CN101414339B - 保护进程内存及确保驱动程序加载的安全性的方法 - Google Patents
保护进程内存及确保驱动程序加载的安全性的方法 Download PDFInfo
- Publication number
- CN101414339B CN101414339B CN2007101624498A CN200710162449A CN101414339B CN 101414339 B CN101414339 B CN 101414339B CN 2007101624498 A CN2007101624498 A CN 2007101624498A CN 200710162449 A CN200710162449 A CN 200710162449A CN 101414339 B CN101414339 B CN 101414339B
- Authority
- CN
- China
- Prior art keywords
- driver
- function
- request
- safety
- internal memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 112
- 230000006870 function Effects 0.000 claims abstract description 60
- 238000012545 processing Methods 0.000 claims abstract description 19
- 230000008878 coupling Effects 0.000 claims description 10
- 238000010168 coupling process Methods 0.000 claims description 10
- 238000005859 coupling reaction Methods 0.000 claims description 10
- 238000011282 treatment Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Abstract
本发明提供了保护进程内存及确保驱动程序加载的安全性的方法。所述方法包括:在SSDT中与NtWriteVirtualMemory函数或NtLoadDriver函数对应的系统服务号处,将相应函数的地址指针修改为相应安全检测程序的地址指针;接收进程的写内存请求或对驱动程序的加载请求;在修改后的SSDT中查找相应的系统服务号并调用相应的安全检测程序;以及安全检测程序判断写内存请求或加载请求是否受限或合法,如果不受限或合法,则调用并执行NtWriteVirtualMemory函数或NtLoadDriver函数,如果受限或不合法,则执行规则处理。本发明的方法可广泛地用于保证网络安全性和系统安全性。
Description
技术领域
本发明涉及网络安全和系统安全领域,特别涉及保护进程内存及确保驱动程序加载的安全性的方法。
背景技术
随着互联网技术的发展,网络安全问题日益突出,而由此带来的系统安全性问题也越来越引起人们的关注。各种计算机病毒、木马程序等恶意软件不仅让广大计算机用户防不胜防,同时也极大地制约着包含电子商务在内的互联网相关产业的发展。因此,信息安全问题已经成为涉及网上身份认证、网上支付技术在内的整个电子商务产业的发展瓶颈。
一般地,这些恶意软件的破坏性是通过向系统的进程内存中非法写入恶意代码或者在系统中安装恶意驱动程序而造成的。因此,如何有效地防止非法写内存或者非法安装驱动程序成了抵制这类恶意软件的关键,也成了保证网络安全和系统安全的关键。
当前,人们广为使用的操作系统的运行可被分为用户模式和内核模式。在用户模式下,对来自外部的用户请求等进行处理,其相当于计算机三环保护模型中的三环(Ring 3),具有最低权限级别。在内核模式下,执行系统内核组件功能,通过系统内核函数等的执行来最终响应用户请求,其对应于三环保护模型中的零环(Ring 0),具有最高权限级别。
目前,人们开发出的多种网络防护和系统防护软件产品未能从系统内核层的角度来考虑进行架构,即,未能在具有最高权限级别的内核模式下防止恶意软件对内核层函数进行调用,从而不能从根源上抵制恶意软件的破坏行为。由于这些产品的设计构架的局限性,其并不能满足人们对于网络安全和系统安全的日益增长的需求。
因此,需要能够从内核层来实现保护进程内存及确保驱动程序加载的安全性的方法,以便更高效地抵制恶意软件的破坏行为。
发明内容
针对上述问题,本发明从系统的内核层出发来实现网络安全性和系统安全性。
本发明的一个目的是对进程的写内存请求进行拦截和检测,以实现执行写内存请求时的安全性。
本发明的另一个目的是对驱动程序的加载请求进行拦截和检测,以实现执行驱动程序加载请求时的安全性。
为了实现上述目的,本发明提供一种保护进程内存的方法,包括:
(a)在系统服务描述表(SSDT)中与NtWriteVirtualMemory函数对应的系统服务号处,将NtWriteVirtualMemory函数的地址指针修改为安全检测程序的地址指针;
(b)接收进程的写内存请求;
(c)在修改后的SSDT中查找所述系统服务号并调用所述安全检测程序;以及
(d)所述安全检测程序判断所述写内存请求是否受限,如果受限,则执行规则处理,如果不受限,则调用NtWriteVirtualMemory函数对所述进程进行写内存操作。
此外,本发明还提供一种确保驱动程序加载的安全性的方法,包括:
(a)在系统服务描述表(SSDT)中与NtLoadDriver函数对应的系统服务号处,将NtLoadDriver函数的地址指针修改为安全检测程序的地址指针;
(b)接收对驱动程序的加载请求;
(c)在修改后的SSDT中查找所述系统服务号并调用所述安全检测程序;以及
(d)所述安全检测程序判断所述加载请求是否合法,如果合法,则调用NtLoadDriver函数进行对所述驱动程序的加载操作,如果不合法,则执行规则处理。
本发明的方法具有安全、稳定、效率高、使用简便、通用性强等特点。本发明可以广泛地用于保证系统安全性以及网络安全性。
附图说明
图1示出根据本发明对系统服务描述表(SSDT)进行修改的示意图;
图2示出根据本发明的保护进程内存的方法的流程图;
图3示出在根据本发明的保护进程内存的方法中所执行的规则处理的示例性流程图;
图4示出根据本发明的确保驱动程序加载的安全性的方法的流程图;以及
图5示出在根据本发明的确保驱动程序加载的安全性的方法中所执行的规则处理的示例性流程图。
具体实施方式
当前使用的操作系统在接收到外部用户请求时,会经由系统服务调用接口对相应的内核层函数进行调用,从而响应用户请求。对内核层函数进行调用的过程主要为:对用户请求进行解析,在系统服务描述表(SSDT)中查找到相应的系统服务号及在该系统服务号处记录的与之对应的指向内核层函数的地址指针,然后根据该地址指针调用并执行函数。本发明保护进程内存的方法涉及内核层的NtWriteVirtualMemory函数,而确保驱动程序加载的安全性的方法涉及内核层的NtLoadDriver函数。基于以上描述的调用过程,例如,可以通过对外部函数WriteVirtualMemory(用于写内存)和OpenService(用于加载驱动程序)的执行过程分别进行跟踪,获得NtWriteVirtualMemory函数和NtLoadDriver函数在SSDT中的系统服务号及其地址指针。由此,便可通过对地址指针进行修改并进而由本发明的安全检测程序进行安全性检测来实现本发明的目的,以下将对此进行详细描述。
图1示出根据本发明对SSDT进行修改的示意图。
在本发明中,为了利用安全检测程序实现对外部请求的拦截和检测,在SSDT中分别对应于NtWriteVirtualMemory函数和NtLoadDriver函数的系统服务号A1和A2处,将NtWriteVirtualMemory函数和NtLoadDriver函数的地址指针分别修改为安全检测程序1和2的地址指针,其中,安全检测程序1可实现对进程的写内存请求的安全检测,安全检测程序2可实现对驱动程序的加载请求的安全检测。当外部请求到达并查找到SSDT的系统服务号A1或A2处时,调用该服务号处此时记录的地址指针(即,修改后的安全检测程序1或2的地址指针),由此,该外部请求实际上被拦截并转向安全检测程序1或2,安全检测程序1或2进而可对外部请求的安全性进行检测。可选地,安全检测程序1和2的功能可以集成在一起,从而在SSDT被修改后,系统服务号A1和A2处所记录的地址指针将指向相同的安全检测程序地址。
下面具体描述根据本发明的保护进程内存的方法。
图2示出根据本发明的保护进程内存的方法的流程图。
在步骤S20,在SSDT中与NtWriteVirtualMemory函数对应的系统服务号A1处,将NtWriteVirtualMemory函数的地址指针修改为安全检测程序1的地址指针。在步骤S22,接收进程的写内存请求。在步骤S24,在修改后的SSDT中查找系统服务号A1,并根据A1处此时记录的安全检测程序1的地址指针来调用安全检测程序1。在步骤S26,安全检测程序1判断写内存请求是否是受限的,即,确定该写内存请求是否由于其可能是恶意软件所发出并可能对安全性造成危害而应受到限制,或者该写内存请求是否具有直接调用NtWriteVirtualMemory函数的权限。如果该写内存请求受限,则执行规则处理(将结合图3进行说明),如果不受限,则调用NtWriteVirtualMemory函数对所述进程进行写内存操作。
可选地,在上述的步骤S20之前,例如,可以通过跟踪WriteVirtualMemory函数的执行过程,获得NtWriteVirtualMemory函数在SSDT中的系统服务号和地址指针。对于NtWriteVirtualMemory函数的系统服务号和地址指针的获取也可以采用本领域技术人员能够借助的其它技术手段来实现。
可选地,在步骤S20中,还可以对NtWriteVirtualMemory函数的地址指针进行存储,以便在后续的处理中由安全检测程序1调用。
