[发明专利]防注入的方法和装置

权利要求书

1.一种防注入的方法，包括以下步骤：

获取应用程序编程接口的调用指令；

根据所述调用指令在应用程序编程接口内部读取注册表信息时，进入Hook函数；

通过所述Hook函数读取注册表信息，并根据预设策略获取动态链接库信息；

加载获取的动态链接库信息到当前进程；

当所述预设策略为不允许任何动态链接库注入时，获取空信息给所述应用程序编程接口。

2.根据权利要求1所述的方法，其特征在于，所述通过所述Hook函数读取注册表信息，并根据预设策略获取动态链接库信息的步骤包括：

通过所述Hook函数读取注册表信息，判断读取的注册表位置是否为预先记录的与注入相关的注册表位置；

若判断出读取的注册表位置为预先记录的与注入相关的注册表位置，则根据所述调用指令分析读取到的动态链接库信息，根据预设策略从读取到的动态链接库信息中剔除不需要注入的动态链接库，并获取剩余的动态链接库；

所述加载获取的动态链接库信息到当前进程的步骤包括：

加载所述剩余的动态链接库到当前进程。

3.根据权利要求2所述的方法，其特征在于，通过所述Hook函数读取注册表信息，并根据预设策略获取动态链接库信息的步骤包括还包括：

若判断出读取的注册表位置不为预先记录的与注入相关的注册表位置，则根据调用指令直接获取动态链接库信息。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述预设策略包括数字签名、白名单和黑名单中一种或两种以上，所述白名单用于记录允许注入的动态链接库的属性信息，所述黑名单用于记录不允许注入的动态链接库的属性信息；

通过所述Hook函数读取注册表信息，并根据预设策略获取动态链接库信息的步骤包括：

通过所述Hook函数读取注册表信息，并根据数字签名、白名单和黑名单中一种或两种以上筛选得到允许注入的动态链接库。

5.根据权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：

预先记录动态链接库注入信息的注册表位置。

6.一种防注入的装置，其特征在于，包括：

调用模块，用于获取应用程序编程接口的调用指令；

进入模块，用于根据所述调用指令在应用程序编程接口内部读取注册表信息时，进入Hook函数；

获取模块，用于通过所述Hook函数读取注册表信息，并根据预设策略获取动态链接库信息；

加载模块，用于加载获取的动态链接库信息到当前进程；

当所述预设策略为不允许任何动态链接库注入时，所述获取模块还用于获取空信息给所述应用程序编程接口。

7.根据权利要求6所述的装置，其特征在于，所述获取模块还用于通过所述Hook函数读取注册表信息，判断读取的注册表位置是否为预先记录的与注入相关的注册表位置，若判断出读取的注册表位置为预先记录的与注入相关的注册表位置，则根据所述调用指令分析读取到的动态链接库信息，根据预设策略从读取到的动态链接库信息中剔除不需要注入的动态链接库，并获取剩余的动态链接库；

所述加载模块还用于加载所述剩余的动态链接库到当前进程。

8.根据权利要求7所述的装置，其特征在于，所述获取模块还用于若判断出读取的注册表位置不为预先记录的与注入相关的注册表位置，则根据调用指令直接获取动态链接库信息。

9.根据权利要求6至8中任一项所述的装置，其特征在于，所述预设策略包括数字签名、白名单和黑名单中一种或两种以上，所述白名单用于记录允许注入的动态链接库的属性信息，所述黑名单用于记录不允许注入的动态链接库的属性信息；

所述获取模块还用于通过所述Hook函数读取注册表信息，并根据数字签名、白名单和黑名单中一种或两种以上筛选得到允许注入的动态链接库。