[发明专利]一种终端设备及其防护方法、装置和可读存储介质

权利要求书

1.一种终端设备的防护方法，其特征在于，包括：

获取进程的目标控制操作；其中，所述目标控制操作包括进程创建操作、驱动加载操作、进程句柄操作、注册表操作和文件操作中的至少一项；

基于目标控制操作，确定所述目标控制操作的控制目标的目标类型；其中，所述目标类型包括可操作目标和不可操作目标；

根据所述目标类型，对所述目标控制操作进行对应操作。

2.根据权利要求1所述的终端设备的防护方法，其特征在于，所述目标控制操作包括所述进程创建操作和/或所述驱动加载操作，所述基于目标控制操作，确定所述目标控制操作的控制目标的目标类型，包括：

对所述控制目标进行检测，判断所述控制目标是否为安全目标；其中，所述控制目标包括所述进程创建操作控制创建的进程或所述驱动加载操作控制加载的驱动；

若是，则确定所述控制目标的目标类型为所述可操作目标；

若否，则确定所述控制目标的目标类型为所述不可操作目标。

3.根据权利要求1所述的终端设备的防护方法，其特征在于，所述目标控制操作包括所述进程句柄操作、所述注册表操作和/或所述文件操作，所述基于目标控制操作，确定所述目标控制操作的控制目标的目标类型，包括：

对所述控制目标进行检测，判断所述控制目标是否为受保护目标；其中，所述控制目标包括所述进程句柄操作控制的进程、所述注册表操作控制的注册表或所述文件操作控制的文件；

若是，则确定所述控制目标的目标类型为所述不可操作目标；

若否，则确定所述控制目标的目标类型为所述可操作目标。

4.根据权利要求1所述的终端设备的防护方法，其特征在于，所述目标控制操作包括所述进程句柄操作、所述注册表操作和/或所述文件操作，所述基于目标控制操作，确定所述目标控制操作的控制目标的目标类型，包括：

对所述控制目标进行检测，判断所述控制目标是否为受保护目标；其中，所述控制目标包括所述进程句柄操作控制的进程、所述注册表操作控制的注册表或所述文件操作控制的文件；

若为所述受保护目标，则确定所述控制目标的目标类型为所述不可操作目标；

若不为所述受保护目标，则对所述目标控制操作的发起方程序进行检测，判断所述控制目标是否为安全程序；其中，所述发起方程序包括发起所述目标控制操作的进程或驱动；

若为所述安全程序，则确定所述控制目标的目标类型为所述可操作目标；

若不为所述安全程序，则确定所述控制目标的目标类型为所述不可操作目标。

5.根据权利要求1所述的终端设备的防护方法，其特征在于，还包括：

在所述终端设备关机过程中最后一个调用关机回调程序；

运行所述关机回调程序，调用存储的修复进程文件对所述终端设备在开机后修改的受保护注册表和受保护文件进行修复。

6.根据权利要求5所述的终端设备的防护方法，其特征在于，通过以下方式最后一个调用关机回调程序：

在所述终端设备开机过程中，将所述关机回调程序对应的链表信息添加到关机回调链表的链表头，以使所述终端设备在关机过程中最后一个调用所述关机回调程序。

7.根据权利要求1至6任一项所述的终端设备的防护方法，其特征在于，还包括：

在目标驱动上安装通讯分析设备；其中，所述目标驱动包括危险驱动；

利用所述通讯分析设备，提取所述目标驱动的目标操作的通信信息；其中，所述目标操作包括对受保护进程、受保护注册表和/或受保护文件的操作，所述通信信息包括通信控制码和/或请求包格式；

利用所述通信信息，对所述目标操作进行对应操作。

8.根据权利要求7所述的终端设备的防护方法，其特征在于，所述通信信息包括通信控制码和请求包格式时，所述利用所述通信信息，对所述目标操作进行对应操作，包括：

获取所述目标驱动的当前目标操作；

判断当前目标操作是否采用所述通信控制码或所述请求包格式；

若是，则拦截当前目标操作。