一种WINDOWS系统下的可执行文件全生命周期安全管理系统

摘要

本发明提供一种WINDOWS系统下的可执行文件全生命周期安全管理系统，通过使用Windows操作系统提供的文件过滤控制接口、程序启动通知接口及进程间访问行为回调接口，将文件访问控制、程序启动干预控制和进程间交互行为干预控制相结合，以全面增强Windows操作系统可执行文件全生命周期的安全性，系统包括：（1）文件系统访问控制模块；（2）程序启动控制模块；（3）程序运行控制模块；（4）规则配置应用程序模块，本发明在系统易用性方面提出了灵活的配置规则机制，即所有内核驱动模块在初始化时会读取预设好的访问控制规则，在工作期间可以任意增加、删除、更新需要的访问控制规则。

主权项

一种WINDOWS系统下的可执行文件全生命周期安全管理系统, 其特征在于通过使用Windows操作系统提供的文件过滤控制接口、程序启动通知接口及进程间访问行为回调接口，将文件访问控制、程序启动干预控制和进程间交互行为干预控制相结合，以全面增强Windows操作系统可执行文件全生命周期的安全性，系统包括：（1）文件系统访问控制模块；（2）程序启动控制模块；（3）程序运行控制模块；（4）规则配置应用程序模块，其中：（1）文件系统访问控制模块：采用文件系统过滤内核驱动的方式实现，根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况，灵活的配置访问的规则，包括支持具体文件和含有通配符的模糊文件的规则，所有访问规则在该模块规则链表中存放，文件系统过滤内核驱动感知文件访问操作，包括执行、改写、删除、重命名、移动、覆盖的访问操作，查询文件访问控制链表，对可执行文件任何非法的访问和篡改都将得到保护，如果系统配置了某种特定类型的文件在当前操作系统下不能执行，那么对于以执行权位打开该类型的文件，文件过滤驱动获取该文件的路径名称，查询文件访问控制链表后直接予以拒绝，从而该类型的可执行文件状态无法从停止态转换为启动态；（2）程序启动控制模块：采用内核驱动的方式实现，根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况，灵活的配置访问规则，包括支持具体文件和含有通配符的模糊文件的规则，所有访问规则在该模块规则链表中存放，同时注册Windows操作系统进程创建通知，当操作系统中有任何新的进程创建的时候，操作系统会通知程序启动控制模块，程序启动控制模块收到通知时，获取要创建的进程映像文件路径名称，查询进程创建控制链表，对于任何非法的进程创建、运行，该模块直接进行阻断，从而对应的可执行文件状态无法从启动态转换为运行态；（3）程序运行控制模块：采用内核驱动的方式实现，根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况，灵活的配置访问规则，包括支持具体文件和含有通配符的模糊文件的规则，所有访问规则在该模块规则链表中存放，程序运行控制模块感知进程间访问操作，包括写地址空间内存、创建远程线程、设置进程相关信息、终止挂起进程、复制进程句柄的访问操作，查询进程访问控制链表，运行中的进程的任何非法的注入和破坏都将得到保护，如果当前操作系统上某个重要的程序或服务非常重要，一旦停止运行将造成较大的危害，允许给该程序或服务配置禁止停止规则，程序运行控制模块感知到停止该程序或服务的动作时，获取该程序或服务对应的可执行文件路径名称，查询进程访问控制链表后直接予以拒绝，从而对应的可执行文件状态无法从运行态转换为停止态；（4）规则配置应用程序模块：采用Windows应用程序的方式实现，负责安装文件系统访问控制模块、程序启动控制模块和程序运行控制模块，接收命令配置三个模块的规则或从当前操作系统中卸载三个模块。