專利名稱:實(shí)時(shí)檢查進(jìn)程完整性的方法與系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明提出了一種實(shí)時(shí)檢查進(jìn)程完整性的方法與系統(tǒng)����,背景技術(shù)目前存在多種對進(jìn)程完整性進(jìn)行檢測的方法�����。例如���,存在一些基于簽名的方法(諸如殺毒軟件)�����。例如�,卡巴斯基殺毒軟件掃描內(nèi)存通過列舉所有的進(jìn)程模塊名然后找到他們在磁盤上的鏡像文件,對相應(yīng)的鏡像文件進(jìn)行基于特征碼的掃描��。另外�,還存在基于文件名的檢測的方法。例如�,Norton(諾頓)通過ZwQuerySystemInformation函數(shù)取得系統(tǒng)加載的所有驅(qū)動(dòng)列表來檢查內(nèi)核態(tài)驅(qū)動(dòng)病毒,并結(jié)合特征碼掃描和對文件的完整性檢查����。
但是所有這些方法均不能動(dòng)態(tài)地檢測被破壞或篡改的進(jìn)程����。
因此,需要一種實(shí)時(shí)檢查進(jìn)程完整性的方法與系統(tǒng)�����,從而能夠動(dòng)態(tài)地檢測被破壞或篡改的進(jìn)程�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種實(shí)時(shí)檢查進(jìn)程完整性的方法與系統(tǒng),能夠安全可靠且實(shí)時(shí)地檢測系統(tǒng)進(jìn)程完整性�����,以便及時(shí)發(fā)現(xiàn)被修改的進(jìn)程并進(jìn)行修復(fù)以保證系統(tǒng)安全穩(wěn)定地運(yùn)行�����,由此,能夠動(dòng)態(tài)地檢測被破壞或篡改的進(jìn)程�����。
為了實(shí)現(xiàn)上述目的�,根據(jù)發(fā)明,提出了一種實(shí)時(shí)檢查進(jìn)程完整性的方法�,所述方法包括監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程;如果所述進(jìn)程為第一次執(zhí)行的進(jìn)程��,則收集與所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值并存儲在進(jìn)程參考表中�;如果所述進(jìn)程并非第一次執(zhí)行的進(jìn)程,則利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值�,來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性;在所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性驗(yàn)證結(jié)果為不完整的情況下�,則恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序。
優(yōu)選地�,所述判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程的步驟是通過查看進(jìn)程參考表來實(shí)現(xiàn)的。
優(yōu)選地����,所述進(jìn)程的散列值是與所述進(jìn)程相對應(yīng)的整個(gè)程序的代碼段的散列值。
優(yōu)選地,所述利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值���、來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性的步驟包括將進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值與所述即將在內(nèi)存中運(yùn)行的進(jìn)程的當(dāng)前散列值和與磁盤中所存儲的與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序的當(dāng)前散列值進(jìn)行比較����,如果兩個(gè)比較均一致���,則表明所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性驗(yàn)證結(jié)果為完整的�。
優(yōu)選地����,所述恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的步驟包括利用預(yù)先存儲的防止非法訪問的整個(gè)程序的副本來恢復(fù)內(nèi)存中的所述進(jìn)程����、和磁盤中的與所述進(jìn)程相對應(yīng)的整個(gè)程序。
根據(jù)本發(fā)明�,還提出了一種實(shí)時(shí)檢查進(jìn)程完整性的系統(tǒng),所述系統(tǒng)包括進(jìn)程實(shí)時(shí)監(jiān)測模塊���,監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程�����;如果所述進(jìn)程為第一次執(zhí)行的進(jìn)程�,則指示完整性信息采集模塊執(zhí)行散列值收集操作;而如果所述進(jìn)程并非第一次執(zhí)行的進(jìn)程���,則驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性�����;如果驗(yàn)證結(jié)果為不完整���,則指示進(jìn)程修復(fù)模塊進(jìn)行修復(fù);完整性信息采集模塊���,用于收集與所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值并存儲在進(jìn)程參考表中��;進(jìn)程修復(fù)模塊�,用于恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序���;進(jìn)程參考表���,用于存儲來自完整性信息采集模塊的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值,以便由進(jìn)程實(shí)時(shí)監(jiān)測模塊利用其來驗(yàn)證完整性���。
優(yōu)選地��,所述系統(tǒng)還包括程序代碼段存儲區(qū)�,用于存儲即將運(yùn)行的進(jìn)程指令集;程序執(zhí)行文件存儲區(qū)����,用于存儲與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序;程序文件副本存儲區(qū)�,用于存儲與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序的副本,以便由進(jìn)程修復(fù)模塊來恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序�����。
優(yōu)選地����,所述程序執(zhí)行文件存儲區(qū)和所述程序文件副本存儲區(qū)由存儲磁盤來實(shí)現(xiàn)。
優(yōu)選地����,所述程序代碼段存儲區(qū)由內(nèi)存來實(shí)現(xiàn)�。
優(yōu)選地,所述進(jìn)程實(shí)時(shí)監(jiān)測模塊包括線程調(diào)度監(jiān)視模塊�����,用于監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程;以及完整性校驗(yàn)?zāi)K�����,用于利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值�����,來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性��。
優(yōu)選地��,所述進(jìn)程的散列值是與所述進(jìn)程相對應(yīng)的整個(gè)程序的代碼段的散列值�����。
通過參考以下結(jié)合附圖對所采用的優(yōu)選實(shí)施例的詳細(xì)描述�,本發(fā)明的上述目的、優(yōu)點(diǎn)和特征將變得顯而易見����,其中圖1是根據(jù)本發(fā)明的實(shí)時(shí)檢查進(jìn)程完整性的系統(tǒng)的示意方框圖;圖2是根據(jù)本發(fā)明的實(shí)時(shí)檢查進(jìn)程完整性的系統(tǒng)的詳細(xì)方框圖�����;圖3是根據(jù)本發(fā)明,收集進(jìn)程完整性散列值摘要信息過程的流程圖����;以及圖4是根據(jù)本發(fā)明的實(shí)時(shí)檢查進(jìn)程完整性的方法的整體流程圖。
具體實(shí)施例方式
本發(fā)明的主要思想是檢查進(jìn)程對應(yīng)的磁盤鏡像文件的完整性���,檢查進(jìn)程在內(nèi)存空間代碼段的完整性���。完整性檢查主要是通過消息摘要算法(例如MD5算法)來計(jì)算散列值(HASH值)。現(xiàn)代操作系統(tǒng)中程序代碼段通常是只讀的�����,程序自身不會(huì)修改其代碼段的數(shù)據(jù)����。只有一些惡意程序會(huì)修改其它程序代碼段的只讀屬性,提升自身權(quán)限修改其他程序的代碼或者注入一些惡意代碼�����。如果一個(gè)程序在內(nèi)存中的代碼段的完整性被破壞則基本可以判定是被病毒或者惡意軟件所破壞或篡改�����。
下面將參考附圖來描述本發(fā)明的優(yōu)選實(shí)施例��。
圖1是根據(jù)本發(fā)明的實(shí)時(shí)檢查進(jìn)程完整性的系統(tǒng)的示意方框圖����。
如圖1所示,本發(fā)明的實(shí)時(shí)檢查進(jìn)程完整性的系統(tǒng)包括進(jìn)程實(shí)時(shí)監(jiān)測模塊101�����、進(jìn)程修復(fù)模塊102�����、完整性信息采集模塊103�、磁盤104和內(nèi)存105。
