本發(fā)明實施例提供的一種Windows進程的系統(tǒng)性保護裝置示意圖����。
[0044]圖5是本發(fā)明另一個實施例提供的一種Windows進程的系統(tǒng)性保護裝置示意圖。
【具體實施方式】
[0045]下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述��。顯然�,所描述的實施例僅是本發(fā)明一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍���。
[0046]如圖1所示��,本發(fā)明實施例提供了一種Windows進程的系統(tǒng)性保護方法�,該方法可以包括以下步驟:
[0047]步驟101:加載內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊����;
[0048]步驟102:將進程保護規(guī)則寫入所述內(nèi)核規(guī)則管理模塊;
[0049]步驟103:將應(yīng)用窗口消息保護模塊注入所述進程保護規(guī)則中要求保護的GUI進程中���;
[0050]步驟104:依據(jù)進程保護規(guī)則�,對進入所述內(nèi)核進程保護模塊或應(yīng)用窗口消息保護模塊的訪問進程或窗口消息進行判斷�;
[0051]步驟105:根據(jù)判斷結(jié)果,對所述訪問進程或窗口消息進行處理��。
[0052]本發(fā)明實施例提供了一種Windows進程的系統(tǒng)性保護方法��,通過加載內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊��,將進程保護規(guī)則寫入內(nèi)核規(guī)則管理模塊,并將應(yīng)用窗口消息保護模塊注入進程保護規(guī)則中要求保護的GUI進程中�,當有訪問進程或窗口消息訪問內(nèi)核進程或GUI進程時,訪問進程或窗口消息首先對應(yīng)進入內(nèi)核進程保護模塊或應(yīng)用窗口消息保護模塊����,內(nèi)核進程保護模塊或應(yīng)用窗口消息保護模塊發(fā)出請求,由內(nèi)核規(guī)則管理模塊對訪問進程或窗口消息進行判斷����,內(nèi)核進程保護模塊或應(yīng)用窗口消息保護模塊根據(jù)判斷結(jié)果對問進程或窗口消息做出相應(yīng)的處理。由用戶定義進程保護規(guī)則����,能夠更加的有效過濾對內(nèi)核進程和GUI進程進行非法終止、破壞的訪問進程和窗口消息�,從而提升Windows進程保護的可靠性。
[0053]在本發(fā)明一個實施例中��,內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊通過內(nèi)核驅(qū)動的方式實現(xiàn)�����,在初次安裝之后�����,隨操作系統(tǒng)運行自動運行,應(yīng)用窗口消息保護模塊通過Windows標準動態(tài)庫的方式實現(xiàn)�����,與被注入的⑶I進程一同運行�,這樣���,當系統(tǒng)或⑶I進程運行時����,內(nèi)核進程保護模塊����、內(nèi)核規(guī)則管理模塊和應(yīng)用窗口消息保護模塊隨之啟動,對相應(yīng)訪問進程和窗口消息進行過濾��,實時保護Windows進程不被非法終止或破壞����。
[0054]在本發(fā)明一個實施例中,進程保護規(guī)則包括對內(nèi)核進程和GUI進程過濾兩部分���,其中�,對內(nèi)核進程進行訪問主要包括對內(nèi)核進程進行終止、寫入內(nèi)核進程內(nèi)存地址空間���、在內(nèi)核進程中創(chuàng)建遠程線程等訪問行為���,如果該訪問進程的訪問行為是正常的訪問過程,則為允許訪問����,如果該訪問過程是對內(nèi)核進程進行非法關(guān)閉或破壞,則為不允許訪問�;針對GUI進程,則首先確定要進行保護的GUI進程�,再確定對該GUI進程進行運行的窗口消息是否為非法終止或退出的破壞消息,如果是則不允許����,否則為允許。這樣將對windows進程的保護既包括針對內(nèi)核進程的訪問進程���,也包括針對GUI進程的窗口消息���,不僅過濾非法終止行為,還將過濾非法退出或破壞行為����,對訪問進程和窗口消息均進行過濾���,使windows進程得到更加全面的保護。
[0055]在本發(fā)明一個實施例中��,在首次將進程保護規(guī)則寫入內(nèi)核規(guī)則管理模塊的同時��,還將進程保護規(guī)則寫入硬盤���,進行永久的保存,當系統(tǒng)重新啟動后��,直接從硬盤讀取進程保護規(guī)則寫入內(nèi)存����,同時,在對進程保護規(guī)則更新時���,也會對硬盤上的進程保護規(guī)則��,避免每次重啟都需人工更新的麻煩�。
[0056]在本發(fā)明一個實施例中�����,根據(jù)內(nèi)核規(guī)則管理模塊的判斷結(jié)果,對攔截到的訪問進程或窗口消息進行處理���,如果訪問進程或窗口消息被判斷為不允許訪問或運行��,則對其進行組織���,防止其對windows進程的破壞,否則繼續(xù)向下傳遞����,保證正常訪問過程或運行過程的執(zhí)行。
[0057]在本發(fā)明一個實施例中��,用戶可以通過主服務(wù)進程模塊��,對保護windows進程的各個模塊進行卸載���,實現(xiàn)用戶的特殊需求�����,還可以通過配置文件的形式對內(nèi)核規(guī)則管理模塊中的進程保護規(guī)則進行添加��、刪除或修改���,并根據(jù)更新后的進程保護規(guī)則���,將應(yīng)用窗口消息保護模塊注入到新規(guī)則中要求保護的GUI進程中,能夠根據(jù)實際要求實時對過濾規(guī)則進行維護和更新�����,保證對各種非法進程都能夠有效的過濾�����,提升對Windows進程保護的系統(tǒng)性���。
[0058]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚���,下面結(jié)合附圖及具體實施例對本發(fā)明作進一步地詳細描述����。
[0059]如圖2所示����,本發(fā)明一個實施例提供了一種Windows進程的系統(tǒng)性保護方法�����,該方法可以包括以下步驟:
[0060]步驟201:安裝主服務(wù)進程模塊����。
[0061]在本發(fā)明一個實施例中�����,主服務(wù)進程模塊通過Windows應(yīng)用程序的方式實現(xiàn)���。
[0062]步驟202:加載內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊��。
[0063]在本發(fā)明一個實施例中�����,內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊的加載是由主服務(wù)進程模塊實現(xiàn)的�,主服務(wù)進程模塊安裝后����,首先加載內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊�����,這兩個內(nèi)核模塊以內(nèi)核驅(qū)動的方式實現(xiàn)��,并將其設(shè)置為隨操作系統(tǒng)自動運行����。
[0064]步驟203:將進程保護規(guī)則寫入內(nèi)核規(guī)則管理模塊�����。
[0065]在本發(fā)明一個實施例中����,管理員將進程保護規(guī)則寫入配置文件,主服務(wù)進程模塊從配置文件中獲取初始的進程保護規(guī)則����,并將其寫入內(nèi)核規(guī)則管理模塊����。
[0066]步驟204:將應(yīng)用窗口消息保護模塊注入進程保護規(guī)則中要求保護的GUI進程中。
[0067]在本發(fā)明一個實施例中,根據(jù)進程保護規(guī)則��,主服務(wù)進程模塊在要求保護的GUI進程中注入窗口消息保護模塊�����,其中�,窗口消息保護模塊以Windows標準動態(tài)庫的方式實現(xiàn),并使其同⑶I進程一起運行����。
[0068]步驟205:判斷訪問進程的訪問或窗口消息的運行是否被允許,如果是����,則執(zhí)行步驟206,否則執(zhí)行步驟207�����。
[0069]在本發(fā)明一個實施例中�,當出現(xiàn)如進程A要終止進程B、進程A要寫入進程B的內(nèi)存地址空間��、進程A要在進程B中創(chuàng)建遠程線程等進程間的訪問行為時���,則訪問進程會自動進入內(nèi)核進程保護模塊�,內(nèi)核進程保護模塊向內(nèi)核規(guī)則管理模塊發(fā)送請求,詢問截獲的訪問進程是否符合要求�,內(nèi)核規(guī)則管理模塊根據(jù)進程保護規(guī)則,對該訪問進程進行判斷��,如果判斷為允許����,則執(zhí)行步驟206,如果判斷為不允許�,則執(zhí)行步驟207。例如���,訪問進程A要對當前進程B進行訪問��,那么訪問進程A就會自行進入內(nèi)核進程保護模塊����,內(nèi)核進程保護模塊向內(nèi)核規(guī)則管理模塊詢問進程A的訪問行為是不是允許�����,內(nèi)核規(guī)則管理模塊根據(jù)進程保護規(guī)則對進程A進行判斷��,如果訪問進程A對當前進程B的訪問行為符合進程保護規(guī)則的要求��,則判斷為允許���,然后執(zhí)行步驟206���,如果訪問進程A對當前進程B的訪問行為不符合進程保護規(guī)則的要求,則判斷為不允許����,則執(zhí)行步驟207。
[0070]在本實施例一個實施例中�,可以將被注入應(yīng)用窗口消息保護模塊的GUI進程稱為宿主進程,在宿主進程運行期間����,收到任何一條窗口消息時,該窗口消息首先被應(yīng)用窗口消息保護模塊截獲�����,應(yīng)用窗口消息保護模塊向內(nèi)核規(guī)則管理模塊發(fā)送請求����,詢問該窗口消息是否被允許�,內(nèi)核規(guī)則管理模塊查詢進程保護規(guī)則�,對該窗口消息進行判斷,如果判斷為允許���,則執(zhí)行步驟206�����,如果判斷為不允許�,則執(zhí)行步驟207����。例如,宿主進程B受到窗口消息A���,則窗口消息A首先進入應(yīng)用窗口消息保護模塊���,應(yīng)用窗口消息保護模塊向內(nèi)核規(guī)則管理模塊詢問窗口消息A是否被允許,內(nèi)核規(guī)則管理模塊查詢進程保護規(guī)則是否允許該窗口消息關(guān)聯(lián)的窗口過程函數(shù)運行���,如果允許則執(zhí)行步驟206����,如果不允許則執(zhí)行步驟207�����。
[0071]步驟206:將訪問進程或窗口消息繼續(xù)向下傳遞��,結(jié)束當前流程��。
[0072]在本發(fā)明一個實施例中��,內(nèi)核規(guī)則管理模塊對訪問進程或窗口消息判斷為允許時���,內(nèi)核進程保護模塊或應(yīng)用窗口消息保護模塊將訪問進程或窗口消息繼續(xù)向下傳遞����,針對訪問進程操作系統(tǒng)正常完成此訪問過程����,針對窗口消息則正常處理此窗口消息。例如�����,訪問進程A要寫入當前進程B的內(nèi)存地址空間���,