CN111158736B - 一种智能捕获windows操作系统补丁更新文件的方法 - Google Patents

一种智能捕获windows操作系统补丁更新文件的方法 Download PDF

Info

Publication number
CN111158736B
CN111158736B CN201911360091.9A CN201911360091A CN111158736B CN 111158736 B CN111158736 B CN 111158736B CN 201911360091 A CN201911360091 A CN 201911360091A CN 111158736 B CN111158736 B CN 111158736B
Authority
CN
China
Prior art keywords
patch
file
update
updating
capturing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911360091.9A
Other languages
English (en)
Other versions
CN111158736A (zh
Inventor
关勇
郭浩波
解孝放
张晓东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Luoan Technology Co Ltd
Original Assignee
Beijing Luoan Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Luoan Technology Co Ltd filed Critical Beijing Luoan Technology Co Ltd
Priority to CN201911360091.9A priority Critical patent/CN111158736B/zh
Publication of CN111158736A publication Critical patent/CN111158736A/zh
Application granted granted Critical
Publication of CN111158736B publication Critical patent/CN111158736B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/658Incremental updates; Differential updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种智能捕获WINDOWS操作系统补丁更新文件的方法,包括以下步骤:捕获补丁更新包,并将获取的补丁更新包列表中的EXE升级包添加到补丁更新追踪队列;通过补丁更新追踪队列标记补丁更新进程;捕获更新程序的文件更新操作;捕获重启替换任务信息;根据捕获的信息,检查每一个待更新文件的签名信息;判断所述签名信息是否为微软签名,若是,则计算文件的HASH值,并更新到白名单列表中;否则,忽略该文件。本发明实现了白名单管控模式下,Windows系统补丁更新时,系统更新文件的自动捕获与添加白名单,保障系统补丁更新机制的正常运行,减少操作系统自身的漏洞。白名单更新过程仅针对修改的文件,极大提升了手工模式下的更新效率。

Description

一种智能捕获WINDOWS操作系统补丁更新文件的方法
技术领域
本发明涉及计算机技术领域,更具体的说是涉及一种智能捕获WINDOWS操作系统补丁更新文件的方法。
背景技术
目前,随着工业互联网、物联网、云计算、移动互联网等技术的深入发展,IT与OT加速融合,工业网络逐渐由封闭走向开放,网络安全威胁全面向工业环境渗透,工业网络安全问题日益凸显,与大众日常生活息息相关的能源通信、生产制造等重要领域频繁遭受安全攻击。工业网络环境中的工程师站、操作员站、数据服务器等关键设施,是安全攻击的重点目标,著名的“震网”、“勒索”、“挖矿”等病毒都是以工业终端为目标,给工业生产造成了巨大的损失。
传统的杀毒软件是防范终端病毒木马的一种有效手段,但它对于系统内存资源、CPU资源的占用比较高,非常影响老旧的工业终端设备的运行效率;另外,工业环境以可用性为第一诉求,杀毒软件的潜在误杀行为会对工业生产造成严重的挑战。再者,工业生产环境相对孤立,杀毒软件的病毒库更新会严重滞后,往往难以检测新的病毒木马。
为了应对这种安全威胁,业界推出了应用白名单技术,以严格的程序准入方式来固化工业终端的运行环境,默认拦截一切未知可执行程序和脚本的执行,可有效抵御已知和未知的恶意代码,保障工业主机的安全。
但是,应用白名单管控技术之后,操作系统自身的补丁更新机制无法运行了。因为,补丁更新包要更新的文件都是白名单所不认识的,自然无法执行,这给实际的工业生产环境造成了不小的困扰。
目前,各安全厂商应对系统补丁更新的办法,采取的是人工处理方式,基本步骤是:1)暂停白名单管控机制;2)执行系统补丁更新操作;3)重新扫描本地的二进制程序,构建白名单;4)开启白名单管控。这种方法一需要人工介入;二需要重复扫描所有的文件,效率低下;三要暂停白名单保护机制,为非法程序的运行提供可乘之机。
因此,如何提供一种智能捕获WINDOWS操作系统补丁更新文件的方法是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种智能捕获WINDOWS操作系统补丁更新文件的方法。
为了实现上述目的,本发明采用如下技术方案:
一种智能捕获WINDOWS操作系统补丁更新文件的方法,所述方法包括以下步骤:
步骤一、捕获补丁更新包,存储在补丁更新包列表中,并将获取的补丁更新包列表中的EXE升级包添加到补丁更新追踪队列;
步骤二、基于补丁更新追踪队列,标记补丁更新进程;
步骤三、捕获更新程序的文件更新操作;
步骤四、捕获重启替换任务信息;
步骤五、根据捕获的信息,检查每一个待更新文件的签名信息;
步骤六、判断所述签名信息是否为微软签名,若是,则计算文件的HASH值,并更新到白名单列表中;否则,忽略该文件。
优选的,所述步骤一之前包括:补丁更新程序启动更新检查,下载补丁更新包列表。
优选的,所述步骤一包括补丁更新程序调度并运行EXE类型更新程序或MSU类型更新程序。
优选的,所述步骤二包括:所述更新进程包括EXE类型的更新进程或MSU类型的更新进程。
优选的,所述步骤三包括:所述文件更新操作包括新建和重命名操作。
优选的,所述步骤四包括:补丁更新程序将待更新文件存放在固定位置,设置重启替换任务信息,文件系统监控程序捕获所述重启替换任务信息,等待执行重启替换任务。
优选的,所述重启替换任务信息包含待更新文件的当前存放路径、重启后所述待更新文件存放的位置。
优选的,所述一种智能捕获WINDOWS操作系统补丁更新文件的方法的实现方式通过文件系统监控程序捕获控制实现。
现有技术中,专利公开号为CN101788915A的专利基于可信进程树的白名单更新方法提出一种基于可信进程树的白名单更新方法,该方法可有效用于单一安装程序进行软件更新的场景,但系统补丁更新机制是多进程协同进行的,而且,操作系统文件一般处于使用状态,很多情况下都需要重启更新才能生效。该方法并不能解决系统补丁更新场景下的白名单更新问题。专利公开号为CN105183504A的基于软件服务器的进程白名单更新方法,提供了一种通过软件服务器捕获软件更新信息,并分享给所有使用者的方案,并不能解决本机的补丁更新问题。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种智能捕获WINDOWS操作系统补丁更新文件的方法,通过文件系统监控程序捕获补丁更新服务下载的文件,并将EXE升级包添加到补丁更新追踪队列;在补丁更新服务启动更新程序时,基于补丁更新追踪队列,标记更新进程;文件系统监控程序捕获更新进程的新建和重命名操作;文件系统监控程序捕获更新程序设置的重启替换任务信息;文件系统监控程序根据捕获的信息,检查每一个待更新文件的签名信息;对于微软签名的更新文件,计算文件的HASH值,并更新到白名单列表中。其中,补丁更新流程包括:补丁更新服务启动更新检查;下载待更新补丁文件列表;启动EXE更新程序或启动MSU更新程序;执行更新;判断是否需要重启替换;如需要重启替换,则设置重启替换任务,完成补丁更新,按需要重启;如不需要重启替换,则完成补丁更新。本发明实现了白名单管控模式下,Windows系统补丁更新时,系统更新文件的自动捕获与添加白名单,保障系统补丁更新机制的正常运行,减少操作系统自身的漏洞;白名单更新过程仅针对修改的文件,极大提升了手工模式下的更新效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1附图为本发明提供的更新捕获程序流程图。
图2附图为本发明提供的补丁更新程序流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种智能捕获WINDOWS操作系统补丁更新文件的方法,所述方法包括以下步骤:
步骤一、捕获补丁更新包,存储在补丁更新包列表中,并将获取的补丁更新包列表中的EXE升级包添加到补丁更新追踪队列;
步骤二、基于补丁更新追踪队列,标记补丁更新进程;
步骤三、捕获更新程序的文件更新操作;
步骤四、捕获重启替换任务信息;
步骤五、根据捕获的信息,检查每一个待更新文件的签名信息;
步骤六、判断签名信息是否为微软签名,若是,则计算文件的HASH值,并更新到白名单列表中;否则,忽略该文件。
为了进一步优化上述技术方案,步骤一之前包括:补丁更新程序启动更新检查,下载补丁更新包列表。
为了进一步优化上述技术方案,步骤一包括补丁更新程序调度并运行EXE类型更新程序或MSU类型更新程序。
为了进一步优化上述技术方案,所述步骤二包括:所述更新进程包括EXE类型的更新进程或MSU类型的更新进程。
为了进一步优化上述技术方案,步骤三包括:文件更新操作包括新建和重命名操作。
为了进一步优化上述技术方案,步骤四包括:补丁更新程序将待更新文件存放在固定位置,设置重启替换任务信息,文件系统监控程序捕获重启替换任务信息,等待执行重启替换任务。
为了进一步优化上述技术方案,重启替换任务信息包含待更新文件的当前存放路径、重启后待更新文件存放的位置。
为了进一步优化上述技术方案,一种智能捕获WINDOWS操作系统补丁更新文件的方法的实现方式通过文件系统监控程序捕获控制实现。
8、本发明公开提供了一种智能捕获WINDOWS操作系统补丁更新文件的方法,通过文件系统监控程序捕获补丁更新程序下载的补丁更新包列表,并将EXE升级包添加到补丁更新追踪队列;在补丁更新程序调度并运行EXE类型更新程序或MSU类型更新程序时,基于补丁更新追踪队列,标记更新进程;文件系统监控程序捕获更新进程的新建和重命名操作;补丁更新程序将待更新文件存放在固定位置,设置重启替换任务信息,文件系统监控程序捕获所述重启替换任务信息,等待执行重启替换任务;文件系统监控程序根据捕获的信息,检查每一个待更新文件的签名信息;对于微软签名的更新文件,计算文件的HASH值,并更新到白名单列表中。其中,补丁更新流程如图二所示,包括:补丁更新服务程序启动更新检查;下载待更新补丁文件列表;启动EXE更新程序或启动MSU更新程序;执行更新;判断是否需要重启替换;如需要重启替换,则设置重启替换任务,完成补丁更新,按需要重启;如不需要重启替换,则完成补丁更新。本发明实现了白名单管控模式下,Windows系统补丁更新时,系统更新文件的自动捕获与添加白名单,保障系统补丁更新机制的正常运行,减少操作系统自身的漏洞;白名单更新过程仅针对修改的文件,极大提升了手工模式下的更新效率。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (5)

1.一种智能捕获WINDOWS操作系统补丁更新文件的方法,其特征在于,所述方法包括以下步骤:
步骤一、补丁更新程序启动更新检查,下载补丁更新包列表;之后,捕获补丁更新包、通过文件系统监控程序捕获补丁更新服务下载的文件,存储在补丁更新包列表中,并将获取的补丁更新包列表中的EXE升级包添加到补丁更新追踪队列;补丁更新程序调度并运行EXE类型更新程序或MSU类型更新程序;
步骤二,在补丁更新服务启动更新程序时,基于补丁更新追踪队列,标记更新进程;所述更新进程包括EXE类型的更新进程或MSU类型的更新进程;
步骤三、捕获更新程序的文件更新操作;
步骤四、捕获重启替换任务信息;
步骤五、根据捕获的信息,检查每一个待更新文件的签名信息;
步骤六、判断所述签名信息是否为微软签名,若是,则计算文件的HASH值,并更新到白名单列表中;否则,忽略该文件。
2.根据权利要求1所述的一种智能捕获WINDOWS操作系统补丁更新文件的方法,其特征在于,所述步骤三包括:所述文件更新操作包括新建和重命名操作。
3.根据权利要求1所述的一种智能捕获WINDOWS操作系统补丁更新文件的方法,其特征在于,所述步骤四包括:补丁更新程序将待更新文件存放在固定位置,设置重启替换任务信息,文件系统监控程序捕获所述重启替换任务信息,等待执行重启替换任务。
4.根据权利要求1所述的一种智能捕获WINDOWS操作系统补丁更新文件的方法,其特征在于,所述重启替换任务信息包含待更新文件的当前存放路径、重启后所述待更新文件存放的位置。
5.根据权利要求1所述的一种智能捕获WINDOWS操作系统补丁更新文件的方法,其特征在于,所述一种智能捕获WINDOWS操作系统补丁更新文件的方法的实现方式通过文件系统监控程序捕获控制实现。
CN201911360091.9A 2019-12-25 2019-12-25 一种智能捕获windows操作系统补丁更新文件的方法 Active CN111158736B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911360091.9A CN111158736B (zh) 2019-12-25 2019-12-25 一种智能捕获windows操作系统补丁更新文件的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911360091.9A CN111158736B (zh) 2019-12-25 2019-12-25 一种智能捕获windows操作系统补丁更新文件的方法

Publications (2)

Publication Number Publication Date
CN111158736A CN111158736A (zh) 2020-05-15
CN111158736B true CN111158736B (zh) 2023-04-28

Family

ID=70557972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911360091.9A Active CN111158736B (zh) 2019-12-25 2019-12-25 一种智能捕获windows操作系统补丁更新文件的方法

Country Status (1)

Country Link
CN (1) CN111158736B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113220329A (zh) * 2021-05-25 2021-08-06 北京威努特技术有限公司 一种动态跟踪工控软件更新程序白名单库的方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN203377892U (zh) * 2013-07-05 2014-01-01 北京握奇智能科技有限公司 一种安全认证装置
CN106326699A (zh) * 2016-08-25 2017-01-11 广东七洲科技股份有限公司 一种基于文件访问控制和进程访问控制的服务器加固方法
CN107491697A (zh) * 2017-09-29 2017-12-19 南京宏海科技有限公司 基于动态白名单的服务器安全维护方法
CN109697081A (zh) * 2018-12-19 2019-04-30 广州小鹏汽车科技有限公司 固件安全升级方法、装置、车载系统和车辆
CN109784035A (zh) * 2018-12-28 2019-05-21 北京奇安信科技有限公司 一种安装进程的追踪处理方法及装置
WO2019140274A1 (en) * 2018-01-12 2019-07-18 Virsec Systems, Inc. Defending against speculative execution exploits

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10242182B2 (en) * 2009-10-23 2019-03-26 Secure Vector, Llc Computer security system and method
CN105138901B (zh) * 2015-08-03 2018-03-13 浪潮电子信息产业股份有限公司 一种基于白名单的云主机主动防御实现方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN203377892U (zh) * 2013-07-05 2014-01-01 北京握奇智能科技有限公司 一种安全认证装置
CN106326699A (zh) * 2016-08-25 2017-01-11 广东七洲科技股份有限公司 一种基于文件访问控制和进程访问控制的服务器加固方法
CN107491697A (zh) * 2017-09-29 2017-12-19 南京宏海科技有限公司 基于动态白名单的服务器安全维护方法
WO2019140274A1 (en) * 2018-01-12 2019-07-18 Virsec Systems, Inc. Defending against speculative execution exploits
CN109697081A (zh) * 2018-12-19 2019-04-30 广州小鹏汽车科技有限公司 固件安全升级方法、装置、车载系统和车辆
CN109784035A (zh) * 2018-12-28 2019-05-21 北京奇安信科技有限公司 一种安装进程的追踪处理方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Jianke Zhu." Treelets Binary Feature Retrieval for Fast Keypoint Recognition".《IEEE Transactions on Cybernetics》.2015,第45卷(第10期),第2129-2141页. *
韩卓."基于逆向分析的Windows 7安全机制突破方法研究".《中国优秀硕士学位论文全文数据库 信息科技辑》.2012,(2012年第07期),第I139-269页. *

Also Published As

Publication number Publication date
CN111158736A (zh) 2020-05-15

Similar Documents

Publication Publication Date Title
US10713362B1 (en) Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US8769693B2 (en) Trusted installation of a software application
EP3111330B1 (en) System and method for verifying and detecting malware
WO2021077987A1 (zh) 一种安全漏洞的防御方法和设备
US9973531B1 (en) Shellcode detection
US10515214B1 (en) System and method for classifying malware within content created during analysis of a specimen
EP2839406B1 (en) Detection and prevention of installation of malicious mobile applications
US9690606B1 (en) Selective system call monitoring
US8726387B2 (en) Detecting a trojan horse
US7716727B2 (en) Network security device and method for protecting a computing device in a networked environment
CN105183504B (zh) 基于软件服务器的进程白名单更新方法
US10176325B1 (en) System and method for dynamic detection of command and control malware
US20060236393A1 (en) System and method for protecting a limited resource computer from malware
CN104580133A (zh) 恶意程序防护方法与系统及其过滤表格更新方法
US20090228972A1 (en) Port enablement
CN111177706A (zh) 一种基于信任软件库的进程白名单更新方法
US20220207142A1 (en) Zero Dwell Time Process Library and Script Monitoring
US20230275916A1 (en) Detecting malicious activity on an endpoint based on real-time system events
CN111158736B (zh) 一种智能捕获windows操作系统补丁更新文件的方法
CN103139169A (zh) 基于网络行为的病毒检测系统和方法
CN115174192A (zh) 应用安全防护方法及装置、电子设备和存储介质
KR101667117B1 (ko) 운영체제 기반 스미싱 방어 방법 및 장치
US20230259612A1 (en) Exploit detection in a cloud-based sandbox
CN116760819B (zh) 计算机文件网络传送方法、计算机装置和装置介质
GB2611756A (en) Apparatus and method for threat detection in a device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant