一种保护安全防护应用程序文件的方法、装置及电子设备制造方法及图纸

本发明专利技术的实施例公开一种保护安全防护应用程序文件的方法、装置及电子设备，涉及信息安全技术。包括：在预先注入的钩子函数监测到键值设置内核函数被调用时，钩住该函数；依据键值设置内核函数中的注册表路径句柄参数获取注册表路径，提取键值设置内核函数中的键值名参数；如果注册表路径为会话管理注册表路径，且提取的键值名参数为重命名操作键值，提取键值设置内核函数中的待删除文件路径参数；如果提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录相同，拒绝所述键值设置内核函数写注册表的操作。本发明专利技术适用于对安全安全防护应用程序文件进行保护。

【技术实现步骤摘要】

本专利技术涉及信息安全技术，尤其涉及一种保护安全防护应用程序文件的方法、装置及电子设备。
技术介绍
随着计算机通信以及互联网技术的不断发展，电子设备的应用越来越普遍，例如，智能移动电话、个人数字助理、掌上电脑、笔记本电脑得到了越来越广泛的应用，电子设备中安装的应用程序(APP，Application)也越来越多，使得操作系统被一些应用程序攻击的可能性也越来越大。为了保障操作系统的安全，在Windows操作系统中，一般安装有使用内核驱动层对操作系统的各应用程序中的文件进行安全防护的安全防护应用程序，例如，金山毒霸应用程序，用以对可能导致操作系统安全隐患的一些应用程序的访问进行阻止，可以有效提升操作系统的安全性。其中，安全防护应用程序防护操作系统安全的首要条件是确保自身文件的完整性，即在操作系统运行过程中，需要确保自身的文件免受一些其他应用程序的攻击而导致的特定文件(例如，病毒防护文件、病毒查杀文件等)不可用，从而失去对操作系统的安全防护。现有保护安全防护应用程序文件的方法，在操作系统启动成功后，当有其他应用程序向操作系统发起对安全防护应用程序文件的操作请求时，例如，请求对安全防护应用程序文件进行读、写、删除、重命名等操作时，利用微软提供的文件系统过滤驱动框架捕获并拦截操作请求，判断操作请求对应的文件路径是否为预先设置的安全防护应用程序文件映射的目录，如果是且操作为删除或写操作时，向操作系统返回拒绝状态，拒绝对安全防护应用程序文件的操作请求，从而实现相关文件的保护。但该保护安全防护应用程序文件的方法，在操作系统进行初始化的过程中，例如，操作系统重启过程中，由于安全防护应用程序还未完成相应的初始化，因而，未能启动相应的安全防护功能，如果其他应用程序在操作系统初始化过程中对安全防护应用程序文件进行恶意攻击，例如，删除或卸载安全防护应用
程序中的特定应用功能对应的驱动安全防护应用程序文件，将导致安全防护应用程序在完成初始化后，相应特定功能未能启动，从而失去对操作系统进行安全防护的功能，使得电子设备操作系统的安全性较低。
技术实现思路
有鉴于此，本专利技术实施例提供一种保护安全防护应用程序文件的方法、装置及电子设备，能够提升安全防护应用程序文件在操作系统初始化过程中的安全性，以解决现有的保护安全防护应用程序文件的方法不能在操作系统初始化过程中进行安全保护的问题。第一方面，本专利技术实施例提供一种保护安全防护应用程序文件的方法，包括：在预先注入的钩子函数监测到键值设置内核函数被调用时，钩住所述键值设置内核函数；依据所述键值设置内核函数中的注册表路径句柄参数获取注册表路径，提取所述键值设置内核函数中的键值名参数；如果所述注册表路径为预先设置的会话管理注册表路径，且提取的键值名参数为预先设置的重命名操作键值，提取所述键值设置内核函数中的待删除文件路径参数；如果提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录相同，拒绝所述键值设置内核函数写注册表的操作。结合第一方面，在第一方面的第一种实施方式中，所述在预先注入的钩子函数监测到键值设置内核函数被调用时，钩住所述键值设置内核函数包括：预先注入的钩子函数监测到移动操作内核函数被调用；监测所述移动操作内核函数被写入预先设置的移动操作参数；监测写入移动操作参数的移动操作内核函数调用所述键值设置内核函数；监测所述写入移动操作参数的移动操作内核函数将所述移动操作参数写入调用的所述键值设置内核函数；钩住所述写入移动操作参数的所述键值设置内核函数。结合第一方面的第一种实施方式，在第一方面的第二种实施方式中，所述钩住所述写入移动操作参数的所述键值设置内核函数时，将所述移动操作参数写入所述钩子函数中；所述依据所述键值设置内核函数中的注册表路径句柄参数获取注册表路径，提取所述键值设置内核函数中的键值名参数包括：依据所述钩子函数中的注册表路径句柄参数获取注册表路径，提取所述钩子函数中的键值名参数。结合第一方面，在第一方面的第三种实施方式中，所述键值设置内核函数为NtSetValueKey内核函数。结合第一方面、第一方面的第一种至第三种中的任一实施方式，在第一方面的第四种实施方式中，在所述如果提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录相同之后，拒绝所述键值设置内核函数写注册表的操作之前，所述方法还包括：获取调用所述键值设置内核函数的进程路径；如果所述进程路径对应的应用程序与预先设置的应用程序库中任一应用程序不相同，执行所述拒绝所述键值设置内核函数写注册表的操作的步骤。结合第一方面的第四种实施方式，在第一方面的第五种实施方式中，所述获取调用所述键值设置内核函数的进程路径包括：调用操作系统的当前进程获取内核函数以及系统信息查询内核函数，依据所述当前进程获取内核函数以及系统信息查询内核函数获取所述进程路径。结合第一方面的第五种实施方式，在第一方面的第六种实施方式中，所述方法还包括：如果所述进程路径对应的应用程序与预先设置的安全防护应用程序库中任一安全防护应用程序相同，解除对所述键值设置内核函数的钩住。结合第一方面、第一方面的第一种至第三种中的任一实施方式，在第一方面的第七种实施方式中，所述方法还包括：如果所述注册表路径不为预先设置的会话管理注册表路径，或提取的键值
名参数不为预先设置的重命名操作键值，或提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录不相同，解除对所述键值设置内核函数的钩住。第二方面，本专利技术实施例提供一种保护安全防护应用程序文件的装置，包括：钩子监测模块、键值名提取模块、文件路径获取模块以及文件处理模块，其中，钩子监测模块，用于在预先注入的钩子函数监测到键值设置内核函数被调用时，钩住所述键值设置内核函数；键值名提取模块，用于依据所述键值设置内核函数中的注册表路径句柄参数获取注册表路径，提取所述键值设置内核函数中的键值名参数；文件路径获取模块，如果所述注册表路径为预先设置的会话管理注册表路径，且提取的键值名参数为预先设置的重命名操作键值，提取所述键值设置内核函数中的待删除文件路径参数；文件处理模块，如果提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录相同，拒绝所述键值设置内核函数写注册表的操作。结合第二方面，在第二方面的第一种实施方式中，所述钩子监测模块包括：第一调用监测单元、第一写入监测单元、第二调用监测单元、第二写入监测单元以及第一钩子单元，其中，第一调用监测单元，用于利用预先注入的钩子函数监测到移动操作内核函数被调用；第一写入监测单元，用于监测所述移动操作内核函数被写入移动操作参数；第二调用监测单元，用于监测写入移动操作参数的移动操作内核函数调用所述键值设置内核函数；第二写入监测单元，用于监测所述写入移动操作参数的移动操作内核函数将所述移动操作参数写入调用的所述键值设置内核函数；第一钩子单元，用于钩住所述写入移动操作参数的所述键值设置内核函数。结合第二方面，在第二方面的第二种实施方式中，所述第一钩子单元还用
于在钩住所述写入移动操作参数的所述键值设置内核函数时，将所述移动操作本文档来自技高网...

