[发明专利]一种基于设备驱动派遣函数hook的安全测试方法

说明书

本发明提供一种基于设备驱动派遣函数hook的安全测试方法，包括：在内核模块中枚举所有通用接口设备的设备名、设备对象以及驱动对象；客户端模块枚举所有通用接口设备的设备名列表，选择一个待测设备名发送给内核模块；内核模块检索对应的设备以及驱动对象，对驱动对象进行hook；客户端模块向内核模块发送测试指令；内核模块收到测试指令后，待主机与设备通信后，拦截主机与设备之间的IRP；hook函数根据测试指令构造不同的测试数据，执行旁路通信数据、数据篡改测试、重放攻击测试或模糊测试；内核模块每次捕获并处理通信数据后，客户端模块相应的读取测试数据。本发明实现了针对Windows操作系统下通用接口设备的安全测试方法。

技术领域

本发明涉及安全测试技术领域，具体而言，涉及一种基于设备驱动派遣函数hook的安全测试方法。

背景技术

随着信息化技术的发展，在Windows操作系统上，基于USB、PCI-E等计算机通用接口的硬件设备呈现多样化的发展态势，其应用场景包括了数据安全存储、数据加解密、身份认证等。这类设备在Windows操作系统中开始工作后，其设备接口、服务端口以及通信过程都暴露在计算机环境之中，如果主机受到攻击，相应的设备信息和通信信息可能会被窃取或控制，使得设备面临着信息泄漏、数据篡改、非授权控制等多种安全威胁。针对Windows操作系统下通用接口设备存在的安全风险，需要采用有效的安全测试方法予以验证，从而为设备的安全评估提供技术指导和评价方法。

然而，现有的安全测试方法中，针对Windows操作系统下通用接口设备的测试软件通常采用挂载过滤驱动的方法，存在着功能单一、缺乏主动探测能力、测试深度不足等问题。如USBtrace软件可以捕获Windows主机与USB设备之间的通讯数据，但无法对设备进行主动性的测试，测试对象也局限于USB接口的设备；BusHound软件可以旁路主机与设备之间的通信数据、发送简单的总线命令，但是无法模拟设备交互流程，缺乏端口探测、重放攻击、模糊测试等多层次的测试手段，无法实现对主机与设备之间完整数据流程的覆盖。

发明内容

本发明旨在针对现有的安全测试方法的不足，提供一种基于设备驱动派遣函数hook的安全测试方法，以实现对Windows操作系统下通用接口设备的数据旁路测试、数据篡改测试、重放攻击测试以及模糊测试等安全检测。

本发明提供的一种基于设备驱动派遣函数hook的安全测试方法，包括如下步骤：

S1、在内核模块中枚举当前主机所有通用接口设备的设备名、设备对象以及驱动对象，保存设备名与设备对象的关系列表，初始化_event事件和_semaphore信号量，初始化一个数据链表用于保存数据；

S2、在客户端模块中枚举当前主机上所有通用接口设备的设备名列表，在设备名列表中选择一个待测设备名，发送给内核模块；

S3、内核模块根据待测设备名检索对应的设备对象以及驱动对象，然后对驱动对象进行hook，替换驱动对象所有的派遣函数为自定义的hook函数；

S4、客户端模块从数据旁路测试、数据篡改测试、重放攻击测试和模糊测试中选择一种测试方法，向内核模块发送该次测试的测试指令和测试数据，初始化一个读线程，准备从内核模块中读取测试数据；

S5、内核模块收到测试指令后，使客户端模块读线程进入等待状态，等待主机与通用接口设备之间的通信，准备旁路通信数据；

S6、主机与通用接口设备开始通信之后，产生了一个IRP，即I/O请求数据包，hook函数从IRP中旁路通信数据，将通信数据保存在一个数据节点中，并设置该IRP的完成例程；

S7、hook函数根据客户端模块发送的测试指令及原始数据，构造不同的测试数据，执行后续的数据篡改测试、重放攻击测试或模糊测试；