[发明专利]基于虚拟机的内核漏洞检测文件保护方法及装置

权利要求书

1.一种基于虚拟机的内核漏洞检测文件保护方法，所述方法在虚拟机沙箱隔离环境下运行，方法包括：

启动通信代理进程，所述通信代理进程监听指定端口，等待并接收虚拟机外部主机传输的检测包和样本文件，将检测包和样本文件分别存储到检测目录和临时目录下；

启动检测包中的调度管控进程，所述调度管控进程获取样本文件存储路径，识别样本文件类型，根据通用检测配置文件中的配置选项选择检测模式和各检测功能点，以创建针对所述样本文件的目标检测配置文件；其中，针对不同类型的样本文件，选择的检测模式和各检测功能点有所不同；

启动辅助检测进程，所述辅助检测进程利用所述目标检测配置文件控制各检测功能点的开关；

启动核心检测进程，所述核心检测进程接收辅助检测进程发送的样本文件的相关信息以及各检测功能点的开关信息，执行漏洞检测，根据检测结果生成日志文件，将日志文件存储到日志目录下；

其中，在辅助检测进程加载核心检测进程的驱动程序之后，获取各检测子进程的相关信息，将各检测子进程的相关信息写入进程过滤名单中；

获取检测文件的存储路径信息，将检测文件的存储路径信息写入私有目录名单中；其中，检测文件包含所述日志文件；

当产生文件访问操作时，判断文件访问对象的存储路径信息是否记录在私有目录名单中；

若判断出文件访问对象的存储路径信息记录在私有目录名单中，则判断当前上下背景文进程的相关信息是否记录在所述进程过滤名单中；

若判断出当前上下背景文进程的相关信息未记录在所述进程过滤名单中，则拒绝文件访问操作。

2.根据权利要求1所述的方法，所述相关信息具体为EPROCESS结构地址。

3.根据权利要求1或2所述的方法，所述获取检测文件的存储路径信息进一步包括：

接收用户层进程发送的检测文件的存储路径；

根据所述检测文件的存储路径，构造出字符串对象作为检测文件的存储路径信息。

4.根据权利要求3所述的方法，所述接收用户层进程发送的检测文件的存储路径具体为：接收用户层进程通过IO控制码发送的检测文件的存储路径。

5.根据权利要求1所述的方法，所述方法还包括：若判断出文件访问对象的存储路径信息未记录在私有目录名单中，或者，判断出当前上下背景文进程的相关信息记录在所述进程过滤名单中，则继续响应文件访问操作。