基于Windows系统的进程黑白名单控制方法技术方案

基于Windows系统的进程黑白名单控制方法，采用PsSetCreateProcessNotifyRoutine注册进程通知回调，对NtCreateSection、NtClose、NtCreateProcess函数进行挂钩，用于拦截和监控进程创建过程。同时还需拦截在创建进程时执行的函数NtCreateProcess、NtCreateProcessEx，用于判断被创建的进程是否允许运行，对非法的进程创建进行拦截。当系统调用“进程通知回调函数”时，则会对正在创建的进程再次进行判断，以确保能够准确的获取该进程所对应的用户名，实现按用户控制进程是否允许运行。本发明专利技术提供一种高效的黑白名单控制方法。

【技术实现步骤摘要】

本专利技术涉及一种。
技术介绍
目前Windows系统上进程监控技术大多米用PsSetCreateProcessNotifyRoutine、PsSetLoadImageNotifyRoutine注册进程创建回调和镜像加载回调来实现,或是采用HookNtCreateSection 或 NtCreateProcess 来实现。PsSetCreateProcessNotifyRoutine通过注册回调函数实现进程监控，而此时进程实际上已经在运行，无法在进程运行之前阻止进程运行，PsSetLoadImageNotifyRoutine和NtCreateSection在非创建进程的情况下也会被调用，因此对当前是否为创建进程的判断显得比较麻烦，也无法准确获取当前创建进程的用户，无法按用户控制进程的使用权限。拦截NtCreateProcess，利用这种方式在获取进程路径不一定是真实的进程路径，存在较大局限性。这种方式一般只是对父进程进行判断，在程序修改令牌情况下则无法正确识别。有鉴于此，本专利技术人针对现有技术的缺陷深入研究，并有本案产生。
技术实现思路
本专利技术所要解决的技术问题在于提供一种高效的本文档来自技高网...

【技术保护点】
基于Windows系统的进程黑白名单控制方法，其特征在于：包括如下步骤：步骤1：采用PsSetCreateProcessNotifyRoutine注册进程通知回调函数；步骤2：使用SSDT？Hook对NtCreateSection、NtCreateProcess、NtCreateProcessEx、NtClose函数进行挂钩，使之被拦截；步骤3：控制程序将事件标志发送到拦截驱动中；步骤4：用户打开程序；步骤5：系统调用NtCreateSection，调用原有的流程，并记录Section与FileObject之间的对应关系；步骤6：系统调用NtCreateProcess创建进程，此时根据Sect...

【技术特征摘要】

【专利技术属性】
技术研发人员：张辉，
申请(专利权)人：福建升腾资讯有限公司，
类型：发明
国别省市：