终端设备的安全防护方法、装置、电子设备及存储介质与流程

1.本发明实施例涉及计算机安全领域，特别涉及一种终端设备的安全防护方法、装置、电子设备及存储介质。


背景技术：

2.随着网络攻击技术的不断发展，利用固件漏洞、bootkit等固件利用类的技术对终端设备的操作系统进行攻击的方式已经出现，而且攻击方式愈发趋于隐蔽。
3.相关技术中，终端设备的安全防护主要依赖在操作系统内安装的各类杀毒软件。由于杀毒软件运行于操作系统之上，因此杀毒软件属于应用层软件，而应用层软件的控制权限较低。
4.然而，固件利用类的攻击方式通常作用于操作系统启动之前。也就是说，终端设备在受到这类攻击方式的攻击时，在操作系统启动之前，一些关键数据(例如系统文件)可能已经被篡改(例如被注入恶意代码)。


技术实现要素：

5.为了提高终端设备的安全防护能力，本发明实施例提供了一种终端设备的安全防护方法、装置、电子设备及存储介质。
6.第一方面，本发明实施例提供了一种终端设备的安全防护方法，包括：
7.在终端设备进入uefi模式后，获取由用户触发的检测指令；其中，所述检测指令包括针对uefi固件的检测指令、针对efi引导程序的检测指令和针对系统关键位置的检测指令中的至少一个；
8.对所述检测指令进行解析，确定待检测对象；其中，所述待检测对象包括uefi固件、efi引导程序和系统关键位置中的至少一个；
9.对当前所述终端设备的待检测对象中的文件进行威胁检测。
10.在一种可能的设计中，所述对当前所述终端设备的待检测对象中的文件进行威胁检测，包括：
11.获取所述终端设备上一次启动后的待检测对象中的文件；
12.提取用于表征当前所述终端设备的待检测对象中的文件的第一数据属性信息和用于表征所述终端设备上一次启动后的待检测对象中的文件的第二数据属性信息；
13.基于所述第一数据属性信息和所述第二数据属性信息，对当前所述终端设备的待检测对象中的文件进行威胁检测。
14.在一种可能的设计中，所述基于所述第一数据属性信息和所述第二数据属性信息，对当前所述终端设备的待检测对象中的文件进行威胁检测，包括：
15.对所述第一数据属性信息和所述第二数据属性信息分别进行数据转换，得到第一音频属性信息和第二音频属性信息；
16.基于所述第一音频属性信息和所述第二音频属性信息，对当前所述终端设备的待
检测对象中的文件进行威胁检测。
17.在一种可能的设计中，所述第一数据属性信息和所述第二数据属性信息均包括如下中的至少一种：
18.数据类型、数据大小、创建时间、最后修改时间、上次打开时间、版本信息、签名信息；
19.和/或，
20.所述第一音频属性信息和所述第二音频属性信息均包括如下中的至少一种：
21.乐器类型、周期时间、节奏、空间距离、方向变换频率、和声、音效。
22.在一种可能的设计中，所述基于所述第一音频属性信息和所述第二音频属性信息，对当前所述终端设备的待检测对象中的文件进行威胁检测，包括：
23.利用音频编码器分别渲染所述第一音频属性信息和所述第二音频属性信息，得到第一音频数据和第二音频数据；
24.利用音频解码器播放所述第一音频数据和所述第二音频数据；
25.基于播放的结果，对当前所述终端设备的待检测对象中的文件进行威胁检测。
26.在一种可能的设计中，所述对当前所述终端设备的待检测对象中的文件进行威胁检测，包括：
27.获取当前所述终端设备的待检测对象中的文件携带的第一哈希值；
28.对当前所述终端设备的待检测对象中的文件进行哈希计算，得到第二哈希值；
29.基于所述第一哈希值和所述第二哈希值，对当前所述终端设备的待检测对象中的文件进行威胁检测。
30.在一种可能的设计中，所述对当前所述终端设备的待检测对象中的文件进行威胁检测，包括：
31.获取当前所述终端设备的待检测对象中的文件携带的数字签名；其中，数字签名是对所述文件的哈希值进行加密得到的；
32.利用预设的密钥对所述加密数字签名进行解密，得到第一哈希值；
33.对当前所述终端设备的待检测对象中的文件进行哈希计算，得到第二哈希值；
34.基于所述第一哈希值和所述第二哈希值，对当前所述终端设备的待检测对象中的文件进行威胁检测。
35.第二方面，本发明实施例还提供了一种终端设备的安全防护装置，包括：
