本发明专利技术的目的在于克服传统进程识别体系中存在的两个极端,分另为进程名的识别易被篡改,精准性差。和取进程MD5值、进程HASH值的方式精准性高但采集量大,可执行体略微变化,小版本修改就不能识别的弊端。对功能行为没有本质变量的进程一次采集可多种识别。进而提高识别效率,减少采集次数。更符合透明加解密和进程控制中对进程识别的需求,理论原理可执行程序基本功能不发生变化,其所依赖的动态库和动态库数量不会发生变化,本发明专利技术不光透明文件加密技术使用,也可用于在windows下进程识别比对所有情况,例如进程权限控制中的进程识别。
【技术实现步骤摘要】
本专利技术主要涉及信息安全领域,主要用于在windows下可执行文件甄别。
技术介绍
透明文件加密技术,是为了防止信息未经授权被拷贝出安全的计算机系统环境, 将文档自动进行加密的技术。透明文件加密系统不改变应用业务流程、不改变操作流程,计算机系统某些敏感程序生成的特定类型的即可文档保存为加密文档,系统使用者无权将文档解密或者拷贝出特定的环境使用的一种系统。透明文件加密技术中关键是通过对进程识别判定是否涉密,而对进程的识别主要采用“进程名的识别方式”,“取进程MD5值或进程HASH值”的方法这两种方法前者存在被篡改,精准性差,后者存在精准性高,但是采集和识别计算量大,运行效率不高不能接受进程微小变化。
技术实现思路
本专利技术针对现有技术中的不足,提供了一种基于可执行体的进程指纹智能识别与模糊采集技术既可高效、高精度比对又可减少进程采集次数。为了解决上述技术问题,本专利技术通过下述技术方案得以解决本专利技术的目的在于克服传统进程识别体系中存在的两个极端,分别为进程名的识别易被篡改,精准性差,而取进程MD5值、进程HASH值的方式精准性高但采集量大,可执行体略微变化,小版本修改就不能识别的弊端。对功能行为没有本质变量的进程一次采集可多种识别。进而提高识别效率,减少采集次数。更符合透明加解密和进程控制中对进程识别的需求,理论原理可执行程序基本功能不发生变化,其所依赖的动态库和动态库数量不会发生变化,本专利技术不光透明文件加密技术使用,也可用于在windows下进程识别比对所有情况, 例如进程权限控制中的进程识别。本专利技术解决其技术问题采用的技术方案,基于可执行体的进程指纹智能识别与模糊采集技术该方法包括如下步骤1进程指纹采集1.1采集程序加载可执行文件1.2采集程序解析pe头部得到导入表和导出表1.3确定导入表中相关导入项,得到第一项名称导入项数量和最后项名称导入项数量 I. 4确定导出表中相关导出项,得到导出项第一名称,如没导出项取得可执行程序映像名1.5取入相关数据结构,取结构MD5摘要存入数据库中 2进程指识别2. I在应用程序启动时,通过工作在windows内核中的进程指识别模块解析加载的可执行文件2. 2进程指识别模块解析pe头部得到导入表和导出表2. 3确定导入表中相关导入项,得到第一项名称导入项数量和最后项名称导入项数量 2. 4确定导出表中相关导出项,得到导出项第一名称,如没导出项则取得可执行程序映像名2. 5取入相关数据结构2. 6取结构MD5摘要与存储在数据库中采集的MD5摘要对比,匹配认定为该进程为采集集合中,不匹配认定为不在采集集合中。附图说明图I为进程指纹形成2为采集流程图;图3为比对流程图;图4为指纹结构图;图5为透明解密系统使用;图6为米集程序流程图。具体实施例方式下面结合附图与具体实施方式对本专利技术作进一步详细描述图I过程为进程指纹形成的示意图,包括三类元素分别为导入项、导入项数量和导出项。图4为具体存放进程指纹的相关数据结构PR0CESS_MARK_INF0RMATI0N_EX,第一导入项名、最后导入项名、导入项数量和导出项名。使用图6流程,在图6中调用图2流程完成进程指纹的采集。透明文件加密系统文件过滤模块其使用图5流程实现对进程是否涉密作判定,在采集集合中为涉密,不在采集集合中中为非涉密,使用指纹得到摘要并从数据库中比对。本专利技术解决其技术问题采用的技术方案,基于可执行体的进程指纹智能识别与模糊采集技术该方法包括如下步骤I进程指纹采集1.1采集程序加载可执行文件I.2采集程序解析pe头部得到导入表和导出表I.3确定导入表中相关导入项,得到第一项名称和最后项名称导入项数量I.4确定导出表中相关导出项,得到导出项第一名称,如没导出项则取得可执行程序映像名1.5取入相关数据结构,取结构MD5摘要存入数据库中 2进程指识别2.I在应用程序启动时,通过工作在windows内核中的进程指识别模块解析加载的可执行文件2. 2进程指识别模块解析pe头部得到导入表和导出表2. 3确定导入表中相关导入项,得到第一项名称导入项数量和最后项名称导入项数量2.4确定导出表中相关导出项,得到导出项第一名称,如没导出项取得可执行程序映像名2.5取入相关数据结构2.6取结构MD5摘要与存储在数据库中采集的MD5摘要对比,匹配认定为该进程为采集集合中,不匹配认定为不在采集集合中。总之,以上所述仅为本专利技术的较佳实施例,凡依本专利技术申请专利范围所作的均等变化与修饰,皆应属本专利技术专利的涵盖范围。权利要求1.基于可执行体的进程指纹智能识别与模糊采集系统,其特征在于包括(a)进程指纹采集系统;(b)进程指纹识别系统。2.根据权利要求I的基于可执行体的进程指纹智能识别与模糊采集系统,其特征在于进程指纹采集系统包括采集程序、采集程序解析Pe头部、指针、结构MD5和数据库。3.根据权利要求I的基于可执行体的进程指纹智能识别与模糊采集系统,其特征在于,其中进程指纹识别系统,包括应用程序、进程指纹识别模块、指针、结构MD5摘要与数据库。4.基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于包括(a)进程指纹采集;(b)进程指纹识别。5.根据权利要求4的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于其中进程指纹采集,步骤包括(a)采集程序加载可执行文件;(b)采集程序解析pe头部得到导入表和导出表;(C)根据指针,得到第一项名称导入项数量和最后项名称导入项数量,确定导出表中相关导出项,得到导出项第一名称;(d)存入相关数据结构PR0CESS_MARK_INF0RMATI0N_EX,存入第一导入项名;存入最后导入项名;存入导入项数据;存入第一导出项名或执行程序映像名,取结构MD5摘要存入数据库中。6.根据权利要求5的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于其中采集程序解析Pe头部得到导入表和导出表步骤包括(a)得到进程基址,根据进程基址计算pe文件IMAGE_DOS_HEADER,根据IMAGE_D0S_ HEADER 得到 IMAGE_NT_HEADERS ;(b)使用IMAGE_NT_HEADERS对PE文件交验判断是否为合法的可执行文件;(c)根据基址和IMAGE_DOS_HEADE计算出导入表和导出表地址;(d)枚举导入表记录导入项数量,得到指身第一导入项指针、最后导入项指针、导出项指针。7.根据权利要求4的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于其中进程指纹识别,步骤包括(a)在应用程序启动时,通过工作在windows内核中的进程指纹识别模块解析加载的可执行文件;(b)进程指纹识别模块解析pe头部得到导入表和导出表;(C)根据指针,得到第一项名称导入项数量和最后项名称导入项数量,确定导出表中相关导出项,得到导出项第一名称;(d)存入相关数据结构PR0CESS_MARK_INF0RMATI0N_EX,存入第一导入项名;存入最后导入项名;存入导入项数据;存入第一导出项名或执行程序映像名,去结构MD5摘要与存储在数据库中采集的MD5照耀对比,匹配认定为该进程为采集集合中。8.根据权利要求7的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于其中进程指纹识别模块解析Pe头部得本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:陈莺,陈欢智,林伟,
申请(专利权)人:杭州万用密宝科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。