基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统与流程

1.本发明涉及计算机安全技术领域，尤其涉及一种基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统。


背景技术：

2.目前勒索攻击持续出现，勒索病毒利用各种加密算法对文件进行加密，勒索攻击形式多样，主要为文件加密、数据窃取、系统加密和屏幕锁定等四种主要形式，这种病毒会导致重要文件无法读取，关键数据被破坏，给用户的正常工作带来极为严重的影响。
3.申请号为202010741743.x的文献公开的勒索病毒防御方法包括：接收所述多个主机中的任一主机上报的勒索病毒告警信息；所述勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向所述中心平台软件上报的；基于所述勒索病毒告警信息，确定病毒脚本的下载路径；对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截；利用部署的防护节点软件检测勒索病毒，包括：对预设样本文件进行检测；基于所述预设样本文件的变化情况，确定是否存在勒索病毒。
4.现有技术通过检测预设样本的变化情况确定勒索病毒并进行告警，根据告警信息确定病毒脚本下载路径对该路径发起的脚本下载请求进行拦截，但检测勒索病毒的效率不高，导致磁盘文件被破坏无法快速恢复。


技术实现要素：

5.为此，本发明提供一种基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统，可以解决检测勒索病毒的效率不高，导致磁盘文件被破坏无法快速恢复的问题。
6.为实现上述目的，本发明一方面提供一种基于磁盘块底层的防勒索病毒保护和快速恢复方法，该方法包括：
7.监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识；
8.根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则判定为勒索病毒文件；
9.根据所述勒索病毒文件对对应的进程进行阻断；
10.对勒索病毒文件的重要程度进行判断，根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，得到优先级排序列表，根据优先级排序列表对所述勒索病毒文件进行恢复。
11.进一步地，在对操作系统进程进行状态监测时，记录实际状态，根据预设异常状态表将预设异常状态表与实际状态进行匹配，计算匹配的异常状态个数比例p，所述预设状态表包括m个异常状态，实际匹配到n个异常状态，其中，p＝n/m，
12.若p≥50％，将此进程判定为第一异常进程，并将所述第一异常进程的紧急度判定为ⅰ级；
13.若0＜p＜50％，将此进程判定为第二异常进程，则将所述第二异常进程的紧急度判定为ⅱ级；
14.若p＝0，将此进程判定为第三异常进程，并将所述第三异常进程的紧急度判定为ⅲ级；
15.其中，紧急度ⅰ级＞ⅱ级＞ⅲ级。
16.进一步地，根据所述紧急度将所述第一异常进程、第二异常进程和第三异常进程依次进行检测，所述第一异常进程、第二异常进程和第三异常进程都包括异常进程标识，将异常进程标识与磁盘扇区标识进行匹配确定磁盘扇区，根据该磁盘扇区的文件属性日志对磁盘扇区的文件进行检测，所述文件属性日志包括文件大小、文件后缀名和文件建立时间，若磁盘扇区的文件属性发生变化，则将此文件判定为可疑文件；
17.根据磁盘扇区的用户操作日志对所述可疑文件进行判断，根据所述文件建立时间将磁盘扇区的用户操作日志与该文件属性日志进行对比，所述用户操作日志包括用户操作名称、文件名称、文件大小、文件后缀名和文件建立时间，
18.若文件属性日志中同一文件名称的文件建立时间对应的文件大小和文件后缀名属于磁盘扇区的用户操作日志，则将该可疑文件判定为正常文件；
19.若文件属性日志中同一文件名称的文件建立时间对应的文件大小和文件后缀名不属于磁盘扇区的用户操作日志，则将该可疑文件判定为勒索病毒文件。
