[发明专利]一种拦截可疑程序运行的方法

摘要

本发明公开了一种拦截可疑程序运行的方法，其在被保护计算机上没有木马病毒的前提下系统第一次运行并记录下该计算机上已存在的所有PE文件信息并生成白名单，之后在操作系统内核中拦截所有文件加载申请内存的请求，并筛选出其中的PE文件，然后与黑白名单对比判断该文件是否可疑；本发明的优点是通过拦截操作系统加载的所有PE文件，并采取白名单比对的方式对其加以判断，有效地实现了对可疑程序启动的拦截和对病毒木马样本的获取，并通过定制黑名单的方式拦截已知的病毒木马，同时提供详细的日志报告以分析监控当前系统上所有进程的运行状态，大大提高了系统的安全性，解决了目前的杀毒软件采用特征比对的方式无法拦截未知病毒木马的重大缺陷。

主权项

一种拦截可疑程序运行的方法，其特征在于，包括以下步骤：（1）．生成被保护计算机的白名单；在本程序第一次启动时遍历计算机本地硬盘上所有文件，并筛选出其中的PE文件以及计算所述PE文件的特征值，最后将所述PE文件特征记录在白名单中；（2）．拦截所有启动的进程；通过驱动程序在操作系统内核级利用SSDT的HOOK技术实现拦截NtCreateSection函数，通过其参数中的SectionPageProtection和AllocationAttributes能够判断操作系统加载的文件是不是PE文件，并从参数FileHandle中获取将要被加载的PE文件路径；（3）．判断进程是否可疑；在通过驱动程序从操作系统内核级获取到将要加载的PE文件后，首先判断该PE文件的大小和居中的8字节是否在黑白名单中，如果该PE文件不在黑白名单中则继续验证该PE文件的数字签名，如果其数字签名有效则允许该PE文件加载，如果其数字签名验证失败则阻止该PE文件加载；如果在黑白名单中，则根据PE文件大小计算相应的SHA值，对于在黑名单中且SHA值也相等的PE文件直接阻止其加载运行，对于在白名单中且SHA值也相等的PE文件则放行允许其加载；（4）．黑白名单文件保护；通过驱动程序在操作系统内核级利用SSDT的HOOK技术实现拦截打开文件操作的函数NtCreateFile和NtOpenFile，以及修改文件操作的NtSetInformationFile函数，从其参数ObjectAttributes‑>RootDirectory和ObjectAttributes‑>ObjectName中获取目标文件是否为黑白名单文件,并通过函数IoGetCurrentProcess得到操作目标文件的进程名，从而检测出试图修改黑白名单的其他进程，最终通过向函数NtCreateFile、NtOpenFile和NtSetInformationFile返回调用失败来实现拦截其他进程修改黑白名单以保护黑白名单的可靠性；（5）．生成报告日志；对于操作系统加载的所有PE文件在拦截或放行后，生成一份日志报表，用以监控目前计算机上运行进程的状态；（6）．上报样本；对于检测过程中发现的既不在白名单也不在黑名单中的PE文件，则将该文件保存一份样本并上报给样本服务器以供后续分析试用。