技術領域

本發明涉及進程安全防護和文件過濾領域，特別涉及一種邏輯設備名到盤符的映射方法。

背景技術

在進行進程防殺(防止要保護的進程被一些惡意軟件關閉)的過程中，根據進程句柄得到進程的ID(identity，標識)，再得到進程的路徑。在獲得進程路徑時，不能使用PEB(Process?Environment?block，進程環境塊信息)結構得到進程路徑，因為在任務管理器殺進程時根據PEB得到的進程路徑有時為空，所以必須使用ZwQueryInformationProcess來得到進程路徑。問題的關鍵在于，通過ZwQueryInformationProcess得到的進程路徑中，盤符為“X:”的Dos設備名(符號鏈接名為“/DosDevices/X:”)顯示其邏輯設備名，如“/Device/HarddiskVolumel”。

然而，對進程路徑比較(當一個進程將被關閉時，要把它和被保護的進程進行匹配，如果匹配成功說明該進程是被保護的進程，不允許該進程被關閉。)的時候使用的是盤符而不是邏輯設備名。所以我們就需要一個轉化把邏輯設備名轉化為盤符，但是不幸的是，沒有這樣的API(Application?Program?Interface，應用程序接口)可以調用。很多安全廠商沒有使用盤符而是使用了/Device/HarddiskVolume1類的邏輯設備名，這給用戶帶來了很大的不便。

發明內容

(一)要解決的技術問題

本發明要解決的技術問題是：如何提供一種邏輯設備名到盤符的映射方法。

(二)技術方案

為解決上述技術問題，本發明提供一種邏輯設備名到盤符的映射方法，包括以下步驟：

S100：以符號鏈接名為參數，使用函數InitializeObjectattributes初始化得到所述符號鏈接名對應的屬性對象OBJECT_ATTRIBUTES，從所述符號鏈接名中提取對應的盤符；

S200：使用函數ZwOpenSymbolicLinkObject，調用所述屬性對象OBJECT_ATTRIBUTES作為參數，得到對應所述屬性對象OBJECT_ATTRIBUTES的句柄；

S300：使用函數ZwQuerySymbolicLinkObject查詢所述句柄，得到對應所述符號鏈接名的邏輯設備名，保存所述邏輯設備名和所述盤符之間的對應關系。

優選地，所述方法還包括以下步驟：

S010：初始化一個字符數組變量，將所述字符數組變量賦值為第i符號鏈接名；

S020：判斷所述字符數組變量對應符號鏈接名是否是第n+1符號鏈接名，若是，退出；否則，依次執行所述步驟S100、S200、S300，執行步驟S301；

S301：將所述字符數組變量賦值為第i+1符號鏈接名，i自增1，執行所述步驟S020；

其中，所述步驟S100中符號鏈接名為所述字符數組變量對應符號鏈接名；所述i和n為整數。

優選地，所述字符數組變量為無符號寬字節型字符數組變量。

優選地，在執行所述步驟S010或者S100或者S200中任一步時，如果成功，執行下一步；否則，退出。

優選地，所述步驟S300中將所述邏輯設備名和所述盤符之間的對應關系作為全局變量保存。

(三)有益效果

本發明的映射方法建立了邏輯設備名到盤符的對應關系。這樣，在進行進程路徑比較時，或者當進程被合法關閉時，我們看到的不再是如/Device/HarddiskVolume1/qq.exe的進程路徑，而是比較直觀的如C:/qq.exe的進程路徑，方便了用戶使用。

附圖說明

圖1是本發明實施例的邏輯設備名到盤符的映射方法流程圖。

具體實施方式

下面結合附圖和實施例，對本發明的具體實施方式作進一步詳細描述。以下實施例用于說明本發明，但不用來限制本發明的范圍。

圖1是本發明實施例的邏輯設備名到盤符的映射方法流程圖。如圖1所示，所述方法包括以下步驟：

S010：初始化一個字符數組變量，將所述字符數組變量賦值為第i符號鏈接名。所述i為整數。

S020：判斷所述字符數組變量對應符號鏈接名是否是第n+1符號鏈接名，若是，退出；否則，執行下一步。所述n為整數。