一种防止远程线程注入的方法、装置及电子设备专利检索-平板电脑移动通信终端电信专利检索查询-专利查询网

一种防止远程线程注入的方法、装置及 电子设备

阅读：43发布：2024-01-24

专利汇可以提供一种防止远程线程注入的方法、装置及电子设备专利检索，专利查询，专利分析的服务。并且本发明公开一种防止远程线程注入的方法、装置及电子设备，涉及安全防护技术领域，能够保护应用程序的正常运行，以及防止远程破坏。所述防止远程线程注入的方法，包括：根据对线程创建的调用的监视，获取待创建线程所归属的进程的标识信息,判断待创建线程所属进程是否是要保护的进程，若是，则获取发起所述待创建线程的进程的标识信息，根据发起创建所述线程的进程的标识信息，判断所述发起创建线程的进程是否是目标应用程序的进程，若否，与此同时目标应用程序的线程数大于0则拒绝创建所述待创建线程。所述装置和电子设备中包括实现上述方法步骤的模块。本发明适用于对应用程序尤其是对基础类应用程序的保护。，下面是一种防止远程线程注入的方法、装置及电子设备专利的具体信息内容。

权利要求

1.一种防止远程线程注入的方法，其特征在于，包括：
应用程序预先设置需要保护的进程标识信息；
待创建线程之前，操作系统触发调用回调函数指令以对所述待创建线程进行监视；
根据所述监视，获取所述待创建线程所归属的进程的标识信息；
根据所述待创建线程所归属的进程的标识信息，同预先设定需要保护的进程信息进行比较，判断所述待创建线程所属进程是否是要保护的进程；若是则同意创建所述待创建线程。
2.根据权利要求1所述的一种防止远程线程注入的方法，其特征在于，在同意创建所述待创建线程之前还包括判断步骤：
获取发起所述待创建线程的进程的标识信息，判断此次发起所述待创建线程的进程的标识信息是否等于待创建线程目标应用程序的进程信息。
3.根据权利要求2所述的一种防止远程线程注入的方法，其特征在于，若所述目标应用程序的线程数等于0或发起所述待创建线程的进程等于目标应用程序的进程，则同意所述创建线程；
若发起所述待创建线程的进程不是目标应用程序的进程或目标应用程序的线程数大于0，则拒绝创建所述待创建的线程。
4.根据权利要求1-3之一所述的一种防止远程线程注入的方法，其特征在于，所述标识信息是windows记录进程的各种信息的结构体，每个进程信息内容都是唯一的。
5.根据权利要求4所述的一种防止远程线程注入的方法，其特征在于，所述回调函数是指当操作系统本身发生某种事件时刻，操作系统自主选择调用的函数。
6.根据权利要求5所述的一种防止远程线程注入的方法，其特征在于，所述回调函数经由微软官方提供的PsSetCreateThreadNotifyRoutine系列函数设置形成。
7.根据权利要求4所述的一种防止远程线程注入的方法，其特征在于，所述操作系统的线程创建函数为操作系统应用层的CreateRemoteThreadEx系列函数。
8.一种防止远程线程注入的装置，其特征在于，包括：
设置模块，所述设置模块用于应用程序预先设置需要保护的进程标识信息；
驱动模块，所述驱动模块调用回调函数对所述待创建线程进行监视；
比较模块，将所述待创建线程所归属的进程的标识信息，同预先设定需要保护的进程信息进行比较；
控制模块，根据由比较模块获取的比较结果动态调整所述待创建线程。
9.根据权利要求8所述的一种防止远程线程注入的装置，其特征在于，还包括判断模块，所述判断模块用于获取发起所述待创建线程的进程的标识信息，判断此次发起所述待创建线程的进程的标识信息是否等于待创建线程目标应用程序的进程信息。
10.一种防止远程线程注入的电子设备，包括如权利要求8-9之一所述的装置，所述电子设备为电脑，平板或手机。