20.进一步地，在判定勒索病毒文件后，根据勒索病毒文件所在磁盘扇区的磁盘扇区标识匹配异常进程标识，根据匹配的异常进程标识调取该勒索病毒文件的实际状态，将勒索病毒文件的实际状态与预设状态表进行比较，若勒索病毒文件的实际状态中包含预设异常状态表未记录的实际状态，则记录未记录的实际状态，将记录后的实际状态添加到所述预设异常状态表中，得到第一预设异常状态表，第一预设异常状态表将在再次进行状态监测时，与实际状态进行匹配。
21.进一步地，在对所述勒索病毒文件进行优先级排序前，判定该勒索病毒文件的重要程度，根据该勒索病毒文件的文件属性日志，提取文件建立时间t1，调取所述用户操作日志中与文件建立时间t1最近的文件建立时间t2，根据文件建立时间t2调取用户操作日志中相同文件名称的文件大小e，设置有预设文件大小e0，
22.e≥e0，则判定该勒索病毒文件的重要程度为紧急；
23.e＜e0，则判定该勒索病毒文件的重要程度为一般；
24.根据勒索病毒文件的重要程度按紧急和一般的顺序依次进行优先级排序，得出第一优先级排序列表，所述第一优先级排序列表包括勒索病毒文件排序号、勒索病毒文件名称和勒索病毒文件大小。
25.进一步地，当e≥e0时，若勒索病毒文件的重要程度相同且对应的所述用户操作日志中相同文件名称的文件大小相同，所述用户操作日志还包括文件标识，所述文件标识为文件机密性，根据文件标识对所述第一优先级排序列表进行重新排序，得到第二优先级排序列表；当e＜e0时，若勒索病毒文件的重要程度相同且对应的所述用户操作日志中相同文件名称的文件大小相同，根据文件标识对所述第一优先级排序列表进行重新排序，得到第二优先级排序列表，所述第二优先级排序列表包括勒索病毒文件排序号、勒索病毒文件名称和勒索病毒文件大小。
26.进一步地，在对勒索病毒进行拦截时，根据所述勒索病毒文件所在磁盘扇区的所述磁盘扇区标识确定异常进程标识，根据所述异常进程标识对对应的进程进行阻断。
27.进一步地，在对所述勒索病毒文件进行恢复时，根据所述第二优先级排序列表中的所述勒索病毒文件排序号进行顺序恢复；
28.根据所述勒索病毒文件的勒索病毒文件名称调取与用户操作日志中相同文件名称、文件大小和文件后缀名的备份文件对勒索病毒文件进行替换。
29.本发明另一方面还提供一种基于磁盘块底层的防勒索病毒保护和快速恢复系统，该系统包括：
30.第一处理模块，用以监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识；
31.检测模块，用以根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则判定为勒索病毒文件，所述检测模块与所述第一处理模块通信连接；
32.阻断模块，用以根据所述勒索病毒文件对对应的进程进行阻断；
33.第二处理模块，用以对勒索病毒文件的重要程度进行判断，根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，得到优先级排序列表，根据优先级排序列表对所述勒索病毒文件进行恢复，所述第二处理模块与所述阻断模块通信连接。
34.进一步地，在所述第一处理模块对操作系统进程进行状态监测时，在第一处理模块中，记录单元记录实际状态，匹配单元根据预设异常状态表将预设异常状态表与实际状态进行匹配，计算单元计算匹配的异常状态个数比例p，所述预设状态表包括m个异常状态，实际匹配到n个异常状态，其中，p＝n/m，
35.若p≥50％，判定单元将此进程判定为第一异常进程，并将所述第一异常进程的紧急度判定为ⅰ级；
36.若0＜p＜50％，判定单元将此进程判定为第二异常进程，则将所述第二异常进程的紧急度判定为ⅱ级；
37.若p＝0，判定单元将此进程判定为第三异常进程，并将所述第三异常进程的紧急度判定为ⅲ级；
38.其中，紧急度ⅰ级＞ⅱ级＞ⅲ级。
