[发明专利]服务器防泄漏系统

权利要求书

1.服务器防泄漏系统，其特征在于：包含分离代码段部分和还原原始PE段部分。

2.根据权利要求1中所述的服务器防泄漏系统，其特征在于：所述分离代码段部分的具体步骤如下：

1）、首先获取PE文件的IMAGE_DOS_HEADER结构；

PE文件在内存中的首地址即为：IMAGE_DOS_HEADER结构的起始地址，其中，e_lfanew字段指向的就是IMAGE_NT_HEADERS结构的偏移地址；

2）、通过IMAGE_DOS_HEADER结构获取IMAGE_NT_HEADERS结构；

通过IMAGE_DOS_HEADER结构的e_lfanew字段就可获得IMAGE_NT_HEADERS结构的首地址信息；

通过IMAGE_NT_HEADERS结构获取IMAGE_FILE_HEADER结构；

通过IMAGE_NT_HEADERS结构的FileHeader字段就可获得IMAGE_FILE_HEADER结构的偏移地址；再通过IMAGE_FILE_HEADER的NumberOfSections字段就可获得PE文件的节数量；

4）、通过IMAGE_NT_HEADERS结构获取IMAGE_OPTIONAL_HEADER结构；

通过IMAGE_NT_HEADERS结构的OptionalHeader字段就可以获得IMAGE_OPTIONAL_HEADER结构的偏移地址；

5）、通过IMAGE_NT_HEADERS结构获取IMAGE_SECTION_HEADER结构；

通过IMAGE_FIRST_SECTION宏可以从IMAGE_NT_HEADERS结构中分离出第一个IMAGE_SECTION_HEADER结构的首地址偏移；

6）、遍历PE文件的所有IMAGE_SECTION_HEADE结构，找出所有的属性为IMAGE_SCN_CNT_CODE的节，我们把这些节称之为：代码段；

7）、将原始PE文件的代码段全部复制到一个缓冲区，并将原始文件的这些代码段用0x00填充并保存；

8）、将复制出的代码段加密并上传到专用的安全服务器保存；

至此，PE文件的代码段分离工作完成，被分离了代码段的PE文件，简称为MPE文件。

3.根据权利要求2中所述的服务器防泄漏系统，其特征在于：所述在内存中还原原始PE文件并运行的具体步骤如下：

1）、利用CreateProcess函数创建MPE文件进程并挂起进程；

2）、在内存里下载及解密该MPE文件对应的代码段数据；

3）、打开MPE文件进程句柄；

4）、利用VirtualProtectEx函数修改对应地址的内存属性，改为可写状态；

5）、利用WriteProcessMemory函数，将解密还原的代码段数据依次写入目标进程地址空间；

6）、利用VirtualProtectEx函数还原目标进程地址空间的页属性；

7）、运行MPE进程，完成启动过程。

4.根据权利要求2中所述的服务器防泄漏系统，其特征在于：所述首地址为基地址加上e_lfanew的值。