[发明专利]基于PE文件的实时监控系统授权管理方法

说明书

技术领域

本发明涉及一种基于PE文件的实时监控系统授权管理方法，是一种基于PE格式的可执行文件的实时监控系统授权码管理的新方案，属于计算机信息技术领域。

背景技术

随着计算机、通信技术的飞速发展，信息安全已成为当前信息时代的一个重要问题。在信息安全领域，入侵检测技术是信息安全领域非常重要的一项技术。在此，入侵检测系统(Intrusion detection systems，IDS)用来对计算机用户可能遭受的攻击产生警报，它可以分析和过滤网络数据包，以及监控系统中的程序行为以防止危险操作的发生。实时监控技术是入侵检测技术的一种，它能够监控计算机系统上运行的所有程序，拦截未授权的操作，由用户决定是否继续下一步的调用。授权管理是指实时监控系统按照某种方式删除、添加以及查找用户对此程序的相关授权记录的方法。由于系统的易用性直接影响了实时监控系统的销售量，而授权管理的方法是系统易用性的一个重要方面。就授权管理而言，现有实时监控系统授权管理都是以文件存放的绝对路径来区分不同的可执行文件，从而辨认不同的可执行文件的授权。这种授权管理方法存在一定的缺陷，例如，当可执行文件的名字或者存放路径发生改变时，即使可执行文件的内容没有发生修改，监控系统却识辨不出此可执行文件，所以需要对此可执行文件重新进行一次繁琐的授权，这便降低了系统的易用性。

时至今日，利用网络技术，以网络为载体频频暴发的间谍程序、蠕虫病毒、邮件病毒、QQ病毒、MSN病毒、游戏木马等网络新病毒，已经颠覆了传统的病毒概念。与传统的计算机病毒相比，网络病毒具有以下特点：传播速度大大加快、数量与种类越来越多、病毒暴发范围广、攻击途径多样化等。在这种趋势下，传统的基于病毒特征码的扫描技术已经显得捉襟见肘，而基于行为分析的实时监控系统便显得越来越重要。而如今实时监控系统并不像基于特征码扫描的杀毒软件一样普及，其中有个很重要的原因是实时监控系统的易用性不高，例如它要求用户对所有运行于操作系统的程序进行繁琐的授权且必须对更改文件名或者更改了存放路径的可执行文件重新授权，再者，如果存放授权的文件或者数据库损坏，那么用户不得不对所有的程序再次授权。以上的这些弊端最终将导致用户不能容忍频繁反复的授权而最终放弃了实时监控系统的使用。所以，如果能够实现新的授权管理方案以提高实时监控系统的易用性，这将非常有利于实时监控系统的普及。

经对现有技术文献的检索，发现没有任何实时监控系统能够识别改名或者更改路径但是代码却没有变化的可执行文件。

发明内容

本发明的目的在于针对现有实时监控系统授权管理的不足，提供一种基于PE文件的实时监控系统授权管理方法，使PE格式的可执行文件即使改名或者改变存放路径后系统依然能够识别获取其授权码，无需再对此重新授权。

为实现这一目的，本发明在写入授权码时，先在内存授权表中设定授权码并加密，在获取要授权的可执行文件的全局路径后，将授权码密文写入PE可执行文件中的可利用字段；读出时，系统获取要授权的可执行文件的全局路径后，根据判断从PE文件中的可利用字段或者数据库文件中读取授权码密文并解密，再判断授权码是否被篡改，然后将解密后的授权码写入内存的授权表中备用。本发明对授权码加密并直接写入PE格式的可执行文件中的可利用字段，即使PE格式的可执行文件改名或者改变存放路径，系统依然能够准确识别并获取其授权码，无需再对改名或者改路径后的文件重新授权，从而提高了实时监控系统的易用性。

本发明的方法具体包括：授权码写入过程和授权码读取过程。其中：

所述授权码写过程，其步骤如下：

1)系统获取要授权的可执行文件的全局路径。

2)系统保存一个初始密钥，并在内存授权表中设定进程文件的授权码，其格式为：