CN108304699A - 一种对安全软件进行保护的方法及装置 - Google Patents
一种对安全软件进行保护的方法及装置 Download PDFInfo
- Publication number
- CN108304699A CN108304699A CN201810150230.4A CN201810150230A CN108304699A CN 108304699 A CN108304699 A CN 108304699A CN 201810150230 A CN201810150230 A CN 201810150230A CN 108304699 A CN108304699 A CN 108304699A
- Authority
- CN
- China
- Prior art keywords
- path
- storage
- storage path
- reparse
- reanalysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000012950 reanalysis Methods 0.000 claims description 62
- 238000004458 analytical method Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 5
- 238000012986 modification Methods 0.000 abstract description 28
- 230000004048 modification Effects 0.000 abstract description 28
- 238000012544 monitoring process Methods 0.000 abstract description 10
- 238000010586 diagram Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本发明的实施例公开了一种对安全软件进行保护的方法及装置,该方法在操作系统启动后,对注册表的修改进行监测的同时,还对是否创建重解析点进行监测,当监测到创建重解析点的第一操作,则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径,得到每一第一存储路径对应的重解析路径,若重解析路径中存在安全软件的组件对应的存储路径,则获取对应于该重解析路径的第二存储路径,清除该第二存储路径对应的键值。该方法避免了通过操作系统的重启替换机制通过修改注册表对安全软件组件产生威胁的情况发生,有效制止了通过重启替换机制对安全软件组件和操作系统带来的安全隐患。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其是涉及一种对安全软件进行保护的方法及装置。
背景技术
Windows平台下,在安全软件抵御各种病毒和恶意软件的过程中,保证系统文件和安全软件自身组件不被破坏和劫持尤为重要。然而,最近windows平台上出现了通过NTFS重解析点(reparse point),利用系统的重启替换机制对安全软件的组件进行替换的方法。在windows系统启动后,安全软件仅对注册表中对自身组件产生威胁的修改进行拦截。基于此,可以通过能够避开安全软件拦截的注册表修改和重解析点,使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改,进而在操作系统再次重启后,对该安全软件或者操作系统带来破坏。
在实现本发明实施例的过程中,发明人发现现有的方法中,通过操作系统的重启替换机制,有可能对注册表进行无法拦截且对安全软件组件形成威胁的修改,从而在系统重启后,对安全软件组件和操作系统带来安全隐患。
发明内容
本发明所要解决的技术问题是如何解决现有的方法中,通过操作系统的重启替换机制,有可能对注册表进行无法拦截且对安全软件组件形成威胁的修改,从而在系统重启后,对安全软件组件和操作系统带来安全隐患的问题。
针对以上技术问题,本发明的实施例提供了一种对安全软件进行保护的方法,包括:
操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;
通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;
判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;
其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
第二方面,本实施例提供了一种对安全软件进行保护的装置,包括:
获取模块,用于操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;
重解析模块,用于通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;
处理模块,用于判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;
其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
第三方面,本发明的实施例还提供了一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行以上所述的方法。
