[发明专利]一种检测傀儡进程创建的方法及系统

权利要求书

1.一种检测傀儡进程创建的方法，其特征在于，包括：

编写驱动程序，注册进程句柄的前操作回调函数；

在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径；

获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中；

若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建；

若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限。

2.根据权利要求1所述的检测傀儡进程创建的方法，其特征在于，所述编写驱动程序，注册进程句柄的前操作回调函数，包括：

调用ObRegisterCallbacks内核编程接口函数注册进程句柄的ObjectPreCallback前操作回调函数；

设置该前操作回调函数的第二个参数记为PreOperationInfo，包含进程句柄对应的内核对象。

3.根据权利要求1所述的检测傀儡进程创建的方法，其特征在于，所述在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径，包括：

第一判断，若前操作回调函数中当前IRQL中断请求级别不为被动级别PASSIVE_LEVEL，则返回成功；

或者，进行第二判断，若当前句柄为内核句柄，则返回成功；

或者，进行第三判断，若进程句柄对应的内核对象类型PreOperationInfo-ObjectType不为进程对象*PsProcessType，则返回成功；

或者，进行第四判断，若进程句柄对应的内核对象PreOperationInfo-Object等于当前进程对象，则返回成功；

或者，进行第五判断，若对进程句柄的操作PreOperationInfo-Operation既不为句柄创建OB_OPERATION_HANDLE_CREATE，也不为句柄复制OB_OPERATION_HANDLE_DUPLICATE，则返回成功。

4.根据权利要求3所述的检测傀儡进程创建的方法，其特征在于，所述获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中，包括：

获取当前进程的文件的完整路径，查找当前进程的文件路径是否在文件路径白名单里，若在则返回成功；

若当前进程不在文件路径白名单，则计算该文件内容的hash散列值，查找该hash散列值是否在hash散列值路径白名单中，若在hash散列值白名单中则返回成功。

5.根据权利要求1所述的检测傀儡进程创建的方法，其特征在于，所述若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建，包括：

判断为进程句柄授予的权限DesiredAccess中是否包含进程虚拟内存写权限PROCESS_VM_WRITE或者进程虚拟内存操作权限PROCESS_VM_OPERATION；

将为进程句柄授予的权限DesiredAccess中包含的进程虚拟内存写权限PROCESS_VM_WRITE和进程虚拟内存操作权限PROCESS_VM_OPERATION标志清除并返回，让试图打开对应目标进程的句柄没有写入目标进程虚拟内存和操作目标进程虚拟内存的权限。

6.一种检测傀儡进程创建的系统，其特征在于，包括：

驱动程序编写模块，用于编写驱动程序，注册进程句柄的前操作回调函数；

回调函数判断模块，用于在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径；

路径判断模块，用于获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中；

清除模块，用于若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建；

授权模块，用于若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限。