[发明专利]一种基于Windows操作系统中运行可执行文件的审计方法

权利要求书

1.一种基于Windows操作系统中运行可执行文件的审计方法，其特征在于包括以下步骤：

S100：设置服务器运行环境，包括运行https网页服务，用以提供操作接口及客户端通信；

S200：在客户端安装并运行主机安全加固软件，检查客户端和服务器之间的网络连接是否正常，其中，安装时设置服务器的IP地址和端口号，用以建立客户端和服务器之间的网络连接；

S300：客户端扫描自身系统分区中所有可执行文件，并采用DJB Hash算法生成原始可信应用列表，其中，DJB Hash算法用以校验并加密所述可信应用列表的记录，以确保所述记录的唯一性；所述可信应用列表的记录包含可信任的可执行文件的名称及路径；

S400：审计客户端运行的可执行文件，具体包括以下步骤：

S401：检测客户端运行的文件；

S402：判断当前文件是否为可执行文件，如果是，执行步骤S403，否则执行步骤S401；

S403：客户端驱动层程序运行windows的API函数，用以调用回调函数，所述回调函数获取可执行文件的信息并拦截可执行文件，所述可执行文件的信息包含可执行文件的名称、路径、进程ID、线程ID及进程句柄；

S404：对所述可执行文件的信息采用DJB Hash算法以生成当前可执行文件的名称及路径并在所述可信应用列表中遍历查找是否存在当前可执行文件的名称及路径，如果是，执行步骤S406，否则执行步骤S405；

S405：客户端向服务器发出申请，将当前可执行文件的名称添加至所述可信应用列表，执行步骤S500；

S406：执行当前可执行文件并结束流程；

S500：服务器确认当前可执行文件的安全性，根据确认的结果选择“允许”或者“拒绝”来回应客户端；

S600：客户端接收服务器的回应，根据回应进行操作：如果回应是“允许”，那么客户端将当前可执行文件加入到所述可信应用列表中并运行当前可执行文件；如果回应是“拒绝”，则客户端不运行当前可执行文件。

2.根据权利要求1所述的一种基于Windows操作系统中运行可执行文件的审计方法，其特征在于，所述步骤S200中所述端口号为443。

3.根据权利要求1所述的一种基于Windows操作系统中运行可执行文件的审计方法，其特征在于，所述windows的API函数包含PsSetCreateProcessNotifyRoutineEx函数和PsSetCreateThreadNotifyRoutineEx函数；所述PsSetCreateProcessNotifyRoutineEx函数在当有进程创建或退出时调用所述回调函数，所述PsSetCreateThreadNotifyRoutineEx函数在有线程创建时调用所述回调函数。