技術領域

本發明涉及計算機系統代理的保護方法，尤其是一種計算機安全代理的自我守護方法。

背景技術

軟件的安全性和穩健性對一個產品來說日益重要，一個好的產品應該能夠做到在軟件產品異常退出或是人為惡意刪除的情況下能夠定期恢復和穩健運行。這就是該服務例程開發的目的。而圍繞這個目的就有必要了解：應用進程隱藏技術；服務相關注冊表項備份，恢復技術；代理的自動升級和修復技術等。進程隱藏主要參考www.rootkit.com上的相關文章。該技術主要是通過獲取進程鏈表進而通過進程PID的查找來斷開所需隱藏的進程節點來達到隱藏的目的。該隱藏技術是通過驅動級程序來實現的，因此可以很好的適應NT的各個系統。

注冊表備份，恢復技術本身并不難，主要是在服務例程中要做出該動作的位置確定。這就涉及到對服務運行的流程需要有一個整體把握，具體參見發明內容。

另外為了防止受監控的代理的防殺死，有必要對代理做自動升級和修復。升級主要是對代理需要升級的模塊做升級；修復則主要是防止代理的相關注冊表項及代理的安裝文件被惡意刪除。問題是：升級的新模塊有可能被修復程序所覆蓋。這就涉及到升級與修復之間的協調。

服務中對代理自動升級的技術：代理升級是不可避免的，但是由于代理升級包中可能包括一些在當前無法正常升級的模塊(如xfiter.dll-網絡訪問控制模塊，因為在機器啟動后xfilter.dll已經被所有涉及網絡通信的程序所加載)這就需要升級前先卸載xfilter.dll，主要通過恢復注冊表的方法來實現卸載xfilter.dll過程，卸載后在機器重啟以后才能正常升級，所以卸載的最好動作是在關機的時候來做，這就有必要在服務程序中捕獲機器關機的消息來做卸載的處理。

發明內容

本發明目的是提出一種計算機安全代理的自我守護方法，解決新模塊的升級與代理修復之間的協調，提出一種通過自定義的相關注冊表項作為信號量來協調模塊升級與代理修復的問題。

本發明的技術解決方案是：計算機安全代理的自我守護方法，任務管理器中通過進程隱藏實現服務進程的保護；對服務管理器中的服務項，禁止“停止”該服務，禁止改為“手動”的操作；即在創建該服務時使它不接受停止的命令；而禁止改為“手動”的方法是：通過恢復注冊表的方式來實現的，在第一次安裝的時候，備份安裝的文件，以在以后定期對安全代理的所有文件進行恢復，在服務啟動的第一次會對服務的相關注冊表項作備份，然后會在每次關機的時候通過捕獲關機消息在其中做恢復備份的注冊表項的操作：

監控服務例程的流程：1)、啟動監控服務，2)、加載隱藏進程的驅動程序，將服務對應的進程隱藏；3)、判斷服務是否是第一次啟動？是進入4)，否則進入5)；4)、備份服務的相關注冊表項；5)、根據計數定期調用程序來防止任務惡意刪除代理的相關文件；6)、是否有升級程序，是進入7)，否則進入8)；7)、執行代理升級程序；8)、監控代理主程序。

監控服務例程服務捕獲關機消息后所作的操作流程：1)、服務捕獲關機消息后所作的操作；2)、導入備份的服務相關注冊表項以防止人為修改注冊表；執行恢復文件程序，防止人為的修改文件；3)、判斷是否有代理升級包；是則進入4)，否則進入5)；4)、卸載網絡訪問控制等相關模塊；5)、機器重啟。

監控服務例程對代理的修復功能，服務會定期對代理端的程序做修復功能，目的是為了防止代理相關的文件和注冊表被人為惡意刪除。

監控服務例程在安全模式，網絡模式下也可以運行，主要是通過修改注冊表的方式來實現。

本發明基于的服務例程在運行的時候一般在兩個地方出現：一個是任務管理器，一個是服務管理器，任務管理器中我們通過進程隱藏已經很好的實現服務進程的保護，但是服務管理器中的服務項呢？如果把它停掉，把它改為手動，服務照樣不能起到監控代理端主程序的作用，這就有必要做禁止“停止”該服務，禁止改為“手動”的操作。

禁止停止該服務主要采用的方法是：在創建該服務時使它不接受停止的命令即可；而禁止改為“手動”主要是通過恢復注冊表的方式來實現的，在服務啟動(重啟)的第一次會對服務的相關注冊表項作備份，然后會在每次關機的時候通過捕獲關機消息在其中做恢復備份的注冊表項的操作，這樣就避免人為的篡改注冊表而導致服務不可用。