第四方面,本发明的实施例提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行以上所述的方法。
本发明的实施例提供了一种对安全软件进行保护的方法及装置,该方法在操作系统启动后,对注册表的修改进行监测的同时,还对是否创建重解析点进行监测,当监测到创建重解析点的第一操作,则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径,得到每一第一存储路径对应的重解析路径,若重解析路径中存在安全软件的组件对应的存储路径,则获取对应于该重解析路径的第二存储路径,清除该第二存储路径对应的键值。该方法通过对创建重解析点的监测,避免了通过操作系统的重启替换机制,先对注册表进行对安全软件无威胁的修改,再通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生,有效制止了通过重启替换机制对安全软件组件和操作系统带来的安全隐患。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的对安全软件进行保护的方法的流程示意图;
图2是本发明另一个实施例提供的通过预设重解析规则查询指定路径的重解析路径的方法流程示意图;
图3是本发明另一个实施例提供的对安全软件进行保护的装置的结构框图;
图4是本发明另一个实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本实施例提供的一种对安全软件进行保护的方法的流程示意图,参见图1,该方法包括:
101:操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;
102:通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;
103:判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;
其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
需要说明的是,本实施例提供的方法通常由计算机或者服务器执行。操作系统为运行在计算机或者服务器上的程序,例如,操作系统可以是Windows操作系统、IOS操作系统等,本实施例对此不做具体限制。注册表是用于存储系统和应用程序的设置信息的数据库,例如,注册表中存储了启动操作系统过程中,启动安全软件时所调用的安全软件的组件的存储位置。键值为注册表中的参数值,通过对键值的修改可以改变重启系统时调用的文件的存储位置。例如,某一软件的组件存储位置为X,在注册表的键值中写入采用存储位置为Y的文件替换该存储位置为X的文件的信息(例如,X→Y),键值设置成功后,当再次重启操作系统过程中,在重启该软件的过程中就会调用存储位置为Y的文件,如此可以实现对该软件启动时的文件替换,若Y文件为攻击文件,则该软件重启后便遭到破坏。本实施例提供的方法中,若接收到创建重解析点的信息,则判定监测到了第一操作。欲排查路径包括了操作系统的安全软件的组件对应的所有存储路径。
例如,在Windows系统下,拥有管理员身份的用户即可通过MOVEFILE_DELAY_UNTIL_REBOOT|MOVEFILE_REPLACE_EXI STING参数调用MoveFileEx API或者注册表,填写HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager的PendingFileRenameOperations键值,通过对PendingFileRenameOperations键值(Pending项)的修改即可在下次启动时对软件运行时调用的文件进行替换或者删除。在Pending项中写入X→Y,表示重启时用存储路径为X的文件替换存储路径为Y的文件。在Pending项中写入Y,若Y为安全软件组件的存储路径,则表示重启时删除存储路径为Y的文件。
本实施例中的创建重解析点或者对存储路径进行重解析基于NTFS系统(NewTechnology File System,即WindowsNT环境下的文件系统)。
在Windows系统下,安全软件会对注册表的修改中对自身组件产生威胁的修改进行拦截,但是若对注册表的修改未对该安全软件的组件产生威胁则不会进行拦截。例如,攻击文件的存储路径为A,安全软件组件的存储路径是B,攻击者对注册表中的键值进行修改,在键值中写入A→C(即重启时用存储路径为A的文件替换存储路径为C的文件),其中C是个不存在的存储路径。由于被替换文件的存储路径C是个不存在的路径,不会对安全软件的组件进行修改或者删除,所以安全软件不会对在键值中写入A→C的操作进行拦截。之后攻击者再创建重解析点C→B,如此在系统重启后,由于C重解析后的路径为B,重启时就会用存储路径为A的文件替换存储路径为B的文件,如此便绕过了安全软件的拦截,对安全软件的组件进行了替换,从而对安全软件和操作系统的安全运行带来威胁。
针对上述对安全软件的组件进行替换或者删除的行为,本实施例提供的方法中,在操作系统启动后,对创建重解析点的第一操作进行监控,一旦监测到创建重解析点(例如,监测到创建重解析点C→B)的第一操作,即通过预设重解析规则查询注册表键值中被替换或者删除的第一存储路径的重解析路径,若重解析路径是安全软件的组件存储路径,即重解析路径为欲排查路径中的存储路径,则获取该重解析路径对应的第二存储路径,将第二存储路径对应的键值删除(例如,B为安全软件某个组件对应的存储路径,则获取B对应的第二存储路径C,将键值A→C删除)。由此可见,通过本实施例提供的方法,能够对通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生进行识别,并及时处理,阻止了攻击者通过该方法对安全软件组件进行修改或者删除的行为,进一步提升了整个操作系统的安全性。