36.获取模块，用于在终端设备进入uefi模式后，获取由用户触发的检测指令；其中，所述检测指令包括针对uefi固件的检测指令、针对efi引导程序的检测指令和针对系统关键位置的检测指令中的至少一个；
37.解析模块，用于对所述检测指令进行解析，确定待检测对象；其中，所述待检测对象包括uefi固件、efi引导程序和系统关键位置中的至少一个；
38.检测模块，用于对当前所述终端设备的待检测对象中的文件进行威胁检测。
39.第三方面，本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
40.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机
程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
41.本发明实施例提供了一种终端设备的安全防护方法、装置、电子设备及存储介质，通过在终端设备进入uefi模式后，获取由用户触发的检测指令，然后对检测指令进行解析，确定待检测对象，这样就可以对当前终端设备的待检测对象中的文件进行威胁检测。由于上述安全防护方法是在加载操作系统之前进行的，即终端设备进入uefi模式后已经具备设备访问权限和能力，如此可以对一些关键数据进行威胁检测，从而可以避免固件利用类的攻击方式对操作系统的攻击，以提高终端设备的安全防护能力。
附图说明
42.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
43.图1是本发明一实施例提供的一种终端设备的安全防护方法流程图；
44.图2是本发明一实施例提供的另一种终端设备的安全防护方法流程图；
45.图3是本发明一实施例提供的又一种终端设备的安全防护方法流程图；
46.图4是本发明一实施例提供的一种电子设备的硬件架构图；
47.图5是本发明一实施例提供的一种终端设备的安全防护装置结构图。
具体实施方式
48.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.如前所述，相关技术中，终端设备的安全防护主要依赖在操作系统内安装的各类杀毒软件。由于杀毒软件运行于操作系统之上，因此杀毒软件属于应用层软件，而应用层软件的控制权限较低。
50.固件是运行在计算机底层的软件，是先于操作系统启动而运行的。因此，固件中的恶意代码是无法被杀毒软件和安全工具发现的。固件的运行过程是具有极高权限，能够对硬件、文件系统、操作系统和特定软件进行篡改和破坏，具有极强的攻击能力。
51.固件是计算机中不可缺少的重要部件，是连接计算机基础硬件和系统软件的桥梁。基本输入输出系统(basic input output system,bios)是计算机上最重要的固件之一。在开机上电后，固件会对cpu中的寄存器、计时芯片、可编程中断器及dma控制器的状态检查，同时初始化设置主板芯片组、动态内存、显卡及相关外围的寄存器。在以上设备正常运行的前提下，固件将负责引导操作系统。
52.从开机上电到操作系统加载的过程中，固件拥有着系统极高权限。一旦固件中存在安全漏洞或被植入木马，将会为计算机带来严重的威胁。例如通过在固件中增加后门程序(是一种固件利用类的攻击方式)，如使用系统管理模式(system management modal，
smm)，可在操作系统无法察觉的情况下，隐蔽地获取计算机数据。
53.发明人在研发过程中发现：固件利用类的攻击方式通常作用于操作系统启动之前。也就是说，终端设备在受到这类攻击方式的攻击时，在操作系统启动之前，一些关键数据(例如系统文件)可能已经被篡改(例如被注入恶意代码)。如果操作系统在启动前已经被篡改，那么操作系统启动后的任何威胁检测将不再有意义。
54.为了解决该技术问题，发明人考虑在操作系统启动之前就对一些关键数据进行威胁检测。若想实现该目的，发明人考虑可以借助于终端设备进入uefi模式后，终端设备的一些必要的驱动已经被加载的机制，即终端设备进入uefi模式后已经具备设备访问权限和能力，如此可以对一些关键数据进行威胁检测，从而可以避免固件利用类的攻击方式对操作系统的攻击，以提高终端设备的安全防护能力。
55.下面描述以上构思的具体实现方式。
56.请参考图1，本发明实施例提供了一种终端设备的安全防护方法，该方法包括：
