[发明专利]一种驱动层防注入方法、装置及客户端

权利要求书

1.一种驱动层防注入方法,其特征在于，所述方法包括如下步骤：

创建驱动层防注入动态链接库,所述驱动层防注入动态链接库包含钩子函数和驱动层注入模块名单，所述钩子函数为所述驱动层防注入动态链接库加载函数的钩子函数；

建立所述驱动层防注入动态链接库与应用程序之间的静态链接，以使得所述应用程序的主线程被建立时，所述驱动层防注入动态链接库被首先调用，所述钩子函数和所述驱动层注入模块名单被加载；

响应于所述应用程序的主线程对第三方模块的加载，判断所述被加载的钩子函数返回的第三方模块是否属于所述驱动层注入模块名单；

若是，通过钩子函数拦截所述返回的第三方模块。

2.根据权利要求1所述的方法，其特征在于，所述驱动层注入模块名单通过如下步骤获得：

注册驱动层映像加载回调函数；

根据所述驱动层映像加载回调函数判断是否加载指定动态链接库；若是，则分析蓝屏源；

分析蓝屏源,判断崩溃的栈是否为指定栈，若是，则判断所述指定动态链接库是通过驱动层注入的；

将所述指定动态链接库加入驱动层注入模块名单。

3.根据权利要求1所述的方法，其特征在于，所述驱动层防注入动态链接库,仅依靠ntdll.dll、user32.dll和kernel 32.dll建立。

4.根据权利要求1所述的方法，其特征在于，判断所述被加载的钩子函数返回的第三方模块是否属于所述驱动层注入模块名单步骤包括：

建立循环函数；

在所述循环函数的循环中逐一比较所述被加载的钩子函数返回的第三方模块与所述驱动层注入模块名单中的每一个注入模块。

5.根据权利要求1所述的方法，其特征在于，所述通过钩子函数拦截所述返回的第三方模块包括：在所述钩子函数中将所述钩子函数返回的所述第三方模块所引用的动态链接库句柄设置为空值。

6.一种驱动层防注入装置,其特征在于，所述装置包括如下模块：

驱动层防注入动态链接库创建模块，用于创建驱动层防注入动态链接库,所述驱动层防注入动态链接库包含钩子函数和驱动层注入模块名单，所述钩子函数为所述驱动层防注入动态链接库加载函数的钩子函数；

静态链接建立模块，用于建立应用程序与所述驱动层防注入动态链接库之间的静态链接，以使得当所述应用程序的主线程被建立时，所述驱动层防注入动态链接库被首先调用，所述钩子函数和所述驱动层注入模块名单被加载；

判断模块，用于响应所述应用程序的主线程对第三方模块的加载，判断所述被加载的钩子函数返回的第三方模块是否属于所述驱动层注入模块名单；

拦截模块，用于在被加载的钩子函数返回的第三方模块属于所述驱动层注入模块名单时，通过钩子函数拦截返回的所述第三方模块。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括驱动层注入模块名单获取模块，其包括如下子模块：

注册模块，用于注册驱动层映像加载回调函数；

第一判断模块，用于根据所述驱动层映像加载回调函数判断是否加载指定动态链接库；

蓝屏源分析模块，用于在所述驱动层映像加载回调函数加载指定动态链接库时，分析蓝屏源,判断崩溃的栈是否为指定栈；

注入名单写入模块，用于在所述指定动态链接库是通过驱动层注入时，将所述指定动态链接库加入驱动层注入模块名单。

8.根据权利要求6所述的装置，其特征在于，驱动层防注入动态链接库创建模块，仅依靠ntdll.dll、user32.dll和kernel 32.dll建立所述驱动层防注入动态链接库。

9.根据权利要求6所述的装置，其特征在于，所述判断模块包括如下子模块：

循环建立模块，用于建立循环函数；

循环比较模块，用于在所述循环函数的循环中逐一比较所述被加载的钩子函数返回的第三方模块与所述驱动层注入模块名单中的每一个注入模块。