在本发明的一个实施例中,可以在步骤S22之前建立受保护进程列表。受保护进程列表中记录了为了实现安全性而应受到保护的进程,例如网上支付进程等,由于这些进程可能涉及用户的隐私信息或者其它保密信息,因此这些进程的内存不应被随意地写入。从而,步骤S26中判断写内存请求是否受限的处理可以具体实现为:判断所述进程是否位于受保护进程列表中。如果所述进程位于受保护进程列表中,则表明所述进程应受到保护而不应对其进程内存随意写入,因而该写内存请求被判断为受限;如果所述进程不位于受保护进程列表中,则表明所述进程不必受到保护并可以对其进程内存进行写入,因而该写内存请求被判断为不受限。
在一种优选实施方式中,可以利用进程的全路径来对进程进行辨别,从而,受保护进程列表中记录的将是所有受保护进程的全路径。在判断一个进程是否位于受保护进程列表中时,可以利用全路径来对进程进行匹配。例如,该判断过程可以为:首先,解析所述进程的全路径;然后,判断解析出的所述进程的全路径是否与受保护进程列表中的某一进程的全路径相匹配;如果存在匹配,则判断所述写内存请求为受限;如果不存在匹配,则判断所述写内存请求为不受限。
图3示出在根据本发明的保护进程内存的方法中所执行的规则处理的示例性流程图。
在写内存请求被判断为受限后,在步骤S30,判断该写内存请求是否需要交由用户处理。如果不需要由用户处理,则拒绝该写内存请求;否则,交给用户进行处理并等待用户的处理结果(步骤S32)。在步骤S34,判断用户是否接受该写内存请求。如果用户接受该写内存请求,则调用NtWriteVirtualMemory函数对所述进程进行写内存操作;如果用户不接受,则拒绝该写内存请求。
此外,可选地,规则处理也可以不必通过用户来进行,而是简单地直接拒绝写内存请求。
以上描述了通过修改SSDT来保护进程内存的方法。基于类似的原理,本发明也可通过修改SSDT来确保驱动程序加载的安全性。
图4示出根据本发明的确保驱动程序加载的安全性的方法的流程图。
在步骤S40,在SSDT中与NtLoadDriver函数对应的系统服务号A2处,将NtLoadDriver函数的地址指针修改为安全检测程序2的地址指针。在步骤S42,接收对驱动程序的加载请求。在步骤S44,在修改后的SSDT中查找系统服务号A2,并根据A2处此时记录的安全检测程序2的地址指针来调用安全检测程序2。在步骤S46,安全检测程序2判断该加载请求是否是合法的,即,确定该加载请求是否由于其可能是恶意软件所发出并可能对安全性造成危害而属于不合法请求,或者该加载请求是否具有直接调用NtLoadDriver函数的权限。如果该加载请求合法,则调用NtLoadDriver函数对所述驱动程序进行加载操作;如果该加载请求不合法,则执行规则处理(将结合图5进行说明)。
可选地,在上述的步骤S40之前,例如,可以通过跟踪OpenService函数的执行过程,获得NtLoadDriver函数在SSDT中的系统服务号和地址指针。对于NtLoadDriver函数的系统服务号和地址指针的获取也可以采用本领域技术人员能够借助的其它技术手段来实现。
可选地,在步骤S40中,还可以对NtLoadDriver函数的地址指针进行存储,以便在后续的处理中由安全检测程序2调用。
在本发明的一个实施例中,可以在步骤S42之前建立受信驱动程序列表。受信驱动程序列表中记录了可信任且不会对安全性造成危害的驱动程序,对于这些驱动程序可以直接进行加载操作,而未记录在受信驱动程序列表中的驱动程序则被视为是不信任的,不能对其随意地进行加载操作。从而,步骤S46中判断加载请求是否合法的处理可以具体实现为:判断所述驱动程序是否位于受信驱动程序列表中。如果所述驱动程序位于受信驱动程序列表中,则表明所述驱动程序是可信任的并可对其进行加载操作,因而该加载请求被判断为合法;如果所述驱动程序不位于受信驱动程序列表中,则表明所述驱动程序是不信任的,因而该加载请求被判断为不合法。
在一种优选实施方式中,可以利用驱动程序的全路径来对驱动程序进行辨别,从而,受信驱动程序列表中记录的将是所有受信驱动程序的全路径。在判断一个驱动程序是否位于受信驱动程序列表中时,可以利用全路径来对驱动程序进行匹配。例如,该判断过程可以为:首先,解析所述驱动程序的全路径;然后,判断解析出的所述驱动程序的全路径是否与受信驱动程序列表中的某一驱动程序的全路径相匹配;如果存在匹配,则判断所述加载请求为合法;如果不存在匹配,则判断所述加载请求为不合法。
图5示出在根据本发明的确保驱动程序加载的安全性的方法中所执行的规则处理的示例性流程图。
在对驱动程序的加载请求被判断为不合法后,在步骤S50,判断该加载请求是否需要交由用户处理。如果不需要由用户处理,则拒绝该加载请求;否则,交给用户进行处理并等待用户的处理结果(步骤S52)。在步骤S54,判断用户是否接受该加载请求。如果用户接受该加载请求,则调用NtLoadDriver函数对所述驱动程序进行加载操作;如果用户不接受,则拒绝该加载请求。
此外,可选地,规则处理也可以不必通过用户来进行,而是简单地直接拒绝加载请求。
