一种获得操作系统控制权的方法和装置.pdf

摘要
申请专利号：	CN201310436199.8	申请日：	2013.09.23
公开号：	CN104462956A	公开日：	2015.03.25
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F21/55申请日:20130923\|\|\|公开
IPC分类号：	G06F21/55(2013.01)I; G06F9/445	主分类号：	G06F21/55
申请人：	安一恒通（北京）科技有限公司
发明人：	段然
地址：	100091北京市海淀区东北旺西路8号中关村软件园4号楼C座1-03
优先权：
专利代理机构：	北京品源专利代理有限公司11332	代理人：	胡彬
PDF下载：	PDF下载

内容摘要

本发明提供了一种获得操作系统控制权的方法和装置，方法包括：第一驱动接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的；所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间；所述第一驱动钩住NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。装置包括：第一驱动和第一动态链接库。本发明提供的方案为移动终端提供更为有效的保护，有效防止了病毒文件对移动终端的危害。

权利要求书

权利要求书
1.  一种获得操作系统控制权的方法，其特征在于，包括：
第一驱动接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的；
所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间；
所述第一驱动钩住所述NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。

2.  根据权利要求1所述的方法，其特征在于，所述方法还包括：
当所述第一程序对所述NTDLL中的第一敏感函数发起调用时，由所述第一动态链接库获得所述第一程序的调用参数，并将所述调用参数发送给第二驱动，所述第二驱动根据所述调用参数判断所述第一程序对所述第一敏感函数的调用是否合法。

3.  根据权利要求2所述的方法，其特征在于，还包括：
如果合法，所述第一驱动允许所述第一程序的调用继续执行；
如果不合法，所述第一驱动阻止所述第一程序的调用继续执行。

4.  根据权利要求1至3中任一项所述的方法，其特征在于，所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间，具体包括：
所述第一驱动按照数据格式将所述第一动态链接库映射到所述第一程序的进程内存空间。

5.  根据权利要求1至3中任一项所述的方法，其特征在于，在所述接收操作系统的映射通知之前，所述方法还包括：
所述第一驱动在操作系统的通知函数中进行注册。

6.  一种获得操作控制权的装置，其特征在于，包括：第一驱动和第一动态链接库；
所述第一驱动用于：
接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的；
将第一动态链接库映射到所述第一程序的进程内存空间；
钩住所述NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。

7.  根据权利要求6所述的方法，其特征在于，还包括第二驱动；
则所述第一动态链接库用于：
当所述第一程序对所述NTDLL中的第一敏感函数发起调用时，获得所述第一程序的调用参数，并将所述调用参数发送给所述第二驱动；
所述第二驱动用于：根据所述调用参数判断所述第一程序对所述第一敏感函数的调用是否合法。

8.  根据权利要求7所述的装置，其特征在于，所述第一驱动还用于：
如果所述第二驱动判定所述第一程序对所述第一敏感函数的调用合法，允许所述第一程序的调用继续执行；
如果所述第二驱动判定所述第一程序对所述第一敏感函数的调用不合法，阻止所述第一程序的调用继续执行。

9.  根据权利要求6至8中任一项所述的装置，其特征在于，所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间，具体包括：按照数据格式将所述第一动态链接库映射到所述第一程序的进程内存空间。

10.  根据权利要求6至8中任一项所述的装置，其特征在于，所述第一驱动还用于：在所述接收操作系统的映射通知之前，在操作系统的通知函数中进行注册。

说明书

说明书一种获得操作系统控制权的方法和装置
技术领域
本发明涉及安全技术领域，尤其涉及一种获得操作系统控制权的方法和装置。
背景技术
主动防御是一种基于程序行为自主分析判断的实时防护技术。该技术并不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程，解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。
然而在现有技术中，很多主动防御软件无法在第一时间获得操作系统的控制权，给病毒以可乘之机，对移动终端（如手机、个人电脑等）进行操作甚至造成危害。
发明内容
本发明的目的在于提供一种获得操作系统控制权的方法和装置，为移动终端提供更为有效的保护，有效防止了病毒文件对移动终端的危害。
为达到上述目的，一方面，本发明提供了一种获得操作系统控制权的方法，包括：
第一驱动接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的；
所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间；
所述第一驱动钩住NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。
另一方法，本发明还提供了一种获得操作控制权的装置，包括：第一驱动和第一动态链接库；
所述第一驱动用于：
接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的；
将第一动态链接库映射到所述第一程序的进程内存空间；
钩住所述NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。
本发明提供的获得操作系统控制权的方法和装置，通过在操作系统启动第一程序时将NTDLL映射到第一程序时接收到映射通知，并将第一动态链接库映射到第一程序的进程内存空间，并钩住NTDLL中的敏感函数，从而使得第一程序在调用敏感函数时可以直接跳转到第一动态链接库，来获得操作系统的控制权。在第一时间获得操作系统控制权，可以在最短时间内截获病毒文件对操作系统的破坏，有效保护移动终端的安全。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：
图1为本发明实施例一提供的获得操作系统控制权的方法流程图；
图2为本发明实施例二提供的获得操作系统控制权的方法流程图；
图3为本发明实施例三提供的获得操作系统控制权的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施例作详细描述。
下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
首先请参考图1，图1为本发明实施例一提供的获得操作系统控制权的方法流程图，该方法包括：
步骤1、第一驱动接收操作系统的映射通知，该映射通知为操作系统在启动第一程序时将新技术动态链接库（New Technology Dynamic Link Library，简称为：NTDLL）映射到第一程序时发送的。
步骤2、将第一动态链接库映射到第一程序的进程内存空间。
这样做的目的在于：第一程序由于刚刚启动，且第一程序不会加载第一动态链接库，那么在第一程序的进程内存空间中没有第一动态链接库，所以需要将第一动态链接库映射到第一程序的进程内存空间中。
进一步的，还可以再完成第一动态链接库的链接和重定位。链接可以理解为完成第一动态链接库中需要引用的其他动态链接库（如果有）的动作，而重定位可以理解为当第一动态链接库没办法加载到建议地址时，根据第一动态链接库的重定位节，调整第一动态链接库中的部分代码指令。
步骤3、钩住NTDLL中的敏感函数，以使得第一程序调用敏感函数时跳转到第一动态链接库。
这里所说的敏感函数可以有比较广泛的理解，如执行的是敏感操作的函数可以理解为敏感函数，敏感操作可以理解为读文件、写文件、终止进程、调试进程、修改注册表等。
本发明提供了一种获得操作系统控制权的方法，可以通过软件的形式实现，这个软件从表现形态上可以为包括驱动和动态链接库，在本实施例中可以分别称之为第一驱动和第一动态链接库，以与现有技术中存在的其他驱动和动态链接库相区分。第一驱动可以理解为一个处理器，用于执行上述步骤1、2和3，第一动态链接库可以理解为一段代码，这段代码的主要用途通过如下实施方式进行描述。如图2所示，在上述实施方式的基础上，还包括：
