【技术实现步骤摘要】
基于操作系统驱动的进程防护方法
[0001]本专利技术涉及安全防护
,尤其涉及一种基于操作系统驱动的进程防护方法。
技术介绍
[0002]随着科技的飞速发展,众多电子产品跨入智能化触摸屏时代,如智能手机,ipad等。智能化电子产品具有独立的操作系统,可由用户根据自己的需要自行安装各种第三方服务商提供的应用软件,通过此类应用软件,可以扩展智能化电子产品的功能。智能化电子产品的开放性及可操作性强等特性决定了其应用范围广泛。
[0003]近年来,随着安全日显重要,尤其是大量恶意程序的出现,使得计算机系统及软件程序的“劫持”问题现象比较严重。虽然许多安全公司也一直与恶意程序做斗争,但威胁扔在不断演化。总的来说,当前软件程序面临的威胁,按接受威胁方式和程度,可分为如下几种:(1)恶意阻塞,这是最直接的恶意威胁方式,如恶意程序对目标程序直接挂起或者结束进程,从而阻塞其正常执行。(2)恶意破坏:恶意破坏的方式算是恶意阻塞的程度升级,通过恶意程序或人为操作对目标程序进行破坏操作。具体的方法有很多,比如实施DoS攻击、破坏软件程序模块关联、直接反卸载删除等等。(3)息窃取:信息的泄露是当前日常生活面临最大的安全问题,具体到软件本身而言亦不例外,尤其是对于那些交互性或连接数据库的软件程序,一旦被恶意劫持或者暗中信息截获,则造成私密信息的泄露。(4)恶意篡改:程序恶意篡改亦可看作是信息窃取的威胁升级,这时被编制的恶意程序已不满足于简单的信息截获,而是试图通过对目标软件的间接控制(比如传递自己的参数),来使程序按照自己的意图去
【技术保护点】
【技术特征摘要】
1.一种基于操作系统驱动的进程防护方法,其特征在于,包括以下步骤:(1)检测跨平台软件的进程是否正在运行,并将所述的跨平台软件的进程的ID号发送给操作系统的驱动,所述的操作系统的驱动使用OpenProcess函数进行所述的跨平台软件的进程的监控;(2)若监控到所述的跨平台软件的进程被关闭,所述的操作系统的驱动创建线程函数体,并将所述的线程函数体的线程参数拷贝至操作系统的进程地址空间内;(3)所述的操作系统的驱动调用内核模块来重启新的进程。2.根据权利要求1所述的基于操作系统驱动的进程防护方法,其特征在于:步骤(1)中OpenProcess函数存储在操作系统的API库中;步骤(1)中所述的跨平台软件的进程的监控利用影子内核方式来实现,影子内核通过加电启动来加载所述的跨平台软件的进程对应的内存数据镜像至操作系统的物理内存中。3.根据权利要求2所述的基于操作系统驱动的进程防护方法,其特征在于:所述的影子内核数据镜像的校验步骤如下:(1)将内核镜像以PE文件格式进行内存映射,加载内核镜像文件中的代码及数据,形成影子内核代码初始态;(2)影子内核数据未经历系统开机启动时刻的内核初始化,需重定位到原内核数据,影子内核进行正常执行;依据影子内核代码及数据与原内核代码及数据相对位置不变这一原理,有:D
actual
‑
D
actual_imageBase
=D
default
‑
D
default_imageBase
(Ⅰ)式中,D
actual_imageBase
是原内核加载基地址;D
actual
是原内核中数据的正确值地址,也是影子内核重定向数据指向的数据位置;D
default_imageBase
是影子内核加载基地址;D
default
是重定向表给出的需要修复的重定向数据地址;(3)修复影子内核系统调用表中系统调用的地址,使其指向影子内核纯净的可执行代码;根据影子内核加载基地址与原内核加载基地址之间的偏移,可依据式(2)确定每一个系统调用函数地址:NewSSDTFuncAddr=OrigSSDTFuncAddr+Δ
ꢀꢀꢀꢀ
(Ⅱ)式中,NewSSDTFuncAddr是影子内核SSDT表中的某个系统调用函数地址;OrigSSDTF uncAddr是原内核SSDT表中对应的系统调用函数地址;Δ是影子内核加载基地址与原内核加载基地址之间的偏移量。4.根据权利要求3所述的基于操作系统驱动的进程防护方法,其特征在于:步骤(2)中所述的线程函数体为影子内核自动产生的BLAS库函数体,其中自动产生方法为影子内核利用系统钩子将LoadLibarary函数加载至空白的dll模块上。5.根据权利要求4所述的基于操作系统驱动的进程防护方法,其特征在于:步骤(2)中系统钩子的使用方法如下:(1)创建钩子函数,其中,所述钩子函数中包含第一参数和第二参数,所述第一参数用于保存所述的跨平台软件的进程的句柄,所述第二参数用于保存所述的跨平台软件的进程的属性信息;(2)将所述的钩子函数的函数地址替换所述的操作系统的服务描述符表SSDT表中用于
设置所述的跨平台软件的内核函数的原始函数地址;(3)根据所述第一参数和所述第二参数判断当前所述的操作系统是否满足进程保护条件;(4)如果当前所述的操作系统满足所述进程保护条件,则通过所述的钩子函数拦截对所述的跨平台软件的进程的属性设置。6.根据权利要求4所述的基于操作系统驱动的进程防护方法,其特征在于:所述的系统钩子拦截对所述...
【专利技术属性】
技术研发人员:夏春宇,苗维杰,
申请(专利权)人:杭州立思辰安科科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。