(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111520073.X (22)申请日 2021.12.13 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/133(2022.01) H04L 67/51(2022.01) G06F 9/448(2018.01) (54)发明名称 远程注册表监测方法及装置 (57)摘要 本发明实施例提供一种远程注册表监测方 法及装置。 其中监测方法应用于内网中的设备， 包括： 响应于操作系统的远程注册表 服务进程调 用远程注册表操作函数， 进行远程注册表操作， 获取所述远程注册表操作的数据； 基于所获取的 所述远程注册表操作的数据， 获取 发起所述远程 注册表操作的所述内网中的目标设备的地址； 根 据所获取的所述内网中的目标设备的地址和所 述远程注册表操作的数据， 对所述远程注册表操 作进行安全鉴定。 本发明实施例可以解决对网络 攻击的监测缺乏有效精确的识别内网远程注册 表操作的行为， 提高设备对安全威胁的检测能 力。 权利要求书2页 说明书10页 附图4页 CN 114499928 A 2022.05.13 CN 114499928 A 1.一种远程注 册表监测方法， 其特 征在于， 应用于内网中的设备， 包括： 响应于操作系统 的远程注册表服务进程调用远程注册表操作函数， 进行远程注册表操 作， 获取所述远程注 册表操作的数据； 基于所获取的所述远程注册表操作的数据， 获取发起所述远程注册表操作的所述内网 中的目标设备的地址； 根据所获取的所述内网中的目标设备的地址和所述远程注册表操作的数据， 对所述远 程注册表操作进行安全鉴定 。 2.根据权利要求1所述的远程注册表监测方法， 其特征在于， 所述监测方法由在所述内 网中的设备的所述远程注 册表操作函数中设置 HOOK函数执行； 在所述远程注 册表操作函数中设置所述HO OK函数， 包括： 查找所述操作系统 的所述远程注册表服务进程， 在所述远程注册表服务进程中安装监 控模块； 通过所述监控模块在所述远程注册表服务进程的所述远程注册表操作函数中设置所 述HOOK函数。 3.根据权利要求2所述的远程注册表监测方法， 其特征在于， 在所述远程注册表服务进 程的所述远程注 册表操作函数中设置所述HO OK函数， 包括： 确定所述远程注 册表服务进程调用的远程注 册表核心功能文件； 基于远程注册表接口的标识符， 在所述远程注册表核心功能文件中确定所述远程注册 表接口； 在所确定的远程注 册表接口的所述远程注 册表操作函数中设置所述HO OK函数。 4.根据权利要求3所述的远程注册表监测方法， 其特征在于， 所述远程注册表服务进程 进行所述远程注册表操作， 调用的所述远程注册表操作函数包括修改注册表键值函数、 删 除注册表键函数、 删除注册表键值函数、 查询注册表键值函数和还原注册表数据函数中的 至少一种。 5.根据权利要求4所述的远程注册表监测方法， 其特征在于， 所述确定所述远程注册表 服务进程调用的远程注 册表核心功能文件， 包括： 确定所述远程注 册表服务进程调用的regsvc.dl l文件的内存地址； 所述基于远程注册表接口的标识符， 在所述远程注册表核心功能文件中确定所述远程 注册表接口， 包括： 基于IRemoteRegistr y接口的标识符， 在所述regsvc.dll文件中确定IRemoteRegistr y 接口的地址； 所述在所确定的远程注册表接口的所述远程注册表操作函数中设置所述HOOK函数， 包 括： 基于所述IRemoteRegistry接口的内存地址， 在所述IRemoteRegistry接口的 BaseRegSetValue函数、 BaseRegDeleteKe函数、 BaseRegDeleteValue函数、 BaseRegQueryValue函数和BaseRegRestore Key函数中设置所述HO OK函数。 6.根据权利要求1至5任一项所述的远程注册表监测方法， 其特征在于， 获取所述远程 注册表操作的数据， 包括： 调用应用程序接口函数获取 所述远程注 册表操作的返回数据；权　利　要　求　书 1/2 页 2 CN 114499928 A 2所述基于所获取的所述远程注册表操作的数据， 获取发起所述远程注册表操作的所述 内网中的目标设备的地址， 包括： 从所获取的所述远程注册表操作的返回数据中， 获取发起所述远程注册表操作的所述 内网中的目标设备的地址 。 7.根据权利要求6所述的远程注册表监测方法， 其特征在于， 所述根据 所获取的所述内 网中的目标设备的地址和所述远程注册表操作的数据， 对所述远程注册表操作进 行安全鉴 定之后， 还 包括： 判断所述 安全鉴定结果是否为所述远程注 册表操作为 攻击行为； 若所述安全鉴定结果为所述远程注册表操作为攻击行为， 对所述远程注册表操作进行 防护拦截； 若所述安全鉴定结果为所述远程注册表操作为非攻击行为， 返回所述远程注册表操作 函数继续执 行。 8.一种远程注 册表监测装置， 其特 征在于， 应用于内网中的设备， 包括： 数据获取模块， 用于响应于操作系统的远程注册表服务进程调用远程注册表操作函 数， 进行远程注 册表操作， 获取 所述远程注 册表操作的数据； 地址获取模块， 用于基于所获取的所述远程注册表操作的数据， 获取发起所述远程注 册表操作的所述内网中的目标设备的地址； 信息发送模块， 用于根据所获取的所述内网中的目标设备的地址和所述远程注册表操 作的数据， 对所述远程注 册表操作进行安全鉴定 。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任一项所述远程注 册表监测方法的步骤。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机 程序被处 理器执行时实现如权利要求1至7任一项所述远程注 册表监测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114499928 A 3