[发明专利]一种监控程序模块加载活动的系统过滤方法有效
| 申请号: | 201010233623.5 | 申请日: | 2010-07-22 |
| 公开(公告)号: | CN101901323A | 公开(公告)日: | 2010-12-01 |
| 发明(设计)人: | 邝耀华 | 申请(专利权)人: | 湖北盛天网络技术有限公司 |
| 主分类号: | G06F21/22 | 分类号: | G06F21/22 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 430074 湖北省武汉市*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种监控程序模块加载活动的系统过滤方法。本发明请求操作系统在发生程序模块加载活动时发出通知,并能够在有程序模块发生加载活动时接收到操作系统发出的加载程序模块活动的通知,此时,只要该程序模块对应的原始文件在其加载过程未发生非法篡改,则读取该程序模块的原始文件内容并计算散列结果,并根据散列结果与预置的过滤策略数据条件的匹配结果来决定该程序模块加载活动是否给予通过,从而能够提高系统安全保护。 | ||
| 搜索关键词: | 一种 监控 程序 模块 加载 活动 系统 过滤 方法 | ||
【主权项】:
一种监控程序模块加载活动的系统过滤方法,其特征在于,该方法请求操作系统在发生程序模块加载活动时发出通知,然后执行如下步骤:步骤a、接收操作系统发出的程序模块加载活动通知,然后执行步骤b;步骤b、获取上述程序模块在系统内存中处于加载状态下的PE头部信息、以及该程序模块包含在磁盘中对应的原始文件内容中的PE头部信息;步骤c、比较所获取的加载状态下的PE头部信息与原始文件内容中的PE头部信息是否匹配,如果不匹配则执行步骤f,如果匹配则执行步骤d;步骤d、读取该程序模块的原始文件内容、并计算原始文件内容对应的散列结果;步骤e、根据散列结果与预置的过滤策略数据条件的匹配结果,决定上述程序模块的加载活动是否给予通过,如果不给予通过则执行步骤f,如果给予通过则结束本流程;步骤f、修改上述处于加载活动中的程序模块的入口代码,用以终止其继续执行,然后结束本流程。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于湖北盛天网络技术有限公司,未经湖北盛天网络技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201010233623.5/,转载请声明来源钻瓜专利网。
- 上一篇:一种新型多功能检具的测量座结构
- 下一篇:一种汽车保险杠检测固定装置
