[发明专利]基于可执行体的进程指纹智能识别与模糊采集系统及其方法

权利要求书

1.基于可执行体的进程指纹智能识别与模糊采集系统，其特征在于：包括

(a)进程指纹采集系统；

(b)进程指纹识别系统。

2.根据权利要求1的基于可执行体的进程指纹智能识别与模糊采集系统，其特征在于：进程指纹采集系统包括采集程序、采集程序解析pe头部、指针、结构MD5和数据库。

3.根据权利要求1的基于可执行体的进程指纹智能识别与模糊采集系统，其特征在于，其中进程指纹识别系统，包括应用程序、进程指纹识别模块、指针、结构MD5摘要与数据库。

4.基于可执行体的进程指纹智能识别与模糊采集的方法，其特征在于：包括

(a)进程指纹采集；

(b)进程指纹识别。

5.根据权利要求4的基于可执行体的进程指纹智能识别与模糊采集的方法，其特征在于：其中进程指纹采集，步骤包括

(a)采集程序加载可执行文件；

(b)采集程序解析pe头部得到导入表和导出表；

（c）根据指针，得到第一项名称导入项数量和最后项名称导入项数量，确定导出表中相关导出项，得到导出项第一名称；

(d)存入相关数据结构PROCESS_MARK_INFORMATION_EX，存入第一导入项名；存入最后导入项名；存入导入项数据；存入第一导出项名或执行程序映像名，取结构MD5摘要存入数据库中。

6.根据权利要求5的基于可执行体的进程指纹智能识别与模糊采集的方法，其特征在于：其中采集程序解析pe头部得到导入表和导出表步骤包括

(a) 得到进程基址，根据进程基址计算pe文件IMAGE_DOS_HEADER，根据IMAGE_DOS_HEADER得到IMAGE_NT_HEADERS；

(b) 使用IMAGE_NT_HEADERS对PE文件交验判断是否为合法的可执行文件；

(c) 根据基址 和 IMAGE_DOS_HEADE计算出导入表和导出表地址；

(d) 枚举导入表记录导入项数量，得到指身第一导入项指针、最后导入项指针、导出项指针。

7.根据权利要求4的基于可执行体的进程指纹智能识别与模糊采集的方法，其特征在于：其中进程指纹识别，步骤包括 

(a)在应用程序启动时，通过工作在windows内核中的进程指纹识别模块解析加载的可执行文件；

(b)进程指纹识别模块解析pe头部得到导入表和导出表；

(c) 根据指针，得到第一项名称导入项数量和最后项名称导入项数量，确定导出表中相关导出项，得到导出项第一名称；

(d) 存入相关数据结构PROCESS_MARK_INFORMATION_EX，存入第一导入项名；存入最后导入项名；存入导入项数据；存入第一导出项名或执行程序映像名，去结构MD5摘要与存储在数据库中采集的MD5照耀对比，匹配认定为该进程为采集集合中。

8.根据权利要求7的基于可执行体的进程指纹智能识别与模糊采集的方法，其特征在于：其中进程指纹识别模块解析pe头部得到导入表和导出表的步骤

(a) 得到进程基址，根据进程基址计算pe文件IMAGE_DOS_HEADER，根据IMAGE_DOS_HEADER得到IMAGE_NT_HEADERS；

(b) 使用IMAGE_NT_HEADERS对PE文件交验判断是否为合法的可执行文件；

 (c) 根据基址 和 IMAGE_DOS_HEADE计算出导入表和导出表地址；

(d) 枚举导入表记录导入项数量，得到指身第一导入项指针、最后导入项指针和导出项指针。

9.根据权利要求6或8的基于可执行体的进程指纹智能识别与模糊采集的方法，其特征在于：其中进程基址是一个首地址，pe文件是任意exe可执行文件，IMAGE_DOS_HEADERIMAGE_NT_HEADERS是一种数据结构，记pe文件的工作环境是32位或64位。

10. 根据权利要求5或7的基于可执行体的进程指纹智能识别与模糊采集的方法，其特征在于：系统中导出项为否，得到可执行文件映像名。