本發(fā)明涉及信息安全技術(shù)領(lǐng)域,特別是涉及一種注入防護(hù)方法和系統(tǒng)。
背景技術(shù):
目前很多應(yīng)用的進(jìn)程防護(hù)方法,會通過修改應(yīng)用的原程序源代碼邏輯攔截DLL加載,以防止第三方DLL注入應(yīng)用的主進(jìn)程,實現(xiàn)保護(hù)應(yīng)用安全的目的。
但是,上述進(jìn)程防護(hù)方法需要修改應(yīng)用的原程序源代碼邏輯攔截DLL加載,導(dǎo)致進(jìn)程防護(hù)方法的通用性差、適用性低。
技術(shù)實現(xiàn)要素:
基于此,有必要針對上述進(jìn)程防護(hù)方法需要修改應(yīng)用的原程序源代碼邏輯攔截DLL加載,導(dǎo)致進(jìn)程防護(hù)方法的通用性差、適用性低的問題,提供一種注入防護(hù)方法和系統(tǒng)。
一種注入防護(hù)方法,包括以下步驟:
將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置;
若檢測到所述目標(biāo)進(jìn)程的注入事件,則運行所述目標(biāo)進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則;
根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù)。
一種注入防護(hù)系統(tǒng),包括:
防護(hù)數(shù)據(jù)注入模塊,用于將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置;
防護(hù)數(shù)據(jù)運行模塊,用于在檢測到所述目標(biāo)進(jìn)程的注入事件時,運行所述目標(biāo)進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則;
注入防護(hù)模塊,用于根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù)。
上述注入防護(hù)方法和系統(tǒng),將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo) 進(jìn)程的第一個注入位置,若檢測到所述目標(biāo)進(jìn)程的注入事件,則運行所述目標(biāo)進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù),無需修改應(yīng)用的原程序源代碼邏輯,即可根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù),如攔截不允許注入的數(shù)據(jù),可使注入防護(hù)的通用性更好、適用性更高,適用到更大范圍的應(yīng)用防護(hù)中。
附圖說明
圖1是本發(fā)明實施例的注入防護(hù)方法的實施環(huán)境的結(jié)構(gòu)示意圖;
圖2是本發(fā)明注入防護(hù)方法第一實施方式的流程示意圖;
圖3是本發(fā)明注入防護(hù)方法第二實施方式的流程示意圖;
圖4是本發(fā)明注入防護(hù)方法第三實施方式的流程示意圖;
圖5是本發(fā)明注入防護(hù)系統(tǒng)第一實施方式的結(jié)構(gòu)示意圖;
圖6是本發(fā)明注入防護(hù)系統(tǒng)第二實施方式的結(jié)構(gòu)示意圖;
圖7是本發(fā)明注入防護(hù)系統(tǒng)第三實施方式的結(jié)構(gòu)示意圖;
圖8是能實現(xiàn)本發(fā)明實施例的一個計算機系統(tǒng)的模塊圖。
具體實施方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
可以理解,本發(fā)明所使用的術(shù)語“第一”、“第二”等可在本文中用于描述各種元件,但這些元件不受這些術(shù)語限制。這些術(shù)語僅用于將第一個元件與另一個元件區(qū)分。
請參閱圖1,圖1是本發(fā)明實施例的注入防護(hù)方法的實施環(huán)境的結(jié)構(gòu)示意圖。
圖1所示實施環(huán)境用于實現(xiàn)本發(fā)明任意實施例或?qū)嵤┓绞剿龅淖⑷敕雷o(hù)方法,包括終端120、目標(biāo)進(jìn)程、加載服務(wù)器140和防護(hù)規(guī)則服務(wù)器160,所述終端與加載服務(wù)器140和/或防護(hù)規(guī)則服務(wù)器160通過無線網(wǎng)絡(luò)或有限網(wǎng)絡(luò)連接。
其中,終端120可包括智能手機、臺式機、筆記本、個人數(shù)字助理、平板電腦等終端設(shè)備中的至少一種,裝設(shè)有本發(fā)明注入防護(hù)方法用于防護(hù)的目標(biāo)進(jìn)程。
防護(hù)規(guī)則服務(wù)器160,可預(yù)先生成各種預(yù)設(shè)注入防護(hù)規(guī)則。
加載服務(wù)器140,可存儲用于啟動目標(biāo)進(jìn)程的進(jìn)程加載器(Launch_bin.exe),進(jìn)程加載器可用于從防護(hù)規(guī)則服務(wù)器拉取各種預(yù)設(shè)注入防護(hù)規(guī)則,將拉取的各種預(yù)設(shè)注入防護(hù)規(guī)則轉(zhuǎn)換為防護(hù)數(shù)據(jù),啟動所述目標(biāo)進(jìn)程。
終端120,可通過無線網(wǎng)絡(luò)或有線網(wǎng)絡(luò)從加載服務(wù)器140請求進(jìn)程加載器,通過進(jìn)程加載器啟動所述目標(biāo)進(jìn)程,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的第一個注入位置,以使得所述防護(hù)數(shù)據(jù)成為所述目標(biāo)進(jìn)程的第一個注入文件,可監(jiān)聽所述目標(biāo)進(jìn)程的所有注入數(shù)據(jù)。
本實施環(huán)境,可減少終端120的運行消耗,加快注入防護(hù)速度,提高注入防護(hù)效率,還可提高注入防護(hù)的通用性更好、適用性更高,適用到更大范圍的應(yīng)用防護(hù)中。
在一個實施例中,進(jìn)程加載器的命名方式為<目標(biāo)進(jìn)程文件名>+<_Bin>+<.exe>。進(jìn)程加載器運行后,可將<_Bin.exe>替換成<.exe>,作為目標(biāo)進(jìn)程啟動。
進(jìn)一步地,進(jìn)程加載器可用DetourCreateProcessWithDllEx啟動目標(biāo)進(jìn)程并將防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程導(dǎo)入表的第一個位置。
請參閱圖2,圖2本發(fā)明注入防護(hù)方法第一實施方式的流程示意圖。
本實施方式所述的注入防護(hù)方法,包括以下步驟:
步驟S201,將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置。
步驟S202,若檢測到所述目標(biāo)進(jìn)程的注入事件,則運行所述目標(biāo)進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則。
步驟S203,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù)。
本實施方式,將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置,若檢測到所述目標(biāo)進(jìn)程的注入事件,則運行所述目標(biāo)進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī) 則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù),無需修改應(yīng)用的原程序源代碼邏輯,即可根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù),如攔截不允許注入的數(shù)據(jù),可使注入防護(hù)的通用性更好、適用性更高,適用到更大范圍的應(yīng)用防護(hù)中。
其中,對于步驟S201,所述目標(biāo)進(jìn)程的第一個注入位置為所述目標(biāo)進(jìn)程的第一組注入數(shù)據(jù)所占據(jù)的地址。所述預(yù)設(shè)注入防護(hù)規(guī)則包括判斷待注入數(shù)據(jù)為允許注入的數(shù)據(jù)的規(guī)則、判斷待注入數(shù)據(jù)為禁止注入的數(shù)據(jù)的規(guī)則和判斷待注入數(shù)據(jù)為允許注入的帶數(shù)字簽名的數(shù)據(jù)的規(guī)則中的至少一種。所述防護(hù)數(shù)據(jù)可為用于防護(hù)所述目標(biāo)進(jìn)程的數(shù)據(jù)注入的進(jìn)程數(shù)據(jù),如DLL文件等。所述目標(biāo)進(jìn)程可為各種應(yīng)用的主進(jìn)程,所述應(yīng)用可為各種社交應(yīng)用、各種電子商務(wù)平臺等。
優(yōu)選地,所述防護(hù)數(shù)據(jù)的應(yīng)用程序編程接口與Windows用戶界面相關(guān)應(yīng)用程序接口(user32.dll)不相關(guān),可避免注冊表注入。
進(jìn)一步地,所述防護(hù)數(shù)據(jù)的應(yīng)用程序編程接口可與Windows 9x/Me中非常重要的32位動態(tài)鏈接庫文件(Kernel32.dll)、C/C++運行庫等相關(guān)。
在一個實施例中,將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置的步驟包括以下步驟:
將所述預(yù)設(shè)注入防護(hù)規(guī)則轉(zhuǎn)換為所述防護(hù)數(shù)據(jù)。
將所述防護(hù)數(shù)據(jù)作為所述目標(biāo)進(jìn)程待加載的第一個加載文件加載到所述目標(biāo)進(jìn)程的加載文件導(dǎo)入表的第一個位置。
本實施例,可快速將所述防護(hù)數(shù)據(jù)作為所述目標(biāo)進(jìn)程待加載的第一個加載文件加載到所述目標(biāo)進(jìn)程的加載文件導(dǎo)入表的第一個位置。
優(yōu)選地,在將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的第一個注入位置前,需要啟動所述目標(biāo)進(jìn)程,可通過進(jìn)程加載器(Launch_bin.exe)啟動所述目標(biāo)進(jìn)程。
進(jìn)一步地,進(jìn)程加載器可通過Detours庫的DetourCreateProcessWithDllEx啟動目標(biāo)進(jìn)程,并將防護(hù)數(shù)據(jù)作為第一個注入文件注入到目標(biāo)進(jìn)程。
在一個實施例中,所述防護(hù)數(shù)據(jù)可包括DllMain函數(shù)Hook LdrLoadDll及CreateProcess函數(shù),通過Hook LdrLoadDll函數(shù)后,目標(biāo)進(jìn)程的各種待注入數(shù)據(jù)會轉(zhuǎn)發(fā)到Detour_LdrLoadDll函數(shù)。待注入數(shù)據(jù)的數(shù)據(jù)標(biāo)識會通過DllPath傳遞 進(jìn)來,在Detour_LdrLoadDll函數(shù)里根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則進(jìn)行注入防護(hù)(若待注入數(shù)據(jù)為不允許注入的數(shù)據(jù),只需要在Detour_LdrLoadDll里不調(diào)用注入所述待注入數(shù)據(jù)的函數(shù),并將DllHandle設(shè)為NULL及返回STATUS_DLL_NOT_FOUND即可)。
對于步驟S202,所述目標(biāo)進(jìn)程的注入事件可包括DLL文件注入事件等本領(lǐng)域的各種注入事件。DLL文件注入事件可包括注冊表注入事件、鉤子注入事件、遠(yuǎn)程線程注入事件、APC注入事件、遠(yuǎn)程代碼注入事件、LSP注入事件、COM調(diào)用注入事件等。如檢測到待注入數(shù)據(jù)對所述目標(biāo)進(jìn)程的注入請求時,判定檢測到注入事件。還可通過操作系統(tǒng)的相關(guān)API實現(xiàn)檢測目標(biāo)進(jìn)程的注入事件。
對于步驟S203,對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù)可為攔截不允許注入到所述目標(biāo)進(jìn)程的待注入數(shù)據(jù)。所述待注入數(shù)據(jù)可為所述注入事件對應(yīng)的注冊表、遠(yuǎn)程線程、APC、遠(yuǎn)程代碼、LSP、COM調(diào)用組件等。
在一個實施例中,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則,對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù)的步驟包括以下步驟:
根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則判斷所述目標(biāo)進(jìn)程的注入事件對應(yīng)的待注入數(shù)據(jù)是否為允許注入的數(shù)據(jù)。
若是,則將所述待注入數(shù)據(jù)注入所述目標(biāo)進(jìn)程。
若否,則對所述待注入數(shù)據(jù)進(jìn)行注入攔截。
本實施例,可有效攔截不允許注入所述目標(biāo)進(jìn)程的數(shù)據(jù)。
優(yōu)選地,若所述預(yù)設(shè)注入防護(hù)規(guī)則為判斷待注入數(shù)據(jù)為允許注入的數(shù)據(jù)的會澤,檢測到所述目標(biāo)進(jìn)程的注入事件時,可判斷所述注入事件對應(yīng)的待注入數(shù)據(jù)的標(biāo)識是否包括在所述預(yù)設(shè)注入防護(hù)規(guī)則中,若是,則判定所述待注入數(shù)據(jù)為允許注入的數(shù)據(jù),若否,則判定所述待注入數(shù)據(jù)不是允許注入的數(shù)據(jù)。
請參閱圖3,圖3是本發(fā)明注入防護(hù)方法第二實施方式的流程示意圖。
本實施方式所述的注入防護(hù)方法與第一實施方式的區(qū)別在于:將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置的步驟之后,還包括以下步驟:
步驟S301,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置。
步驟S302,若檢測到所述子進(jìn)程的注入事件,則運行所述子進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則。
步驟S303,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述子進(jìn)程進(jìn)行注入防護(hù)。
本實施方式,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置,可進(jìn)一步對目標(biāo)進(jìn)程的子進(jìn)程進(jìn)行注入防護(hù),進(jìn)一步提高注入防護(hù)的有效性和安全性。
對于步驟S301,所述子進(jìn)程的第一個注入位置為所述子進(jìn)程的第一組注入數(shù)據(jù)所占據(jù)的地址。
在一個實施例中,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置的步驟包括以下步驟:
檢測所述目標(biāo)進(jìn)程的進(jìn)程創(chuàng)建事件。
若檢測到,則將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置。
本實施例,可在目標(biāo)進(jìn)程創(chuàng)建進(jìn)程的同時將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置,對所述目標(biāo)進(jìn)程的子進(jìn)程進(jìn)行更及時有效的注入防護(hù)。
在另一個實施例中,目標(biāo)進(jìn)程的所有創(chuàng)建子進(jìn)程的調(diào)用都會轉(zhuǎn)發(fā)到函數(shù)Detour_CreateProcess,在函數(shù)Detour_CreateProcess里,通過函數(shù)DetourCreateProcessWithDllEx實現(xiàn)創(chuàng)建子進(jìn)程。若監(jiān)聽到調(diào)用DetourCreateProcessWithDllEx,可判斷檢測到所述不標(biāo)進(jìn)程的進(jìn)程創(chuàng)建事件。還可通過操作系統(tǒng)的相關(guān)API(CreateProcess)監(jiān)聽所述目標(biāo)進(jìn)程的進(jìn)程創(chuàng)建事件。