39.与现有技术相比，本发明的有益效果在于，通过监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识，进而及时检监测到异常；根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则判定为勒索病毒文件；根据所述勒索病毒文件对对应的进程进行阻断，阻断勒索病毒进一步破坏；根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，根据优先级排序列表对所述勒索病毒文件进行恢复，通过监测异常进程并确定异常进程的紧急度，进而根据异常进程的紧急度和异常进程标识按顺序准确定位文件位置，并对文件属性进行比较确定勒索病毒文件，提高了检测效率，阻断勒索病毒进一步破坏，根据勒索病毒文件的优先级排序及时将重要文件进行恢复，减小损失。
40.尤其，通过将预设异常状态表与实际状态进行匹配，并计算匹配到的异常状态个数占预设异常状态表中异常状态总个数的比例，通过比例来判定异常进程的紧急度，以此根据紧急情况决定对异常进程对应的文件检测的顺序，紧急度高的先检测，提高检测的效率。
41.尤其，通过所述紧急度将所述第一异常进程、第二异常进程和第三异常进程依次进行检测，紧急度高的优先检测，提高检测效率，可更快检测出中了勒索病毒的文件，根据第一异常进程、第二异常进程或第三异常进程的异常进程标识确定磁盘扇区，将对应磁盘扇区内的文件进行检测，根据文件属性变化判定可疑文件，再根据磁盘扇区的用户操作日志进一步判断是否为勒索病毒损害的文件，使检测更加准确，先判断可疑文件再根据可疑文件进行进一步判断，提高了勒索病毒检测的效率。
42.尤其，通过将勒索病毒文件的实际状态与预设异常状态表进行比较，将预设异常状态表中未记录的勒索病毒文件的实际状态添加到预设异常状态表中得到第一预设异常状态表，避免未记录的异常状态导致下次进行检测时影响检测效率，通过更新预设状态表，使得对状态检测更加准确，进而提高对勒索病毒检测的效率。
43.尤其，通过勒索病毒文件对应的用户操作日志中正常文件大小确定该勒索病毒文件的重要程度，再根据重要程度对勒索病毒文件进行优先级排序，越紧急的排序越在前，进而可优先恢复紧急即重要的文件，减少损失，提高恢复效率。
44.尤其，通过根据所述用户操作日志中的文件标识再次将第一优先级排序列表中勒索病毒文件的重要程度相同且对应的所述用户操作日志中相同文件名称的文件大小相同的勒索病毒文件再次进行排序，使在进行勒索病毒文件恢复时先恢复重要的勒索病毒文件，减少损失，提高恢复效率。
45.尤其，通过勒索病毒文件确定异常进程标识确定勒索病毒攻击的具体位置设备，实现对勒索病毒的处理，及时将勒索病毒进行阻断，避免勒索病毒进一步扩散，减少文件被损坏的数量，减少损失。
46.尤其，通过根据所述第二优先级排序列表中的所述勒索病毒文件排序号进行顺序恢复，先恢复第二优先级排序列表中排序靠前的勒索病毒文件即重要的勒索病毒文件，减少损失，提高恢复效率。
47.尤其，通过所述第一处理模块监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识，进而及时检监测到异常；所述检测模块根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则检测模块将该文件判定为勒索病毒文件；所述阻断模块根据所述勒索病毒文件对对应的进程进行阻断，阻断勒索病毒进一步破坏；所述第二处理模块根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，根据优先级排序列表对所述勒索病毒文件进行恢复，通过监测异常进程并确定异常进程的紧急度，进而根据异常进程的紧急度和异常进程标识按顺序准确定位文件位置，并对文件属性进行比较确定勒索病毒文件，提高了检测效率，阻断勒索病毒进一步破坏，根据勒索病毒的优先级排序及时将重要文件进行恢复，减小损失。
附图说明
48.图1为本发明实施例提供的基于磁盘块底层的防勒索病毒保护和快速恢复方法流程示意图；
49.图2为本发明实施例提供的基于磁盘块底层的防勒索病毒保护和快速恢复系统结构示意图。
具体实施方式
50.为了使本发明的目的和优点更加清楚明白，下面结合实施例对本发明作进一步描述；应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。
