[发明专利]一种拦截系统调用的方法及装置

权利要求书

1.一种拦截系统调用的方法，其特征在于，包括：

监控程序对系统调用接口的系统调用请求，并判断监控到的对系统调用接口发送系统调用请求的目标程序是否为安全程序；

当判断结果为否时，屏蔽所述目标程序所请求的系统调用；

当判断结果为是时，向系统调用接口返回模式专用寄存器中保存的用于指示防护程序驱动所在位置的虚拟值，并根据所述虚拟值，将所述目标程序所请求的系统调用发送至防护程序驱动；

所述虚拟值，是根据虚拟寄存器中保存的防护程序驱动入口地址，对所述模式专用寄存器中保存的、与所述目标程序所请求的系统调用对应的真实值进行修改而得到的；所述虚拟寄存器是对计算机操作系统进行硬件虚拟化生成得到；

所述虚拟寄存器，还保存有用于提供给计算机操作系统保护程序进行校验的所述真实值。

2.如权利要求1所述的方法，其特征在于，判断监控到的对系统调用接口发送系统调用请求的目标程序是否为安全程序，包括：

根据所述目标程序的特征码，判断所述目标程序是否为安全程序；或

判断所述目标程序是否属于预先设置的安全程序集，根据判断结果确定所述目标程序是否为安全程序。

3.如权利要求1所述的方法，其特征在于，所述方法还包括：

响应于计算机操作系统保护程序发送的校验请求，返回所述虚拟寄存器中保存的所述真实值，并拦截所述模式专用寄存器返回的所述虚拟值。

4.如权利要求1所述的方法，其特征在于，当判断结果为否时，所述方法还包括：

确定所述目标程序的类型；

在预先设置的处理方式集中，根据所述目标程序的类型，确定所述类型所 对应的处理方式；其中，所述处理方式集中存储有至少一种类型的程序所对应的处理方式；

根据确定的处理方式，对所述目标程序进行处理。

5.如权利要求1所述的方法，其特征在于，将所述目标程序所请求的系统调用发送至防护程序驱动后，所述方法还包括：

对所述目标程序所请求的系统调用是否安全进行判断，得到判断结果；

当所述判断结果为不安全时，屏蔽所述目标程序所请求的系统调用；

当所述判断结果为安全时，执行所述目标程序所请求的系统调用。

6.一种拦截系统调用的装置，其特征在于，包括：

系统调用监控单元，用于监控程序对系统调用接口的系统调用请求，并判断监控到的对系统调用接口发送系统调用请求的目标程序是否为安全程序；

系统调用屏蔽单元，用于当判断结果为否时，屏蔽所述目标程序所请求的系统调用；

系统调用拦截单元，用于当判断结果为是时，向系统调用接口返回模式专用寄存器中保存的用于指示防护程序驱动所在位置的虚拟值，并根据所述虚拟值，将所述目标程序所请求的系统调用发送至防护程序驱动；所述虚拟值，是根据虚拟寄存器中保存的防护程序驱动入口地址，对所述模式专用寄存器中保存的、与所述目标程序所请求的系统调用对应的真实值进行修改而得到的；所述虚拟寄存器是对计算机操作系统进行硬件虚拟化生成得到；所述虚拟寄存器，还保存有用于提供给计算机操作系统保护程序进行校验的所述真实值。

7.如权利要求6所述的装置，其特征在于，系统调用监控单元，用于：

根据所述目标程序的特征码，判断所述目标程序是否为安全程序；或

判断所述目标程序是否属于预先设置的安全程序集，根据判断结果确定所述目标程序是否为安全程序。

8.如权利要求6所述的装置，其特征在于，还包括校验单元，用于：

响应于计算机操作系统保护程序发送的校验请求，返回所述虚拟寄存器中 保存的所述真实值，并拦截所述模式专用寄存器返回的所述虚拟值。

9.如权权利要求6所述的装置，其特征在于，还包括不安全程序处理单元，用于：

当系统调用监控单元对目标程序的当判断结果为否时，确定所述目标程序的类型；

在预先设置的处理方式集中，根据所述目标程序的类型，确定所述类型所对应的处理方式；其中，所述处理方式集中存储有至少一种类型的程序所对应的处理方式；

根据确定的处理方式，对所述目标程序进行处理。

10.如权利要求6所述的装置，其特征在于，还包括系统调用安全判定单元，用于：

当系统调用拦截单元将所述目标程序所请求的系统调用发送至防护程序驱动后，对所述目标程序所请求的系统调用是否安全进行判断，得到判断结果；

当所述判断结果为不安全时，屏蔽所述目标程序所请求的系统调用；

当所述判断结果为安全时，执行所述目标程序所请求的系统调用。