龙图腾网&IPTOP
- 微信扫码登录
- 账号密码登录
- 短信登录/注册
申请/专利权人:中国人民解放军61660部队
申请日:2024-03-25
公开(公告)日:2024-06-28
公开(公告)号:CN118260749A
主分类号:G06F21/51
分类号:G06F21/51;G06F21/56;G06F21/57;G06F9/4401
优先权:
专利状态码:在审-公开
法律状态:2024.06.28#公开
摘要:本发明涉及一种高效拦截WindowsPE文件装载的方法,属于网络空间安全技术领域。为了解决现有拦截WindowsPE文件装载的方法存在的效率低下的问题,本发明综合考虑Windows32位和64位系统,在深入研究Windows文件微过滤器及逆向分析MiCreateImageFileMap和FsRtlGetFileSize等多个系统函数的基础上,借助Windows文件微过滤驱动,设计了一种高效拦截WindowsPE文件装载的方法。该方法仅会在Windows系统第一次创建PE文件与内存映射时检测PE文件,提高了检测效率,且给出了安全有效的拒绝文件装载的方法。
主权项:1.一种高效拦截WindowsPE文件装载的方法,其特征在于,包括以下步骤:步骤S1、若操作系统是32位,则执行步骤S2,若操作系统为64位,则执行步骤S3;步骤S2、直接挂钩系统内部函数MiCreateImageFileMap,通过MiCreateImageFileMap函数的第一个参数访问文件内容,实现PE文件的检测、过滤,转到步骤S5;步骤S3、在Windows系统中注册文件微过滤驱动并设置好要过滤的IRP主功能码和操作前回调函数;所述操作前回调函数的功能为:通过判断IRP参数的类型以及查询参数,拦截FsRtlGetFileSize函数的调用,进而判断上一层调用函数是否为MiCreateImageFileMap,如果是则通过MiCreateImageFileMap函数的第一个参数访问文件内容,实现PE文件的识别和检测过滤;否则跳过此次拦截;步骤S4、调用操作前回调函数实现PE文件的检测、过滤;步骤S5、根据检测、过滤结果对文件进行标记,若为恶意文件则将其标记为BAD,标记被设置在与PE文件唯一对应的SECTION对象中;步骤S6、根据步骤S5中的标记允许或拒绝该PE文件的装载。
全文数据:
权利要求:
百度查询: 中国人民解放军61660部队 一种高效拦截Windows PE文件装载的方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
主营中国专利交易买卖与专利转让许可,高校科技成果推广与科技成果转化,知识产权运营管理与平台开发,科技人才专家库与科技猎头等科技服务
开放平台
担保交易
惠及多方
会员特惠
专属平台
适合多方
数据共享
功能齐全
皖公网安备 34010402703815号