本發明公開了一種視窗操作系統下基于內核的防硬盤被格式化的方法，包括以下步驟：創建和設置所述視窗操作系統的Image回調函數，以監視所述視窗操作系統應用層加載的所有進程及其模塊，并獲得每個所述進程及其模塊的信息；從所述進程及其模塊的信息中獲取結構體RTL_USER_PROCESS_PARAMETERS；從所述結構體RTL_USER_PROCESS_PARAMETERS中獲取成員CommandLine的字符串值；比較所述字符串值，判斷其中是否存在執行格式化硬盤命令對應的特定字符串：如有，則用空格替換所述特定字符串后，交還該結構體給該進程，以確保該進程不格式化硬盤。本發明屬于ring 0層，無進程也無DLL存在，不易被卸載，因而更加安全可靠。

技術領域

本發明屬于軟件領域，尤其涉及一種視窗操作系統下基于內核的防硬盤被格式化的方法。

背景技術

硬盤格式化是一種清除電腦中數據的重要手段，其對于數據的危害也最大。一旦格式化，通常很難恢復數據或需要付出較多的時間和費用才能部分恢復數據。而執行格式化這個指令的門檻卻非常低，普通的用戶通過幾個簡單的操作即可進行格式化操作。這使得在數據日益重要的今天，如何防范硬盤被誤格式化，或員工離職時惡意操作或者黑客進入后格式化硬盤，這顯得日益重要。

發明內容

為了克服上述問題，本發明提供一種安全可靠的視窗操作系統下基于內核的防硬盤被格式化的方法。

本發明的技術方案是提供一種視窗操作系統下基于內核的防硬盤被格式化的方法，其是一種在所述視窗操作系統的ring0級下執行的方法，其包括以下步驟：

創建和設置所述視窗操作系統的Image回調函數，以監視所述視窗操作系統應用層加載的所有進程及其模塊，并獲得每個所述進程及其模塊的信息；從所述進程及其模塊的信息中獲取結構體RTL_USER_PROCESS_PARAMETERS；

從所述結構體RTL_USER_PROCESS_PARAMETERS中獲取所述結構體RTL_USER_PROCESS_PARAMETERS的成員CommandLine的字符串值；

比較所述字符串值，判斷其中是否存在執行格式化硬盤命令對應的特定字符串：

如有，則用空格替換所述特定字符串后，交還該結構體給該進程，以確保該進程不格式化硬盤；

如無，則直接返回以使得該進程繼續執行。

優選的，所述特定字符串為c:\windows\system32\dllhost.exe/processid:{。

優選的，從所述Image回調中的返回參數中獲取其對應的結構體RTL_USER_PROCESS_PARAMETERS的方法為：

調用系統函數PsGetProcessWow64Process：

如返回值正常，則獲取其中的所述結構體RTL_USER_PROCESS_PARAMETERS；

如返回值異常，則調用系統函數PsGetProcessPeb，如返回值正常，則獲取其中的所述結構體RTL_USER_PROCESS_PARAMETERS。

優選的，從所述Image回調中的返回參數中獲取其對應的結構體RTL_USER_PROCESS_PARAMETERS的方法為：

調用系統函數PsGetProcessPeb：

如返回值正常，則獲取其中的所述結構體RTL_USER_PROCESS_PARAMETERS；

如返回值異常，則調用系統函數PsGetProcessWow64Process，如返回值正常，則獲取其中的所述結構體RTL_USER_PROCESS_PARAMETERS。