技術領域

本發明涉及計算機安全技術領域，具體涉及一種基于UEFI固件，在開機引導操作系統啟動后，對軟件進行實時保護的方法

背景技術

目前，在計算機安全領域，運行程序主要是通過本地操作系統的守護進程或遠程的認證服務器進行保護，主要是對程序文件的完整性和程序運行狀態的檢測。

在操作系統層或通過網絡對應用程序進行實時保護，特別是對關鍵可執行程序進行保護，有著以下的不足，主要包括：

(1)在計算設備更換硬盤、Flash等存儲被保護程序的裝置后，將不能自動地恢復被保護可執行程序文件、進行重啟及監控運行狀態。

(2)在對硬盤、Flash等被保護程序的存儲空間進行重新分區后，計算設備將不能自動地恢復被保護可執行程序文件、進行重啟及監控運行狀態。

(3)在對硬盤、Flash等被保護程序的存儲空間進行格式化后，計算設備將不能自動地恢復被保護可執行程序文件、進行重啟及監控運行狀態。

(4)當被保護可執行程序文件不屬于操作系統自帶軟件的情況下，在計算設備重新安裝操作系統后，將不能自動地恢復被保護可執行程序文件、進行重啟及監控運行狀態。

(5)不能阻止合法的終端使用用戶非法地刪除本地終端上的程序文件、中止程序文件的運行。

(6)當終端的操作系統中的特定軟件文件被病毒或木馬篡改和刪除后，將不能自動地進行恢復。

(7)守護進程比較容易地被合法的終端用戶進行關閉。

(8)網絡認證方法的實時性容易受到網絡狀態的影響。

發明內容

本發明的目的是為了克服已有技術的缺陷，為了解決在更換硬盤、Flash等存儲空間的情況下，無法恢復被保護文件、特別是關鍵程序文件的問題，提出一種基于UEFI的軟件實時保護系統和方法。

一種基于UEFI的軟件實時保護系統，包括軟件實時守護程序驅動模塊、軟件實時保護系統服務端、定時守護模塊和被保護程序；

所述軟件實時守護驅動模塊是符合UEFI規范的固件模塊，包括環境加載和安裝器子模塊、文件檢測器子模塊、狀態檢測器子模塊和程序存儲器子模塊；其中，環境加載子模塊和安裝器子模塊是在開機過程中加載相應的驅動，建立文件檢測器的運行環境；文件檢測器子模塊的作用是在操作系統啟動后，對計算機等設備的硬盤或Flash等存儲空間中的特定文件進行檢測，如果發現文件被篡改或刪除，將釋放儲存在固件中的被保護文件到硬盤或Flash等其他存儲設備；狀態檢測器子模塊的作用是在操作系統啟動后，對指定的被保護程序的狀態進行檢測，如果發現被保護程序未能啟動或運行狀態錯誤，將對被保護程序進行恢復和重啟；

所述軟件實時保護系統服務端通過網絡將新的被保護程序文件和校驗值發送到客戶端設備，更新被保護程序相關文件；同時，軟件實時保護系統客戶端還可以對被保護程序及被保護程序校驗值進行更新，更新的方式包括網絡或外部存儲設備；

所述定時守護模塊用于根據配置文件中的時間間隔，調用軟件實時保護系統驅動模塊，進行軟件保護；

所述被保護程序是通過服務端發送的，可以動態綁定的第三方應用軟件。

一種基于UEFI的可執行程序實時保護方法，其實現步驟如下：

步驟一、計算機等設備開機上電；

步驟二、開始進入UEFI的開機引導過程，加載所需的硬件驅動；

步驟三、檢測是否進入更新模式；如果不需要進入更新模式，則轉入步驟四；如果進入了更新模式，將在固件層對被保護程序進行更新；

步驟四、檢查操作系統是否安裝了定時守護模塊和被保護程序文件；

步驟五、啟動操作系統；

步驟六、檢測定時守護模塊是否啟動；如果啟動，則轉入步驟七；如果檢測定時模式未能啟動，則在固件層釋放和啟動定時守護模塊；

步驟七、定時守護模塊將根據擬定的時間定時調用UEFI的軟件實時保護系統驅動模塊，對被保護程序文件進行檢測；

步驟八、檢測被保護程序的文件是否存在；如果程序文件存在，則轉入步驟九；如果程序文件不存在，則通過服務器或本地存儲空間，恢復可執行程序文件，并進行安裝；

步驟九、根據配置腳本中的路徑和程序名，啟動被保護程序；

步驟十、檢測被保護程序是否已經啟動；如果啟動，則轉入步驟十一；否則，根據配置文件，重啟被保護程序；

步驟十一、檢測被保護程序運行狀態是否正確；如果正確，則轉入步驟十二，否則，恢復被保護程序文件，并根據配置文件，重啟被保護程序；

步驟十二、繼續運行程序，該流程結束。