[发明专利]Windows驱动层实现的网页防篡改方法

说明书

技术领域：

本发明涉及一种Windows驱动层实现的网页防篡改方法。

背景技术：

 外部网站因需要被公众访问而暴露于因特网上，因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段，但现代操作系统的复杂性和多样性导致系统漏洞层出不穷，防不胜防。黑客入侵和篡改页面的事件时有发生。针对此，网页防篡改系统应运而生。目前市场上的网页防篡改系统产品大部分主要采用了轮询机制或事件触发机制，轮询扫描机制存在扫描间隔，黑客可以在扫描间隔期间攻击系统并使访问者访问到被篡改的网页，而且轮询技术存在检测效率较低，对服务器负载以及带宽资源消耗较大等缺点。事件触发式的网页防篡改系统，也是一种被动式的策略，不能保证外界看不到篡改后的网页。而且如果黑客采用大规模的篡改活动，这种响应机制将变得很慢而不可取。

发明内容：

本发明所解决的技术问题是提供一种可以克服轮询机制和事件触发机制存在的响应慢、资源占用高等缺点的Windows驱动层实现的网页防篡改方法。

为解决上述的技术问题，本发明采取的技术方案：

一种Windows驱动层实现的网页防篡改方法，其特殊之处在于：在驱动层监控相关文件操作的内核调用函数，根据该调用的发起进程及其要操作的目标文件来决定是否允许此次操作，从而实现网页防篡改，具体步骤如下：

（1）、在Web服务器上安装Windows驱动模块并挂钩监视相关文件操作的内核服务调用函数；

（2）、通过应用层管理客户端下发防篡改策略到内核；

（3）、驱动层根据下发的策略执行网页防篡改功能。

上述的网页防篡改方法的步骤（1）中内核服务调用函数包括ZwCreateFile、ZwWriteFile和ZwSetInformationFile。

与现有技术相比，本发明的有益效果：

本发明与目前常用的轮询技术和事件触发技术相比，驱动层网页防篡改技术具有资源占用低、响应速度快、不存在网页被篡改的可能等显著的优点。

附图说明：

图1为本发明的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

使用Windows SSDT HOOK从驱动层实现的网页防篡改方法，SSDT 的全称是 System Services Descriptor Table，系统服务描述符表，这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来，SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等，通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook，从而实现对一些关心的系统动作进行过滤、监控的目的，在 NT 4.0 以上的 Windows 操作系统中，默认就存在两个系统服务描述表，这两个调度表对应了两类不同的系统服务，这两个调度表为：KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow，其中KeServiceDescriptorTable主要是处理来自Ring3层得Kernel32.dll中的系统调用，而KeServiceDescriptorTableShadow则主要处理来自 User32.dll和GDI32.dll 中的系统调用，并且 KeServiceDescriptorTable在ntoskrnl.exe(Windows 操作系统内核文件，包括内核和执行体层)是导出的，而KeServiceDescriptorTableShadow 则是没有被 Windows 操作系统所导出，而关于 SSDT 的全部内容则都是通过 KeServiceDescriptorTable 来完成的，该方案hook几个Windows文件操作API函数，在驱动层监控相关文件操作的内核调用函数，根据该调用的发起进程及其要操作的目标文件来决定是否允许此次操作，从而实现网页防篡改，参见图1具体步骤如下：

（1）、在Web服务器上安装Windows驱动模块并挂钩监视相关文件操作的内核服务调用函数；

（2）、通过应用层管理客户端下发防篡改策略到内核；

（3）、驱动层根据下发的策略执行网页防篡改功能。

上述的网页防篡改方法的步骤（1）中内核服务调用函数包括ZwCreateFile、ZwWriteFile和ZwSetInformationFile。