[发明专利]一种视窗操作系统下基于内核的防硬盘被格式化的方法

权利要求书

1.一种视窗操作系统下基于内核的防硬盘被格式化的方法，其是一种在所述视窗操作系统的ring0级下执行的方法，其特征在于，包括以下步骤：

创建和设置所述视窗操作系统的Image回调函数，以监视所述视窗操作系统应用层加载的所有进程及其模块，并获得每个所述进程及其模块的信息；从所述进程及其模块的信息中获取结构体RTL_USER_PROCESS_PARAMETERS；

从所述结构体RTL_USER_PROCESS_PARAMETERS中获取所述结构体RTL_USER_PROCESS_PARAMETERS的成员CommandLine的字符串值；

比较所述字符串值，判断其中是否存在执行格式化硬盘命令对应的特定字符串：

如有，则用空格替换所述特定字符串后，交还该结构体给该进程，以确保该进程不格式化硬盘；

如无，则直接返回以使得该进程继续执行。

2.根据权利要求1所述的一种视窗操作系统下基于内核的防硬盘被格式化的方法，其特征在于：所述特定字符串为c:\windows\system32\dllhost.exe/processid:{。

3.根据权利要求1所述的一种视窗操作系统下基于内核的防硬盘被格式化的方法，其特征在于：从所述Image回调中的返回参数中获取其对应的结构体RTL_USER_PROCESS_PARAMETERS的方法为：

调用系统函数PsGetProcessWow64Process：

如返回值正常，则获取其中的所述结构体RTL_USER_PROCESS_PARAMETERS；

如返回值异常，则调用系统函数PsGetProcessPeb，如返回值正常，则获取其中的所述结构体RTL_USER_PROCESS_PARAMETERS。

4.根据权利要求1所述的一种视窗操作系统下基于内核的防硬盘被格式化的方法，其特征在于：从所述Image回调中的返回参数中获取其对应的结构体RTL_USER_PROCESS_PARAMETERS的方法为：

调用系统函数PsGetProcessPeb：

如返回值正常，则获取其中的所述结构体RTL_USER_PROCESS_PARAMETERS；

如返回值异常，则调用系统函数PsGetProcessWow64Process，如返回值正常，则获取其中的所述结构体RTL_USER_PROCESS_PARAMETERS。

5.根据权利要求1所述的一种视窗操作系统下基于内核的防硬盘被格式化的方法，其特征在于：所述方法随所述视窗操作系统启动而开始执行。

6.根据权利要求1-5其中之一所述的一种视窗操作系统下基于内核的防硬盘被格式化的方法，其特征在于：所述视窗操作系统是64位的windows10操作系统。