一种检测powershadow虚拟环境的方法及其系统技术方案

本发明专利技术提供了一种检测powershadow虚拟环境的方法，所述方法为：步骤10、设置一名称特征库，该名称特征库包含6个powershadow的名称特征，步骤20、遍历操作系统中的系统服务，查看每个系统服务的显示名称或者系统服务名；步骤30、将显示名称或者系统服务名与powershadow软件的名称特征库进行匹配，系统服务的显示名称或者系统服务名是否包含6个名称特征中的任意一条，如果包含则判定为匹配，匹配则说明程序当前运行的系统环境是powershadow构造的虚拟操作环境；如果遍历操作完成后仍没有匹配，则判定不匹配，不匹配则判定当前的系统环境是真实的操作系统环境；从而直接保护软件的安全，间接保护相关人员的利益。

【技术实现步骤摘要】
一种检测powershadow虚拟环境的方法及其系统
本专利技术涉及计算机系统通信
、软件安全、游戏外挂检测领域，特别是一种检测powershadow虚拟环境的方法及其系统。
技术介绍
文件重定向指的是通过技术手段，在某个软件针对某一指定文件进行读、写等操作的过程中，将操作对象篡改为其他文件的行为。影子系统powershadow软件会通过创建虚拟化影像、文件重定向等一系列的系统底层操作，隔离保护Windows操作系统，同时创建一个和真实操作系统一模一样的虚拟化系统环境；在这个虚拟化系统环境下，其他软件针对真实操作系统的磁盘读、写等操作都会被重定向到powershadow构造的虚拟化系统环境中，不会对真实的操作系统造成任何实质的修改，读取的数据也都来自于虚拟的操作系统环境，大致过程如图1所示。本专利中将powershadow软件构造的这个虚拟化系统环境简称为powershadow虚拟环境。影子系统powershadow软件被广泛运用于操作系统软件保护领域、恶意代码分析领域的同时，也被别有用心的人恶意用于逆向破解软件、绕过软件本文档来自技高网...

【技术保护点】
1.一种检测powershadow虚拟环境的方法，其特征在于：所述方法包括如下步骤：/n步骤10、设置一名称特征库，该名称特征库包含6个powershadow的名称特征，6个名称特征分别为字符串PowerShadow Function Service、字符串PowerShadow SystemService、字符串PsFunctionService、字符串PsDkCovr、字符串PsVfilt和字符串PsLFilt；/n步骤20、遍历操作系统中的系统服务，查看每个系统服务的显示名称或者系统服务名；/n步骤30、将显示名称或者系统服务名与powershadow软件的名称特征库进行匹配，系统服务的...

【技术特征摘要】
1.一种检测powershadow虚拟环境的方法，其特征在于：所述方法包括如下步骤：
步骤10、设置一名称特征库，该名称特征库包含6个powershadow的名称特征，6个名称特征分别为字符串PowerShadowFunctionService、字符串PowerShadowSystemService、字符串PsFunctionService、字符串PsDkCovr、字符串PsVfilt和字符串PsLFilt；
步骤20、遍历操作系统中的系统服务，查看每个系统服务的显示名称或者系统服务名；
步骤30、将显示名称或者系统服务名与powershadow软件的名称特征库进行匹配，系统服务的显示名称或者系统服务名是否包含6个名称特征中的任意一条，如果包含则判定为匹配，匹配则说明程序当前运行的系统环境是powershadow构造的虚拟操作环境；如果遍历操作完成后仍没有匹配，则判定不匹配，不匹配则判定当前的系统环境是真实的操作系统环境。


2.根据权利要求1所述的一种检测powershadow虚拟环境的方法，其特征在于：所述步骤10和步骤20之间还包括：步骤11、调用软件APISCManager获取系统服务的数据库的句柄HANDLE；
步骤12、结合HANDLE调用软件APIEnumServicesStatusEx查询所有系统服务的数据集合所占的内存总大小SIZE；
步骤13、向内存管理器申请大小为SIZE的内存空间BUFFER；
步骤14、第二次调用软件APIEnumServicesStatusEx，将系统服务的信息表拷贝到内存空间BUFFER中；
步骤15、判断第二次调用软件APIEnumServicesStatusEx是否调用成功；否，返回异常，结束流程；是，从内存空间BUFFER中读取操作系统写入的系统服务的信息表，此时BUFFER中存储的系统服务信息表以数组的形式存储数据，此处将此数组命名为DATA_ARRAY，并获得操作系统返回的系统服务总数SERVICE_NUM。


3.根据权利要求2所述的一种检测powershadow虚拟环境的方法，其特征在于：所述30进一步具体为：遍历数组DATA_ARRAY中的所有数据成员，最多遍历SERVICE_NUM次；获取数组DATA_ARRAY对应数组成员的显示名称DISPLAY_NAME或者系统服务名SERVER_NAME；使用字符串匹配方式，将显示名称DISPLAY_NAME或者系统服务名SERVER_NAME与名称特征库中的6个名称特征字符串逐一比较，判断显示名称DISPLAY_NAME或者系统服务名SERVER_NAME是否包含6个名称特征字符串中的任一字符串；若包含任一字符串，则判定当前遍历到的系统服务是powershadow程序用于构造虚拟系统的系统服务，进而判定当前运行的系统环境为powershadow程序构造的虚拟系统，清理BUFFER的内存，退出流程，返回是powershadow构造的虚拟操作环境；若6个字符串均未包含，则继续遍历数组DATA_ARRAY的下一个数组成员，如果遍历操作完成后仍没有匹配，则判定不匹配，不匹配则判定当前的系统环境是真实的操作系统环境，清理BUFFER的内存，流程结束。


4.根据权利要求2所述的一种检测powershadow虚拟环境的方法，其特征在于：判断第二次调用软件APIEnumServicesStatusEx是否调用成功，具体为：应用程序判断软件APIEnumServicesStatusEx的返回值；如果返回值不等于S_OK则说明软件APIEnumServicesStatusEx调用出错，清理BUFFER的内存，退出流程；如果返回值为S_OK，则说明软件APIEnumServicesStatusEx调用成功。


5.一种检测powershadow虚拟环境的系统，其特征在于：所述系统包括特征库创建模块、系统服务遍历模块、以及匹配模块；
所述特...

【专利技术属性】
技术研发人员：刘德建，任佳伟，何巍巍，陈宏展，
申请(专利权)人：福建天晴在线互动科技有限公司，
类型：发明
国别省市：福建;35