本發明專利技術公開了一種注冊表重定向方法和計算機處理系統,該計算機處理系統包括:初始化啟動裝置,用于啟動應用程序初始化操作系統通信接口;注冊表重定向裝置,用于基于操作系統的LSP配置注冊表數據,刪除其中需要屏蔽的LSP?DLL信息后,構造新的LSP配置注冊表數據,將應用程序初始化WinSock時讀取LSP配置的注冊表操作重定向到該新的LSP配置注冊表數據上,使得應用程序不加載要屏蔽的LSP?DLL。利用本發明專利技術的技術方案,通過利用注冊表重定向機制,針對Windows系統中的特定或全部進程屏蔽特定或者全部的LSP?DLL,避免這些LSP?DLL加載到進程中,提高應用程序的穩定性和安全性。
【技術實現步驟摘要】
本專利技術涉及應用程序監控技術,具體涉及一種。
技術介紹
LSP(Layered Service Provider)是 Windows 平臺的通信架構WinSock(WinSock(Windows Sockets)是操作系統提供的Windows操作系統應用層的網絡通信架構和規范的縮寫)中特有的一個機制。通過可擴展的LSP機制,使得第三方軟件開發商可以在應用程序中插入DLL對TCP/IP數據包進行監聽、修改,從而開發出豐富的網絡應用,如聊天軟件通信加密工具、網絡代理軟件、網絡游戲加速器等。LSP既可以用來開發正規的應用,病毒木馬作者也可以利用LSP在用戶的系統中插入惡意代碼,竊取用戶信息等。另外,由于LSP注入到系統的絕大多數進程中,串接在應用程序的網絡訪問操作中,如果代碼考慮不周,就會導致不能上網、程序崩潰或卡死等現象。所以需要有一定的手段來屏蔽LSP機制,防止對應用程序無實際作用的第三方的LSPDLL加載到應用程序進程中產生干擾,這對安全軟件尤其重要。然而,目前還沒有一種有效的措施來及時發現并屏蔽一些有問題的LSTOLL。
技術實現思路
鑒于上述問題,提出了本專利技術以便提供一種克服上述問題或者至少部分地解決上述問題的通過注冊表重定向屏蔽特定LSP DLL的方法和相應的通過注冊表重定向屏蔽特定LSP DLL的計算機處理系統。依據本專利技術的一個方面,提供了一種注冊表重定向方法,該方法包括加載應用程序的配置信息;根據所加載的配置信息判斷LSP配置注冊表數據中是否包括需要屏蔽的LSP DLL ;應用程序啟動時,從所述LSP配置注冊表讀取其中的LSP鏈,并確定每個LSP鏈中是否包括所述配置列表中需要被屏蔽的LSP DLL ;如果包括,則將該LSP DLL的信息從LSP配置注冊表數據中刪除,構造出一份新的LSP配置注冊表數據;將對LSP配置注冊表數據的操作重定向到新建的LSP注冊表配置注冊表數據上。可選地,所述配置信息包括需要屏蔽哪些LSP DLL,以及在哪些進程中屏蔽這些LSP DLL。可選地,所述重定向操作包括在應用層對指定或者全部進程進行文件操作API函數的掛鉤。可選地,所述重定向操作包括在驅動層通過掛鉤文件操作的系統調用,或者使用系統提供的文件系統過濾驅動機制。依據本專利技術的另一方面,提供了一種計算機處理系統,其包括:WinSock初始化啟動模塊,用于啟動應用程序初始化WinSock ;注冊表重定向裝置,用于基于Windows的LSP配置注冊表數據,刪除其中需要屏蔽的LSP DLL信息后,構造新的LSP配置注冊表數據,將應用程序初始化WinSock時讀取LSP配置的注冊表操作重定向到該新的LSP配置注冊表數據上,使得應用程序不加載要屏蔽的LSP DLL。利用本專利技術的注冊表重定向方法和計算機處理系統,通過注冊表重定向機制,針對Windows系統中的特定或全部進程屏蔽特定或者全部的LSP DLL,避免這些LSP DLL加載到進程中,提高應用程序的穩定性和安全性。本專利技術的方案不需要攜帶操作系統提供的默認的任何LSP配置,既可以針對系統中的單個LSP DLL進行屏蔽,也可以將全部LSP DLL都屏蔽,既可以針對單個進程進行LSPDLL屏蔽,也可以針對所有進程進行LSP DLL屏蔽。上述說明僅是本專利技術技術方案的概述,為了能夠更清楚了解本專利技術的技術手段,而可依照說明書的內容予以實施,并且為了讓本專利技術的上述和其它目的、特征和優點能夠更明顯易懂,以下特舉本專利技術的具體實施方式。附圖說明通過閱讀下文優選實施方式的詳細描述,各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的,而并不認為是對本專利技術的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中圖1為現有技術的WinSock框架示意圖;圖2為根據本專利技術一實施例的注冊表重定向方法流程圖;圖3為根據本專利技術一實施例的注冊表重定向裝置的結構框圖;圖4為本專利技術注冊表重定向方法的一種具體應用場景流程圖。具體實施例方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應當理解,可以以各種形式實現本公開而不應被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠將本公開的范圍完整的傳達給本領域的技術人員。圖1為WinSock框架不意圖,參照圖1, transport provider有兩個鏈TCP鏈、UDP鏈。還可以有其它類型的LSP鏈。TCP鏈中,從上到下共4層(其中底層的mswsock. dll是操作系統本身所具有的功能)。UDP鏈包括3層。右邊的3個是namespace provider,其中最右邊的winrnr. dll是操作系統提供的。其中,LSP屬于應用層,所有LSP DLL都運行在環3特權級別下,但LSP的行為可以從環3或者環0來進行一定的控制,比如對其文件或注冊表操作進行控制。LSP既可以用來開發正規的應用,病毒木馬作者也可以利用LSP在用戶的系統中插入惡意代碼,竊取用戶信息等。另外,由于LSP注入到系統的絕大多數進程中,串接在應用程序的網絡訪問操作中,如果代碼考慮不周,就會導致不能上網、程序崩潰或卡死等現象。所以需要有一定的手段來屏蔽LSP機制,防止對應用程序無實際作用的第三方的LSP DLL加載到應用程序進程中產生干擾,這對安全軟件尤其重要。常見的屏蔽(或者跳過)LSP DLL的方法包括I、利用Windows系統提供的策略,指定哪些進程加載或者不加載特定類型的LSPDLL,這種技術存在的缺點是只有Vista及其以上的Windows平臺才支持這個特性;只能根據LSP所屬的分類來排除,策略太粗放。2、徹底拋棄WinSock,越過應用層的WinSock架構,直接向網絡驅動發控制碼、數據包進行網絡通信。這種方法的缺點是需要了解和驅動層通信的任何細節,這細節一般是非文檔化的;在有proxy的環境下,需要自行實現proxy協議才能正常訪問網絡;這種方法不會加載第三方的任何LSP DLL,在必須要加載某些proxy類型的LSP DLL才能正常訪問網絡的環境中,無法上網。3、自帶一份Windows默認的LSP配置,這個配置中不包括操作系統提供的之外的任何LSP DLL,通過注冊表重定向讓應用程序訪問這個默認LSP配置,從而不加載第三方的任何LSP DLL。這種方法的缺點是不會加載第三方的任何LSP DLL,在必須要加載某些proxy類型的LSP DLL才能正常訪問網絡的環境中,無法上網;要針對不同的Windows版本帶一份不同的默認LSP配置,比如32位XP帶一份,32位Win7帶另一份。WinSock 中包括 transport provider DLL 和 namespace provider DLL 兩種可擴展的DLL, transport provider用于網絡數據收發,是分層的,理論上支持無限多層,所有的各層上下串在一起形成一個鏈;namespace provider用于網絡名稱解析,不分層。一般所說的 LSP 是指 transport provider 本專利技術既支持 transport provider,也支持 namespaceprovider本文檔來自技高網...
【技術保護點】
一種注冊表重定向方法,其特征在于,包括:加載應用程序的配置列表;根據所加載的配置列表中的配置信息來判斷LSP配置注冊表數據中是否包括需要屏蔽的LSP?DLL;應用程序啟動時,從所述LSP配置注冊表讀取其中的LSP鏈,并確定每個LSP鏈中是否包括所述配置列表中需要被屏蔽的LSP?DLL;如果包括,則將該LSP?DLL的信息從LSP配置注冊表數據中刪除,構造出新的LSP配置注冊表數據;將對LSP配置注冊表數據的操作重定向到新建的LSP注冊表配置注冊表數據上。
【技術特征摘要】
【專利技術屬性】
技術研發人員:張波,
申請(專利權)人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。