买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:中国人民解放军61660部队
摘要:本发明涉及一种应用层检测进程Hook的方法,属于网络安全领域。为解决在应用层既检测IATHOOK,又检测INLINEHOOK的问题,本发明获取待检测进程的本地源文件;在当前进程中拉伸待检测进程的源文件到内存中;根据待检测进程源文件的PE格式特征,获取导入表并解析表中内容,使用解析出的相对虚拟地址RVA获取所有模块及函数地址;根据PE格式读取待检测进程内存,获取导入表中的所有模块名、模块地址范围及模块所有函数的地址,同时对所有进程创建快照,通过系统函数获取待检测进程加载的所有模块名、模块基地址和大小,进而获取所有模块及函数地址;循环比较检测IATHOOK和INLINEHOOK。本发明运行在应用层,不仅对进程的Hook做到一个全面的检测,而且保证了系统的稳定性。
主权项:1.一种应用层检测进程Hook的方法,其特征在于,该方法包括如下步骤:步骤S1、获取待检测进程的本地源文件;步骤S2、在当前进程中拉伸待检测进程的源文件到内存中,模拟待检测进程在系统中的加载情况;步骤S3、根据待检测进程源文件的PE格式特征,获取导入表并解析表中内容,使用解析出的相对虚拟地址RVA获取所有模块及函数地址;步骤S4、根据PE格式读取待检测进程内存,获取导入表中的所有模块名、模块地址范围及模块所有函数的地址,同时对所有进程创建快照,通过系统函数获取待检测进程加载的所有模块名、模块基地址和大小,进而获取所有模块及函数地址;步骤S5、循环待检测进程内存中的所有函数,从源文件中找到相应的模块和函数地址,并比较,函数地址不同则为IATHOOK,函数地址相同的话比较5个字节数据,数据不同则为INLINEHOOK,并能找到HOOK的源文件。
全文数据:
权利要求:
百度查询: 中国人民解放军61660部队 一种应用层检测进程Hook的方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。