(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210131321.X (22)申请日 2022.02.14 (71)申请人 北京创安恒宇科技有限公司 地址 100089 北京市海淀区碧桐园6号楼4 层417 (72)发明人 刘锡明　安琪　 (74)专利代理 机构 滁州创科维知识产权代理事 务所(普通 合伙) 34167 专利代理师 洪余节 (51)Int.Cl. G06F 9/445(2018.01) G06F 21/52(2013.01) (54)发明名称 基于操作系统内核级缓冲区对动态链接库 加载校验的方法 (57)摘要 本发明公开了基于操作系统内核级缓冲区 对动态链接库加载校验的方法， 包括以下步骤： S1： 对所有经过内核的动态链接库加载调用请求 进行拦截； S2： 将拦截得到所加载的动态链接库 文件映射数据放入缓冲区； S3： 对所加载的动态 链接库数据缓冲区数据进行散列算法处理； S4： 对缓冲区内的数据进行散列算法识别、 审计并控 制。 本发明实现对所有Windows操作系 统进行拦 截动态链接库加载行为的IRP请求， 以内核层为 基础， 操作系统所有行为都将转换成请求给内核 处理保障所有请求都可拦截， 对其所加载的动态 链接库文件进行数据散列算法计算保障数据内 容的唯一 性， 不可篡改性。 权利要求书1页 说明书3页 附图1页 CN 114489860 A 2022.05.13 CN 114489860 A 1.基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 包括以下 步骤： S1： 对所有经 过内核的动态 链接库加载调用请求进行拦截； S2： 将拦截得到所加载的动态 链接库文件映射数据放入缓冲区； S3： 对所加载的动态 链接库数据缓冲区数据进行散列算法处 理； S4： 对缓冲区内的数据进行散列算法识别、 审计并控制。 2.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 所述步骤S1中， 在拦截动态链接库加载调用请求时， 同时对原本的调用过程进 行挂机。 3.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 所述 步骤S1中当非动态 链接库加载请求出现时正常放行不进行拦截。 4.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 所述步骤S2中将拦截得到所加载的动态连接库文件映像内存地址中的动态链 接库文件数据放入定义的识别缓冲区中， 所述 步骤S2中要求得到S1中的加载请求。 5.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 所述步骤S3中,对所加载的动态链接库交互数据缓冲区对数据进行散列算法 后得到的文件HASH值， 所述 步骤S3中要求得到S2中的缓冲区数据。 6.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 所述步骤S4对缓冲区内的数据进行散列算法识别、 审计并控制具体包括以下 步骤： S4.1： 对缓冲区内的数据进行散列算法后得到的HASH 散列值进行识别、 审计； S4.2： 把该 行为交付给决策 管理是否允许加载动态 链接库文件。 7.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， Windows操作系统所加载动态链接库的行为均为系统IRP请求， 处于内核级拦 截加载动态链接库IRP请求， 实现内核级的缓冲区动态链接库文件数据的散列算法计算并 得到HASH散列值进行识别、 审计和控制是否允许加载。 8.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 所述步骤S 3对所加载的动态链接库数据缓冲区数据进 行散列算法处理， 其中， 缓冲区数据为动态链接库文件数据可抽样进行散列算法计算或是全量动态链接库文件数 据散列算法计算中的任一种。 9.根据权利要求1所述的基于操作系统内核级缓冲区对动态链接库加载校验的方法， 其特征在于， 所述步骤S4对缓冲区内的数据进行散列算法识别、 审计并控制中， 所述识别、 审计、 控制为识别规则库、 审计记录系统、 控制决策系统。权　利　要　求　书 1/1 页 2 CN 114489860 A 2基于操作系统内核级缓冲区对动态 链接库加载校验的方 法 技术领域 [0001]本发明涉及操作系统的可信技术领域， 尤其涉及基于操作系统内核级缓冲区对动 态链接库加载 校验的方法。 背景技术 [0002]公知的， 在任意版本的Windows操作系统中， 内核所承担的主要功能是为硬件提供 管理服务并向上层提供统一的接口， 内核管理硬件资源是以处理器为核心的设备计算资 源、 中断资源以及存储资源。 通过内核为上层用户态与底层硬件实现交互， 动态链接， 在可 执行文件装载时或运行时， 由操作系统的装载程序加载库， 大多数操作系统将解析外部引 用作为加载过程的一部分， 在这些系统上， 可执行文件包含一个叫做import  directory的 表， 该表的每一项包含一个库的名字， 根据 表中记录的名字， 装载程序在硬盘上搜索需要的 库， 然后将其加载到内存中预先不确定的位置， 之后根据加载库后确定的库的地址更新可 执行程序。 可执行程序根据更新后的库信息调用库中的函数或引用库中的数据。 这种类型 的动态加载成为装载时加载， 被包括 Windows和Linux的大多数系统采用。 [0003]在Windows操作系统用户态中， 用户所安装使用的应用程序所需要加 载动态链接 库Dll对实现相应的功能， 而应用程序加载动态链接库Dll过程中会与操作系统内核交互， 称为文件映像或加载DLL的IRP请求， 该内核会处理此请求， 如应用程序的动态链接库存在 恶意病毒或木马程序将对操作系统形成安全威胁可以破坏操作系统的完整性和安全性， 而 这种恶意行为也需要通过操作系统内核处理， 所以需要对任意应用程序加载动态链接库的 请求进行拦截、 识别、 审计和管控。 发明内容 [0004]本发明的目的在于提供基于操作系统内核级缓冲区对动态链接库加载校验的方 法， 以解决现有技 术中的上述 不足之处。 [0005]为了实现上述目的， 本发明采用了如下技术方案： 基于操作系统内核级缓冲区对 动态链接库加载 校验的方法， 包括以下步骤： [0006]S1： 对所有经 过内核的动态 链接库加载调用请求进行拦截； [0007]S2： 将拦截得到所加载的动态 链接库文件映射数据放入缓冲区； [0008]S3： 对所加载的动态 链接库数据缓冲区数据进行散列算法处 理； [0009]S4： 对缓冲区内的数据进行散列算法识别、 审计并控制。 [0010]作为上述 技术方案的进一 步描述： [0011]所述步骤S1中， 在拦截动态链接库加载调用请求时， 同时对原本的调用过程进行 挂机。 [0012]作为上述 技术方案的进一 步描述： [0013]所述步骤S1中当非动态 链接库加载请求出现时正常放行不进行拦截。 [0014]作为上述 技术方案的进一 步描述：说　明　书 1/3 页 3 CN 114489860 A 3