以上描述了根据本发明的保护进程内存及确保驱动程序加载的安全性的方法。由于本发明的方法是在系统的内核层实现的,所以具有安全、稳定、效率高、使用简便、通用性强等特点。本发明可以广泛地用于密码帐号保护、个人隐私保护等网络安全领域,并且对实现系统的安全性具有积极意义。
Claims (22)
1.一种保护进程内存的方法,包括:
(a)在系统服务描述表SSDT中与NtWriteVirtualMemory函数对应的系统服务号处,将NtWriteVirtualMemory函数的地址指针修改为安全检测程序的地址指针;
(b)接收进程的写内存请求;
(c)在修改后的SSDT中查找所述系统服务号并根据所述系统服务号处的所述安全检测程序的地址指针来调用所述安全检测程序;以及
(d)所述安全检测程序判断所述写内存请求是否受限,如果受限,则执行规则处理,如果不受限,则调用NtWriteVirtualMemory函数对所述进程进行写内存操作。
2.如权利要求1所述的保护进程内存的方法,其中,在步骤(a)之前还包括:通过跟踪WriteVirtualMemory函数的执行过程,获得NtWriteVirtualMemory函数在SSDT中的所述系统服务号和所述地址指针。
3.如权利要求1所述的保护进程内存的方法,其中,步骤(a)还包括对NtWriteVirtualMemory函数的所述地址指针进行存储。
4.如权利要求1所述的保护进程内存的方法,其中,在步骤(b)之前还包括:建立受保护进程列表。
5.如权利要求4所述的保护进程内存的方法,其中,步骤(d)中判断所述写内存请求是否受限的处理包括:判断所述进程是否位于所述受保护进程列表中。
6.如权利要求5所述的保护进程内存的方法,其中,如果所述进程位于所述受保护进程列表中,则所述写内存请求被判断为受限;如果所述进程不位于所述受保护进程列表中,则所述写内存请求被判断为不受限。
7.如权利要求5所述的保护进程内存的方法,其中,所述受保护进程列表中记录有所有受保护进程的全路径,并且其中,判断所述进程是否位于所述受保护进程列表中的处理包括:
解析所述进程的全路径;
判断解析出的所述进程的全路径是否与受保护进程列表中的某一进程的全路径匹配。
8.如权利要求7所述的保护进程内存的方法,其中,如果存在匹配,则所述写内存请求被判断为受限;如果不存在匹配,则所述写内存请求被判断为不受限。
9.如权利要求1所述的保护进程内存的方法,其中,所述规则处理包括:
判断是否需要由用户处理所述写内存请求;
如果不需要由用户处理,则拒绝所述写内存请求,
否则,交给用户处理。
10.如权利要求9所述的保护进程内存的方法,其中,如果用户接受所述写内存请求,则调用NtWriteVirtualMemory函数进行写内存操作;如果用户不接受,则拒绝所述写内存请求。
11.如权利要求1所述的保护进程内存的方法,其中,所述规则处理包括:直接拒绝所述写内存请求。
12.一种确保驱动程序加载的安全性的方法,包括:
(a)在系统服务描述表SSDT中与NtLoadDriver函数对应的系统服务号处,将NtLoadDriver函数的地址指针修改为安全检测程序的地址指针;
(b)接收对驱动程序的加载请求;
(c)在修改后的SSDT中查找所述系统服务号并根据所述系统服务号处的所述安全检测程序的地址指针来调用所述安全检测程序;以及
(d)所述安全检测程序判断所述加载请求是否合法,如果合法,则调用NtLoadDriver函数进行对所述驱动程序的加载操作,如果不合法,则执行规则处理。
13.如权利要求12所述的确保驱动程序加载的安全性的方法,其中,在步骤(a)之前还包括:通过跟踪OpenService函数的执行过程,获得NtLoadDriver函数在SSDT中的所述系统服务号和所述地址指针。
14.如权利要求12所述的确保驱动程序加载的安全性的方法,其中,步骤(a)还包括对NtLoadDriver函数的所述地址指针进行存储。
15.如权利要求12所述的确保驱动程序加载的安全性的方法,其中,在步骤(b)之前还包括:建立受信驱动程序列表。
16.如权利要求15所述的确保驱动程序加载的安全性的方法,其中,步骤(d)中判断所述加载请求是否合法的处理包括:判断所述驱动程序是否位于所述受信驱动程序列表中。
17.如权利要求16所述的确保驱动程序加载的安全性的方法,其中,如果所述驱动程序位于所述受信驱动程序列表中,则所述加载请求被判断为合法;如果所述驱动程序不位于所述受信驱动程序列表中,则所述加载请求被判断为不合法。
18.如权利要求16所述的确保驱动程序加载的安全性的方法,其中,所述受信驱动程序列表中记录有所有受信驱动程序的全路径,并且其中,判断所述驱动程序是否位于所述受信驱动程序列表中的处理包括:
解析所述驱动程序的全路径;
判断解析出的所述驱动程序的全路径是否与受信驱动程序列表中的某一驱动程序的全路径匹配。
19.如权利要求18所述的确保驱动程序加载的安全性的方法,其中,如果存在匹配,则所述加载请求被判断为合法;如果不存在匹配,则所述加载请求被判断为不合法。
20.如权利要求12所述的确保驱动程序加载的安全性的方法,其中,所述规则处理包括:
判断是否需要由用户处理所述加载请求;
如果不需要由用户处理,则拒绝所述加载请求,