對于步驟S302,所述子進(jìn)程的注入事件可包括DLL文件注入事件等本領(lǐng)域的各種注入事件。DLL文件注入事件可包括注冊表注入事件、鉤子注入事件、遠(yuǎn)程線程注入事件、APC注入事件、遠(yuǎn)程代碼注入事件、LSP注入事件、COM調(diào)用注入事件等。
對于步驟S303,對所述子進(jìn)程進(jìn)行注入防護(hù)可為攔截不允許注入到所述子進(jìn)程的待注入數(shù)據(jù)。
在一個實施例中,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述子進(jìn)程進(jìn)行注入防護(hù) 的步驟包括以下步驟:
根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則判斷所述子進(jìn)程的注入事件對應(yīng)的待注入數(shù)據(jù)是否為允許注入的數(shù)據(jù)。
若是,則將所述待注入數(shù)據(jù)注入所述子進(jìn)程。
若否,則對所述待注入數(shù)據(jù)進(jìn)行注入攔截。
本實施例,可有效攔截不允許注入所述子進(jìn)程的數(shù)據(jù)。
優(yōu)選地,若所述預(yù)設(shè)注入防護(hù)規(guī)則為判斷待注入數(shù)據(jù)為允許注入的數(shù)據(jù)的規(guī)則,檢測到所述子進(jìn)程的注入事件時,可判斷所述注入事件對應(yīng)的待注入數(shù)據(jù)的標(biāo)識是否包括在所述預(yù)設(shè)注入防護(hù)規(guī)則中,若是,則判定所述待注入數(shù)據(jù)為允許注入的數(shù)據(jù),若否,則判定所述待注入數(shù)據(jù)不是允許注入的數(shù)據(jù)。
在其他實施方式中,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)和注入子進(jìn)程的防護(hù)數(shù)據(jù)可不同,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)包括與目標(biāo)進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。注入子進(jìn)程的防護(hù)數(shù)據(jù)包括與子進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。
請參閱圖4,圖4是本發(fā)明注入防護(hù)方法第三實施方式的流程示意圖。
本實施方式所述的注入防護(hù)方法與第二實施方式的區(qū)別在于:將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置的步驟之后,還包括以下步驟:
步驟S401,檢測所述子進(jìn)程的進(jìn)程創(chuàng)建事件。
步驟S402,若檢測到,則將所述防護(hù)數(shù)據(jù)注入所述子進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置。
步驟S403,若檢測到所述子進(jìn)程創(chuàng)建的進(jìn)程的注入事件,則運行所述子進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則。
步驟S404,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述子進(jìn)程創(chuàng)建的進(jìn)程進(jìn)行注入防護(hù)。
本實施方式,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置,可進(jìn)一步對目標(biāo)進(jìn)程的子進(jìn)程進(jìn)行注入防護(hù),進(jìn)一步提高注入防護(hù)的有效性和安全性。
對于步驟S401,檢測子進(jìn)程的進(jìn)程創(chuàng)建事件的方式與檢測目標(biāo)進(jìn)程的進(jìn)程 創(chuàng)建事件的方式類似。
對于步驟S402,所述子進(jìn)程創(chuàng)建的進(jìn)程可簡稱為孫進(jìn)程。所述子進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置為所述子進(jìn)程創(chuàng)建的進(jìn)程的第一組注入數(shù)據(jù)所占據(jù)的地址。
對于步驟S403,所述子進(jìn)程創(chuàng)建的進(jìn)程的注入事件可包括DLL文件注入事件等本領(lǐng)域的各種注入事件。DLL文件注入事件可包括注冊表注入事件、鉤子注入事件、遠(yuǎn)程線程注入事件、APC注入事件、遠(yuǎn)程代碼注入事件、LSP注入事件、COM調(diào)用注入事件等。
對于步驟S404,對所述子進(jìn)程創(chuàng)建的進(jìn)程進(jìn)行注入防護(hù)可為攔截不允許注入到所述子進(jìn)程的待注入數(shù)據(jù)。
在一個實施例中,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述子進(jìn)程創(chuàng)建的進(jìn)程進(jìn)行注入防護(hù)的步驟包括以下步驟:
根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則判斷所述子進(jìn)程創(chuàng)建的進(jìn)程的注入事件對應(yīng)的待注入數(shù)據(jù)是否為允許注入的數(shù)據(jù)。
若是,則將所述待注入數(shù)據(jù)注入所述子進(jìn)程創(chuàng)建的進(jìn)程。
若否,則對所述待注入數(shù)據(jù)進(jìn)行注入攔截。
本實施例,可有效攔截不允許注入所述子進(jìn)程的數(shù)據(jù)。
優(yōu)選地,若所述預(yù)設(shè)注入防護(hù)規(guī)則為判斷待注入數(shù)據(jù)為允許注入的數(shù)據(jù)的規(guī)則,檢測到所述子進(jìn)程創(chuàng)建的進(jìn)程的注入事件時,可判斷所述注入事件對應(yīng)的待注入數(shù)據(jù)的標(biāo)識是否包括在所述預(yù)設(shè)注入防護(hù)規(guī)則中,若是,則判定所述待注入數(shù)據(jù)為允許注入的數(shù)據(jù),若否,則判定所述待注入數(shù)據(jù)不是允許注入的數(shù)據(jù)。
在其他實施方式中,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)、注入子進(jìn)程的防護(hù)數(shù)據(jù)以及注入子進(jìn)程創(chuàng)建的進(jìn)程的防護(hù)數(shù)據(jù)可不同,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)包括與目標(biāo)進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。注入子進(jìn)程的防護(hù)數(shù)據(jù)包括與子進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。注入子進(jìn)程創(chuàng)建的進(jìn)程的防護(hù)數(shù)據(jù)包括與子進(jìn)程創(chuàng)建的進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。
請參閱圖5,圖5本發(fā)明注入防護(hù)系統(tǒng)第一實施方式的結(jié)構(gòu)示意圖。
本實施方式所述的注入防護(hù)系統(tǒng),包括防護(hù)數(shù)據(jù)注入模塊100、防護(hù)數(shù)據(jù)運行模塊200和注入防護(hù)模塊300,其中:
防護(hù)數(shù)據(jù)注入模塊100,用于將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置。
防護(hù)數(shù)據(jù)運行模塊200,用于在檢測到所述目標(biāo)進(jìn)程的注入事件時,運行所述目標(biāo)進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則。
注入防護(hù)模塊300,用于根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù)。
本實施方式,將包括預(yù)設(shè)注入防護(hù)規(guī)則的防護(hù)數(shù)據(jù)注入目標(biāo)進(jìn)程的第一個注入位置,若檢測到所述目標(biāo)進(jìn)程的注入事件,則運行所述目標(biāo)進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則,根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù),無需修改應(yīng)用的原程序源代碼邏輯,即可根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù),如攔截不允許注入的數(shù)據(jù),可使注入防護(hù)的通用性更好、適用性更高,適用到更大范圍的應(yīng)用防護(hù)中。
其中,對于防護(hù)數(shù)據(jù)注入模塊100,所述目標(biāo)進(jìn)程的第一個注入位置為所述目標(biāo)進(jìn)程的第一組注入數(shù)據(jù)所占據(jù)的地址。所述預(yù)設(shè)注入防護(hù)規(guī)則包括判斷待注入數(shù)據(jù)為允許注入的數(shù)據(jù)的規(guī)則、判斷待注入數(shù)據(jù)為禁止注入的數(shù)據(jù)的規(guī)則和判斷待注入數(shù)據(jù)為允許注入的帶數(shù)字簽名的數(shù)據(jù)的規(guī)則中的至少一種。所述防護(hù)數(shù)據(jù)可為用于防護(hù)所述目標(biāo)進(jìn)程的數(shù)據(jù)注入的進(jìn)程數(shù)據(jù),如DLL文件等。所述目標(biāo)進(jìn)程可為各種應(yīng)用的主進(jìn)程,所述應(yīng)用可為各種社交應(yīng)用、各種電子商務(wù)平臺等。
優(yōu)選地,所述防護(hù)數(shù)據(jù)的應(yīng)用程序編程接口與Windows用戶界面相關(guān)應(yīng)用程序接口(user32.dll)不相關(guān),可避免注冊表注入。
進(jìn)一步地,所述防護(hù)數(shù)據(jù)的應(yīng)用程序編程接口可與Windows 9x/Me中非常重要的32位動態(tài)鏈接庫文件(Kernel32.dll)、C/C++運行庫等相關(guān)。
在一個實施例中,防護(hù)數(shù)據(jù)注入模塊100可包括進(jìn)程轉(zhuǎn)換模塊和文件注入模塊,其中:
所述進(jìn)程轉(zhuǎn)換模塊用于將所述預(yù)設(shè)注入防護(hù)規(guī)則轉(zhuǎn)換為所述防護(hù)數(shù)據(jù)。
所述文件注入模塊用于將所述防護(hù)數(shù)據(jù)作為所述目標(biāo)進(jìn)程待加載的第一個加載文件加載到所述目標(biāo)進(jìn)程的加載文件導(dǎo)入表的第一個位置。
本實施例,可快速將所述防護(hù)數(shù)據(jù)作為所述目標(biāo)進(jìn)程待加載的第一個加載文件加載到所述目標(biāo)進(jìn)程的加載文件導(dǎo)入表的第一個位置。
優(yōu)選地,在將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的第一個注入位置前,需要啟動所述目標(biāo)進(jìn)程,可通過進(jìn)程加載器(Launch_bin.exe)啟動所述目標(biāo)進(jìn)程。
進(jìn)一步地,進(jìn)程加載器可通過Detours庫的DetourCreateProcessWithDllEx啟動目標(biāo)進(jìn)程,并將防護(hù)數(shù)據(jù)作為第一個注入文件注入到目標(biāo)進(jìn)程。
在一個實施例中,所述防護(hù)數(shù)據(jù)可包括DllMain函數(shù)Hook LdrLoadDll及CreateProcess函數(shù),通過Hook LdrLoadDll函數(shù)后,目標(biāo)進(jìn)程的各種待注入數(shù)據(jù)會轉(zhuǎn)發(fā)到Detour_LdrLoadDll函數(shù)。待注入數(shù)據(jù)的數(shù)據(jù)標(biāo)識會通過DllPath傳遞進(jìn)來,在Detour_LdrLoadDll函數(shù)里根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則進(jìn)行注入防護(hù)(若待注入數(shù)據(jù)為不允許注入的數(shù)據(jù),只需要在Detour_LdrLoadDll里不調(diào)用注入所述待注入數(shù)據(jù)的函數(shù),并將DllHandle設(shè)為NULL及返回STATUS_DLL_NOT_FOUND即可)。
對于防護(hù)數(shù)據(jù)運行模塊200,所述目標(biāo)進(jìn)程的注入事件可包括DLL文件注入事件等本領(lǐng)域的各種注入事件。DLL文件注入事件可包括注冊表注入事件、鉤子注入事件、遠(yuǎn)程線程注入事件、APC注入事件、遠(yuǎn)程代碼注入事件、LSP注入事件、COM調(diào)用注入事件等。
對于注入防護(hù)模塊300,對所述目標(biāo)進(jìn)程進(jìn)行注入防護(hù)可為攔截不允許注入到所述目標(biāo)進(jìn)程的待注入數(shù)據(jù)。所述待注入數(shù)據(jù)可為所述注入事件對應(yīng)的注冊表、遠(yuǎn)程線程、APC、遠(yuǎn)程代碼、LSP、COM調(diào)用組件等。
在一個實施例中,注入防護(hù)模塊300可包括判斷模塊、第五防護(hù)模塊和第六防護(hù)模塊,其中:
所述判斷模塊用于根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則判斷所述目標(biāo)進(jìn)程的注入事件對應(yīng)的待注入數(shù)據(jù)是否為允許注入的數(shù)據(jù);
所述第五防護(hù)模塊用于在所述待注入數(shù)據(jù)是允許注入的數(shù)據(jù)時,將所述待 注入數(shù)據(jù)注入所述目標(biāo)進(jìn)程;
所述第六防護(hù)模塊用于在所述待注入數(shù)據(jù)不是允許注入的數(shù)據(jù)時,對所述待注入數(shù)據(jù)進(jìn)行注入攔截。
本實施例,可有效攔截不允許注入所述目標(biāo)進(jìn)程的數(shù)據(jù)。
優(yōu)選地,若所述預(yù)設(shè)注入防護(hù)規(guī)則為判斷待注入數(shù)據(jù)為允許注入的數(shù)據(jù)的規(guī)則,檢測到所述目標(biāo)進(jìn)程的注入事件時,可判斷所述注入事件對應(yīng)的待注入數(shù)據(jù)的標(biāo)識是否包括在所述預(yù)設(shè)注入防護(hù)規(guī)則中,若是,則判定所述待注入數(shù)據(jù)為允許注入的數(shù)據(jù),若否,則判定所述待注入數(shù)據(jù)不是允許注入的數(shù)據(jù)。
請參閱圖6,圖6是本發(fā)明注入防護(hù)系統(tǒng)第二實施方式的結(jié)構(gòu)示意圖。
本實施方式所述的注入防護(hù)系統(tǒng)與第一實施方式的區(qū)別在于:還包括第二注入模塊610、第二運行模塊620和第二防護(hù)模塊630,其中:
第二注入模塊610用于將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置。
第二運行模塊620用于在檢測到所述子進(jìn)程的注入事件時,運行所述子進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則。
第二防護(hù)模塊630用于根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述子進(jìn)程進(jìn)行注入防護(hù)。
本實施方式,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置,可進(jìn)一步對目標(biāo)進(jìn)程的子進(jìn)程進(jìn)行注入防護(hù),進(jìn)一步提高注入防護(hù)的有效性和安全性。
對于第二注入模塊610,所述子進(jìn)程的第一個注入位置為所述子進(jìn)程的第一組注入數(shù)據(jù)所占據(jù)的地址。
在一個實施例中,第二注入模塊610還包括第三檢測模塊和第三注入模塊,其中:
所述第三檢測模塊用于檢測所述目標(biāo)進(jìn)程的進(jìn)程創(chuàng)建事件。
所述第三注入模塊用于在檢測到所述目標(biāo)進(jìn)程的進(jìn)程創(chuàng)建事件時,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置。
本實施例,可在目標(biāo)進(jìn)程創(chuàng)建進(jìn)程的同時將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn) 程創(chuàng)建的進(jìn)程的第一個注入位置,對所述目標(biāo)進(jìn)程的子進(jìn)程進(jìn)行更及時有效的注入防護(hù)。
對于第二運行模塊620,所述子進(jìn)程的注入事件可包括DLL文件注入事件等本領(lǐng)域的各種注入事件。DLL文件注入事件可包括注冊表注入事件、鉤子注入事件、遠(yuǎn)程線程注入事件、APC注入事件、遠(yuǎn)程代碼注入事件、LSP注入事件、COM調(diào)用注入事件等。
對于第二防護(hù)模塊630,對所述子進(jìn)程進(jìn)行注入防護(hù)可為攔截不允許注入到所述子進(jìn)程的待注入數(shù)據(jù)。
在其他實施方式中,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)和注入子進(jìn)程的防護(hù)數(shù)據(jù)可不同,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)包括與目標(biāo)進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。注入子進(jìn)程的防護(hù)數(shù)據(jù)包括與子進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。
請參閱圖7,圖7是本發(fā)明注入防護(hù)系統(tǒng)第三實施方式的結(jié)構(gòu)示意圖。
本實施方式所述的注入防護(hù)系統(tǒng)與第二實施方式的區(qū)別在于:還包括第四檢測模塊710、第四注入模塊720、第四運行模塊730和第四防護(hù)模塊740,其中:
第四檢測模塊710用于檢測所述子進(jìn)程的進(jìn)程創(chuàng)建事件。
第四注入模塊720用于在檢測到所述子進(jìn)程的進(jìn)程創(chuàng)建事件,則將所述防護(hù)數(shù)據(jù)注入所述子進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置。
第四運行模塊730用于在檢測到所述子進(jìn)程創(chuàng)建的進(jìn)程的注入事件時,運行所述子進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置的防護(hù)數(shù)據(jù),獲取所述預(yù)設(shè)注入防護(hù)規(guī)則。
第四防護(hù)模塊740用于根據(jù)所述預(yù)設(shè)注入防護(hù)規(guī)則對所述子進(jìn)程創(chuàng)建的進(jìn)程進(jìn)行注入防護(hù)。
本實施方式,將所述防護(hù)數(shù)據(jù)注入所述目標(biāo)進(jìn)程的子進(jìn)程的第一個注入位置,可進(jìn)一步對目標(biāo)進(jìn)程的子進(jìn)程進(jìn)行注入防護(hù),進(jìn)一步提高注入防護(hù)的有效性和安全性。
對于第四檢測模塊710,檢測子進(jìn)程的進(jìn)程創(chuàng)建事件的方式與檢測目標(biāo)進(jìn)程的進(jìn)程創(chuàng)建事件的方式類似。
對于第四注入模塊720,所述子進(jìn)程創(chuàng)建的進(jìn)程可簡稱為孫進(jìn)程。所述子進(jìn)程創(chuàng)建的進(jìn)程的第一個注入位置為所述子進(jìn)程創(chuàng)建的進(jìn)程的第一組注入數(shù)據(jù)所占據(jù)的地址。
對于第四運行模塊730,所述子進(jìn)程創(chuàng)建的進(jìn)程的注入事件可包括DLL文件注入事件等本領(lǐng)域的各種注入事件。DLL文件注入事件可包括注冊表注入事件、鉤子注入事件、遠(yuǎn)程線程注入事件、APC注入事件、遠(yuǎn)程代碼注入事件、LSP注入事件、COM調(diào)用注入事件等。
對于第四防護(hù)模塊740,對所述子進(jìn)程創(chuàng)建的進(jìn)程進(jìn)行注入防護(hù)可為攔截不允許注入到所述子進(jìn)程的待注入數(shù)據(jù)。
在其他實施方式中,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)、注入子進(jìn)程的防護(hù)數(shù)據(jù)以及注入子進(jìn)程創(chuàng)建的進(jìn)程的防護(hù)數(shù)據(jù)可不同,注入目標(biāo)進(jìn)程的防護(hù)數(shù)據(jù)包括與目標(biāo)進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。注入子進(jìn)程的防護(hù)數(shù)據(jù)包括與子進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。注入子進(jìn)程創(chuàng)建的進(jìn)程的防護(hù)數(shù)據(jù)包括與子進(jìn)程創(chuàng)建的進(jìn)程對應(yīng)的預(yù)設(shè)注入防護(hù)規(guī)則。
圖8為能實現(xiàn)本發(fā)明實施例的一個計算機系統(tǒng)1000的模塊圖。該計算機系統(tǒng)1000只是一個適用于本發(fā)明的計算機環(huán)境的示例,不能認(rèn)為是提出了對本發(fā)明的使用范圍的任何限制。計算機系統(tǒng)1000也不能解釋為需要依賴于或具有圖示的示例性的計算機系統(tǒng)1000中的一個或多個部件的組合。
圖8中示出的計算機系統(tǒng)1000是一個適合用于本發(fā)明的計算機系統(tǒng)的例子。具有不同子系統(tǒng)配置的其它架構(gòu)也可以使用。例如有大眾所熟知的臺式機、筆記本、個人數(shù)字助理、智能電話、平板電腦、便攜式媒體播放器等類似設(shè)備可以適用于本發(fā)明的一些實施例。但不限于以上所列舉的設(shè)備。
如圖8所示,計算機系統(tǒng)1000包括處理器1010、存儲器1020和系統(tǒng)總線1022。包括存儲器1020和處理器1010在內(nèi)的各種系統(tǒng)組件連接到系統(tǒng)總線1022上。處理器1010是一個用來通過計算機系統(tǒng)中基本的算術(shù)和邏輯運算來執(zhí)行計算機程序指令的硬件。存儲器1020是一個用于臨時或永久性存儲計算程序或數(shù)據(jù)(例如,程序狀態(tài)信息)的物理設(shè)備。系統(tǒng)總線1020可以為以下幾種類型的總線結(jié)構(gòu)中的任意一種,包括存儲器總線或存儲控制器、外設(shè)總線和局部總線。 處理器1010和存儲器1020可以通過系統(tǒng)總線1022進(jìn)行數(shù)據(jù)通信。其中存儲器1020包括只讀存儲器(ROM)或閃存(圖中都未示出),以及隨機存取存儲器(RAM),RAM通常是指加載了操作系統(tǒng)和應(yīng)用程序的主存儲器。
計算機系統(tǒng)1000還包括顯示接口1030(例如,圖形處理單元)、顯示設(shè)備1040(例如,液晶顯示器)、音頻接口1050(例如,聲卡)以及音頻設(shè)備1060(例如,揚聲器)。顯示設(shè)備1040和音頻設(shè)備1060是用于體驗多媒體內(nèi)容的媒體設(shè)備。
計算機系統(tǒng)1000一般包括一個存儲設(shè)備1070。存儲設(shè)備1070可以從多種計算機可讀介質(zhì)中選擇,計算機可讀介質(zhì)是指可以通過計算機系統(tǒng)1000訪問的任何可利用的介質(zhì),包括移動的和固定的兩種介質(zhì)。例如,計算機可讀介質(zhì)包括但不限于,閃速存儲器(微型SD卡),CD-ROM,數(shù)字通用光盤(DVD)或其它光盤存儲、磁帶盒、磁帶、磁盤存儲或其它磁存儲設(shè)備,或者可用于存儲所需信息并可由計算機系統(tǒng)1000訪問的任何其它介質(zhì)。
計算機系統(tǒng)1000還包括輸入裝置1080和輸入接口1090(例如,IO控制器)。用戶可以通過輸入裝置1080,如鍵盤、鼠標(biāo)、顯示裝置1040上的觸摸面板設(shè)備,輸入指令和信息到計算機系統(tǒng)1000中。輸入裝置1080通常是通過輸入接口1090連接到系統(tǒng)總線1022上的,但也可以通過其它接口或總線結(jié)構(gòu)相連接,如通用串行總線(USB)。
計算機系統(tǒng)1000可在網(wǎng)絡(luò)環(huán)境中與一個或者多個網(wǎng)絡(luò)設(shè)備進(jìn)行邏輯連接。網(wǎng)絡(luò)設(shè)備可以是個人電腦、服務(wù)器、路由器、智能電話、平板電腦或者其它公共網(wǎng)絡(luò)節(jié)點。計算機系統(tǒng)1000通過局域網(wǎng)(LAN)接口1100或者移動通信單元1110與網(wǎng)絡(luò)設(shè)備相連接。局域網(wǎng)(LAN)是指在有限區(qū)域內(nèi),例如家庭、學(xué)校、計算機實驗室、或者使用網(wǎng)絡(luò)媒體的辦公樓,互聯(lián)組成的計算機網(wǎng)絡(luò)。WiFi和雙絞線布線以太網(wǎng)是最常用的構(gòu)建局域網(wǎng)的兩種技術(shù)。WiFi是一種能使計算機系統(tǒng)1000間交換數(shù)據(jù)或通過無線電波連接到無線網(wǎng)絡(luò)的技術(shù)。移動通信單元1110能在一個廣闊的地理區(qū)域內(nèi)移動的同時通過無線電通信線路接聽和撥打電話。除了通話以外,移動通信單元1110也支持在提供移動數(shù)據(jù)服務(wù)的2G,3G或4G蜂窩通信系統(tǒng)中進(jìn)行互聯(lián)網(wǎng)訪問。
應(yīng)當(dāng)指出的是,其它包括比計算機系統(tǒng)1000更多或更少的子系統(tǒng)的計算機系統(tǒng)也能適用于發(fā)明。
如上面詳細(xì)描述的,適用于本發(fā)明的計算機系統(tǒng)1000能執(zhí)行注入防護(hù)方法的指定操作。計算機系統(tǒng)1000通過處理器1010運行在計算機可讀介質(zhì)中的軟件指令的形式來執(zhí)行這些操作。這些軟件指令可以從存儲設(shè)備1070或者通過局域網(wǎng)接口1100從另一設(shè)備讀入到存儲器1020中。存儲在存儲器1020中的軟件指令使得處理器1010執(zhí)行上述的注入防護(hù)方法。此外,通過硬件電路或者硬件電路結(jié)合軟件指令也能同樣實現(xiàn)本發(fā)明。因此,實現(xiàn)本發(fā)明并不限于任何特定硬件電路和軟件的組合。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory,ROM)或隨機存儲記憶體(Random Access Memory,RAM)等。
以上所述實施例僅表達(dá)了本發(fā)明的幾種實施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。