內(nèi)核規(guī)則管理模塊判斷此過程為允許��,那訪問進程A要寫入當前進程B內(nèi)存地址空間這一過程將繼續(xù)向下傳遞����,操作系統(tǒng)正常完成訪問進程A的寫入過程;窗口消息A要對注入應用窗口消息保護模塊的GUI進程B進行運行����,內(nèi)核規(guī)則管理模塊判斷為允許運行�����,則窗口消息A繼續(xù)向下傳遞�,投遞到窗口過程函數(shù)���,GUI進程正常處理此窗口消息。
[0073]步驟207:阻止訪問進程或窗口消息的運行�����。
[0074]在本發(fā)明一個實施例中����,內(nèi)核規(guī)則管理模塊對訪問進程和窗口消息判斷為不允許時,內(nèi)核進程保護模塊或應用窗口消息保護模塊將對訪問進程和窗口消息進行攔截�,針對訪問進程操作系統(tǒng)會拒絕此訪問,針對窗口消息則該窗口消息將被丟棄��,GUI進程無法處理該窗口消息�。例如,訪問進程A要終止當前進程B���,內(nèi)核規(guī)則管理模塊判斷此過程不允許����,那內(nèi)核進程保護模塊將攔截訪問進程A,操作系統(tǒng)拒絕此終止過程�����;窗口消息A要對注入應用窗口消息保護模塊的GUI進程B進行運行����,內(nèi)核規(guī)則管理模塊判斷為不允許運行,那應用窗口消息保護模塊將攔截窗口消息A�,并將窗口消息A丟棄,GUI進程B不會對窗口消息A進行處理���。
[0075]在本發(fā)明一個實施例中���,用戶還可以通過命令對各個模塊進行關(guān)閉或?qū)M程保護規(guī)則進行管理,其主要方法如圖3所示:
[0076]步驟301:主服務進程模塊等待用戶的命令��。
[0077]在本發(fā)明一個實施例中�,主服務進程模塊完成上述步驟202至步驟204后,一直處于等待用戶命令的狀態(tài)��。
[0078]步驟302:主服務進程模塊接收用戶發(fā)送的命令并判斷命令是否為退出命令,如果是����,則執(zhí)行步驟303,否則執(zhí)行步驟304����。
[0079]步驟303:主服務進程模塊將各個模塊卸載,然后自己也退出運行�����,結(jié)束當前流程�����。
[0080]在本發(fā)明一個實施例中����,首先主服務進程模塊分別將內(nèi)核進程保護模塊�、內(nèi)核規(guī)則管理模塊和應用窗口消息保護模塊卸載,然后主服務進程模塊也退出運行�����。
[0081]步驟304:從命令參數(shù)中提取輸入進程保護規(guī)則的類型和內(nèi)容。
[0082]在本發(fā)明一個實施例中���,用戶可以通過主服務進程模塊對進程保護規(guī)則進行管理���,包括對進程保護規(guī)則的添加、刪除或者修改�����,主服務進程模塊收用戶的命令����,如果不是退出命令,那該命令一定是進程保護規(guī)則管理命令�����,主服務進程模塊從用戶提交的命令中提取進程保護規(guī)則的類型和內(nèi)容�����,例如提取出需要保護的GUI進程名稱或需要攔截的訪問進程的類型�����。
[0083]步驟305:將新的進程保護規(guī)則寫入內(nèi)核規(guī)則管理模塊和硬盤。
[0084]在本發(fā)明一個實施例中����,根據(jù)所提取的進程保護規(guī)則的類型和內(nèi)容,主服務進程模塊將新的進程保護規(guī)則寫入內(nèi)存和硬盤��,替換舊的進程保護規(guī)則��,其中���,內(nèi)存中的進程保護規(guī)則寫在內(nèi)核規(guī)則管理模塊�,之后內(nèi)核規(guī)則管理模塊根據(jù)新的進程保護規(guī)則�����,對進入內(nèi)核進程保護模塊和應用窗口消息保護模塊的訪問進程或窗口消息進行判斷��,同時對硬盤上的進程保護規(guī)則也進行了更新��,用于系統(tǒng)重啟后將進程重新寫入內(nèi)存���。
[0085]步驟306:把應用窗口消息保護模塊注入到最新規(guī)則中要求保護的所述GUI進程中。
[0086]在本發(fā)明一個實施例中���,如果用戶提交的管理命令是對進程保護規(guī)則中增加需要保護的GUI進程���,那么主服務進程模塊將新的進程保護規(guī)則寫入內(nèi)核規(guī)則管理模塊后�����,根據(jù)新進程保護規(guī)則的要求�,將應用窗口消息保護模塊注入新增加的GUI進程中�。例如,新的進程保護規(guī)則中添加了對GUI進程I和GUI進程2的進行保護��,那么主服務進程模塊就將應用窗口保護模塊注入⑶I進程I和⑶I進程2中����,對⑶I進程I和⑶I進程2進行保護。
[0087]需要說明的是�,上述步驟306只在用戶要增加保護的GUI進程時執(zhí)行,其他管理進程保護規(guī)則的命令不執(zhí)行����;上述圖3所示的各個步驟是用戶對進程保護規(guī)則進行維護、更新或使各個模塊退出運行��,在實際的業(yè)務實現(xiàn)中���,步驟301至步驟306可以插入到步驟205至步驟207中連個相鄰步驟之間�,或插入步驟207之后,或與步驟205至步驟207同時執(zhí)行�。
[0088]如圖4所示,本發(fā)明一個實施例提供了一種Windows進程的系統(tǒng)性保護裝置��,該裝置可以包括:
[0089]加載單元401����,用于加載內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊;
[0090]寫入單元402��,用于將進程保護規(guī)則寫入所述內(nèi)核規(guī)則管理模塊�����;
[0091 ] 注入單元403��,用于將應用窗口消息保護模塊注入所述進程保護規(guī)則中要求保護的GUI進程中����;
[0092]判斷單元404��,用于依據(jù)進程保護規(guī)則���,對進入所述內(nèi)核進程保護模塊或應用窗口消息保護模塊的訪問進程或窗口消息進行判斷�;
[0093]處理單元405,用于根據(jù)判斷結(jié)果���,對所述訪問進程或窗口消息進行處理��。
[0094]在本發(fā)明一個實施例中�����,所述寫入單元��,用于利用所述主服務進程模塊����,在首次寫入時��,將所述進程保護規(guī)則分別寫入內(nèi)存和硬盤���,內(nèi)存上的進程保護規(guī)則寫在所述內(nèi)核規(guī)則管理模塊內(nèi)��,硬盤上的進程保護規(guī)則永久保存在硬盤上����,當Windows系統(tǒng)重新啟動時,所述主服務進程模塊從硬盤上讀取所述進程保護規(guī)則�����,并將其重新寫入所述內(nèi)核規(guī)則管理模塊����。
[0095]在本發(fā)明一個實施例中,所述判斷單元��,用于通過所述內(nèi)核規(guī)則管理模塊��,依據(jù)所述進程保護規(guī)則����,對進入所述內(nèi)核進程保護模塊的訪問進程或進入應用窗口消息保護模塊的窗口消息進行判斷,判斷所述訪問進程的訪問行為或所述窗口消息的運行行為是否被允許����。
[0096]在本發(fā)明一個實施例中,所述處理裝置��,用于根據(jù)判斷結(jié)果��,如果所述訪問進程的訪問行為或所述窗口消息的運行行為不被允許�,則阻止所述訪問進程或丟棄所述窗口消息,如果所述訪問進程的訪問行為或所述窗口消息的運行行為被允許���,則所述訪問進程或窗口消息繼續(xù)向下傳遞���。
[0097]在本發(fā)明一個實施例中,參見圖5�,該裝置還可以包括:
[0098]安裝單元501,用于安裝主服務進程模塊�����,所述主服務進程模塊通過Windows應用程序的方式實現(xiàn)�;
[0099]卸載單元502,用于用戶通過向所述主服務進程模塊發(fā)送命令�,所述主服務進程模塊判斷所述命令類型,如果所述命令是退出命令��,那就卸載所述所有模塊�,然后所述主服務進程模塊也退出運行;
[0100]管理單元503����,用于用戶通過向所述主服務進程模塊發(fā)送命令�,所述主服務進程模塊判斷所述命令類型�,如果命令是針對所述進程保護規(guī)則管理命令,則從所述命令參數(shù)中獲取輸入進程保護規(guī)則的類型和內(nèi)容�����,然后將新的進程保護規(guī)則寫入內(nèi)核規(guī)則管理模塊和硬盤����,重新把所述應用窗口消息保護模塊注入到最新規(guī)則中要求保護的所述GUI進程中。
[0101]需要說明的是��,本發(fā)明一個實施例中��,加載單元401���、寫入單元402����、注入單元403�、卸載單元502、管理單元503均布置于主服務進程模塊內(nèi)�。
[0102]根據(jù)上述方案,本發(fā)明的實施例所提供的一種Windows進程的系統(tǒng)性保護方法及裝置���,至少具有如下有益效果:
[0103]1�、在本發(fā)明實施例中,通過加載內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊���,將進程保護規(guī)則寫入內(nèi)核規(guī)則管理模塊,并將應用窗口消息保護模塊注入進程保護規(guī)則中要求保護的GUI進程中�����,當有訪問進程或窗口消息訪問內(nèi)核進程或GUI進程時��,訪問進程或窗口消息首先對應進入內(nèi)核進程保護模塊或應用窗口消息保護模塊�����,內(nèi)核進程保護模塊或應用窗口消息保護模塊發(fā)出請求���,由內(nèi)核規(guī)則管理模塊對訪問進程或窗口消息進行判斷���,內(nèi)核進程保護模塊或應用窗口消息保護模塊根據(jù)判斷結(jié)果對問進程或窗口消息做出相應的處理。通過這種保護方法�����,由用戶定義進程保護規(guī)則,能夠更加的有效過濾對內(nèi)核進程和GUI進程進行非法終止��、破壞的訪問進程和窗口消息���,從而提升Windows進程保護的可靠性�����。
[0104]2�、在本發(fā)明實施例中����,內(nèi)核進程保護模塊和內(nèi)核規(guī)則管理模塊通過內(nèi)核驅(qū)動的方式實現(xiàn),在初次安裝之后����,隨操作系統(tǒng)運行自動運行,應用窗口消息保護模塊通過Windows標準動態(tài)庫的方式實現(xiàn)���,與被注入的CTI進程一同運行���,這樣,當系統(tǒng)或CTI進程運行時�,內(nèi)核進程保護模塊��、內(nèi)核規(guī)則管理模塊和應用窗口消息保護模塊隨之啟動�,對相應訪問進程和窗口消息進行過濾�����,實時保護Windows進程