[发明专利]一种基于Windows10系统下的截获用户文件打开的系统及方法

权利要求书

1.一种基于Windows10系统下的截获用户文件打开的系统，其特征在于，包括：

传输模块，用于将微软官方符号的域名和本地路径拼成的符号地址传输到符号初始化中进行初始化操作，得到初始化地址；

获取模块，通过调用初始化地址中的符号函数获取符号文件；

计算模块，通过调用初始化地址中的枚举函数，得到关键函数地址和相关模块基址后，将获取到的相关模块基址和函数偏移相加，得到关键函数的绝对内存地址；

缓存模块，通过调用初始化地址中的获取文件模块文件，得到获取文件的绝对路径，然后用于通过绝对路径和计算模块获取的函数偏移得到md5值，并将md5值缓存并记录到注册表中，所述md5值以MD5作为键值；

操作模块，用于将hook模块注入到操作系统的资源管理器中，通过获取全文件函数得到hook模块的全路径，通过全路径计算出该文件的MD5值，再与缓存模块中的获取的MD5相匹配，匹配成功后获取到关键函数的函数地址和相关模块基址，通过计算模块得到关键函数的实际地址，然后在对实际地址进行hook操作，从而截获用户文件打开的路径。

2.根据权利要求1所述的一种基于Windows10系统下的截获用户文件打开的系统，其特征在于：所述获取模块中，调用初始化地址中的符号函数时，通过在工作目录下创建symsrc.yes函数，以下载调试符号文件。

3.根据权利要求1所述的一种基于Windows10系统下的截获用户文件打开的系统，其特征在于：所述获取模块中，获取符号文件共有两种方式：在本地路径拼成的符号缓存的目录中获取符号文件；通过微软官方符号的下载地址获取符号文件，所述符号初始化指定了微软官方符号的下载地址和本地路径拼成的符号缓存的目录。

4.根据权利要求1所述的一种基于Windows10系统下的截获用户文件打开的系统，其特征在于：所述缓存模块中，当md5值发生变化时，hook模块会自动重新下载新模块的符号。

5.根据权利要求1所述的一种基于Windows10系统下的截获用户文件打开的系统，其特征在于：所述函数偏移是指关键函数地址减去相关模块基址得到函数偏移，所述关键函数地址通过SymEnumSymbols枚举符号中的函数，然后再通过函数名称匹配出关键函数地址和相关模块基址，所述相关函数基址也可通过GetModuleHandle函数获取。

6.一种基于Windows10系统下的截获用户文件打开的方法，其特征在于，包括：

将微软官方符号的域名和本地路径拼成的符号地址传输到符号初始化中进行初始化操作，得到初始化地址；

调用初始化地址中的符号函数获取符号文件；

调用初始化地址中的枚举函数，得到关键函数地址和相关模块基址后，将获取到的相关模块基址和函数偏移相加，得到关键函数的绝对内存地址；

调用初始化地址中的获取文件模块文件，得到获取文件的绝对路径，然后用于通过绝对路径和函数偏移得到md5值，并将md5值缓存并记录到注册表中，所述md5值以MD5作为键值；

将hook模块注入到操作系统的资源管理器中，通过获取全文件函数得到hook模块的全路径，通过全路径计算出该文件的MD5值，再与缓存模块中获取的MD5相匹配，匹配成功后获取到关键函数的函数地址和相关模块基址，通过计算模块得到关键函数的实际地址，然后在对实际地址进行hook操作，从而截获用户文件打开的路径。

7.根据权利要求6所述的一种基于Windows10系统下的截获用户文件打开的方法，其特征在于：调用初始化地址中的符号函数时，通过在工作目录下创建symsrc.yes函数，以下载调试符号文件。

8.根据权利要求6所述的一种基于Windows10系统下的截获用户文件打开的方法，其特征在于：获取符号文件共有两种方式：在本地路径拼成的符号缓存的目录中获取符号文件；通过微软官方符号的下载地址获取符号文件，所述符号初始化指定了微软官方符号的下载地址和本地路径拼成的符号缓存的目录。