名的首字符是数字的文件，或文件名的首字符是字母的文件。可选地，目标类别还包括文件名的首字符是汉字的文件、文件名的首字符是日文的文件等等。
109.下面结合一个具体例子进行描述。
110.受保护文件夹中的原有文件如图6所示，共包含9个文件。这9个原有文件的文件名分别为：“(业务报告)v1.docx”、“2_24test1_97pe9x.pdf”、“2_24test1_pbc4ip.pdf”、“4.1.67.134(2018-9-10 16_57_59).txt”、“a网络介绍.ppt”、“b系统说明.ppt”、“安全报告.docx”、“工程能力自动化.ppt”和“软件介绍.docx”。
111.其中，受保护文件夹中属于首字符是符号的文件这一类别的原有文件是文件名为“(业务报告)v1.docx”的文件；受保护文件夹中属于文件名的首字符是数字的文件这一类别的原有文件是文件名分别为“2_24test1_97pe9x.pdf”、“2_24test1_pbc4ip.pdf”、“4.1.67.134(2018-9-10 16_57_59).txt”的三个文件；受保护文件夹中属于文件名的首字符是字母的文件这一类别的原有文件是文件名分别为“a网络介绍.ppt”、“b系统说明.ppt”的两个文件；受保护文件夹中属于文件名的首字符是字母的文件这一类别的原有文件是文件名分别为“安全报告.docx”、“工程能力自动化.ppt”和“软件介绍.docx”的三个文件。
112.以下将对目标类别分别是文件名的首字符是符号的文件、文件名的首字符是数字的文件，或文件名的首字符是字母的文件这三种情况，详细说明生成元素文件的过程。
113.(一)目标类别是文件名的首字符是符号的文件的情况
114.防御系统获取图6所示的受保护文件夹中文件名为“(业务报告)v1.docx”的文件，
该文件是受保护文件夹中属于文件名的首字符是符号的文件这一文件类别的唯一一个原有文件。
115.假定默认文件名排序方式是同类文件名首字符在ascii表中对应的数值从小到大的顺序。由于文件名“(业务报告)v1.docx”的首字符“(”在ascii表中对应40，那么只要第一元素文件的文件名首字符在ascii表中对应30～39，就能够保证按照默认文件名排序方式，第一元素文件排在所述第一原有文件之前。本实施例中假定生成的第一元素文件为文件名为“！.txt”的空文件。
116.类似地，只要第二元素文件的文件名首字符在ascii表中对应41～47，58～64、91～96、123～126中的任意一个，就能够保证第二元素文件排在所述第一原有文件之后。本实施例中假定生成的第二元素文件为文件名为“～.txt”的空文件。
117.(二)目标类别是文件名的首字符是数字的文件的情况
118.防御系统获取图6所示的受保护文件夹中文件名分别为“2_24test1_97pe9x.pdf”、“2_24test1_pbc4ip.pdf”、和“4.1.67.134(2018-9-10 16_57_59).txt”的三个文件。这三个文件是受保护文件夹中属于文件名的首字符是数字的文件这一文件类别的原有文件。
119.假定默认文件名排序方式是同类文件名的首字符在ascii表中对应的数值从小到大的顺序。由于文件名“2_24test1_97pe9x.pdf”、“2_24test1_pbc4ip.pdf”的首字符“2”在ascii表中对应50，而文件名“4.1.67.134(2018-9-10 16_57_59).txt”的首字符“4”在ascii表中对应52，因此文件名“2_24test1_97pe9x.pdf”和“2_24test1_pbc4ip.pdf”排在文件名“4.1.67.134(2018-9-10 16_57_59).txt”之前。
120.文件名“2_24test1_97pe9x.pdf”和“2_24test1_pbc4ip.pdf”前10个字符相同，在第11个字符产生差异，产生差异的字符分别是9和p，9在ascii表对应50，p在ascii表对应112，所以文件名“2_24test1_97pe9x.pdf”排在“2_24test1_pbc4ip.pdf”之前。
121.基于默认文件名排序方式，上面三个文件名中文件名“2_24test1_97pe9x.pdf”排第一个，文件名“2_24test1_pbc4ip.pdf”排在第二个，文件名“4.1.67.134(2018-9-1016_57_59).txt”排第三个。
122.那么只要第一元素文件的文件名首字符在ascii表中对应48～49，就能够保证按照默认文件名排序方式，第一元素文件排在原有文件“2_24test1_97pe9x.pdf”之前。本实施例中假定生成的第一元素文件为名为“0.pptx”的空文件。实际上，名为“0.pptx”的空文件只是第一元素文件的一个举例，只要是按照默认文件名排序方式，排在原有文件“2_24test1_97pe9x.pdf”之前的文件均可作为第一元素文件。例如文件名为“2_24test1_0.pdf”或者“2_1.pdf”的文件等等。
123.类似地，只要第二元素文件的文件名首字符在ascii表中对应53～57中的任意一个，就能够保证第二元素文件排在文件名为“4.1.67.134(2018-9-10 16_57_59).txt”的文件之后。本实施例中假定生成的第二元素文件为名为“9.bmp”的空文件。实际上，文件名为“9.bmp”的空文件只是第二元素文件的一个举例，只要是按照默认文件名排序方式，排在原有文件“4.1.67.134(2018-9-10 16_57_59).txt”之后的文件均可作为第二元素文件。例如文件名为“4.2.txt”或者“5.txt”的文件等等。
124.(三)目标类别是文件名的首字符是字母的文件的情况
125.防御系统获取图6所示的受保护文件夹中文件名分别为“a网络介绍.ppt”和“b系统说明.ppt”的两个文件。这两个文件是受保护文件夹中属于文件名的首字符是字母的文件这一文件类别的原有文件。
126.假定默认文件名排序方式是同类文件名的首字符在ascii表中对应的数值从小到大的顺序。由于文件名“a网络介绍.ppt”的首字符“a”在ascii表中对应97，而文件名“b系统说明.ppt”的首字符“b”在ascii表中对应98，因此文件名“a网络介绍.ppt”排在文件名“b系统说明.ppt”之前。
127.那么第一元素文件的文件名首字符需要在ascii表中对应97，且按照默认文件名排序方式，第一元素文件排在原有文件“a网络介绍.ppt”之前。本实施例中假定生成的第一元素文件为名为“a a.xlsx”的空文件。实际上，名为“a a.xlsx”的空文件只是第一元素文件的一个举例，只要是按照默认文件名排序方式，排在原有文件“a网络介绍.ppt”之前的文件均可作为第一元素文件。例如文件名为“a b.xlsx”或者“a b.pdf”的文件等等。
128.类似地，只要第二元素文件的文件名首字符在ascii表中对应99～122中的任意一个，就能够保证第二元素文件排在文件名为“b系统说明.ppt”的文件之后。本实施例中假定生成的第二元素文件为名为“z.rar”的空文件。实际上，文件名为“z.rar”的空文件只是第二元素文件的一个举例，只要是按照默认文件名排序方式，排在原有文件“b系统说明”之后的文件均可作为第二元素文件。例如文件名为“x.ppt”或者“y.ppt”的文件等等。
129.(四)目标类别是文件名的首字符是字母的文件的情况
130.附图6所示的受保护文件夹中还包括属于文件名首字符是汉字的文件这一文件类别的原有文件，即文件名分别为“安全报告.docx”,“工程能力自动化.ppt”和“软件介绍.docx”的三个文件。
131.假定默认排序方式是文件名中首个汉字的拼音首字母在ascii表中对应的数值从小到大的顺序。如果两个文件名拼音首字母在ascii表中对应的数值相同，则根据两个文件名第二个汉字的拼音首字母在ascii表中对应的数值从小到大的顺序，以此类推。
132.文件名“安全报告.docx”的首字符汉字“安”的拼音首字母“a”在ascii表中对应97，文件名“工程能力自动化.ppt”的首字符汉字“工”的拼音首字母“g”在ascii表中对应103，文件名“软件介绍.docx”的首字符汉字“软”的拼音首字母“r”在ascii表中对应114。因此按购买三个文件名中，文件名“安全报告.docx”排第一个，文件名“工程能力自动化.ppt”排第二个，文件名“软件介绍.docx”排第三个。
133.那么第一元素文件的文件名首个汉字的拼音首字母在ascii表中对应97、且按照默认文件名排序方式，第一元素文件排在原有文件“安全报告.docx”之前。本实施例中假定生成的第一元素文件为名为“阿.txt”的空文件。实际上，名为“阿.txt”的空文件只是第一元素文件的一个举例，只要是按照默认文件名排序方式，排在原有文件“安全报告.docx”之前的文件均可作为第一元素文件。例如文件名为“安安.xlsx”或者“安北.pdf”的文件等等。
134.类似地，只要第二元素文件的文件名首个汉字的拼音首字母在ascii表中对应115～122中的任意一个，就能够保证第二元素文件排在文件名为“b系统说明.ppt”的文件之后。本实施例中假定生成的第二元素文件为名为“做.txt”的空文件。实际上，文件名为“做.txt”的空文件只是第二元素文件的一个举例，只要是按照默认文件名排序方式，属于文件名首字符是汉字的文件这一文件类别、且排在原有文件“软件介绍.docx”之后的文件均可
作为第二元素文件。例如文件名为“图纸.ppt”或者“未来.ppt”的文件等等。
135.根据上面四种情况生成的八个元素文件如附图7所示。将附图7所示的几个元素文件添加到受保护文件夹后，受保护文件夹中包含的文件如附图8所示，即受保护文件夹中既包含原有文件、也包含新生成的几个元素文件。
