一种程序保护方法及装置与流程

本发明涉及程序安全保护技术领域，具体而言，涉及一种程序保护方法及装置。

背景技术：

随着计算机技术和网络通信技术的飞速发展，人们的生活已经无法离开手机、个人电脑等具备运算功能和通信功能的电子设备。越来越多的个人数据、企业数据以及其他重要数据被存储在各种电子设备中，人们更需要依靠越来越多的应用程序来完成各种生产和生活，同时上述类型的应用程序往往需要调用个人数据、企业数据以及其他重要数据。在大数据时代发生应用程序或数据库被侵入的事件，会对相关公司和用户造成巨大的经济或其他方面的损失。因此，为了防止恶意程序侵入正常应用程序，对应用程序的安全防护已不可或缺。

常见的“挂钩”系统机制即hook，常被用于替换程序代码使其跳转至恶意程序，现有的对抗hook的方式在对抗某些hook时无法识别hook类型或不能有效防止hook，存在极大的安全隐患。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种程序保护方法及装置，以解决上述问题。

第一方面，本发明实施例提供了一种程序保护方法，所述程序保护方法在操作系统接收到进程执行指令时，判断与所述进程执行指令对应的程序是否为被保护程序，在为是时，且所述程序从用户态跳转至内核态时，控制所述程序通过预设的非系统应用程序编程接口进行跳转。

综合第一方面，在所述判断所述程序是否为被保护程序之前，所述方法还包括：将指定程序添加至被保护程序名单，其中，所述指定程序可以是单个或多个。

综合第一方面，所述判断所述程序是否为被保护程序，包括：判断所述程序是否在所述被保护程序名单中，获得判断结果；基于所述判断结果，判断所述程序是否为被保护程序。其中，在所述判断结果为是时，表明所述程序为被保护程序；在所述判断结果为否时，表明所述程序不是被保护程序。

综合第一方面，在所述控制所述程序通过预设的非系统应用程序编程接口进行跳转之前，所述方法还包括：绕过系统应用程序编程接口，预设非系统应用程序编程接口，其中，所述非系统应用程序接口包括从用户态跳转至内核态的汇编指令。

综合第一方面，在所述判断与所述进程执行指令对应的程序为被保护程序之后，在所述控制所述程序通过预设的非系统应用程序编程接口进行跳转之前，所述方法还包括：判断所述程序是否发出调用内核函数或内核数据的内核态跳转请求；在为是时，执行步骤：控制所述程序通过预设的非系统应用程序编程接口跳转至内核态。

第二方面，本发明实施例提供了一种程序保护装置，所述程序保护装置包括程序识别单元和跳转单元。所述程序识别单元用于在操作系统接收到进程执行指令时，判断与所述进程执行指令对应的程序是否为被保护程序。所述跳转单元用于在所述程序是被保护程序时，且所述程序从用户态跳转至内核态时，控制所述程序通过预设的非系统应用程序编程接口进行跳转。

综合第二方面，所述程序保护装置还包括名单添加单元和名单判断单元。所述名单添加单元用于将指定程序添加至被保护程序名单，其中，所述指定程序可以是单个或多个。所述名单判断单元用于判断所述程序是否在所述被保护程序名单中，获得判断结果。

综合第二方面，所述程序保护装置还包括应用程序编程接口转换单元，所述应用程序编程接口转换单元用于绕过系统应用程序编程接口，预设非系统应用程序编程接口，其中，所述非系统应用程序接口包括从用户态跳转至内核态的汇编指令。

综合第二方面，所述程序保护装置还包括跳转判断单元，所述跳转判断单元用于判断所述程序是否发出调用内核函数或内核数据的内核态跳转请求。

第三方面，本发明实施例还提供了一种计算机可读取存储介质，所述计算机可读取存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行所述方法中的步骤。

本发明提供的有益效果是：

本发明提供了一种程序保护方法及装置，所述程序保护方法控制所述程序通过预设的非系统应用程序编程接口完成用户态至内核态的跳转，避免系统应用程序编程接口被hook时跳转至恶意程序。同时，在进行程序保护时，先判断所述程序是否为被保护程序，在为是时执行下一步骤，减少了计算复杂度，提高了程序运行速度；进一步地，所述程序保护方法还建立有被保护程序名单，并将需要保护的指定程序添加至所述名单，可以对多个程序进行保护；此外，在被保护程序名单中的程序在运行时并不一定需要切换至内核态，因此本程序保护方法在控制所述程序通过预设的非系统应用程序编程接口进行跳转之前，还会判断所述程序是否发出调用内核函数或内核数据的内核态跳转请求，从而减少运算和内存的浪费。

