申请/专利权人:北京长亭未来科技有限公司
申请日:2024-05-09
公开(公告)日:2024-06-07
公开(公告)号:CN118153078A
主分类号:G06F21/60
分类号:G06F21/60;G06F21/62
优先权:
专利状态码:在审-实质审查的生效
法律状态:2024.06.25#实质审查的生效;2024.06.07#公开
摘要:本发明提供一种针对Windows系统映射内存的通用HOOK方法及系统,涉及内存映射技术领域,包括当程序执行创建文件时,在补丁中进行异常处理程序的注册;当程序执行内存映射函数时,在补丁中清除该内存区域的读写属性来强制触发异常,并修改异常监控范围来覆盖该内存区域,遍历当前内存区域的加密链查询是否已经被之前的映射加密,如果已加密则按照顺序解密;内存映射完毕后,在内存读写操作时进入补丁内的异常处理逻辑,判断是否为预期异常,继而判断异常触发类型为读或写,分别进入读写指令模拟逻辑;当调用结束内存映射函数关闭当前映射时,根据加密链设置现场,将之前解密的数据再次加密。
主权项:1.一种针对Windows系统映射内存的通用HOOK方法,其特征在于,包括:当程序执行CreateFile函数时,在补丁中进行异常处理程序的注册,并使用APIHOOK来挂钩MapViewofFile函数、UnMapViewofFile函数、CloseHandle函数;当程序执行MapViewOfFile函数时,在补丁中清除内存区域的读写属性来强制触发异常,并修改异常监控范围来覆盖内存区域,遍历当前内存区域的加密链查询是否已经被之前的映射加密,如果已加密则按照顺序解密;内存映射完毕后,在内存读写操作时进入补丁内的异常处理逻辑,判断是否为预期异常,继而判断异常触发类型为读或写,分别进入读写指令模拟逻辑;当调用UnMapViewOfFile函数关闭当前映射时,根据加密链设置现场,将之前解密的数据再次加密。
全文数据:
权利要求:
百度查询: 北京长亭未来科技有限公司 针对Windows系统映射内存的通用HOOK方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。