[go: up one dir, main page]

CN104102857B - 一种windows系统下的可执行文件全生命周期安全管理系统 - Google Patents

一种windows系统下的可执行文件全生命周期安全管理系统 Download PDF

Info

Publication number
CN104102857B
CN104102857B CN201410340330.5A CN201410340330A CN104102857B CN 104102857 B CN104102857 B CN 104102857B CN 201410340330 A CN201410340330 A CN 201410340330A CN 104102857 B CN104102857 B CN 104102857B
Authority
CN
China
Prior art keywords
file
program
control module
access
operating system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410340330.5A
Other languages
English (en)
Other versions
CN104102857A (zh
Inventor
邢希双
王超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IEIT Systems Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201410340330.5A priority Critical patent/CN104102857B/zh
Publication of CN104102857A publication Critical patent/CN104102857A/zh
Application granted granted Critical
Publication of CN104102857B publication Critical patent/CN104102857B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提供一种WINDOWS系统下的可执行文件全生命周期安全管理系统,通过使用Windows操作系统提供的文件过滤控制接口、程序启动通知接口及进程间访问行为回调接口,将文件访问控制、程序启动干预控制和进程间交互行为干预控制相结合,以全面增强Windows操作系统可执行文件全生命周期的安全性,系统包括:(1)文件系统访问控制模块;(2)程序启动控制模块;(3)程序运行控制模块;(4)规则配置应用程序模块,本发明在系统易用性方面提出了灵活的配置规则机制,即所有内核驱动模块在初始化时会读取预设好的访问控制规则,在工作期间可以任意增加、删除、更新需要的访问控制规则。

Description

一种WINDOWS系统下的可执行文件全生命周期安全管理系统
技术领域
本发明涉及计算机操作系统安全领域,具体涉及一种WINDOWS系统下的可执行文件全生命周期安全管理系统。
背景技术
随着云计算、大数据等新型技术的发展,对操作系统上资源的安全性要求越来越高。可执行文件是操作系统上最重要的资源,它们或者是操作系统持续运行的支柱进程,或者是上层业务系统的核心程序,所以如何有效的保证可执行文件在整个生命周期中的安全性就成为急需解决的技术问题。传统的解决方法要么在静态的文件层面进行控制,这样正在运行的程序就很容易被注入或破坏;要么在动态的进程层面进行控制,这样停止运行的可执行程序映像文件就很容易被删除或篡改,这样当该程序再次运行时,或者已经不存在,或者它的行为将不可预知;更没有在程序由静态的可执行文件到动态的进程转换过程中进行干预,以至于一些被人为或其它手段替换或篡改的程序能够轻而易举的运行起来。
本发明提出的WINDOWS系统下的可执行文件全生命周期安全管理系统可以将可执行文件的安全性明显提升,通过将文件访问控制、程序启动控制和程序运行控制相结合,有效保证可执行文件按照开发者的预期逻辑正确执行。
发明内容
本发明的目的是提供一种WINDOWS系统下的可执行文件全生命周期安全管理系统。
本发明的目的是按以下方式实现的,通过使用Windows操作系统提供的文件过滤控制接口、程序启动通知接口及进程间访问行为回调接口,将文件访问控制、程序启动干预控制和进程间交互行为干预控制相结合,可以全面增强Windows操作系统可执行文件全生命周期的安全性,系统包括:(1)文件系统访问控制模块;(2)程序启动控制模块;(3)程序运行控制模块;(4)规则配置应用程序模块,其中:
(1)文件系统访问控制模块:采用文件系统过滤内核驱动的方式实现,根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况,灵活的配置访问的规则,包括支持具体文件和含有通配符的模糊文件的规则,所有访问规则在该模块规则链表中存放,文件系统过滤内核驱动感知文件访问操作,包括执行、改写、删除、重命名、移动、覆盖的访问操作,查询文件访问控制链表,对可执行文件任何非法的访问和篡改都将得到保护,如果系统配置了某种特定类型的文件在当前操作系统下不能执行,那么对于以执行权位打开该类型的文件,文件过滤驱动获取该文件的路径名称,查询文件访问控制链表后直接予以拒绝,从而该类型的可执行文件状态无法从停止态转换为启动态;
(2)程序启动控制模块:采用内核驱动的方式实现,根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况,灵活的配置访问规则,包括支持具体文件和含有通配符的模糊文件的规则,所有访问规则在该模块规则链表中存放,同时注册Windows操作系统进程创建通知,当操作系统中有任何新的进程创建的时候,操作系统会通知程序启动控制模块,程序启动控制模块收到通知时,获取要创建的进程映像文件路径名称,查询进程创建控制链表,对于任何非法的进程创建、运行,该模块直接进行阻断,从而对应的可执行文件状态无法从启动态转换为运行态;
(3)程序运行控制模块:采用内核驱动的方式实现,根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况,灵活的配置访问规则,包括支持具体文件和含有通配符的模糊文件的规则,所有访问规则在该模块规则链表中存放。程序运行控制模块感知进程间访问操作,包括写地址空间内存、创建远程线程、设置进程相关信息、终止挂起进程、复制进程句柄的访问操作,查询进程访问控制链表,运行中的进程的任何非法的注入和破坏都将得到保护,如果当前操作系统上某个重要的程序或服务非常重要,一旦停止运行将造成较大的危害,允许给该程序或服务配置禁止停止规则,程序运行控制模块感知到停止该程序或服务的动作时,获取该程序或服务对应的可执行文件路径名称,查询进程访问控制链表后直接予以拒绝,从而对应的可执行文件状态无法从运行态转换为停止态;
(4)规则配置应用程序模块:采用Windows应用程序的方式实现,负责安装文件系统访问控制模块、程序启动控制模块和程序运行控制模块,接收命令配置三个模块的规则或从当前操作系统中卸载三个模块。
本发明的目的有益效果是:该方法具有可进行文件系统上的静态可执行文件、程序启动过程、内存中的动态进程全生命周期管理的特点,通过使用Windows操作系统提供的文件过滤控制接口、程序启动通知接口及进程间访问行为回调接口,将文件访问控制、程序启动干预控制和进程间交互行为干预控制相结合,可以全面增强Windows操作系统可执行文件全生命周期的安全性。
本发明在系统易用性方面提出了灵活的配置规则机制,即所有内核驱动模块在初始化时会读取预设好的访问控制规则,在工作期间可以任意增加、删除、更新需要的访问控制规则。
附图说明
图1是可执行文件全生命周期状态转换原理示意图;
图2是可执行文件全生命周期安全管理模块结构图;
图3是规则配置应用程序流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明做进一步地详细描述。
一种WINDOWS系统下的可执行文件全生命周期安全管理系统,通过在现有Windows操作系统下增加内核安全模块,干预操作系统的文件访问操作、进程启动控制和进程间行为控制,从而提高可执行文件整个生命周期的安全性,其原理如图1所示,其系统组成如图2所示,系统包括(1)内核态文件访问控制模块;(2)内核态程序启动控制模块;(3)内核态程序运行控制模块;(4)用户态规则配置应用程序。
内核态文件访问控制模块(1)由用户态规则配置应用程序加载进操作系统内核(见图3)。加载成功后,用户态规则配置应用程序立即建立与内核态文件访问控制模块的通讯连接,以后所有的文件访问控制规则的添加、删除、更新都通过此连接进行(见图2)。
内核态程序启动控制模块(2)由用户态规则配置应用程序加载进操作系统内核(见图3)。加载成功后,用户态规则配置应用程序立即建立与内核态程序启动控制模块的通讯连接,以后所有的程序启动控制规则的添加、删除、更新都通过此连接进行(见图2)。
内核态程序运行控制模块(3)由用户态规则配置应用程序加载进操作系统内核(见图3)。加载成功后,用户态规则配置应用程序立即建立与内核态程序运行控制模块的通讯连接,以后所有的程序运行控制规则的添加、删除、更新都通过此连接进行(见图2)。
用户态规则配置应用程序(4)是整个Windows系统下的可执行文件全生命周期安全管理的运行枢纽和统一数据入口。用户态规则配置应用程序启动时,首先加载上述三个内核模块,然后从初始配置文件中获取三个模块的初始规则,分别将三种初始规则提交给三个内核模块,使文件全生命周期安全管理的初始规则生效。以上处理完成后,用户态规则配置应用程序便启动起来了,然后它就处于等待用户命令状态。当用户态规则配置应用程序收到用户命令时,它判断收到的命令是否是退出命令,如果是退出命令,它就卸载三个内核模块,然后自己也退出运行;如果不是退出命令,则该命令一定是规则配置命令,它从命令参数中获取输入规则的类型和内容,然后把输入规则的内容提交给对应的内核模块,从而使相应的内核防护立即生效。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。

Claims (1)

1.一种WINDOWS系统下的可执行文件全生命周期安全管理系统, 其特征在于通过使用Windows操作系统提供的文件过滤控制接口、程序启动通知接口及进程间访问行为回调接口,将文件访问控制、程序启动干预控制和进程间交互行为干预控制相结合,以全面增强Windows操作系统可执行文件全生命周期的安全性,系统包括:(1)文件系统访问控制模块;(2)程序启动控制模块;(3)程序运行控制模块;(4)规则配置应用程序模块,其中:
(1)文件系统访问控制模块:采用文件系统过滤内核驱动的方式实现,根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况,灵活的配置访问的规则,包括支持具体文件和含有通配符的模糊文件的规则,所有访问规则在该模块规则链表中存放,文件系统过滤内核驱动感知文件访问操作,包括执行、改写、删除、重命名、移动、覆盖的访问操作,查询文件访问控制链表,对可执行文件任何非法的访问和篡改都将得到保护,如果系统配置的文件在当前操作系统下不能执行,那么对于以执行权位打开该类型的文件,文件过滤驱动获取该文件的路径名称,查询文件访问控制链表后直接予以拒绝,从而该类型的可执行文件状态无法从停止态转换为启动态;
(2)程序启动控制模块:采用内核驱动的方式实现,根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况,灵活的配置访问规则,包括支持具体文件和含有通配符的模糊文件的规则,所有访问规则在该模块规则链表中存放,同时注册Windows操作系统进程创建通知,当操作系统中有任何新的进程创建的时候,操作系统会通知程序启动控制模块,程序启动控制模块收到通知时,获取要创建的进程映像文件路径名称,查询进程创建控制链表,对于任何非法的进程创建、运行,该模块直接进行阻断,从而对应的可执行文件状态无法从启动态转换为运行态;
(3)程序运行控制模块:采用内核驱动的方式实现,根据当前操作系统和系统上的应用程序所涉及的所有可执行文件情况,灵活的配置访问规则,包括支持具体文件和含有通配符的模糊文件的规则,所有访问规则在该模块规则链表中存放,程序运行控制模块感知进程间访问操作,包括写地址空间内存、创建远程线程、设置进程相关信息、终止挂起进程、复制进程句柄的访问操作,查询进程访问控制链表,运行中的进程的任何非法的注入和破坏都将得到保护,如果当前操作系统上某个重要的程序或服务非常重要,一旦停止运行将造成较大的危害,允许给该程序或服务配置禁止停止规则,程序运行控制模块感知到停止该程序或服务的动作时,获取该程序或服务对应的可执行文件路径名称,查询进程访问控制链表后直接予以拒绝,从而对应的可执行文件状态无法从运行态转换为停止态;
(4)规则配置应用程序模块:采用Windows应用程序的方式实现,负责安装文件系统访问控制模块、程序启动控制模块和程序运行控制模块,接收命令配置三个模块的规则或从当前操作系统中卸载三个模块。
CN201410340330.5A 2014-07-17 2014-07-17 一种windows系统下的可执行文件全生命周期安全管理系统 Active CN104102857B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410340330.5A CN104102857B (zh) 2014-07-17 2014-07-17 一种windows系统下的可执行文件全生命周期安全管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410340330.5A CN104102857B (zh) 2014-07-17 2014-07-17 一种windows系统下的可执行文件全生命周期安全管理系统

Publications (2)

Publication Number Publication Date
CN104102857A CN104102857A (zh) 2014-10-15
CN104102857B true CN104102857B (zh) 2017-02-15

Family

ID=51671001

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410340330.5A Active CN104102857B (zh) 2014-07-17 2014-07-17 一种windows系统下的可执行文件全生命周期安全管理系统

Country Status (1)

Country Link
CN (1) CN104102857B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3629113A1 (de) 2018-09-28 2020-04-01 Siemens Aktiengesellschaft Projektieren, konfigurieren und instandhalten einer antriebsvorrichtung
CN110472412A (zh) * 2019-08-21 2019-11-19 杭州安恒信息技术股份有限公司 基于内核独占的程序自保护方法及装置
CN110826070A (zh) * 2019-11-12 2020-02-21 深信服科技股份有限公司 一种诱饵文件的隐藏方法、装置、电子设备及存储介质
CN112464303B (zh) * 2020-11-27 2022-07-12 苏州浪潮智能科技有限公司 一种过滤驱动实现方法、系统、设备以及介质
CN112596818B (zh) * 2020-12-30 2023-12-05 上海众源网络有限公司 一种应用程序控制方法、系统及装置
CN113688415A (zh) * 2021-10-27 2021-11-23 湖南新云网科技有限公司 文件管控方法、设备和存储介质
CN117908976B (zh) * 2024-01-26 2025-09-26 厦门四信通信科技有限公司 一种嵌入式设备接口管理方法、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101311924A (zh) * 2007-05-24 2008-11-26 中兴通讯股份有限公司 一种图形用户界面的浏览器系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102460393B (zh) * 2009-05-01 2014-05-07 思杰系统有限公司 用于在虚拟存储资源之间建立云桥的系统和方法
US8208790B2 (en) * 2009-05-19 2012-06-26 Panasonic Corporation Recording medium, reproducing device, encoding device, integrated circuit, and reproduction output device
JP2015525419A (ja) * 2012-06-18 2015-09-03 アクテフィオ,インク. 高度データ管理仮想化システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101311924A (zh) * 2007-05-24 2008-11-26 中兴通讯股份有限公司 一种图形用户界面的浏览器系统及方法

Also Published As

Publication number Publication date
CN104102857A (zh) 2014-10-15

Similar Documents

Publication Publication Date Title
CN104102857B (zh) 一种windows系统下的可执行文件全生命周期安全管理系统
KR101928127B1 (ko) 애플리케이션용 선택적 파일 액세스 기법
US8909946B2 (en) Efficient power management of a system with virtual machines
CN102592077B (zh) 提供安全边界的方法
JP4931255B2 (ja) 仮想化されたファイル・システム
US20120317570A1 (en) System and method for virtual partition monitoring
US8429648B2 (en) Method and apparatus to service a software generated trap received by a virtual machine monitor
US11126454B2 (en) Enforcing retention policies with respect to virtual machine snapshots
CN113826072B (zh) 系统管理模式中的代码更新
US10394571B2 (en) Passing data from a host-based utility to a service processor
DE112011105577T5 (de) Virtueller hochprivilegierter Modus für eine Systemverwaltungsanforderung
CN101211271A (zh) 根据活动性状态控制虚拟机
JP2016173821A (ja) コンピュータシステム内における複数のハイパーバイザーの共同運用を容易にするためのシステムおよび方法
CN111989656A (zh) 可配置的恢复状态
US20160378446A1 (en) System for binary translation version protection
WO2009093768A1 (en) System and method for preventing drm client crash using process separate execution
CN107203410A (zh) 一种基于系统调用重定向的vmi方法及系统
US11698795B2 (en) Unified way to track user configuration on a live system
CN106775956B (zh) Xen虚拟机Fork机制建立方法
US9575658B2 (en) Collaborative release of a virtual disk
US20250252185A1 (en) Processor Environment Context Aware Information Handling System Operating Mode Management
CN111868698B (zh) 空闲空间直通
CN110249305B (zh) 浏览器崩溃或挂起时的shell操作浏览器扩展
US20230325496A1 (en) System and method for transitional isolation of applications using a workspace environment
CN108563491A (zh) 一种基于虚拟机的自省自动化管理、配置与自省方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant