CN104462956B - 一种获得操作系统控制权的方法和装置 - Google Patents

一种获得操作系统控制权的方法和装置 Download PDF

Info

Publication number
CN104462956B
CN104462956B CN201310436199.8A CN201310436199A CN104462956B CN 104462956 B CN104462956 B CN 104462956B CN 201310436199 A CN201310436199 A CN 201310436199A CN 104462956 B CN104462956 B CN 104462956B
Authority
CN
China
Prior art keywords
program
driving
dynamic link
operating system
link library
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310436199.8A
Other languages
English (en)
Other versions
CN104462956A (zh
Inventor
段然
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Anyi Hengtong Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anyi Hengtong Beijing Technology Co Ltd filed Critical Anyi Hengtong Beijing Technology Co Ltd
Priority to CN201310436199.8A priority Critical patent/CN104462956B/zh
Publication of CN104462956A publication Critical patent/CN104462956A/zh
Application granted granted Critical
Publication of CN104462956B publication Critical patent/CN104462956B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种获得操作系统控制权的方法和装置,方法包括:第一驱动接收操作系统的映射通知,所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的;所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间;所述第一驱动钩住NTDLL中的敏感函数,以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。装置包括:第一驱动和第一动态链接库。本发明提供的方案为移动终端提供更为有效的保护,有效防止了病毒文件对移动终端的危害。

Description

一种获得操作系统控制权的方法和装置
技术领域
本发明涉及安全技术领域,尤其涉及一种获得操作系统控制权的方法和装置。
背景技术
主动防御是一种基于程序行为自主分析判断的实时防护技术。该技术并不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。
然而在现有技术中,很多主动防御软件无法在第一时间获得操作系统的控制权,给病毒以可乘之机,对移动终端(如手机、个人电脑等)进行操作甚至造成危害。
发明内容
本发明的目的在于提供一种获得操作系统控制权的方法和装置,为移动终端提供更为有效的保护,有效防止了病毒文件对移动终端的危害。
为达到上述目的,一方面,本发明提供了一种获得操作系统控制权的方法,包括:
第一驱动接收操作系统的映射通知,所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的;
所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间;
所述第一驱动钩住NTDLL中的敏感函数,以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。
另一方法,本发明还提供了一种获得操作控制权的装置,包括:第一驱动和第一动态链接库;
所述第一驱动用于:
接收操作系统的映射通知,所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的;
将第一动态链接库映射到所述第一程序的进程内存空间;
钩住所述NTDLL中的敏感函数,以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。
本发明提供的获得操作系统控制权的方法和装置,通过在操作系统启动第一程序时将NTDLL映射到第一程序时接收到映射通知,并将第一动态链接库映射到第一程序的进程内存空间,并钩住NTDLL中的敏感函数,从而使得第一程序在调用敏感函数时可以直接跳转到第一动态链接库,来获得操作系统的控制权。在第一时间获得操作系统控制权,可以在最短时间内截获病毒文件对操作系统的破坏,有效保护移动终端的安全。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明实施例一提供的获得操作系统控制权的方法流程图;
图2为本发明实施例二提供的获得操作系统控制权的方法流程图;
图3为本发明实施例三提供的获得操作系统控制权的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施例作详细描述。
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如, 可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
首先请参考图1,图1为本发明实施例一提供的获得操作系统控制权的方法流程图,该方法包括:
步骤1、第一驱动接收操作系统的映射通知,该映射通知为操作系统在启动第一程序时将新技术动态链接库(New Technology Dynamic Link Library,简称为:NTDLL)映射到第一程序时发送的。
步骤2、将第一动态链接库映射到第一程序的进程内存空间。
这样做的目的在于:第一程序由于刚刚启动,且第一程序不会加载第一动态链接库,那么在第一程序的进程内存空间中没有第一动态链接库,所以需要将第一动态链接库映射到第一程序的进程内存空间中。
进一步的,还可以再完成第一动态链接库的链接和重定位。链接可以理解为完成第一动态链接库中需要引用的其他动态链接库(如果有)的动作,而重定位可以理解为当第一动态链接库没办法加载到建议地址时,根据第一动态链接库的重定位节,调整第一动态链接库中的部分代码指令。
步骤3、钩住NTDLL中的敏感函数,以使得第一程序调用敏感函数时跳转到第一动态链接库。
这里所说的敏感函数可以有比较广泛的理解,如执行的是敏感操作的函数可以理解为敏感函数,敏感操作可以理解为读文件、写文件、终止进程、调试进程、修改注册表等。
本发明提供了一种获得操作系统控制权的方法,可以通过软件的形式实 现,这个软件从表现形态上可以为包括驱动和动态链接库,在本实施例中可以分别称之为第一驱动和第一动态链接库,以与现有技术中存在的其他驱动和动态链接库相区分。第一驱动可以理解为一个处理器,用于执行上述步骤1、2和3,第一动态链接库可以理解为一段代码,这段代码的主要用途通过如下实施方式进行描述。如图2所示,在上述实施方式的基础上,还包括:
步骤4、当第一程序对NTDLL中的第一敏感函数发起调用时,由第一动态链接库获得第一程序的调用参数,并将调用参数发送给第二驱动,由第二驱动根据调用参数判断该第一程序对第一敏感函数的调用是否合法。
这里提到的第二驱动可以是现有技术中提供的驱动,也可以由第一驱动来实现,不做具体限定。由于第一驱动已经钩住了第一敏感函数,因此,当第一敏感函数被第一程序所调用时,进程会被引导至第一动态链接库,由第一动态链接库得到第一程序的调用参数。
进一步的,在上述实施方式的基础上,该方法还可以包括:如果第一程序对第一敏感函数的调用合法,第一驱动允许第一程序的调用继续执行;如果第一程序对第一敏感函数的调用不合法,第一驱动不允许第一程序的调用继续执行。
进一步的,在上述实施方式的基础上,步骤2具体可以包括:第一驱动按照数据格式将第一动态链接库映射到第一程序的进程内存空间。
对于将动态链接库映射到第一程序的进程内存空间,可以是数据格式,还可以是执行格式。数据格式的映射,在映射时操作系统不会发出映射通知,而对于执行格式的映射,在映射时操作系统会发出映射通知,这样会造成对其他程序的干扰。
进一步需要说明的是,为了接收到操作系统的映射通知,第一驱动需要在操作系统的通知函数中进行注册,这样,操作系统在启动程序时所做的映射动作,就会发送映射通知给已在通知函数中注册的程序等等。
还需要说明的是,本发明提供的方法可以实施为计算机程序软件,例如根据本发明的实施例可以是一种计算机程序产品,运行该程序产品使计算机执行用于所示范的方法。所述计算机程序产品包括计算机可读存储介质,该介质上包含计算机程序逻辑或代码部分,用于实现所述移动终端的消息的内容的处理方法。所述计算机可读存储介质可以是被安装在计算机中的内置介 质或者可从计算机主体拆卸的可移动介质(例如热拔插技术存储设备)。所述内置介质包括但不限于可重写的非易失性存储器,例如RAM、ROM、快闪存储器和硬盘。所述可移动介质包括但不限于:光存储媒体(例如CD-ROM和DVD)、磁光存储媒体(例如MO)、磁存储媒体(例如盒带或移动硬盘)、具有内置的可重写的非易失性存储器的媒体(例如存储卡)和具有内置ROM的媒体(例如ROM盒)。
本发明提供的获得操作系统控制权的方法,通过在操作系统启动第一程序时将NTDLL映射到第一程序时接收到映射通知,并将第一动态链接库映射到第一程序的进程内存空间,并钩住NTDLL中的敏感函数,从而使得第一程序在调用敏感函数时可以直接跳转到第一动态链接库,来获得操作系统的控制权。第一时间获得操作系统控制权,可以在最短时间内截获病毒文件对操作系统的破坏,有效保护移动终端的安全。
图3为本发明实施例三提供的获得操作系统控制权的装置结构示意图,如图3所示,该装置包括:第一驱动31和第一动态链接库32;其中,第一驱动31用于:接收操作系统的映射通知,映射通知为操作系统在启动第一程序时将新技术动态链接库NTDLL映射到第一程序时发送的;将第一动态链接库32映射到第一程序的进程内存空间;钩住NTDLL中的敏感函数,以使得第一程序调用敏感函数时跳转到第一动态链接库32。
进一步的,该装置还可以包括第二驱动33;则第一动态链接库32用于:当第一程序对NTDLL中的第一敏感函数发起调用时,获得第一程序的调用参数,并将调用参数发送给第二驱动33;第二驱动33用于:根据调用参数判断第一程序对第一敏感函数的调用是否合法。
在上述实施方式的基础上,第一驱动31还用于:如果第二驱动33判定第一程序对第一敏感函数的调用合法,允许第一程序的调用继续执行;如果第二驱动33判定第一程序对第一敏感函数的调用不合法,阻止第一程序的调用继续执行。
一种实施方式下,第一驱动31将第一动态链接库32映射到第一程序的进程内存空间,具体包括:按照数据格式将第一动态链接库32映射到第一程序的进程内存空间。
又一种实施方式下,第一驱动31还用于:在接收操作系统的映射通知之前,在操作系统的通知函数中进行注册。
本领域技术人员应当理解,任何具有适当编程装置的计算机系统都将能够执行包含在程序产品中的本发明的方法的诸步骤。尽管本说明书中描述的多数具体实施方式都侧重于软件程序,但是作为固件和硬件实现本发明提供的方法的替代实施例同样在本发明要求保护的范围之内。
以上所揭露的仅为本发明的一些较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (8)

1.一种获得操作系统控制权的方法,其特征在于,包括:
第一驱动接收操作系统的映射通知,所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的;
所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间;
所述第一驱动钩住所述NTDLL中的敏感函数,以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库;
当所述第一程序对所述NTDLL中的第一敏感函数发起调用时,由所述第一动态链接库获得所述第一程序的调用参数,并将所述调用参数发送给第二驱动,所述第二驱动根据所述调用参数判断所述第一程序对所述第一敏感函数的调用是否合法。
2.根据权利要求1所述的方法,其特征在于,还包括:
如果合法,所述第一驱动允许所述第一程序的调用继续执行;
如果不合法,所述第一驱动阻止所述第一程序的调用继续执行。
3.根据权利要求1至2中任一项所述的方法,其特征在于,所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间,具体包括:
所述第一驱动按照数据格式将所述第一动态链接库映射到所述第一程序的进程内存空间。
4.根据权利要求1至2中任一项所述的方法,其特征在于,在所述接收操作系统的映射通知之前,所述方法还包括:
所述第一驱动在操作系统的通知函数中进行注册。
5.一种获得操作控制权的装置,其特征在于,包括:第一驱动和第一动态链接库;
所述第一驱动用于:
接收操作系统的映射通知,所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的;
将第一动态链接库映射到所述第一程序的进程内存空间;
钩住所述NTDLL中的敏感函数,以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库;
还包括第二驱动;
则所述第一动态链接库用于:
当所述第一程序对所述NTDLL中的第一敏感函数发起调用时,获得所述第一程序的调用参数,并将所述调用参数发送给所述第二驱动;
所述第二驱动用于:根据所述调用参数判断所述第一程序对所述第一敏感函数的调用是否合法。
6.根据权利要求5所述的装置,其特征在于,所述第一驱动还用于:
如果所述第二驱动判定所述第一程序对所述第一敏感函数的调用合法,允许所述第一程序的调用继续执行;
如果所述第二驱动判定所述第一程序对所述第一敏感函数的调用不合法,阻止所述第一程序的调用继续执行。
7.根据权利要求5至6中任一项所述的装置,其特征在于,所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间,具体包括:按照数据格式将所述第一动态链接库映射到所述第一程序的进程内存空间。
8.根据权利要求5至6中任一项所述的装置,其特征在于,所述第一驱动还用于:在所述接收操作系统的映射通知之前,在操作系统的通知函数中进行注册。
CN201310436199.8A 2013-09-23 2013-09-23 一种获得操作系统控制权的方法和装置 Active CN104462956B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310436199.8A CN104462956B (zh) 2013-09-23 2013-09-23 一种获得操作系统控制权的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310436199.8A CN104462956B (zh) 2013-09-23 2013-09-23 一种获得操作系统控制权的方法和装置

Publications (2)

Publication Number Publication Date
CN104462956A CN104462956A (zh) 2015-03-25
CN104462956B true CN104462956B (zh) 2017-07-25

Family

ID=52908981

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310436199.8A Active CN104462956B (zh) 2013-09-23 2013-09-23 一种获得操作系统控制权的方法和装置

Country Status (1)

Country Link
CN (1) CN104462956B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109614165A (zh) * 2018-12-04 2019-04-12 山东财经大学 一种com组件的多版本并行运行方法和装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107256349B (zh) * 2017-06-13 2020-02-28 广州阿里巴巴文学信息技术有限公司 动态库防盗用方法、装置、电子设备及可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1409227A (zh) * 2001-09-14 2003-04-09 北京瑞星科技股份有限公司 一种在计算机系统中完全控制文件的方法
CN103077353A (zh) * 2013-01-24 2013-05-01 北京奇虎科技有限公司 主动防御恶意程序的方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070234330A1 (en) * 2006-03-01 2007-10-04 Microsoft Corporation Prevention of executable code modification

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1409227A (zh) * 2001-09-14 2003-04-09 北京瑞星科技股份有限公司 一种在计算机系统中完全控制文件的方法
CN103077353A (zh) * 2013-01-24 2013-05-01 北京奇虎科技有限公司 主动防御恶意程序的方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109614165A (zh) * 2018-12-04 2019-04-12 山东财经大学 一种com组件的多版本并行运行方法和装置

Also Published As

Publication number Publication date
CN104462956A (zh) 2015-03-25

Similar Documents

Publication Publication Date Title
US11210390B1 (en) Multi-version application support and registration within a single operating system environment
JP6700351B2 (ja) プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法
US9230106B2 (en) System and method for detecting malicious software using malware trigger scenarios in a modified computer environment
US10198574B1 (en) System and method for analysis of a memory dump associated with a potentially malicious content suspect
US20150007325A1 (en) System and Method for Detecting Malicious Software Using Malware Trigger Scenarios
EP3002702B1 (en) Identifying an evasive malicious object based on a behavior delta
CN102663288B (zh) 病毒查杀方法及装置
CN105335184B (zh) 应用安装的方法和装置
US10264002B2 (en) Program, information processing device, and information processing method
CN106294102B (zh) 应用程序的测试方法、客户端、服务器及系统
CN106709325B (zh) 一种监控程序的方法及装置
JP2014089741A (ja) システムオンチップ基盤のアンチマルウェアサービスを提供できるデバイス及びその方法
JP2014516191A (ja) 仮想パーティションを監視するためのシステムおよび方法
US9747449B2 (en) Method and device for preventing application in an operating system from being uninstalled
US20200159913A1 (en) Malware Detection Method and Malware Detection Apparatus
US20090100521A1 (en) Malicious software prevention apparatus, system, and method using same
CN109800577B (zh) 一种识别逃逸安全监控行为的方法及装置
US8370941B1 (en) Rootkit scanning system, method, and computer program product
CN104462956B (zh) 一种获得操作系统控制权的方法和装置
CN106295336B (zh) 恶意程序检测方法及装置
CN110502900B (zh) 一种检测方法、终端、服务器及计算机存储介质
KR20110057297A (ko) 악성 봇 동적 분석 시스템 및 방법
EP2819055B1 (en) System and method for detecting malicious software using malware trigger scenarios
CN116340929A (zh) 软件安装的管控方法、装置、存储介质和计算机设备
CN103632086B (zh) 修复基本输入输出系统bios恶意程序的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20190812

Address after: 100085 Beijing, Haidian District, No. ten on the ground floor, No. 10 Baidu building, layer 2

Patentee after: BEIJING BAIDU NETCOM SCIENCE AND TECHNOLOGY Co.,Ltd.

Address before: 100091 Beijing, Haidian District, northeast Wang West Road, No. 4, Zhongguancun Software Park, building C, block, 1-03

Patentee before: Pacify a Heng Tong (Beijing) Science and Technology Ltd.

TR01 Transfer of patent right