WinSecTotal --内核级应用安全防护

产品背景

运行时应用程序自我保护（Runtime Application Self Protection）是应用程序安全生态系统中的一项创新，可通过提供对隐藏漏洞的更多可见性来处理对软件应用程序层的运行时攻击。它本质上是一种安全软件，可与应用程序或其运行时环境集成在一起，并不断拦截对应用程序的调用以检查其安全性。RASP软件无需等待威胁影响应用程序。相反，它会主动在进入应用程序的流量中寻找恶意软件，并防止在应用程序内部执行欺诈性引用。

随着业务软件系统部署规模不断增大，到达一定量级后，最终系统的会面对来自第3方的安全威胁。比如有些业务系统自带的授权控制系统，经常受到来自破解者的攻击，授权系统被攻破后，恶意用户可免费使用业务系统，给软件开发商带来巨大损失。还有一些用于在线测评，在线考试的系统，攻击者利用技术手段干扰软件的正常运行，导致测评考试系统将错误的数据或者伪造的数据当作考试结果。严重影响用户对考试测评软件的信任程度，给软件开发商的企业形象带来严重负面影响，最终导致客户流失和软件开发商的经济利益受损。

WinSecTotal为被保护的目标应用提供实时感知关键事件的检测能力，并可以实时阻止攻击者对目标应用的破坏。该方案也提供一套积极防御技术方案，为达到彻底清除威胁提供技术手段。目标客户为有大规模应用的软件系统，在安全防护上缺乏技术手段的通用软件开发商或者行业软件供应商。WinSecTotal是一套内核级安全攻防组件。包含事件监视模块、处置模块、积极防御模块。使被保护的用可以实时监视自身关键文件、注册表、进程对象的访问过程，实时阻止已知威胁，并及时清除威胁，保障应用正常运行。

2功能特性

1. 内核模块列表

输出已加载的内核模块列表。详细信息包含内核镜像文件全路径名称、加载基地址、镜像大小，入口点地址。方便用户执行特征检测，扫描已知恶意内核模块。

1. 文件锁定解除

某些程序恶意程序在系统中强制驻留垃圾文件，或者恶意锁定正常应用的关键文件，导致正常应用无法运行。文件锁定解除支持查找占用的文件句柄，并可强制关闭目标句柄。解除恶意程序的文件锁定，使得应用正常运行。

1. 文件（夹）写保护

支持对目标文件夹的写保护。调用者可动态接收目标文件夹内文件的写入通知。模块支持3种事件处置，包含自动阻止、上报到应用层、自动阻止并通知。支持扩展名过滤设置。支持是否监视子文件夹，支持是否只监视已有文件设置，支持白名单设置。调用者可实时感知系统文件改写状态，并从中检测恶意的文件修改操作并阻止。

1. 文件（夹）隐藏

隐藏正常应用的关键文件或者文件夹，阻止初级用户对应用的破坏和分析。

1. 直接文件访问

提供一套内核级文件访问接口。使用者通过该套接口可以在不经过用户模式系统调用下，正常访问，读写目标文件。绕过用户模式系统调用访问文件可以有效去除恶意软件在用户模式中HOOK程序的干扰，使得调用者可以获取最原生的目标文件信息和数据，防止应用被投喂脏数据。

1. 进程创建监视

支持对目标文件夹中进程创建和终止的监视。支持设置表达式匹配。调用者可动态接收目标进程的启动和结束事件。模块支持3种事件处置，包含自动阻止、上报到应用层、自动阻止并通知。调用者可实时感知系统进程集合状态，并从中检测恶意进程的启动。

1. DLL加载监视

支持对目标文件夹DLL模块加载监视。支持设置表达式匹配。调用者可动态接收目标进程的启动和结束事件。模块支持3种事件处置，包含自动阻止、上报到应用层、自动阻止并通知。调用者可实时感知系统DLL加载状态，并从中检测恶意DLL的加载并实时阻止。

1. 进程强制结束

提供内核级进程结束接口。用于强制结束恶意程序的宿主进程，并可以绕过用户模式的进程保护模块。

1. 进程对象保护

实时记录系统中对目标进程对象的访问，并将重要的事件上报。调用者可以使用改模块实时感知关键进程对象的访问状态，并实时阻止可以的进程对象写入访问，包含关键进程可持续运行。

1. 进程反调试

能保护目标产品不被市面常见调试器调试，包括开启了各种插件的本地调试。已知包括：Windbg 本地和远程调试、Ollydbg 、Ida本地和远程调试、X64dbg包括开启了各种插件的本地调试、Cheat engine等。

1. 调试状态检测

提供调试状态检测接口。可以检测目标进程，操作系统内核是否处于被调试中。方便调用者可以检测自身状态，在被调试的情况下，向调试者发出警示、停止部分或者全部系统功能，以达到保护应用的目的。

1. 注册表保护

支持对目标注册表的写保护。调用者可动态接收目标注册表项目的写入通知。模块支持3种事件处置，包含自动阻止、上报到应用层、自动阻止并通知。支持扩展名过滤设置。支持是否监视子文件夹，支持是否只监视已有文件设置，支持白名单设置。调用者可实时感知系统关键注册表改写状态，并从中检测恶意的修改操作并阻止。

1. 注册表隐藏

隐藏正常应用的关键注册表项目，阻止初级用户对应用的破坏和分析。

1. 直接注册表访问

提供一套内核级注册表访问接口。使用者通过该套接口可以在不经过用户模式系统调用下，正常访问，读写目标文件。绕过用户模式系统调用访问注册表可以有效去除恶意软件在用户模式中HOOK程序的干扰，使得调用者可以获取最原生的目标注册表信息和数据，防止应用被投喂脏数据。

1. 直接内存读写

提供一套内核级内存读写接口。使用者通过该套接口可以在不经过用户模式系统调用下，正常读写目标进程的内存，真让读写内核地址空间内存。绕过用户模式系统调用访问注册表可以有效去除恶意软件在用户模式中HOOK程序的干扰，使得调用者可以获取最原生的目标内存数据，防止应用被投喂脏数据。方便对指定进程内存和内核内存的扫描。

1. DLL注入

提供一套内核级DLL注入接口。使得被保护应用的某些进程被恶意结束或者封锁后，从另外一个途径拉起新的应用。保障被保护应用系统持续运行。

1. 回调检测和摘除

检测操作系统内核中其他模块设置的各种回调钩子。输出项包含模块名称、回调地址、回调类型，并支持动态摘除这些钩子。支持的钩子类型包含进程创建、注册表访问、DLL加载回调等。

1. 直接网络访问接口

提供一套接口，能穿越系统防火墙和第三方安全软件防火墙向外网发送和接收网络数据。绕过恶意程序对被保护应用对网络访问的干扰。

1. 操作系统支持

Windows 7、Windows 10、Windows 11、Windows 2012 Server、Windows 2018 Server， 等。