| 发明名称 | 一种监控程序模块加载活动的系统过滤方法 | ||
| 摘要 | 本发明公开了一种监控程序模块加载活动的系统过滤方法。本发明请求操作系统在发生程序模块加载活动时发出通知,并能够在有程序模块发生加载活动时接收到操作系统发出的加载程序模块活动的通知,此时,只要该程序模块对应的原始文件在其加载过程未发生非法篡改,则读取该程序模块的原始文件内容并计算散列结果,并根据散列结果与预置的过滤策略数据条件的匹配结果来决定该程序模块加载活动是否给予通过,从而能够提高系统安全保护。 | ||
| 申请公布号 | CN101901323B | 申请公布日期 | 2015.04.22 |
| 申请号 | CN201010233623.5 | 申请日期 | 2010.07.22 |
| 申请人 | 湖北盛天网络技术股份有限公司 | 发明人 | 邝耀华 |
| 分类号 | G06F21/57(2013.01)I | 主分类号 | G06F21/57(2013.01)I |
| 代理机构 | 上海金盛协力知识产权代理有限公司 31242 | 代理人 | 解文霞 |
| 主权项 | 一种监控程序模块加载活动的系统过滤方法,其特征在于,该方法包括如下的流程:请求操作系统在发生程序模块加载活动时发出通知,然后执行如下步骤:步骤a、接收操作系统发出的程序模块加载活动通知,然后执行步骤b;步骤b、获取上述程序模块在系统内存中处于加载状态下的PE头部信息、以及该程序模块包含在磁盘中对应的原始文件内容中的PE头部信息;步骤c、比较所获取的加载状态下的PE头部信息与原始文件内容中的PE头部信息是否匹配,如果不匹配则执行步骤f,如果匹配则执行步骤d;步骤d、读取该程序模块的原始文件内容、并计算原始文件内容对应的散列结果;步骤e、根据散列结果与预置的过滤策略数据条件的匹配结果,决定上述程序模块的加载活动是否给予通过,如果不给予通过则执行步骤f,如果给予通过则结束所述流程;步骤f、修改上述处于加载活动中的程序模块的入口代码,用以终止该程序模块的加载活动继续执行,然后结束所述流程;其中,所述请求操作系统在发生程序模块加载活动时发出通知包括:调用操作系统的内核系统函数,注册程序模块加载通知回调例程;其中,步骤b中所获取的加载状态下的PE头部信息,由上述程序模块的当前加载基址及偏移量计算得到;其中,步骤b中所获取的原始文件内容中的PE头部信息,由对应程序模块在原始文件中的内容通过附加文件偏移计算得到。 | ||
| 地址 | 430074 湖北省武汉市东湖高新技术开发区国际企业中心2期1栋 | ||