[发明专利]一种基于内核hook的进程行为监控方法有效
| 申请号: | 201510538498.1 | 申请日: | 2015-08-28 |
| 公开(公告)号: | CN105068916B | 公开(公告)日: | 2017-12-08 |
| 发明(设计)人: | 王琦;黄可臻;蔡滨海;张冬青 | 申请(专利权)人: | 福建六壬网安股份有限公司 |
| 主分类号: | G06F11/30 | 分类号: | G06F11/30;G06F21/56 |
| 代理公司: | 福州元创专利商标代理有限公司35100 | 代理人: | 蔡学俊 |
| 地址: | 350000 福建省福州市*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于内核hook的进程行为监控方法,首先启动监控程序并判断用户是否加载驱动程序,若没有加载,提示用户加载驱动程序,然后进行初始化操作,监控程序将自身的进程ID通过DeviceIoControl发送给所述驱动程序进行进程保护;监控程序选择受监控进程,并创建一个消息接收线程用以接收所述驱动程序的消息;驱动程序对受监控进程及其子进程的行为进行监控,并将监控结果发送给监控程序;监控程序的消息接收线程显示并记录接收到的监控结果;当受监控进程及其子进程全部退出或者监控程序选择停止监控时,结束受监控进程及其子进程,监控程序的消息接收线程退出,本次监控结束,重复上述步骤进行新一轮监控。本发明能够有效防止恶意进程行为的发生。 | ||
| 搜索关键词: | 一种 基于 内核 hook 进程 行为 监控 方法 | ||
【主权项】:
一种基于内核hook的进程行为监控方法,其特征在于包括以下步骤:步骤S1:启动监控程序并判断用户是否加载驱动程序,若没有加载,提示用户加载驱动程序,进入步骤S2;若已经加载,进入步骤S3;步骤S2:进行初始化操作,加载所述驱动程序;步骤S3:所述驱动程序进行相关初始化操作;步骤S4:所述监控程序将自身的进程ID通过DeviceIoControl发送给所述驱动程序进行进程保护用以防止恶意程序强行停止监控程序;步骤S5:所述监控程序选择受监控进程,所述受监控进程为可执行文件执行或者指定进程,之后创建一个消息接收线程用以接收所述驱动程序的消息;步骤S6:所述驱动程序对受监控进程及其子进程的行为进行监控,并将监控结果发送给所述监控程序;步骤S7:所述监控程序的消息接收线程显示并记录接收到的步骤S6中的监控结果;步骤S8:当受监控进程及其子进程全部退出或者监控程序选择停止监控时,结束受监控进程及其子进程,监控程序的消息接收线程退出,本次监控结束;步骤S9:判断是否开始新一轮监控,若是,则返回步骤S5;若否,进入步骤S10;步骤S10:监控程序退出或卸载驱动程序;其中,所述驱动程序具体为:步骤S01:调用HOOK函数;步骤S02:在HOOK函数中通过比对当前的进程ID与待监控进程的ID是否相同来判断当前进程是否为被监控进程;若是,则进入步骤S03;若否,则进入步骤S04;步骤S03:获取当前进程的句柄信息,填充消息结构体,将消息发送到所述监控程序,最后调用当前进程的原系统调用;步骤S04:判断当前进程的当前操作是否为预先定义的高危操作,如果是则直接拦截该操作,否则直接放行;其中,所述待监控进程的ID包括待监控进程的ID与待监控进程的子进程的ID;其中,步骤S6中所述受监控进程及其子进程的行为包括文件操作、驱动加载、注册表操作、进程操作。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于福建六壬网安股份有限公司,未经福建六壬网安股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510538498.1/,转载请声明来源钻瓜专利网。
- 上一篇:一种用于复合肥生产上的链磨机
- 下一篇:折叠式立体物理实验课桌
