[发明专利]基于操作系统内核级缓冲区对动态链接库加载校验的方法

权利要求书

1.基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，包括以下步骤：

S1：对所有经过内核的动态链接库加载调用请求进行拦截；

S2：将拦截得到所加载的动态链接库文件映射数据放入缓冲区；

S3：对所加载的动态链接库数据缓冲区数据进行散列算法处理；

S4：对缓冲区内的数据进行散列算法识别、审计并控制。

2.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，所述步骤S1中，在拦截动态链接库加载调用请求时，同时对原本的调用过程进行挂机。

3.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，所述步骤S1中当非动态链接库加载请求出现时正常放行不进行拦截。

4.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，所述步骤S2中将拦截得到所加载的动态连接库文件映像内存地址中的动态链接库文件数据放入定义的识别缓冲区中，所述步骤S2中要求得到S1中的加载请求。

5.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，所述步骤S3中,对所加载的动态链接库交互数据缓冲区对数据进行散列算法后得到的文件HASH值，所述步骤S3中要求得到S2中的缓冲区数据。

6.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，所述步骤S4对缓冲区内的数据进行散列算法识别、审计并控制具体包括以下步骤：

S4.1：对缓冲区内的数据进行散列算法后得到的HASH散列值进行识别、审计；

S4.2：把该行为交付给决策管理是否允许加载动态链接库文件。

7.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，Windows操作系统所加载动态链接库的行为均为系统IRP请求，处于内核级拦截加载动态链接库IRP请求，实现内核级的缓冲区动态链接库文件数据的散列算法计算并得到HASH散列值进行识别、审计和控制是否允许加载。

8.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，所述步骤S3对所加载的动态链接库数据缓冲区数据进行散列算法处理，其中，缓冲区数据为动态链接库文件数据可抽样进行散列算法计算或是全量动态链接库文件数据散列算法计算中的任一种。

9.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法，其特征在于，所述步骤S4对缓冲区内的数据进行散列算法识别、审计并控制中，所述识别、审计、控制为识别规则库、审计记录系统、控制决策系统。