专利名称:Windows驱动层实现的网页防篡改方法
技术领域:
本发明涉及ー种Windows驱动层实现的网页防篡改方法。
背景技术:
外部网站因需要被公众访问而暴露于因特网上,因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统的复杂性和多样性导致系统漏洞层出不穷,防不胜防。黑客入侵和篡改页面的事件时有发生。针对此,网页防篡改系统应运而生。目前市场上的网页防篡改系统产品大部分主要采用了轮询机制或事件触发机制,轮询扫描机制存在扫描间隔,黑客可以在扫描间隔期间攻击系统并使访问者访问到被篡改的网页,而且轮询技术存在检测效率较低,对服务器负载以及带宽资源消耗较大等缺 点。事件触发式的网页防篡改系统,也是ー种被动式的策略,不能保证外界看不到篡改后的网页。而且如果黑客采用大規模的篡改活动,这种响应机制将变得很慢而不可取。
发明内容
本发明所解决的技术问题是提供一种可以克服轮询机制和事件触发机制存在的响应慢、资源占用高等缺点的Windows驱动层实现的网页防篡改方法。为解决上述的技术问题,本发明采取的技术方案
ー种Windows驱动层实现的网页防篡改方法,其特殊之处在于在驱动层监控相关文件操作的内核调用函数,根据该调用的发起进程及其要操作的目标文件来决定是否允许此次操作,从而实现网页防篡改,具体步骤如下
(1)、在Web服务器上安装Windows驱动模块并挂钩监视相关文件操作的内核服务调用函数;
(2)、通过应用层管理客户端下发防篡改策略到内核;
(3)、驱动层根据下发的策略执行网页防篡改功能。上述的网页防篡改方法的步骤(I)中内核服务调用函数包括ZwCreateFile、ZwffriteFile 和 ZwSetlnformationFile。与现有技术相比,本发明的有益效果
本发明与目前常用的轮询技术和事件触发技术相比,驱动层网页防篡改技术具有资源占用低、响应速度快、不存在网页被篡改的可能等显著的优点。
图I为本发明的流程图。
具体实施例方式下面结合附图和具体实施方式
对本发明进行详细说明。使用Windows SSDT Η00Κ从驱动层实现的网页防篡改方法,SSDT的全称是System Services Descriptor Table,系统服务描述符表,这个表就是一个把Ring3的Win32 API和RingO的内核API联系起来,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等,通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对ー些关心的系统动作进行过滤、监控的目的,在NT 4.0以上的Windows操作系统中,默认就存在两个系统服务描述表,这两个调度表对应了两类不同的系统服务,这两个调度表为KeServiceDescripto;rTable 和 KeServiceDescriptorTableShadow,其中KeServiceDescriptorTable主要是处理来自Ring3层得Kernel32. dll中的系统调用,而 KeServiceDescriptorTableShadow 则主要处理来自 User32. dll 和 GDI32.dll 中的系统调用,并且 KeServiceDescriptorTable 在 ntoskrnl. exe (Windows 操作系统内核文件,包括内核和执行体层)是导出的,而KeServiceDescriptorTableShadow则是没有被Windows操作系统所导出,而关于SSDT的全部内容则都是通过KeServiceDescriptorTable来完成的,该方案hook几个Windows文件操作API函数,在驱动层监控相关文件操作的内核调用函数,根据该调用的发起进程及其要操作的目标文件来决定是否允许此次操作,从而实现网页防篡改,參见图I具体步骤如下
(1)、在Web服务器上安装Windows驱动模块并挂钩监视相关文件操作的内核服务调用函数; (2)、通过应用层管理客户端下发防篡改策略到内核;
(3)、驱动层根据下发的策略执行网页防篡改功能。上述的网页防篡改方法的步骤(I)中内核服务调用函数包括ZwCreateFile、ZwffriteFile 和 ZwSetlnformationFile。
权利要求
1.ー种Windows驱动层实现的网页防篡改方法,其特征在于在驱动层监控相关文件操作的内核调用函数,根据该调用的发起进程及其要操作的目标文件来决定是否允许此次操作,从而实现网页防篡改,具体步骤如下 (1)、在Web服务器上安装Windows驱动模块并挂钩监视相关文件操作的内核服务调用函数; (2)、通过应用层管理客户端下发防篡改策略到内核; (3)、驱动层根据下发的策略执行网页防篡改功能。
2.根据权利要求I所述的Windows驱动层实现的网页防篡改方法,其特征在于所述的网页防篡改方法的步骤(I)中内核服务调用函数包括ZwCreateFile、ZwffriteFile和ZwSetInformationFiIe ο
全文摘要
本发明涉及一种Windows驱动层实现的网页防篡改方法。本发明在驱动层监控相关文件操作的内核调用函数,根据该调用的发起进程及其要操作的目标文件来决定是否允许此次操作,从而实现网页防篡改。本发明与目前常用的轮询技术和事件触发技术相比,驱动层网页防篡改技术具有资源占用低、响应速度快、不存在网页被篡改的可能等显著的优点。
文档编号G06F21/00GK102693383SQ20121015279
公开日2012年9月26日 申请日期2012年5月17日 优先权日2012年5月17日
发明者何建锋, 吴德, 周静, 陈晓兵 申请人:西安交大捷普网络科技有限公司