CN106203109B - 一种安全保护处理方法、装置及电子设备 - Google Patents
一种安全保护处理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN106203109B CN106203109B CN201610500509.1A CN201610500509A CN106203109B CN 106203109 B CN106203109 B CN 106203109B CN 201610500509 A CN201610500509 A CN 201610500509A CN 106203109 B CN106203109 B CN 106203109B
- Authority
- CN
- China
- Prior art keywords
- file
- paging
- function
- creation
- file destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本申请提出一种安全保护处理方法、装置和电子设备,其中,该方法包括:截获调用创建分页文件函数的操作;判断所述操作要创建的分页文件是否为目标文件;若是,则结束调用创建分页文件函数的操作。通过本申请提供的安全保护处理方法、装置和电子设备,该方法实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
Description
技术领域
本申请涉及安全防护技术领域,尤其涉及一种安全保护处理方法、装置和电子设备。
背景技术
随着互联网技术发展,木马、病毒等恶意程序技术日益发展。恶意程序在攻击终端系统时,若获得了系统中重要程序的属性信息,比如重要程序的进程路径,即可通过创建分页文件的方式,利用空的或者无效的分页文件替换系统中重要程序的核心文件,从而删除重要程序中的文件,以使重要程序功能丧失。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种安全保护处理方法,该方法实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
本申请的第二个目的在于提出一种安全保护处理装置。
本申请的第三个目的在于提出一种电子设备。
本申请的第四个目的在于提出一种存储介质。
本申请的第五个目的在于提出一种应用程序。
为达上述目的,本申请第一方面实施例提出了一种安全保护处理方法,包括:截获调用创建分页文件函数的操作;判断所述操作要创建的分页文件是否为目标文件;若是,则结束调用创建分页文件函数的操作。
在第一方面的一种可能的实现形式中,所述判断所述操作要创建的分页文件是否为目标文件,包括:
判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配。
在第一方面的另一种可能的实现形式中,所述判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配,包括:
判断所述创建分页文件函数中的、用于表征创建分页文件的进程路径的参数是否包含在所述目标文件的安装路径内。
在第一方面的另一种可能的实现形式中,所述判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配之前,还包括:
获取目标文件的安装路径。
在第一方面的又一种可能的实现形式中,所述截获调用创建分页文件函数的操作之前,还包括:
获取内核层创建分页文件函数的地址;
利用钩子函数的地址替换所述内核层创建分页文件函数的地址。
在第一方面的又一种可能的实现形式中,所述截获调用创建分页文件函数的操作,包括:
通过所述钩子函数,截获调用创建分页文件函数的操作。
在第一方面的再一种可能的实现形式中,所述结束调用创建分页文件函数的操作,包括:
修改创建分页文件函数中的参数值,以使根据修改后的创建分页文件函数创建的分页文件无效;
或者,返回拒绝访问创建分页文件函数的状态值。
本申请实施例的安全保护处理方法,首先截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件是否是目标文件,若是,则结束调用创建分页文件函数的操作。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
为达上述目的,本申请第二方面实施例提出了一种安全保护处理装置,包括:截获模块,用于截获调用创建分页文件函数的操作;判断模块,用于判断所述操作要创建的分页文件是否为目标文件;处理模块,用于若所述操作要创建的分页文件是否为目标文件,则结束调用创建分页文件函数的操作。
在第二方面的一种可能的实现形式中,所述判断模块,具体用于:
判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配。
在第二方面的另一种可能的实现形式中,所述判断模块,具体用于:
判断所述创建分页文件函数中的、用于表征创建分页文件的进程路径的参数是否包含在所述目标文件的安装路径内。
在第二方面的另一种可能的实现形式中,该安全保护处理装置,还包括:
第一获取模块,用于获取目标文件的安装路径。
在第二方面的又一种可能的实现形式中,还包括:
