两个人的电影免费视频_国产精品久久久久久久久成人_97视频在线观看播放_久久这里只有精品777_亚洲熟女少妇二三区_4438x8成人网亚洲av_内谢国产内射夫妻免费视频_人妻精品久久久久中国字幕

一種Windows的進(jìn)程保護(hù)方法

文檔序號(hào):6620820閱讀:5118來源:國知局
一種Windows的進(jìn)程保護(hù)方法
【專利摘要】本發(fā)明公開了一種Windows的進(jìn)程保護(hù)方法,其通過驅(qū)動(dòng)程序把含有核心功能代碼的dll注入到系統(tǒng)進(jìn)程運(yùn)行,從而監(jiān)視被保護(hù)進(jìn)程的狀態(tài)。通過注入的dll動(dòng)態(tài)庫這個(gè)跳板,系統(tǒng)動(dòng)態(tài)庫scesrv.dll就會(huì)重新加載到系統(tǒng)進(jìn)程services.exe的內(nèi)存空間中,這也使注入的dll動(dòng)態(tài)庫神不知鬼不覺地加載到系統(tǒng)進(jìn)程services.exe的內(nèi)存空間中去。本發(fā)明方法有很好的穩(wěn)定性和兼容性,實(shí)現(xiàn)難度不大,隱蔽性好,由于沒有Patch系統(tǒng)代碼,所以64位Windows操作系統(tǒng)也同樣適用。
【專利說明】-種Windows的進(jìn)程保護(hù)方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其涉及一種Windows的進(jìn)程保護(hù)方法。

【背景技術(shù)】
[0002] 進(jìn)程保護(hù)是為了防止惡意程序破壞進(jìn)程的正常運(yùn)行。很多軟件,如機(jī)房的監(jiān)控系 統(tǒng)、計(jì)費(fèi)系統(tǒng)等,以及一些必須確保自身運(yùn)行過程中不被強(qiáng)行中斷,否則會(huì)導(dǎo)致數(shù)據(jù)丟失、 操作系統(tǒng)崩潰等嚴(yán)重后果的軟件,都需要對自身進(jìn)行必要的防護(hù),防止惡意行為或者操作 者的誤操作引起的損失。
[0003] 要強(qiáng)制關(guān)閉一個(gè)進(jìn)程,通常的做法是在應(yīng)用層調(diào)用OpenProcess函數(shù)打開進(jìn)程, 打開進(jìn)程后再調(diào)用TerminateProcess函數(shù)強(qiáng)制關(guān)閉進(jìn)程。所以,進(jìn)程保護(hù)的方法就是要阻 止這兩個(gè)函數(shù)的其中一個(gè)運(yùn)行就可以了。在Windows系統(tǒng)的內(nèi)核,這兩個(gè)函數(shù)分別對應(yīng)的 是NtOpenProcess函數(shù)和NtTerminateProcess函數(shù)。要接管這兩個(gè)函數(shù),可以在驅(qū)動(dòng)層的 SSDT表(System Services Descriptor Table)把指向這兩個(gè)函數(shù)的地址替換成自己函數(shù) 的地址(Hook方法)。這樣,所有調(diào)用這兩個(gè)函數(shù)的調(diào)用,都先會(huì)經(jīng)過自己函數(shù)的判斷,才會(huì) 去調(diào)用真正的函數(shù)去執(zhí)行,這樣就可以起到保護(hù)進(jìn)程的作用。
[0004] 采用SSDT Hook的方法實(shí)現(xiàn)簡單,系統(tǒng)本身就會(huì)導(dǎo)出SSDT表。但是就是因?yàn)檫^于 簡單,所以很多殺毒軟件、病毒和一些監(jiān)控類軟件,都會(huì)檢查或者使用這個(gè)SSDT表。所以使 用SSDTHook方法會(huì)有隱藏性不足的問題,并且會(huì)和其他軟件產(chǎn)生穩(wěn)定性和兼容性的問題 等。由于在64位的Windows下系統(tǒng)自帶一個(gè)PatchGuard技術(shù),這個(gè)技術(shù)會(huì)定期檢查系統(tǒng) 的內(nèi)核有無被修改(Patch),一旦修改就會(huì)引發(fā)藍(lán)屏,所以SSDT Hook方法在64位系統(tǒng)下不 能使用。
[0005] 針對SSDT Hook的方法存在不足,就產(chǎn)生了 inLine Hook方法。inLine Hook方 法是指在函數(shù)開頭處寫入jmp XXXX的匯編指令,來轉(zhuǎn)跳到自己的函數(shù)。這樣就可以使 被Hook函數(shù)先執(zhí)行我們自己的判斷函數(shù)后,再執(zhí)行被Hook函數(shù),從而到達(dá)Hook目的。 對于進(jìn)程保護(hù)的兩個(gè)函數(shù):NtOpenProcess函數(shù)和NtTerminateProcess函數(shù),他們執(zhí)行 中會(huì)調(diào)用到:0bReference0bjectByHandle 函數(shù)、ObReferenceObjectByPointer 函數(shù)和 ObpCreateHandle函數(shù)。所以,只要對這3個(gè)函數(shù)進(jìn)行inLine Hook就可以達(dá)到進(jìn)程保護(hù)的 目的。
[0006] 由于要Patch系統(tǒng)代碼,所以采用inLine Hook的方法難度高,穩(wěn)定性差。如果其 他進(jìn)程保護(hù)軟件也inLine Hook同一函數(shù),就會(huì)存在兼容性的問題。另外,在64位Windows 系統(tǒng)下也存在不能使用的問題。


【發(fā)明內(nèi)容】

[0007] 本發(fā)明為了克服現(xiàn)有技術(shù)中的缺點(diǎn)或不足,提供了一種Windows的進(jìn)程保護(hù)方 法,從而實(shí)現(xiàn)了保護(hù)進(jìn)程的目的。
[0008] -種Windows的進(jìn)程保護(hù)方法,其通過驅(qū)動(dòng)程序把含有核心功能代碼的dll注入 到系統(tǒng)進(jìn)程運(yùn)行,從而監(jiān)視被保護(hù)進(jìn)程的狀態(tài)。
[0009] 該發(fā)明方法的具體流程為:當(dāng)Windows系統(tǒng)啟動(dòng)的時(shí)候通過自定義的驅(qū)動(dòng)程序調(diào) 用映像加載通知函數(shù)來注冊自定義的映像加載回調(diào)函數(shù)。當(dāng)被注入的目標(biāo)系統(tǒng)進(jìn)程啟動(dòng) 前,并且映像開始加載的時(shí)候,自定義的映像加載回調(diào)函數(shù)就會(huì)馬上被調(diào)用。在自定義的回 調(diào)函數(shù)中檢查目標(biāo)系統(tǒng)進(jìn)程的導(dǎo)入表,當(dāng)找到可以注入的系統(tǒng)動(dòng)態(tài)庫dll的時(shí)候,就修改 目標(biāo)系統(tǒng)進(jìn)程的導(dǎo)入表,把系統(tǒng)動(dòng)態(tài)庫dll更改為自定義的動(dòng)態(tài)庫,即注入的dll動(dòng)態(tài)庫, 這樣就完成dll注入動(dòng)作。當(dāng)系統(tǒng)進(jìn)程啟動(dòng)后,注入的dll動(dòng)態(tài)庫中的代碼就可以秘密地 運(yùn)行。在后臺(tái)隱藏運(yùn)行的代碼可以不斷地監(jiān)視被保護(hù)進(jìn)程的相關(guān)情況,在遇到特殊情況發(fā) 現(xiàn)被保護(hù)進(jìn)程關(guān)閉后,就可以馬上重啟被保護(hù)進(jìn)程,這樣就可以達(dá)到進(jìn)程保護(hù)的目的。
[0010] 本發(fā)明技術(shù)方案帶來的有益效果:
[0011] 本發(fā)明方法有很好的穩(wěn)定性和兼容性,實(shí)現(xiàn)難度不大,隱蔽性好,由于沒有Patch 系統(tǒng)代碼,所以64位Windows操作系統(tǒng)也同樣適用。

【專利附圖】

【附圖說明】
[0012] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以 根據(jù)這些附圖獲得其它的附圖。
[0013] 圖1是本發(fā)明的方法流程圖。

【具體實(shí)施方式】
[0014] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0015] 針對現(xiàn)有技術(shù)出現(xiàn)的問題,本發(fā)明方法采用:通過驅(qū)動(dòng)程序把含有核心功能代碼 的dll注入到系統(tǒng)進(jìn)程來運(yùn)行,從而監(jiān)視被保護(hù)進(jìn)程的狀態(tài)的方案。該方案有很好的穩(wěn)定 性和兼容性,同時(shí)在64位Windows系統(tǒng)下也能正常使用。具體流程如圖1所示。
[0016] 本發(fā)明方案分為驅(qū)動(dòng)層和應(yīng)用層兩部分,具體實(shí)施流程如下。
[0017] 1、驅(qū)動(dòng)層部分。
[0018] 在被注入的系統(tǒng)進(jìn)程中選取系統(tǒng)服務(wù)控制進(jìn)程services.exe,這個(gè)進(jìn)程是 Windows系統(tǒng)管理服務(wù)用的,注入到這個(gè)進(jìn)程有很好的隱蔽性。當(dāng)Windows系統(tǒng)啟動(dòng)的 時(shí)候通過自定義的驅(qū)動(dòng)程序調(diào)用映像加載通知函數(shù)PsSetLoadlmageNotifyRoutine來注 冊自己的映像加載回調(diào)函數(shù)。當(dāng)系統(tǒng)進(jìn)程services, exe啟動(dòng)前,并且映像開始加載的時(shí) 候,自定義的映像加載回調(diào)函數(shù)就會(huì)馬上被調(diào)用。在自定義的回調(diào)函數(shù)中檢查系統(tǒng)進(jìn)程 services, exe的導(dǎo)入表,當(dāng)找到系統(tǒng)導(dǎo)入的動(dòng)態(tài)庫scesrv. dll的時(shí)候,就可以修改系統(tǒng)進(jìn) 程services, exe的導(dǎo)入表,把動(dòng)態(tài)庫scesrv. dll更改為自己的動(dòng)態(tài)庫,這樣就可以完成 dll注入動(dòng)作。系統(tǒng)進(jìn)程services, exe啟動(dòng)完成的時(shí)候,注入的dll中的進(jìn)程保護(hù)代碼就 可以運(yùn)行。
[0019] 2,應(yīng)用層部分。
[0020] 應(yīng)用層部分介紹一下注入的dll動(dòng)態(tài)庫。注入的dll動(dòng)態(tài)庫也分為兩部分,分別 是dll注入的后期收尾工作和實(shí)現(xiàn)進(jìn)程保護(hù)的原理。
[0021] dll注入的后期收尾工作:因?yàn)樵隍?qū)動(dòng)層更改了系統(tǒng)進(jìn)程services, exe的導(dǎo)入 表,所以注入的dll動(dòng)態(tài)庫必須偽裝成為系統(tǒng)的動(dòng)態(tài)庫scesrv. dll,讓系統(tǒng)察覺不到有dll 動(dòng)態(tài)庫被注入。用Pe工具打開動(dòng)態(tài)庫scesrv. dll,就會(huì)發(fā)現(xiàn)動(dòng)態(tài)庫scesrv. dll有兩個(gè)導(dǎo) 出函數(shù),分別是 ScesrvInitializeServer 函數(shù)和 ScesrvTerminateServer 函數(shù)。
[0022] 這兩個(gè)導(dǎo)出函數(shù)正是系統(tǒng)進(jìn)程services, exe的導(dǎo)入函數(shù),所以注入的dll動(dòng)態(tài)庫 的導(dǎo)出表必須包含這兩個(gè)函數(shù)。
[0023] 另外由于注入的dll動(dòng)態(tài)庫無辦法實(shí)現(xiàn)這兩個(gè)函數(shù)的具體功能,所以注入的dll 動(dòng)態(tài)庫也必須從動(dòng)態(tài)庫scesrv. dll導(dǎo)入這兩個(gè)函數(shù),來實(shí)現(xiàn)系統(tǒng)相關(guān)的功能代碼。
[0024] 這樣,通過注入的dll動(dòng)態(tài)庫這個(gè)跳板,系統(tǒng)動(dòng)態(tài)庫scesrv. dll就會(huì)重新加載到 系統(tǒng)進(jìn)程services, exe的內(nèi)存空間中,這也使注入的dll動(dòng)態(tài)庫神不知鬼不覺地加載到系 統(tǒng)進(jìn)程services, exe的內(nèi)存空間中去。
[0025] 進(jìn)程保護(hù)的原理:當(dāng)系統(tǒng)進(jìn)程services, exe啟動(dòng)后,我們注入的dll動(dòng)態(tài)庫 中的代碼就可以秘密地運(yùn)行。在后臺(tái)隱藏運(yùn)行的代碼可以調(diào)用函數(shù)EnumProcesses、 Process32First和Process32Next不斷地監(jiān)視被保護(hù)進(jìn)程的相關(guān)情況,在遇到特殊情況發(fā) 現(xiàn)被保護(hù)進(jìn)程關(guān)閉后,就可以馬上調(diào)用CreateProcess函數(shù)來重啟被保護(hù)進(jìn)程,這樣就可 以達(dá)到進(jìn)程保護(hù)的目的。。
[0026] 以上對本發(fā)明實(shí)施例所提供的一種Windows的進(jìn)程保護(hù)方法進(jìn)行了詳細(xì)介紹,本 文中應(yīng)用了具體個(gè)例對本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說明只是用于 幫助理解本發(fā)明的方法及其核心思想;同時(shí),對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思 想,在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對 本發(fā)明的限制。
【權(quán)利要求】
1. 一種Windows的進(jìn)程保護(hù)方法,其特征在于,其通過驅(qū)動(dòng)程序把含有核心功能代碼 的dll注入到系統(tǒng)進(jìn)程運(yùn)行,從而監(jiān)視被保護(hù)進(jìn)程的狀態(tài),具體流程如下: 當(dāng)Windows系統(tǒng)啟動(dòng)的時(shí)候通過自定義的驅(qū)動(dòng)程序調(diào)用映像加載通知函數(shù)來注冊自 定義的映像加載回調(diào)函數(shù); 當(dāng)被注入的目標(biāo)系統(tǒng)進(jìn)程啟動(dòng)前,并且映像開始加載的時(shí)候,自定義的映像加載回調(diào) 函數(shù)就會(huì)馬上被調(diào)用; 在自定義的回調(diào)函數(shù)中檢查目標(biāo)系統(tǒng)進(jìn)程的導(dǎo)入表,當(dāng)找到可以注入的系統(tǒng)動(dòng)態(tài)庫 dll的時(shí)候,就修改目標(biāo)系統(tǒng)進(jìn)程的導(dǎo)入表,把系統(tǒng)動(dòng)態(tài)庫dll更改為自定義的動(dòng)態(tài)庫,即 注入的dll動(dòng)態(tài)庫,這樣就完成dll注入動(dòng)作; 當(dāng)系統(tǒng)進(jìn)程啟動(dòng)后,注入的dll動(dòng)態(tài)庫中的代碼就可以秘密地運(yùn)行,在后臺(tái)隱藏運(yùn)行 的代碼可以不斷地監(jiān)視被保護(hù)進(jìn)程的相關(guān)情況。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,當(dāng)Windows系統(tǒng)啟動(dòng)的時(shí)候通過自定義的 驅(qū)動(dòng)程序調(diào)用映像加載通知函數(shù)PsSetLoadlmageNotifyRoutine來注冊自己的映像加載 回調(diào)函數(shù)。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,選取系統(tǒng)服務(wù)控制進(jìn)程services, exe作 為被注入的目標(biāo)系統(tǒng)進(jìn)程。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在自定義的回調(diào)函數(shù)中檢查系統(tǒng)進(jìn)程 services, exe的導(dǎo)入表,當(dāng)找到系統(tǒng)導(dǎo)入的動(dòng)態(tài)庫scesrv. dll的時(shí)候,修改系統(tǒng)進(jìn)程 services, exe 的導(dǎo)入表。
5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,動(dòng)態(tài)庫scesrv. dll有兩個(gè)導(dǎo)出函數(shù),分別 是ScesrvInitializeServer函數(shù)和ScesrvTerminateServer函數(shù),這兩個(gè)導(dǎo)出函數(shù)正是系 統(tǒng)進(jìn)程services, exe的導(dǎo)入函數(shù),注入的dll動(dòng)態(tài)庫的導(dǎo)出表必須包含這兩個(gè)函數(shù),另外 由于注入的dll動(dòng)態(tài)庫無辦法實(shí)現(xiàn)這兩個(gè)函數(shù)的具體功能,所以注入的dll動(dòng)態(tài)庫也必須 從動(dòng)態(tài)庫scesrv. dll導(dǎo)入這兩個(gè)函數(shù),來實(shí)現(xiàn)系統(tǒng)相關(guān)的功能代碼。
6. 根據(jù)權(quán)利要求1所述的方法,其特征在于,后臺(tái)隱藏運(yùn)行的代碼調(diào)用函數(shù) EnumProcesses、Process32First和Process32Next不斷地監(jiān)視被保護(hù)進(jìn)程的相關(guān)情況。
7. 根據(jù)權(quán)利要求1所述的方法,其特征在于,遇到特殊情況發(fā)現(xiàn)被保護(hù)進(jìn)程關(guān)閉后,馬 上調(diào)用CreateProcess函數(shù)來重啟被保護(hù)進(jìn)程,這樣就可以達(dá)到進(jìn)程保護(hù)的目的。
8. 根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法也適用于64位Windows操作系統(tǒng)。
【文檔編號(hào)】G06F21/51GK104123492SQ201410347284
【公開日】2014年10月29日 申請日期:2014年7月21日 優(yōu)先權(quán)日:2014年7月21日
【發(fā)明者】柯宗貴, 楊育斌, 梁永秋 申請人:藍(lán)盾信息安全技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1
原平市| 大兴区| 宁德市| 崇义县| 乐东| 肥东县| 宁晋县| 肇东市| 吐鲁番市| 治多县| 永嘉县| 隆林| 洪湖市| 鹤庆县| 卢龙县| 高州市| 家居| 漳州市| 会宁县| 奉贤区| 湟源县| 门头沟区| 湾仔区| 蒲江县| 吉木萨尔县| 高碑店市| 江安县| 鄯善县| 大厂| 松原市| 丰城市| 台东市| 博罗县| 达拉特旗| 衢州市| 庄河市| 五家渠市| 沅江市| 灵璧县| 东海县| 江城|