否则,交给用户处理。
21.如权利要求20所述的确保驱动程序加载的安全性的方法,其中,如果用户接受所述加载请求,则调用NtLoadDriver函数进行对所述驱动程序的加载操作;如果用户不接受,则拒绝所述加载请求。
22.如权利要求12所述的确保驱动程序加载的安全性的方法,其中,所述规则处理包括:直接拒绝所述加载请求。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101624498A CN101414339B (zh) | 2007-10-15 | 2007-10-15 | 保护进程内存及确保驱动程序加载的安全性的方法 |
| HK09107175A HK1127415A1 (en) | 2007-10-15 | 2009-08-05 | Method for protecting process memory and ensuring security of loading driver |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101624498A CN101414339B (zh) | 2007-10-15 | 2007-10-15 | 保护进程内存及确保驱动程序加载的安全性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101414339A CN101414339A (zh) | 2009-04-22 |
| CN101414339B true CN101414339B (zh) | 2012-05-23 |
Family
ID=40594871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101624498A Active CN101414339B (zh) | 2007-10-15 | 2007-10-15 | 保护进程内存及确保驱动程序加载的安全性的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101414339B (zh) |
| HK (1) | HK1127415A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101604370B (zh) * | 2009-07-06 | 2012-08-29 | 中国人民解放军信息技术安全研究中心 | 一种高兼容性的监控Windows内核函数调用的方法 |
| CN102737198B (zh) * | 2011-04-13 | 2015-11-18 | 腾讯科技(深圳)有限公司 | 对象保护方法及装置 |
| CN102930222B (zh) * | 2012-09-20 | 2015-09-30 | 无锡华御信息技术有限公司 | 反键盘记录方法及系统 |
| CN103679006B (zh) * | 2013-10-25 | 2017-09-05 | 华为技术有限公司 | 一种运行驱动程序的方法及装置 |
| CN104063661A (zh) * | 2014-06-09 | 2014-09-24 | 来安县新元机电设备设计有限公司 | 一种计算机软件安全防护方法 |
| CN105160243A (zh) * | 2015-09-15 | 2015-12-16 | 浪潮集团有限公司 | 一种面向移动智能终端的驱动监控机制实现方法 |
| CN105631329B (zh) * | 2015-12-21 | 2019-05-10 | 北京金山安全管理系统技术有限公司 | Virut感染型病毒免疫方法及其装置 |
| CN105844146B (zh) * | 2016-03-16 | 2018-10-12 | 北京金山安全软件有限公司 | 一种保护驱动程序的方法、装置及电子设备 |
| CN105956461B (zh) * | 2016-05-03 | 2019-08-23 | 珠海豹趣科技有限公司 | 一种拦截驱动加载的方法及终端 |
| CN106096391B (zh) * | 2016-06-02 | 2019-05-03 | 珠海豹趣科技有限公司 | 一种进程控制方法及用户终端 |
| CN105956462B (zh) * | 2016-06-29 | 2019-05-10 | 珠海豹趣科技有限公司 | 一种阻止恶意加载驱动的方法、装置及电子设备 |
| CN106203070A (zh) * | 2016-06-29 | 2016-12-07 | 北京金山安全软件有限公司 | 驱动加载阻止方法及装置 |
| CN106127050A (zh) * | 2016-06-29 | 2016-11-16 | 北京金山安全软件有限公司 | 一种防止系统光标被恶意修改的方法、装置及电子设备 |
| CN106203089A (zh) * | 2016-06-29 | 2016-12-07 | 北京金山安全软件有限公司 | 一种防止系统颜色被恶意修改的方法、装置及电子设备 |
| CN106127051A (zh) * | 2016-06-29 | 2016-11-16 | 北京金山安全软件有限公司 | 一种防止鼠标被恶意捕获的方法、装置及电子设备 |
| CN109918907B (zh) * | 2019-01-30 | 2021-05-25 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
| CN111552608B (zh) * | 2020-04-09 | 2022-11-18 | 烽火通信科技股份有限公司 | 一种驱动内存监控方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040268363A1 (en) * | 2003-06-30 | 2004-12-30 | Eric Nace | System and method for interprocess communication |
| CN1567254A (zh) * | 2003-06-17 | 2005-01-19 | 深圳市中兴通讯股份有限公司南京分公司 | 嵌入式实时操作系统高效可靠的内存保护方法 |
| US20050044551A1 (en) * | 2003-08-19 | 2005-02-24 | Sodhi Ajit S. | System and method for shared memory based IPC queue template having event based notification |
-
2007
- 2007-10-15 CN CN2007101624498A patent/CN101414339B/zh active Active
-
2009
- 2009-08-05 HK HK09107175A patent/HK1127415A1/xx not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567254A (zh) * | 2003-06-17 | 2005-01-19 | 深圳市中兴通讯股份有限公司南京分公司 | 嵌入式实时操作系统高效可靠的内存保护方法 |
| US20040268363A1 (en) * | 2003-06-30 | 2004-12-30 | Eric Nace | System and method for interprocess communication |
| US20050044551A1 (en) * | 2003-08-19 | 2005-02-24 | Sodhi Ajit S. | System and method for shared memory based IPC queue template having event based notification |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101414339A (zh) | 2009-04-22 |
| HK1127415A1 (en) | 2009-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101414339B (zh) | 保护进程内存及确保驱动程序加载的安全性的方法 | |
| JP6346632B2 (ja) | モバイルデバイスでの悪質なファイルを検出するシステム及び方法 | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| EP3123311B1 (en) | Malicious code protection for computer systems based on process modification | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| US7779472B1 (en) | Application behavior based malware detection | |
| CN106682497B (zh) | 在管理程序模式下安全执行代码的系统和方法 | |
| US8127360B1 (en) | Method and apparatus for detecting leakage of sensitive information | |
| CN100481102C (zh) | 用于对处理器指令的快速解密的方法、装置和系统 | |
| US8195953B1 (en) | Computer program with built-in malware protection | |
| CN107066311B (zh) | 一种内核数据访问控制方法与系统 | |
| JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
| CN106257481A (zh) | 用于恢复修改的数据的系统和方法 | |
| US8578477B1 (en) | Secure computer system integrity check | |
| US9659173B2 (en) | Method for detecting a malware | |
| US7607173B1 (en) | Method and apparatus for preventing rootkit installation | |
| CN103620613A (zh) | 用于基于虚拟机监视器的反恶意软件安全的系统和方法 | |
| CN102737188A (zh) | 检测恶意网页的方法及装置 | |
| US9338012B1 (en) | Systems and methods for identifying code signing certificate misuse | |
| CN113569244B (zh) | 一种基于处理器跟踪的内存恶意代码检测方法 | |
| KR20070118074A (ko) | 외래 코드 검출을 위한 시스템 및 방법 | |
| CN104680084A (zh) | 计算机中保护用户隐私的方法和系统 | |
| CN102110213A (zh) | 检测计算机系统内隐藏的对象 | |
| US20190294760A1 (en) | Protecting an application via an intra-application firewall | |
| CN104361280A (zh) | 一种通过smi中断实现对usb存储设备进行可信认证的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1127415 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: BEIJING RISING INTERNATIONAL TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: BEIJING RISING INTERNATIONAL SOFTWARE CO., LTD. Effective date: 20100413 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100080 ROOM 1305, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN AVENUE, BEIJING CITY TO: 100190 ROOM 1301, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN AVENUE, HAIDIAN DISTRICT, BEIJING CITY |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20100413 Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Applicant after: Beijing Rising Information Technology Co., Ltd. Address before: 100080, room 1305, Zhongke building, 22 Zhongguancun street, Beijing Applicant before: Beijing Rising International Software Co., Ltd. |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1127415 Country of ref document: HK |
|
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee after: Beijing Rising Information Technology Co., Ltd Address before: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee before: Beijing Rising Information Technology Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee after: Beijing net an Technology Limited by Share Ltd Address before: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee before: Beijing Rising Information Technology Co., Ltd |