技術(shù)領(lǐng)域

本發(fā)明涉及程序加載過(guò)濾技術(shù)，特別涉及一種監(jiān)控程序模塊加載活動(dòng)的系統(tǒng)過(guò)濾方法。

背景技術(shù)

在學(xué)校機(jī)房或網(wǎng)吧等公共場(chǎng)所，電腦的系統(tǒng)安全性尤為受管理員和用戶關(guān)注，人們一般會(huì)考慮通過(guò)安裝還原軟件或殺毒軟件來(lái)增強(qiáng)系統(tǒng)的防護(hù)，但這些方案在實(shí)際運(yùn)作中也存在著不足。

一方面，還原軟件通常并不能直接抵御惡意程序的加載運(yùn)行，現(xiàn)在的惡意程序越來(lái)越多以內(nèi)核驅(qū)動(dòng)的形式運(yùn)行，因而往往能夠強(qiáng)行突破還原軟件的保護(hù)。

另一方面，殺毒軟件雖然能在惡意程序落地的第一時(shí)間進(jìn)行查殺，但需要不斷更新特征庫(kù)來(lái)效甄別新的病毒，對(duì)于維護(hù)幾十臺(tái)甚至幾百臺(tái)電腦的機(jī)構(gòu)或營(yíng)業(yè)場(chǎng)所來(lái)說(shuō)，這顯然增加了系統(tǒng)的管理成本；另外，殺毒軟件的使用也會(huì)一定程序上降低系統(tǒng)的性能，加上難以避免的誤報(bào)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種監(jiān)控程序模塊加載活動(dòng)的系統(tǒng)過(guò)濾方法，該方法請(qǐng)求操作系統(tǒng)在發(fā)生程序模塊加載活動(dòng)時(shí)發(fā)出通知，然后執(zhí)行如下步驟：

步驟a、接收操作系統(tǒng)發(fā)出的程序模塊加載活動(dòng)通知，然后執(zhí)行步驟b；

步驟b、獲取上述程序模塊在系統(tǒng)內(nèi)存中處于加載狀態(tài)下的PE頭部信息、以及該程序模塊包含在磁盤(pán)中對(duì)應(yīng)的原始文件內(nèi)容中的PE頭部信息；

步驟c、比較所獲取的加載狀態(tài)下的PE頭部信息與原始文件內(nèi)容中的PE頭部信息是否匹配，如果不匹配則執(zhí)行步驟f，如果匹配則執(zhí)行步驟d；

步驟d、讀取該程序模塊的原始文件內(nèi)容、并計(jì)算原始文件內(nèi)容對(duì)應(yīng)的散列結(jié)果；

步驟e、根據(jù)散列結(jié)果與預(yù)置的過(guò)濾策略數(shù)據(jù)條件的匹配結(jié)果，決定上述程序模塊的加載活動(dòng)是否給予通過(guò)，如果不給予通過(guò)則執(zhí)行步驟f，如果給予通過(guò)則結(jié)束本流程；

步驟f、修改上述處于加載活動(dòng)中的程序模塊的入口代碼，用以終止其繼續(xù)執(zhí)行，然后結(jié)束本流程。

優(yōu)選地，所述請(qǐng)求操作系統(tǒng)在發(fā)生程序模塊加載活動(dòng)時(shí)發(fā)出通知包括：調(diào)用操作系統(tǒng)的內(nèi)核系統(tǒng)函數(shù)，注冊(cè)程序模塊加載通知回調(diào)例程。

優(yōu)選地，所述的操作系統(tǒng)為Windows系統(tǒng)，所述的內(nèi)核系統(tǒng)函數(shù)為PsSetLoadImageNotifyRoutine。

優(yōu)選地，所述的通知中進(jìn)一步包括發(fā)生加載活動(dòng)的程序模塊于磁盤(pán)中的原始文件路徑、該程序模塊當(dāng)前加載基址和加載后的模塊長(zhǎng)度。

優(yōu)選地，步驟a中所獲取的加載狀態(tài)下的PE頭部信息，由上述程序模塊的當(dāng)前加載基址及偏移量計(jì)算得到；步驟a中所獲取的原始文件內(nèi)容中的PE頭部信息，由對(duì)應(yīng)程序模塊在原始文件中的內(nèi)容通過(guò)附加文件偏移計(jì)算得到。

優(yōu)選地，所述步驟e包括：

e1、判斷原始文件內(nèi)容的散列結(jié)果是否與過(guò)濾策略預(yù)置數(shù)據(jù)中的任一黑名單項(xiàng)或任一白名單項(xiàng)匹配，如果匹配任一黑名單項(xiàng)，則直接拒絕加載活動(dòng)的通過(guò)，然后結(jié)束本流程；如果匹配任一白名單項(xiàng)，則直接允許加載活動(dòng)的通過(guò)，然后結(jié)束本流程；否則，無(wú)匹配的黑名單項(xiàng)和白名單項(xiàng)、并執(zhí)行步驟e2；

e2、判斷過(guò)濾策略是否預(yù)置為默認(rèn)拒絕通過(guò)，如果是，則直接拒絕加載活動(dòng)的通過(guò)，然后結(jié)束本流程；否則，允許加載活動(dòng)的通過(guò)，然后結(jié)束本流程。

由上述技術(shù)方案可見(jiàn)，本發(fā)明請(qǐng)求操作系統(tǒng)在發(fā)生程序模塊加載活動(dòng)時(shí)發(fā)出通知，并能夠在有程序模塊發(fā)生加載活動(dòng)時(shí)接收到操作系統(tǒng)發(fā)出的加載程序模塊活動(dòng)的通知，此時(shí)，只要該程序模塊對(duì)應(yīng)的原始文件在其加載過(guò)程未發(fā)生非法篡改，則讀取該程序模塊的原始文件內(nèi)容并計(jì)算散列結(jié)果，并根據(jù)散列結(jié)果與預(yù)置的過(guò)濾策略數(shù)據(jù)條件的匹配結(jié)果來(lái)決定該程序模塊加載活動(dòng)是否給予通過(guò)，從而能夠提高系統(tǒng)安全保護(hù)。

相比于現(xiàn)有技術(shù)中的軟件還原方式，由于惡意程序即便是以內(nèi)核驅(qū)動(dòng)的形式運(yùn)行，其對(duì)應(yīng)的程序模塊也需要由操作系統(tǒng)負(fù)責(zé)加載和調(diào)度運(yùn)行，因而本發(fā)明通過(guò)對(duì)處于加載狀態(tài)下的程序模塊予以過(guò)濾，能夠避免未經(jīng)鑒別認(rèn)證的程序模塊的運(yùn)行，從而能夠克服軟件還原方式所存在的不足，提高系統(tǒng)安全防護(hù)的安全性；

相比于現(xiàn)有技術(shù)中的軟件殺毒方式，由于本發(fā)明不需要為了甄別新病毒而不斷更新特征庫(kù)，因而降低了部署系統(tǒng)安全防護(hù)的管理成本；并且，由于本發(fā)明監(jiān)控的是程序模塊的加載時(shí)機(jī)，無(wú)需實(shí)時(shí)對(duì)文件系統(tǒng)執(zhí)行全局掃描和過(guò)濾，因而能夠避免殺毒軟件使用過(guò)程中對(duì)系統(tǒng)性能帶來(lái)的負(fù)面影響。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例中監(jiān)控程序模塊加載活動(dòng)的系統(tǒng)過(guò)濾方法的一示例性流程圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下參照附圖并舉實(shí)施例，對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。