57.步骤100：在终端设备进入uefi模式后，获取由用户触发的检测指令；其中，检测指令包括针对uefi固件的检测指令、针对efi引导程序的检测指令和针对系统关键位置的检测指令中的至少一个；
58.步骤102：对检测指令进行解析，确定待检测对象；其中，待检测对象包括uefi固件、efi引导程序和系统关键位置中的至少一个；
59.步骤104：对当前终端设备的待检测对象中的文件进行威胁检测。
60.本发明实施例中，通过在终端设备进入uefi模式后，获取由用户触发的检测指令，然后对检测指令进行解析，确定待检测对象，这样就可以对当前终端设备的待检测对象中的文件进行威胁检测。由于上述安全防护方法是在加载操作系统之前进行的，即终端设备进入uefi模式后已经具备设备访问权限和能力，如此可以对一些关键数据进行威胁检测，从而可以避免固件利用类的攻击方式对操作系统的攻击，以提高终端设备的安全防护能力。
61.需要说明的是，固件的运行过程分为四个阶段，具体包括硬件初始化阶段、驱动服务执行阶段、启动设备选择阶段和操作系统运行阶段，其中：
62.(1)硬件初始化阶段：
63.执行由汇编语言代码实现的固件组件，主要实现对硬件平台和固件初始启动代码进行安全验证，初始化系统缓存，为后续的硬件初始化工作准备必要的存储空间；同时，初始化处理器、内存、芯片组和其他芯片及设备。
64.硬件初始化阶段是固件首先运行的阶段，是保证计算机硬件和固件完整可信的基石。如果固件在这个阶段中运行了恶意代码，将能够破坏这个阶段对硬件和固件的安全校验，破坏整个计算机的安全运行环境。
65.(2)驱动服务执行阶段
66.执行设备驱动程序，安装及初始化与设备、总线、服务等相关的协议。驱动服务执行阶段为后续操作提供协议/服务接口，提供给固件自身及操作系统和应用软件调用。
67.驱动服务执行阶段是固件运行的核心阶段，固件会加载硬件驱动和应用程序。如果计算机主机中接入了包含固件木马模块的硬件，其木马模块将在这个阶段在固件层进行加载。在该阶段中，固件能够加载和执行文件系统驱动，对硬盘分区和文件系统进行识别和
分析，能够将操作系统中的木马植入操作系统，并实现随操作系统自启动。
68.(3)启动设备选择阶段
69.根据系统中预先设置的配置规则或者用户本次的选择，寻找承载操作系统的设备(如usb设备、硬盘、光盘、网络等)并加载操作系统。
70.启动设备选择阶段提供了uefi shell运行环境、uefi驱动及操作系统加载的功能。因此，也存在操作系统加载过程中被劫持的攻击漏洞。
71.(4)操作系统运行阶段
72.固件将机器的控制权正式移交给操作系统。此时，仍然有部分固件服务/协议可用。
73.在该阶段中，如果固件中存在可以执行的恶意代码，操作系统中的杀毒软件将无法觉察。
74.通过对上述固件运行过程的分析可以看出，固件安全首先要保证在硬件初始化阶段，对固件进行完整性验证；其次，需要在驱动服务执行阶段对加载的硬件和固件驱动进行验证，禁止加载未经确认的固件驱动。这两种安全措施能够在一定程度上防止固件木马的加载和执行。
75.本发明实施例重点描述在启动设备选择阶段的安全防护方法。而如前所述，终端设备进入uefi模式后，终端设备的一些必要的驱动已经被加载，因此可以在终端设备进入uefi模式后，对一些关键数据进行威胁检测。为了实现对上述关键数据的威胁检测，可以将执行安全防护方法的软件代码集成于主板rom内，如此可不依赖于操作系统。
76.下面描述图1所示的各个步骤的执行方式。
77.针对步骤100：
78.在终端设备进入uefi模式后，用户可以通过鼠标点击相关界面按钮，以触发对一些关键数据的检测指令。例如，在点击相关界面按钮后，终端设备会弹出一个用户交互界面，该用户交互界面包括针对uefi固件检测的界面按钮、针对efi引导程序检测的界面按钮和针对系统关键位置检测的界面按钮。此时，用户根据实际需要，可以继续点击上述至少一个界面按钮，以实现相对应的待检测对象的威胁检测操作。
79.针对步骤102：
80.在获得由用户触发的检测指令后，进一步对获取到的检测指令进行解析，以得到待检测对象，即待检测对象包括uefi固件、efi引导程序和系统关键位置中的至少一个。
81.针对步骤104：
