CN102609664B - 基于可执行体的进程指纹智能识别与模糊采集系统及其方法 - Google Patents
基于可执行体的进程指纹智能识别与模糊采集系统及其方法 Download PDFInfo
- Publication number
- CN102609664B CN102609664B CN201210016603.1A CN201210016603A CN102609664B CN 102609664 B CN102609664 B CN 102609664B CN 201210016603 A CN201210016603 A CN 201210016603A CN 102609664 B CN102609664 B CN 102609664B
- Authority
- CN
- China
- Prior art keywords
- image
- item
- lead
- identification
- derived
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Collating Specific Patterns (AREA)
Abstract
本发明的目的在于克服传统进程识别体系中存在的两个极端,分另为进程名的识别易被篡改,精准性差。和取进程MD5值、进程HASH值的方式精准性高但采集量大,可执行体略微变化,小版本修改就不能识别的弊端。对功能行为没有本质变量的进程一次采集可多种识别。进而提高识别效率,减少采集次数。更符合透明加解密和进程控制中对进程识别的需求,理论原理可执行程序基本功能不发生变化,其所依赖的动态库和动态库数量不会发生变化,本发明不光透明文件加密技术使用,也可用于在windows下进程识别比对所有情况,例如进程权限控制中的进程识别。
Description
技术领域
本发明主要涉及信息安全领域,主要用于在windows下可执行文件甄别。
背景技术
透明文件加密技术,是为了防止信息未经授权被拷贝出安全的计算机系统环境,将文档自动进行加密的技术。透明文件加密系统不改变应用业务流程、不改变操作流程,计算机系统某些敏感程序生成的特定类型的即可文档保存为加密文档,系统使用者无权将文档解密或者拷贝出特定的环境使用的一种系统。
透明文件加密技术中关键是通过对进程识别判定是否涉密,而对进程的识别主要采用“进程名的识别方式”,“取进程MD5值或进程HASH值”的方法这两种方法前者存在被篡改,精准性差,后者存在精准性高,但是采集和识别计算量大,运行效率不高不能接受进程微小变化。
发明内容
本发明针对现有技术中的不足,提供了一种基于可执行体的进程指纹智能识别与模糊采集技术既可高效、高精度比对又可减少进程采集次数。
为了解决上述技术问题,本发明通过下述技术方案得以解决:
本发明的目的在于克服传统进程识别体系中存在的两个极端,分别为进程名的识别易被篡改,精准性差,而取进程MD5值、进程HASH值的方式精准性高但采集量大,可执行体略微变化,小版本修改就不能识别的弊端。对功能行为没有本质变量的进程一次采集可多种识别。进而提高识别效率,减少采集次数。更符合透明加解密和进程控制中对进程识别的需求,理论原理可执行程序基本功能不发生变化,其所依赖的动态库和动态库数量不会发生变化,本发明不光透明文件加密技术使用,也可用于在windows下进程识别比对所有情况,例如进程权限控制中的进程识别。
本发明解决其技术问题采用的技术方案,基于可执行体的进程指纹智能识别与模糊采集技术该方法包括如下步骤:
1进程指纹采集:
1.1采集程序加载可执行文件;
1.2采集程序解析pe头部得到导入表和导出表;
1.3确定导入表中相关导入项,得到第一项名称、最后项名称和导入项数量;
1.4确定导出表中相关导出项,得到导出项第一名称,如没导出项取得可执行程序映像名;
1.5取入相关数据结构,取结构MD5摘要存入数据库中。
2进程指纹识别:
2.1在应用程序启动时,通过工作在windows内核中的进程指纹识别模块解析加载的可执行文件;
2.2进程指纹识别模块解析pe头部得到导入表和导出表;
2.3确定导入表中相关导入项,得到第一项名称、最后项名称和导入项数量;
2.4确定导出表中相关导出项,得到导出项第一名称,如没导出项则取得可执行程序映像名;
2.5取入相关数据结构;
2.6取结构MD5摘要与存储在数据库中采集的MD5摘要对比,匹配认定为该进程为采集集合中,不匹配认定为不在采集集合中。
附图说明
图1为进程指纹形成图;
图2为采集流程图;
图3为比对流程图;
图4为指纹结构图;
图5为透明解密系统使用;
图6为采集程序流程图。
具体实施方式
下面结合附图与具体实施方式对本发明作进一步详细描述:
图1过程为进程指纹形成的示意图,包括三类元素分别为导入项、导入项数量和导出项。图4为具体存放进程指纹的相关数据结构PROCESS_MARK_INFORMATION_EX,第一导入项名、最后导入项名、导入项数量和导出项名。使用图6流程,在图6中调用图2流程完成进程指纹的采集。透明文件加密系统文件过滤模块其使用图5流程实现对进程是否涉密作判定,在采集集合中为涉密,不在采集集合中中为非涉密,使用指纹得到摘要并从数据库中比对。
本发明解决其技术问题采用的技术方案,基于可执行体的进程指纹智能识别与模糊采集技术该方法包括如下步骤:
1进程指纹采集:
1.1采集程序加载可执行文件;
1.2采集程序解析pe头部得到导入表和导出表;
1.3确定导入表中相关导入项,得到第一项名称、最后项名称和导入项数量;
1.4确定导出表中相关导出项,得到导出项第一名称,如没导出项则取得可执行程序映像名;
1.5存入相关数据结构,取结构MD5摘要存入数据库中;
2进程指纹识别:
2.1在应用程序启动时,通过工作在windows内核中的进程指纹识别模块解析加载的可执行文件;
2.2进程指纹识别模块解析pe头部得到导入表和导出表;
2.3确定导入表中相关导入项,得到第一项名称、最后项名称和导入项数量;
2.4确定导出表中相关导出项,得到导出项第一名称,如没导出项取得可执行程序映像名;
