[发明专利]一种拦截系统调用的方法及装置

说明书

技术领域

本申请涉及计算机技术领域，尤其涉及一种拦截系统调用的方法及装置。

背景技术

随着互联网技术的不断发展，计算机在用户的日常生活中也变得越来越重要。但是也有越来越多的恶意程序(如，计算机病毒、后门程序、木马、间谍软件以及广告软件等)在攻击着用户使用的计算机，威胁着用户的个人信息(如，账号信息、身份信息等)安全，极大的影响了用户对互联网的使用。

为了保护用户的计算机不受恶意程序的侵害，越来越多的用户选择在个人电脑(Personal Computer，PC)上安装第三方的安全防御软件，以达到防御恶意程序攻击的目的。

其中，安全防御软件可以提供主动防御技术，该技术是基于程序行为自主分析判断的实时防护技术。安全防御软件在进行主动防御时，首先需要对恶意程序进行行为拦截，然后进行相应处理。因而安全防御软件在进行主动防御时，最重要的一步是对程序行为的拦截。

然而，目前现有的一些计算机操作系统(如，微软的64位Windows操作系统等)，禁止第三方安全防御软件对程序行为的拦截，导致第三方安全防御软件无法为用户提供主动防御。

发明内容

本申请实施例提供一种拦截系统调用的方法，用以解决由于计算机操作系统禁止拦截系统调用，而导致第三方安全软件无法为用户提供主动防御的问题。

本申请实施例还提供一种拦截系统调用的装置，用以解决由于计算机操作系统禁止拦截系统调用，而导致第三方安全软件无法为用户提供主动防御的问题。

本申请实施例采用下述技术方案：

一种拦截系统调用的方法，包括：

监控程序对系统调用接口的系统调用请求，并判断监控到的对系统调用接口发送系统调用请求的目标程序是否为安全程序；

当判断结果为否时，屏蔽所述目标程序所请求的系统调用；

当判断结果为是时，向系统调用接口返回模式专用寄存器中保存的用于指示防护程序驱动所在位置的虚拟值，并根据所述虚拟值，将所述目标程序所请求的系统调用发送至防护程序驱动；

所述虚拟值，是根据虚拟寄存器中保存的防护程序驱动入口地址，对所述模式专用寄存器中保存的、与所述目标程序所请求的系统调用对应的真实值进行修改而得到的；所述虚拟寄存器是对计算机操作系统进行硬件虚拟化生成得到；

所述虚拟寄存器，还保存有用于提供给计算机操作系统保护程序进行校验的所述真实值。

一种拦截系统调用的装置，包括：

系统调用监控单元，用于监控程序对系统调用接口的系统调用请求，并判断监控到的对系统调用接口发送系统调用请求的目标程序是否为安全程序；

系统调用屏蔽单元，用于当判断结果为否时，屏蔽所述目标程序所请求的系统调用；

系统调用拦截单元，用于当判断结果为是时，向系统调用接口返回模式专用寄存器中保存的用于指示防护程序驱动所在位置的虚拟值，并根据所述虚拟值，将所述目标程序所请求的系统调用发送至防护程序驱动；所述虚拟值，是根据所述虚拟寄存器中保存的防护程序驱动入口地址，对所述模式专用寄存器 中保存的、与所述目标程序所请求的系统调用对应的真实值进行修改而得到的；所述虚拟寄存器是对计算机操作系统进行硬件虚拟化生成得到；所述虚拟寄存器，还保存有用于提供给计算机操作系统保护程序进行校验的所述真实值。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

由于对于不安全的目标程序，可以直接屏蔽所述目标程序所请求的系统调用，从而避免所述不安全的目标程序通过的系统调用的方式，对计算机进行的攻击；而对于安全的目标程序，可以根据模式专用寄存器中保存的用于指示防护程序驱动所在位置的虚拟值，将所述程序所请求的系统调用发送至用于拦截系统调用的防护程序驱动，且虚拟寄存器中还保存有用于提供给计算机操作系统保护程序进行校验的所述真实值，以使得计算机操作系统保护程序成功进行校验，而不会造成计算机蓝屏，从而可以达到利用防护程序驱动成功拦截程序的系统调用的目的。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的一种拦截系统调用的方法的具体流程示意图；

图2为本申请实施例提供的一种拦截系统调用的装置的具体结构示意图。

具体实施方式