本发明专利技术的实施例公开一种动态链接库文件的拦截方法、装置及终端设备,涉及计算机技术领域,能够实现对于读取进程中导入表加载DLL方式的动态链接库文件的拦截且系统不弹出错误提示。所述动态链接库文件的拦截方法包括:当系统通过导入表加载动态链接库文件时,获取回调函数中的映像信息结构参数;根据所述映像信息结构参数,定位所述动态链接库文件的入口函数地址;将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统。本发明专利技术适用于终端设备的系统安全维护。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及一种动态链接库文件的拦截方法、装置及终端设备。
技术介绍
随着互联网技术发展,病毒,木马等恶意程序技术层出不穷,系统安全软件应对技术方案也需日益更新。动态链接库文件(Dynamic Link Library,简称DLL)也是恶意程序的一种运行文件,这些恶意的DLL可能被加载到进程上运行。然而,拦截恶意的DLL加载也是杀毒软件的基本功能。现有杀毒软件的恶意DLL拦截方法是挂钩创建进程会话的内核函数NtCreateSection实现的。通常在打开DLL会话时,杀毒软件会对恶意DLL进行判断和拦截。现有技术中有关进程加载DLL的方法有两种:一种是主动调用加载动态链接库的应用层函数loadlibray加载DLL,另一种是读取导入表加载DLL。现有技术中杀毒软件对恶意DLL拦截方法可以拦截主动调用加载动态链接库的应用层函数loadlibray加载DLL方式,且系统不会弹错误提示。对于读取导入表加载DLL方式,通过现有技术方案的DLL拦截方法,虽然可以实现对恶意DLL的拦截,但是系统会弹出错误提示,影响用户体验。
技术实现思路
有鉴于此,本专利技术实施例提供一种动态链接库文件的拦截方法、装置及终端设备,能够解决现有的挂钩创建进程会话的内核函数NtCreateSection虽然可以实现对恶意DLL的拦截,但是由于系统会弹出错误提示而影响用户体验的问题。第一方面,本专利技术实施例提供一种动态链接库文件的拦截方法,包括:当系统通过导入表加载动态链接库文件时,获取回调函数中的映像信息结构参数;根据所述映像信息结构参数,定位所述动态链接库文件的入口函数地址;将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统。结合第一方面,在第一方面的第一种实施方式中,所述动态链接库文件的拦截方法,在所述获取回调函数中的映像信息结构参数之前,还包括:预置加载回调模块,所述加载回调模块中定义有所述回调函数。结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述预置加载回调模块采用调用内核函数实现。结合第一方面的第二种实施方式,在第一方面的第三种实施方式中,所述将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统步骤,包括:获取动态链接库文件的加载成功指令和动态链接库文件的入口函数退出指令;将所述动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存;将所述动态链接库文件的加载成功指令返回给所述系统,以便所述系统实现所述动态链接库文件的拦截。结合第一方面的第二种实施方式,在第一方面的第四种实施方式中,所述动态链接库文件的加载成功指令中携带有所述加载成功标识。第二方面,本专利技术实施例提供一种动态链接库文件的拦截装置,包括:参数获取单元,用于当系统通过导入表加载动态链接库文件时,获取回调函数中的映像信息结构参数;定位单元,用于根据所述映像信息结构参数,定位所述动态链接库文件的入口函数地址;信息处理单元,用于将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统。结合第二方面,在第二方面的第一种实施方式中,该装置,还包括:预置单元,用于预置加载回调模块,所述加载回调模块中定义有所述回调函数。结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述预置加载回调模块采用调用内核函数实现。结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述信息处理单元包括:指令获取子单元,用于获取动态链接库文件的加载成功指令和动态链接库文件的入口函数退出指令;信息修改子单元,用于将所述动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存;信息发送子单元,用于将所述动态链接库文件的加载成功指令返回给所述系统,以便所述系统实现所述动态链接库文件的拦截。