第二获取模块,用于获取内核层创建分页文件函数的地址;
替换模块,用于利用钩子函数的地址替换所述内核层创建分页文件函数的地址。
在第二方面的又一种可能的实现形式中,所述截获模块,具体用于:
通过所述钩子函数,截获调用创建分页文件函数的操作。
在第二方面的再一种可能的实现形式中,所述处理模块,具体用于:
修改创建分页文件函数中的参数值,以使根据修改后的创建分页文件函数创建的分页文件无效;
或者,返回拒绝访问创建分页文件函数的状态值。
本申请实施例的安全保护处理装置,首先截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件是否是目标文件,若是,则结束调用创建分页文件函数的操作。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
为达上述目的,本申请第三方面实施例提出了一种电子设备,包括以下一个或多个组件:电路板、壳体、处理器,存储器,电源电路,显示屏,音频组件,输入/输出(I/O)的接口,传感器组件、以及通信组件;其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述电子设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
截获调用创建分页文件函数的操作;
判断所述操作要创建的分页文件是否为目标文件;
若是,则结束调用创建分页文件函数的操作。
本申请实施例的电子设备,首先截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件是否是目标文件,若是,则结束调用创建分页文件函数的操作。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
为达上述目的,本发明第四方面实施例提出了一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的安全保护处理方法。
为达上述目的,本发明第五方面实施例提出了一种应用程序,其中,所述应用程序用于在运行时执行本发明实施例所述的安全保护处理方法。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本申请一个实施例的安全保护处理方法的流程图;
图2是本申请另一个实施例的安全保护处理方法的流程图;
图3是本申请一个实施例的安全保护处理装置的结构示意图;
图4是本申请另一个实施例的安全保护处理装置的结构示意图;
图5是本申请一个实施例的电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的安全保护处理方法及装置。
图1是本申请一个实施例的安全保护处理方法的流程图。
如图1所示,该安全保护处理方法包括:
步骤101,截获调用创建分页文件函数的操作。
具体的,本实施例提供的安全保护处理方法的执行主体为本申请提供的安全保护处理装置。该装置可以被配置在具有操作系统、且可以安装其他软件或者应用的终端中,比如手机、计算机等等。
其中,上述创建分页文件函数,可以为终端系统的内核函数。比如可以为NtCreatePagingFile内核函数。
具体的,恶意软件在创建分页文件时,首先通过调用应用层ntdll模块的NtCreatePagingFile,来调用内核层的nt模块中的NtCreatePagingFile函数,进而由系统根据函数中的各个参数,创建对应的分页文件。即恶意软件或者其他应用在创建分页文件时,都会调用系统内核层的NtCreatePagingFile函数,因此,本申请中,安全保护处理装置,即可通过监控系统内核层的创建分页文件函数的调用情况,来对恶意软件的调用过程进程管理。
具体的,安全保护处理装置,可以通过挂钩创建分页文件函数的方式,实现对该操作的截获。即上述步骤101之前,还包括:
获取内核层创建分页文件函数的地址;
利用钩子函数的地址替换所述内核层创建分页文件函数的地址。
具体的,可以首先查找系统服务描述符表(System Services Descriptor Table,简称SSDT),确定内核层创建分页文件函数的地址,之后即可保存下该内核层创建分页文件函数的地址,再使用钩子函数的地址替换原始的内核层创建分页文件函数的地址。在恶意软件或者其他应用进程调用内核层创建分页文件函数时,会首先经过钩子函数,从而即可截获调用创建分页文件函数的操作。
相应的,上述步骤101,包括:
通过所述钩子函数,截获调用创建分页文件函数的操作。
步骤102,判断所述操作要创建的分页文件是否为目标文件。
具体的,创建分页文件函数中包括多个参数,比如有文件大小、创建路径等,本申请实施例中安全保护处理装置,可以根据创建分页文件函数中的用于表征创建路径的参数的值,确定该创建分页文件函数的操作要创建的分页文件是否为目标文件。
相应的上述步骤102,包括:
判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配。
其中,目标文件的安装路径可以是目标文件在终端中安装完成后,自动将安装路径上报给安全保护处理装置的,也可以是安全保护处理装置通过查询终端系统文件获取的,本实施例不做限定。
举例来说,若要保护的目标文件为“XX”软件,则安全保护处理装置可通过查询“XX”的注册表键值,确定“XX”的安装目录为“C:\Program Files\kingsoft\kingsoftantiviru\”,则预设的路径即为“C:\Program Files\kingsoft\kingsoft antiviru\”。
另外,需要说明的是,由于“XX”的进程文件保存在“XX”的安装目录下,因此,上述在判断所述操作要创建的分页文件的进程路径与预设的路径是否匹配时,可以仅判断所述操作要创建的分页文件的进程路径是否包括在预设的路径内即可。
即上述步骤102,具体包括:
判断所述创建分页文件函数中的、用于表征创建分页文件的进程路径的参数是否包含在所述目标文件的安装路径内。
通常,由于创建分页文件函数中的第一个参数值,就是用于表征创建分页文件的进程路径的,因此,安全保护处理装置在截获调用创建分页文件函数的操作后,即可判断创建分页文件函数中的第一参数是否包括在预设的路径内,若包括,则说明该操作为恶意软件执行的操作。
举例来说,若创建分页文件函数中的第一个参数数据是C:\Program Files\kingsoft\kingsoft antiviru\kxetray.exe,目标文件的安装路径为:C:\Program Files\kingsoft\kingsoft antiviru\,通过比较可知,第一个参数指示的路径,在“C:\ProgramFiles\kingsoft\kingsoft antiviru\”范围内,从而即可确定该操作为恶意软件执行的操作。
步骤103,若是,则结束调用创建分页文件函数的操作。
具体的,安全保护处理装置,在确定要创建的分页文件为目标文件时,即可拒绝此次调用创建分页文件函数的操作,从而有效保护重要程序中的文件不被恶意篡改或者删除。
其中,安全保护处理装置,可以通过以下多种方式结束调用创建分页文件函数的操作。
示例一:
修改创建分页文件函数中的参数值,以使根据修改后的创建分页文件函数创建的分页文件无效。
举例来说,安全保护处理装置,在确定创建分页文件函数中的第一个参数在预设的路径范围内时,可以随机生成一个无效的路径参数,比如为:c:\adk_siei2*@#$%^,来替换创建分页文件函数中的第一个参数,从而使根据修改后的创建分页文件函数创建的分页文件因无法找到正确的路径,无法存储。
另外,还可以通过修改创建分页文件函数中的其他参数的形式,使得新创建的分页文件内容与目标文件原内容一致,即使此次调用创建分页文件函数的操作并不会篡改或者删除原目标文件的内容,从而达到保护目标文件的目的。
示例二:
返回拒绝访问创建分页文件函数的状态值。
具体的,安全保护处理装置,还可以直接返回一个拒绝访问创建分页文件函数的状态值,比如为:0xC0000022L,来表明拒绝访问,从而退出对创建分页文件函数调用的操作等等,本实施例对此不作限定。
本申请实施例的安全保护处理方法,首先截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件是否是目标文件,若是,则结束调用创建分页文件函数的操作。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
图2是本申请另一个实施例的安全保护处理方法的流程图。
如图2所示,该安全保护处理方法包括:
步骤201,通过与内核层创建分页文件函数关联的钩子函数,截获调用创建分页文件函数的操作。
步骤202,获取目标文件的安装路径。
具体的,安全保护处理装置中可以预先存储目标文件的标识,从而安全保护处理装置即可根据目标文件的标识,依次查询与目标文件的标识对应的注册表文件,从而获取目标文件的安装路径。
可以理解的是,预先存储的目标文件的标识,可以是根据各应用或软件的性质确定的,比如可以将用于对终端进行病毒查杀或者防御的软件标识确定为目标文件的标识。另外,若有新的目标文件出现时,还可以对安全保护处理装置中的目标文件的标识进行实时更新,以提高对文件保护的全面性。
步骤203,判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配,若匹配,则执行步骤204,否则,执行步骤205。
需要说明的是,安全保护处理装置中,可能存储有至少一个目标文件的安装路径,从而在确定创建分页文件函数中包括的进程路径后,即可将创建分页文件函数中包括的进程路径,与各个目标文件的安装路径依次进行匹配,一旦与一个匹配成功,则可以执行步骤204,而若与所有的目标文件的安装路径都不匹配,则可以执行步骤205。
步骤204,结束调用创建分页文件函数的操作。
步骤205,调用并执行创建分页文件函数。
本申请实施例的安全保护处理方法,首先通过与内核层创建分页文件函数关联的钩子,截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件的进程路径是否与目标文件的安装路径匹配,若是,则结束调用创建分页文件函数的操作,否则调用并执行创建分页文件函数。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
为了实现上述实施例,本申请还提出一种安全保护处理装置。
图3是本申请一个实施例的安全保护处理装置的结构示意图。
如图3所示,该安全保护处理装置包括:
截获模块31,用于截获调用创建分页文件函数的操作;
