[发明专利]用于提供对引导驱动程序的原始例程的访问的系统和方法有效
申请号: | 201510502331.X | 申请日: | 2015-08-14 |
公开(公告)号: | CN105678160B | 公开(公告)日: | 2019-03-08 |
发明(设计)人: | 维亚切斯拉夫·E·卢萨科夫;安德烈·L·科哲马那夫;尤里·G·帕辛 | 申请(专利权)人: | 卡巴斯基实验室股份制公司 |
主分类号: | G06F21/51 | 分类号: | G06F21/51 |
代理公司: | 北京派特恩知识产权代理有限公司 11270 | 代理人: | 徐川;武晨燕 |
地址: | 俄罗斯*** | 国省代码: | 俄罗斯;RU |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 用于 提供 引导 驱动程序 原始 例程 访问 系统 方法 | ||
公开了用于检测由恶意软件对引导驱动程序例程的访问的系统和方法。一个示例性方法包括:由驱动程序拦截器识别已被加载入存储器中但尚未被初始化的一个或多个引导驱动程序;由所述驱动程序拦截器安装拦截处理程序,所述拦截处理程序可操作用于拦截对所识别的一个或多个引导驱动程序的初始化例程的调用;由所述驱动程序拦截器拦截对所识别的一个或多个引导驱动程序的所述初始化例程的程序调用;由所述拦截处理程序存储由所述驱动程序在其初始化的过程中提供的关于所述引导驱动程序的信息,其中,所述信息至少包含所述引导驱动程序的一个或多个例程的入口点的地址;以及由所述驱动程序拦截器通过先前存储的所述入口点的地址提供对所述引导驱动程序的所述例程的访问。
技术领域
概括而言,本发明涉及计算机安全领域,更具体地说,涉及用于提供到引导驱动程序的原始例程的访问的系统和方法。
背景技术
rootkit是一种类型的恶意软件,其经常被第三方(通常是入侵者)用来获得对计算机系统的访问,以旨在隐藏运行的进程、文件或系统数据,这可以帮助入侵者在用户不知道的情况下保持对系统的访问。rootkit通常隐藏登陆、进程、线程、注册表项、文件以及记录,并且可以包括用于拦截来自终端、网络连接和键盘的数据的软件。rootkit能够感染在操作系统(OS)进行加载期间执行的引导驱动程序,并从而在任何杀毒软件之前被加载系统上。Rootkit还可以以类似过滤器的方式嵌入在操作系统进程中,使得任何常规的恶意软件检测手段无法得到与隐藏的软件或软件片段相关的信息。
检测rootkit的难点之一是由于以下事实:与病毒不同,rootkit通常在计算机开启时在操作系统已完全启动之前激活其自身,并且rootkit通常获得系统权限。另外,rootkit通常会采取措施来掩盖其存在并防止传统的杀毒检测机制识别到其存在。例如,典型的杀毒软件调用系统功能调用来识别当前正在运行的进程。rootkit会拦截该功能调用,并将其自己的返回参数提供给杀毒软件,但掩盖其自己的进程。另外,rootkit通常对检查文件是否包含已知的病毒标签的传统杀毒机制隐藏其所存储在其中的文件。
因此,存在改善对rootkit以及类似类型的恶意软件的检测的需求。
发明内容
公开了用于提供对引导驱动程序的原始例程的访问的系统、方法和计算机程序产品的示例性方面。在一个示例性实施例中,一种用于检测对引导驱动程序例程的访问的方法,所述方法包括:由驱动程序拦截器识别已被加载入存储器中但尚未被初始化的一个或多个引导驱动程序;由所述驱动程序拦截器安装拦截处理程序,所述拦截处理程序可操作用于拦截对所识别的一个或多个引导驱动程序的初始化例程的调用;由所述驱动程序拦截器拦截对所识别的一个或多个引导驱动程序的所述初始化例程的程序调用;由所述拦截处理程序存储由所述驱动程序在其初始化的过程中提供的关于所述引导驱动程序的信息,其中,所述信息至少包含所述引导驱动程序的一个或多个例程的入口点的地址;以及由所述驱动程序拦截器通过先前存储的所述入口点的地址提供对所述引导驱动程序的所述例程的访问。
在一个示例性方面,所述拦截处理程序可操作用于将在引导驱动程序的列表中包含了其指针的所述引导驱动程序的原始入口点的地址用所述拦截处理程序的入口点的地址代替,其中,将所述引导驱动程序的所述原始入口点存储在所述拦截处理程序中。
在一个示例性方面,对引导驱动程序的识别是使用已被加载入所述存储器但尚未被初始化的引导驱动程序的列表来执行的。
在一个示例性方面,所述引导驱动程序的列表由所述驱动程序拦截器在系统注册表中读取。
在一个示例性方面,所述引导驱动程序的列表由所述驱动程序拦截器使用OS引导加载程序来读取。
在一个示例性方面,关于所述引导驱动程序的所述信息被存储在针对所述驱动程序拦截器所分配的存储器区域中。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于卡巴斯基实验室股份制公司,未经卡巴斯基实验室股份制公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510502331.X/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种数据校验方法和系统
- 下一篇:一种防盗单元组件、防盗保护方法及系统