進(jìn)程實(shí)時(shí)監(jiān)測模塊101負(fù)責(zé)對系統(tǒng)中所有已經(jīng)被加載和正被加載的進(jìn)程進(jìn)行完整性檢查�,其中,對于已經(jīng)加載的進(jìn)程通過檢查其內(nèi)存空間中代碼段的完整性��,而對于正在加載的進(jìn)程通過其磁盤鏡像文件來檢測完整性����。當(dāng)進(jìn)程實(shí)時(shí)監(jiān)測模塊101發(fā)現(xiàn)被破壞的進(jìn)程時(shí)�����,及時(shí)通知進(jìn)程修復(fù)模塊102作相應(yīng)的進(jìn)程修復(fù)工作�。完整性信息采集模塊103收集系統(tǒng)進(jìn)程完整性信息樣本(散列值)�。內(nèi)存105用于存儲進(jìn)程,作為示例��,圖1中示出了多個(gè)進(jìn)程��。磁盤104用于存儲與所述進(jìn)程相對應(yīng)的各個(gè)程序����,作為示例,圖1中也示出了與所述多個(gè)進(jìn)程對應(yīng)的多個(gè)程序��。
圖2是根據(jù)本發(fā)明的實(shí)時(shí)檢查進(jìn)程完整性的系統(tǒng)的詳細(xì)方框圖���。
如圖2所示�,根據(jù)本發(fā)明的系統(tǒng)除了包括上述的進(jìn)程實(shí)時(shí)監(jiān)測模塊101��、進(jìn)程修復(fù)模塊102�、完整性信息采集模塊103之外,還包括進(jìn)程參考表204����,用于存儲來自完整性信息采集模塊103的進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值,以便由進(jìn)程實(shí)時(shí)監(jiān)測模塊101利用其來驗(yàn)證完整性��;程序代碼段存儲區(qū)207����,用于存儲即將運(yùn)行的進(jìn)程指令集;程序執(zhí)行文件存儲區(qū)206����,用于存儲與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序;以及程序文件副本存儲區(qū)205���,用于存儲與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序的副本��,以便由進(jìn)程修復(fù)模塊102來恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序�。所述程序執(zhí)行文件存儲區(qū)206和所述程序文件副本存儲區(qū)205可以由存儲磁盤來實(shí)現(xiàn)���。而所述程序代碼段存儲區(qū)207可以由內(nèi)存來實(shí)現(xiàn)���。
另外,所述進(jìn)程實(shí)時(shí)監(jiān)測模塊101包括線程調(diào)度監(jiān)視模塊202�����,用于監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程;以及完整性校驗(yàn)?zāi)K201�����,用于利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值���,來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性���。
根據(jù)本發(fā)明的本系統(tǒng)不僅檢查存放在硬盤上進(jìn)程對應(yīng)的鏡像文件完整性,還通過實(shí)時(shí)監(jiān)控模塊動(dòng)態(tài)檢測進(jìn)程在內(nèi)存中代碼段的完整性���?���?梢约皶r(shí)發(fā)現(xiàn)被破壞或篡改的惡意代碼并進(jìn)行及時(shí)修復(fù)��。
圖3是根據(jù)本發(fā)明�����,收集進(jìn)程完整性散列值摘要信息過程的流程圖。
如圖3所示�,當(dāng)磁盤中的一個(gè)程序被用戶首次安裝后的第一次執(zhí)行的時(shí)候,即當(dāng)將要在內(nèi)存中執(zhí)行與該程序相對應(yīng)的進(jìn)程時(shí)��,進(jìn)程實(shí)時(shí)監(jiān)測模塊101會(huì)截獲這個(gè)事件(步驟301)�。然后,進(jìn)程實(shí)時(shí)監(jiān)測模塊101暫停執(zhí)行其正在運(yùn)行的過程���,來檢查與該程序相對應(yīng)的進(jìn)程是否在進(jìn)程參考表中有記錄;如果沒有記錄則認(rèn)為這個(gè)程序(進(jìn)程)是首次安裝執(zhí)行并加載該程序來執(zhí)行與該程序相對應(yīng)的進(jìn)程(步驟303)�;此時(shí),由完整性信息采集模塊103采集整個(gè)程序的散列值�����、以及與該程序相對應(yīng)的進(jìn)程的散列值�����,所述進(jìn)程的散列值為該程序加載到內(nèi)存中的對應(yīng)代碼段的散列值(步驟305)��,并且將整個(gè)程序的散列值和對應(yīng)進(jìn)程的散列值分別存入進(jìn)程參考表中(步驟307)�����。附帶地說,如果進(jìn)程參考表中有這個(gè)程序的記錄��,則由進(jìn)程實(shí)時(shí)監(jiān)測模塊101對與該程序相對應(yīng)的進(jìn)程進(jìn)行校驗(yàn)�。
圖4是根據(jù)本發(fā)明的實(shí)時(shí)檢查進(jìn)程完整性的方法的整體流程圖。
如圖4所示�����,開始�,由進(jìn)程實(shí)時(shí)監(jiān)測模塊101監(jiān)視下一個(gè)即將運(yùn)行的線程所對應(yīng)進(jìn)程,以便隨后檢測其是否完整(步驟401)�。此時(shí),當(dāng)進(jìn)入所述進(jìn)程時(shí)����,檢查所述進(jìn)程是否為第一次運(yùn)行(步驟403)。如果是第一次運(yùn)行(步驟403的是)�,則通知完整性信息采集模塊103收集所述進(jìn)程的完整性信息(散列值)(步驟405),收集所述進(jìn)程的完整性信息的過程在圖3已經(jīng)進(jìn)行了詳細(xì)描述��。
如果并非第一次運(yùn)行(步驟403中的否)����,則執(zhí)行完整性校驗(yàn)(步驟407),此時(shí)�����,將內(nèi)存中的該進(jìn)程的當(dāng)前散列值與進(jìn)程參考表中的與該進(jìn)程相對應(yīng)的散列值進(jìn)行比較,并且將磁盤中的與該進(jìn)程相對應(yīng)的整個(gè)程序的當(dāng)前散列值與進(jìn)程參考表中的所存儲的與所述整個(gè)程序?qū)?yīng)的散列值進(jìn)行比較(步驟409)�。如果兩次比較的結(jié)果均為一致(步驟411中的是),即����,表示完整性校驗(yàn)結(jié)果為完整,則繼續(xù)后續(xù)操作的正常運(yùn)行�。而相反,則表示完整性校驗(yàn)結(jié)果為不完整�����,此時(shí)由進(jìn)程修復(fù)模塊102來執(zhí)行恢復(fù)過程(413)�����,即���,由進(jìn)程修復(fù)模塊102利用所存儲的受保護(hù)的與該進(jìn)程相對應(yīng)的程序備份來恢復(fù)磁盤中的該程序和內(nèi)存中的該進(jìn)程。
根據(jù)本發(fā)明���,能夠查殺未知病毒而不會(huì)破壞進(jìn)程本身功能的執(zhí)行��。另外���,可以查殺內(nèi)存中的病毒或者惡意代碼�。此外�,還能夠防止線程注射式的攻擊。
盡管以上已經(jīng)結(jié)合本發(fā)明的優(yōu)選實(shí)施例示出了本發(fā)明�����,但是本領(lǐng)域的技術(shù)人員將會(huì)理解���,在不脫離本發(fā)明的精神和范圍的情況下���,可以對本發(fā)明進(jìn)行各種修改、替換和改變�����。因此����,本發(fā)明不應(yīng)由上述實(shí)施例來限定,而應(yīng)由所附權(quán)利要求及其等價(jià)物來限定�����。
權(quán)利要求
1.一種實(shí)時(shí)檢查進(jìn)程完整性的方法,所述方法包括監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程��;如果所述進(jìn)程為第一次執(zhí)行的進(jìn)程����,則收集與所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值并存儲在進(jìn)程參考表中;如果所述進(jìn)程并非第一次執(zhí)行的進(jìn)程���,則利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值�,來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性�;在所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性驗(yàn)證結(jié)果為不完整的情況下,則恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于所述判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程的步驟是通過查看進(jìn)程參考表來實(shí)現(xiàn)的���。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于所述進(jìn)程的散列值是與所述進(jìn)程相對應(yīng)的整個(gè)程序的代碼段的散列值。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于所述利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值����、來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性的步驟包括將進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值與所述即將在內(nèi)存中運(yùn)行的進(jìn)程的當(dāng)前散列值和與磁盤中所存儲的與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序的當(dāng)前散列值進(jìn)行比較��,如果兩個(gè)比較均一致���,則表明所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性驗(yàn)證結(jié)果為完整的���。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于所述恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的步驟包括利用預(yù)先存儲的防止非法訪問的整個(gè)程序的副本來恢復(fù)內(nèi)存中的所述進(jìn)程����、和磁盤中的與所述進(jìn)程相對應(yīng)的整個(gè)程序。
6.一種實(shí)時(shí)檢查進(jìn)程完整性的系統(tǒng)���,所述系統(tǒng)包括進(jìn)程實(shí)時(shí)監(jiān)測模塊����,監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程���;如果所述進(jìn)程為第一次執(zhí)行的進(jìn)程�����,則指示完整性信息采集模塊執(zhí)行散列值收集操作���;而如果所述進(jìn)程并非第一次執(zhí)行的進(jìn)程���,則驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性;如果驗(yàn)證結(jié)果為不完整����,則指示進(jìn)程修復(fù)模塊進(jìn)行修復(fù);完整性信息采集模塊�,用于收集與所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值并存儲在進(jìn)程參考表中;進(jìn)程修復(fù)模塊�,用于恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序;進(jìn)程參考表����,用于存儲來自完整性信息采集模塊的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值,以便由進(jìn)程實(shí)時(shí)監(jiān)測模塊利用其來驗(yàn)證完整性�����。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于還包括程序代碼段存儲區(qū),用于存儲即將運(yùn)行的進(jìn)程指令集�����;程序執(zhí)行文件存儲區(qū)��,用于存儲與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序���;程序文件副本存儲區(qū)�,用于存儲與所述即將運(yùn)行的進(jìn)程相對應(yīng)的程序的副本��,以便由進(jìn)程修復(fù)模塊來恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序�����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于所述程序執(zhí)行文件存儲區(qū)和所述程序文件副本存儲區(qū)由存儲磁盤來實(shí)現(xiàn)�。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于所述程序代碼段存儲區(qū)由內(nèi)存來實(shí)現(xiàn)���。
10.根據(jù)權(quán)利要求6所述的系統(tǒng)�����,其特征在于所述進(jìn)程實(shí)時(shí)監(jiān)測模塊包括線程調(diào)度監(jiān)視模塊���,用于監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程����;以及完整性校驗(yàn)?zāi)K�,用于利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值,來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性�����。
11.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于所述進(jìn)程的散列值是與所述進(jìn)程相對應(yīng)的整個(gè)程序的代碼段的散列值。
全文摘要
根據(jù)本發(fā)明�,提出了一種實(shí)時(shí)檢查進(jìn)程完整性的方法,所述方法包括監(jiān)視即將在內(nèi)存中運(yùn)行的進(jìn)程并判斷所述進(jìn)程是否為第一次執(zhí)行的進(jìn)程��;如果所述進(jìn)程為第一次執(zhí)行的進(jìn)程���,則收集與所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值并存儲在進(jìn)程參考表中;如果所述進(jìn)程并非第一次執(zhí)行的進(jìn)程��,則利用進(jìn)程參考表中所存儲的所述進(jìn)程的散列值和與所述進(jìn)程相對應(yīng)的整個(gè)程序的散列值,來驗(yàn)證所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性�����;在所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序的完整性驗(yàn)證結(jié)果為不完整的情況下�����,則恢復(fù)所述進(jìn)程和與所述進(jìn)程相對應(yīng)的整個(gè)程序���。
文檔編號G06F1/00GK1987717SQ20051013408
公開日2007年6月27日 申請日期2005年12月23日 優(yōu)先權(quán)日2005年12月23日
發(fā)明者王凱, 李俊, 馮榮峰, 徐娜 申請人:聯(lián)想(北京)有限公司