判断模块32,用于判断所述操作要创建的分页文件是否为目标文件;
处理模块33,用于若所述操作要创建的分页文件是否为目标文件,则结束调用创建分页文件函数的操作。
具体的,本实施例提供的安全保护处理装置,用于执行上述实施例提供的安全保护处理方法。
其中,所述判断模块32,具体用于:
判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配。
进一步地,创建分页文件函数中包括多个参数,其中,第一个参数用于标征创建的分页文件的进程路径,因此上述判断模块32,具体用于:
判断所述创建分页文件函数中的、用于表征创建分页文件的进程路径的参数是否属于目标文件的安装路径范围。
进一步地,上述处理模块33,具体用于:
修改创建分页文件函数中的参数值,以使根据修改后的创建分页文件函数创建的分页文件无效;
或者,返回拒绝访问创建分页文件函数的状态值。
需要说明的是,前述对安全保护处理方法实施例的解释说明也适用于该实施例的安全保护处理装置,此处不再赘述。
本申请实施例的安全保护处理装置,首先截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件是否是目标文件,若是,则结束调用创建分页文件函数的操作。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
图4是本申请另一个实施例的安全保护处理装置的结构示意图,如图4所示,基于图3所示实施例,该安全保护处理装置,还包括:
获取模块41,用于获取目标文件的安装路径。
具体的,安全保护处理装置中可以预先存储目标文件的标识,从而安全保护处理装置即可根据目标文件的标识,依次查询与目标文件的标识对应的注册表文件,从而获取目标文件的安装路径。
可以理解的是,预先存储的目标文件的标识,可以是根据各应用或软件的性质确定的,比如可以将用于对终端进行病毒查杀或者防御的软件标识确定为目标文件的标识。另外,若有新的目标文件出现时,还可以对安全保护处理装置中的目标文件的标识进行实时更新,以提高对文件保护的全面性。
进一步地,所述安全保护处理装置,还包括:
第二获取模块42,用于获取内核层创建分页文件函数的地址;
替换模块43,用于利用钩子函数的地址替换所述内核层创建分页文件函数的地址。
相应的,所述截获模块31,具体用于:
通过所述钩子函数,截获调用创建分页文件函数的操作。
需要说明的是,前述对安全保护处理方法实施例的解释说明也适用于该实施例的安全保护处理装置,此处不再赘述。
本申请实施例的安全保护处理装置,首先通过与内核层创建分页文件函数关联的钩子,截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件的进程路径是否与目标文件的安装路径匹配,若是,则结束调用创建分页文件函数的操作,否则调用并执行创建分页文件函数。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
图5是本申请一个实施例的电子设备的结构示意图。
如图5所示,该电子设备包括:以下一个或多个组件:电路板1、壳体2、处理器3,存储器4,电源电路5,显示屏6,音频组件7,输入/输出(I/O)的接口8,传感器组件9、以及通信组件10;其中,所述电路板1安置在所述壳体2围成的空间内部,所述处理器3和所述存储器4设置在所述电路板1上;所述电源电路5,用于为所述电子设备的各个电路或器件供电;所述存储器4用于存储可执行程序代码;所述处理器3通过读取所述存储器4中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
截获调用创建分页文件函数的操作;
判断所述操作要创建的分页文件是否为目标文件;
若是,则结束调用创建分页文件函数的操作。
需要说明的是,前述对安全保护处理方法实施例的解释说明也适用于该实施例的电子设备,此处不再赘述。
本申请实施例的安全保护处理装置,首先截获调用创建分页文件函数的操作,然后判断该操作要创建的分页文件是否是目标文件,若是,则结束调用创建分页文件函数的操作。由此,实现了保护目标文件的数据不会被篡改或者删除,有效的保护了目标文件的安全,增强了系统的安全性。
基于上述实施例提供的安全保护处理方法,本申请实施例再提供一种存储介质,比如可以是只读存储器,磁盘或光盘等。
其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的安全保护处理方法。
进一步地,本申请实施例还提供一种应用程序,其中,所述应用程序用于在运行时执行本发明实施例所述的安全保护处理方法。
具体的,本申请实施例中的应用程序,可以采用任意语言实现,只要能实现本申请实施例提供的安全保护处理方法即可。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (7)
1.一种安全保护处理方法,其特征在于,包括以下步骤:
获取内核层创建分页文件函数的地址;
利用钩子函数的地址替换所述内核层创建分页文件函数的地址,通过所述钩子函数截获调用创建分页文件函数的操作;
获取目标文件的安装路径,其中预先存储目标文件的标识,根据所述目标文件的标识依次查询与所述目标文件的标识对应的注册表文件以获取所述目标文件的安装路径;
判断所述操作要创建的分页文件是否为目标文件,其中,判断所述操作要创建的分页文件是否为目标文件,包括:所述判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配;
若匹配,则结束调用创建分页文件函数的操作。
2.如权利要求1所述的方法,其特征在于,所述判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配,包括:
判断所述创建分页文件函数中的、用于表征创建分页文件的进程路径的参数是否包含在所述目标文件的安装路径内。
3.如权利要求1或2中任一所述的方法,其特征在于,所述结束调用创建分页文件函数的操作,包括:
修改创建分页文件函数中的参数值,以使根据修改后的创建分页文件函数创建的分页文件无效;
或者,返回拒绝访问创建分页文件函数的状态值。
4.一种安全保护处理装置,其特征在于,包括:
截获模块,用于获取内核层创建分页文件函数的地址,利用钩子函数的地址替换所述内核层创建分页文件函数的地址,通过所述钩子函数截获调用创建分页文件函数的操作;
判断模块,用于获取目标文件的安装路径,其中预先存储目标文件的标识,根据所述目标文件的标识依次查询与所述目标文件的标识对应的注册表文件以获取所述目标文件的安装路径,判断所述操作要创建的分页文件是否为目标文件,其中,所述判断模块,具体用于:判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配;
处理模块,用于若所述操作要创建的分页文件的进程路径与所述目标文件的安装路径匹配,则结束调用创建分页文件函数的操作。
5.如权利要求4所述的装置,其特征在于,判断模块,具体用于:
判断所述创建分页文件函数中的、用于表征创建分页文件的进程路径的参数是否包含在所述目标文件的安装路径内。
6.如权利要求4或5中任一所述的装置,其特征在于,所述处理模块,具体用于:
修改创建分页文件函数中的参数值,以使根据修改后的创建分页文件函数创建的分页文件无效;
或者,返回拒绝访问创建分页文件函数的状态值。
7.一种电子设备,其特征在于,包括以下一个或多个组件:电路板、壳体、处理器,存储器,电源电路,显示屏,音频组件,输入/输出(I/O)的接口,传感器组件、以及通信组件;其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述电子设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
获取内核层创建分页文件函数的地址;
利用钩子函数的地址替换所述内核层创建分页文件函数的地址,通过所述钩子函数截获调用创建分页文件函数的操作;
获取目标文件的安装路径,其中预先存储目标文件的标识,根据所述目标文件的标识依次查询与所述目标文件的标识对应的注册表文件以获取所述目标文件的安装路径;
判断所述操作要创建的分页文件是否为目标文件,其中,判断所述操作要创建的分页文件是否为目标文件,包括:所述判断所述操作要创建的分页文件的进程路径与目标文件的安装路径是否匹配;
若匹配,则结束调用创建分页文件函数的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610500509.1A CN106203109B (zh) | 2016-06-29 | 2016-06-29 | 一种安全保护处理方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610500509.1A CN106203109B (zh) | 2016-06-29 | 2016-06-29 | 一种安全保护处理方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106203109A CN106203109A (zh) | 2016-12-07 |
| CN106203109B true CN106203109B (zh) | 2019-08-27 |
Family
ID=57463401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610500509.1A Active CN106203109B (zh) | 2016-06-29 | 2016-06-29 | 一种安全保护处理方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106203109B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1622061A (zh) * | 2003-11-25 | 2005-06-01 | 微软公司 | 系统分页文件的加密 |
| CN101350054A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 计算机有害程序自动防护方法及装置 |
| CN101414341A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种软件自我保护的方法 |
| CN103595773A (zh) * | 2013-11-01 | 2014-02-19 | 浪潮电子信息产业股份有限公司 | 一种基于云桌面的系统性能优化的方法 |
| CN103729579A (zh) * | 2014-01-02 | 2014-04-16 | 北京深思数盾科技有限公司 | 函数级的软件保护方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102999720B (zh) * | 2012-11-09 | 2015-09-16 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
-
2016
- 2016-06-29 CN CN201610500509.1A patent/CN106203109B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1622061A (zh) * | 2003-11-25 | 2005-06-01 | 微软公司 | 系统分页文件的加密 |
| CN101350054A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 计算机有害程序自动防护方法及装置 |
| CN101414341A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种软件自我保护的方法 |
| CN103595773A (zh) * | 2013-11-01 | 2014-02-19 | 浪潮电子信息产业股份有限公司 | 一种基于云桌面的系统性能优化的方法 |
| CN103729579A (zh) * | 2014-01-02 | 2014-04-16 | 北京深思数盾科技有限公司 | 函数级的软件保护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106203109A (zh) | 2016-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2015124018A1 (zh) | 基于智能终端设备的应用程序访问方法与装置 | |
| CN106557701B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| CN104091125B (zh) | 处理悬浮窗的方法及悬浮窗处理装置 | |
| EP1512057B1 (en) | Trusted user interface for a secure mobile wireless device | |
| CN106778243B (zh) | 基于虚拟机的内核漏洞检测文件保护方法及装置 | |
| CN103856471B (zh) | 跨站脚本攻击监控系统及方法 | |
| CN110647744A (zh) | 使用特定于对象的文件系统视图识别和提取关键危害取证指标 | |
| CN108763951B (zh) | 一种数据的保护方法及装置 | |
| CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| KR20130040692A (ko) | 보안 웹 위젯 런타임 시스템을 위한 방법 및 장치 | |
| CN111191243B (zh) | 一种漏洞检测方法、装置和存储介质 | |
| CN107944292B (zh) | 一种隐私数据保护方法及系统 | |
| CN108334404B (zh) | 应用程序的运行方法和装置 | |
| CN106778244A (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| CN106203093A (zh) | 进程保护方法、装置以及终端 | |
| CN107330328A (zh) | 防御病毒攻击的方法、装置及服务器 | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| CN106682504B (zh) | 一种防止文件被恶意编辑的方法、装置及电子设备 | |
| CN103430153B (zh) | 用于计算机安全的接种器和抗体 | |
| CN108334788B (zh) | 文件防篡改方法及装置 | |
| CN107818260B (zh) | 保障系统安全的方法及装置 | |
| CN106203109B (zh) | 一种安全保护处理方法、装置及电子设备 | |
| KR101862382B1 (ko) | 안드로이드 환경에서의 어플리케이션 데이터 관리 방법 및 장치 | |
| CN113518055B (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
| CN106156610B (zh) | 一种进程路径获取方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20181211 Address after: 519030 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |