CN111400674A - 一种基于Hook技术的安全软件自我防护方法及装置 - Google Patents
一种基于Hook技术的安全软件自我防护方法及装置 Download PDFInfo
- Publication number
- CN111400674A CN111400674A CN202010171239.0A CN202010171239A CN111400674A CN 111400674 A CN111400674 A CN 111400674A CN 202010171239 A CN202010171239 A CN 202010171239A CN 111400674 A CN111400674 A CN 111400674A
- Authority
- CN
- China
- Prior art keywords
- monitored object
- illegal
- hook
- self
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 93
- 238000005516 engineering process Methods 0.000 title claims abstract description 51
- 238000012544 monitoring process Methods 0.000 claims abstract description 28
- 238000012986 modification Methods 0.000 claims description 30
- 230000004048 modification Effects 0.000 claims description 30
- 238000012217 deletion Methods 0.000 claims description 29
- 230000037430 deletion Effects 0.000 claims description 29
- 238000011084 recovery Methods 0.000 claims description 17
- 230000000737 periodic effect Effects 0.000 claims description 11
- 230000000694 effects Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000000903 blocking effect Effects 0.000 description 9
- 238000012550 audit Methods 0.000 description 5
- 239000000126 substance Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供一种基于Hook技术的安全软件自我防护方法及装置。所述方法包括由安装在安全软件中的自我防护程序单元利用预设的Hook钩子技术对预设的监控对象进行实时监控;若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作,本发明实施例通过预先安装在安全软件中的自我防护程序单元采用Hook技术对监控对象进行监控,并在判定存在非法操作时,对所述非法操作采取阻止操作,从而实现了对所述安全软件的自我防护,提高了用户终端的安全环境。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于Hook技术的安全软件自我防护方法及装置。
背景技术
windows安全软件保护终端用户电脑pc的软件环境,让pc免受病毒侵害,同时防止涉密部门pc将机密外泄,安全软件一旦被破坏,终端用户的软件环境就没有任何保障,这是绝不允许的。
当今很多安全软件对自身的保护不够,当自己软件的注册表和二进制文件被修改,进程被杀掉,就会造成安全软件运行异常。
发明内容
由于现有方法存在上述问题,本发明实施例提供一种基于Hook技术的安全软件自我防护方法及装置。
第一方面,本发明实施例提供了一种基于Hook技术的安全软件自我防护方法,包括:
由安装在安全软件中的自我防护程序单元利用预设的Hook钩子技术对预设的监控对象进行实时监控;
若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。
进一步地,所述基于Hook技术的安全软件自我防护方法,还包括:
对所述监控对象执行预设的定期扫描程序;
若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序。
进一步地,所述基于Hook技术的安全软件自我防护方法,还包括:
记录所述阻止操作,并发送给审计平台进行审计。
进一步地,所述若判定存在对所述监控对象的非法操作,则阻止所述非法操作,具体包括:
对于所述监控对象为注册表,若判定存在对所述注册表的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为文件,若判定存在对所述文件的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为进程,若判定存在对所述进程的非法终止操作,则在生效前阻止所述非法终止操作。
进一步地,所述若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序,具体包括:
对于所述监控对象为注册表,若判定所述注册表已经被非法修改或删除,则恢复所述注册表;
对于所述监控对象为文件,若判定所述文件已经被非法修改或删除,则从预先保存的备份文件中恢复所述文件;
对于所述监控对象为进程,若判定所述进程已经被非法终止,则重启所述进程。
第二方面,本发明实施例提供了一种基于Hook技术的安全软件自我防护装置,包括:
Hook监控模块,用于利用预设的Hook钩子技术对预设的监控对象进行实时监控;
Hook执行模块,用于若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。
进一步地,所述基于Hook技术的安全软件自我防护装置,还包括:
定期扫描模块,用于对所述监控对象执行预设的定期扫描程序;
对象恢复模块,用于若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序。
进一步地,所述基于Hook技术的安全软件自我防护装置,还包括:
数据审计模块,用于记录所述阻止操作,并发送给审计平台进行审计。
第三方面,本发明实施例还提供了一种电子设备,包括:
处理器、存储器、通信接口和通信总线;其中,
所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信;
所述通信接口用于该电子设备的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述程序指令能够执行如下方法:
由安装在安全软件中的自我防护程序单元利用预设的Hook钩子技术对预设的监控对象进行实时监控;
若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:
由安装在安全软件中的自我防护程序单元利用预设的Hook钩子技术对预设的监控对象进行实时监控;
若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。
本发明实施例提供的基于Hook技术的安全软件自我防护方法及装置,通过预先安装在安全软件中的自我防护程序单元采用Hook技术对监控对象进行监控,并在判定存在非法操作时,对所述非法操作采取阻止操作,从而实现了对所述安全软件的自我防护,提高了用户终端的安全环境。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的基于Hook技术的安全软件自我防护方法流程图;
图2为本发明实施例的另一基于Hook技术的安全软件自我防护方法流程图;
图3为本发明实施例的又一基于Hook技术的安全软件自我防护方法流程图;
图4为本发明实施例的基于Hook技术的安全软件自我防护系统结构示意图;
图5为本发明实施例的基于Hook技术的安全软件自我防护装置结构示意图;
图6为本发明实施例的另一基于Hook技术的安全软件自我防护装置结构示意图;
图7为本发明实施例的又一基于Hook技术的安全软件自我防护装置结构示意图;
图8示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的基于Hook技术的安全软件自我防护方法流程图,如图1所示,
步骤S01、由安装在安全软件中的自我防护程序单元利用预设的Hook钩子技术对预设的监控对象进行实时监控。
在windows安全软件中预先设置自我防护程序单元,与所述安全软件共同安装到用户终端pc上。
该自我防护程序单元采用了Hook技术,对预先确定的监控对象进行实时监控。所述监控对象可以根据实际的需要进行设定,可以包括注册表、文件和进程等不同的类型。
步骤S02、若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。
若所述自我防护程序单元在对监控对象的监控过程中,发觉存在对所述监控对象的非法操作,例如,对任一监控对象的非法修改或者非法删除操作等,则对所述非法操作执行预设的阻止操作,即在该非法操作生效前阻止该非法操作,以此来保护所述监控对象。
进一步地,所述步骤S02具体包括:
对于所述监控对象为注册表,若判定存在对所述注册表的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为文件,若判定存在对所述文件的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为进程,若判定存在对所述进程的非法终止操作,则在生效前阻止所述非法终止操作。
针对所述自我防护程序单元预先设置的不同的监控对象,存在不同的非法操作。
对于注册表,其对应的非法操作为非法修改或删除操作,因此,当所述自我防护程序单元判定存在针对注册表的非法修改或删除操作时,阻止该非法修改或删除操作的生效。
对于文件,其对应的非法操作为非法修改或删除操作,因此,当所述自我防护程序单元判定存在针对文件的非法修改或删除操作时,阻止该非法修改或删除操作的生效。
对于进程,其对应的非法操作为非法终止操作,因此,当所述自我防护程序单元判定存在针对进程的非法终止操作时,阻止该非法终止操作的生效。
本发明实施例通过预先安装在安全软件中的自我防护程序单元采用Hook技术对监控对象进行监控,并在判定存在非法操作时,对所述非法操作采取阻止操作,从而实现了对所述安全软件的自我防护,提高了用户终端的安全环境。
图2为本发明实施例的另一基于Hook技术的安全软件自我防护方法流程图,如图2所示,在所述步骤S02之后,所述方法还包括:
步骤S03、对所述监控对象执行预设的定期扫描程序。
步骤S04、若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序。
由于所述自我防护程序单元并不能预先设置针对所述监控对象的所有攻击手段,从而阻止针对所述监控对象的每一次非法操作,因此,为了能够进一步对所述监控对象进行自我防护,所述自我防护程序单元还会对所述监控对象进行定期地扫描程序。所述定期扫描程序可以由所述自我防护程序单元在所述安全软件的运行过程中全程对各监控对象执行,也可以是在所述自我防护程序单元成功阻止了针对所述监控对象的非法操作后再开启。
在对所述监控对象进行扫描后,若所述自我防护程序单元发觉所述监控对象的运行状态发生非法的转变,则可判定针对所述监控对象的非法操作已经生效,此时,所述自我防护程序单元将执行对该监控对象的恢复程序,以使其恢复到所述非法操作生效前的运行状态或初始的运行状态。
进一步地,所述步骤S04具体包括:
对于所述监控对象为注册表,若判定所述注册表已经被非法修改或删除,则恢复所述注册表;
对于所述监控对象为文件,若判定所述文件已经被非法修改或删除,则从预先保存的备份文件中恢复所述文件;
对于所述监控对象为进程,若判定所述进程已经被非法终止,则重启所述进程。
针对不同的监控对象,其对应的恢复程序也不同。
对于注册表,若所述自我防护程序单元发觉该注册表已经被非法修改或删除,则判定对应的非法操作已经生效,此时,所述自我防护程序单元对该注册表执行对应的恢复程序,使所述注册表恢复到对应的非法操作生效前的运行状态或初始的运行状态。
对于文件,所述自我防护程序单元预先设置有备份目录对所述文件进行备份,若所述自我防护程序单元发觉该文件已经被非法修改或删除,则判定对应的非法操作已经生效。此时,所述自我防护程序单元将根据所述备份目录中该文件的备份对该文件执行对应的恢复程序,使所述文件恢复到对应的非法操作生效前的运行状态或初始的运行状态。
对于进程,若所述自我防护程序单元发觉该进程已经被非法终止,则判定对应的非法操作已经生效,此时,所述自我防护程序单元对该进程执行对应的恢复程序,重启该进程,使其恢复到对应的非法操作生效前的运行状态或初始的运行状态。
本发明实施例通过对所述监控对象进行定期扫描,并在判定存在已经生效的非法操作时,对所述监控对象执行恢复程序,从而实现了对所述安全软件的自我防护,提高了用户终端的安全环境。
图3为本发明实施例的又一基于Hook技术的安全软件自我防护方法流程图,图4为本发明实施例的基于Hook技术的安全软件自我防护系统结构示意图,如图3所示,在所述步骤S04后,所述方法还包括:
步骤S05、记录所述阻止操作,并发送给审计平台进行审计。
当所述自我防护程序单元通过执行阻止操作,成功阻止非法操作后,需要将该过程进行记录,保存到本地文件中,并通过网络作为审计信息发送给如图4所示的审计平台,由所述审计平台对所有记录的阻止操作进行审计和统计。
除了所述阻止操作的执行记录外,所述审计信息还可以包括各恢复程序的执行记录。
本发明实施例通过记录阻止操作并发送给审计平台,从而更加有效得对所述自我防护程序单元进行评估和改进,提高了用户终端的安全环境。
图5为本发明实施例的基于Hook技术的安全软件自我防护装置结构示意图,如图5所示,所述装置包括:Hook监控模块10和Hook执行模块11;其中,
所述Hook监控模块10用于利用预设的Hook钩子技术对预设的监控对象进行实时监控;所述Hook执行模块11用于若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。具体地:
在windows安全软件中预先设置自我防护装置,与所述安全软件共同安装到用户终端pc上。
所述自我防护装置的Hook监控模块10采用了Hook技术,对预先确定的监控对象进行实时监控,并将监控结果发送给Hook执行模块11。所述监控对象可以根据实际的需要进行设定,可以包括注册表、文件和进程等不同的类型。
若所述Hook执行模块11在对监控结果的分析中,发觉存在对所述监控对象的非法操作,则对所述非法操作执行预设的阻止操作,即在该非法操作生效前阻止该非法操作,以此来保护所述监控对象。
进一步地,所述Hook执行模块具体用于:
对于所述监控对象为注册表,若判定存在对所述注册表的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为文件,若判定存在对所述文件的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为进程,若判定存在对所述进程的非法终止操作,则在生效前阻止所述非法终止操作。
针对预先设置的不同的监控对象,存在不同的非法操作。
对于注册表,其对应的非法操作为非法修改或删除操作,因此,当所述Hook执行模块11判定存在针对注册表的非法修改或删除操作时,阻止该非法修改或删除操作的生效。
对于文件,其对应的非法操作为非法修改或删除操作,因此,当所述Hook执行模块11判定存在针对文件的非法修改或删除操作时,阻止该非法修改或删除操作的生效。
对于进程,其对应的非法操作为非法终止操作,因此,当所述Hook执行模块11判定存在针对进程的非法终止操作时,阻止该非法终止操作的生效。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过预先安装在安全软件中的自我防护装置采用Hook技术对监控对象进行监控,并在判定存在非法操作时,对所述非法操作采取阻止操作,从而实现了对所述安全软件的自我防护,提高了用户终端的安全环境。
图6为本发明实施例的另一基于Hook技术的安全软件自我防护装置结构示意图,如图6所示,所述装置包括:Hook监控模块10、Hook执行模块11、定期扫描模块12和对象恢复模块13;其中,
所述定期扫描模块12用于对所述监控对象执行预设的定期扫描程序;所述对象恢复模块13用于若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序。具体地:
由于并不能预先设置针对所述监控对象的所有攻击手段,从而阻止针对所述监控对象的每一次非法操作,因此,为了能够进一步对所述监控对象进行自我防护,定期扫描模块12还会对所述监控对象进行定期地扫描程序。所述定期扫描程序可以由所述定期扫描模块12在所述安全软件的运行过程中全程对各监控对象执行,也可以是在所述自我防护程序单元成功阻止了针对所述监控对象的非法操作后再开启。
通过对所述监控对象的扫描结果的进行分析,若对象恢复模块13发觉所述监控对象的运行状态发生非法的转变,则可判定针对所述监控对象的非法操作已经生效,此时,所述对象恢复模块13将执行对该监控对象的恢复程序,以使其恢复到所述非法操作生效前的运行状态或初始的运行状态。
进一步地,所述对象恢复模块13具体用于:
对于所述监控对象为注册表,若判定所述注册表已经被非法修改或删除,则恢复所述注册表;
对于所述监控对象为文件,若判定所述文件已经被非法修改或删除,则从预先保存的备份文件中恢复所述文件;
对于所述监控对象为进程,若判定所述进程已经被非法终止,则重启所述进程。
针对不同的监控对象,其对应的恢复程序也不同。
对于注册表,若所述对象恢复模块13发觉该注册表已经被非法修改或删除,则判定对应的非法操作已经生效,此时,所述对象恢复模块13对该注册表执行对应的恢复程序,使所述注册表恢复到对应的非法操作生效前的运行状态或初始的运行状态。
对于文件,所述对象恢复模块13预先设置有备份目录对所述文件进行备份,若所述对象恢复模块13发觉该文件已经被非法修改或删除,则判定对应的非法操作已经生效。此时,所述对象恢复模块13将根据所述备份目录中该文件的备份对该文件执行对应的恢复程序,使所述文件恢复到对应的非法操作生效前的运行状态或初始的运行状态。
对于进程,若所述对象恢复模块13发觉该进程已经被非法终止,则判定对应的非法操作已经生效,此时,所述对象恢复模块13对该进程执行对应的恢复程序,重启该进程,使其恢复到对应的非法操作生效前的运行状态或初始的运行状态。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过对所述监控对象进行定期扫描,并在判定存在已经生效的非法操作时,对所述监控对象执行恢复程序,从而实现了对所述安全软件的自我防护,提高了用户终端的安全环境。
图7为本发明实施例的又一基于Hook技术的安全软件自我防护装置结构示意图,如图7所示,所述装置包括:Hook监控模块10、Hook执行模块11、定期扫描模块12、对象恢复模块13和数据审计模块14;其中,
所述数据审计模块14用于记录所述阻止操作,并发送给审计平台进行审计。具体地:
当所述Hook执行模块11通过执行阻止操作,成功阻止非法操作后,需要将该过程发送给数据审计模块14进行记录,保存到本地文件中,并通过网络作为审计信息发送给预设的审计平台,由所述审计平台对所有记录的阻止操作进行审计和统计。
除了所述阻止操作的执行记录外,所述数据审计模块14发送的审计信息还可以包括各恢复程序的执行记录。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过记录阻止操作并发送给审计平台,从而更加有效得对所述自我防护程序单元进行评估和改进,提高了用户终端的安全环境。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)801、通信接口(Communications Interface)803、存储器(memory)802和通信总线804,其中,处理器801,通信接口803,存储器802通过通信总线804完成相互间的通信。处理器801可以调用存储器802中的逻辑指令,以执行上述方法。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
进一步地,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
本领域普通技术人员可以理解:此外,上述的存储器802中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于Hook技术的安全软件自我防护方法,其特征在于,包括:
由安装在安全软件中的自我防护程序单元利用预设的Hook钩子技术对预设的监控对象进行实时监控;
若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。
2.根据权利要求1所述的基于Hook技术的安全软件自我防护方法,其特征在于,所述基于Hook技术的安全软件自我防护方法,还包括:
对所述监控对象执行预设的定期扫描程序;
若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序。
3.根据权利要求2所述的基于Hook技术的安全软件自我防护方法,其特征在于,所述基于Hook技术的安全软件自我防护方法,还包括:
记录所述阻止操作,并发送给审计平台进行审计。
4.根据权利要求3所述的基于Hook技术的安全软件自我防护方法,其特征在于,所述若判定存在对所述监控对象的非法操作,则阻止所述非法操作,具体包括:
对于所述监控对象为注册表,若判定存在对所述注册表的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为文件,若判定存在对所述文件的非法修改或删除操作,则在生效前阻止所述非法修改或删除操作;
对于所述监控对象为进程,若判定存在对所述进程的非法终止操作,则在生效前阻止所述非法终止操作。
5.根据权利要求4所述的基于Hook技术的安全软件自我防护方法,其特征在于,所述若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序,具体包括:
对于所述监控对象为注册表,若判定所述注册表已经被非法修改或删除,则恢复所述注册表;
对于所述监控对象为文件,若判定所述文件已经被非法修改或删除,则从预先保存的备份文件中恢复所述文件;
对于所述监控对象为进程,若判定所述进程已经被非法终止,则重启所述进程。
6.一种基于Hook技术的安全软件自我防护装置,其特征在于,包括:
Hook监控模块,用于利用预设的Hook钩子技术对预设的监控对象进行实时监控;
Hook执行模块,用于若判定存在对所述监控对象的非法操作,则对所述非法操作执行阻止操作。
7.根据权利要求6所述的基于Hook技术的安全软件自我防护装置,其特征在于,所述基于Hook技术的安全软件自我防护装置,还包括:
定期扫描模块,用于对所述监控对象执行预设的定期扫描程序;
对象恢复模块,用于若判定所述监控对象对应的非法操作已经生效,则对所述监控对象执行恢复程序。
8.根据权利要求7所述的基于Hook技术的安全软件自我防护装置,其特征在于,所述基于Hook技术的安全软件自我防护装置,还包括:
数据审计模块,用于记录所述阻止操作,并发送给审计平台进行审计。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述基于Hook技术的安全软件自我防护方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述基于Hook技术的安全软件自我防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010171239.0A CN111400674A (zh) | 2020-03-12 | 2020-03-12 | 一种基于Hook技术的安全软件自我防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010171239.0A CN111400674A (zh) | 2020-03-12 | 2020-03-12 | 一种基于Hook技术的安全软件自我防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111400674A true CN111400674A (zh) | 2020-07-10 |
Family
ID=71430701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010171239.0A Pending CN111400674A (zh) | 2020-03-12 | 2020-03-12 | 一种基于Hook技术的安全软件自我防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111400674A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114859874A (zh) * | 2022-07-06 | 2022-08-05 | 深圳市星卡软件技术开发有限公司 | 一种基于汽车诊断的封闭系统及其使用方法 |
| CN115001876A (zh) * | 2022-08-05 | 2022-09-02 | 深圳市亿联无限科技有限公司 | Wan侧保护网关的方法、系统、终端设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414341A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种软件自我保护的方法 |
| CN102546253A (zh) * | 2012-01-05 | 2012-07-04 | 中国联合网络通信集团有限公司 | 网页防篡改方法、系统和管理服务器 |
| CN102902926A (zh) * | 2012-10-11 | 2013-01-30 | 长春理工大学 | 基于分布式文件同步技术的网站文件防篡改方法 |
| US20140082751A1 (en) * | 2012-09-14 | 2014-03-20 | Harshawardhan Vipat | Protecting iat/eat hooks from rootkit attacks using new cpu assists |
| US20190095616A1 (en) * | 2017-09-27 | 2019-03-28 | Carbon Black, Inc. | Methods for protecting software hooks, and related computer security systems and apparatus |
| CN110414275A (zh) * | 2019-08-07 | 2019-11-05 | 苏州万店掌网络科技有限公司 | linux操作系统防止文件被篡改和丢失的方法 |
-
2020
- 2020-03-12 CN CN202010171239.0A patent/CN111400674A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414341A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种软件自我保护的方法 |
| CN102546253A (zh) * | 2012-01-05 | 2012-07-04 | 中国联合网络通信集团有限公司 | 网页防篡改方法、系统和管理服务器 |
| US20140082751A1 (en) * | 2012-09-14 | 2014-03-20 | Harshawardhan Vipat | Protecting iat/eat hooks from rootkit attacks using new cpu assists |
| CN102902926A (zh) * | 2012-10-11 | 2013-01-30 | 长春理工大学 | 基于分布式文件同步技术的网站文件防篡改方法 |
| US20190095616A1 (en) * | 2017-09-27 | 2019-03-28 | Carbon Black, Inc. | Methods for protecting software hooks, and related computer security systems and apparatus |
| CN110414275A (zh) * | 2019-08-07 | 2019-11-05 | 苏州万店掌网络科技有限公司 | linux操作系统防止文件被篡改和丢失的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114859874A (zh) * | 2022-07-06 | 2022-08-05 | 深圳市星卡软件技术开发有限公司 | 一种基于汽车诊断的封闭系统及其使用方法 |
| CN115001876A (zh) * | 2022-08-05 | 2022-09-02 | 深圳市亿联无限科技有限公司 | Wan侧保护网关的方法、系统、终端设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10032025B1 (en) | Behavior-based ransomware detection | |
| US10922411B2 (en) | Intelligent event collection for cloud-based malware detection | |
| US10970396B2 (en) | Intelligent event collection for rolling back an endpoint state in response to malware | |
| US10430591B1 (en) | Using threat model to monitor host execution in a virtualized environment | |
| US7607041B2 (en) | Methods and apparatus providing recovery from computer and network security attacks | |
| US8353033B1 (en) | Collecting malware samples via unauthorized download protection | |
| US8621628B2 (en) | Protecting user mode processes from improper tampering or termination | |
| US7975302B2 (en) | System for real-time detection of computer system files intrusion | |
| EP2297993B1 (en) | Protecting a mobile device against a denial of service attack | |
| US20080028464A1 (en) | Systems and Methods for Data Processing Anomaly Prevention and Detection | |
| US9245118B2 (en) | Methods for identifying key logging activities with a portable device and devices thereof | |
| US8230499B1 (en) | Detecting and blocking unauthorized downloads | |
| CA2797880C (en) | Method and apparatus for implementing real-time protection | |
| CN101136044A (zh) | 一种软件看门狗系统和方法 | |
| CN111400674A (zh) | 一种基于Hook技术的安全软件自我防护方法及装置 | |
| US7472288B1 (en) | Protection of processes running in a computer system | |
| CN105528543A (zh) | 远程杀毒的方法、客户端、控制台及系统 | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| EP2980697A1 (en) | System and method for altering a functionality of an application | |
| US10002070B2 (en) | System and method for altering functionality of an application | |
| CN107818260B (zh) | 保障系统安全的方法及装置 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| KR101483859B1 (ko) | 백신의 상태를 모니터링하는 관리시스템을 이용한 악성코드 차단방법 | |
| CN115168908B (zh) | 文件保护方法、装置、设备及存储介质 | |
| KR100594870B1 (ko) | 비정상 파일 및 프로세스의 탐지 제거 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200710 |