本發明專利技術提出一種惡意Hook行為檢測方法及系統,首先按規定創建系統函數的替代函數,其次監控系統中可執行程序的運行動態,判斷是否有敏感Hook函數調用行為,若沒有則放行,否則將相應可執行程序跳轉到替代函數中進行處理。本發明專利技術對系統中可執行文件進行動態監控,有效檢測惡意Hook行為,并通過替代函數的方式有效阻攔惡意行為的釋放,保護系統數據安全;本發明專利技術通過替代函數的方式攔截惡意Hook行為,而不是直接將惡意Hook進程殺掉,該方式不影響系統中其他程序運行,能夠充分維護系統穩定性。
【技術實現步驟摘要】
本專利技術涉及計算機信息安全
,尤其涉及一種惡意Hook行為檢測方法及系統。
技術介紹
全局鉤子由win32子系統提供,并設置了方便用戶使用全局鉤子的系統服務。目前很多應用程序為了實現良好的用戶體驗,都會注冊全局鉤子,并在執行過程中通過對Hook函數的調用來獲取所需數據信息。然而,由于全局鉤子的底層性,應用程序在調用Hook函數的過程中會涉及敏感行為,且有很多惡意行為利用全局鉤子來獲取系統數據,給用戶信息安全造成很大隱患。
技術實現思路
針對上述現有技術中存在的缺陷,本專利技術提出一種惡意Hook行為檢測方法及系統,首先按規定創建系統函數的替代函數,其次監控系統中可執行程序的運行動態,判斷是否有敏感Hook函數調用行為,若沒有則放行,否則將相應可執行程序跳轉到替代函數中進行處理。具體
技術實現思路
包括:一種惡意Hook行為檢測方法,包括:按規定創建系統函數LoadLibraryExW函數的替代函數;因為可執行程序在調用執行Hook函數時,系統函數LoadLibraryExW函數會被調用,通過執行LoadLibraryExW函數來實現Hook函數的調用和運行,為了截獲惡意Hook行為,首先要根據具體需求和場景按規定創建LoadLibraryExW函數的替代函數;按規定,所述替代函數其函數原型與LoadLibraryExW函數相一致,但實現功能與LoadLibraryExW函數不同,替代函數實現的功能是截獲Hook行為,阻止惡意行為的釋放,而不是運行可執行程序;監控系統中運行的可執行程序是否包含全局鉤子,若不包含,則放行;若包含,則判斷相應可執行程序是否加載了Hook函數,若沒有加載,則放行,否則按規定獲取相應可執行程序的返回地址,并判斷Hook函數是否是通過系統規定程序進行加載的;可執行程序運行過程中,正常的Hook行為是通過所在系統環境中提供的規定程序進行加載的,而應用程序觸發的惡意Hook行為則是通過系統中其他程序或自帶程序進行加載的;若所述Hook函數是通過系統規定程序進行加載的,則放行,否則將對應可執行程序跳轉到所述替代函數中執行。進一步地,所述按規定獲取相應可執行程序的返回地址,具體為:獲取相應可執行程序LoadLibrary函數的返回地址;該返回地址能夠直觀得出相應可執行程序運行過程中函數的調用及參數的傳遞關系。進一步地,所述判斷Hook函數是否是通過系統規定程序進行加載的,具體為:判斷Hook函數是否是通過kernel32.dll進行加載的。進一步地,所述將對應可執行程序跳轉到所述替代函數中執行,其中執行操作包括:獲取參數信息,并令返回值為0,這樣操作有利于對惡意Hook行為進行進一步分析,并阻攔惡意行為的釋放;或者直接令返回值為0,這樣操作可直接阻攔惡意Hook行為的釋放;根據具體場景和需求,還可有其他執行和處理方式,比如將替代函數投入虛擬機中進行完整執行,便于針對特定敏感Hook行為進行深入分析。一種惡意Hook行為檢測系統,包括:函數創建模塊,用于按規定創建系統函數LoadLibraryExW函數的替代函數;因為可執行程序在調用執行Hook函數時,系統函數LoadLibraryExW函數會被調用,通過執行LoadLibraryExW函數來實現Hook函數的調用和運行,為了截獲惡意Hook行為,首先要根據具體需求和場景按規定創建LoadLibraryExW函數的替代函數;按規定,所述替代函數其函數原型與LoadLibraryExW函數相一致,但實現功能與LoadLibraryExW函數不同,替代函數實現的功能是截獲Hook行為,阻止惡意行為的釋放,而不是運行可執行程序;全局鉤子監控模塊,用于監控系統中運行的可執行程序是否包含全局鉤子,若不包含,則放行,否則進入Hook函數監控模塊;Hook函數監控模塊,用于判斷相應可執行程序是否加載了Hook函數,若沒有加載,則放行,否則進入加載判定模塊;加載判定模塊,用于按規定獲取相應可執行程序的返回地址,并判斷Hook函數是否是通過系統規定程序進行加載的,若是,則放行,否則進入跳轉執行模塊;可執行程序運行過程中,正常的Hook行為是通過所在系統環境中提供的規定程序進行加載的,而應用程序觸發的惡意Hook行為則是通過系統中其他程序或自帶程序進行加載的;跳轉執行模塊,用于將對應可執行程序跳轉到所述替代函數中執行。進一步地,所述按規定獲取相應可執行程序的返回地址,具體為:獲取相應可執行程序LoadLibrary函數的返回地址;該返回地址能夠直觀得出相應可執行程序運行過程中函數的調用及參數的傳遞關系。進一步地,所述判斷Hook函數是否是通過系統規定程序進行加載的,具體為:判斷Hook函數是否是通過kernel32.dll進行加載的。進一步地,所述跳轉執行模塊,其中執行操作包括:獲取參數信息,并令返回值為0,這樣操作有利于對惡意Hook行為進行進一步分析,并阻攔惡意行為的釋放;或者直接令返回值為0,這樣操作可直接阻攔惡意Hook行為的釋放;根據具體場景和需求,還可有其他執行和處理方式,比如將替代函數投入虛擬機中進行完整執行,便于針對特定敏感Hook行為進行深入分析。本專利技術的有益效果是:本專利技術對系統中可執行文件進行動態監控,有效檢測惡意Hook行為,并通過替代函數的方式有效阻攔惡意行為的釋放,保護系統數據安全;本專利技術通過替代函數的方式攔截惡意Hook行為,而不是直接將惡意Hook進程殺掉,該方式不影響系統中其他程序運行,能夠充分維護系統穩定性。附圖說明為了更清楚地說明本專利技術或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術中記載的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本專利技術一種惡意Hook行為檢測的方法流程圖;圖2為本專利技術一種惡意Hook行為檢測的系統結構圖。具體實施方式為了使本
的人員更好地理解本專利技術實施例中的技術方案,并使本專利技術的上述目的、特征和優點能夠更加明顯易懂,下面結合附圖對本專利技術中技術方案作進一步詳細的說明。本專利技術給出了一種惡意Hook行為檢測的方法實施例,如圖1所示,包括:S101:按規定創建系統函數LoadLibraryExW函數的替代函數;S102:監控系統中運行的可執行程序是否包含全局鉤子,若不包含,則放行,否則進入S103;S103:判斷相應可執行程序是否加載了Hook函數,若沒有加載,則放行,否則進入S104;S104:按規定獲取相應可執行程序的返回地址;S105:判斷Hook函數是否是通過系統規定程序進行加載的,若是,則放行,否則進入S106;S106:將對應可執行程序跳轉到所述替代函數中執行。優選地,所述按規定獲取相應可執行程序的返回地址,具體為:獲取相應可執行程序LoadLibrary函數的返回地址;該返回地址能夠直觀得出相應可執行程序運行過程中函數的調用及參數的傳遞關系。優選地,所述判斷Hook函數是否是通過系統規定程序進行加載的,具體為:判斷Hook函數是否是通過kernel32.dll進行加載的。優選地,所述將對應可執行程序跳轉到所述替代函數中執行,其中執行操作包括:獲取參本文檔來自技高網...
【技術保護點】
一種惡意Hook行為檢測方法,其特征在于,包括:按規定創建系統函數LoadLibraryExW函數的替代函數;監控系統中運行的可執行程序是否包含全局鉤子,若不包含,則放行;若包含,則判斷相應可執行程序是否加載了Hook函數,若沒有加載,則放行,否則按規定獲取相應可執行程序的返回地址,并判斷Hook函數是否是通過系統規定程序進行加載的;若所述Hook函數是通過系統規定程序進行加載的,則放行,否則將對應可執行程序跳轉到所述替代函數中執行。
【技術特征摘要】
1.一種惡意Hook行為檢測方法,其特征在于,包括:按規定創建系統函數LoadLibraryExW函數的替代函數;監控系統中運行的可執行程序是否包含全局鉤子,若不包含,則放行;若包含,則判斷相應可執行程序是否加載了Hook函數,若沒有加載,則放行,否則按規定獲取相應可執行程序的返回地址,并判斷Hook函數是否是通過系統規定程序進行加載的;若所述Hook函數是通過系統規定程序進行加載的,則放行,否則將對應可執行程序跳轉到所述替代函數中執行。2.如權利要求1所述的方法,其特征在于,所述按規定獲取相應可執行程序的返回地址,具體為:獲取相應可執行程序LoadLibrary函數的返回地址。3.如權利要求1或2所述的方法,其特征在于,所述判斷Hook函數是否是通過系統規定程序進行加載的,具體為:判斷Hook函數是否是通過kernel32.dll進行加載的。4.如權利要求3所述的方法,其特征在于,所述將對應可執行程序跳轉到所述替代函數中執行,其中執行操作包括:獲取參數信息,并令返回值為0;或者直接令返回值為0。5.一種惡意Hook行為檢測系統,其特征在于...
【專利技術屬性】
技術研發人員:王彥杰,宋成偉,嚴寒冰,韓文奇,肖新光,
申請(專利權)人:哈爾濱安天科技股份有限公司,
類型:發明
國別省市:黑龍江;23
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。