本发明专利技术实施例提供了一种windows进程保护方法及系统,方法包括:基于hook技术,在windows所有进程中注入预设的hook模块;当检测到存在向受保护进程发出的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程。本发明专利技术实施例提供的一种windows进程保护方法及系统,能够通过在进程中注入hook模块,从而对进程进行轻量级保护,保护过程不会引起系统蓝屏并且实时阻断,响应时间短。
【技术实现步骤摘要】
一种windows进程保护方法及系统
本专利技术实施例涉及系统安全
,尤其涉及一种windows进程保护方法及系统。
技术介绍
目前,大多数企业内部的办公系统主要采用的仍旧是windows操作系统,而对于重要的企事业单位对内部的电脑都有监控软件,那么如何防止监控软件被人杀死成为了一项亟待解决的任务。现有技术中对于监控软件的防护工作主要采用了两种方式,一种是通过对进程进行驱动保护,在驱动层对终止软件的请求进行阻断实现保护。但是这种方案风险较高,一旦出现bug,将引起系统蓝屏等严重现象。第二种是通过一个守护进程或守护服务,检测监控软件是否允许,若进程被停止则重新启动,但是这种方案不能做到实时防护的效果。因此,现在亟需一种windows进程保护方法来解决现有技术中存在的问题。
技术实现思路
为了解决上述问题,本专利技术实施例提供一种克服上述问题或者至少部分地解决上述问题的一种windows进程保护方法及系统。第一方面本专利技术实施例提供一种windows进程保护方法,包括:基于hook技术,在windows所有进程中注入预设的hook模块;当检测到存在向受保护进程发出的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程。第二方面本专利技术实施例提供了一种windows进程保护系统,包括:注入模块,用于基于hook技术,在windows所有进程中注入预设的hook模块;保护模块,用于当检测到存在向受保护进程发出的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程。第三方面本专利技术实施例提供了一种电子设备,包括:处理器、存储器、通信接口和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述windows进程保护方法。第四方面本专利技术实施例提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述的windows进程保护方法。本专利技术实施例提供的一种windows进程保护方法及系统,能够通过在进程中注入hook模块,从而对进程进行轻量级保护,保护过程不会引起系统蓝屏并且实时阻断,响应时间短。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种windows进程保护方法流程示意图;图2是本专利技术实施例提供的一种windows进程保护系统结构示意图;图3是本专利技术实施例提供的电子设备的结构框图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。目前,现有技术中在进行进程保护时,经常会出现不必要的系统蓝屏现象,又或者不能实时进行阻断,造成处理延时高。针对上述问题,图1是本专利技术实施例提供的一种windows进程保护方法流程示意图,如图1所示,包括:101、基于hook技术,在windows所有进程中注入预设的hook模块;102、当检测到存在向受保护进程发出的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程。需要说明的是,本专利技术实施例的应用场景可以是在对任意进程进行保护时实施。例如:在公司内部使用本专利技术实施例提供的方法能够防止用户通过外部软件如进程管理器、procnt等软件对进程进行杀死操作,从而有针对性的对windows进程进行保护。具体的,在步骤101中,本专利技术实施例会在windows进程中注入一个hook模块,hook技术也可称为apihook技术,它可以改变一个系统api的原有功能,基本的思路是通过hook接触到需要修改的api函数入口点,然后改变它的地址指向新的自定义函数,从而改变api函数的目的。进一步的,在步骤102中,可以理解的是,通过进程中注入的hook模块能够改变系统api函数的功能和权限,从而阻止受保护的进程被杀死。在本专利技术实施例中,把针对于受保护进程的结束、终端、删除等类似的指令统称为杀死请求,那么通过hook模块检测到有针对受保护进程发生的杀死请求时,能够及时将该杀死请求进行阻断,从而保护受保护进程,上述受保护进程可以实时进行识别也可以预先定义清楚,对此本专利技术实施例不作具体限定。在上述实施例的基础上,在所述当检测到存在向受保护进程进行的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程之前,所述方法还包括:遍历windows所有进程,确定所述受保护进程的ID。由上述实施例的内容可知,本专利技术实施例会通过注入的hook模块来对受保护的进程进行实时保护。那么实质上在保护的过程中,本专利技术实施例还需要对进程进行识别,从而分析出哪个进程是我们所需要的受保护的进程。具体的,本专利技术实施例在进程列表中进行遍历,获取受保护进程的ID号,从而根据该ID号能够比对出杀死请求所针对的进程是否为受保护进程。在上述实施例的基础上,在所述遍历windows所有进程,确定所述受保护进程的ID之前,所述方法还包括:将所述受保护进程加密存储于共享内存中。由上述实施例的内容可知,本专利技术实施例会确定受保护进程的ID,可以理解的是,该受保护进程需要预先部署才能进行确定。本专利技术实施例采用的部署方案是通过共享内存将要保护的进程加密存储于共享内存中,之后在确定进程是否为受保护进程时即可直接通过共享内存检测进程ID。还需要说明的是,本专利技术实施例会提前获取受保护进程的相关信息,例如进程名称、签名、厂商等,并将相关信息一并加密写入共享内存中。在上述实施例的基础上,所述基于hook技术,在windows所有进程中注入预设的hook模块,包括:通过消息注入方式,将所述hook模块注入windows所有进程中,并在所述hook模块中hook住openprocessapi和terminateprocessapi。由上述实施例的内容可知,本专利技术实施例会在每个windows进程中进行hook模块的注入。具体的,首先本专利技术实施例需要编写hook模块,并预先在hook模块中将其与openprocess,terminateprocess函数挂钩,即本专利技术实施例中的hook住openprocessapi和terminateprocessapi,接着在主调程序中通过调用setwindowshook、setwindowshookEx等消息注入方式将hook模块注入到相应进程中,需要说明的是,本专利技术实施例也可以通过驱动注入的方式将保护模块注入到特定一些进程中,对此本专利技术实施例不作具体限定。在上述实施例的基础上,所述方法还包括:对所述openprocessapi函数进程进行处理,取消掉所述受保护进程的杀死权限,并增加所述受保护进程的查询权限。由上述实施例的本文档来自技高网...
【技术保护点】
1.一种windows进程保护方法,其特征在于,包括:基于hook技术,在windows所有进程中注入预设的hook模块;当检测到存在向受保护进程发出的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程。
【技术特征摘要】
1.一种windows进程保护方法,其特征在于,包括:基于hook技术,在windows所有进程中注入预设的hook模块;当检测到存在向受保护进程发出的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程。2.根据权利要求1所述的方法,其特征在于,在所述当检测到存在向受保护进程进行的杀死请求时,基于所述hook模块,截获所述杀死请求,以保护所述受保护进程之前,所述方法还包括:遍历windows所有进程,确定所述受保护进程的ID。3.根据权利要求2所述的方法,其特征在于,在所述遍历windows所有进程,确定所述受保护进程的ID之前,所述方法还包括:将所述受保护进程加密存储于共享内存中。4.根据权利要求2所述的方法,其特征在于,所述基于hook技术,在windows所有进程中注入预设的hook模块,包括:通过消息注入方式,将所述hook模块注入windows所有进程中,并在所述hook模块中hook住openprocessapi和terminateprocessapi。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:对所述openproces...
【专利技术属性】
技术研发人员:林皓,石建春,毕永东,顾德仲,
申请(专利权)人:北京北信源信息安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。