说明书全文

一种防止远程线程注入的方法、装置及电子设备

技术领域

[0001] 本发明涉及安全防护技术领域，特别涉及一种防止远程线程注入的方法、装置及电子设备。

背景技术

[0002] 进程(Process)是计算机中的程序关于某数据集合上的一次运行活动，是系统进行资源分配和调度的基本单位，是操作系统结构的基础。在早期面向进程设计的计算机结构中，进程是程序的基本执行实体；在当代面向线程设计的计算机结构中，进程是线程的容器。程序是指令、数据及其组织形式的描述，进程是程序的实体。

[0003] 线程是进程中的一个实体，是被系统独立调度和分派的基本单位，线程自己不拥有系统资源，只拥有一点儿在运行中必不可少的资源，但它可与同属一个进程的其它线程共享进程所拥有的全部资源。一个线程可以创建和撤消另一个线程，同一进程中的多个线程之间可以并发执行。

[0004] 基础类软件为计算机的正常运行提供基础的服务和保存系统重要的数据信息，由于操作系统提供了CreateRemoteThreadEx系列函数,用于远程创建线程的运行，此时便
可以入侵基础服务类进程,读取，破坏计算机基础信息，从而破坏系统正常运行。

发明内容

[0005] 本发明所要达到的目的就是提供一种防止远程线程注入的方法、装置及电子设备，能够保护应用程序的正常运行。

[0006] 为了达到上述目的，本发明采用如下技术方案：

[0007] 一种防止远程线程注入的方法，包括：

[0008] 应用程序预先设置需要保护的进程标识信息；

[0009] 待创建线程之前，操作系统触发调用回调函数指令以对所述待创建线程进行监视；

[0010] 根据所述监视，获取所述待创建线程所归属的进程的标识信息；

[0011] 根据所述待创建线程所归属的进程的标识信息，同预先设定需要保护的进程信息进行比较，判断所述待创建线程所属进程是否是要保护的进程；若是则同意创建所述待创建线程。

[0012] 在本发明的一个优选实施例中，在同意创建所述待创建线程之前还包括判断步骤：

[0013] 获取发起所述待创建线程的进程的标识信息，判断此次发起所述待创建线程的进程的标识信息是否等于待创建线程目标应用程序的进程信息。

[0014] 在本发明的一个优选实施例中，若所述目标应用程序的线程数等于0或发起所述待创建线程的进程等于目标应用程序的进程，则同意所述创建线程；

[0015] 若发起所述待创建线程的进程不是目标应用程序的进程或目标应用程序的线程数大于0，则拒绝创建所述待创建的线程。

[0016] 在本发明的一个优选实施例中，所述标识信息是windows记录进程的各种信息的结构体，每个进程信息内容都是唯一的。

[0017] 在本发明的一个优选实施例中，所述回调函数是指当操作系统本身发生某种事件时刻，操作系统自主选择调用的函数。

[0018] 在本发明的一个优选实施例中，所述回调函数经由微软官方提供的 PsSetCreateThreadNotifyRoutine系列函数设置形成。

[0019] 在本发明的一个优选实施例中，所述操作系统的线程创建函数为操作系统应用层的CreateRemoteThreadEx系列函数。

[0020] 一种防止远程线程注入的装置，包括：

[0021] 设置模块，所述设置模块用于应用程序预先设置需要保护的进程标识信息；

[0022] 驱动模块，所述驱动模块调用回调函数对所述待创建线程进行监视；

[0023] 比较模块，将所述待创建线程所归属的进程的标识信息，同预先设定需要保护的进程信息进行比较；

[0024] 控制模块，根据由比较模块获取的比较结果动态调整所述待创建线程。

[0025] 在本发明的一个优选实施例中，还包括判断模块，所述判断模块用于获取发起所述待创建线程的进程的标识信息，判断此次发起所述待创建线程的进程的标识信息是否
等于待创建线程目标应用程序的进程信息。

[0026] 一种防止远程线程注入的电子设备，包括上述的装置，所述电子设备为电脑，平板或手机。

[0027] 采用上述技术方案后，本发明具有如下优点：

[0028] 本发明能够保护应用程序的正常运行，防止其进程被恶意应用程序远程注入，提高整个系统的安全性和便捷性。
附图说明

[0029] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

[0030] 图1为本发明的工作原理框图。

[0031] 图2为本发明的结构框图。

具体实施方式

[0032] 下面结合附图说明和具体实施方式对本发明做进一步的说明。

[0033] 如图1所示，一种防止远程线程注入的方法，包括：

[0034] 应用程序预先设置需要保护的进程标识信息即(EPROCESS)，其中标识信息即(EPROCESS)是windows记录进程的各种信息的结构体，每个进程信息内容都是唯一的,因
此我们可以当作进程的标识信息，每个版本操作系统保存的信息各不相同，例windows
vista保存信息如下：

[0035]

[0036]

[0037]

[0038]

[0039]

[0040]

[0041]

[0042]

[0043] 待创建线程之前，操作系统(一般为应用程序的防御驱动程序)触发调用回调函数指令以对所述待创建线程进行监视；该回调函数可以由微软官方提供的
PsSetCreateThreadNotifyRoutine系列函数设置；

[0044] 根据所述监视，获取所述待创建线程所归属的进程的标识信息；根据所述待创建线程所归属的进程的标识信息，同预先设定需要保护的进程信息进行比较，判断所述待创建线程所属进程是否是要保护的进程；如果相等即为要保护的进程，如果不等即非保护进程。

[0045] 具体地，若所述待创建线程所属进程是要保护的进程，则获取此次发起所述待创建线程的进程的标识信息；(待创建的线程有两个信息,一个是归属进程, 一个为发起创建
的进程,此处获取为发起创建的进程)

[0046] 进一步地，获取发起所述待创建线程的进程的标识信息，判断此次发起所述待创建线程的进程的标识信息是否等于待创建线程目标应用程序的进程信息。

[0047] 若所述目标应用程序的线程数等于0或发起所述待创建线程的进程等于目标应用程序的进程，则同意所述创建线程；若发起所述待创建线程的进程不是目标应用程序的进程或目标应用程序的线程数大于0，则拒绝创建所述待创建的线程。

[0048] 通过上述一整套的流程判断，能够保护应用程序的正常运行，防止其进程被恶意应用程序远程注入。

[0049] 优选的，上述标识信息是windows记录进程的各种信息的结构体，每个进程信息内容都是唯一的，而操作系统的线程创建函数为操作系统应用层的 CreateRemoteThreadE
x系列函数。

[0050] 如图2所示，一种防止远程线程注入的装置，包括：设置模块，所述设置模块用于应用程序预先设置需要保护的进程标识信息；

[0051] 驱动模块，所述驱动模块调用回调函数对所述待创建线程进行监视；

[0052] 比较模块，将所述待创建线程所归属的进程的标识信息，同预先设定需要保护的进程信息进行比较；

[0053] 控制模块，根据由比较模块获取的比较结果动态调整所述待创建线程。

[0054] 还包括判断模块，所述判断模块用于获取发起所述待创建线程的进程的标识信息，判断此次发起所述待创建线程的进程的标识信息是否等于待创建线程目标应用程序
的进程信息。

[0055] 另外地一种防止远程线程注入的电子设备，包括上述的装置，所述电子设备为电脑，平板或手机。

[0056] 在本发明的描述中，需要理解的是，术语“中心”、“横向”、“厚度”、“上”、 “下”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

[0057] 此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

[0058] 在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、 “固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

[0059] 在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或 “下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。

[0060] 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求
书及其等效物界定。

标题	发布/更新时间	阅读量
一种光刻机数据通讯系统及其通讯方法	2020-05-08	521
一种在统一识别框架下小型化手写体文本识别器的方法	2020-05-08	813
一种基于OCR的硬件设备配置方法	2020-05-11	309
一种基于LoRa技术的电力沟道内光缆故障定位系统及方法	2020-05-08	584
基于人工智能的在线教育课程分配平台	2020-05-08	11
基于实景三维地理信息系统的可视化系统	2020-05-08	58
一种基于互联网的共享打印（扫描）设备及系统	2020-05-11	375
带磁吸架的行李箱	2020-05-08	385
一种平板导光板抛光设备	2020-05-08	132
一种后壳带有内置游戏手柄的平板电脑	2020-05-08	179

一种防止远程线程注入的方法、装置及电子设备

一种防止远程线程注入的方法、装置及电子设备

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：