CN103886251B - 系统加固的方法及装置 - Google Patents
系统加固的方法及装置 Download PDFInfo
- Publication number
- CN103886251B CN103886251B CN201410139105.5A CN201410139105A CN103886251B CN 103886251 B CN103886251 B CN 103886251B CN 201410139105 A CN201410139105 A CN 201410139105A CN 103886251 B CN103886251 B CN 103886251B
- Authority
- CN
- China
- Prior art keywords
- strategy
- reinforcing
- progress information
- reinforces
- global
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明是关于一种系统加固的方法及装置。其中,所述方法包括:接收用户输入或开机/重启后自动触发的加固触发指令;根据所述加固触发指令,获取并加载加固组件,其中,所述加固组件中包括有至少一个加固策略;根据所述加固组件中包括的所述加固策略,执行相应的加固操作。本发明通过加载加固组件,并根据加固组件中包括的加固策略,对系统进行相应的加固操作,以在系统运行的过程中自动填补系统当前存在的安全漏洞,实现了系统的自动加固,降低了系统存在的安全风险,确保了系统安全可靠的运行。
Description
技术领域
本发明涉及计算机领域,特别是涉及一种系统加固的方法及装置。
背景技术
目前,微软公司(Microsoft Corporation)将会全面停止对其公司出品的WindowsXP系统的支持服务,不再向个人用户发布关于Windows XP系统的漏洞补丁。但根据相关行业机构统计数据显示,Windows XP系统再全球市场的占有率仍然有25%,而在中国内的占有率更是超过了70%。这样对于现有Windows XP系统使用者来说没有了官方的支持服务,黑客必然会利用漏洞传播木马病毒,对用户电脑进行攻击,形成安全威胁。
因此,需要提供一种技术方案,以降低病毒对现有得不到官方支持服务的系统用户的攻击,提高操作系统的安全性。
发明内容
本发明的主要目的在于,提供一种系统加固的方法及装置,以实现系统的自动加固,提高操作系统的安全性。
本发明第一个方面提供一种系统加固的方法,包括:
接收用户输入或开机/重启后自动触发的加固触发指令;
根据所述加固触发指令,获取并加载加固组件,其中,所述加固组件中包括有至少一个加固策略;
根据所述加固组件中包括的所述加固策略,执行相应的加固操作。
可选的,前述的系统加固的方法,其中,所述加固策略包括全局加固策略和/或局部加固策略;所述局部加固策略包括至少一个第一进程信息及对应的进程加固策略;
相应的,所述根据所述加固组件中包括的所述加固策略,执行相应的加固操作,具体为:
根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作;和/或
获取当前进程的第二进程信息,查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,若有,则根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
可选的,前述的系统加固的方法,其中,所述第一进程信息为进程路径规则,所述第二进程信息为进程路径;
相应的,所述查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,具体为:
查询所述局部加固策略包括的所有进程路径规则中是否有所述进程路径符合的进程路径规则。
可选的,前述的系统加固的方法,其中,所述进程加固策略包括至少一个执行标识位及对应的进程加固机制代码;相应的,
根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作,具体为:
根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,依次在所述执行标识位处,调用所述执行标识位对应的进程加固机制代码,以完成相应的进程加固操作。
可选的,前述的系统加固的方法,其中,所述全局加固策略包括:地址空间随机化ASLR策略和/或增强型栈保护Security Cookie策略。
可选的,前述的系统加固的方法,其中,所述进程加固策略包括:强制开启数据执行保护DEP策略、导出地址表访问过滤EAF策略、结构化异常处理覆盖保护SEHOP策略、增强型栈保护Security Cookie策略、调用检查策略、防喷堆Heap Spray策略、增强型地址空间随机化ASLR策略、零页防护策略、禁用16位子系统VDM策略、反KiFastSystemCall函数攻击策略及防止远程动态链接库DLL加载策略中的一种或任意多种的组合。
本发明第二个方面提供一种系统加固装置,包括:
接收模块,用于接收用户输入或开机/重启后自动触发的加固触发指令;
获取加载模块,用于根据所述加固触发指令,获取并加载加固组件,其中,所述加固组件中包括有至少一个加固策略;
执行模块,用于根据所述加固组件中包括的所述加固策略,执行相应的加固操作。
可选的,前述的系统加固装置,其中,所述加固策略包括全局加固策略和/或局部加固策略;所述局部加固策略包括至少一个第一进程信息及对应的进程加固策略;
相应的,所述执行模块,具体用于根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作;和/或