本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明第一实施例提供的一种程序保护方法的流程图；

图2为本发明第一实施例提供的一种程序保护方法的具体流程图；

图3为本发明第二实施例提供的一种程序保护装置的模块图；

图4为本发明第三实施例提供的一种电子设备的结构框图。

图标：100-程序保护装置；101-程序识别单元；102-跳转单元；103-名单添加单元；104-名单判断单元；105-应用程序编程接口转换单元；106-跳转判断单元；200-电子设备；201-存储器；202-存储控制器；203-处理器；204-外设接口；205-输入输出单元；206-音频单元；207-显示单元。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

第一实施例

经本申请人研究发现，随着计算机和网络技术的发展和普及，越来越多的恶意程序通过对正常运行的正常程序进行hook来使所述正常程序跳转至所述恶意程序，进而严重威胁到数据安全和网络安全。其中，hook是windows中提供的一种用以替换dos下“中断”的系统机制，中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后，一旦发生已hook事件，对该事件进行hook的程序就会收到系统的通知，这时程序就能在第一时间对该事件做出响应；用另一种方式说明，hook实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。每一个hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被hook子程调用的回调函数，也就是该钩子的各个处理子程序。当与指定的hook类型关联的消息发生时，系统就把这个消息传递到hook子程。一些hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个hook子程或者目的窗口。最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。其中，恶意程序在通过hook方式使正常程序跳转至自身时，通常会采用apihook方式，api(applicationprogramminginterface,应用程序编程接口)是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。apihook方式一般包括以下步骤：首先hook系统内核api回溯关键代码位置；基于所述关键代码在内存中查看操作数据；更改所述操作数据改变程序的执行流程。现有的传统对抗apihook的方式具体步骤为：检测对应进程是否存在公开hook类库；在对应进程存在公开hook类库时，校验调用文件的循环冗余校验值判断所述进程是否被hook；在为是时，hook自身进程，保证原定正常进程处于hook链末尾。其中，循环冗余校验(cyclicredundancycheck,crc)是一种根据网络数据包或电脑文件等数据产生简短固定位数校验码的一种散列函数，主要用来检测或校验数据传输或者保存后可能出现的错误。但是，上述传统对抗apihook的方式存在以下缺点：apihook使用非公开hook时无法被检测；恶意程序可能找到循环冗余校验的相关代码并进行修改，从而避过校验。为了改善上述缺陷，本申请提供了一种程序保护方法，请参考图1，图1为本发明第一实施例提供的一种程序保护方法的流程图，所述程序保护方法的具体步骤如下：

s110：在操作系统接收到进程执行指令时，判断与所述进程执行指令对应的程序是否为被保护程序。

s120：在所述程序为被保护程序时，所述程序从用户态跳转至内核态时，控制所述程序通过预设的非系统应用程序编程接口进行跳转。

针对步骤s110，即：在操作系统接收到进程执行指令时，判断与所述进程执行指令对应的程序是否为被保护程序。在计算机技术高度发达的今天，一个电子设备中的程序和进程可以有成百上千个，大量的运算也会给处理器带来极大的负担。对于程序的apihook保护，并不是所有程序都需要，因此，本实施例提供的程序保护方法为了减小处理器的工作量，提高程序运行速度，在对程序进行编程接口跳转保护前，还判断所述程序是否为被保护程序，在为是时，才会执行步骤s120。

可选地，被保护程序的数量可以是单个或多个，系统识别被保护程序可以通过预设的被保护程序名单确定，用户可以根据具体需求或程序特性向所述被保护程序名单中添加指定程序。进一步地，所述被保护程序名单中可以只添加一个或添加多个指定程序。

应当理解的是，本实施例通过预设被保护名单来确定被保护程序，在其他实施例中，还可以是根据程序的本身特性或预先设置的某种条件对被保护程序进行选择，例如识别需要调用内核函数或内核数据的程序并将此类程序确定为被保护程序。此时，判断所述程序是否为保护程序时，会判断所述程序是否在所述被保护程序名单中，获得判断结果；基于所述判断结果，判断所述程序是否为被保护程序。其中，在所述判断结果为是时，表明所述程序为被保护程序；在所述判断结果为否时，表明所述程序不是被保护程序。

在执行完步骤s110之后，接下来应该执行步骤s120，即：在所述程序为被保护程序时，所述程序从用户态跳转至内核态时，控制所述程序通过预设的非系统应用程序编程接口进行跳转。应当理解的是，并不是所有的应用程序都需要跳转至内核态，并且同一个应用程序在某一次请求调用内核程序或内核数据后，其下一次运行也不是必定需要调用内核程序或内核数据。因此，请参考图2，图2为本实施例提供的一种程序保护方法的具体流程图，如图所示，在执行步骤s120之前，为了避免不必要的调用和运算，本实施例还会在控制所述程序通过预设的非系统应用程序编程接口进行跳转之前，执行步骤s115：判断所述程序是否发出调用内核函数或内核数据的内核态跳转请求，在为是时，执行步骤s120。以常用的x86处理器中通过ring级别来进行访问控制，ring级别分为四层，从ring0到ring3(后面简称r0、r1、r2、r3)。r0层拥有最高的权限，r3层拥有最低的权限。按照intel原有的构想，应用程序工作在r3层，只能访问r3层的数据；操作系统工作在r0层，可以访问所有层的数据；而其他驱动程序位于r1、r2层。对应本实施例提供的程序保护方法，所述内核态即为r0层，所述用户态即为r3层。

具体地，在执行步骤s120以前，还需要将程序代码中所使用的系统api部分重写，重新编辑r3跳转到r0前的所有部分，以绕过系统应用程序编程接口，预设非系统应用程序编程接口，其中，所述非系统应用程序接口即重新编辑部分还包括跳转进r0到的汇编指令，如syscall、int2e等，从而达到使程序跳转至内核态不调用系统api，恶意程序无法进行跳转的目的。

本实施例提供的程序保护方法在保证程序运行速度的同时，绕开系统应用程序编程接口，通过使用非系统应用程序编程接口实现用户态至内核态的跳转，解决了现有对抗hook方法中无法检测非公开hook以及校验码可能被修改的问题，避免所述程序被hook时跳转至恶意程序。

第二实施例

为了更好地实现上述程序保护方法，本发明第二实施例提供了一种程序保护装置100，其具体结构请参考图3，图3为本实施例提供的一种程序保护装置的模块图。

程序保护装置100包括程序识别单元101和跳转单元102。程序识别单元101用于在操作系统接收到进程执行指令时，判断与所述进程执行指令对应的程序是否为被保护程序。跳转单元102用于在所述程序是被保护程序时，且所述程序从用户态跳转至内核态时，控制所述程序通过预设的非系统应用程序编程接口进行跳转。

程序保护装置100还包括名单添加单元103和名单判断单元104。名单添加单元103用于将指定程序添加至被保护程序名单，其中，所述指定程序可以是单个或多个。名单判断单元104用于判断所述程序是否在所述被保护程序名单中，获得判断结果。

进一步地，程序保护装置100还可以包括应用程序编程接口转换单元105和跳转判断单元106。应用程序编程接口转换单元105用于绕过系统应用程序编程接口，预设非系统应用程序编程接口，其中，所述非系统应用程序接口包括从用户态跳转至内核态的汇编指令。跳转判断单元106用于判断所述程序是否发出调用内核函数或内核数据的内核态跳转请求。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

第三实施例

请参照图4，图4示出了一种可应用于本申请实施例中的电子设备200的结构框图。电子设备200可以包括程序保护装置100、存储器201、存储控制器202、处理器203、外设接口204、输入输出单元205、音频单元206、显示单元207。

所述存储器201、存储控制器202、处理器203、外设接口204、输入输出单元205、音频单元206、显示单元207各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述程序保护装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储器201中或固化在程序保护装置100的操作系统(operatingsystem，os)中的软件功能模块。所述处理器203用于执行存储器201中存储的可执行模块，例如程序保护装置100包括的软件功能模块或计算机程序。

其中，存储器201可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。其中，存储器201用于存储程序，所述处理器203在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器203中，或者由处理器203实现。

处理器203可以是一种集成电路芯片，具有信号的处理能力。上述的处理器203可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器203也可以是任何常规的处理器等。

所述外设接口204将各种输入/输出装置耦合至处理器203以及存储器201。在一些实施例中，外设接口204，处理器203以及存储控制器202可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。

输入输出单元205用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元205可以是，但不限于，鼠标和键盘等设备。

音频单元206向用户提供音频接口，其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。

显示单元207在所述电子设备200与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中，所述显示单元207可以是液晶显示器或触控显示器。若为触控显示器，其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作，并将该感应到的触控操作交由处理器203进行计算和处理。

可以理解，图4所示的结构仅为示意，所述电子设备200还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

综上所述，本发明实施例提供了一种程序保护方法及装置，所述程序保护方法控制所述程序通过预设的非系统应用程序编程接口完成用户态至内核态的跳转，避免系统应用程序编程接口被hook时跳转至恶意程序。同时，在进行程序保护时，先判断所述程序是否为被保护程序，在为是时执行下一步骤，减少了计算复杂度，提高了程序运行速度；进一步地，所述程序保护方法还建立有被保护程序名单，并将需要保护的指定程序添加至所述名单，可以对多个程序进行保护；此外，在被保护程序名单中的程序在运行时并不一定需要切换至内核态，因此本程序保护方法在控制所述程序通过预设的非系统应用程序编程接口进行跳转之前，还会判断所述程序是否发出调用内核函数或内核数据的内核态跳转请求，从而减少运算和内存的浪费。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。