82.可以理解的是，uefi固件的文件包括uefi应用程序和uefi驱动程序，efi引导程序的文件例如可以是操作系统提供的加载器，系统关键位置例如可以是操作系统内核的文件、c盘中的system目录、user目录等。在一些实施方式中，步骤104可以利用终端设备存储的本地病毒库、病毒检测模型或者其它检测工具来对待检测对象的文件进行威胁检测，所使用的检测机制例如是基于文件哈希值、恶意代码特征等，在此对该类检测方式不进行赘述。
83.其中，基于文件哈希值的检测方案包括如下两种：
84.第一种技术方案为：
85.获取当前终端设备的待检测对象中的文件携带的第一哈希值；
86.利用预设的哈希算法对当前终端设备的待检测对象中的文件进行哈希计算，得到第二哈希值；
87.基于第一哈希值和第二哈希值，对当前终端设备的待检测对象中的文件进行威胁检测。
88.第二种技术方案为：
89.获取当前终端设备的待检测对象中的文件携带的数字签名；其中，数字签名是对文件的哈希值进行加密得到的；
90.利用预设的密钥对加密数字签名进行解密，得到第一哈希值；
91.利用预设的哈希算法对当前终端设备的待检测对象中的文件进行哈希计算，得到第二哈希值；
92.基于第一哈希值和第二哈希值，对当前终端设备的待检测对象中的文件进行威胁检测。
93.具体地，若第一哈希值和第二哈希值相同，则证明当前终端设备的待检测对象中的文件未被篡改，否则被篡改。
94.相比第一种技术方案，第二种技术方案由于是通过对文件的哈希值进行加密得到数字签名，因此第二种技术方案的保密程度更高，即更能准确地判断文件是否被篡改。在一些实施方式中，步骤104还可以利用如下方式进行威胁检测：
95.步骤s1、获取终端设备上一次启动后的待检测对象中的文件；
96.步骤s2、提取用于表征当前终端设备的待检测对象中的文件的第一数据属性信息和用于表征终端设备上一次启动后的待检测对象中的文件的第二数据属性信息；
97.步骤s3、基于第一数据属性信息和第二数据属性信息，对当前终端设备的待检测对象中的文件进行威胁检测。
98.相对于相关技术中需要获取数据的完整内容的方式而言，本发明实施例提供的方法只需要获取上述的数据属性信息即可完成终端设备的安全防护的准备工作，如此提高了终端设备的安全防护的效率。
99.需要说明的是，提取数据属性信息的方式例如可以是利用正则表达式的方式或其它分析静态向量的方式，在此对提取的方式不进行限定，只要能实现对数据属性信息的提取即可。
100.在一些实施方式中，第一数据属性信息和第二数据属性信息均包括如下中的至少一种：
101.数据类型、数据大小、创建时间、最后修改时间、上次打开时间、版本信息、签名信息。
102.举例来说，数据类型例如可以是“.exe”、“.docx”、“.dat”等，签名信息表示原数据中是否有数字签名。
103.在另一些实施方式中，步骤104可以利用将待检测对象的文件转换为音频数据的方式进行威胁检测。
104.下面重点描述将待检测对象的文件转换为音频数据的威胁检测方式。
105.在一些实施方式中，步骤s3可以包括：
106.步骤s31、对第一数据属性信息和第二数据属性信息分别进行数据转换，得到第一
音频属性信息和第二音频属性信息；
107.步骤s32、基于第一音频属性信息和第二音频属性信息，对当前终端设备的待检测对象中的文件进行威胁检测。
108.在该实施方式中，无需采用专门的检测工具来进行威胁检测，只需要通过将当前终端设备的待检测对象中的文件和终端设备上一次启动后的待检测对象中的文件转换为音频，从而可以利用校验音频的方式来间接校验数据，提高了威胁检测的便捷性。其中，终端设备上一次启动后的待检测对象中的文件认为是未被篡改的文件。
109.其中，数据转换可以理解为预先设置好的数据映射规则，数据映射规则例如可以是将数据属性信息映射为音频属性信息，如此可借助移动终端的音频解码器对进一步得到的音频数据进行播放，从而方便校验两个待检测对象的文件。
110.在一些实施方式中，第一音频属性信息和第二音频属性信息均包括如下中的至少一种：
111.乐器类型、周期时间、节奏、空间距离、方向变换频率、和声、音效。
112.针对映射规则的举例，例如数据类型可以映射为乐器类型，数据大小可以映射为周期时间，创建时间可以映射为节奏，最后修改时间可以映射为空间距离，上次打开时间可以映射为方向变换频率，版本信息可以映射为和声，签名信息可以映射为音效，在此对数据转换的具体规则不进行限定，只要能完成数据的转换即可。
113.需要说明的是，通常而言，在启动设备选择阶段，加载的主要驱动有usb设备、硬盘、光盘、网络等。然而，本发明实施例提供的威胁检测方法需要借助声卡驱动，因此可以事先修改主板rom中的相关加载项，以使声卡驱动也可以在启动设备选择阶段完成加载。
114.在一些实施方式中，步骤s32可以包括：
115.利用音频编码器分别渲染第一音频属性信息和第二音频属性信息，得到第一音频数据和第二音频数据；
116.利用音频解码器播放第一音频数据和第二音频数据；
117.基于播放的结果，对当前终端设备的待检测对象中的文件进行威胁检测。
118.在该实施方式中，相关技术需要借助专门的检测工具，而终端设备具有音频编码器，因此可以借助自身具有的这一硬件(即音频编码器)完成音频数据的渲染(即得到音频数据)，以方便后续再利用终端设备具有的音频解码器对音频数据进行播放(即解码)，用户就可以基于播放的结果对当前终端设备的待检测对象中的文件进行威胁检测，从而可以有利于提高终端设备的安全防护的便捷性。
119.下面对当两个音频数据比较相像时，本发明实施例提供的相关解决方案进行介绍。
120.通常而言，不法分子对数据的篡改是影响的数据大小和最后修改时间这两种数据属性信息，而其它数据属性信息通常未被影响，而且即便被影响到，这些其它数据属性信息映射后得到的音频属性信息也是能够被区分出的，例如两个音频数据的乐器类型不同，则当对音频数据进行播放时，人耳很容易听出这两个音频数据的区别，从而很容易完成对两个待检测对象的文件的校验。
121.然而，当两个待检测对象的文件的数据大小相差较小，而其它的数据属性信息相同时，那么与之对应的两个音频数据的周期时间也相差较小。此时，在利用音频解码器进行
播放时，人耳很难区分出这两个音频数据的差别，从而很难完成对这两个待检测对象的文件的校验。
122.为了解决该技术问题，可以借助音频解码器判断两个音频数据的频谱是否存在差异，从而快速完成两个待检测对象的文件的校验。
123.在一些实施方式中，步骤s32可以包括：
124.利用音频编码器分别渲染第一音频属性信息和第二音频属性信息，得到第一音频数据和第二音频数据；
125.利用音频解码器判断第一音频数据和第二音频数据的频谱是否存在差异；
126.若否，则利用音频解码器输出当前终端设备的待检测对象中的文件未被篡改的结果；
127.若是，则利用音频解码器输出当前终端设备的待检测对象中的文件已被篡改的结果。
128.在该实施方式中，通过利用终端设备自身具备的音频解码器来解析两个音频数据的频谱，从而可以快速判断出两个音频数据的频谱是否存在差异，可以进一步借助音频解码器输出当前终端设备的待检测对象中的文件是否被篡改的结果。
129.然而，人类对机器有着天生的不信任，人们更愿意相信自己的感觉和判断。为了提高用户体验，可以考虑在输出当前终端设备的待检测对象中的文件已被篡改的结果时，进一步播放音频数据的方式来辅助用户的判断，从而可以提高用户的使用体验。但是，如果还是按照上述方案只是将渲染后的音频数据进行播放，那么当差别较小时，人耳显然无法区分出二者的区别。为此，可以进一步考虑将音频属性信息的差异放大，这样可以使得用户更加容易地区分出二者的区别，从而提高了用户的使用体验。
130.在一些实施方式中，在利用音频解码器输出当前终端设备的待检测对象中的文件已被篡改的结果之后，还包括：
131.利用音频解码器确定第一音频数据和第二音频数据的频谱中存在差异的音频属性信息；
132.判断存在差异的音频属性信息是否为目标音频属性信息；其中，目标音频属性信息包括周期时间和空间距离；
133.若否，则执行：利用音频解码器播放第一音频数据和第二音频数据；基于播放的结果，进一步对当前终端设备的待检测对象中的文件进行威胁检测；
134.若是，则执行：将第一音频数据中的目标音频属性信息和第二音频数据中的目标音频属性信息分别进行放大处理，得到第三音频数据和第四音频数据；利用音频解码器播放第三音频数据和第四音频数据；基于播放的结果，进一步对当前终端设备的待检测对象中的文件进行威胁检测。
135.在该实施方式中，通过对确定出差异的且为目标音频属性信息的音频属性信息进行放大处理，得到了第三音频数据和第四音频数据，这样用户就可以根据对第三音频数据和第四音频数据的播放结果来辅助两个待检测对象的文件的校验工作，从而提高了用户的使用体验。
136.举例来说，以数据属性信息为数据大小为例，其对应的音频属性信息为周期时间。假设通过音频解码器分析得出两个音频数据的周期时间有细微不同，并假设原有的两个音
频数据的总时长为10s，两个音频数据的周期时间在第5s-5.1s之间存在差异，此时人耳通过听觉很难进行区分。为此对这两个音频数据的总时长进行放大处理(即也对周期时间进行了放大处理)，将总时长放大到100s(即放大了10倍)。如此，差异就会在第50s-51s进行体现，这时，人耳就能听出二者的区别。综上，利用uefi固件先于操作系统启动的特点，在操作系统启动之前对文件进行检测，如此能够避免固件漏洞利用和bootkit类的病毒文件绕过传统杀毒软件的难题，能够有效补充操作系统在加载前的安全防护能力，是对传统防护方案的有效补充。
137.图2示出根据另一个实施例的终端设备的安全防护方法的流程图。参见图2，该方法包括：
138.步骤200：在终端设备进入uefi模式后，获取由用户触发的检测指令；
139.步骤202：对检测指令进行解析，确定待检测对象；
140.步骤204：获取终端设备上一次启动后的待检测对象中的文件；
141.步骤206：提取用于表征当前终端设备的待检测对象中的文件的第一数据属性信息和用于表征终端设备上一次启动后的待检测对象中的文件的第二数据属性信息；
142.步骤208：对第一数据属性信息和第二数据属性信息分别进行数据转换，得到第一音频属性信息和第二音频属性信息；
143.步骤210：利用音频编码器分别渲染第一音频属性信息和第二音频属性信息，得到第一音频数据和第二音频数据；
144.步骤212：利用音频解码器播放第一音频数据和第二音频数据；
145.步骤214：基于播放的结果，对当前终端设备的待检测对象中的文件进行威胁检测。
146.图3示出根据又一个实施例的终端设备的安全防护方法的流程图。参见图3，该方法包括：
147.步骤300：在终端设备进入uefi模式后，获取由用户触发的检测指令；
148.步骤302：对检测指令进行解析，确定待检测对象；
149.步骤304：获取终端设备上一次启动后的待检测对象中的文件；
150.步骤306：提取用于表征第一待检测对象的文件的第一数据属性信息和用于表征第二待检测对象的文件的第二数据属性信息；
151.步骤308：对第一数据属性信息和第二数据属性信息分别进行数据转换，得到第一音频属性信息和第二音频属性信息；
152.步骤310：利用音频编码器分别渲染第一音频属性信息和第二音频属性信息，得到第一音频数据和第二音频数据；
153.步骤312：利用音频解码器判断第一音频数据和第二音频数据的频谱是否存在差异；若否，则执行步骤314，若是，则执行步骤316；
154.步骤314：利用音频解码器输出第一待检测对象的文件和第二待检测对象的文件相同的校验结果；
155.步骤316：利用音频解码器输出第一待检测对象的文件和第二待检测对象的文件不相同的校验结果；
156.步骤318：利用音频解码器确定第一音频数据和第二音频数据的频谱中存在差异
的音频属性信息；
157.步骤320：判断存在差异的音频属性信息是否为目标音频属性信息；若否，则执行步骤322，若是，则执行步骤324；
158.步骤322：利用音频解码器播放第一音频数据和第二音频数据；基于播放的结果，进一步校验第一待检测对象的文件和第二待检测对象的文件；
159.步骤324：将第一音频数据中的目标音频属性信息和第二音频数据中的目标音频属性信息分别进行放大处理，得到第三音频数据和第四音频数据；利用音频解码器播放第三音频数据和第四音频数据；基于播放的结果，进一步校验第一待检测对象的文件和第二待检测对象的文件。
160.如图4、图5所示，本发明实施例提供了一种终端设备的安全防护装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图4所示，为本发明实施例提供的一种终端设备的安全防护装置所在电子设备的一种硬件架构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的电子设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图5所示，作为一个逻辑意义上的装置，是通过其所在电子设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
161.如图5所示，本实施例提供的一种终端设备的安全防护装置，包括：
162.获取模块500，用于在终端设备进入uefi模式后，获取由用户触发的检测指令；其中，检测指令包括针对uefi固件的检测指令、针对efi引导程序的检测指令和针对系统关键位置的检测指令中的至少一个；
163.解析模块502，用于对检测指令进行解析，确定待检测对象；其中，待检测对象包括uefi固件、efi引导程序和系统关键位置中的至少一个；
164.检测模块504，用于对当前终端设备的待检测对象中的文件进行威胁检测。
165.在本发明实施例中，获取模块500可用于执行上述方法实施例中的步骤100，解析模块502可用于执行上述方法实施例中的步骤102，检测模块504可用于执行上述方法实施例中的步骤104。
166.在本发明的一个实施例中，检测模块504，用于执行如下操作：
167.获取终端设备上一次启动后的待检测对象中的文件；
168.提取用于表征当前终端设备的待检测对象中的文件的第一数据属性信息和用于表征终端设备上一次启动后的待检测对象中的文件的第二数据属性信息；
169.基于第一数据属性信息和第二数据属性信息，对当前终端设备的待检测对象中的文件进行威胁检测。
170.在本发明的一个实施例中，检测模块504在执行基于第一数据属性信息和第二数据属性信息，对当前终端设备的待检测对象中的文件进行威胁检测是，用于执行如下操作：
171.对第一数据属性信息和第二数据属性信息分别进行数据转换，得到第一音频属性信息和第二音频属性信息；
172.基于第一音频属性信息和第二音频属性信息，对当前终端设备的待检测对象中的文件进行威胁检测。
173.在本发明的一个实施例中，第一数据属性信息和第二数据属性信息均包括如下中
的至少一种：
174.数据类型、数据大小、创建时间、最后修改时间、上次打开时间、版本信息、签名信息；
175.和/或，
176.第一音频属性信息和第二音频属性信息均包括如下中的至少一种：
177.乐器类型、周期时间、节奏、空间距离、方向变换频率、和声、音效。
178.在本发明的一个实施例中，检测模块504在执行基于第一音频属性信息和第二音频属性信息，对当前终端设备的待检测对象中的文件进行威胁检测时，用于执行如下操作：
179.利用音频编码器分别渲染第一音频属性信息和第二音频属性信息，得到第一音频数据和第二音频数据；
180.利用音频解码器播放第一音频数据和第二音频数据；
181.基于播放的结果，对当前终端设备的待检测对象中的文件进行威胁检测。
182.在本发明的一个实施例中，检测模块504在执行基于第一音频属性信息和第二音频属性信息，对当前终端设备的待检测对象中的文件进行威胁检测时，用于执行如下操作：
183.利用音频编码器分别渲染第一音频属性信息和第二音频属性信息，得到第一音频数据和第二音频数据；
184.利用音频解码器判断第一音频数据和第二音频数据的频谱是否存在差异；
185.若否，则利用音频解码器输出当前终端设备的待检测对象中的文件未被篡改的结果；
186.若是，则利用音频解码器输出当前终端设备的待检测对象中的文件已被篡改的结果。
187.在本发明的一个实施例中，检测模块504在执行基于第一音频属性信息和第二音频属性信息，对当前终端设备的待检测对象中的文件进行威胁检测时，还用于执行如下操作：
188.利用音频解码器确定第一音频数据和第二音频数据的频谱中存在差异的音频属性信息；
189.判断存在差异的音频属性信息是否为目标音频属性信息；其中，目标音频属性信息包括周期时间和空间距离；
190.若否，则执行：利用音频解码器播放第一音频数据和第二音频数据；基于播放的结果，进一步对当前终端设备的待检测对象中的文件进行威胁检测；
191.若是，则执行：将第一音频数据中的目标音频属性信息和第二音频数据中的目标音频属性信息分别进行放大处理，得到第三音频数据和第四音频数据；利用音频解码器播放第三音频数据和第四音频数据；基于播放的结果，进一步对当前终端设备的待检测对象中的文件进行威胁检测。
192.在本发明的一个实施例中，检测模块504，用于执行如下操作：
193.获取当前终端设备的待检测对象中的文件携带的第一哈希值；
194.对当前终端设备的待检测对象中的文件进行哈希计算，得到第二哈希值；
195.基于第一哈希值和第二哈希值，对当前终端设备的待检测对象中的文件进行威胁检测。
196.在本发明的一个实施例中，检测模块504，用于执行如下操作：
197.获取当前终端设备的待检测对象中的文件携带的第一哈希值；
198.对当前终端设备的待检测对象中的文件进行哈希计算，得到第二哈希值；
199.基于第一哈希值和第二哈希值，对当前终端设备的待检测对象中的文件进行威胁检测。
200.可以理解的是，本发明实施例示意的结构并不构成对一种终端设备的安全防护装置的具体限定。在本发明的另一些实施例中，一种终端设备的安全防护装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
201.上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
202.本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本发明任一实施例中的一种终端设备的安全防护方法。
203.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种终端设备的安全防护方法。
204.具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
205.在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
206.用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
207.此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
208.此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
209.综上所述，本发明提供了一种终端设备的安全防护方法、装置、电子设备及存储介质，本发明至少具有如下有益效果：
210.1、在本发明的一个实施例中，通过在终端设备进入uefi模式后，获取由用户触发的检测指令，然后对检测指令进行解析，确定待检测对象，这样就可以对对当前终端设备的待检测对象中的文件进行威胁检测。由于上述安全防护方法是在加载操作系统之前进行的，即终端设备进入uefi模式后已经具备设备访问权限和能力，如此可以对一些关键数据进行威胁检测，从而可以避免固件利用类的攻击方式对操作系统的攻击，以提高终端设备
的安全防护能力。
211.2、在本发明的一个实施例中，无需采用专门的检测工具来进行威胁检测，只需要通过将当前终端设备的待检测对象中的文件和终端设备上一次启动后的待检测对象中的文件转换为音频，从而可以利用校验音频的方式来间接校验数据，提高了威胁检测的便捷性。其中，终端设备上一次启动后的待检测对象中的文件认为是未被篡改的文件。
212.3、相关技术需要借助专门的检测工具，而终端设备具有音频编码器，因此可以借助自身具有的这一硬件(即音频编码器)完成音频数据的渲染(即得到音频数据)，以方便后续再利用终端设备具有的音频解码器对音频数据进行播放(即解码)，用户就可以基于播放的结果对当前终端设备的待检测对象中的文件进行威胁检测，从而可以有利于提高终端设备的安全防护的便捷性。
213.4、在本发明的一个实施例中，通过利用终端设备自身具备的音频解码器来解析两个音频数据的频谱，从而可以快速判断出两个音频数据的频谱是否存在差异，可以进一步借助音频解码器输出当前终端设备的待检测对象中的文件是否被篡改的结果。
214.5、在本发明的一个实施例中，通过对确定出差异的且为目标音频属性信息的音频属性信息进行放大处理，得到了第三音频数据和第四音频数据，这样用户就可以根据对第三音频数据和第四音频数据的播放结果来辅助两个待检测对象的文件的校验工作，从而提高了用户的使用体验。
215.需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
216.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
217.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。