2.5存入相关数据结构;
2.6取结构MD5摘要与存储在数据库中采集的MD5摘要对比,匹配认定为该进程为采集集合中,不匹配认定为不在采集集合中。
其中采集程序解析pe头部得到导入表和导出表步骤包括:
(a)得到进程基址,根据进程基址计算pe文件IMAGE_DOS_HEADER,根据IMAGE_DOS_HEADER得到IMAGE_NT_HEADERS;
(b)使用IMAGE_NT_HEADERS对PE文件校验判断是否为合法的可执行文件;
(c)根据基址和IMAGE_DOS_HEADE计算出导入表和导出表地址;
(d)枚举导入表记录导入项数量,得到指向第一导入项指针、最后导入项指针、导出项指针。
其中进程指纹识别模块解析pe头部得到导入表和导出表的步骤:
(a、)得到进程基址,根据进程基址计算pe文件IMAGE_DOS_HEADER,根据IMAGE_DOS_HEADER得到IMAGE_NT_HEADERS;
(b、)使用IMAGE_NT_HEADERS对PE文件校验判断是否为合法的可执行文件;
(c`)根据基址和IMAGE_DOS_HEADE计算出导入表和导出表地址;
(d`)枚举导入表记录导入项数量,得到指向第一导入项指针、最后导入项指针和导出项指针。
总之,以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所作的均等变化与修饰,皆应属本发明专利的涵盖范围。
Claims (5)
1.基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于,包括:
(1)进程指纹采集;
(2)进程指纹识别;
其中进程指纹采集,步骤包括:
(1.1)采集程序加载可执行文件;
(1.2)采集程序解析pe头部得到导入表和导出表;
(1.3)根据指针,得到第一项名称、最后项名称和导入项数量,确定导出表中相关导出项,得到导出项第一名称;
(1.4)存入相关数据结构PROCESS_MARK_INFORMATION_EX,存入第一导入项名;存入最后导入项名;存入导入项数量;存入第一导出项名或可执行程序映像名,取结构MD5摘要存入数据库中;
进程指纹识别,步骤包括:
(2.1)在应用程序启动时,通过工作在windows内核中的进程指纹识别模块解析加载的可执行文件;
(2.2)进程指纹识别模块解析pe头部得到导入表和导出表;
(2.3)确定导入表中相关导入项,得到第一项名称、最后项名称和导入项数量;
(2.4)确定导出表中相关导出项,得到导出项第一名称,如没导出项则取得可执行程序映像名;
(2.5)存入相关数据结构;
(2.6)取结构MD5摘要与存储在数据库中采集的MD5摘要对比,匹配认定为该进程为采集集合中,不匹配认定为不在采集集合中。
2.根据权利要求1的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于:其中采集程序解析pe头部得到导入表和导出表步骤包括:
(a)得到进程基址,根据进程基址计算pe文件IMAGE_DOS_HEADER,根据IMAGE_DOS_HEADER得到IMAGE_NT_HEADERS;
(b)使用IMAGE_NT_HEADERS对PE文件校验判断是否为合法的可执行文件;
(c)根据基址和IMAGE_DOS_HEADE计算出导入表和导出表地址;
(d)枚举导入表记录导入项数量,得到指向第一导入项指针、最后导入项指针、导出项指针。
3.根据权利要求1的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于:其中进程指纹识别模块解析pe头部得到导入表和导出表的步骤
(a`)得到进程基址,根据进程基址计算pe文件IMAGE_DOS_HEADER,根据IMAGE_DOS_HEADER得到IMAGE_NT_HEADERS;
(b`)使用IMAGE_NT_HEADERS对PE文件校验判断是否为合法的可执行文件;
(c`)根据基址和IMAGE_DOS_HEADE计算出导入表和导出表地址;
(d`)枚举导入表记录导入项数量,得到指向第一导入项指针、最后导入项指针和导出项指针。
4.根据权利要求2或3的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于:其中进程基址是一个首地址,pe文件是任意exe可执行文件,IMAGE_DOS_HEADER、IMAGE_NT_HEADERS是一种数据结构,记pe文件的工作环境是32位或64位。
5.根据权利要求1的基于可执行体的进程指纹智能识别与模糊采集的方法,其特征在于:系统中导出项为否,得到可执行文件映像名。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210016603.1A CN102609664B (zh) | 2012-01-19 | 2012-01-19 | 基于可执行体的进程指纹智能识别与模糊采集系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210016603.1A CN102609664B (zh) | 2012-01-19 | 2012-01-19 | 基于可执行体的进程指纹智能识别与模糊采集系统及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102609664A CN102609664A (zh) | 2012-07-25 |
CN102609664B true CN102609664B (zh) | 2016-05-04 |
Family
ID=46527024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210016603.1A Active CN102609664B (zh) | 2012-01-19 | 2012-01-19 | 基于可执行体的进程指纹智能识别与模糊采集系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102609664B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102890758B (zh) * | 2012-10-11 | 2014-12-17 | 北京深思洛克软件技术股份有限公司 | 一种保护可执行文件的方法及系统 |
CN103593406A (zh) * | 2013-10-17 | 2014-02-19 | 北京奇虎科技有限公司 | 一种静态资源标识处理方法及装置 |
CN103559438A (zh) * | 2013-10-31 | 2014-02-05 | 上海上讯信息技术有限公司 | 进程识别方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1973268A (zh) * | 2004-06-24 | 2007-05-30 | 威德万技术公司 | 利用指纹识别和实时证据收集以保护内容的装置、系统和方法 |
CN101262481A (zh) * | 2008-02-22 | 2008-09-10 | 北京航空航天大学 | 一种计算机网络远程服务识别系统及其识别方法 |
CN101504656A (zh) * | 2009-03-26 | 2009-08-12 | 成都磐石软件有限责任公司 | 一种pe文件代码合并执行方法 |
CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
-
2012
- 2012-01-19 CN CN201210016603.1A patent/CN102609664B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1973268A (zh) * | 2004-06-24 | 2007-05-30 | 威德万技术公司 | 利用指纹识别和实时证据收集以保护内容的装置、系统和方法 |
CN101262481A (zh) * | 2008-02-22 | 2008-09-10 | 北京航空航天大学 | 一种计算机网络远程服务识别系统及其识别方法 |
CN101504656A (zh) * | 2009-03-26 | 2009-08-12 | 成都磐石软件有限责任公司 | 一种pe文件代码合并执行方法 |
CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
Non-Patent Citations (1)
Title |
---|
windows系统下的PE文件的输入输出函数的分析;唐士生;《计算机与信息技术》;20070820;第57-59页 * |
Also Published As
Publication number | Publication date |
---|---|
CN102609664A (zh) | 2012-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102682098B (zh) | 检测网页内容变更的方法及装置 | |
CN103019937B (zh) | 一种人机交互界面遍历测试方法 | |
US8666960B2 (en) | Schema-based data transfer between a data-based application and a document application | |
CN103368765B (zh) | 一种管理系统权限添加方法和装置 | |
CN109522328B (zh) | 一种数据处理方法及其装置、介质、终端 | |
CN106202173B (zh) | 一种文件仓库存储的智能排重方法及系统 | |
CN103036956A (zh) | 一种分布式组态化海量数据归档系统及实现方法 | |
CN103679012A (zh) | 一种可移植可执行文件的聚类方法和装置 | |
CN105701251A (zh) | 一种基于对象定义的数据导出导入方法 | |
CN102609664B (zh) | 基于可执行体的进程指纹智能识别与模糊采集系统及其方法 | |
CN102841784A (zh) | 一种Excel数据动态导入数据库的方法 | |
CN111461735A (zh) | 一种基于物联网的区块链溯源系统 | |
CN102508833A (zh) | 数据监控装置及方法 | |
CN103927606A (zh) | 一种基于特征码的纸质和电子文件管理方法 | |
CN103778259A (zh) | 基于Sqlite3实现智能手机数据恢复的方法 | |
CN104123376B (zh) | 一种基于列模板的智能文本数据采集方法和系统 | |
CN104408097A (zh) | 一种基于字符段热更新的混合索引方法及系统 | |
CN103164532A (zh) | 电网模型数据的分类分块抽取方法及系统 | |
CN105653680A (zh) | 一种基于文档型数据库的存储数据的方法及系统 | |
CN103390121A (zh) | 数字作品权属认证方法和系统 | |
CN101894241A (zh) | 一种文档加密的计算机软件实现方法 | |
TWI522827B (zh) | Real-time storage and real-time reading of huge amounts of data for non-related databases | |
CN103020050A (zh) | 一种基于xml的数据修改痕迹记录系统 | |
CN103631774B (zh) | 数据存储方法和系统 | |
CN106126555A (zh) | 一种文件管理方法及文件系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |