一种基于驱动特征检测powershadow虚拟环境的方法及其系统技术方案

本发明专利技术提供了一种基于驱动特征检测powershadow虚拟环境的方法，所述方法为：步骤10、设置一驱动名称特征库，该驱动名称特征库包含4条powershadow的驱动名称特征，步骤20、遍历操作系统中的驱动程序，查看每个驱动程序的驱动名；步骤30、将每个驱动名与所述驱动名称特征库进行匹配，驱动程序的驱动名是否包含4条驱动名称特征中的任意一条，如果包含则判定为匹配，匹配则说明程序当前运行的系统环境是powershadow构造的虚拟操作环境；如果遍历操作完成后仍没有匹配，则判定不匹配，不匹配则判定当前的系统环境是真实的操作系统环境；从而直接保护软件的安全，间接保护相关人员的利益。

【技术实现步骤摘要】
一种基于驱动特征检测powershadow虚拟环境的方法及其系统
本专利技术涉及计算机系统通信
、软件安全、游戏外挂检测领域，特别是一种基于驱动特征检测powershadow虚拟环境的方法及其系统。
技术介绍
文件重定向指的是通过技术手段，在某个软件针对某一指定文件进行读、写等操作的过程中，将操作对象篡改为其他文件的行为。影子系统powershadow软件会通过创建虚拟化影像、文件重定向等一系列的系统底层操作，隔离保护Windows操作系统，同时创建一个和真实操作系统一模一样的虚拟化系统环境；在这个虚拟化系统环境下，其他软件针对真实操作系统的磁盘读、写等操作都会被重定向到powershadow构造的虚拟化系统环境中，不会对真实的操作系统造成任何实质的修改，读取的数据也都来自于虚拟的操作系统环境，大致过程如图1所示。本专利中将powershadow软件构造的这个虚拟化系统环境简称为powershadow虚拟环境。影子系统powershadow软件被广泛运用于操作系统软件保护领域、恶意代码分析领域的同时，也被别有用心的本文档来自技高网...

【技术保护点】
1.一种基于驱动特征检测powershadow虚拟环境的方法，其特征在于：所述方法包括如下步骤：/n步骤10、设置一驱动名称特征库，该驱动名称特征库包含4条powershadow的驱动名称特征，该4条驱动名称特征分别为字符串PsFunctionService、字符串PsDkCovr、字符串PsVfilt和字符串PsLFilt；/n步骤20、遍历操作系统中的驱动程序，查看每个驱动程序的驱动名；/n步骤30、将每个驱动名与所述驱动名称特征库进行匹配，驱动程序的驱动名是否包含4条驱动名称特征中的任意一条，如果包含则判定为匹配，匹配则说明程序当前运行的系统环境是powershadow构造的虚拟操作环境...

【技术特征摘要】
1.一种基于驱动特征检测powershadow虚拟环境的方法，其特征在于：所述方法包括如下步骤：
步骤10、设置一驱动名称特征库，该驱动名称特征库包含4条powershadow的驱动名称特征，该4条驱动名称特征分别为字符串PsFunctionService、字符串PsDkCovr、字符串PsVfilt和字符串PsLFilt；
步骤20、遍历操作系统中的驱动程序，查看每个驱动程序的驱动名；
步骤30、将每个驱动名与所述驱动名称特征库进行匹配，驱动程序的驱动名是否包含4条驱动名称特征中的任意一条，如果包含则判定为匹配，匹配则说明程序当前运行的系统环境是powershadow构造的虚拟操作环境；如果遍历操作完成后仍没有匹配，则判定不匹配，不匹配则判定当前的系统环境是真实的操作系统环境。


2.根据权利要求1所述的一种基于驱动特征检测powershadow虚拟环境的方法，其特征在于：所述步骤10和步骤20之间还包括：步骤11、获取操作系统的模块ntdll.dll的模块句柄HANDLE；
步骤12、使用模块句柄HANDLE检索软件APINtQuerySystemInfomation在内存中的函数地址P_ADDR；
步骤13、判断P_ADDR是否为空值NULL，是，异常退出，返回异常，结束流程，否，申请一内存空间MODULES，
步骤14、动态调用NtQuerySystemInfomation，判断NtQuerySystemInfomation是否调用成功；否，异常退出，返回异常，结束流程，是，此时所有的驱动程序的信息都被操作系统以RTL_PROCESS_MODULES格式存储于内存空间MODULES中，所述RTL_PROCESS_MODULES格式用于存储程序进程模块信息的数据格式，包含两个数据成员：一个8字节的总数MODULE_SAY_ISI和一个数组MODULER。


3.根据权利要求2所述的一种基于驱动特征检测powershadow虚拟环境的方法，其特征在于：所述步骤30进一步具体为：遍历数组MODULER的所有数据成员，最多遍历MODULE_SAY_ISI次；获得数组MODULER对应成员的成员数据FullPathName和OffsetToFileName，其中，FullPathName存储一个指针，指向存储驱动程序完整文件路径的字符串FULL_PATH的首个字节的内存地址；OffsetToFileName存储文件名字符串的首字母相对于FullPathName的偏移大小；将FullPathName和OffsetToFileName相加，获得内存地址PNAME，该内存地址PNAME存储驱动程序的名称字符串NAME的首字节的内存地址；使用字符串匹配方式，将PNAME指向的驱动程序名称NAME与驱动名称特征库中的4条驱动名称特征字符串逐一比较，判断NAME是否包含4条驱动名称特征字符串中的任一字符串；若包含任一字符串，则判定当前遍历到的驱动程序是powershadow程序用于构造虚拟系统的驱动程序，进而判定当前运行的系统环境为powershadow程序构造的虚拟系统，退出流程，返回是powershadow构造的虚拟操作环境；若4条字符串均未包含，则继续遍历MODULER的下一个数据成员，如果遍历操作完成后仍没有匹配，则判定不匹配，不匹配则判定当前的系统环境是真实的操作系统环境。


4.根据权利要求1所述的一种基于驱动特征检测powershadow虚拟环境的方法，其特征在于：所述步骤30后还包括：步骤40、当匹配流程结束后，判断操作系统是否申请过内存空间MODULES，是，则释放申请的内存空间，否，则不进行操作。


5.一种基于驱动特征检测powershadow虚拟环境的系统，其特征在于：所述系统包括特征库创建模块、驱动程序遍历模块、以及匹配模块；
所...

【专利技术属性】
技术研发人员：刘德建，任佳伟，何巍巍，陈宏展，
申请(专利权)人：福建天晴在线互动科技有限公司，
类型：发明
国别省市：福建;35