CN1735029A - 注册表保护系统和方法 - Google Patents
注册表保护系统和方法 Download PDFInfo
- Publication number
- CN1735029A CN1735029A CN 200410035550 CN200410035550A CN1735029A CN 1735029 A CN1735029 A CN 1735029A CN 200410035550 CN200410035550 CN 200410035550 CN 200410035550 A CN200410035550 A CN 200410035550A CN 1735029 A CN1735029 A CN 1735029A
- Authority
- CN
- China
- Prior art keywords
- module
- registry
- application program
- driver
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明所述一种全新的注册表保护系统和方法,主要应用于HIDS主机入侵检测系统,其目的在于填补现有技术空白和适应做为HIDS主机入侵检测系统的核心模块,实现注册表日志过滤和清除等功能,并根据保护链表的信息向受保护键值提供指定的保护。所述的注册表保护系统,主要包括有应用程序模块、驱动程序模块。所述的注册表保护方法,在应用程序模块启动后读取注册表配置文件信息并将该文件形成应用程序保护链表,用户可通过菜单命令发送控制代码与驱动程序模块交互,以控制驱动程序模块的开始与暂停、日志过滤、自动滚动、日志清空以及中止驱动程序等操作。
Description
技术领域
本发明涉及针对网络安全检测的注册表保护系统和方法。
背景技术
随着计算机技术的发展和网络与现有经济、日常生活的密不可分,对于网络自身的安全性能提出了更高的要求。为防范针对网络的恶意攻击,现有网站均配备有网络入侵检测系统,通过监控黑客端口来保证网络的安全运行。
目前现有网络攻击技术的发展,使得入侵行为越来越普遍、而且入侵手段也日益复杂化。针对入侵行为的自动侦测、分析以及拦截,已经成为网络安全的重要需求。目前市场上主要是采用NIDS(Network-basedIntrusion Detection System)基于网络的入侵检测系统来实现对入侵行为的实时监测。
但是随着交换机的广泛使用,以及IPV6的普及,NIDS已经无法满足市场的需求。涉及到HIDS(Host-based Intrusion Detection System),主机入侵检测系统,目前市场上并不多见,而且在文件保护和注册表保护等方面尚有空白。由于注册表保护是HIDS的核心技术范畴,因此注册表保护方法的实施决定着HIDS系统运行的质量。
发明内容
本发明所述一种全新的注册表保护系统和方法,主要应用于HIDS主机入侵检测系统,其目的在于填补现有技术空白和适应做为HIDS主机入侵检测系统的核心模块,实现注册表日志过滤和清除等功能,并根据保护链表的信息向受保护键值提供指定的保护。
所述的注册表保护系统,主要包括有应用程序模块、驱动程序模块。其中,
应用程序模块包括有用户界面、规则解析模块、驱动管理模块和日志显示模块。应用程序模块负责加载运行HOOK API驱动程序。
驱动程序模块包括有中间层HOOK API驱动接口、规则解析模块、访问控制模块和日志记录模块。驱动程序模块负责HOOK系统对注册表操作API函数的调用,并进行实时分析和日志记录。
所述的注册表保护方法,由应用程序模块负责读取注册表配置文件信息,并将文件格式化输入到用户控制界面中,并可将列表送入到驱动程序模块。
驱动程序模块利用HOOK API函数的机制,拦截所有读取注册表的操作,将这些操作涉及到的注册表键值与保护列表中的键值名进行比对,根据保护类型的不同,拦截不同的API函数。
若规则允许注册表操作API函执行,则驱动程序模块将应用程序模块提供的参数传递给注册表操作API;若规则不允许该函数执行,则驱动程序模块直接返回错误标志,这样就可以控制应用程序模块对注册表操作AP I函数的调用,从而实现对列表中的注册表键值的保护功能,并向应用程序模块发送告警日志。
所述的注册表保护方法,在应用程序模块启动后读取注册表配置文件信息并将该文件形成应用程序保护链表,用户可通过菜单命令发送控制代码与驱动程序模块交互,以控制驱动程序模块的开始与暂停、日志过滤、自动滚动、日志清空以及中止驱动程序等操作。
所述的注册表保护方法,驱动程序模块由应用程序模块启动,通过接受应用程序模块发送过来的控制码命令挂接到系统注册表之上,并过滤指定的API函数。并从磁盘上读取注册表配置文件信息,形成常驻内存的受保护键值链表。而且,修改后的链表重新写到磁盘的配置文件中。
以上即是本发明所述注册表保护系统和方法的主要内容。
如上述注册表保护系统和方法,主要是针对注册表的新建、修改和删除操作进行实时监控,实现对注册表中的新建键、修改键、删除健、新建值、修改值、删除值等注册表键值的保护,并可发送告警日志。从而实现可根据保护链表的信息向受保护键值提供指定的保护,实时地监控针对注册表日志信息的过滤和清除等操作,确保注册表不会被恶意新建、修改和删除。
附图说明
图1是所述注册表保护系统的结构框图;
图2是所述注册表保护方法的应用程序模块数据流程图;
图3是所述注册表保护方法的驱动程序模块数据流程图。
具体实施方式
如图1所示,所述的注册表保护系统主要包括有应用程序模块、驱动程序模块。其中,
应用程序模块包括有用户界面、规则解析模块、驱动管理模块和日志显示模块。应用程序模块负责加载运行HOOK API驱动程序。其中,
用户界面,用于显示日志信息,调用驱动管理模块控制驱动程序模块的运行,加载规则等;
日志显示模块,实时地显示驱动程序模块产生的日志信息;
规则解析模块,负责从配置文件中读取配置信息,并将解析的规则链表通过规则管理模块传递给驱动程序模块;
驱动管理模块,负责控制驱动程序模块的启动、停止、规则的添加删除等功能。
驱动程序模块包括有中间层HOOK API驱动接口、规则解析模块、访问控制模块和日志记录模块。驱动程序模块负责HOOK系统对注册表操作API函数的调用,并进行实时分析和日志记录。其中,
中间层HOOK API驱动接口,由HOOK系统实时地对注册表操作AIP函数负责调用;
规则分析模块,分析规则链表中相应操作AIP函数的权限;
访问控制模块,控制用户对注册表操作API函数的执行,如果规则允许则将函数参数传递给Windows系统底层API函数进一步处理;若规则拒绝则返回错误信息,同时调用日志记录模块,产生日志记录。
另外,Windows系统底层API,是系统提供的对注册表进行操作的API函数。
如上述注册表保护系统的结构,本发明所述的注册表保护方法是由应用程序模块负责读取注册表配置文件信息,并将文件格式化输入到用户控制界面中,并可将列表送入到驱动程序模块。
驱动程序模块利用HOOK API函数的机制,拦截所有读取注册表的操作,将这些操作涉及到的注册表键值与保护列表中的键值名进行比对,根据保护类型的不同,拦截不同的API函数。
若规则允许注册表操作API函执行,则驱动程序模块将应用程序模块提供的参数传递给操作系统提供的注册表操作API进一步处理;若规则不允许该函数执行,则驱动程序模块直接返回错误标志,这样就可以控制应用程序模块对注册表操作API函数的调用,从而实现对列表中的注册表键值的保护功能,并向应用程序模块发送告警日志。
如图2所示,在所述注册表保护方法的应用程序模块数据流程中,
应用程序模块启动运行,首先枚举主机的注册表信息,包括注册表的几个基本键,并将这些注册表信息按照原有的关系组织在一个树形控件里面。
通过菜单命令,可以读取注册表配置文件信息(INI_reg.cfg),并将该文件的信息组织成应用程序保护链表,显示在一个ListView控件里面。这样受保护的注册表键值以及该键值对应的保护类型就一目了然了。
在该ListView控件里面,可以通过鼠标右键弹出的快捷菜单,实现修改受保护的键值保护类型,或者借助于多个CheckBox控件实现增、删受保护保护等功能。
同时,用户可以通过菜单命令发送控制代码与驱动程序交互,可以控制驱动程序的开始与暂停、日志过滤、自动滚动、日志清空以及中止驱动程序等操作。
驱动程序模块发送来的注册表读写告警日志,全部实时地显示在另一个ListView控件里面。可以通过双击鼠标,快速定位该ListView控件里面选定的文件在系统注册表中的位置。
如图3所示,在所述注册表保护方法的驱动程序模块数据流程中,
驱动程序模块由应用程序模块启动,通过接受应用程序模块发送过来的控制码命令,挂接到系统注册表之上,并过滤指定的API函数。
从磁盘上读取注册表配置文件信息,形成常驻内存的受保护键值链表。
接受应用程序模块发过来的命令和信息,增加、删除或者修改保护链表,也可实现日志过滤、日志清除等功能。
并将修改后的链表重新写到磁盘的配置文件中,从而根据保护链表的信息向受保护键值提供指定的保护。
Claims (4)
1、一种注册表保护系统,其特征在于:所述的注册表保护系统包括有负责加载运行HOOK API驱动程序的应用程序模块、以及负责HOOK系统对注册表操作API函数的调用并进行实时分析和日志记录的驱动程序模块;其中,
应用程序模块包括有用户界面、规则解析模块、驱动管理模块和日志显示模块;
驱动程序模块包括有中间层HOOK API驱动接口、规则解析模块、访问控制模块和日志记录模块。
2、应用上述注册表保护系统的注册表保护方法,其特征在于:由应用程序模块负责读取注册表配置文件信息,并将文件格式化输入到用户控制界面中,并可将列表送入到驱动程序模块;
驱动程序模块利用HOOK API函数的机制,拦截所有读取注册表的操作,将这些操作涉及到的注册表键值与保护列表中的键值名进行比对,根据保护类型的不同,拦截不同的API函数;
若规则允许注册表操作API函执行,则驱动程序模块将应用程序模块提供的参数传递给操作系统提供的注册表操作API进一步处理;若规则不允许该函数执行,则驱动程序模块直接返回错误标志,这样就可以控制应用程序模块对注册表操作API函数的调用,并向应用程序模块发送告警日志。
3、根据权利要求2所述的注册表保护方法,其特征在于:在所述的应用程序模块流程中,
应用程序模块启动运行,首先枚举主机的注册表信息,包括注册表的几个基本键,并将这些注册表信息按照原有的关系组织在一个树形控件里面;可以通过菜单命令发送控制代码与驱动程序交互,并控制驱动程序的开始与暂停、日志过滤、自动滚动、日志清空以及中止驱动程序操作;驱动程序模块发送来的注册表读写告警日志,全部实时地显示在另一个ListView控件里面。
4、根据权利要求3所述的注册表保护方法,其特征在于:在所述的驱动程序模块流程中,
驱动程序模块由应用程序模块启动,通过接受应用程序模块发送过来的控制码命令,挂接到系统注册表之上,并过滤指定的API函数;从磁盘上读取注册表配置文件信息,形成常驻内存的受保护键值链表;接受应用程序模块发过来的命令和信息,增加、删除或者修改保护链表,或是实现日志过滤、日志清除;并将修改后的链表重新写到磁盘的配置文件中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100355503A CN100568812C (zh) | 2004-08-12 | 2004-08-12 | 注册表保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100355503A CN100568812C (zh) | 2004-08-12 | 2004-08-12 | 注册表保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1735029A true CN1735029A (zh) | 2006-02-15 |
| CN100568812C CN100568812C (zh) | 2009-12-09 |
Family
ID=36077241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100355503A Expired - Fee Related CN100568812C (zh) | 2004-08-12 | 2004-08-12 | 注册表保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100568812C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102214287A (zh) * | 2011-06-09 | 2011-10-12 | 北京思创银联科技股份有限公司 | Windows系统注册表保护方法 |
| CN102467625A (zh) * | 2010-11-09 | 2012-05-23 | 深圳大学 | 一种数据保护方法、装置及系统 |
| CN102968359A (zh) * | 2012-11-13 | 2013-03-13 | 福建升腾资讯有限公司 | 磁盘保护系统下的注册表透明穿透方法 |
| CN104050418A (zh) * | 2013-03-13 | 2014-09-17 | 阿里巴巴集团控股有限公司 | 一种网页浏览器文本背景安全打印的方法和装置 |
| CN106203189A (zh) * | 2016-07-04 | 2016-12-07 | 北京金山安全软件有限公司 | 设备数据获取方法、装置和终端设备 |
| CN106201579A (zh) * | 2016-06-28 | 2016-12-07 | 北京金山安全软件有限公司 | 一种删除注册表启动项的方法、装置及电子设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102262716B (zh) * | 2010-05-25 | 2014-03-05 | 腾讯科技(深圳)有限公司 | 一种实时防护方法和装置 |
-
2004
- 2004-08-12 CN CNB2004100355503A patent/CN100568812C/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102467625A (zh) * | 2010-11-09 | 2012-05-23 | 深圳大学 | 一种数据保护方法、装置及系统 |
| CN102214287A (zh) * | 2011-06-09 | 2011-10-12 | 北京思创银联科技股份有限公司 | Windows系统注册表保护方法 |
| CN102968359A (zh) * | 2012-11-13 | 2013-03-13 | 福建升腾资讯有限公司 | 磁盘保护系统下的注册表透明穿透方法 |
| CN102968359B (zh) * | 2012-11-13 | 2015-11-04 | 福建升腾资讯有限公司 | 磁盘保护系统下的注册表透明穿透方法 |
| CN104050418A (zh) * | 2013-03-13 | 2014-09-17 | 阿里巴巴集团控股有限公司 | 一种网页浏览器文本背景安全打印的方法和装置 |
| CN106201579A (zh) * | 2016-06-28 | 2016-12-07 | 北京金山安全软件有限公司 | 一种删除注册表启动项的方法、装置及电子设备 |
| CN106201579B (zh) * | 2016-06-28 | 2019-06-21 | 珠海豹趣科技有限公司 | 一种删除注册表启动项的方法、装置及电子设备 |
| CN106203189A (zh) * | 2016-07-04 | 2016-12-07 | 北京金山安全软件有限公司 | 设备数据获取方法、装置和终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100568812C (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101201118B1 (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
| CN108121914B (zh) | 一种文档泄密防护追踪系统 | |
| US7441274B1 (en) | Method and apparatus for minimizing file scanning by anti-virus programs | |
| CN102160048B (zh) | 收集和分析恶意软件数据 | |
| EP2577540B1 (en) | Malware scanning | |
| CN100481101C (zh) | 计算机安全启动的方法 | |
| US20100122313A1 (en) | Method and system for restricting file access in a computer system | |
| EP3362937B1 (en) | Method of remediating a program and system thereof by undoing operations | |
| US7565695B2 (en) | System and method for directly accessing data from a data storage medium | |
| CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| CN1588889A (zh) | 一种附网存储设备中用户访问行为的异常检测方法 | |
| CN1859398A (zh) | 一种反网络钓鱼的系统和方法 | |
| US7346611B2 (en) | System and method for accessing data from a data storage medium | |
| US20130125237A1 (en) | Offline extraction of configuration data | |
| CN106503551A (zh) | 一种针对勒索软件的处理方法和系统 | |
| CN1735029A (zh) | 注册表保护系统和方法 | |
| CN109639726A (zh) | 入侵检测方法、装置、系统、设备及存储介质 | |
| CN109753819B (zh) | 一种访问控制策略的处理方法和装置 | |
| CN1707383A (zh) | 通过进程和系统轨迹分析阻断计算机病毒方法 | |
| CN1975701A (zh) | 主机驱动外设的方法及系统 | |
| CN115758341A (zh) | 一种基于Ring3层查询的可执行文件拦截方法、系统和存储介质 | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 | |
| US8301608B1 (en) | Real-time access of opportunistically locked files without breaking opportunistic locks | |
| US7318132B2 (en) | Method and apparatus for dynamically unloading file system filters | |
| CN1251073C (zh) | 一种实现对文件变化区域监视的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: HAIXIN GROUP CO., LTD. Free format text: FORMER OWNER: HAIXIN GROUP CO., LTD.; APPLICANT Effective date: 20071214 |
|
| C10 | Entry into substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20071214 Address after: 151, Zhuzhou Road, Laoshan District, Shandong City, Qingdao Province, China: 266100 Applicant after: Hisense Group Co., Ltd. Address before: Zip code 11, Jiangxi Road, Qingdao, Shandong, China: 266071 Applicant before: Hisense Group Co-applicant before: Beijing Hisense Digital Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091209 Termination date: 20190812 |