[发明专利]用于反安装的监控方法

权利要求书

1、一种用于反安装的监控方法，应用于监控至少一安装程序的安装过程，以作为反安装(Uninstall)时移除数据的依据，其包括：

拦截一执行中软件的进程识别码(Process ID)，并确认该软件为该安装程序；

将位于中央处理单元(CPU)的Ring0层访问权限的一文件纪录(FileRecord)与一登录记录(Registry Record)，转换为在Ring3层访问权限也可操作调用的一新文件纪录与一新登录记录；

监测该安装程序对该新文件纪录与一文件系统的输入/输出(I/O)操作，并且对该新文件纪录与该文件系统的内容备份；

监测该安装程序对该新登录记录的输入/输出(I/O)操作，并且对该新登录记录的内容备份；以及

利用该安装程序中之一跳转(Jump)命令而拦截电脑的系统启动函数。

2、如权利要求1所述的用于反安装的监控方法，其中透过拦截应用程序界面(Application Program Interface，API)，来达到对该安装程序的任务监控。

3、如权利要求1所述的用于反安装的监控方法，其中该进程识别码(Process ID)由与该软件相关的创建进程(Create Process)函数中取得。

4、如权利要求1所述的用于反安装的监控方法，其中该文件系统包括相关目录结构、文件名称、文件数量以及文件内容。

5、如权利要求1所述的用于反安装的监控方法，其中监测该安装程序对该新文件纪录与该文件系统的输入/输出(I/O)操作，还包含下列步骤：

拦截该新文件纪录与该文件系统的输入/输出(I/O)操作；以及

判断对该新文件纪录与该文件系统进行存取的程序是否被监控。

6、如权利要求5所述的用于反安装的监控方法，其中该输入/输出(I/O)操作包括开启文件(Open File)操作、删除文件(Delete File)操作与重命名(Rename)操作组合的其中之一。

7、如权利要求6所述的用于反安装的监控方法，其中若该输入/输出(I/O)操作为该开启文件(Open File)操作，则还增加一分析该操作的存取权限是否为一破坏性操作的步骤。

8、如权利要求7所述的用于反安装的监控方法，其中该破坏性操作指对该开启文件内容做任何更动的操作。

9、如权利要求1所述的用于反安装的监控方法，其中监测该安装程序对该新登录记录的输入/输出(I/O)操作，还包含下列步骤：

置换该登录纪录与该新登录纪录的地址；

拦截该新登录纪录的输入/输出(I/O)操作；以及

判断该输入/输出(I/O)操作是否修改该新登录纪录。

10、如权利要求1所述的用于反安装的监控方法，其中对该新登录记录的内容备份包括：

存储该新登录记录的原始数据；以及

存储该输入/输出(I/O)操作的内容。

11、如权利要求1所述的用于反安装的监控方法，其中拦截电脑的系统启动函数，还包含下列步骤：

读取该安装程序下的该跳转(Jump)命令；以及

将该跳转(Jump)命令中的跳转地址转换为一拦截函数的地址。

12、如权利要求1所述的用于反安装的监控方法，其中将数据由Ring0层访问权限转换为Ring3层访问权限，还包含下列步骤：

读取一Ring3层的进程(Process)，并将其转换为TDB地址；以及

读取该进程的相对Ring0层的识别码(ID)，并判断是否与该进程的识别码相同。