【技术实现步骤摘要】
一种通过修改进程保护程序的方法
本专利技术涉及程序保护领域,具体涉及一种通过修改进程保护程序的方法。
技术介绍
通常情况下,恶意代码会通过篡改原进程主镜像中的入口代码,来实现执行恶意代码的目的。比如恶意程序在目标程序代码入口点写入一个JUMP指令(如图1所示的“YYYYYYY”),让CPU在执行该目标程序原进程的入口代码时JUMP到恶意代码处执行。现有的防范方法,在发现一个进程入口代码被恶意篡改后,只是简单地阻止该进程运行,以避免被篡改后的恶意代码被执行。但被攻击的进程被阻止运行后,其功能就不能得到实现。
技术实现思路
本专利技术提供一种通过修改进程保护程序的方法,解决的技术问题在于:现有采用阻止程序运行以避免被篡改后的恶意代码被执行的恶意程序防范方法,已无法实现目标程序的功能。本专利技术提供的基础方案为:一种通过修改进程保护程序的方法,包括:父进程创建子进程,并设置所述子进程一经建立便立即被挂起,此时所述子进程的进程空间中包括子进程主镜像正本;在所述子进程的进程空...
【技术保护点】
1.一种通过修改进程保护程序的方法,其特征在于,包括:/n父进程创建子进程,并设置所述子进程一经建立便立即被挂起,此时所述子进程的进程空间中包括子进程主镜像正本;/n在所述子进程的进程空间中创建至少一个隐藏的子进程主镜像副本,所述子进程主镜像副本与所述子进程主镜像正本一致;/n将所述子进程的主线程入口地址从所述子进程主镜像正本的入口地址修改为被选中的子进程主镜像副本的入口地址;/n恢复执行所述子进程的主线程,执行所述被选中的子进程主镜像副本。/n
【技术特征摘要】
1.一种通过修改进程保护程序的方法,其特征在于,包括:
父进程创建子进程,并设置所述子进程一经建立便立即被挂起,此时所述子进程的进程空间中包括子进程主镜像正本;
在所述子进程的进程空间中创建至少一个隐藏的子进程主镜像副本,所述子进程主镜像副本与所述子进程主镜像正本一致;
将所述子进程的主线程入口地址从所述子进程主镜像正本的入口地址修改为被选中的子进程主镜像副本的入口地址;
恢复执行所述子进程的主线程,执行所述被选中的子进程主镜像副本。
2.如权利要求1所述的一种通过修改进程保护程序的方法,其特征在于,所述子进程主镜像正本和所述子进程主镜像副本均包括PE文件头、代码和其它数据,所述代码中包括所述目标程序的入口代码。
3.如权利要求1所述的一种通过修改进程保护程序的方法,其特征在于:所述子进程主镜像副本创建在所述子进程的任意可用进程空间中。
4.如权利要求1所述的一种通过修改进程保护程序的方法,其特征在于,隐藏所述述子进程主镜像副本的方式包括:镜像文件内存加载,在PEB_LDR_DATA数据结构中脱链,抹除副本文件名,抹除副本PE头数据。
5.如权利要求1所述的一种通过修改进程保护程序的方法,其特征在于:
所述子进程主镜像副本为一个;
或者,所述子进程主镜像副本为两个,其中一个所述子进程主镜像副本被选中;
或者,所述子进程主镜像副本为m个,其中一个所述子进程主镜像副本被选中,m≥3。
6.如权利要求1所述的一种通过修改进程保护程序的方法,其特征在于:
所述子进程为第一级子进程,为所述父进程直接创建;
或者,所述子进程为第二级子进程,为所述父进程直接创建的第一级子进程再创建;
或者,所述子进程为第n级子进程,为根据所述父进程创建的第n-1级子进程再创建,n≥3。
...
【专利技术属性】
技术研发人员:吴钢,
申请(专利权)人:重庆夏软科技有限公司,
类型:发明
国别省市:重庆;50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。