本發明涉及程序保護領域，具體公開了一種通過修改進程保護程序的方法，包括：父進程創建子進程，并設置子進程一經建立便立即被掛起，此時子進程的進程空間中包括子進程主鏡像正本；在子進程的進程空間中創建至少一個隱藏的子進程主鏡像副本，子進程主鏡像副本與子進程主鏡像正本一致；將子進程的主線程入口地址從子進程主鏡像正本的入口地址修改為被選中的子進程主鏡像副本的入口地址；恢復執行子進程的主線程，執行被選中的子進程主鏡像副本。本方法通過創建隱藏的子進程主鏡像副本，然后將子進程的主線程入口地址修改為被選中的子進程主鏡像副本的入口地址，目標程序運行時將直接跳過子進程主鏡像正本而執行子進程主鏡像副本，無論惡意程序如何修改子進程主鏡像正本也不會影響到子進程主鏡像副本的真正運行。

技術領域

本發明涉及程序保護領域，具體涉及一種通過修改進程保護程序的方法。

背景技術

通常情況下，惡意代碼會通過篡改原進程主鏡像中的入口代碼，來實現執行惡意代碼的目的。比如惡意程序在目標程序代碼入口點寫入一個JUMP指令(如圖1所示的“YYYYYYY”)，讓CPU在執行該目標程序原進程的入口代碼時JUMP到惡意代碼處執行。

現有的防范方法，在發現一個進程入口代碼被惡意篡改后，只是簡單地阻止該進程運行，以避免被篡改后的惡意代碼被執行。但被攻擊的進程被阻止運行后，其功能就不能得到實現。

發明內容

本發明提供一種通過修改進程保護程序的方法，解決的技術問題在于：現有采用阻止程序運行以避免被篡改后的惡意代碼被執行的惡意程序防范方法，已無法實現目標程序的功能。

本發明提供的基礎方案為：

一種通過修改進程保護程序的方法，包括：

父進程創建子進程，并設置所述子進程一經建立便立即被掛起，此時所述子進程的進程空間中包括子進程主鏡像正本；

在所述子進程的進程空間中創建至少一個隱藏的子進程主鏡像副本，所述子進程主鏡像副本與所述子進程主鏡像正本一致；

將所述子進程的主線程入口地址從所述子進程主鏡像正本的入口地址修改為被選中的子進程主鏡像副本的入口地址；

恢復執行所述子進程的主線程，執行所述被選中的子進程主鏡像副本。

本基礎方案的運作原理及優點在于：

將目標程序的原進程作為父進程，基于父進程創建子進程，并在子進程的進程空間中創建至少一個隱藏的子進程主鏡像副本，然后將子進程的主線程入口地址修改為被選中的子進程主鏡像副本的入口地址，目標程序運行時將直接跳過子進程主鏡像正本而執行子進程主鏡像副本，而子進程中的子進程主鏡像正本因為不隱藏，容易被惡意程序發現，但無論惡意程序如何修改子進程主鏡像正本也不會影響到子進程主鏡像副本的真正運行，從而保護目標程序原進程的執行代碼不被惡意代碼發現及利用，以保證目標程序的順利運行。

在進一步的實施方案中，所述子進程主鏡像正本和所述子進程主鏡像副本均包括PE文件頭、代碼和其它數據，所述代碼中包括所述目標程序的入口代碼。

本方案進一步限定子進程主鏡像正本和子進程主鏡像副本內容相同，均包括所述執行程序的入口代碼，但正本是用于吸引惡意程序，副本用于執行真正的程序，從而令惡意程序雖實現修改入口代碼，但實際上對目標程序的運行沒有任何影響，不僅保證了目標程序的順利運行，還令惡意程序不知哪里出了問題，而無法作出下一步的改進，來達到侵害目標程序的目的。

在進一步的實施方案中，所述子進程主鏡像副本創建在所述子進程的任意可用進程空間中。

本方案限定了子進程主鏡像副本的創建空間為所述子進程的任意可用進程空間，表明了子進程主鏡像副本對空間沒有要求，容易實施，設計員可根據自己的習慣和用意選擇將進程主鏡像副本建立在一選定的可用進程空間，以符合設計規范。