[发明专利]软体文件被修改时的来源追溯方法、监测方法、还原方法及系统有效
| 申请号: | 201610234679.X | 申请日: | 2016-04-15 |
| 公开(公告)号: | CN105930740B | 公开(公告)日: | 2018-10-16 |
| 发明(设计)人: | 舒小龙 | 申请(专利权)人: | 重庆鑫合信科技有限公司 |
| 主分类号: | G06F21/62 | 分类号: | G06F21/62;G06F21/64;H04L29/06 |
| 代理公司: | 重庆博凯知识产权代理有限公司 50212 | 代理人: | 刘念芝 |
| 地址: | 400000 重*** | 国省代码: | 重庆;50 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种软体文件被修改时的来源追溯方法、监测方法、还原方法及系统,来源追溯方法包括S101、在操作系统内核即将对硬盘写入时,拦截操作系统内核对硬盘的写入函数;S102、根据操作系统调用写入函数时传递的参数来获取进程的进程ID号;S103、通过进程ID获取到对应的进程对象;S104、通过进程堆栈读取写入函数的返回地址进行递归分析所述进程对象的原始请求函数调用;S105、通过原始调用函数得到操作者IP、操作者提交的报文数据,从而得到修改的软体文件的修改来源;S106、客户端计算机将操作者IP、操作者提交的报文数据打包形成数据包,并将数据包上传至服务器端;S107、服务器端接收到数据包之后发出警示信息至客户端计算机侧的对应管理人员。 | ||
| 搜索关键词: | 软体 文件 修改 来源 追溯 方法 监测 还原 系统 | ||
【主权项】:
1.一种客户端计算机内软体文件的监测方法,包括以下步骤:S201、对客户端计算机内的软体文件进行备份并上传至服务器端,以使服务器端以此作为判断客户端计算机内的软体文件是否被修改的基线,其中,软体文件的备份包括文件位置目录的备份、文件属性的备份、文件内容的备份;S202、在客户端计算机操作系统内核即将对硬盘写入时,拦截操作系统内核对硬盘的写入函数;S203、客户端计算机根据操作系统调用写入函数时传递的参数来获取进程的进程ID号、被写入硬盘的位置目录、被写入的文件属性、被写入的文件内容;S204、客户端计算机通过进程ID获取到对应的进程对象;S205、客户端计算机通过进程堆栈读取写入函数的返回地址进行递归分析所述进程对象的原始请求函数调用;S206、客户端计算机通过原始调用函数得到操作者IP、操作者提交的报文数据,并将操作者IP、报文数据、被写入硬盘的位置目录、该目录下被写入的文件属性以及被写入的文件内容打包形成数据包上传至服务器端;S207、服务器端接收到数据包之后对数据包进行分析,根据数据包内的操作者IP得到入侵对象的原始来源,根据报文数据分析得到操作者的写入手段;将数据包中的被写入硬盘的位置目录、该目录下被写入文件属性以及被写入文件内容与备份的对应文件进行比对,以得到在原备份的基础上被修改的明细,从而实现对客户端计算机内的软体文件进行监测的目的。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于重庆鑫合信科技有限公司,未经重庆鑫合信科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610234679.X/,转载请声明来源钻瓜专利网。
