不被非法終止或破壞�。
[0105]3、在本發(fā)明實(shí)施例中�����,用戶可以通過主服務(wù)進(jìn)程模塊�����,以配置文件的形式對內(nèi)核規(guī)則管理模塊中的進(jìn)程保護(hù)規(guī)則進(jìn)行添加、刪除或修改�����,并根據(jù)更新后的進(jìn)程保護(hù)規(guī)則�,將應(yīng)用窗口消息保護(hù)模塊注入到新規(guī)則中要求保護(hù)的GUI進(jìn)程中,能夠根據(jù)實(shí)際要求實(shí)時對過濾規(guī)則進(jìn)行維護(hù)和更新�����,保證對各種非法進(jìn)程都能夠有效的過濾�,提升對Windows進(jìn)程保護(hù)的系統(tǒng)性。
[0106]4�����、在本發(fā)明實(shí)施例中�,在首次將進(jìn)程保護(hù)規(guī)則寫入內(nèi)核規(guī)則管理模塊的同時����,還將進(jìn)程保護(hù)規(guī)則寫入硬盤,進(jìn)行永久的保存����,當(dāng)系統(tǒng)重新啟動后�,直接從硬盤讀取進(jìn)程保護(hù)規(guī)則寫入內(nèi)存���,同時���,在對進(jìn)程保護(hù)規(guī)則更新時,也會對硬盤上的進(jìn)程保護(hù)規(guī)則�����,避免每次重啟都需人工更新的麻煩����。
[0107]上述設(shè)備內(nèi)的各單元之間的信息交互、執(zhí)行過程等內(nèi)容�����,由于與本發(fā)明方法實(shí)施例基于同一構(gòu)思��,具體內(nèi)容可參見本發(fā)明方法實(shí)施例中的敘述����,此處不再贅述。
[0108]需要說明的是��,在本文中,諸如第一和第二之類的關(guān)系術(shù)語僅僅用來將一個實(shí)體或者操作與另一個實(shí)體或操作區(qū)分開來���,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序����。而且���,術(shù)語“包括”����、“包含”或者其任何其他變體意在涵蓋非排他性的包含�����,從而使得包括一系列要素的過程����、方法�、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素���,或者是還包括為這種過程���、方法���、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下����,由語句“包括一個......”限定的要素,并不排除在包括所述要素的過程����、方法、物品或者設(shè)備中還存在另外的相同因素�����。
[0109]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成�,前述的程序可以存儲在計算機(jī)可讀取的存儲介質(zhì)中,該程序在執(zhí)行時��,執(zhí)行包括上述方法實(shí)施例的步驟�;而前述的存儲介質(zhì)包括:ROM、RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)中。
[0110]最后需要說明的是:以上所述僅為本發(fā)明的較佳實(shí)施例��,僅用于說明本發(fā)明的技術(shù)方案��,并非用于限定本發(fā)明的保護(hù)范圍�。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換��、改進(jìn)等����,均包含在本發(fā)明的保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1.一種Windows進(jìn)程的系統(tǒng)性保護(hù)方法���,其特征在于����,包括: 加載內(nèi)核進(jìn)程保護(hù)模塊和內(nèi)核規(guī)則管理模塊��; 將進(jìn)程保護(hù)規(guī)則寫入所述內(nèi)核規(guī)則管理模塊�; 將應(yīng)用窗口消息保護(hù)模塊注入所述進(jìn)程保護(hù)規(guī)則中要求保護(hù)的GUI進(jìn)程中�����; 依據(jù)進(jìn)程保護(hù)規(guī)則,對進(jìn)入所述內(nèi)核進(jìn)程保護(hù)模塊或應(yīng)用窗口消息保護(hù)模塊的訪問進(jìn)程或窗口消息進(jìn)行判斷��; 根據(jù)判斷結(jié)果���,對所述訪問進(jìn)程或窗口消息進(jìn)行處理����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����, 所述內(nèi)核進(jìn)程保護(hù)模塊和內(nèi)核規(guī)則管理模塊,通過內(nèi)核驅(qū)動的方式實(shí)現(xiàn)��,在初次安裝之后�,隨操作系統(tǒng)運(yùn)行自動運(yùn)行; 所述應(yīng)用窗口消息保護(hù)模塊通過Windows標(biāo)準(zhǔn)動態(tài)庫的方式實(shí)現(xiàn)��,與被注入的所述⑶I進(jìn)程一同運(yùn)行�����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述進(jìn)程保護(hù)規(guī)則包括: 定義訪問進(jìn)程對內(nèi)核進(jìn)程進(jìn)行訪問的規(guī)則�,所述訪問進(jìn)程包括對內(nèi)核進(jìn)程進(jìn)行終止、寫入內(nèi)核進(jìn)程內(nèi)存地址空間���、在內(nèi)核進(jìn)程中創(chuàng)建遠(yuǎn)程線程��,如果所述訪問進(jìn)程的訪問行為是正常的訪問過程��,則該訪問進(jìn)程為允許��,如果所述訪問進(jìn)程是對內(nèi)核進(jìn)程進(jìn)行非法關(guān)閉或破壞��,則該訪問進(jìn)程為不允許���; 定義需要保護(hù)的GUI進(jìn)程及對GUI進(jìn)程進(jìn)行運(yùn)行的規(guī)則,如果對所述GUI進(jìn)程訪問的窗口消息為非法終止或退出的破壞消息����,則該窗口消息為不允許�,否則為允許���。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述將進(jìn)程保護(hù)規(guī)則寫入所述內(nèi)核規(guī)則管理模塊包括: 在首次寫入時���,將所述進(jìn)程保護(hù)規(guī)則分別寫入內(nèi)存和硬盤,內(nèi)存上的進(jìn)程保護(hù)規(guī)則寫在所述內(nèi)核規(guī)則管理模塊內(nèi)�,硬盤上的進(jìn)程保護(hù)規(guī)則永久保存在硬盤上,當(dāng)Windows系統(tǒng)重新啟動時��,從硬盤上讀取所述進(jìn)程保護(hù)規(guī)則�,并將其重新寫入所述內(nèi)核規(guī)則管理模塊。
5.根據(jù)權(quán)利要求1至4中任一所述的方法�,其特征在于,所述根據(jù)判斷結(jié)果���,對所述訪問進(jìn)程或窗口消息進(jìn)行處理包括: 根據(jù)判斷結(jié)果�����,如果所述訪問進(jìn)程的訪問行為或所述窗口消息的運(yùn)行行為不被允許����,則阻止所述訪問進(jìn)程或丟棄所述窗口消息,如果所述訪問進(jìn)程的訪問行為或所述窗口消息的運(yùn)行行為被允許�����,則所述訪問進(jìn)程或窗口消息繼續(xù)向下傳遞���。
6.根據(jù)權(quán)利要求1至4中任一所述的方法�,其特征在于�����,在所述加載內(nèi)核進(jìn)程保護(hù)模塊和內(nèi)核規(guī)則管理模塊之前進(jìn)一步包括: 安裝主服務(wù)進(jìn)程模塊����,所述主服務(wù)進(jìn)程模塊通過Windows應(yīng)用程序的方式實(shí)現(xiàn);用戶通過向所述主服務(wù)進(jìn)程模塊發(fā)送命令�,所述主服務(wù)進(jìn)程模塊判斷所述命令類型,如果所述命令是退出命令�,則卸載所述內(nèi)核進(jìn)程保護(hù)模塊、內(nèi)核規(guī)則管理模塊和應(yīng)用窗口消息保護(hù)模塊�����,然后所述主服務(wù)進(jìn)程模塊也退出運(yùn)行,如果命令是對所述進(jìn)程保護(hù)規(guī)則進(jìn)行管理的命令�����,則從所述命令參數(shù)中獲取輸入進(jìn)程保護(hù)規(guī)則的類型和內(nèi)容�����,然后將新的進(jìn)程保護(hù)規(guī)則寫入內(nèi)核規(guī)則管理模塊和硬盤��,重新把所述應(yīng)用窗口消息保護(hù)模塊注入到最新規(guī)則中要求保護(hù)的所述GUI進(jìn)程中�����。
7.一種Windows進(jìn)程的系統(tǒng)性保護(hù)裝置�,其特征在于��,包括: 加載單元����,用于加載內(nèi)核進(jìn)程保護(hù)模塊和內(nèi)核規(guī)則管理模塊; 寫入單元���,用于將進(jìn)程保護(hù)規(guī)則寫入所述內(nèi)核規(guī)則管理模塊����; 注入單元,用于將應(yīng)用窗口消息保護(hù)模塊注入所述進(jìn)程保護(hù)規(guī)則中要求保護(hù)的GUI進(jìn)程中��; 判斷單元���,用于依據(jù)進(jìn)程保護(hù)規(guī)則�����,對進(jìn)入所述內(nèi)核進(jìn)程保護(hù)模塊或應(yīng)用窗口消息保護(hù)模塊的訪問進(jìn)程或窗口消息進(jìn)行判斷����; 處理單元����,用于根據(jù)判斷結(jié)果,對所述訪問進(jìn)程或窗口消息進(jìn)行處理�。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于�����, 所述寫入單元���,用于利用所述主服務(wù)進(jìn)程模塊����,在首次寫入時,將所述進(jìn)程保護(hù)規(guī)則分別寫入內(nèi)存和硬盤�,內(nèi)存上的進(jìn)程保護(hù)規(guī)則寫在所述內(nèi)核規(guī)則管理模塊內(nèi),硬盤上的進(jìn)程保護(hù)規(guī)則永久保存在硬盤上�����,當(dāng)Windows系統(tǒng)重新啟動時�,所述主服務(wù)進(jìn)程模塊從硬盤上讀取所述進(jìn)程保護(hù)規(guī)則����,并將其重新寫入所述內(nèi)核規(guī)則管理模塊; 和/或���, 所述處理裝置���,用于根據(jù)判斷結(jié)果,如果所述訪問進(jìn)程的訪問行為或所述窗口消息的運(yùn)行行為不被允許����,則阻止所述訪問進(jìn)程或丟棄所述窗口消息��,如果所述訪問進(jìn)程的訪問行為或所述窗口消息的運(yùn)行行為被允許���,則所述訪問進(jìn)程或窗口消息繼續(xù)向下傳遞。
9.根據(jù)權(quán)利要求7至8中任一所述的裝置��,其特征在于�����,進(jìn)一步包括: 安裝單元�����,用于安裝主服務(wù)進(jìn)程模塊����,所述主服務(wù)進(jìn)程模塊通過Windows應(yīng)用程序的方式實(shí)現(xiàn); 卸載單元����,用于用戶通過向所述主服務(wù)進(jìn)程模塊發(fā)送命令,所述主服務(wù)進(jìn)程模塊判斷所述命令類型�,如果所述命令是退出命令,那就卸載所述所有模塊,然后所述主服務(wù)進(jìn)程模塊也退出運(yùn)行�; 管理單元,用于用戶通過向所述主服務(wù)進(jìn)程模塊發(fā)送命令���,所述主服務(wù)進(jìn)程模塊判斷所述命令類型���,如果命令是針對所述進(jìn)程保護(hù)規(guī)則管理命令,則從所述命令參數(shù)中獲取輸入進(jìn)程保護(hù)規(guī)則的類型和內(nèi)容���,然后將新的進(jìn)程保護(hù)規(guī)則寫入內(nèi)核規(guī)則管理模塊和硬盤����,重新把所述應(yīng)用窗口消息保護(hù)模塊注入到最新規(guī)則中要求保護(hù)的所述GUI進(jìn)程中��。
10.根據(jù)權(quán)利要求9所述的裝置��,其特征在于��,所述卸載單元�、管理單元��、加載單元���、寫入單元����、注入單元均布置于所述主服務(wù)進(jìn)程模塊內(nèi)。
【專利摘要】本發(fā)明提供一種Windows進(jìn)程的系統(tǒng)性保護(hù)方法及裝置�����,該方法包括:加載內(nèi)核進(jìn)程保護(hù)模塊和內(nèi)核規(guī)則管理模塊����,將進(jìn)程保護(hù)規(guī)則寫入所述內(nèi)核規(guī)則管理模塊,將應(yīng)用窗口消息保護(hù)模塊注入所述進(jìn)程保護(hù)規(guī)則中要求保護(hù)的GUI進(jìn)程中��,依據(jù)進(jìn)程保護(hù)規(guī)則�����,對進(jìn)入所述內(nèi)核進(jìn)程保護(hù)模塊或應(yīng)用窗口消息保護(hù)模塊的訪問進(jìn)程或窗口消息進(jìn)行判斷���,根據(jù)判斷結(jié)果�����,對所述訪問進(jìn)程或窗口消息進(jìn)行處理��。該裝置包括:加載單元����、寫入單元、注入單元�����、判斷單元及處理單元����。本方案能夠提升Windows進(jìn)程保護(hù)的可靠性。
【IPC分類】G06F21-54
【公開號】CN104809392
【申請?zhí)枴緾N201510211978
【發(fā)明人】邢希雙
【申請人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2015年7月29日
【申請日】2015年4月29日