结合第二方面的第二种实施方式,在第二方面的第四种实施方式中,所述动态链接库文件的加载成功指令中携带有所述加载成功标识。第三方面,本专利技术实施例提供一种终端设备,所述终端设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述终端设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一所述的动态链接库文件的拦截方法。本专利技术实施例提供的一种动态链接库文件的拦截方法、装置及终端设备,通过在系统导入表加载动态链接库文件时,根据回调函数中的映像信息结构参数定位所述动态链接库文件的入口函数地址,通过将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统,实现了拦截动态链接库文件的加载使得系统免受所述动态链接库文件侵害。其中,所述动态链接库文件的入口函数退出指令可以实现系统退出入口函数,不再执行入口函数中的任何功能,所述动态链接库文件的加载成功指令,以便所述系统确定所述动态链接库文件加载成功,从而使得系统不会因为拦截动态链接库文件而发出错误提示,从而能够解决现有的系统弹出错误提示的问题。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术的动态链接库文件的拦截方法实施例一的流程图;图2为本专利技术的动态链接库文件的拦截方法实施例二的流程图;图3为本专利技术的动态链接库文件的拦截装置实施例一的结构示意图;图4为本专利技术的动态链接库文件的拦截装置实施例二的结构示意图;图5为本专利技术终端设备一个实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。图1为本专利技术的动态链接库文件的拦截方法实施例一的流程图,如图1所示,本实施例的方法可以包括:步骤101、当系统通过导入表加载动态链接库文件时,获取回调函数中的映像信息结构参数。本实施例中,所述回调函数中的映像信息结构参数PIMAGE_INFO中保存有所要加载的DLL的基地址。步骤102、根据所述映像信息结构参数,定位所述动态链接库文件的入口函数地址。本实施例中,由于所述映像信息结构参数中保存有所要加载的DLL的基地址,所要加载的DLL的基地址可定位到所要加载DLL的入口函数地址。入口函数即是所述所要加载的DLL的首先执行的函数地址。如果所述入口函数向系统返回失败,即DLL会加载失败,系统也会弹错误提示;如果所述入口函数向系统返回成功,即DLL会加载成功,系统不会弹错误提示。步骤103、将动态链接库文件的入口函数退出指令写本文档来自技高网...
【技术保护点】
一种动态链接库文件的拦截方法,其特征在于,包括:当系统通过导入表加载动态链接库文件时,获取回调函数中的映像信息结构参数;根据所述映像信息结构参数,定位所述动态链接库文件的入口函数地址;将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统。
【技术特征摘要】
1.一种动态链接库文件的拦截方法,其特征在于,包括:当系统通过导入表加载动态链接库文件时,获取回调函数中的映像信息结构参数;根据所述映像信息结构参数,定位所述动态链接库文件的入口函数地址;将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统。2.根据权利要求1所述的动态链接库文件的拦截方法,其特征在于,在所述获取回调函数中的映像信息结构参数之前,该方法还包括:预置加载回调模块,所述加载回调模块中定义有所述回调函数。3.根据权利要求2所述的动态链接库文件的拦截方法,其特征在于,所述预置加载回调模块采用调用内核函数实现。4.根据权利要求1-3中任意一项所述的动态链接库文件的拦截方法,其特征在于,所述将动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存,并将动态链接库文件的加载成功指令返回给所述系统步骤,包括:获取动态链接库文件的加载成功指令和动态链接库文件的入口函数退出指令;将所述动态链接库文件的入口函数退出指令写入所述动态链接库文件的入口函数地址对应的内存;将所述动态链接库文件的加载成功指令返回给所述系统,以便所述系统实现所述动态链接库文件的拦截。5.一种动态链接库文件的拦截装置,其特征在于,包括:参数获取单元,用于当系统通过导入表加载动态链接库文件时,获取回调函数中的映像信息结构参数;定位单元,用于根据所述映...
【专利技术属性】
技术研发人员:李文靖,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。