步骤4、当第一程序对NTDLL中的第一敏感函数发起调用时，由第一动态链接库获得第一程序的调用参数，并将调用参数发送给第二驱动，由第二驱动根据调用参数判断该第一程序对第一敏感函数的调用是否合法。
这里提到的第二驱动可以是现有技术中提供的驱动，也可以由第一驱动来实现，不做具体限定。由于第一驱动已经钩住了第一敏感函数，因此，当第一敏感函数被第一程序所调用时，进程会被引导至第一动态链接库，由第一动态链接库得到第一程序的调用参数。
进一步的，在上述实施方式的基础上，该方法还可以包括：如果第一程序对第一敏感函数的调用合法，第一驱动允许第一程序的调用继续执行；如果第一程序对第一敏感函数的调用不合法，第一驱动不允许第一程序的调用继续执行。
进一步的，在上述实施方式的基础上，步骤2具体可以包括：第一驱动按照数据格式将第一动态链接库映射到第一程序的进程内存空间。
对于将动态链接库映射到第一程序的进程内存空间，可以是数据格式，还可以是执行格式。数据格式的映射，在映射时操作系统不会发出映射通知，而对于执行格式的映射，在映射时操作系统会发出映射通知，这样会造成对其他程序的干扰。
进一步需要说明的是，为了接收到操作系统的映射通知，第一驱动需要在操作系统的通知函数中进行注册，这样，操作系统在启动程序时所做的映射动作，就会发送映射通知给已在通知函数中注册的程序等等。
还需要说明的是，本发明提供的方法可以实施为计算机程序软件，例如根据本发明的实施例可以是一种计算机程序产品，运行该程序产品使计算机执行用于所示范的方法。所述计算机程序产品包括计算机可读存储介质，该介质上包含计算机程序逻辑或代码部分，用于实现所述移动终端的消息的内容的处理方法。所述计算机可读存储介质可以是被安装在计算机中的内置介质或者可从计算机主体拆卸的可移动介质（例如热拔插技术存储设备）。所述内置介质包括但不限于可重写的非易失性存储器，例如RAM、ROM、快闪存储器和硬盘。所述可移动介质包括但不限于：光存储媒体（例如CD-ROM和DVD）、磁光存储媒体（例如MO）、磁存储媒体（例如盒带或移动硬盘）、具有内置的可重写的非易失性存储器的媒体（例如存储卡）和具有内置ROM的媒体（例如ROM盒）。
本发明提供的获得操作系统控制权的方法，通过在操作系统启动第一程序时将NTDLL映射到第一程序时接收到映射通知，并将第一动态链接库映射到第一程序的进程内存空间，并钩住NTDLL中的敏感函数，从而使得第一程序在调用敏感函数时可以直接跳转到第一动态链接库，来获得操作系统的控制权。第一时间获得操作系统控制权，可以在最短时间内截获病毒文件对操作系统的破坏，有效保护移动终端的安全。
图3为本发明实施例三提供的获得操作系统控制权的装置结构示意图，如图3所示，该装置包括：第一驱动31和第一动态链接库32；其中，第一驱动31用于：接收操作系统的映射通知，映射通知为操作系统在启动第一程序时将新技术动态链接库NTDLL映射到第一程序时发送的；将第一动态链接库32映射到第一程序的进程内存空间；钩住NTDLL中的敏感函数，以使得第一程序调用敏感函数时跳转到第一动态链接库32。
进一步的，该装置还可以包括第二驱动33；则第一动态链接库32用于：当第一程序对NTDLL中的第一敏感函数发起调用时，获得第一程序的调用参数，并将调用参数发送给第二驱动33；第二驱动33用于：根据调用参数判断第一程序对第一敏感函数的调用是否合法。
在上述实施方式的基础上，第一驱动31还用于：如果第二驱动33判定第一程序对第一敏感函数的调用合法，允许第一程序的调用继续执行；如果第二驱动33判定第一程序对第一敏感函数的调用不合法，阻止第一程序的调用继续执行。
一种实施方式下，第一驱动31将第一动态链接库32映射到第一程序的进程内存空间，具体包括：按照数据格式将第一动态链接库32映射到第一程序的进程内存空间。
又一种实施方式下，第一驱动31还用于：在接收操作系统的映射通知之前，在操作系统的通知函数中进行注册。
本领域技术人员应当理解，任何具有适当编程装置的计算机系统都将能够执行包含在程序产品中的本发明的方法的诸步骤。尽管本说明书中描述的多数具体实施方式都侧重于软件程序，但是作为固件和硬件实现本发明提供的方法的替代实施例同样在本发明要求保护的范围之内。
以上所揭露的仅为本发明的一些较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

资源描述

《一种获得操作系统控制权的方法和装置.pdf》由会员分享，可在线阅读，更多相关《一种获得操作系统控制权的方法和装置.pdf（9页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 (43)申请公布日 (21)申请号 201310436199.8(22)申请日 2013.09.23G06F 21/55(2013.01)G06F 9/445(2006.01)(71)申请人安一恒通（北京）科技有限公司地址 100091 北京市海淀区东北旺西路8号中关村软件园4号楼C座1-03(72)发明人段然(74)专利代理机构北京品源专利代理有限公司 11332代理人胡彬(54) 发明名称一种获得操作系统控制权的方法和装置(57) 摘要本发明提供了一种获得操作系统控制权的方法和装置，方法包括：第一驱动接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新。

2、技术动态链接库NTDLL映射到所述第一程序时发送的；所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间；所述第一驱动钩住NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。装置包括：第一驱动和第一动态链接库。本发明提供的方案为移动终端提供更为有效的保护，有效防止了病毒文件对移动终端的危害。(51)Int.Cl.(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书2页说明书4页附图2页(10)申请公布号 CN 104462956 A(43)申请公布日 2015.03.25CN 104462956 A1/2页21.一种获得操作系统控制权。

3、的方法，其特征在于，包括：第一驱动接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的；所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间；所述第一驱动钩住所述NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述第一程序对所述NTDLL中的第一敏感函数发起调用时，由所述第一动态链接库获得所述第一程序的调用参数，并将所述调用参数发送给第二驱动，所述第二驱动根据所述调用参数判断所述第一程序对所述第一敏感函数的调用是否合法。3。

4、.根据权利要求2所述的方法，其特征在于，还包括：如果合法，所述第一驱动允许所述第一程序的调用继续执行；如果不合法，所述第一驱动阻止所述第一程序的调用继续执行。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间，具体包括：所述第一驱动按照数据格式将所述第一动态链接库映射到所述第一程序的进程内存空间。5.根据权利要求1至3中任一项所述的方法，其特征在于，在所述接收操作系统的映射通知之前，所述方法还包括：所述第一驱动在操作系统的通知函数中进行注册。6.一种获得操作控制权的装置，其特征在于，包括：第一驱动和第一动态链接库；所述第一驱动用于。

5、：接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的；将第一动态链接库映射到所述第一程序的进程内存空间；钩住所述NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。7.根据权利要求6所述的方法，其特征在于，还包括第二驱动；则所述第一动态链接库用于：当所述第一程序对所述NTDLL中的第一敏感函数发起调用时，获得所述第一程序的调用参数，并将所述调用参数发送给所述第二驱动；所述第二驱动用于：根据所述调用参数判断所述第一程序对所述第一敏感函数的调用是否合法。8.根据权利要求7所述的装置，其特征在于，。

6、所述第一驱动还用于：如果所述第二驱动判定所述第一程序对所述第一敏感函数的调用合法，允许所述第一程序的调用继续执行；如果所述第二驱动判定所述第一程序对所述第一敏感函数的调用不合法，阻止所述第一程序的调用继续执行。9.根据权利要求6至8中任一项所述的装置，其特征在于，所述第一驱动将第一动态链权利要求书CN 104462956 A2/2页3接库映射到所述第一程序的进程内存空间，具体包括：按照数据格式将所述第一动态链接库映射到所述第一程序的进程内存空间。10.根据权利要求6至8中任一项所述的装置，其特征在于，所述第一驱动还用于：在所述接收操作系统的映射通知之前，在操作系统的通知函数中进行注册。。

7、权利要求书CN 104462956 A1/4页4一种获得操作系统控制权的方法和装置技术领域0001 本发明涉及安全技术领域，尤其涉及一种获得操作系统控制权的方法和装置。背景技术0002 主动防御是一种基于程序行为自主分析判断的实时防护技术。该技术并不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程，解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。 0003 然而在现有技术中，很多主动防御软件无法在第一时间获得操作系统的控制权，给病毒以可乘之机。

8、，对移动终端（如手机、个人电脑等）进行操作甚至造成危害。发明内容0004 本发明的目的在于提供一种获得操作系统控制权的方法和装置，为移动终端提供更为有效的保护，有效防止了病毒文件对移动终端的危害。 0005 为达到上述目的，一方面，本发明提供了一种获得操作系统控制权的方法，包括： 0006 第一驱动接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的； 0007 所述第一驱动将第一动态链接库映射到所述第一程序的进程内存空间； 0008 所述第一驱动钩住NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一。

9、动态链接库。 0009 另一方法，本发明还提供了一种获得操作控制权的装置，包括：第一驱动和第一动态链接库； 0010 所述第一驱动用于： 0011 接收操作系统的映射通知，所述映射通知为所述操作系统在启动第一程序时将新技术动态链接库NTDLL映射到所述第一程序时发送的； 0012 将第一动态链接库映射到所述第一程序的进程内存空间； 0013 钩住所述NTDLL中的敏感函数，以使得所述第一程序调用所述敏感函数时跳转到所述第一动态链接库。 0014 本发明提供的获得操作系统控制权的方法和装置，通过在操作系统启动第一程序时将NTDLL映射到第一程序时接收到映射通知，并将第一动态链接库映射到第一程序的。

10、进程内存空间，并钩住NTDLL中的敏感函数，从而使得第一程序在调用敏感函数时可以直接跳转到第一动态链接库，来获得操作系统的控制权。在第一时间获得操作系统控制权，可以在最短时间内截获病毒文件对操作系统的破坏，有效保护移动终端的安全。附图说明0015 通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它说明书CN 104462956 A2/4页5特征、目的和优点将会变得更明显： 0016 图1为本发明实施例一提供的获得操作系统控制权的方法流程图； 0017 图2为本发明实施例二提供的获得操作系统控制权的方法流程图； 0018 图3为本发明实施例三提供的获得操作系统控制权的装。

11、置结构示意图。具体实施方式0019 为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施例作详细描述。 0020 下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。 0021 在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有。

12、明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。 0022 流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基。

13、本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。 0023 首先请参考图1，图1为本发明实施例一提供的获得操作系统控制权的方法流程图，该方法包括： 0024 步骤1、第一驱动接收操作系统的映射通知，该映射通知为操作系统在启动第一程序时将新技术动态链接库（New Technology Dynamic Link Library，简称为：NTDLL）映射到第一程序时发送的。 0025 步骤2、将第一动态链接库映射到第一程序的进程内存空间。 0026 这样做的目的在于：第一程序由于刚刚启动，且第一程序不会加载第一动态链接库，那么在第一程序的进程内存空间中没有第。

14、一动态链接库，所以需要将第一动态链接库映射到第一程序的进程内存空间中。 0027 进一步的，还可以再完成第一动态链接库的链接和重定位。链接可以理解为完成第一动态链接库中需要引用的其他动态链接库（如果有）的动作，而重定位可以理解为当第一动态链接库没办法加载到建议地址时，根据第一动态链接库的重定位节，调整第一动态链接库中的部分代码指令。 0028 步骤3、钩住NTDLL中的敏感函数，以使得第一程序调用敏感函数时跳转到第一动态链接库。说明书CN 104462956 A3/4页60029 这里所说的敏感函数可以有比较广泛的理解，如执行的是敏感操作的函数可以理解为敏感函数，敏感操作可以理解为读文件。

15、、写文件、终止进程、调试进程、修改注册表等。 0030 本发明提供了一种获得操作系统控制权的方法，可以通过软件的形式实现，这个软件从表现形态上可以为包括驱动和动态链接库，在本实施例中可以分别称之为第一驱动和第一动态链接库，以与现有技术中存在的其他驱动和动态链接库相区分。第一驱动可以理解为一个处理器，用于执行上述步骤1、2和3，第一动态链接库可以理解为一段代码，这段代码的主要用途通过如下实施方式进行描述。如图2所示，在上述实施方式的基础上，还包括： 0031 步骤4、当第一程序对NTDLL中的第一敏感函数发起调用时，由第一动态链接库获得第一程序的调用参数，并将调用参数发送给第二驱动，由第二驱动。

16、根据调用参数判断该第一程序对第一敏感函数的调用是否合法。 0032 这里提到的第二驱动可以是现有技术中提供的驱动，也可以由第一驱动来实现，不做具体限定。由于第一驱动已经钩住了第一敏感函数，因此，当第一敏感函数被第一程序所调用时，进程会被引导至第一动态链接库，由第一动态链接库得到第一程序的调用参数。 0033 进一步的，在上述实施方式的基础上，该方法还可以包括：如果第一程序对第一敏感函数的调用合法，第一驱动允许第一程序的调用继续执行；如果第一程序对第一敏感函数的调用不合法，第一驱动不允许第一程序的调用继续执行。 0034 进一步的，在上述实施方式的基础上，步骤2具体可以包括：第一驱动按照数据格式。

17、将第一动态链接库映射到第一程序的进程内存空间。 0035 对于将动态链接库映射到第一程序的进程内存空间，可以是数据格式，还可以是执行格式。数据格式的映射，在映射时操作系统不会发出映射通知，而对于执行格式的映射，在映射时操作系统会发出映射通知，这样会造成对其他程序的干扰。 0036 进一步需要说明的是，为了接收到操作系统的映射通知，第一驱动需要在操作系统的通知函数中进行注册，这样，操作系统在启动程序时所做的映射动作，就会发送映射通知给已在通知函数中注册的程序等等。 0037 还需要说明的是，本发明提供的方法可以实施为计算机程序软件，例如根据本发明的实施例可以是一种计算机程序产品，运行该程序产品使。

18、计算机执行用于所示范的方法。所述计算机程序产品包括计算机可读存储介质，该介质上包含计算机程序逻辑或代码部分，用于实现所述移动终端的消息的内容的处理方法。所述计算机可读存储介质可以是被安装在计算机中的内置介质或者可从计算机主体拆卸的可移动介质（例如热拔插技术存储设备）。所述内置介质包括但不限于可重写的非易失性存储器，例如RAM、ROM、快闪存储器和硬盘。所述可移动介质包括但不限于：光存储媒体（例如CD-ROM和DVD）、磁光存储媒体（例如MO）、磁存储媒体（例如盒带或移动硬盘）、具有内置的可重写的非易失性存储器的媒体（例如存储卡）和具有内置ROM的媒体（例如ROM盒）。 0038 本发明提供的。

19、获得操作系统控制权的方法，通过在操作系统启动第一程序时将NTDLL映射到第一程序时接收到映射通知，并将第一动态链接库映射到第一程序的进程内存空间，并钩住NTDLL中的敏感函数，从而使得第一程序在调用敏感函数时可以直接跳转到第一动态链接库，来获得操作系统的控制权。第一时间获得操作系统控制权，可以在最短时间内截获病毒文件对操作系统的破坏，有效保护移动终端的安全。说明书CN 104462956 A4/4页70039 图3为本发明实施例三提供的获得操作系统控制权的装置结构示意图，如图3所示，该装置包括：第一驱动31和第一动态链接库32；其中，第一驱动31用于：接收操作系统的映射通知，映射通知为操。

20、作系统在启动第一程序时将新技术动态链接库NTDLL映射到第一程序时发送的；将第一动态链接库32映射到第一程序的进程内存空间；钩住NTDLL中的敏感函数，以使得第一程序调用敏感函数时跳转到第一动态链接库32。 0040 进一步的，该装置还可以包括第二驱动33；则第一动态链接库32用于：当第一程序对NTDLL中的第一敏感函数发起调用时，获得第一程序的调用参数，并将调用参数发送给第二驱动33；第二驱动33用于：根据调用参数判断第一程序对第一敏感函数的调用是否合法。 0041 在上述实施方式的基础上，第一驱动31还用于：如果第二驱动33判定第一程序对第一敏感函数的调用合法，允许第一程序的调用继续执行；。

21、如果第二驱动33判定第一程序对第一敏感函数的调用不合法，阻止第一程序的调用继续执行。 0042 一种实施方式下，第一驱动31将第一动态链接库32映射到第一程序的进程内存空间，具体包括：按照数据格式将第一动态链接库32映射到第一程序的进程内存空间。 0043 又一种实施方式下，第一驱动31还用于：在接收操作系统的映射通知之前，在操作系统的通知函数中进行注册。 0044 本领域技术人员应当理解，任何具有适当编程装置的计算机系统都将能够执行包含在程序产品中的本发明的方法的诸步骤。尽管本说明书中描述的多数具体实施方式都侧重于软件程序，但是作为固件和硬件实现本发明提供的方法的替代实施例同样在本发明要求保护的范围之内。 0045 以上所揭露的仅为本发明的一些较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。说明书CN 104462956 A1/2页8图1图2说明书附图CN 104462956 A2/2页9图3说明书附图CN 104462956 A。

展开阅读全文