136.附图9是本技术实施例提供的一种防御系统的结构示意图，用以实施上述实施例描述的防御方法。该防御系统用于防范受保护文件夹被恶意软件加密。可选地，图9所示的防御系统是图1、图2所示应用场景中的防御系统、图3、图5所示流程中的防御系统。附图9所示的防御系统包括存储器92和至少一个处理器91。
137.可选地，至少一个处理器91是一个或多个cpu，或者是单核cpu，也可以是多核cpu。
138.存储器112包括但不限于是随机存取存储器(random access memory，ram)、只读存储器(read-only memory，rom)、可擦除可编程只读存储器(erasable programmable read-only memory，eprom)、快闪存储器、或光存储器等。存储器92中保存有操作系统的代码。
139.可选地，处理器91通过读取存储器92中保存的程序指令实现上述实施例中的方法；或者，处理器91也可以通过内部存储的指令实现上述实施例中的方法。在处理器91通过读取存储器92中保存的指令实现上述实施例中的方法的情况下，存储器92中保存实现本技术上述实施例中所描述的方法的程序指令。
140.所述至少一个处理器91读取存储器92中存储的程序指令后，使得防御系统执行以下操作：
141.在包括n个原有文件的受保护文件夹中添加m个元素文件，使得当根据文件名对所述受保护文件夹中的所有文件排序时，所述m个元素文件中的一个元素文件排在所述n个原有文件之前，m大于等于1，n大于等于1；
142.监控所述m个元素文件是否被访问；
143.如果所述m个元素文件中的元素文件被访问，终止访问所述元素文件的进程，所述进行被认为与恶意软件相关。
144.可选地，处理器91生成元素文件时，元素文件的文件名是根据所述n个原有文件中至少一个原有文件的文件名确定的。
145.可选地，处理器91读取存储器92中存储的程序指令后，通过hook机制对元素文件的被访问状况进行监控。具体地，通过hook方式监控所述防御系统中的预定api；如果通过hook方式监控到所述预定api被调用，获得所述预定api被调用时的参数；如果所述参数中包括所述至少一个元素文件中的元素文件的文件名，则确定所述该m个元素文件中的元素文件被访问。
146.可选地，附图9所示的防御系统还包括网络接口93。网络接口93可以是有线接口，例如光纤分布式数据接口(fiber distributed data interface，fddi)、千兆以太网(gigabit ethernet，ge)接口；网络接口103也可以是无线接口。网络接口93用于与防御系统所接入的网络中的其他网络设备进行数据通信。
147.处理器91实现上述功能的更多细节请参考前面各个方法实施例中的描述，在这里不再重复。
148.可选地，防御系统还包括总线94，上述处理器91、存储器92通常通过总线94相互连
gate array，fpga)、或协处理器等可编程器件来完成。显然上述功能模块也可以采用软件硬件相结合的方式来实现，例如添加模块101和监控模块102由硬件可编程器件实现，而终止模块103是由cpu读取存储器中存储的程序代码后，生成的软件功能模块。
158.附图10中添加模块101，监控模块102、终止模块103以及这些模块中的各个单元实现上述功能的更多细节请参考前面各个方法实施例中的描述，在这里不再重复。
159.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
160.在上述实施例中，恶意软件的防御方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现，例如该计算机产品是一种恶意软件的防御软件。当附图1中智能手机101和103、投影仪104、打印机105、智能汽车102中的任意一个设备，或附图2中的主机201、虚拟机202、视频电话终端203、智能摄像头204、柜式采集站205、交换机206、防火墙设备207、网关208中的任意一个设备安装了该恶意软件的防御软件后，成为防御系统。
161.所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生在本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程设备。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk,ssd))等。
162.计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包括但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者设备，或者前述的任意适当组合。如计算机可读存储介质为ram、rom、eprom或便携式只读存储器(cd-rom)。
163.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的范围。这样，倘若本技术的这些修改和变型属于本发明权利要求的范围之内，则本发明也意图包括这些改动和变型在内。