本发明的实施例提供了一种对安全软件进行保护的方法,该方法在操作系统启动后,对注册表的修改进行监测的同时,还对是否创建重解析点进行监测,当监测到创建重解析点的第一操作,则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径,得到每一第一存储路径对应的重解析路径,若重解析路径中存在安全软件的组件对应的存储路径,则获取对应于该重解析路径的第二存储路径,清除该第二存储路径对应的键值。该方法通过对创建重解析点的监测,避免了通过操作系统的重启替换机制,先对注册表进行对安全软件无威胁的修改,再通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生,有效制止了通过重启替换机制对安全软件组件和操作系统带来的安全隐患。
更进一步地,在上述实施例的基础上,所述通过预设重解析规则对任一第一存储路径进行重解析,得到重解析路径,包括:
将任一所述第一存储路径标记为待查询路径,循环执行路径解析操作,直到将最新标记的待查询路径中的所有文件名存储到路径结果堆栈中;
输出所述路径结果堆栈中存储的文件名,得到所述重解析路径;
其中,所述路径解析操作,包括:
获取最新标记的待查询路径,作为目标查询路径,获取所述目标查询路径对应的文件对象的属性值,判断文件对象的属性值中是否存在重解析点标记位;
若所述文件对象的属性值中存在重解析点标记位,根据所述文件对象获取所述目标查询路径重定向解析后的路径,作为第一查询存储路径,将所述第一查询存储路径标记为待查询路径;
若所述文件对象的属性值中不存在重解析点标记位,则将所述目标查询路径的最后一级文件名存储到所述路径结果堆栈中,判断所述目标查询路径是否存在父路径,若存在,将所述目标查询路径的父路径标记为待查询路径,否则,将所述目标查询路径中的文件名存储到所述路径结果堆栈中。
进一步地,所述输出所述路径结果堆栈中存储的文件名,得到所述重解析路径,包括:
所述路径结果堆栈按照先入后出的原则输出存储的文件名,根据输出的文件名生成目标重解析路径。
进一步地,所述获取所述目标查询路径对应的文件对象的属性值,包括:
通过FindFirstFile、GetFileAttributes或GetFileAttributesEx作为API获取目标查询路径对应的文件对象的属性值。
进一步地,所述判断文件对象的属性值中是否存在重解析点标记位,包括:
若文件对象的属性值中包含FILE_ATTRIBUTE_REPARSE_POINT,则该文件对象的属性值存在解析点标记位,否则,该文件对象的属性值不存在解析点标记位。
进一步地,所述根据所述文件对象获取所述目标查询路径重定向解析后的路径,包括:
向所述文件对象发送DeviceIoControl FSCTL_GET_REPARSE_POINT,得到所述目标查询路径重定向解析后的路径。
需要说明的是,预设重解析规则是用来查询第一存储路径对应的重解析路径的规则。目标查询路径的父路径为将目标查询路径最后一级文件名删除后得到的路径。
例如,图2示出了本实施例提供的通过预设重解析规则查询指定路径(第一存储路径)的重解析路径的方法,该方法包括:
201:针对任一指定路径进行重定向解析查询。例如,指定路径为c:\A\B\C\D\1.txt。
202:查询该路径的文件对象的属性值是否存在重解析点标记位。例如,在第一次执行路径解析操作时,通过FindFirstFile获取该路径的文件对象属性值,判断文件对象的属性值中是否包含FILE_ATTRIBUTE_REPARSE_POINT,若是,则执行步骤206,否则,执行203。
203:将该路径的最后一级文件名压入路径结果堆栈。例如,将c:\A\B\C\D\1.txt中的最后一级文件名“1.txt”压入路径结果堆栈。
204:判断是否能获取该路径的父路径,若是,执行步骤208,否则,执行步骤205。例如,c:\A\B\C\D\1.txt的父路径为c:\A\B\C\D,执行步骤208。若该路径为c:,则c:不存在父路径,直接执行步骤205。此处,c:为上述指定路径的根目录,本实施例提供的查询指定路径的重解析路径的方法需逐级查询,对根目录c:的查询和其它路径的查询方法相同,此处不再赘述。
205:从路径结果堆栈按照先入后出规则依次输出各级目录,得到该指定路径的重解析路径。例如,依次向路径结果堆栈中存储了1.txt、D、C、B、A和c:,则按照先入后出规则依次输出各级目录,可以得到c:\A\B\C\D\1.txt。
若202中查询该路径的文件对象的属性值存在重解析点标记位,则执行206,其中,206:根据该文件对象查询一次重解析定向解析后的路径,207:针对重定向解析后的路径进行重定向解析查询,返回步骤202,重新进行查询重解析路径。
若204中判断能获取该路径的父路径,则执行208,其中,208:针对父路径继续进行重定向解析查询,返回步骤202,重新进行查询重解析路径。
例如,查询c:\A\B\C\D\1.txt,当查询到c:\A\B\C\D\1.txt的文件对象属性值不包括重解析点标记位,则将1.txt存储到路径结果堆栈,对c:\A\B\C\D进行查询。查询到c:\A\B\C\D→c:\E\F\G\H,则c:\A\B\C\D重解析后的路径为c:\E\F\G\H,再对c:\E\F\G\H进行查询,例如,c:\E\F\G\H→c:\I\J\K\L,则再查询c:\I\J\K\L的重解析后路径。当查询到c:\I\J\K\L的文件对象属性值不包括重解析点标记位,则将L存储到路径结果堆栈,对c:\I\J\K进行查询,直到查询到不包含重解析点标记位的最后一级目录(根路径)后,根据从路径结果堆栈输出的文件名称得到指定路径的重解析路径。
本实施例提供了一种对安全软件进行保护的方法,该方法对通过预设重解析规则对第一存储路径进行重解析进行限定,通过本实施例提供的逐级查询的方法和最大匹配路径的方法,能够快速准确的查询到任一第一存储路径的重解析路径。
更进一步地,在上述各实施例的基础上,还包括:
存储删除所述第二存储路径对应的键值的操作记录,并发出删除所述第二存储路径对应的键值的提示信息。
清除键值后,对清除键值的操作记录进行存储,以便能够随时查询到键值的修改操作,以及对该修改操作的处理。提示信息可以通过浮窗的形式弹出,本实施例对此不做具体限制。
监测到创建重解析点的操作后,由于不能确定该重解析点是对注册表的哪一个键值中欲被替换或者删除的文件的第一存储路径创建的重解析点,因此需要查询键值中欲被替换或者删除的全部存储路径的最终重解析路径,若其中某个重解析路径是安全软件的组件存储路径,则清除该重解析路径对应的键值。
例如,文件过滤驱动监测到创建重解析点的操作后,获取注册表键值中所有欲被替换或者删除的第一存储路径,对每一第一存储路径进行重解析,判断重解析路径中是否存在安全软件组件的存储路径,将属于安全软件组件存储路径的重解析路径对应的键值删除。比如,监测到创建重解析点C→B,获取所有第一存储路径,对每一第一存储路径重解析后判定C对应的重解析路径B为安全软件组件对应的存储路径。获取将与B对应的第一存储路径C所在的键值清除。
本实施例提供了一种对安全软件进行保护的方法,该方法在删除对安全软件的组件存在威胁的键值后,对相应的操作进行记录并发出提示信息,以便工作人员能够随时查询相关操作。
更进一步地,在上述各实施例的基础上,还包括:
所述操作系统启动后,若监测到对所述注册表中的键值进行修改的第二操作,则获取修改后键值中欲被替换或者删除的第三存储路径,判断所述第三存储路径是否为所述安全软件的组件对应的存储路径,若是,拦截所述第二操作,否则,对所述第一操作进行监测。
第二操作即对注册表进行修改的操作,安全软件在监测到第二操作后,判断该操作是否对自身组件产生威胁,若是,则拦截该操作,即清除修改的键值,否则,不进行拦截,而对创建重解析点的操作进行监测,以防止通过重解析点使得对注册表的修改威胁到安全软件的组件。
本实施例提供了一种对安全软件进行保护的方法,该方法对键值的修改进行监测,以及时清除对安全软件的组件产生威胁的键值,避免安全软件遭到恶意攻击。
具体来说,Windows系统上为替换正在使用的文件设计有一个重启替换机制,只要是拥有管理员权限的用户,即可通过程序传入MOVEFILE_DELAY_UNTIL_REBOOT|MOVEFILE_REPLACE_EXI STING参数调用MoveFileEx API或者注册表,填写HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager的PendingFileRenameOperations键值,可在操作系统下次启动时进行同一盘符下的文件替换。一般安全软件利用文件过滤驱动保护自己的组件不被其它程序修改,但是这个重启替换机制发生在系统正式的文件系统驱动加载之前,所以一般的杀软会拦截对该注册表字段的修改操作环节,防止设置上替换自身组件的操作。
然而,攻击者利用NTFS的重解析点机制,在设置重启替换操作时把替换目标指向一个不存在的路径,杀软拦截到这一设置操作并没有认定成威胁而拦截,随后攻击者创建NTFS重解析点将之前设定的不存在目标路径指向到杀软组件,随后重启完成对杀毒组建的劫持或破坏。
为了应对以上的劫持方法,在NTFS盘符的Win系统上我们进行安全软件/杀软开发,应该不只过滤对该注册表路径设置的修改操作,还要在文件过滤驱动中监视设置重解析点的操作行为,每次监视到成功设置重解析点的操作,立即检测注册表中重启替换的PendingFileRenameOperations键值,验证目标路径(第一存储路径)的重定向解析后路径(重解析路径),发现威胁项立即清除。
图3示出了本发明的实施例提供的一种对安全软件进行保护的装置的结构框图,参见图3,本实施例提供的一种对安全软件进行保护的装置,包括获取模块301、重解析模块302和处理模块303,其中,
判断模块301,用于操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;
重解析模块302,用于通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;
处理模块303,用于判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;
其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
本实施例提供的对安全软件进行保护的装置适用于上述实施例中提供的对安全软件进行保护的方法,在此不再赘述。
本发明的实施例提供了一种对安全软件进行保护的装置,该装置在操作系统启动后,对注册表的修改进行监测的同时,还对是否创建重解析点进行监测,当监测到创建重解析点的第一操作,则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径,得到每一第一存储路径对应的重解析路径,若重解析路径中存在安全软件的组件对应的存储路径,则获取对应于该重解析路径的第二存储路径,清除该第二存储路径对应的键值。该装置通过对创建重解析点的监测,避免了通过操作系统的重启替换机制,先对注册表进行对安全软件无威胁的修改,再通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生,有效制止了通过重启替换机制对安全软件组件和操作系统带来的安全隐患。
第三方面,图4是示出本实施例提供的电子设备的结构框图。
参照图4,所述电子设备包括:包括:处理器(processor)401、存储器(memory)402和总线403;
其中,
所述处理器401、存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
第四方面,本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。
Claims (10)
1.一种对安全软件进行保护的方法,其特征在于,包括:
操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;
通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;
判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;
其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
2.根据权利要求1所述的方法,其特征在于,通过预设重解析规则对任一第一存储路径进行重解析,得到重解析路径,包括:
将任一所述第一存储路径标记为待查询路径,循环执行路径解析操作,直到将最新标记的待查询路径中的所有文件名存储到路径结果堆栈中;
输出所述路径结果堆栈中存储的文件名,得到所述重解析路径;
其中,所述路径解析操作,包括:
获取最新标记的待查询路径,作为目标查询路径,获取所述目标查询路径对应的文件对象的属性值,判断文件对象的属性值中是否存在重解析点标记位;
若所述文件对象的属性值中存在重解析点标记位,根据所述文件对象获取所述目标查询路径重定向解析后的路径,作为第一查询存储路径,将所述第一查询存储路径标记为待查询路径;
若所述文件对象的属性值中不存在重解析点标记位,则将所述目标查询路径的最后一级文件名存储到所述路径结果堆栈中,判断所述目标查询路径是否存在父路径,若存在,将所述目标查询路径的父路径标记为待查询路径,否则,将所述目标查询路径中的文件名存储到所述路径结果堆栈中。
3.根据权利要求1所述的方法,其特征在于,还包括:
存储删除所述第二存储路径对应的键值的操作记录,并发出删除所述第二存储路径对应的键值的提示信息。
4.根据权利要求1所述的方法,其特征在于,还包括:
所述操作系统启动后,若监测到对所述注册表中的键值进行修改的第二操作,则获取修改后键值中欲被替换或者删除的第三存储路径,判断所述第三存储路径是否为所述安全软件的组件对应的存储路径,若是,拦截所述第二操作,否则,对所述第一操作进行监测。
5.一种对安全软件进行保护的装置,其特征在于,包括:
获取模块,用于操作系统启动后,若监测到创建重解析点的第一操作,则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径;
重解析模块,用于通过预设重解析规则对每一第一存储路径进行重解析,得到重解析路径;
处理模块,用于判断重解析路径中是否存在属于欲排查路径的存储路径,若是,则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径,删除所述第二存储路径对应的键值;
其中,所述欲排查路径为所述操作系统的安全软件的组件对应的存储路径。
6.根据权利要求5所述的装置,其特征在于,所述重解析模块还用于:
将任一所述第一所述第一存储路径标记为待查询路径,循环执行路径解析操作,直到将最新标记的待查询路径中的所有文件名存储到路径结果堆栈中;
输出所述路径结果堆栈中存储的文件名,得到所述重解析路径;
其中,所述路径解析操作,包括:
获取最新标记的待查询路径,作为目标查询路径,获取所述目标查询路径对应的文件对象的属性值,判断文件对象的属性值中是否存在重解析点标记位;
若所述文件对象的属性值中存在重解析点标记位,根据所述文件对象获取所述目标查询路径重定向解析后的路径,作为第一查询存储路径,将所述第一查询存储路径标记为待查询路径;
若所述文件对象的属性值中不存在重解析点标记位,则将所述目标查询路径的最后一级文件名存储到所述路径结果堆栈中,判断所述目标查询路径是否存在父路径,若存在,将所述目标查询路径的父路径标记为待查询路径,否则,将所述目标查询路径中的文件名存储到所述路径结果堆栈中。
7.根据权利要求5所述的装置,其特征在于,所述处理模块还用于存储删除所述第二存储路径对应的键值的操作记录,并发出删除所述第二存储路径对应的键值的提示信息。
8.根据权利要求5所述的装置,其特征在于,所述获取模块还用于所述操作系统启动后,若监测到对所述注册表中的键值进行修改的第二操作,则获取修改后键值中欲被替换或者删除的第三存储路径,判断所述第三存储路径是否为所述安全软件的组件对应的存储路径,若是,拦截所述第二操作,否则,对所述第一操作进行监测。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至4中任一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810150230.4A CN108304699B (zh) | 2018-02-13 | 2018-02-13 | 一种对安全软件进行保护的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810150230.4A CN108304699B (zh) | 2018-02-13 | 2018-02-13 | 一种对安全软件进行保护的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108304699A true CN108304699A (zh) | 2018-07-20 |
CN108304699B CN108304699B (zh) | 2020-07-14 |
Family
ID=62865406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810150230.4A Active CN108304699B (zh) | 2018-02-13 | 2018-02-13 | 一种对安全软件进行保护的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108304699B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112579330A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 操作系统异常数据的处理方法、装置及设备 |
CN116112296A (zh) * | 2023-04-13 | 2023-05-12 | 中保网盾(天津)科技有限公司 | 一种视频会议数据智能保护管理方法、系统及其存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050033932A1 (en) * | 2001-02-15 | 2005-02-10 | Microsoft Corporation | System and method for data migration |
CN102197374A (zh) * | 2008-10-24 | 2011-09-21 | 思杰系统有限公司 | 用于在组合的计算环境中给可修改的机器基本映像提供个性化桌面环境的方法和系统 |
CN102754073A (zh) * | 2010-02-05 | 2012-10-24 | 微软公司 | 用于虚拟化的扩展点声明性注册 |
US9244932B1 (en) * | 2013-01-28 | 2016-01-26 | Symantec Corporation | Resolving reparse point conflicts when performing file operations |
CN105868625A (zh) * | 2016-06-22 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截文件被重启删除的方法及装置 |
CN105893847A (zh) * | 2016-04-22 | 2016-08-24 | 北京金山安全软件有限公司 | 一种保护安全防护应用程序文件的方法、装置及电子设备 |
CN105930739A (zh) * | 2016-04-14 | 2016-09-07 | 北京金山安全软件有限公司 | 一种防止文件被删除的方法及终端 |
-
2018
- 2018-02-13 CN CN201810150230.4A patent/CN108304699B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050033932A1 (en) * | 2001-02-15 | 2005-02-10 | Microsoft Corporation | System and method for data migration |
CN102197374A (zh) * | 2008-10-24 | 2011-09-21 | 思杰系统有限公司 | 用于在组合的计算环境中给可修改的机器基本映像提供个性化桌面环境的方法和系统 |
CN103810012A (zh) * | 2008-10-24 | 2014-05-21 | 思杰系统有限公司 | 用于在组合的计算环境中给可修改的机器基本映像提供个性化桌面环境的方法和系统 |
CN102754073A (zh) * | 2010-02-05 | 2012-10-24 | 微软公司 | 用于虚拟化的扩展点声明性注册 |
US9244932B1 (en) * | 2013-01-28 | 2016-01-26 | Symantec Corporation | Resolving reparse point conflicts when performing file operations |
US9361328B1 (en) * | 2013-01-28 | 2016-06-07 | Veritas Us Ip Holdings Llc | Selection of files for archival or deduplication |
CN105930739A (zh) * | 2016-04-14 | 2016-09-07 | 北京金山安全软件有限公司 | 一种防止文件被删除的方法及终端 |
CN105893847A (zh) * | 2016-04-22 | 2016-08-24 | 北京金山安全软件有限公司 | 一种保护安全防护应用程序文件的方法、装置及电子设备 |
CN105868625A (zh) * | 2016-06-22 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截文件被重启删除的方法及装置 |
Non-Patent Citations (1)
Title |
---|
杨小小: "《在重启中被替换的键值》", 《办公设备与耗材》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112579330A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 操作系统异常数据的处理方法、装置及设备 |
CN112579330B (zh) * | 2019-09-30 | 2024-02-06 | 奇安信安全技术(珠海)有限公司 | 操作系统异常数据的处理方法、装置及设备 |
CN116112296A (zh) * | 2023-04-13 | 2023-05-12 | 中保网盾(天津)科技有限公司 | 一种视频会议数据智能保护管理方法、系统及其存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108304699B (zh) | 2020-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3555789B1 (en) | Intelligent backup and versioning | |
EP2452287B1 (en) | Anti-virus scanning | |
US7269851B2 (en) | Managing malware protection upon a computer network | |
EP3120279B1 (en) | Integrity assurance and rebootless updating during runtime | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
US7475427B2 (en) | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network | |
JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
US10462160B2 (en) | Method and system for identifying uncorrelated suspicious events during an attack | |
CN111819556A (zh) | 容器逃逸检测方法、装置、系统及存储介质 | |
US10579796B1 (en) | Systems and methods of detecting malicious powershell scripts | |
US9740865B2 (en) | System and method for configuring antivirus scans | |
US20060161979A1 (en) | Scriptable emergency threat communication and mitigating actions | |
CN108304699B (zh) | 一种对安全软件进行保护的方法及装置 | |
KR101974989B1 (ko) | 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치 | |
CN108363931B (zh) | 一种对隔离区文件进行还原的方法及装置 | |
JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
US20170171224A1 (en) | Method and System for Determining Initial Execution of an Attack | |
CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
CN103679024B (zh) | 病毒的处理方法及设备 | |
CN112235304A (zh) | 一种工业互联网的动态安全防护方法和系统 | |
US10783249B2 (en) | Root virus removal method and apparatus, and electronic device | |
JP6885255B2 (ja) | フロー生成プログラム、フロー生成装置及びフロー生成方法 | |
KR101183083B1 (ko) | 시그니처 데이터베이스 업데이트 시스템 및 방법과 클라이언트 단말기의 데이터베이스 업데이트 장치 | |
CN111092886B (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
CN109784037B (zh) | 文档文件的安全防护方法及装置、存储介质、计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |