CN108304699B

CN108304699B - 一种对安全软件进行保护的方法及装置

Info

Publication number: CN108304699B
Application number: CN201810150230.4A
Authority: CN
Inventors: 路尧
Original assignee: Qianxin Technology Group Co Ltd
Current assignee: Qianxin Technology Group Co Ltd
Priority date: 2018-02-13
Filing date: 2018-02-13
Publication date: 2020-07-14
Anticipated expiration: 2038-02-13
Also published as: CN108304699A

Abstract

本发明的实施例公开了一种对安全软件进行保护的方法及装置，该方法在操作***启动后，对注册表的修改进行监测的同时，还对是否创建重解析点进行监测，当监测到创建重解析点的第一操作，则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径，得到每一第一存储路径对应的重解析路径，若重解析路径中存在安全软件的组件对应的存储路径，则获取对应于该重解析路径的第二存储路径，清除该第二存储路径对应的键值。该方法避免了通过操作***的重启替换机制通过修改注册表对安全软件组件产生威胁的情况发生，有效制止了通过重启替换机制对安全软件组件和操作***带来的安全隐患。

Description

一种对安全软件进行保护的方法及装置

技术领域

本发明实施例涉及网络安全技术领域，尤其是涉及一种对安全软件进行保护的方法及装置。

背景技术

Windows平台下，在安全软件抵御各种病毒和恶意软件的过程中，保证***文件和安全软件自身组件不被破坏和劫持尤为重要。然而，最近windows平台上出现了通过NTFS重解析点(reparse point)，利用***的重启替换机制对安全软件的组件进行替换的方法。在windows***启动后，安全软件仅对注册表中对自身组件产生威胁的修改进行拦截。基于此，可以通过能够避开安全软件拦截的注册表修改和重解析点，使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改，进而在操作***再次重启后，对该安全软件或者操作***带来破坏。

在实现本发明实施例的过程中，发明人发现现有的方法中，通过操作***的重启替换机制，有可能对注册表进行无法拦截且对安全软件组件形成威胁的修改，从而在***重启后，对安全软件组件和操作***带来安全隐患。

发明内容

本发明所要解决的技术问题是如何解决现有的方法中，通过操作***的重启替换机制，有可能对注册表进行无法拦截且对安全软件组件形成威胁的修改，从而在***重启后，对安全软件组件和操作***带来安全隐患的问题。

针对以上技术问题，本发明的实施例提供了一种对安全软件进行保护的方法，包括：

操作***启动后，若监测到创建重解析点的第一操作，则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径；

通过预设重解析规则对每一第一存储路径进行重解析，得到重解析路径；

判断重解析路径中是否存在属于欲排查路径的存储路径，若是，则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径，删除所述第二存储路径对应的键值；

其中，所述欲排查路径为所述操作***的安全软件的组件对应的存储路径。

第二方面，本实施例提供了一种对安全软件进行保护的装置，包括：

获取模块，用于操作***启动后，若监测到创建重解析点的第一操作，则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径；

重解析模块，用于通过预设重解析规则对每一第一存储路径进行重解析，得到重解析路径；

处理模块，用于判断重解析路径中是否存在属于欲排查路径的存储路径，若是，则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径，删除所述第二存储路径对应的键值；

第三方面，本发明的实施例还提供了一种电子设备，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行以上所述的方法。

第四方面，本发明的实施例提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行以上所述的方法。

本发明的实施例提供了一种对安全软件进行保护的方法及装置，该方法在操作***启动后，对注册表的修改进行监测的同时，还对是否创建重解析点进行监测，当监测到创建重解析点的第一操作，则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径，得到每一第一存储路径对应的重解析路径，若重解析路径中存在安全软件的组件对应的存储路径，则获取对应于该重解析路径的第二存储路径，清除该第二存储路径对应的键值。该方法通过对创建重解析点的监测，避免了通过操作***的重启替换机制，先对注册表进行对安全软件无威胁的修改，再通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生，有效制止了通过重启替换机制对安全软件组件和操作***带来的安全隐患。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例提供的对安全软件进行保护的方法的流程示意图；

图2是本发明另一个实施例提供的通过预设重解析规则查询指定路径的重解析路径的方法流程示意图；

图3是本发明另一个实施例提供的对安全软件进行保护的装置的结构框图；

图4是本发明另一个实施例提供的电子设备的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本实施例提供的一种对安全软件进行保护的方法的流程示意图，参见图1，该方法包括：

101：操作***启动后，若监测到创建重解析点的第一操作，则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径；

102：通过预设重解析规则对每一第一存储路径进行重解析，得到重解析路径；

103：判断重解析路径中是否存在属于欲排查路径的存储路径，若是，则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径，删除所述第二存储路径对应的键值；

需要说明的是，本实施例提供的方法通常由计算机或者服务器执行。操作***为运行在计算机或者服务器上的程序，例如，操作***可以是Windows操作***、IOS操作***等，本实施例对此不做具体限制。注册表是用于存储***和应用程序的设置信息的数据库，例如，注册表中存储了启动操作***过程中，启动安全软件时所调用的安全软件的组件的存储位置。键值为注册表中的参数值，通过对键值的修改可以改变重启***时调用的文件的存储位置。例如，某一软件的组件存储位置为X，在注册表的键值中写入采用存储位置为Y的文件替换该存储位置为X的文件的信息(例如，X→Y)，键值设置成功后，当再次重启操作***过程中，在重启该软件的过程中就会调用存储位置为Y的文件，如此可以实现对该软件启动时的文件替换，若Y文件为攻击文件，则该软件重启后便遭到破坏。本实施例提供的方法中，若接收到创建重解析点的信息，则判定监测到了第一操作。欲排查路径包括了操作***的安全软件的组件对应的所有存储路径。

例如，在Windows***下，拥有管理员身份的用户即可通过MOVEFILE_DELAY_UNTIL_REBOOT|MOVEFILE_REPLACE_EXI STING参数调用MoveFileEx API或者注册表，填写HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager的PendingFileRenameOperations键值，通过对PendingFileRenameOperations键值(Pending项)的修改即可在下次启动时对软件运行时调用的文件进行替换或者删除。在Pending项中写入X→Y，表示重启时用存储路径为X的文件替换存储路径为Y的文件。在Pending项中写入Y，若Y为安全软件组件的存储路径，则表示重启时删除存储路径为Y的文件。

本实施例中的创建重解析点或者对存储路径进行重解析基于NTFS***(NewTechnology File System，即WindowsNT环境下的文件***)。

在Windows***下，安全软件会对注册表的修改中对自身组件产生威胁的修改进行拦截，但是若对注册表的修改未对该安全软件的组件产生威胁则不会进行拦截。例如，攻击文件的存储路径为A，安全软件组件的存储路径是B，攻击者对注册表中的键值进行修改，在键值中写入A→C(即重启时用存储路径为A的文件替换存储路径为C的文件)，其中C是个不存在的存储路径。由于被替换文件的存储路径C是个不存在的路径，不会对安全软件的组件进行修改或者删除，所以安全软件不会对在键值中写入A→C的操作进行拦截。之后攻击者再创建重解析点C→B，如此在***重启后，由于C重解析后的路径为B，重启时就会用存储路径为A的文件替换存储路径为B的文件，如此便绕过了安全软件的拦截，对安全软件的组件进行了替换，从而对安全软件和操作***的安全运行带来威胁。

针对上述对安全软件的组件进行替换或者删除的行为，本实施例提供的方法中，在操作***启动后，对创建重解析点的第一操作进行监控，一旦监测到创建重解析点(例如，监测到创建重解析点C→B)的第一操作，即通过预设重解析规则查询注册表键值中被替换或者删除的第一存储路径的重解析路径，若重解析路径是安全软件的组件存储路径，即重解析路径为欲排查路径中的存储路径，则获取该重解析路径对应的第二存储路径，将第二存储路径对应的键值删除(例如，B为安全软件某个组件对应的存储路径，则获取B对应的第二存储路径C，将键值A→C删除)。由此可见，通过本实施例提供的方法，能够对通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生进行识别，并及时处理，阻止了攻击者通过该方法对安全软件组件进行修改或者删除的行为，进一步提升了整个操作***的安全性。

本发明的实施例提供了一种对安全软件进行保护的方法，该方法在操作***启动后，对注册表的修改进行监测的同时，还对是否创建重解析点进行监测，当监测到创建重解析点的第一操作，则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径，得到每一第一存储路径对应的重解析路径，若重解析路径中存在安全软件的组件对应的存储路径，则获取对应于该重解析路径的第二存储路径，清除该第二存储路径对应的键值。该方法通过对创建重解析点的监测，避免了通过操作***的重启替换机制，先对注册表进行对安全软件无威胁的修改，再通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生，有效制止了通过重启替换机制对安全软件组件和操作***带来的安全隐患。

更进一步地，在上述实施例的基础上，所述通过预设重解析规则对任一第一存储路径进行重解析，得到重解析路径，包括：

将任一所述第一存储路径标记为待查询路径，循环执行路径解析操作，直到将最新标记的待查询路径中的所有文件名存储到路径结果堆栈中；

输出所述路径结果堆栈中存储的文件名，得到所述重解析路径；

其中，所述路径解析操作，包括：

获取最新标记的待查询路径，作为目标查询路径，获取所述目标查询路径对应的文件对象的属性值，判断文件对象的属性值中是否存在重解析点标记位；

若所述文件对象的属性值中存在重解析点标记位，根据所述文件对象获取所述目标查询路径重定向解析后的路径，作为第一查询存储路径，将所述第一查询存储路径标记为待查询路径；

若所述文件对象的属性值中不存在重解析点标记位，则将所述目标查询路径的最后一级文件名存储到所述路径结果堆栈中，判断所述目标查询路径是否存在父路径，若存在，将所述目标查询路径的父路径标记为待查询路径，否则，将所述目标查询路径中的文件名存储到所述路径结果堆栈中。

进一步地，所述输出所述路径结果堆栈中存储的文件名，得到所述重解析路径，包括：

所述路径结果堆栈按照先入后出的原则输出存储的文件名，根据输出的文件名生成目标重解析路径。

进一步地，所述获取所述目标查询路径对应的文件对象的属性值，包括：

通过FindFirstFile、GetFileAttributes或GetFileAttributesEx作为API获取目标查询路径对应的文件对象的属性值。

进一步地，所述判断文件对象的属性值中是否存在重解析点标记位，包括：

若文件对象的属性值中包含FILE_ATTRIBUTE_REPARSE_POINT，则该文件对象的属性值存在解析点标记位，否则，该文件对象的属性值不存在解析点标记位。

进一步地，所述根据所述文件对象获取所述目标查询路径重定向解析后的路径，包括：

向所述文件对象发送DeviceIoControl FSCTL_GET_REPARSE_POINT，得到所述目标查询路径重定向解析后的路径。

需要说明的是，预设重解析规则是用来查询第一存储路径对应的重解析路径的规则。目标查询路径的父路径为将目标查询路径最后一级文件名删除后得到的路径。

例如，图2示出了本实施例提供的通过预设重解析规则查询指定路径(第一存储路径)的重解析路径的方法，该方法包括：

201：针对任一指定路径进行重定向解析查询。例如，指定路径为c:\A\B\C\D\1.txt。

202：查询该路径的文件对象的属性值是否存在重解析点标记位。例如，在第一次执行路径解析操作时，通过FindFirstFile获取该路径的文件对象属性值，判断文件对象的属性值中是否包含FILE_ATTRIBUTE_REPARSE_POINT，若是，则执行步骤206，否则，执行203。

203：将该路径的最后一级文件名压入路径结果堆栈。例如，将c:\A\B\C\D\1.txt中的最后一级文件名“1.txt”压入路径结果堆栈。

204：判断是否能获取该路径的父路径，若是，执行步骤208，否则，执行步骤205。例如，c:\A\B\C\D\1.txt的父路径为c:\A\B\C\D，执行步骤208。若该路径为c:，则c:不存在父路径，直接执行步骤205。此处，c:为上述指定路径的根目录，本实施例提供的查询指定路径的重解析路径的方法需逐级查询，对根目录c:的查询和其它路径的查询方法相同，此处不再赘述。

205：从路径结果堆栈按照先入后出规则依次输出各级目录，得到该指定路径的重解析路径。例如，依次向路径结果堆栈中存储了1.txt、D、C、B、A和c:，则按照先入后出规则依次输出各级目录，可以得到c:\A\B\C\D\1.txt。

若202中查询该路径的文件对象的属性值存在重解析点标记位，则执行206，其中，206：根据该文件对象查询一次重解析定向解析后的路径，207：针对重定向解析后的路径进行重定向解析查询，返回步骤202，重新进行查询重解析路径。

若204中判断能获取该路径的父路径，则执行208，其中，208：针对父路径继续进行重定向解析查询，返回步骤202，重新进行查询重解析路径。

例如，查询c:\A\B\C\D\1.txt，当查询到c:\A\B\C\D\1.txt的文件对象属性值不包括重解析点标记位，则将1.txt存储到路径结果堆栈，对c:\A\B\C\D进行查询。查询到c:\A\B\C\D→c:\E\F\G\H，则c:\A\B\C\D重解析后的路径为c:\E\F\G\H，再对c:\E\F\G\H进行查询，例如，c:\E\F\G\H→c:\I\J\K\L，则再查询c:\I\J\K\L的重解析后路径。当查询到c:\I\J\K\L的文件对象属性值不包括重解析点标记位，则将L存储到路径结果堆栈，对c:\I\J\K进行查询，直到查询到不包含重解析点标记位的最后一级目录(根路径)后，根据从路径结果堆栈输出的文件名称得到指定路径的重解析路径。

本实施例提供了一种对安全软件进行保护的方法，该方法对通过预设重解析规则对第一存储路径进行重解析进行限定，通过本实施例提供的逐级查询的方法和最大匹配路径的方法，能够快速准确的查询到任一第一存储路径的重解析路径。

更进一步地，在上述各实施例的基础上，还包括：

存储删除所述第二存储路径对应的键值的操作记录，并发出删除所述第二存储路径对应的键值的提示信息。

清除键值后，对清除键值的操作记录进行存储，以便能够随时查询到键值的修改操作，以及对该修改操作的处理。提示信息可以通过浮窗的形式弹出，本实施例对此不做具体限制。

监测到创建重解析点的操作后，由于不能确定该重解析点是对注册表的哪一个键值中欲被替换或者删除的文件的第一存储路径创建的重解析点，因此需要查询键值中欲被替换或者删除的全部存储路径的最终重解析路径，若其中某个重解析路径是安全软件的组件存储路径，则清除该重解析路径对应的键值。

例如，文件过滤驱动监测到创建重解析点的操作后，获取注册表键值中所有欲被替换或者删除的第一存储路径，对每一第一存储路径进行重解析，判断重解析路径中是否存在安全软件组件的存储路径，将属于安全软件组件存储路径的重解析路径对应的键值删除。比如，监测到创建重解析点C→B，获取所有第一存储路径，对每一第一存储路径重解析后判定C对应的重解析路径B为安全软件组件对应的存储路径。获取将与B对应的第一存储路径C所在的键值清除。

本实施例提供了一种对安全软件进行保护的方法，该方法在删除对安全软件的组件存在威胁的键值后，对相应的操作进行记录并发出提示信息，以便工作人员能够随时查询相关操作。

更进一步地，在上述各实施例的基础上，还包括：

所述操作***启动后，若监测到对所述注册表中的键值进行修改的第二操作，则获取修改后键值中欲被替换或者删除的第三存储路径，判断所述第三存储路径是否为所述安全软件的组件对应的存储路径，若是，拦截所述第二操作，否则，对所述第一操作进行监测。

第二操作即对注册表进行修改的操作，安全软件在监测到第二操作后，判断该操作是否对自身组件产生威胁，若是，则拦截该操作，即清除修改的键值，否则，不进行拦截，而对创建重解析点的操作进行监测，以防止通过重解析点使得对注册表的修改威胁到安全软件的组件。

本实施例提供了一种对安全软件进行保护的方法，该方法对键值的修改进行监测，以及时清除对安全软件的组件产生威胁的键值，避免安全软件遭到恶意攻击。

具体来说，Windows***上为替换正在使用的文件设计有一个重启替换机制，只要是拥有管理员权限的用户，即可通过程序传入MOVEFILE_DELAY_UNTIL_REBOOT|MOVEFILE_REPLACE_EXI STING参数调用MoveFileEx API或者注册表，填写HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager的PendingFileRenameOperations键值，可在操作***下次启动时进行同一盘符下的文件替换。一般安全软件利用文件过滤驱动保护自己的组件不被其它程序修改，但是这个重启替换机制发生在***正式的文件***驱动加载之前，所以一般的杀软会拦截对该注册表字段的修改操作环节，防止设置上替换自身组件的操作。

然而，攻击者利用NTFS的重解析点机制，在设置重启替换操作时把替换目标指向一个不存在的路径，杀软拦截到这一设置操作并没有认定成威胁而拦截，随后攻击者创建NTFS重解析点将之前设定的不存在目标路径指向到杀软组件，随后重启完成对杀毒组建的劫持或破坏。

为了应对以上的劫持方法，在NTFS盘符的Win***上我们进行安全软件/杀软开发，应该不只过滤对该注册表路径设置的修改操作，还要在文件过滤驱动中监视设置重解析点的操作行为，每次监视到成功设置重解析点的操作，立即检测注册表中重启替换的PendingFileRenameOperations键值，验证目标路径(第一存储路径)的重定向解析后路径(重解析路径)，发现威胁项立即清除。

图3示出了本发明的实施例提供的一种对安全软件进行保护的装置的结构框图，参见图3，本实施例提供的一种对安全软件进行保护的装置，包括获取模块301、重解析模块302和处理模块303，其中，

判断模块301，用于操作***启动后，若监测到创建重解析点的第一操作，则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径；

重解析模块302，用于通过预设重解析规则对每一第一存储路径进行重解析，得到重解析路径；

处理模块303，用于判断重解析路径中是否存在属于欲排查路径的存储路径，若是，则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径，删除所述第二存储路径对应的键值；

本实施例提供的对安全软件进行保护的装置适用于上述实施例中提供的对安全软件进行保护的方法，在此不再赘述。

本发明的实施例提供了一种对安全软件进行保护的装置，该装置在操作***启动后，对注册表的修改进行监测的同时，还对是否创建重解析点进行监测，当监测到创建重解析点的第一操作，则通过预设重解析规则查询注册表键值中每一欲被替换或者删除的第一存储路径，得到每一第一存储路径对应的重解析路径，若重解析路径中存在安全软件的组件对应的存储路径，则获取对应于该重解析路径的第二存储路径，清除该第二存储路径对应的键值。该装置通过对创建重解析点的监测，避免了通过操作***的重启替换机制，先对注册表进行对安全软件无威胁的修改，再通过重解析点使得原来对安全软件无威胁的注册表修改变为对安全软件组件产生威胁的修改的情况发生，有效制止了通过重启替换机制对安全软件组件和操作***带来的安全隐患。

第三方面，图4是示出本实施例提供的电子设备的结构框图。

参照图4，所述电子设备包括：包括：处理器(processor)401、存储器(memory)402和总线403；

其中，

所述处理器401、存储器402通过所述总线403完成相互间的通信；

所述处理器401用于调用所述存储器402中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：操作***启动后，若监测到创建重解析点的第一操作，则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径；通过预设重解析规则对每一第一存储路径进行重解析，得到重解析路径；判断重解析路径中是否存在属于欲排查路径的存储路径，若是，则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径，删除所述第二存储路径对应的键值；其中，所述欲排查路径为所述操作***的安全软件的组件对应的存储路径。

第四方面，本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：操作***启动后，若监测到创建重解析点的第一操作，则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径；通过预设重解析规则对每一第一存储路径进行重解析，得到重解析路径；判断重解析路径中是否存在属于欲排查路径的存储路径，若是，则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径，删除所述第二存储路径对应的键值；其中，所述欲排查路径为所述操作***的安全软件的组件对应的存储路径。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如，包括：操作***启动后，若监测到创建重解析点的第一操作，则从注册表的键值中获取欲被替换或者删除的至少一个第一存储路径；通过预设重解析规则对每一第一存储路径进行重解析，得到重解析路径；判断重解析路径中是否存在属于欲排查路径的存储路径，若是，则将属于所述欲排查路径的重解析路径所对应的第一存储路径作为第二存储路径，删除所述第二存储路径对应的键值；其中，所述欲排查路径为所述操作***的安全软件的组件对应的存储路径。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的电子设备等实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的实施例的技术方案，而非对其限制；尽管参照前述各实施例对本发明的实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。

Claims

1.一种对安全软件进行保护的方法，其特征在于，包括：

其中，所述欲排查路径为所述操作***的安全软件的组件对应的存储路径；

通过预设重解析规则对任一第一存储路径进行重解析，得到重解析路径，包括：

其中，所述路径解析操作，包括：

2.根据权利要求1所述的方法，其特征在于，还包括：

3.根据权利要求1所述的方法，其特征在于，还包括：

4.一种对安全软件进行保护的装置，其特征在于，包括：

所述重解析模块还用于：

其中，所述路径解析操作，包括：

5.根据权利要求4所述的装置，其特征在于，所述处理模块还用于存储删除所述第二存储路径对应的键值的操作记录，并发出删除所述第二存储路径对应的键值的提示信息。

6.根据权利要求4所述的装置，其特征在于，所述获取模块还用于所述操作***启动后，若监测到对所述注册表中的键值进行修改的第二操作，则获取修改后键值中欲被替换或者删除的第三存储路径，判断所述第三存储路径是否为所述安全软件的组件对应的存储路径，若是，拦截所述第二操作，否则，对所述第一操作进行监测。

7.一种电子设备，其特征在于，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1至3中任一项所述的方法。

8.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如权利要求1至3任一项所述的方法。