51.下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是，这些实施方式仅仅用于解释本发明的技术原理，并非在限制本发明的保护范围。
52.需要说明的是，在本发明的描述中，术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系，这仅仅是为了便于描述，而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
53.此外，还需要说明的是，在本发明的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域技术人员而言，可根据具体情况理解上述术语在本发明中的具体含义。
54.请参阅图1所示，本发明实施例提供的基于磁盘块底层的防勒索病毒保护和快速恢复方法包括：
55.步骤s110，监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识；
56.步骤s120，根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则判定为勒索病毒文件；
57.步骤s130，根据所述勒索病毒文件对对应的进程进行阻断；
58.步骤s140，对勒索病毒文件的重要程度进行判断，根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，得到优先级排序列表，根据优先级排序列表对所述勒索病毒文件进行恢复。
59.具体而言，本发明实施例通过监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识，进而及时检监测到异常；根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则判定为勒索病毒文件；根据所述勒索病毒文件对对应的进程进行阻断，阻断勒索病毒进一步破坏；根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，根据优先级排序列表对所述勒索病毒文件进行恢复，通过监测异常进程并确定异常进程的紧急度，进而根据异常进程的紧急度和异常进程标识按顺序准确定位文件位置，并对文件属性进行比较确定勒索病毒文件，提高了检测效率，阻断勒索病毒进一步破坏，根据勒索病毒的优先级排序及时将重要文件进
行恢复，减小损失。
60.具体而言，在对操作系统进程进行状态监测时，记录实际状态，根据预设异常状态表将预设异常状态表与实际状态进行匹配，计算匹配的异常状态个数比例p，所述预设状态表包括m个异常状态，实际匹配到n个异常状态，其中，p＝n/m，
61.若p≥50％，将此进程判定为第一异常进程，并将所述第一异常进程的紧急度判定为ⅰ级；
62.若0＜p＜50％，将此进程判定为第二异常进程，则将所述第二异常进程的紧急度判定为ⅱ级；
63.若p＝0，将此进程判定为第三异常进程，并将所述第三异常进程的紧急度判定为ⅲ级；
64.其中，紧急度ⅰ级＞ⅱ级＞ⅲ级。
65.具体而言，勒索病毒对文件进行破坏时的进程状态会有先按顺序遍历磁盘，再对每个固定磁盘创建线程执行文件遍历和文件加密操作。
66.具体而言，本发明实施例通过将预设异常状态表与实际状态进行匹配，并计算匹配到的异常状态个数占预设异常状态表中异常状态总个数的比例，通过比例来判定异常进程的紧急度，以此根据紧急情况决定对异常进程对应的文件检测的顺序，紧急度高的先检测，提高检测的效率。
67.具体而言，根据所述紧急度将所述第一异常进程、第二异常进程和第三异常进程依次进行检测，所述第一异常进程、第二异常进程和第三异常进程都包括异常进程标识，将异常进程标识与磁盘扇区标识进行匹配确定磁盘扇区，根据该磁盘扇区的文件属性日志对磁盘扇区的文件进行检测，所述文件属性日志包括文件大小、文件后缀名和文件建立时间，若磁盘扇区的文件属性发生变化，则将此文件判定为可疑文件；
68.根据磁盘扇区的用户操作日志对所述可疑文件进行判断，根据所述文件建立时间将磁盘扇区的用户操作日志与该文件属性日志进行对比，所述用户操作日志包括用户操作名称、文件名称、文件大小、文件后缀名和文件建立时间，
69.若文件属性日志中同一文件名称的文件建立时间对应的文件大小和文件后缀名属于磁盘扇区的用户操作日志，则将该可疑文件判定为正常文件；
70.若文件属性日志中同一文件名称的文件建立时间对应的文件大小和文件后缀名不属于磁盘扇区的用户操作日志，则将该可疑文件判定为勒索病毒文件。
71.具体而言，磁盘扇区的用户操作日志为本公司或企业内部工作人员的正常操作日志，用以排除内部人员改变文件的情况。
72.具体而言，本发明实施例通过所述紧急度将所述第一异常进程、第二异常进程和第三异常进程依次进行检测，紧急度高的优先检测，提高检测效率，可更快检测出中了勒索病毒的文件，根据第一异常进程、第二异常进程或第三异常进程的异常进程标识确定磁盘扇区，将对应磁盘扇区内的文件进行检测，根据文件属性变化判定可疑文件，再根据磁盘扇区的用户操作日志进一步判断是否为勒索病毒损害的文件，使检测更加准确，先判断可疑文件再根据可疑文件进行进一步判断，提高了勒索病毒检测的效率。
73.具体而言，在判定勒索病毒文件后，根据勒索病毒文件所在磁盘扇区的磁盘扇区标识匹配异常进程标识，根据匹配的异常进程标识调取该勒索病毒文件的实际状态，将勒
索病毒文件的实际状态与预设状态表进行比较，若勒索病毒文件的实际状态中包含预设异常状态表未记录的实际状态，则记录未记录的实际状态，将记录后的实际状态添加到所述预设异常状态表中，得到第一预设异常状态表，第一预设异常状态表将在再次进行状态监测时，与实际状态进行匹配。
74.具体而言，本发明实施例通过将勒索病毒文件的实际状态与预设异常状态表进行比较，将预设异常状态表中未记录的勒索病毒文件的实际状态添加到预设异常状态表中得到第一预设异常状态表，避免未记录的异常状态导致下次进行检测时影响检测效率，通过更新预设状态表，使得对状态检测更加准确，进而提高对勒索病毒检测的效率。
75.具体而言，在对勒索病毒进行拦截时，根据所述勒索病毒文件所在磁盘扇区的所述磁盘扇区标识确定异常进程标识，根据所述异常进程标识对对应的进程进行阻断。
76.具体而言，由于企业设备众多，根据异常进程标识确定被勒索病毒攻击的具体设备进行处理，对进程进行阻断可以为对系统进行关闭、关闭计算机和切断网络等。
77.具体而言，本发明实施例通过勒索病毒文件确定异常进程标识确定勒索病毒攻击的具体位置设备，实现对勒索病毒的处理，及时将勒索病毒进行阻断，避免勒索病毒进一步扩散，减少文件被损坏的数量，减少损失。
78.具体而言，在对所述勒索病毒文件进行优先级排序前，判定该勒索病毒文件的重要程度，根据该勒索病毒文件的文件属性日志，提取文件建立时间t1，调取所述用户操作日志中与文件建立时间t1最近的文件建立时间t2，根据文件建立时间t2调取用户操作日志中相同文件名称的文件大小e，设置有预设文件大小e0，
79.e≥e0，则判定该勒索病毒文件的重要程度为紧急；
80.e＜e0，则判定该勒索病毒文件的重要程度为一般；
81.根据勒索病毒文件的重要程度按紧急和一般的顺序依次进行优先级排序，得出第一优先级排序列表，所述第一优先级排序列表包括勒索病毒文件排序号、勒索病毒文件名称和勒索病毒文件大小。
82.具体而言，本发明实施例通过勒索病毒文件对应的用户操作日志中正常文件大小确定该勒索病毒文件的重要程度，再根据重要程度对勒索病毒文件进行优先级排序，越紧急的排序越在前，进而可优先恢复紧急即重要的文件，减少损失，提高恢复效率。
83.具体而言，当e≥e0时，若勒索病毒文件的重要程度相同且对应的所述用户操作日志中相同文件名称的文件大小相同，所述用户操作日志还包括文件标识，所述文件标识为文件机密性，根据文件标识对所述第一优先级排序列表进行重新排序，得到第二优先级排序列表；当e＜e0时，若勒索病毒文件的重要程度相同且对应的所述用户操作日志中相同文件名称的文件大小相同，根据文件标识对所述第一优先级排序列表进行重新排序，得到第二优先级排序列表，所述第二优先级排序列表包括勒索病毒文件排序号、勒索病毒文件名称和勒索病毒文件大小。
84.具体而言，所述文件标识为文件在磁盘内建立时有工作人员即用户所设，用以表示文件的机密性。
85.具体而言，本发明实施例通过根据所述用户操作日志中的文件标识再次将第一优先级排序列表中勒索病毒文件的重要程度相同且对应的所述用户操作日志中相同文件名称的文件大小相同的勒索病毒文件再次进行排序，使在进行勒索病毒文件恢复时先恢复重
要的勒索病毒文件，减少损失，提高恢复效率。
86.具体而言，在对所述勒索病毒文件进行恢复时，根据所述第二优先级排序列表中的所述勒索病毒文件排序号进行顺序恢复；
87.根据所述勒索病毒文件的勒索病毒文件名称调取与用户操作日志中相同文件名称、文件大小和文件后缀名的备份文件对勒索病毒文件进行替换。
88.具体而言，在文件在磁盘内进行存储时，同时会将干文件进行加密备份于安全位置，勒索病毒文件名称与未被勒索病毒破坏前的正常的文件名称相同，只是文件后缀和文件大小发生变化。
89.具体而言，本发明实施例通过根据所述第二优先级排序列表中的所述勒索病毒文件排序号进行顺序恢复，先恢复第二优先级排序列表中排序靠前的勒索病毒文件即重要的勒索病毒文件，减少损失，提高恢复效率。
90.请参阅图2所示，本发明实施例提供的基于磁盘块底层的防勒索病毒保护和快速恢复系统包括：
91.第一处理模块210，用以监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识；
92.检测模块220，用以根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则判定为勒索病毒文件，所述检测模块与所述第一处理模块通信连接；
93.阻断模块230，用以根据所述勒索病毒文件对对应的进程进行阻断；
94.第二处理模块240，用以对勒索病毒文件的重要程度进行判断，根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，得到优先级排序列表，根据优先级排序列表对所述勒索病毒文件进行恢复，所述第二处理模块与所述阻断模块通信连接。
95.具体而言，本发明实施例通过所述第一处理模块监测操作系统进程状态，根据预设异常状态表对操作系统进程状态进行判断，得到异常进程，对异常进程进行紧急度判断，所述异常进程包括异常进程标识，进而及时检监测到异常；所述检测模块根据所述异常进程标识确定磁盘扇区，根据磁盘扇区对磁盘扇区内的文件进行检测，若检测到文件属性变化，则检测模块将该文件判定为勒索病毒文件；所述阻断模块根据所述勒索病毒文件对对应的进程进行阻断，阻断勒索病毒进一步破坏；所述第二处理模块根据所述勒索病毒文件的重要程度对所述勒索病毒文件进行优先级排序，根据优先级排序列表对所述勒索病毒文件进行恢复，通过监测异常进程进而根据异常进程标识准确定位文件位置，并对文件属性进行比较确定勒索病毒文件，提高了检测效率，阻断勒索病毒进一步破坏，根据勒索病毒的优先级排序及时将重要文件进行恢复，减小损失。
96.具体而言，在所述第一处理模块对操作系统进程进行状态监测时，在第一处理模块中，记录单元记录实际状态，匹配单元根据预设异常状态表将预设异常状态表与实际状态进行匹配，计算单元计算匹配的异常状态个数比例p，所述预设状态表包括m个异常状态，实际匹配到n个异常状态，其中，p＝n/m，
97.若p≥50％，判定单元将此进程判定为第一异常进程，并将所述第一异常进程的紧急度判定为ⅰ级；
98.若0＜p＜50％，判定单元将此进程判定为第二异常进程，则将所述第二异常进程的紧急度判定为ⅱ级；
99.若p＝0，判定单元将此进程判定为第三异常进程，并将所述第三异常进程的紧急度判定为ⅲ级；
100.其中，紧急度ⅰ级＞ⅱ级＞ⅲ级。
101.本发明实施例提供的基于磁盘块底层的防勒索病毒保护和快速恢复系统，与上述基于磁盘块底层的防勒索病毒保护和快速恢复方法存在相同或相应的技术特征，能够达到相同的技术效果，在此不再赘述。
102.至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术特征做出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
103.以上所述仅为本发明的优选实施例，并不用于限制本发明；对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。