【技术保护点】
一种保护安全防护应用程序文件的方法，其特征在于，包括：在预先注入的钩子函数监测到键值设置内核函数被调用时，钩住所述键值设置内核函数；依据所述键值设置内核函数中的注册表路径句柄参数获取注册表路径，提取所述键值设置内核函数中的键值名参数；如果所述注册表路径为预先设置的会话管理注册表路径，且提取的键值名参数为预先设置的重命名操作键值，提取所述键值设置内核函数中的待删除文件路径参数；如果提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录相同，拒绝所述键值设置内核函数写注册表的操作。

【技术特征摘要】
1.一种保护安全防护应用程序文件的方法，其特征在于，包括：在预先注入的钩子函数监测到键值设置内核函数被调用时，钩住所述键值设置内核函数；依据所述键值设置内核函数中的注册表路径句柄参数获取注册表路径，提取所述键值设置内核函数中的键值名参数；如果所述注册表路径为预先设置的会话管理注册表路径，且提取的键值名参数为预先设置的重命名操作键值，提取所述键值设置内核函数中的待删除文件路径参数；如果提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录相同，拒绝所述键值设置内核函数写注册表的操作。2.根据权利要求1所述的保护安全防护应用程序文件的方法，其特征在于，所述在预先注入的钩子函数监测到键值设置内核函数被调用时，钩住所述键值设置内核函数包括：预先注入的钩子函数监测到移动操作内核函数被调用；监测所述移动操作内核函数被写入移动操作参数；监测写入移动操作参数的移动操作内核函数调用所述键值设置内核函数；监测所述写入移动操作参数的移动操作内核函数将所述移动操作参数写入调用的所述键值设置内核函数；钩住所述写入移动操作参数的所述键值设置内核函数。3.根据权利要求2所述的保护安全防护应用程序文件的方法，其特征在于，所述钩住所述写入移动操作参数的所述键值设置内核函数时，将所述移动操作参数写入所述钩子函数中；所述依据所述键值设置内核函数中的注册表路径句柄参数获取注册表路径，提取所述键值设置内核函数中的键值名参数包括：依据所述钩子函数中的注册表路径句柄参数获取注册表路径，提取所述钩子函数中的键值名参数。4.根据权利要求1所述的保护安全防护应用程序文件的方法，其特征在于，
\t所述键值设置内核函数为NtSetValueKey内核函数。5.根据权利要求1至4任一项所述的保护安全防护应用程序文件的方法，其特征在于，在所述如果提取的待删除文件路径参数与预先设置的安全防护应用程序文件目录库中任一安全防护应用程序文件目录相同之后，拒绝所述键值设置内核函数写注册表的操作之前，所述方法还包括：获取调用所述键值设置内核函数的进程路径；如果所述进程路径对应的应用程序与预先设置的应用程序库中任一应用程序不相同，执行所述拒绝所述键值设置内核函数写注册表的操作的步骤。6.根据权利要求5所述的保护安全防护应用程序文件的方法，其特征在于，所述获取...

【专利技术属性】
技术研发人员：李文靖，
申请(专利权)人：北京金山安全软件有限公司，
类型：发明
国别省市：北京;11