龙图腾网&IPTOP
- 微信扫码登录
- 账号密码登录
- 短信登录/注册
申请/专利权人:中国人民解放军61660部队
申请日:2024-03-25
公开(公告)日:2024-06-28
公开(公告)号:CN118260755A
主分类号:G06F21/55
分类号:G06F21/55;G06F21/56
优先权:
专利状态码:在审-公开
法律状态:2024.06.28#公开
摘要:本发明涉及一种应用层检测进程Hook的方法,属于网络安全领域。为解决在应用层既检测IATHOOK,又检测INLINEHOOK的问题,本发明获取待检测进程的本地源文件;在当前进程中拉伸待检测进程的源文件到内存中;根据待检测进程源文件的PE格式特征,获取导入表并解析表中内容,使用解析出的相对虚拟地址RVA获取所有模块及函数地址;根据PE格式读取待检测进程内存,获取导入表中的所有模块名、模块地址范围及模块所有函数的地址,同时对所有进程创建快照,通过系统函数获取待检测进程加载的所有模块名、模块基地址和大小,进而获取所有模块及函数地址;循环比较检测IATHOOK和INLINEHOOK。本发明运行在应用层,不仅对进程的Hook做到一个全面的检测,而且保证了系统的稳定性。
主权项:1.一种应用层检测进程Hook的方法,其特征在于,该方法包括如下步骤:步骤S1、获取待检测进程的本地源文件;步骤S2、在当前进程中拉伸待检测进程的源文件到内存中,模拟待检测进程在系统中的加载情况;步骤S3、根据待检测进程源文件的PE格式特征,获取导入表并解析表中内容,使用解析出的相对虚拟地址RVA获取所有模块及函数地址;步骤S4、根据PE格式读取待检测进程内存,获取导入表中的所有模块名、模块地址范围及模块所有函数的地址,同时对所有进程创建快照,通过系统函数获取待检测进程加载的所有模块名、模块基地址和大小,进而获取所有模块及函数地址;步骤S5、循环待检测进程内存中的所有函数,从源文件中找到相应的模块和函数地址,并比较,函数地址不同则为IATHOOK,函数地址相同的话比较5个字节数据,数据不同则为INLINEHOOK,并能找到HOOK的源文件。
全文数据:
权利要求:
百度查询: 中国人民解放军61660部队 一种应用层检测进程Hook的方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
主营中国专利交易买卖与专利转让许可,高校科技成果推广与科技成果转化,知识产权运营管理与平台开发,科技人才专家库与科技猎头等科技服务
开放平台
担保交易
惠及多方
会员特惠
专属平台
适合多方
数据共享
功能齐全
皖公网安备 34010402703815号