一种终端设备及其防护方法、装置和可读存储介质与流程

1.本发明涉及网络安全技术领域，特别涉及一种终端设备的防护方法、装置、终端设备及可读存储介质。


背景技术：

2.目前，安全产品对终端设备的防护能力多为简单的防护，即防止普通的非驱工具(即不使用驱动的恶意软件)非使用驱动的黑客工具的破坏；但是对于使用驱动的恶意软件(或称黑客工具)的破坏防护能力有限，甚至做不到防护，使得目前绝大多数安全产品可以被攻击者使用黑客工具轻松地破坏掉，进而让终端设备的系统失去防护能力。
3.因此，如何能够提高对带驱动的黑客工具的防护能力，提升终端设备的系统防护能力，保证终端设备的安全性，是现今急需解决的问题。


技术实现要素：

4.本发明的目的是提供一种终端设备的防护方法、装置、终端设备及可读存储介质，以基于驱动对抗提高对带驱动的黑客工具的防护能力，提升终端设备的系统防护能力，保证终端设备的安全性。
5.为解决上述技术问题，本发明提供一种终端设备的防护方法，包括：
6.获取进程的目标控制操作；其中，所述目标控制操作包括进程创建操作、驱动加载操作、进程句柄操作、注册表操作和文件操作中的至少一项；
7.基于目标控制操作，确定所述目标控制操作的控制目标的目标类型；其中，所述目标类型包括可操作目标和不可操作目标；
8.根据所述目标类型，对所述目标控制操作进行对应操作。
9.可选地，所述目标控制操作包括所述进程创建操作和/或所述驱动加载操作，所述基于目标控制操作，确定所述目标控制操作的控制目标的目标类型，包括：
10.对所述控制目标进行检测，判断所述控制目标是否为安全目标；其中，所述控制目标包括所述进程创建操作控制创建的进程或所述驱动加载操作控制加载的驱动；
11.若是，则确定所述控制目标的目标类型为所述可操作目标；
12.若否，则确定所述控制目标的目标类型为所述不可操作目标。
13.可选地，所述目标控制操作包括所述进程句柄操作、所述注册表操作和/或所述文件操作，所述基于目标控制操作，确定所述目标控制操作的控制目标的目标类型，包括：
14.对所述控制目标进行检测，判断所述控制目标是否为受保护目标；其中，所述控制目标包括所述进程句柄操作控制的进程、所述注册表操作控制的注册表或所述文件操作控制的文件；
15.若是，则确定所述控制目标的目标类型为所述不可操作目标；
16.若否，则确定所述控制目标的目标类型为所述可操作目标。
17.可选地，所述目标控制操作包括所述进程句柄操作、所述注册表操作和/或所述文
件操作，所述基于目标控制操作，确定所述目标控制操作的控制目标的目标类型，包括：
18.对所述控制目标进行检测，判断所述控制目标是否为受保护目标；其中，所述控制目标包括所述进程句柄操作控制的进程、所述注册表操作控制的注册表或所述文件操作控制的文件；
19.若为所述受保护目标，则确定所述控制目标的目标类型为所述不可操作目标；
20.若不为所述受保护目标，则对所述目标控制操作的发起方程序进行检测，判断所述控制目标是否为安全程序；其中，所述发起方程序包括发起所述目标控制操作的进程或驱动；
21.若为所述安全程序，则确定所述控制目标的目标类型为所述可操作目标；
22.若不为所述安全程序，则确定所述控制目标的目标类型为所述不可操作目标。
23.可选地，该方法还包括：
24.在所述终端设备关机过程中最后一个调用关机回调程序；
25.运行所述关机回调程序，调用存储的修复进程文件对所述终端设备在开机后修改的受保护注册表和受保护文件进行修复。
26.可选地，通过以下方式最后一个调用关机回调程序：
27.在所述终端设备开机过程中，将所述关机回调程序对应的链表信息添加到关机回调链表的链表头，以使所述终端设备在关机过程中最后一个调用所述关机回调程序。
28.可选地，该方法还包括：
29.在目标驱动上安装通讯分析设备；其中，所述目标驱动包括危险驱动；
30.利用所述通讯分析设备，提取所述目标驱动的目标操作的通信信息；其中，所述目标操作包括对受保护进程、受保护注册表和/或受保护文件的操作，所述通信信息包括通信控制码和/或请求包格式；
31.利用所述通信信息，对所述目标操作进行对应操作。
32.可选地，所述通信信息包括通信控制码和请求包格式，所述利用所述通信信息，对所述目标操作进行对应操作，包括：
33.获取所述目标驱动的当前目标操作；
34.判断当前目标操作是否采用所述通信控制码或所述请求包格式；
35.若是，则拦截当前目标操作。
36.本发明还提供了一种终端设备的防护装置，包括：
37.获取模块，用于获取进程的目标控制操作；其中，所述目标控制操作包括进程创建操作、驱动加载操作、进程句柄操作、注册表操作和文件操作中的至少一项；
38.确定模块，用于基于目标控制操作，确定所述目标控制操作的控制目标的目标类型；其中，所述目标类型包括可操作目标和不可操作目标；
39.控制模块，用于根据所述目标类型，对所述目标控制操作进行对应操作。
40.本发明还提供了一种终端设备，包括：
41.存储器，用于存储计算机程序；
42.处理器，用于执行所述计算机程序时实现如权上述所述的终端设备的防护方法的步骤。
43.此外，本发明还提供了一种可读存储介质，所述可读存储介质上存储有计算机程
序，所述计算机程序被处理器执行时实现如上述所述的终端设备的防护方法的步骤。
44.本发明所提供的一种终端设备的防护方法，包括：获取进程的目标控制操作；其中，目标控制操作包括进程创建操作、驱动加载操作、进程句柄操作、注册表操作和文件操作中的至少一项；基于目标控制操作，确定目标控制操作的控制目标的目标类型；其中，目标类型包括可操作目标和不可操作目标；根据目标类型，对目标控制操作进行对应操作；
45.可见，本发明通过根据目标控制操作的控制目标的目标类型，对目标控制操作进行对应操作，基于驱动对抗原理，从攻击者角度针对性地对抗黑客工具，从而能够进程、文件和注册表三个资产维度对终端设备进行防护，防护非驱工具和驱动工具的破坏，提高了对带驱动的黑客工具的防护能力，提升了终端设备的系统防护能力，保证了终端设备的安全性。此外，本发明还提供了一种终端设备的防护装置、终端设备及可读存储介质，同样具有上述有益效果。
附图说明
46.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
47.图1为本发明实施例所提供的一种终端设备的防护方法的流程图；
48.图2为本发明实施例所提供的另一种终端设备的防护方法的系统组件示意图；
49.图3为本发明实施例所提供的另一种终端设备的防护方法的进程防护示意图；
50.图4为本发明实施例所提供的另一种终端设备的防护方法的注册表防护示意图；
51.图5为本发明实施例所提供的另一种终端设备的防护方法的文件防护示意图；
52.图6为本发明实施例所提供的另一种终端设备的防护方法的流程图；
53.图7为本发明实施例所提供的另一种终端设备的防护方法的修复流程示意图；
54.图8为本发明实施例所提供的一种终端设备的防护装置的结构框图
55.图9为本发明实施例所提供的一种终端设备的结构示意图；
56.图10为本发明实施例所提供的一种终端设备的具体结构示意图。
具体实施方式
57.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
58.请参考图1，图1为本发明实施例所提供的一种终端设备的防护方法的流程图。该方法可以包括：
59.步骤101：获取进程的目标控制操作；其中，目标控制操作包括进程创建操作、驱动加载操作、进程句柄操作、注册表操作和文件操作中的至少一项。
60.其中，本步骤中进程的目标控制操作可以为与进程相关的控制操作，如对进程的控制操作，例如控制创建进程的操作(即进程创建操作)和对进程进行的句柄操作(即进程
句柄操作)；以及进程控制的操作，例如进程控制加载驱动的操作(即驱动加载操作)、进程控制对注册表的操作(即注册表操作)和进程控制对文件的操作(即文件操作)。
61.具体的，对于本实施例中的终端设备的处理器获取的进程的目标控制操作的具体内容，可以由设计人员根据实用场景和用户需求自行设置，如进程的目标控制操作可以包括进程创建操作，如图2和图3所示，本实施例中可以在内核设置进程防护引擎，通过内核态安装进程回调，以监控进程的创建，当进程创建时，处理器可以收到通知(即进程创建操作)，以对需要创建的该进程进行审计，从进程的资产维度进行保护；进程的目标控制操作也可以包括进程句柄操作，如图2和图3所示，本实施例中可以在内核设置进程防护引擎，通过内核态安装句柄回调，在已创建进程要对目标进程(即控制目标)进行操作时，处理器可以收到相应的通知(即进程句柄操作)，以对该目标进程进行审计，从进程的资产维度进行保护；进程的目标控制操作还可以包括驱动加载操作，如图2和图3所示，本实施例中可以在内核设置进程防护引擎，通过安装驱动加载回调，当已创建进程要通过驱动加载操作，加载驱动时，处理器可以收到通知(即驱动加载操作)，以对需要加载的该驱动进行审计，从进程的资产维度进行保护；进程的目标控制操作还可以包括进程对注册表的操作(即注册表操作)，如图2和图4所示，本实施例中可以在内核设置注册表防护引擎，通过安装注册表回调，当已创建进程要对注册表进行操作时，处理器可以收到相应的通知，以对该注册表进行审计，从注册表的资产维度进行保护；进程的目标控制操作还可以包括进程对文件的操作(即文件操作)，如图2和图5所示，本实施例中可以在内核设置文件防护引擎，通过安装文件过滤(如minifilter，微软的文件微过滤系统)，当进程要对文件进行操作时，处理器可以收到相应的通知，以对该文件进行审计，从文件的资产维度进行保护。
62.步骤102：基于目标控制操作，确定目标控制操作的控制目标的目标类型；其中，目标类型包括可操作目标和不可操作目标。
63.可以理解的是，本步骤中目标控制操作的控制目标可以为目标控制操作所要控制的目标，如目标控制操作为进程创建操作或进程句柄操作时，目标控制操作的控制目标可以为目标进程，如进程创建操作所控制创建的进程或进程句柄操作所控制修改句柄的进程；目标控制操作为驱动加载操作时，目标控制操作的控制目标可以为驱动加载操作所控制加载的驱动；目标控制操作为注册表操作时，目标控制操作的控制目标可以为注册表操作所控制的注册表；目标控制操作为文件操作时，目标控制操作的控制目标可以为文件操作所控制的文件。
64.具体的，本步骤中的控制目标的目标类型可以包括能够被控制操作的可操作目标和不能够被控制操作的不可操作目标，即每个目标控制操作的控制目标的目标类型可以为可操作目标或不可操作目标；本步骤中处理器通过确定控制目标的目标类型，能够确定目标控制操作的控制目标是否能够被控制操作，以确定目标控制操作是否能够执行，从而能够在控制目标的目标类型为不可操作目标时，拦截目标控制操作，保证终端设备的安全性。
65.需要说明的是，对于本步骤中处理器基于目标控制操作，确定目标控制操作的控制目标的目标类型的具体方式，可以由设计人员根据实用场景和用户需求自行设置，如在目标控制操作包括目标控制操作包括进程创建操作和/或驱动加载操作的情况下，本步骤中处理器可以对控制目标进行检测，判断控制目标是否为安全目标；若是，则确定控制目标的目标类型为可操作目标；若否，则确定控制目标的目标类型为不可操作目标；其中，控制
目标包括进程创建操作控制创建的进程或驱动加载操作控制加载的驱动；也就是说，目标控制操作为进程创建操作或驱动加载操作时，处理器可以对控制目标进行审计，确定控制目标是否安全，从而在控制目标不为安全目标时，确定控制目标的目标类型为不可操作目标，避免目标控制操作的执行；如图2和图3所示，通过安装的驱动加载回调，当进程要加载驱动时，处理器可以通过应用层的决策引擎的事件接收服务接收到驱动加载操作的事件，并通过事件信息扩展获取驱动加载操作所控制加载的驱动的驱动信息(如驱动名称)，从而通过扩展得到的驱动信息与规则库中相应的规则的匹配结果，审计决策该驱动是否为安全目标，例如在该驱动的驱动信息与规则库中驱动黑名单中的驱动信息相匹配时，审计决策结果可以为该驱动不为安全目标，即该驱动为危险驱动(如黑客工具的驱动)，进而能够在步骤103中拦截该驱动对应的驱动加载操作，以阻止该驱动的加载，削弱黑客工具的攻击能力。
66.对应的，在目标控制操作包括进程句柄操作、注册表操作和/或文件操作的情况下，本步骤中处理器可以对控制目标进行检测，判断控制目标是否为受保护目标；若是，则确定控制目标的目标类型为不可操作目标；若否，则确定控制目标的目标类型为可操作目标；其中，控制目标包括进程句柄操作控制的进程、注册表操作控制的注册表或文件操作控制的文件；也就是说，目标控制操作为进程句柄操作、注册表操作或文件操作时，处理器对控制目标进行识别，确定控制目标是否为预先设置的需要保护的目标(即受保护目标)，从而在控制目标为受保护目标时，直接确定控制目标的目标类型为不可操作目标，避免目标控制操作的执行。
67.具体的，本实施例并不限定上述处理器对控制目标进行检测，判断控制目标是否为安全目标的具体方式，如处理器可以利用预先设置的黑名单，对对控制目标进行审计，判断控制目标是否为安全目标；例如目标控制操作为驱动加载操作时，处理器可以将驱动加载操作对应的驱动(即控制目标)的驱动信息与规则库中驱动黑名单中的驱动(如黑客工具的驱动)的驱动信息进行匹配，若驱动加载操作对应的驱动匹配到驱动黑名单中的驱动信息，则确定驱动加载操作对应的驱动不为安全目标，从而拦截该驱动加载操作，直接阻止该驱动的加载，进而能够削弱黑客工具的攻击能力；目标控制操作为进程创建操作时，处理器可以将进程创建操作对应的目标进程(即控制目标)的进程信息(如文件信息和签名信息等)与规则库中进程黑名单中的各进程的进程信息进行匹配，若进程创建操作对应的目标进程匹配到进程黑名单中的进程信息，则确定进程创建操作对应的目标进程不为安全目标，即进程创建操作所要创建的进程可能为黑客工具运行所要创建的进程。
68.同样的，本实施例并不限定上述处理器对控制目标进行检测，判断控制目标是否为受保护目标的具体方式，如处理器可以利用预先设置的受保护名单，对控制目标进行检测，判断控制目标是否为受保护目标；例如目标控制操作为进程句柄操作时，处理器可以识别进程句柄操作对应的目标进程(即控制目标)是否为受保护名单中的进程，若进程句柄操作对应的目标进程在受保护名单中，则确定进程句柄操作对应的目标进程为受保护目标。
69.进一步的，在目标控制操作包括进程句柄操作、注册表操作和/或文件操作的情况下，本步骤中处理器在对控制目标进行检测，确定控制目标为受保护目标时，可以不直接确定控制目标的目标类型为不可操作目标，而通过对目标控制操作的发起方程序(如进程或驱动)的检测，在发起方程序不为安全程序时，再确定控制目标的目标类型为不可操作目
标，以进一步对黑客工具的使用进行检测。也就是说，在目标控制操作包括目标控制操作包括进程句柄操作、注册表操作和/或文件操作的情况下，本步骤中处理器可以对控制目标进行检测，判断控制目标是否为受保护目标；若为受保护目标，则确定控制目标的目标类型为不可操作目标；若不为受保护目标，则对目标控制操作的发起方程序进行检测，判断控制目标是否为安全程序；若为安全程序，则确定控制目标的目标类型为可操作目标；若不为安全程序，则确定控制目标的目标类型为不可操作目标；其中，目标控制操作的发起方程序可以为进程，例如发起进程句柄操作的已创建进程；目标控制操作的发起方程序也可以为驱动，例如发起注册表操作的受进程控制的驱动(如黑客工具的驱动)。
70.步骤103：根据目标类型，对目标控制操作进行对应操作。
71.可以理解的是，本步骤中处理器可以根据目标控制操作的控制目标的目标类型，对应控制对目标控制操作所进行的操作。具体的，本实施例并不限定处理器根据目标类型，对目标控制操作进行对应操作的具体方式，如处理器可以在目标控制操作的控制目标的目标类型为不可操作目标时，处理器可以拦截该目标控制操作，避免该目标控制操作的执行，从而实现对终端设备的防护；处理器可以在目标控制操作的控制目标的目标类型为可操作目标时，正常执行该目标控制操作。进一步的，目标控制操作为已创建进程对目标进程的进程句柄操作时，处理器可以在进程句柄操作的控制目标(即目标进程)的目标类型为不可操作目标时，拦截该进程句柄操作，并抹除已创建进程的写内存权限，以令该已创建进程对受保护进程无害。
72.本实施例中，本发明实施例通过根据目标控制操作的控制目标的目标类型，对目标控制操作进行对应操作，基于驱动对抗原理，从攻击者角度针对性地对抗黑客工具，从而能够进程、文件和注册表三个资产维度对终端设备进行防护，防护非驱工具和驱动工具的破坏，提高了对带驱动的黑客工具的防护能力，提升了终端设备的系统防护能力，保证了终端设备的安全性。
73.基于上述实施例，本实施例所提供的方法还可以对黑客工具进行逆向分析，从而利用分析提取其通讯的规则进行拦截，以进一步提升终端设备的防护能力。具体的，请参考图6，图6为本发明实施例所提供的另一种终端设备的防护方法的流程图，该方法可以包括：
74.步骤201：在目标驱动上安装通讯分析设备；其中，目标驱动包括危险驱动。
75.可以理解的是，本步骤中的目标驱动可以为需要进行逆向分析的驱动；目标驱动可以包括上述实施例中检测不为安全程序的驱动(即危险驱动)，例如驱动黑名单中的驱动。本步骤中的通讯分析设备可以为在目标驱动上安装的用于分析目标驱动的通信信息的虚拟设备(即程序)。如图3至图5所示，由于64位系统的本身的限制，本实施例中可以采用设备通讯过滤这一高效可用的方案，通过创建通讯分析设备附加到目标驱动(如黑客工具的驱动)上，可以利用该通讯分析设备逆向目标驱动的驱动原理找到目标驱动对进程、文件和注册表进行操作的通信方式(即通信信息)，以实现对目标驱动的目标操作的拦截。
76.具体的，本步骤中的目标驱动可以为危险驱动，例如终端设备的处理器在上述实施例对驱动进行审计，确定该驱动为不为安全程序时，可以通过本步骤在该驱动上安装通讯分析设备，从而使后续该驱动的目标操作可以通过提取的通信信息，对该驱动的目标操作进行拦截。
77.步骤202：利用通讯分析设备，提取目标驱动的目标操作的通信信息；其中，目标操
作包括对受保护进程、受保护注册表和/或受保护文件的操作，通信信息包括通信控制码和/或请求包格式。
78.可以理解的是，本步骤中处理器可以利用创建附加到目标驱动上的通讯分析设备，通过逆向目标驱动的驱动原理找到目标驱动对进程、文件和注册表进行操作的控制码(iocontrolcode)，并分析出目标驱动的请求包的格式(即请求包格式)，进而能够提取出目标操作的筛选规则，例如处理器获取到利用提取出的控制码和/或请求包格式通信传输的目标操作时，可以直接进行拦截并返回操作失败信息，实现保护的目的。
79.具体的，本步骤中的目标操作可以包括对受保护进程的操作，如控制受保护进程结束的操作；目标操作也可以包括对受保护注册表的操作；目标操作还可以包括对受保护文件的操作。本步骤中的请求包格式可以为目标驱动的目标操作的请求包的格式信息，如受保护目标(如受保护进程、受保护注册表或受保护文件)的内容在请求包的位置信息(如偏移量)。
80.步骤203：利用通信信息，对目标操作进行对应操作。
81.需要说明的是，本步骤中处理器可以根据提取出的通信信息，对应控制目标驱动的目标操作；如在目标驱动采用提取出的通信信息进行目标操作时，拦截目标操作，从而能够更加快速地拦截黑客工具的目标操作，如结束受保护进程的操作以及对受保护注册表和受保护文件的操作等。
82.可以理解的是，对于本实施例并不限定处理器利用利用通信信息，对目标操作进行对应操作的具体方式，如通信信息包括通信控制码和请求包格式时，处理器在获取目标驱动的当前目标操作后，可以判断当前目标操作是否采用提取出的通信控制码或请求包格式；若是，则拦截当前目标操作；若否，则可以执行当前目标操作或进入步骤102。若通信信息包括通信控制码和请求包格式，处理器也可以在当前目标操作采用提取出的通信控制码和请求包格式时，拦截当前目标操作。本实施例对此不做任何限制。
83.具体的，如图2至图5所示，本实施例中在内核设置进程防护引擎、文件防护引擎和注册表防护引擎中还可以安装设备通讯过滤单元，以利用应用层的决策引擎的规则管理单元下发的筛选规则，对目标操作进行筛选拦截，如筛选规则可以为拦截采用提取出的通信控制码或请求包格式的目标操作的规则，即本步骤中处理器可以利用内核设置的通讯过滤单元在确定当前目标操作采用提取出的通信控制码或请求包格式时，拦截当前目标操作。
84.进一步的，如图7所示，本实施例所提供的方法还可以包括对终端设备的修复流程，以在终端设备关机前修复还原好所要保护的注册表和文件。
85.具体的，本实施例所提供的方法还可以包括终端设备的处理器在终端设备关机过程中最后一个调用关机回调程序；运行关机回调程序，调用存储的修复进程文件对终端设备在开机后修改的受保护注册表和受保护文件进行修复。
86.也就是说，本实施例通过确保调用驱动的关机回调程序在终端设备关机过程中被最后一个调用，使得关机前就可以修复好所要保护的注册表(即受保护注册表)和文件(即受保护文件)，且不会再次被修改破坏。
87.其中，存储的修复进程文件可以为被驱动保存到终端设备的内存中的用于进行受保护注册表和受保护文件修复的文件，如现有技术中在终端设备开机时被驱动保存到内存中的受保护注册表和受保护文件对应的修复进程文件。
88.具体的，对于本实施例中确保处理器在终端设备关机过程中最后一个调用关机回调程序的具体方式，可以由设计人员自行设置，如处理器可以在终端设备开机过程中，将关机回调程序对应的链表信息添加到关机回调链表的链表头，使得终端设备关机过程中能够最后一个调用关机回调链表的链表头处的链表信息对应的关机回调程序。如图2和图7所示，处理器可以在终端设备开机时启动修复进程，将关机回调程序对应的链表信息添加到开机枚举的关机回调链表的链表头，以在接下来的关机过程中处理器可以最后一个调用运行关机回调程序，实现状态修复引擎中的注册表修复引擎和文件还原引擎对受保护注册表和受保护文件的修复还原功能。
89.相应于上面的方法实施例，本发明实施例还提供了一种终端设备的防护装置，下文描述的终端设备的防护装置与上文描述的终端设备的防护方法可相互对应参照。
90.请参考图8，图8为本发明实施例所提供的一种终端设备的防护装置的结构框图。该装置可以包括：
91.获取模块10，用于获取进程的目标控制操作；其中，目标控制操作包括进程创建操作、驱动加载操作、进程句柄操作、注册表操作和文件操作中的至少一项；
92.确定模块20，用于基于目标控制操作，确定目标控制操作的控制目标的目标类型；其中，目标类型包括可操作目标和不可操作目标；
93.控制模块30，用于根据目标类型，对目标控制操作进行对应操作。
94.可选地，目标控制操作包括进程创建操作和/或驱动加载操作，确定模块20可以包括：
95.审计判断子模块，用于对控制目标进行检测，判断控制目标是否为安全目标；若是，则确定控制目标的目标类型为可操作目标；若否，则确定控制目标的目标类型为不可操作目标；其中，控制目标包括进程创建操作控制创建的进程或驱动加载操作控制加载的驱动。
96.可选地，目标控制操作包括进程句柄操作、注册表操作和/或文件操作，确定模块20可以包括：
97.识别判断子模块，用于对控制目标进行检测，判断控制目标是否为受保护目标；若是，则确定控制目标的目标类型为不可操作目标；若否，则确定控制目标的目标类型为可操作目标；其中，控制目标包括进程句柄操作控制的进程、注册表操作控制的注册表或文件操作控制的文件。
98.可选地，识别判断子模块可以包括：
99.识别判断单元，用于对控制目标进行检测，判断控制目标是否为受保护目标；若不为受保护目标，则确定控制目标的目标类型为可操作目标；
100.审计判断单元，用于若为受保护目标，则对目标控制操作的发起方程序进行检测，判断控制目标是否为安全程序；若为安全程序，则确定控制目标的目标类型为可操作目标；若不为安全程序，则确定控制目标的目标类型为不可操作目标；其中，发起方程序包括发起目标控制操作的进程或驱动。
101.可选地，该装置还可以包括：
102.修复调用模块，用于在终端设备关机过程中最后一个调用关机回调程序；
103.修复模块，用于运行关机回调程序，调用存储的修复进程文件对终端设备在开机
后修改的目标注册表和目标文件进行修复。
104.可选地，该装置还可以包括：
105.链表添加模块，用于在终端设备开机过程中，将关机回调程序对应的链表信息添加到关机回调链表的链表头。
106.可选地，该装置还可以包括：
107.安装模块，用于在目标驱动上安装通讯分析设备；其中，目标驱动包括危险驱动；
108.提取模块，用于利用通讯分析设备，提取目标驱动的目标操作的通信信息；其中，目标操作包括对受保护进程、受保护注册表和/或受保护文件的操作，通信信息包括通信控制码和/或请求包格式；
109.通信控制模块，用于利用通信信息，对目标操作进行对应操作。
110.可选地，通信信息包括通信控制码和请求包格式，通信拦截模块可以包括：
111.目标操作获取子模块，用于获取目标驱动的当前目标操作；
112.通信拦截判断子模块，用于判断当前目标操作是否采用通信控制码或请求包格式；若是，则拦截当前目标操作。
113.相应于上面的方法实施例，本发明实施例还提供了一种终端设备，下文描述的一种终端设备与上文描述的一种终端设备的防护方法可相互对应参照。
114.请参考图9，图9为本发明实施例所提供的一种终端设备的结构示意图。该终端设备可以包括：
115.存储器d3，用于存储计算机程序；
116.处理器d4，用于执行计算机程序时实现上述方法实施例所提供的终端设备的防护方法的步骤。
117.具体的，请参考图10，图10为本实施例提供的一种终端设备的具体结构示意图，该终端设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对终端设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在终端设备310上执行存储介质330中的一系列指令操作。
118.终端设备310还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，windows servertm，mac os xtm，unixtm，linuxtm，freebsdtm等。
119.其中，终端设备310可以具体为服务器或防火墙设备(fw)。
120.上文所描述的终端设备的防护方法中的步骤可以由终端设备的结构实现。
121.相应于上面的方法实施例，本发明实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种终端设备的防护方法可相互对应参照。
122.一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的终端设备的防护方法的步骤。
123.该可读存储介质具体可以为u盘、移动硬盘、只读存储器(read
‑
only memory，
rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
124.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、终端设备及可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
125.以上对本发明所提供的一种终端设备的防护方法、装置、终端设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。