首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

基于windows操作系统进程可信域构建方法、装置及存储介质 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:博智安全科技股份有限公司

摘要:本申请公开了一种本申请公开了一种基于windows操作系统进程可信域构建方法、装置及存储介质,其中方法包括:a、建立可信进程库:对磁盘中信任的PE文件计算HASH值,建立数据库,用于黑白名单自适应学习;b、在内核中建立白名单和黑名单两张表,建立自适应学习机制,结合可信进程库赋予PE文件执行权限;c、对PE文件进行监控,实时更新黑白名单。本发明仅需要在第一次加载PE文件时进行HASH校验,能够减少进程执行时PE文件的反复进行HASH校验时的IO、内存、cpu资源占用,且保护系统的安全。

主权项:1.一种基于windows操作系统进程可信域构建方法,其特征在于,计算windows磁盘中信任的PE文件的HASH值,建立并将HASH值存入可信进程库;在内核中建立白名单和黑名单,所述白名单用于记录内核信任的PE文件,所述黑名单用于记录磁盘文件内容发生变化的PE文件;根据待加载执行PE文件的HASH值与所述可信进程库中的HASH值,进行内核的黑白名单的自适应学习;根据白名单和黑名单判断待加载执行PE文件是否允许加载执行;对PE文件进行变更监控,当存储在磁盘上的PE文件发生变更时,进行黑白名单的修改;其中,所述自适应学习过程包括:自定义的内核模块监测到有PE文件需要加载到内存执行时,判断其是否在所述白名单的表中;若PE文件存在在所述白名单的表中,则允许PE文件加载,将其执行权限交由CPU;若不存在,则判断其是否在所述黑名单的表中;若PE文件存在在所述黑名单的表中,则说明PE文件内容发生了变化或PE文件不在所述可信进程库中,阻止其加载执行;若不存在,则暂停PE文件的进一步执行动作,由windows操作系统应用层对PE文件进行HASH校验,将PE文件的HASH值与所述可信进程库中的HASH值进行比较;若PE文件的HASH值发生变化,则通知内核将PE文件加入所述黑名单的表中,内核同时禁止该PE文件进一步的执行;否则通知内核将PE文件加入所述白名单的表中,同时内核将CPU的执行权限交由该PE文件。

全文数据:

权利要求:

百度查询: 博智安全科技股份有限公司 基于windows操作系统进程可信域构建方法、装置及存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。