[发明专利]一种驱动程序修复方法及装置

说明书

技术领域

本发明涉及计算机信息安全领域，特别涉及一种驱动程序修复方法及装置。

背景技术

每一个驱动程序加载时，终端的系统都会为其创建一个对应的驱动对象， 该驱动对象中包含了包括该驱动程序的执行入口地址在内的众多信息。并且该 驱动对象可以通过驱动程序的名称查询到，且存储于该终端的系统中。

终端的系统提供了一种模块加载回调机制，驱动程序在注册一个模块加载 回调函数后，当终端的系统中有其他驱动程序加载时，终端的系统会通知与该 驱动程序对应的回调函数有其他驱动程序加载，该回调函数会获取该其他驱动 程序的加载信息，该加载信息中包括该其他驱动程序的执行入口地址以及其他 驱动程序的文件路径等等，进而进行处理。此时，对于该其他驱动程序来说， 该其他驱动程序只是加载到了终端的系统的内存中，还未开始执行该其他驱动 程序的执行入口地址处对应的汇编代码。进行处理后，会使得该其他驱动程序 无法正常运行，使其功能不能发挥。

举例而言，在终端的系统中，恶意软件可以采用上述方法获得安全软件的 驱动程序的运行，该恶意软件获得该安全软件的驱动程序的加载信息，从加载 信息中获得该安全软件的驱动程序的执行入口地址，然后对该执行入口地址处 所对应的汇编代码进行修改，如修改为代码：moveax,0xC0000022ret0x8，对 应的二进制数据为0xB8,0x22,0x00,0x00,0xC0,0xC2,0x08,0x00，这段代码的 意思就是返回拒绝访问，当安全软件的驱动程序从执行入口地址处开始执行汇 编代码时，就会执行修改后的汇编代码，即返回拒绝访问，从而不会执行安全 软件的驱动程序的真正代码内容，这就使得安全软件的驱动程序工作失败，进 而安全软件的保护功能失效，终端的系统存在安全隐患。

发明内容

本发明实施例公开了一种驱动程序修复方法及装置，以避免驱动程序被修 改，使得驱动程序不能正常运行，进而该驱动程序的功能不能发挥。具体方案 如下：

一方面，本发明实施例提供了一种驱动程序修复方法，所述方法包括：

修复性驱动程序根据防御性驱动程序的标识信息，确定所述防御性驱动程 序对应的防御性驱动对象，其中，所述修复性驱动程序为：在防御性进程判断 所述防御性驱动程序符合预定条件时，通过所述防御性进程加载至终端的系统 的内存中的程序；

从所述防御性驱动对象中，确定所述防御性驱动程序的第一执行入口地址；

根据所述防御性驱动程序对应的文件，确定所述防御性驱动程序的原始汇 编代码；

将所述第一执行入口地址中对应存储的目标汇编代码修改为所述原始汇编 代码；

调用所述第一执行入口地址，以使所述防御性驱动程序执行所述原始汇编 代码。

较佳的，所述预定条件包括：

所述防御性进程检测到所述防御性驱动程序已加载至所述终端的系统的内 存，并且在预定时间内未接收到所述防御性驱动程序发送的系统保护信息。

较佳的，所述根据所述防御性驱动程序对应的文件，确定所述防御性驱动 程序的原始汇编代码，包括：

将所述防御性驱动程序对应的文件映射到所述终端的系统的内存中，并确 定第二执行入口地址；

从所述第二执行入口地址中提取对应存储的所述原始汇编代码。

较佳的，在所述修复性驱动程序根据防御性驱动程序的标识信息，确定所 述防御性驱动程序对应的防御性驱动对象之前，本发明实施例所提供的一种驱 动程序修复方法还包括：

输出第一提示信息，以提示用户所述终端的系统存在安全隐患，并开始修 复过程。

较佳的，在所述调用所述第一执行入口地址，以使所述防御性驱动程序执 行所述原始汇编代码之后，本发明实施例所提供的一种驱动程序修复方法还包 括：

输出第二提示信息，以提示用户所述终端的系统的安全隐患被修复成功。

另一方面，本发明实施例还提供了一种驱动程序保护装置，所述装置包括： 驱动对象确定模块、第一入口地址确定模块、原始汇编代码确定模块、汇编代 码修改模块和入口地址调用模块；