[发明专利]一种基于PE格式的实时监控系统授权码管理的新方法

说明书

技术领域

本发明涉及一种基于PE格式的实时监控系统授权码管理的新方法。

背景技术

随着计算机、通信技术的飞速发展，信息安全已成为当前信息时代的一个重要问题。在信息安全领域，入侵检测技术是信息安全领域非常重要的一项技术。在此，入侵检测系统（Intrusiondetectionsystems,IDS）用来对计算机用户可能遭受的攻击产生警报，它可以分析和过滤网络数据包，以及监控系统中的程序行为以防止危险操作的发生。实时监控技术是入侵检测技术的一种，它能够监控计算机系统上运行的所有程序，拦截未授权的操作，由用户决定是否继续下一步的调用。授权管理是指实时监控系统按照某种方式删除、添加以及查找用户对此程序的相关授权记录的方法。由于系统的易用性直接影响了实时监控系统的销售量，而授权管理的方法是系统易用性的一个重要方面。就授权管理而言，现有实时监控系统授权管理都是以文件存放的绝对路径来区分不同的可执行文件，从而辨认不同的可执行文件的授权。这种授权管理方法存在一定的缺陷，例如，当可执行文件的名字或者存放路径发生改变时，即使可执行文件的内容没有发生修改，监控系统却识辨不出此可执行文件，所以需要对此可执行文件重新进行一次繁琐的授权，这便降低了系统的易用性。

时至今日，利用网络技术，以网络为载体频频暴发的间谍程序、蠕虫病毒、邮件病毒、QQ病毒、MSN浏病毒、游戏木马等网络新病毒，已经颠覆了传统的病毒概念。与传统的计算机病毒相比，网络病毒具有以下特点：传播速度大大加快、数量与种类越来越多、病毒暴发范围广、攻击途径多样化等。在这种趋势下，传统的基于病毒特征码的扫描技术已经显得捉襟见肘，而基于行为分析的实时监控系统便显得越来越重要。而如今实时监控系统并不像基于特征码扫描的杀毒软件一样普及，其中有个很重要的原因是实时监控系统的易用性不高,例如它要求用户对所有运行于操作系统的程序进行繁琐的授权且必须对更改文件名或者更改了存放路径的可执行文件重新授权，再者，如果存放授权的文件或者数据库损坏，那么用戶不得不对所有的程序再次授权。以上的这些弊端最终将导致用户不能容忍频繁反复的授权而最终放弃了实时监控系统的使用。所以，如果能够实现新的授权管理方案以提高实时监控系统的易用性，这将非常有利于实时监控系统的普及。

经对现有技术文献的检索，发现没有任何实时监控系统能够识别改名或者更改路径但是代码却没有变化的可执行文件。

发明内容

为解决上述现有的缺点，本发明的主要目的在于提供一种实用的基于PE格式的实时监控系统授权码管理的新方法，能保证授权码的完整性和认证性，对存储空间的要求小，同时提高了实时监控系统的易用性。

为达成以上所述的目的，本发明的一种基于PE格式的实时监控系统授权码管理的新方法采取如下技术方案：

一种基于PE格式的实时监控系统授权码管理的新方法，包括授权码的写入和授权码的读取，其特征在于，授权码写入的步骤为，系统获取要授权的可执行文件的全局路径，系统保存一个初始密钥，并在内存授权表中设定进程文件的授权码，其格式为，“标识文件签名授权码1…授权码n编号”，其中文件签名为可执行文件的校验码或者哈希值，系统加密授权码，首先判断可执行文件的存放介质是否可写，如果为只读，则系统直接加密授权码，否则系统判断要写入授权码的可执行文件是否为Windows保护文件，如果是，则系统直接加密授权码，否则系统判断进程的映象文件是否为PE格式的可执行文件，如果不是，则系统直接加密授权码，如果是则系统计算授权码的长度，如果PE可执行文件中现有的可利用字段能完全存放下授权码，则系统使用保存的密钥加密授权码,如果现有的可利用字段不足以存放下所有的授权码，则系统继续在PE可执行文件中寻找可利用字段，直到所找的可利用字段能够存放下完整的授权码,如果系统搜索一遍后仍然没有找到足够的可利用字段存放，则将剩余未存放的授权码分离出来以备存入授权码数据库中,如果系统的授权码存放在不连续的可利用字段中，则系统按照上述授权码的格式分割授权码，并且分别对每一段授权码加密,授权码格式中的编号用于指向下一段授权码的存放位置，系统将授权码密文写入PE可执行文件中的可利用字段时，若可执行文件的存放介质为只读，或要授权的可执行文件为Windows保护文件，或还有PE文件中存放不下的授权码密文，则系统将授权码密文存入授权码数据库文件中，否则，系统向文件驱动发送写请求包，将授权码密文写入PE可执行文件中。

所述授权码读取的步骤为：

1）系统获取要读取授权码的可执行文件的全局路径；