获取当前进程的第二进程信息,查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,若有,则根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
可选的,前述的系统加固装置,其中,所述第一进程信息为进程路径规则,所述第二进程信息为进程路径;
相应的,所述查询模块,具体用于查询所述局部加固策略包括的所有进程路径规则中是否有所述进程路径符合的进程路径规则。
可选的,前述的系统加固装置,其中,所述进程加固策略包括至少一个执行标识位及对应的进程加固机制代码;
相应的,所述执行模块,具体用于根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,依次在所述执行标识位处,调用所述执行标识位对应的进程加固机制代码,以完成相应的进程加固操作。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明实施例通过加载加固组件,并根据加固组件中包括的加固策略,对系统进行相应的加固操作,以在系统运行的过程中自动填补系统当前存在的安全漏洞,实现了系统的自动加固,降低了系统存在的安全风险,确保了系统安全可靠的运行。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
图1为本发明实施例一提供的系统加固的方法的流程示意图;
图2为安装完成能实现本发明实施例一提供的系统加固方法的客户端应用软件后计算机显示屏上所呈现界面的示例图;
图3为本发明实施例一提供的系统加固方法中步骤103的一种实现的流程示意图;
图4为本发明实施例一提供的系统加固方法中步骤103的另一种实现的流程示意图;
图5为本发明实施例二提供的系统加固装置的结构示意图;
图6为本发明实施例二提供的系统加固装置中所述执行模块的一种实现的结构示意图;
图7为本发明实施例二提供的系统加固装置中所述执行模块的另一种实现的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例一提供的系统加固的方法的流程示意图。本实施例一提供的所述系统加固的方法的执行主体可以是系统加固装置。所述系统加固装置可具体是客户端应用软件。具体的如图2所示,用户在本地安装完成所述系统加固装置后,本地计算机的显示屏上可呈现出图2所示的界面。如图1所示,本实施例所述的系统安全加固方法包括:
步骤101、接收用户输入或开机/重启后自动触发的加固触发指令。
具体的,用户可通过触发图2所示界面上对应的按键(如图2中所示的程序加固引擎按键)输入所述加固触发指令。或者,用户在本地安装所述系统加固装置对应的客户端软件后,设置其在本地客户端开机/重启时自动触发加固触发指令。
步骤102、根据所述加固触发指令,获取并加载加固组件。
其中,所述加固组件中包括有至少一个加固策略。所述加固组件可以是预先存储在本地客户端的信息。即用户在本地安装所述系统加固装置的过程中存储至本地客户端的对应存储区域内。当所述系统加固装置接收到所述加固触发指令后,所述系统加固装置就会自动在所述存储区域内获取该加固组件,并加载该加固组件,以便于在本地客户端的系统运行时实时的对当前进程进行相应的加固操作。
步骤103、根据所述加固组件中包括的所述加固策略,执行相应的加固操作。
具体的,系统加固装置在本地客户端的系统运行时,基于所述加固组件中包括的所述加固策略,实时的对当前进程进行相应的加固操作,以消除本地客户端操作系统中存在的安全漏洞。
本实施例通过加载加固组件,并根据加固组件中包括的加固策略,对系统进行相应的加固操作,以在系统运行的过程中自动填补系统当前存在的安全漏洞,实现了系统的自动加固,降低了系统存在的安全风险,确保了系统安全可靠的运行。
进一步的,上述实施例中所述的加固策略包括全局加固策略和/或局部加固策略。即所述加固策略可以只包括有全局加固策略,或者,所述加固策略可以只包括有局部加固策略;再或者,所述加固策略可以既包括有全局加固策略又包括有局部加固策略。对应的,
若所述加固策略可以只包括有全局加固策略,则上述实施例所述方法的步骤103、根据所述加固组件中包括的所述加固策略,执行相应的加固操作,可具体采用如下步骤实现:
根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作。
若所述加固策略可以只包括有局部加固策略,则上述实施例所述方法的步骤103、根据所述加固组件中包括的所述加固策略,执行相应的加固操作,如图3所示,可具体采用如下步骤实现:
步骤201、获取当前进程的第二进程信息。
步骤202、查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,若有,则进入步骤203。
步骤203、根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
若所述加固策略可以既包括有全局加固策略又包括有局部加固策略,则上述实施例所述方法的步骤103、根据所述加固组件中包括的所述加固策略,执行相应的加固操作,如图4所示,可具体采用如下步骤实现:
步骤301、根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作。
步骤302、获取当前进程的第二进程信息。
步骤303、查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,若有,则进入步骤304。
步骤304、根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
这里需要说明的是:上述的全局加固策略是指系统运行过程中的每一个进程都会受其影响的策略。所述局部加固策略是指只有该策略中指定的进程会受其影响的策略,即在系统运行的过程中,只有特定进程存在漏洞,通过局部加固策略对该特定进程进行加固操作即可。具体的,本实施例中所述的局部加固策略包括至少一个第一进程信息及对应的进程加固策略。即与所述局部加固策略中包括的第一进程信息相匹配的进程,即为需要进行加固操作的指定进程。本实施例通过获取的当前进程的第二进程信息,若查询所述局部加固策略中有与所述第二进程信息相匹配的第一进程信息,则调用该查询出的匹配的第一进程信息对应的进程加固策略,对该进程进行加固操作。本实施例通过上述过程,可有效的对指定的进程进行加固操作,以消除指定进程存在的漏洞,进一步提高系统的整体安全性。
再进一步的,上述实施例中所述的第一进程信息可以是进程路径规则,所述第二进程信息可以是进程路径。具体的,所述第一进程信息可存储在加固配置文件中。所述加固配置文件中列出了一个或多个进程路径规则,即所述局部加固策略包括加固配置文件及对应的进程加固策略。进而,上述实施例中所述的查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,可具体为:
查询所述局部加固策略包括的所有进程路径规则中是否有所述进程路径符合的进程路径规则。
再进一步的,上述的进程加固策略包括至少一个执行标识位及对应的进程加固机制代码。这里需要补充说明的是:同样的,所述至少一个执行标识位也可存储在加固配置文件中。相应的,上述实施例中所述的步骤根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作,具体为:
根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,依次在所述执行标识位处,调用所述执行标识位对应的进程加固机制代码,以完成相应的进程加固操作。
这里需要补充的是:上述实施例中所述的全局加固策略可以包括:地址空间随机化ASLR策略和/或增强型栈保护Security Cookie策略。
其中,地址空间随机化(Address Space Layout Randomization,简称ASLR)策略,是一种针对缓冲区溢出的安全保护技术,其通过对堆、栈、共享库等映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。
增强型栈保护Security Cookie策略,是一种栈保护技术。栈保护SecurityCookie策略的原理是在每个函数的入口和出口的地方增加了检查机制,即栈上的较为重要的值如返回地址和栈指针等被推入栈后,系统会根据当前形态生成一个Security Cookie(随机值)并添加至栈中,以在栈被覆盖时通过检查Security Cookie(随机值)是否正确来判断栈的好坏。其中,每台机器这个Security Cookie(随机值)是不一样的。然后现有的Security Cookie机制的随机值的随机性不够,即这个随机值是可预期的。增强型栈保护Security Cookie策略的原理是在现有栈保护Security Cookie策略的基础上,增加系统生成的Security Cookie(随机值)的随机性,以使系统生成的随机值不可预期。
上述实施例中所述的进程加固策略包括:强制开启数据执行保护DEP策略、导出地址表访问过滤EAF策略、结构化异常处理覆盖保护SEHOP策略、增强型栈保护SecurityCookie策略、调用检查策略、防喷堆Heap Spray策略、增强型地址空间随机化ASLR策略、零页防护策略、禁用16位子系统VDM策略、反KiFastSystemCall函数攻击策略及防止远程动态链接库DLL加载策略中的一种或任意多种的组合。
其中,所述强制开启数据执行保护(Data Execution Prevention,简称DEP)策略,是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。其安全机制:溢出主要指缓冲区溢出,就是利用系统(应用软件)漏洞从只有Windows和其他程序可以使用的内存位置执行恶意代码从而达到控制系统的目的。缓冲区溢出攻击经常在其它程序的内存缓冲区写入可执行的恶意代码,然后诱骗程序执行恶意代码。使用DEP的目的是阻止恶意插入代码的执行,其运行机制是,Windows利用DEP标记只包含数据的内存位置为非可执行(NX),当应用程序试图从标记为NX的内存位置执行代码时,Windows的DEP逻辑将阻止应用程序这样做,从而达到保护系统防止溢出。
导出地址表访问过滤(Structured Exception Handler Overwrite Protection,简称EAF)策略,是一种防护技术,其原理是通过检测访问ntdll和kernel32模块的导出表的执行代码的来源判断是否为shellcode。
结构化异常处理覆盖保护(Structured Exception Handler OverwriteProtection,简称SEHOP)策略:SHE攻击是指通过栈溢出或者其他漏洞,使用构造的数据覆盖结构化异常处理链表上面的某个节点或者多个节点,从而控制EIP(控制程序执行流程)。SEHOP策略的核心是检测程序栈中的所有SHE结构链表,特别是最后一个SHE结构,它拥有一个特殊的异常处理函数指针,指向的是一个位于NTDLL中的函数。
增强型栈保护Security Cookie策略,同上是一种栈保护技术。栈保护SecurityCookie策略的原理是在每个函数的入口和出口的地方增加了检查机制,即栈上的较为重要的值如返回地址和栈指针等被推入栈后,系统会根据当前形态生成一个Security Cookie(随机值)并添加至栈中,以在栈被覆盖时通过检查Security Cookie(随机值)是否正确来判断栈的好坏。其中,每台机器这个Security Cookie(随机值)是不一样的。然后现有的Security Cookie机制的随机值的随机性不够,即这个随机值是可预期的。增强型栈保护Security Cookie策略的原理是在现有栈保护Security Cookie策略的基础上,增加系统生成的Security Cookie(随机值)的随机性,以使系统生成的随机值不可预期。
调用检查策略,即在关键系统调用处增加检查机制,即在关键系统被调用时,判断调用者是否合法,若不合法则阻止该关键系统调用。其中,所述关键系统调用是指:黑客编写的shellcode代码为了非法下载,写入或创建进程等操作,必须调用的一些系统函数。其中,所述调用检测策略包括有三个子技术,这三个子技术分别为:Anti Stack-Pivot(反构造栈)、调用者检查和模拟执行检查。
防喷堆Heap Spray策略,是在shellcode的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技术控制程序流,使得程序执行到堆上,最终将导致shellcode的执行。
增强型地址空间随机化ASLR策略,其原理是基于上述的地址空间随机化ASLR策略的基础上,增加堆、存储分配等多种资源的随机性。
零页防护策略,就是一种禁止零页被标记为可用的页的技术。
禁用16位子系统VDM策略,即强制禁用16位子系统的技术。
反KiFastSystemCall函数攻击策略,其基本原理是:KiFastSystemCall函数本身是一个关键的系统函数,通过这个函数原则上能实现所有的系统调用,但函数的地址被保存在固定的位置上,把固定的KiFastSystemCall函数所在的位置处重写成另外的函数,以在黑客在所述KiFastSystemCall函数所在的位置处进行非法写入时,就通过该重写的函数进行检测,以避免漏洞出现。
防止远程动态链接库(Dynamic Link Library,简称DLL)加载策略,即强制禁止远程DLL加载的技术。
需要说明的是:对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
如图5所示,本发明实施例二提供的系统加固装置的结构示意图。本实施例所述的系统加固装置可实现上述实施例一提供的系统加固的方法。具体的,如图5所示,本实施例二所述的系统加固装置包括:接收模块1、获取加载模块2和执行模块3。其中,所述接收模块1用于接收用户输入或开机/重启后自动触发的加固触发指令。所述获取加载模块2用于根据所述加固触发指令,获取并加载加固组件,其中,所述加固组件中包括有至少一个加固策略。所述执行模块3用于根据所述加固组件中包括的所述加固策略,执行相应的加固操作。
本实施例通过加载加固组件,并根据加固组件中包括的加固策略,对系统进行相应的加固操作,以在系统运行的过程中自动填补系统当前存在的安全漏洞,实现了系统的自动加固,降低了系统存在的安全风险,确保了系统安全可靠的运行。
进一步的,上述实施例中所述的加固策略包括全局加固策略和/或局部加固策略;所述局部加固策略包括至少一个第一进程信息及对应的进程加固策略。即所述加固策略可以只包括有全局加固策略,或者,所述加固策略可以只包括有局部加固策略;再或者,所述加固策略可以既包括有全局加固策略又包括有局部加固策略。对应的,
若所述加固策略可以只包括有全局加固策略,则上述实施例中所述的执行模块3具体用于根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作。
若所述加固策略可以只包括有局部加固策略,则上述实施例中所述的执行模块3可采用图6所示的结构实现。具体的如图6所示,所述执行模块3包括:获取单元31、查询单元32和第一执行单元33。所述获取单元31用于获取当前进程的第二进程信息。所述查询单元32用于查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息。所述第一执行单元33用于当所述查询单元32查询出所述局部加固策略中有与所述第二进程信息相匹配的第一进程信息时,根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
若所述加固策略可以既包括有全局加固策略又包括有局部加固策略,则上述实施例中所述的执行模块3可采用图7所示的结构实现。具体的如图7所示,所述执行模块3包括:第二执行单元34、获取单元31、查询单元32和第一执行单元33。所述第二执行单元34用于根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作。所述获取单元31用于获取当前进程的第二进程信息。所述查询单元32用于查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息。所述第一执行单元33用于当所述查询单元32查询出所述局部加固策略中有与所述第二进程信息相匹配的第一进程信息时,根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
再进一步的,上述实施例所述的第一进程信息为进程路径规则,所述的第二进程信息为进程路径。相应的,上述实施例中所述的执行模块,即上述实施例中所述的查询单元32具体用于查询所述局部加固策略包括的所有进程路径规则中是否有所述进程路径符合的进程路径规则。
更进一步的,所述进程加固策略包括至少一个执行标识位及对应的进程加固机制代码。所述执行模块,即上述实施例中所述的第一执行单元33,具体用于根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,依次在所述执行标识位处,调用所述执行标识位对应的进程加固机制代码,以完成相应的进程加固操作。
其中,本实施例中所述的全局加固策略和局部加固策略可具体采用上述实施例一中提供的对应策略,此处不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及交换机中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种系统加固的方法,其特征在于,包括:
接收用户输入或开机/重启后自动触发的加固触发指令;
根据所述加固触发指令,获取并加载加固组件,其中,所述加固组件中包括有至少一个加固策略,所述加固策略包括全局加固策略和/或局部加固策略,所述全局加固策略对应加固系统运行过程中的每一个进程,所述全局加固策略包括:地址空间随机化ASLR策略和/或增强型栈保护Security Cookie策略,所述局部加固策略对应加固系统运行过程中特定的进程;
根据所述加固组件中包括的所述加固策略,执行相应的加固操作,包括;
根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作。
2.根据权利要求1所述的方法,其特征在于,所述局部加固策略包括至少一个第一进程信息及对应的进程加固策略;
相应的,所述根据所述加固组件中包括的所述加固策略,执行相应的加固操作,具体为:
获取当前进程的第二进程信息,查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,若有,则根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
3.根据权利要求2所述的方法,其特征在于,所述第一进程信息为进程路径规则,所述第二进程信息为进程路径;
相应的,所述查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,具体为:
查询所述局部加固策略包括的所有进程路径规则中是否有所述进程路径符合的进程路径规则。
4.根据权利要求2或3所述的方法,其特征在于,所述进程加固策略包括至少一个执行标识位及对应的进程加固机制代码;相应的,
根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作,具体为:
根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,依次在所述执行标识位处,调用所述执行标识位对应的进程加固机制代码,以完成相应的进程加固操作。
5.根据权利要求2或3所述的方法,其特征在于,所述进程加固策略包括:强制开启数据执行保护DEP策略、导出地址表访问过滤EAF策略、结构化异常处理覆盖保护SEHOP策略、增强型栈保护Security Cookie策略、调用检查策略、防喷堆Heap Spray策略、增强型地址空间随机化ASLR策略、零页防护策略、禁用16位子系统VDM策略、反KiFastSystemCall函数攻击策略及防止远程动态链接库DLL加载策略中的一种或任意多种的组合。
6.一种系统加固装置,其特征在于,包括:
接收模块,用于接收用户输入或开机/重启后自动触发的加固触发指令;
获取加载模块,用于根据所述加固触发指令,获取并加载加固组件,其中,所述加固组件中包括有至少一个加固策略,所述加固策略包括全局加固策略和/或局部加固策略,所述全局加固策略对应影响系统运行过程中的每一个进程,所述全局加固策略包括:地址空间随机化ASLR策略和/或增强型栈保护Security Cookie策略,所述局部加固策略对应影响系统运行过程中特定的进程;
执行模块,用于根据所述加固组件中包括的所述加固策略,执行相应的加固操作;
所述执行模块,具体用于根据所述加固组件中包括的所述全局加固策略,执行系统进程的全局加固操作。
7.根据权利要求6所述的装置,其特征在于,所述局部加固策略包括至少一个第一进程信息及对应的进程加固策略;
相应的,所述执行模块,具体用于获取当前进程的第二进程信息,查询所述局部加固策略中是否有与所述第二进程信息相匹配的第一进程信息,若有,则根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,执行相应的进程加固操作。
8.根据权利要求7所述的装置,其特征在于,所述第一进程信息为进程路径规则,所述第二进程信息为进程路径;
相应的,所述执行模块,具体用于查询所述局部加固策略包括的所有进程路径规则中是否有所述进程路径符合的进程路径规则。
9.根据权利要求7或8所述的装置,其特征在于,所述进程加固策略包括至少一个执行标识位及对应的进程加固机制代码;
相应的,所述执行模块,具体用于根据与所述第二进程信息相匹配的第一进程信息对应的进程加固策略,依次在所述执行标识位处,调用所述执行标识位对应的进程加固机制代码,以完成相应的进程加固操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410139105.5A CN103886251B (zh) | 2014-04-08 | 2014-04-08 | 系统加固的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410139105.5A CN103886251B (zh) | 2014-04-08 | 2014-04-08 | 系统加固的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103886251A CN103886251A (zh) | 2014-06-25 |
| CN103886251B true CN103886251B (zh) | 2017-10-24 |
Family
ID=50955137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410139105.5A Active CN103886251B (zh) | 2014-04-08 | 2014-04-08 | 系统加固的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103886251B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116886445B (zh) * | 2023-09-05 | 2024-01-19 | 苏州浪潮智能科技有限公司 | 过滤结果的处理方法及装置、存储介质、电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| CN101866406A (zh) * | 2010-06-18 | 2010-10-20 | 中国科学院软件研究所 | 一种栈溢出攻击防御方法 |
| CN103440457A (zh) * | 2013-08-20 | 2013-12-11 | 上海交通大学 | 基于进程模拟的二进制程序分析系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8683583B2 (en) * | 2010-12-02 | 2014-03-25 | Microsoft Corporation | Using virtual table protections to prevent the exploitation of object corruption vulnerabilities |
-
2014
- 2014-04-08 CN CN201410139105.5A patent/CN103886251B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| CN101866406A (zh) * | 2010-06-18 | 2010-10-20 | 中国科学院软件研究所 | 一种栈溢出攻击防御方法 |
| CN103440457A (zh) * | 2013-08-20 | 2013-12-11 | 上海交通大学 | 基于进程模拟的二进制程序分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103886251A (zh) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2015124018A1 (zh) | 基于智能终端设备的应用程序访问方法与装置 | |
| US10922402B2 (en) | Securing secret data embedded in code against compromised interrupt and exception handlers | |
| US10757100B2 (en) | Methods and apparatus for protecting domains of a device from unauthorized accesses | |
| CN105980993A (zh) | 用于辨识对应目标内存地址的内存属性单元的区域的区域辨识操作 | |
| CN104081404A (zh) | 使用动态优化框架的应用沙盒化 | |
| CN102667712A (zh) | 用于同时定义和实行访问控制和完整性策略的系统、方法和装置 | |
| CN113138836B (zh) | 一种使用基于Docker容器的防逃逸系统的防逃逸方法 | |
| CN109587151A (zh) | 访问控制方法、装置、设备及计算机可读存储介质 | |
| CN109190411A (zh) | 一种操作系统的主动安全防护方法、系统及终端设备 | |
| CN109446799A (zh) | 内存数据保护方法、安全组件和计算机设备及存储介质 | |
| CN115510430A (zh) | 一种函数指针及其数据依赖的识别与保护方法、装置 | |
| CN105956425B (zh) | 一种基于smali代码混淆的Android应用保护方法 | |
| GB2589897A (en) | Domain transition disable configuration parameter | |
| US9398019B2 (en) | Verifying caller authorization using secret data embedded in code | |
| US10929148B2 (en) | Executing services in containers | |
| US11194899B2 (en) | Apparatus and methods for transitioning between a secure area and a less-secure area | |
| CN104462898A (zh) | 基于Android系统的目标文件保护方法及装置 | |
| CN103886251B (zh) | 系统加固的方法及装置 | |
| CN103677746B (zh) | 指令重组方法及装置 | |
| CN106127054A (zh) | 一种面向智能设备控制指令的系统级安全防护方法 | |
| Bousquet et al. | Mandatory access control for the android dalvik virtual machine | |
| CN106775923B (zh) | 处理器协助的内核地址空间细粒度管理方法 | |
| CN107169375B (zh) | 系统数据安全增强方法 | |
| EP3040895A1 (en) | System and method for protecting a device against return-oriented programming attacks | |
| CN103677769B (zh) | 指令重组方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220331 Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |