WO2024078348A1

WO2024078348A1 - 应用移植环境下注册表操作的处理方法、装置和介质

Info

Publication number: WO2024078348A1
Application number: PCT/CN2023/122242
Authority: WO
Inventors: 张艳辉; 李新龙; 侯玮玮
Original assignee: 中科方德软件有限公司
Priority date: 2022-10-13
Filing date: 2023-09-27
Publication date: 2024-04-18
Also published as: CN115328580B; CN115328580A

Abstract

本申请实施例提供了一种应用移植环境下注册表操作的处理方法、装置和介质，其中的方法应用于运行在第一操作系统上的兼容层软件，具体包括：经由兼容层服务进程，接收第二操作系统的应用程序发送的调用请求；从调用请求中获取目标调用请求；对目标调用请求对应的注册表操作进行检测；在检测结果表征注册表操作为恶意操作的情况下，显示处理选项；处理选项包括：禁止选项、允许选项和添加信任选项；添加信任选项用于将目标调用请求对应的注册表路径置为信任路径；根据用户选择的目标处理选项，对目标调用请求对应的注册表操作进行处理。本申请实施例可以提高注册表操作的检测准确率，能够提高注册表操作的处理结果与用户的个性化需求之间的匹配度。

Description

应用移植环境下注册表操作的处理方法、装置和介质

相关申请的交叉引用

本申请要求在2022年10月13日提交中国专利局、申请号为202211250372.0、名称为“应用移植环境下注册表操作的处理方法、装置和介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及应用移植技术领域，特别是涉及一种应用移植环境下注册表操作的处理方法、装置和介质。

背景技术

在应用移植领域中，可以利用例如Wine(Wine不是模拟器，Wine Is Not an Emulator)的兼容层软件，将第二操作系统的应用程序移植到第一操作系统上。以第二操作系统为Windows(视窗)操作系统为例，兼容层软件维护了注册表，注册表中存放着多种参数，控制着硬件驱动程序的装载以及Windows应用程序运行的正常与否；一旦注册表被篡改或破坏，很可能会造成Windows应用程序的异常。

为了实现对于注册表的保护，相关技术会从动态链接库方向进行注册表操作的检测，具体的检测过程包括：从动态链接库中获取注册表操作函数，将注册表操作函数的地址作为原始地址保存，使用Hook(钩子)函数的地址替换所述注册表操作函数的地址；当任意程序进行注册表操作时，所述Hook函数获取相应的操作信息，并对所述操作信息进行判断，如果判断结果表征所述注册表操作对应恶意操作，则禁止所述注册表操作。

在实际应用中，由于动态链接库中往往包含较多的注册表操作函数，故从动态链接库方向进行注册表操作的检测，有可能出现注册表操作函数的遗漏，将会出现检测遗漏的情况，进而使得注册表操作的检测准确率较低。

发明内容

本申请实施例提供了一种应用移植环境下注册表操作的处理方法，可以提高注册表操作的检测准确率，能够提高注册表操作的处理结果与用户的个性化需求之间的匹配度，且能够简化该注册表路径的处理流程，提高该注册表路径的处理效率。

相应的，本申请实施例还提供了一种应用移植环境下注册表操作的处理装置、一种电子设备和一种机器可读介质，用以保证上述方法的实现及应用。

第一方面，本申请实施例公开了一种应用移植环境下注册表操作的处理方法，所述方法应用于运行在第一操作系统上的兼容层软件；所述方法包括：

经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求；

根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求；

对所述目标调用请求对应的注册表操作进行检测，以得到对应的检测结果；

在所述检测结果表征所述注册表操作为恶意操作的情况下，显示处理选项；所述处理选项包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。

第二方面，本申请实施例公开了一种应用移植环境下注册表操作的处理装置，所述装置包括：注册表处理模块、检测模块、查询模块和显示模块；

其中，所述注册表处理模块、所述检测模块和所述查询模块位于所述兼容层软件对应的兼容层服务进程侧，所述显示模块位于所述兼容层软件对应的视窗服务进程侧；

所述注册表处理模块，用于接收第二操作系统的应用程序针对API发送的调用请求，根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求，并向所述检测模块发送所述目标调用请求对应的注册表路径；

所述检测模块，用于向所述查询模块发送所述目标调用请求对应的注册表路径；

所述查询模块，用于调用数据库接口和/或信任列表接口，根据所述目标调用请求对应的注册表路径，对所述目标调用请求对应的注册表操作进行检测，并向所述检测模块返回检测结果；

所述检测模块，还用于在所述检测结果表征所述注册表操作为恶意操作的情况下，向所述显示模块发送处理选项；

所述显示模块，用于显示所述处理选项；所述处理选项包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

所述注册表处理模块，还用于根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。

第三方面，本申请实施例公开了一种应用移植环境下注册表操作的处理装置，所述装置应用于运行在第一操作系统上的兼容层软件；所述装置包括：

接收模块，用于经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求；

获取模块，用于根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求；

检测模块，用于对所述目标调用请求对应的注册表操作进行检测，以得到对应的检测结果；

显示模块，用于在所述检测结果表征所述注册表操作为恶意操作的情况下，显示处理选项；所述处理选项包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

处理模块，用于根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。

可选地，所述检测模块包括：

第一检测模块，用于根据所述目标调用请求对应的注册表路径，在数据库中进行查找；所述数据库中记录有恶意操作对应的注册表路径；或者

第二检测模块，用于判断信任列表中是否存在所述目标调用请求对应的注册表路径，以得到对应的判断结果；所述信任列表记录有信任操作对应的注册表路径；或者

第三检测模块，用于判断信任列表中是否存在所述目标调用请求对应的注册表路径，以得到对应的判断结果，若判断结果为不存在，则根据所述目标调用请求对应的注册表路径，在数据库中进行查找；所述数据库中记录有恶意操作对应的注册表路径；所述信任列表记录有信任操作对应的注册表路径。

可选地，所述处理模块包括：

第一处理模块，用于在用户选择的目标处理选项为禁止选项的情况下，禁止所述目标调用请求对应的注册表操作；或者

第二处理模块，用于在用户选择的目标处理选项为允许选项的情况下，允许所述目标调用请求对应的注册表操作；或者

第三处理模块，用于在用户选择的目标处理选项为添加信任选项的情况下，允许所述目标调用请求对应的注册表操作，并将所述目标调用请求对应的注册表路径添加至信任列表。

可选地，所述装置还包括：

操作允许模块，用于在所述检测结果表征所述注册表操作为正常操作或信任操作的情况下，允许所述目标调用请求对应的注册表操作。

可选地，所述获取模块向所述检测模块发送所述目标调用请求对应的注册表路径；所述检测模块向查询模块发送所述目标调用请求对应的注册表路径；所述查询模块调用数据库接口和/或信任列表接口，根据所述目标调用请求对应的注册表路径，对所述目标调用请求对应的注册表操作进行检测，并向所述检测模块返回检测结果。

可选地，所述检测模块在所述检测结果表征所述注册表操作为恶意操作的情况下，向显示模块发送处理选项，以使所述显示模块显示处理选项。

第四方面，本申请实施例公开了一种电子设备，包括：处理器；和存储器，其上存储有可执行代码，当所述可执行代码被执行时，使得所述处理器执行如本申请实施例所述的方法。

第五方面，本申请实施例公开了一种机器可读介质，其上存储有可执行代码，当所述可执行代码被执行时，使得处理器执行如本申请实施例所述的方法。

本申请实施例包括以下优点：

本申请实施例的技术方案中，经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求，并根据该调用请求中携带的预设标识，从该调用请求中获取与注册表操作相关的目标调用请求。由于在应用移植技术领域，兼容层服务进程负责与应用进程之间的通信，而应用进程代表第二操作系统的应用程序并向兼容层服务进程发送针对API的调用请求；因此，兼容层服务进程能够起到汇总调用请求的作用。这样，本申请实施例经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求，可以避免与注册表操作相关的目标调用请求的遗漏，在此基础上，可以避免出现检测遗漏的情况，进而能够提高注册表操作的检测准确率。

并且，本申请实施例对该目标调用请求对应的注册表操作进行检测，在该检测结果表征该注册表操作为恶意操作的情况下，显示处理选项，根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理。由于本申请实施例将处理选项的选择权交由用户，并且根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理；因此，本申请实施例能够提高注册表操作的处理结果与用户的个性化需求之间的匹配度。

本申请实施例的处理选项包括添加信任选项，该添加信任选项用于将该目标调用请求对应的注册表路径置为信任路径，该信任路径可以表征被用户信任的注册表路径，该信任路径对应的检测结果可以为信任操作。由于在检测结果表征该注册表操作为信任操作的情况下，本申请实施例会允许该目标调用请求对应的注册表操作，故在后续出现该目标调用请求对应的注册表路径的情况下，可以在节省显示处理选项和用户选择目标处理选项的操作的情况下，允许该目标调用请求对应的注册表操作；因此本申请实施例能够简化该注册表路径的处理流程，提高该注册表路径的处理效率。

附图说明

图1是本申请一个实施例的应用移植环境下注册表操作的处理方法的步骤流程示意图；

图2是本申请一个实施例的应用移植环境下注册表操作的处理装置的结构示意图；

图3是本申请一个实施例的应用移植环境下注册表操作的处理方法的步骤流程示意图；

图4是本申请一个实施例的应用移植环境下注册表操作的处理装置的结构示意图；

图5是本申请一个实施例提供的装置的结构示意图。

具体实施例

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

本申请实施例中，兼容层软件是一种能够在多种兼容POSIX(可移植操作系统接口，Portable Operating System Interface)的第一操作系统上运行第二操作系统的应用程序的兼容层。以第二操作系统为Windows操作系统为例，兼容层软件能够将Windows API的调用翻译成为动态的POSIX调用，因此能够使Windows应用程序在Windows之外的第一操作系统中运行。

第一操作系统的例子可以包括：Linux，macOS(麦金塔操作系统，Macintosh Operating System)及BSD(伯克利软件套件，Berkeley Software Distribution)等。第二操作系统的例子可以包括：Windows操作系统(视窗操作系统)等。可以理解，本申请实施例对于具体的第一操作系统和第二操作系统不加以限制。

兼容层软件可以包括：一个兼容层服务进程(wineserver)和一组动态链接库。此外，兼容层软件的GUI(图形用户界面，Graphical User Interface)可以依赖于位图显示的视窗系统。

在运行某个Windows应用程序的过程中，第一操作系统中可以包括与该Windows应用程序相关的如下进程：

(1)Windows应用程序的应用进程本身。对动态链接库的调用可以在该进程的上下文中运行。在需要得到兼容层软件的服务，或者通过兼容层软件间接提供的其他(特别是内核)服务的情况下，应用进程经由兼容层软件所提供的动态链接库逐层往下调用。在兼容层软件内部，应用进程往往通过套接字与兼容层服务进程进行通信，以接受兼容层服务进程的管理和协调；另一方面，又可能经由套接字与位图显示的视窗系统对应的视窗服务进程通信，向其发送图形操作请求并接收键盘和鼠标输入。

(2)兼容层服务进程，其作用具体包括：提供应用进程间通信与同步的手段；应用进程和线程的管理；注册表服务等等。

(3)视窗服务进程，其作用具体包括：图形的显示、以及键盘和鼠标输入。

为了实现对于注册表的保护，相关技术会从动态链接库方向进行注册表操作的检测，具体的检测过程包括：从动态链接库中获取注册表操作函数，将注册表操作函数的地址作为原始地址保存，使用Hook函数的地址替换所述注册表操作函数的地址；当任意程序进行注册表操作时，所述Hook函数获取相应的操作信息，并对所述操作信息进行判断，如果判断结果表征所述注册表操作对应恶意操作，则禁止所述注册表操作。然而，在实际应用中，由于动态链接库中往往包含较多的注册表操作函数，故从动态链接库方向进行注册表操作的检测，有可能出现注册表操作函数的遗漏，将会出现检测遗漏的情况，进而使得注册表操作的检测准确率较低。

针对相关技术中注册表操作的检测准确率较低的技术问题，本申请实施例提供了一种应用移植环境下注册表操作的处理方法，该方法可以应用于运行在第一操作系统上的兼容层软件；该方法具体可以包括：经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求；根据该调用请求中携带的预设标识，从该调用请求中获取与注册表操作相关的目标调用请求；对该目标调用请求对应的注册表操作进行检测，以得到对应的检测结果；在该检测结果表征该注册表操作为恶意操作的情况下，显示处理选项；该处理选项包括：禁止选项、允许选项和添加信任选项；该添加信任选项用于将该目标调用请求对应的注册表路径置为信任路径；根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理。

本申请实施例经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求，并根据该调用请求中携带的预设标识，从该调用请求中获取与注册表操作相关的目标调用请求。由于在应用移植技术领域，兼容层服务进程负责与应用进程之间的通信，而应用进程代表第二操作系统的应用程序并向兼容层服务进程发送针对API的调用请求；因此，兼容层服务进程能够起到汇总调用请求的作用。这样，本申请实施例经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求，可以避免与注册表操作相关的目标调用请求的遗漏；在此基础上，本申请实施例可以避免出现检测遗漏的情况，进而能够提高注册表操作的检测准确率。

并且，本申请实施例对该目标调用请求对应的注册表操作进行检测，在该检测结果表征该注册表操作为恶意操作的情况下，显示处理选项，并根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理。由于本申请实施例将处理选项的选择权交由用户，并根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理；因此，本申请实施例能够提高注册表操作的处理结果与用户的个性化需求之间的匹配度。

此外，本申请实施例的处理选项包括添加信任选项，该添加信任选项用于将该目标调用请求对应的注册表路径置为信任路径，该信任路径可以表征被用户信任的注册表路径，该信任路径对应的检测结果可以为信任操作；这样，在后续出现该目标调用请求对应的注册表路径的情况下，可以允许对应的注册表操作，故本申请实施例可以简化该注册表路径的处理流程，提高该注册表路径的处理效率。

实施例一

参考图1，示出了本申请一个实施例的应用移植环境下注册表操作的处理方法的步骤流程示意图，该方法可以应用于运行在第一操作系统上的兼容层软件，该方法具体可以包括如下步骤：

步骤101、经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求；

步骤102、根据该调用请求中携带的预设标识，从该调用请求中获取与注册表操作相关的目标调用请求；

步骤103、对该目标调用请求对应的注册表操作进行检测，以得到对应的检测结果；

步骤104、在该检测结果表征该注册表操作为恶意操作的情况下，显示处理选项；该处理选项具体包括：禁止选项、允许选项和添加信任选项；该添加信任选项用于将该目标调用请求对应的注册表路径置为信任路径；

步骤105、根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理。

在步骤101中，兼容层服务进程可以与第二操作系统的应用程序的应用进程建立例如套接字的连接；这样，兼容层服务进程可以利用该连接，接收第二操作系统的应用程序针对API发送的调用请求。

在步骤102中，调用请求中既可以包括：与注册表操作相关的目标调用请求，也可以包括：与注册表操作无关的非目标调用请求。本申请实施例可以根据该调用请求中携带的预设标识，从该调用请求中获取与注册表操作相关的目标调用请求。

在实际应用中，兼容层服务进程可以预先设置注册表操作对应的预设标识，以使应用进程在调用请求中携带该预设标识。兼容层服务进程还可以保存预设标识与注册表操作信息之间的映射关系；这样，可以对调用请求中的信息与映射关系中的预设标识进行匹配，若匹配成功，则可以认为调用请求为与注册表操作相关的目标调用请求。

该注册表操作信息可以表征一个或多个注册表操作类别。注册表操作类别的例子可以包括：注册表添加类别、或注册表修改类别、或注册表删除类别等。

在步骤103中，对该目标调用请求对应的注册表操作进行检测，得到的检测结果可以包括：恶意操作、或正常操作、或信任操作。

本申请实施例可以提供对该目标调用请求对应的注册表操作进行检测的如下技术方案：

技术方案1、根据所述目标调用请求对应的注册表路径，在数据库中进行查找；该数据库中记录有恶意操作对应的注册表路径；或者

技术方案2、判断信任列表中是否存在所述目标调用请求对应的注册表路径，以得到对应的判断结果；所述信任列表记录有信任操作对应的注册表路径；或者

技术方案3、判断信任列表中是否存在所述目标调用请求对应的注册表路径，以得到对应的判断结果，若判断结果为不存在，则根据所述目标调用请求对应的注册表路径，在数据库中进行查找；所述数据库中记录有恶意操作对应的注册表路径；所述信任列表记录有信任操作对应的注册表路径。

技术方案1可以利用数据库对该目标调用请求对应的注册表操作进行检测。具体而言，在数据库中进行查找，若数据库中存在目标调用请求对应的注册表路径，则检测结果可以为恶意操作；或者，若数据库中不存在目标调用请求对应的注册表路径，则检测结果可以为正常操作。

该数据库中记录有恶意操作对应的注册表路径。参照表1，示出了本申请一个实施例的数据库的示意，该数据库具体可以包括：注册表路径字段和说明字段。注册表路径可以指注册表项在磁盘中对应的路径。

表1

本申请实施例对于数据库中恶意操作对应的注册表路径的收集方式不加以限制。在实际应用中，可以判断注册表操作日志中的历史注册表操作是否为恶意操作，若是，则将历史注册表行为对应的注册表路径写入数据库。

例如，一种收集方式，可以对注册表操作日志中的历史注册表操作与注册表操作规则进行匹配，若匹配成功，则可以认为历史注册表操作为恶意操作，并将历史注册表行为对应的注册表路径写入数据库。其中，注册表操作规则可由本领域技术人员根据实际应用需求确定。例如，注册表操作规则可以包括但不限于：修改系统的启动关联、获取浏览器代理信息和将操作系统的显示系统隐藏文件功能屏蔽等。又如，另一种收集方式可以采用机器学习的分类器。具体而言，可以利用恶意操作的样本和正常操作的样本，对分类器进行训练，以使分类器具备恶意操作或正常操作的分类能力；这样，将注册表操作日志中的历史注册表操作输入分类器，分类器输出的分类结果可以表征历史注册表操作是否为恶意行为，若是，则将历史注册表行为对应的注册表路径写入数据库。

技术方案2可以利用信任列表对该目标调用请求对应的注册表操作进行检测。具体而言，判断信任列表中是否存在所述目标调用请求对应的注册表路径，若判断结果为存在，则检测结果为信任操作。

该信任列表可以记录有信任操作对应的注册表路径。本领域技术人员可以根据实际应用需求，在信任列表中添加信任操作对应的注册表路径。或者，在用户选择的目标处理选项为添加信任选项的情况下，将所述目标调用请求对应的注册表路径添加至信任列表。

技术方案3可以依次利用信任列表和数据库对该目标调用请求对应的注册表操作进行检测。

具体而言，首先判断信任列表中是否存在所述目标调用请求对应的注册表路径，以得到对应的判断结果，若判断结果为不存在，则根据所述目标调用请求对应的注册表路径，在数据库中进行查找。若数据库中存在目标调用请求对应的注册表路径，则检测结果可以为恶意操作；或者，若数据库中不存在目标调用请求对应的注册表路径，则检测结果可以为正常操作。

在步骤104中，在该检测结果表征该注册表操作为恶意操作的情况下，可以显示处理选项。由于本申请实施例将处理选项的选择权交由用户，并根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理；因此，本申请实施例能够使注册表操作的处理结果符合用户的个性化需求。

在步骤105中，可以根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理。

本申请实施例可以提供根据用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理的如下处理方式：

处理方式1、在用户选择的目标处理选项为禁止选项的情况下，禁止所述目标调用请求对应的注册表操作；或者

处理方式2、在用户选择的目标处理选项为允许选项的情况下，允许所述目标调用请求对应的注册表操作；或者

处理方式3、在用户选择的目标处理选项为添加信任选项的情况下，允许所述目标调用请求对应的注册表操作，并将所述目标调用请求对应的注册表路径添加至信任列表。

禁止所述目标调用请求对应的注册表操作，可以指不执行所述目标调用请求对应的注册表操作。允许所述目标调用请求对应的注册表操作，可以指执行所述目标调用请求对应的注册表操作。

本申请实施例的方法还可以包括：在该检测结果表征该注册表操作为正常操作或信任操作的情况下，允许该目标调用请求对应的注册表操作。

综上，本申请实施例的应用移植环境下注册表操作的处理方法，经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求，并根据该调用请求中携带的预设标识，从该调用请求中获取与注册表操作相关的目标调用请求。由于在应用移植技术领域，兼容层服务进程负责与应用进程之间的通信，而应用进程代表第二操作系统的应用程序并向兼容层服务进程发送针对API的调用请求；因此，兼容层服务进程能够起到汇总调用请求的作用。这样，本申请实施例经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求，可以避免与注册表操作相关的目标调用请求的遗漏；在此基础上，本申请实施例可以避免出现检测遗漏的情况，进而能够提高注册表操作的检测准确率。

此外，本申请实施例的处理选项包括添加信任选项，该添加信任选项用于将该目标调用请求对应的注册表路径置为信任路径，该信任路径可以表征被用户信任的注册表路径，该信任路径对应的检测结果可以为信任操作。由于在检测结果表征该注册表操作为信任操作的情况下，本申请实施例会允许该目标调用请求对应的注册表操作，故在后续出现该目标调用请求对应的注册表路径的情况下，可以在节省显示处理选项和用户选择目标处理选项的操作的情况下，允许该目标调用请求对应的注册表操作；因此本申请实施例能够简化该注册表路径的处理流程，提高该注册表路径的处理效率。

实施例二

本申请实施例的方法可由应用移植环境下注册表操作的处理装置执行。参照图2，示出了本申请一个实施例的应用移植环境下注册表操作的处理装置的结构示意图，该处理装置可以包括：注册表处理模块201、检测模块202、查询模块203和显示模块204。

其中，注册表处理模块201、检测模块202和查询模块203可以位于兼容层服务进程侧，显示模块204可以位于视窗服务进程侧。

其中，注册表处理模块201，用于接收第二操作系统的应用程序针对API发送的调用请求，根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求，并向检测模块202发送所述目标调用请求对应的注册表路径；

检测模块202，用于向查询模块203发送所述目标调用请求对应的注册表路径；

查询模块203，用于调用数据库接口和/或信任列表接口，根据所述目标调用请求对应的注册表路径，对所述目标调用请求对应的注册表操作进行检测，并向检测模块202返回检测结果；

检测模块203，还用于在所述检测结果表征所述注册表操作为恶意操作的情况下，向显示模块204发送处理选项；

显示模块204，用于显示所述处理选项；所述处理选项具体可以包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

注册表处理模块201，还用于根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。

相关技术中的注册表处理模块201通常允许所有目标调用请求对应的注册表操作。而本申请实施例的注册表处理模块201会借助于检测模块202、查询模块203和显示模块204的处理结果，根据检测结果和用户选择的目标处理选项，对该目标调用请求对应的注册表操作进行处理，不仅能够提高注册表操作的检测准确率，而且能够提高注册表操作的处理结果与用户的个性化需求之间的匹配度。

应用图2所示的处理装置，对所述目标调用请求对应的注册表操作进行检测的过程具体可以包括：

注册表处理模块201向检测模块202发送所述目标调用请求对应的注册表路径；

检测模块202向查询模块203发送所述目标调用请求对应的注册表路径；

查询模块203调用数据库接口和/或信任列表接口，根据所述目标调用请求对应的注册表路径，对所述目标调用请求对应的注册表操作进行检测，并向所述检测模块202返回检测结果。

在实际应用中，检测模块202可以动态链接库的形式，向注册表处理模块201提供检测接口，以供注册表处理模块201调用。参照表2，示出了本申请实施例的一种检测接口的示意，其中，针对不同的注册表操作类别设置了不同的检测接口，检测接口也可以称为检测函数。

表2

以注册表修改类别的目标调用请求A为例，在应用进程发送注册表修改类别的目标调用请求的情况下，注册表处理模块201的处理函数DECL_HANDLER(set_key_value)可以调用reg_change_check函数，由reg_change_check函数对目标调用请求A对应的注册表操作进行检测。

查询模块203可以动态链接库形式，向检测模块202提供查询接口和添加信任接口。以供检测模块202调用。

参照表3，示出了本申请实施例的一种查询接口的示意，其中，本申请实施例可以针对不同的注册表操作类别设置不同的查询接口，查询接口也可以称为查询函数。在查询接口被调用的情况下，会进一步调用数据库接口和/或信任列表接口，根据所述目标调用请求对应的注册表路径，对所述目标调用请求对应的注册表操作进行检测。

表3

以注册表修改类别的目标调用请求A为例，在应用进程发送注册表修改类别的目标调用请求的情况下，注册表处理模块201的处理函数DECL_HANDLER(set_key_value)可以调用reg_change_check函数。

reg_change_check函数会调用sty_reg_change_get函数，并向sty_reg_change_get函数产生传递应用进程要修改的注册表路径，例如：“\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，sty_reg_change_get函数会继续调用数据库接口，在数据库中搜索进程请求修改的注册表路径，如注册表路径：“\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”。

假设数据库不存在注册表路径对应的数据记录，可以说明目标调用请求A对应的注册表操作是正常操作(无害操作)；或者，假设数据库存在注册表路径对应的数据记录，可以说明目标调用请求A对应的注册表操作是恶意操作。

参照表4，示出了本申请实施例的一种添加信任接口的示意，其中，针对不同的注册表操作类别设置了不同的添加信任接口，添加信任接口也可以称为添加信任函数。在添加信任被调用的情况下，会将目标调用请求对应的注册表路径添加至信任列表。

表4

在具体实现中，查询模块203会向检测模块202返回检测结果，以使检测模块202执行后续流程。例如，在检测结果为正常操作或信任操作的情况下，检测模块202会向注册表处理模块201转发检测结果，而注册表处理模块201可以允许目标调用请求对应的注册表操作，也即，注册表处理模块201可以执行正常的处理流程。又如，在检测结果为恶意操作的情况下，检测模块202会向显示模块204发送处理选项。

因此，本申请实施例的在该检测结果表征该注册表操作为恶意操作的情况下，显示处理选项，具体可以包括：检测模块202在检测结果表征注册表操作为恶意操作的情况下，向显示模块204发送处理选项，以使显示模块204显示处理选项。

在实际应用中，检测模块202可以根据套接字协议与显示模块204进行通信。显示模块204向用户提供多个处理选项，并向检测模块202返回用户选择的目标处理选项。检测模块202则向注册表处理模块201返回用户选择的目标处理选项。

以目标调用请求对应注册表修改类别为例，在用户选择的目标处理选项为禁止选项的情况下，注册表处理模块201可以中断注册表修改的相关流程，并向应用进程返回相关的错误信息；或者，在用户选择的目标处理选项为允许选项的情况下，注册表处理模块201可以继续执行注册表修改的相关流程；或者，在用户选择的目标处理选项为添加信任选项的情况下，注册表处理模块201可以继续执行注册表修改的相关流程，并调用添加信任接口，将所述目标调用请求对应的注册表路径添加至信任列表。

参照图3，示出了本申请一个实施例的应用移植环境下注册表操作的处理方法的步骤流程示意图，该方法可以应用于运行在第一操作系统上的兼容层软件，该方法具体可以包括如下步骤：

步骤301、注册表处理模块201经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求，并根据该调用请求中携带的预设标识，从该调用请求中获取与注册表操作相关的目标调用请求；

步骤302、注册表处理模块201向检测模块202发送该目标调用请求对应的注册表路径；

步骤303、检测模块202向查询模块203发送该目标调用请求对应的注册表路径；

步骤304、查询模块203调用数据库接口和/或信任列表接口，根据该目标调用请求对应的注册表路径，对该目标调用请求对应的注册表操作进行检测，并向检测模块202返回检测结果；

检测模块202根据不同的检测结果进行不同的处理。在检测结果为恶意操作的情况下，执行步骤305；或者，在检测结果为信任操作或正常操作的情况下，执行步骤309；

步骤305、在检测结果为恶意操作的情况下，检测模块202向显示模块204发送处理选项，以使显示模块204对处理选项进行显示。检测模块202还可以从显示模块204接收用户选择的目标处理选项，并向注册表处理模块201发送用户选择的目标处理选项；

注册表处理模块201根据不同的目标处理选项进行不同的处理。在目标处理选项为禁止选项的情况下，执行步骤306；或者，在目标处理选项为允许选项的情况下，执行步骤307；在目标处理选项为添加信任选项的情况下，执行步骤308；

步骤306、注册表处理模块201在目标处理选项为禁止选项的情况下，禁止目标调用请求对应的注册表操作，并向应用进程返回相关的错误信息；

步骤307、注册表处理模块201在目标处理选项为允许选项的情况下，执行目标调用请求对应的注册表操作；

步骤308、注册表处理模块201在目标处理选项为添加信任选项的情况下，执行目标调用请求对应的注册表操作，并调用添加信任接口，将该目标调用请求对应的注册表路径添加至信任列表；

步骤309、在检测结果为信任操作或正常操作的情况下，检测模块202向注册表处理模块201中转该检测结果，以使注册表处理模块201执行目标调用请求对应的注册表操作。

在本申请的一种应用示例中，用户经由兼容层软件安装了一个Windows的应用程序A，应用程序A希望自身能够开机自动运行，故请求修改注册表项“\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，假设检测模块202获得的检测结果为恶意操作，故经由显示模块204向用户发送处理选项。

如果用户确认应用程序A的“修改注册表”的行为是无害行为，可针对对应的注册表路径添加信任，也即选择添加信任选项。显示模块204可以通过套接字通信，向检测模块202发送消息(该消息中可以携带用户选择的目标处理选项)。检测模块202接收到目标处理选项后，调用添加信任接口，将所述目标调用请求对应的注册表路径添加至信任列表。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

在上述实施例的基础上，本申请实施例还提供了一种应用移植环境下注册表操作的处理装置，所述装置应用于运行在第一操作系统上的兼容层软件；参照图4，所述装置具体可以包括：接收模块401、获取模块402、检测模块403、显示模块404和处理模块405。其中，接收模块401、获取模块402和处理模块405可以是前述的注册表处理模块201内设置的模块。

接收模块401，用于经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求；

获取模块402，用于根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求；

检测模块403，用于对所述目标调用请求对应的注册表操作进行检测，以得到对应的检测结果；

显示模块404，用于在所述检测结果表征所述注册表操作为恶意操作的情况下，显示处理选项；所述处理选项包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

处理模块405，用于根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。

可选地，检测模块403具体可以包括：

可选地，处理模块405具体可以包括：

可选地，所述装置还可以包括：

本申请实施例还提供了一种非易失性可读存储介质，该存储介质中存储有一个或多个模块(programs)，该一个或多个模块被应用在设备时，可以使得该设备执行本申请实施例中各方法步骤的指令(instructions)。

本申请实施例提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。本申请实施例中，所述电子设备包括终端设备、服务器(集群)等各类型的设备。

本公开的实施例可被实现为使用任意适当的硬件，固件，软件，或及其任意组合进行想要的配置的装置，该装置可包括：终端设备、服务器(集群)等电子设备。图5示意性地示出了可被用于实现本申请中所述的各个实施例的示例性装置1100。

对于一个实施例，图5示出了示例性装置1100，该装置具有一个或多个处理器1102、被耦合到(一个或多个)处理器1102中的至少一个的控制模块(芯片组)1104、被耦合到控制模块1104的存储器1106、被耦合到控制模块1104的非易失性存储器(NVM)/存储设备1108、被耦合到控制模块1104的一个或多个输入/输出设备1110，以及被耦合到控制模块1104的网络接口1112。

处理器1102可包括一个或多个单核或多核处理器，处理器1102可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中，装置1100能够作为本申请实施例中所述终端设备、服务器(集群)等设备。

在一些实施例中，装置1100可包括具有指令1114的一个或多个计算机可读介质(例如，存储器1106或NVM/存储设备1108)以及与该一个或多个计算机可读介质相合并被配置为执行指令1114以实现模块从而执行本公开中所述的动作的一个或多个处理器1102。

对于一个实施例，控制模块1104可包括任意适当的接口控制器，以向(一个或多个)处理器1102中的至少一个和/或与控制模块1104通信的任意适当的设备或组件提供任意适当的接口。

控制模块1104可包括存储器控制器模块，以向存储器1106提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。

存储器1106可被用于例如为装置1100加载和存储数据和/或指令1114。对于一个实施例，存储器1106可包括任意适当的易失性存储器，例如，适当的DRAM。在一些实施例中，存储器1106可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。

对于一个实施例，控制模块1104可包括一个或多个输入/输出控制器，以向NVM/存储设备1108及(一个或多个)输入/输出设备1110提供接口。

例如，NVM/存储设备1108可被用于存储数据和/或指令1114。NVM/存储设备1108可包括任意适当的非易失性存储器(例如，闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如，一个或多个硬盘驱动器(HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。

NVM/存储设备1108可包括在物理上作为装置1100被安装在其上的设备的一部分的存储资源，或者其可被该设备访问可不必作为该设备的一部分。例如，NVM/存储设备1108可通过网络经由(一个或多个)输入/输出设备1110进行访问。

(一个或多个)输入/输出设备1110可为装置1100提供接口以与任意其他适当的设备通信，输入/输出设备1110可以包括通信组件、音频组件、传感器组件等。网络接口1112可为装置1100提供接口以通过一个或多个网络通信，装置1100可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信，例如接入基于通信标准的无线网络，如WiFi(无线保真，Wireless Fidelity)、2G(第二代手机通信技术规格，2-Generation wireless telephone technology)、3G(第三代移动通信技术，3rd-Generation Mobile Communication Technology)、4G(第四代移动通信技术，4th Generation Mobile Communication Technology)、5G(第五代移动通信技术，5th Generation Mobile Communication Technology)等，或它们的组合进行无线通信。

对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器(例如，存储器控制器模块)的逻辑封装在一起。对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器的逻辑封装在一起以形成系统级封装(SiP，System In a Package)。对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(SoC，System on Chip)。

在各个实施例中，装置1100可以但不限于是：服务器、台式计算设备或移动计算设备(例如，膝上型计算设备、手持计算设备、平板电脑、上网本等)等终端设备。在各个实施例中，装置1100可具有更多或更少的组件和/或不同的架构。例如，在一些实施例中，装置1100包括一个或多个摄像机、键盘、液晶显示器(LCD，Liquid Crystal Display)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC，Application Specific Integrated Circuit)和扬声器。

其中，检测装置中可采用主控芯片作为处理器或控制模块，传感器数据、位置信息等存储到存储器或NVM/存储设备中，传感器组可作为输入/输出设备，通信接口可包括网络接口。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种应用移植环境下注册表操作的处理方法和装置、一种电子设备和一种机器可读介质，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

一种应用移植环境下注册表操作的处理方法，其特征在于，所述方法应用于运行在第一操作系统上的兼容层软件；所述方法包括：

经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求；

根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求；

对所述目标调用请求对应的注册表操作进行检测，以得到对应的检测结果；

在所述检测结果表征所述注册表操作为恶意操作的情况下，显示处理选项；所述处理选项包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。
根据权利要求1所述的方法，其特征在于，所述对所述目标调用请求对应的注册表操作进行检测，包括：

根据所述目标调用请求对应的注册表路径，在数据库中进行查找；所述数据库中记录有恶意操作对应的注册表路径；或者

判断信任列表中是否存在所述目标调用请求对应的注册表路径，以得到对应的判断结果；所述信任列表记录有信任操作对应的注册表路径；或者

判断信任列表中是否存在所述目标调用请求对应的注册表路径，以得到对应的判断结果，若判断结果为不存在，则根据所述目标调用请求对应的注册表路径，在数据库中进行查找；所述数据库中记录有恶意操作对应的注册表路径；所述信任列表记录有信任操作对应的注册表路径。
根据权利要求1所述的方法，其特征在于，所述根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理，包括：

在用户选择的目标处理选项为禁止选项的情况下，禁止所述目标调用请求对应的注册表操作；或者

在用户选择的目标处理选项为允许选项的情况下，允许所述目标调用请求对应的注册表操作；或者

在用户选择的目标处理选项为添加信任选项的情况下，允许所述目标调用请求对应的注册表操作，并将所述目标调用请求对应的注册表路径添加至信任列表。
根据权利要求1或2或3所述的方法，其特征在于，所述方法还包括：

在所述检测结果表征所述注册表操作为正常操作或信任操作的情况下，允许所述目标调用请求对应的注册表操作。
根据权利要求1或2或3所述的方法，其特征在于，所述对所述目标调用请求对应的注册表操作进行检测，包括：

注册表处理模块向检测模块发送所述目标调用请求对应的注册表路径；

所述检测模块向查询模块发送所述目标调用请求对应的注册表路径；

所述查询模块调用数据库接口和/或信任列表接口，根据所述目标调用请求对应的注册表路径，对所述目标调用请求对应的注册表操作进行检测，并向所述检测模块返回检测结果。
根据权利要求5所述的方法，其特征在于，所述在所述检测结果表征所述注册表操作为恶意操作的情况下，显示处理选项，包括：

所述检测模块在所述检测结果表征所述注册表操作为恶意操作的情况下，向显示模块发送处理选项，以使所述显示模块显示处理选项。
一种应用移植环境下注册表操作的处理装置，其特征在于，所述装置包括：注册表处理模块、检测模块、查询模块和显示模块；

其中，所述注册表处理模块、所述检测模块和所述查询模块位于所述兼容层软件对应的兼容层服务进程侧，所述显示模块位于所述兼容层软件对应的视窗服务进程侧；

所述注册表处理模块，用于接收第二操作系统的应用程序针对API发送的调用请求，根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求，并向所述检测模块发送所述目标调用请求对应的注册表路径；

所述检测模块，用于向所述查询模块发送所述目标调用请求对应的注册表路径；

所述查询模块，用于调用数据库接口和/或信任列表接口，根据所述目标调用请求对应的注册表路径，对所述目标调用请求对应的注册表操作进行检测，并向所述检测模块返回检测结果；

所述检测模块，还用于在所述检测结果表征所述注册表操作为恶意操作的情况下，向所述显示模块发送处理选项；

所述显示模块，用于显示所述处理选项；所述处理选项包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

所述注册表处理模块，还用于根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。
一种应用移植环境下注册表操作的处理装置，其特征在于，所述装置应用于运行在第一操作系统上的兼容层软件；所述装置包括：

接收模块，用于经由兼容层服务进程，接收第二操作系统的应用程序针对API发送的调用请求；

获取模块，用于根据所述调用请求中携带的预设标识，从所述调用请求中获取与注册表操作相关的目标调用请求；

检测模块，用于对所述目标调用请求对应的注册表操作进行检测，以得到对应的检测结果；

显示模块，用于在所述检测结果表征所述注册表操作为恶意操作的情况下，显示处理选项；所述处理选项包括：禁止选项、允许选项和添加信任选项；所述添加信任选项用于将所述目标调用请求对应的注册表路径置为信任路径；

处理模块，用于根据用户选择的目标处理选项，对所述目标调用请求对应的注册表操作进行处理。
一种电子设备，其特征在于，包括：处理器；和

存储器，其上存储有可执行代码，当所述可执行代码被执行时，使得所述处理器执行如权利要求1-6中任一项所述的方法。
一种机器可读介质，其上存储有可执行代码，当所述可执行代码被执行时，使得处理器执行如权利要求1-6中任一项所述的方法。