买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:北京长亭未来科技有限公司
摘要:本发明提供一种针对Windows系统映射内存的通用HOOK方法及系统,涉及内存映射技术领域,包括当程序执行创建文件时,在补丁中进行异常处理程序的注册;当程序执行内存映射函数时,在补丁中清除该内存区域的读写属性来强制触发异常,并修改异常监控范围来覆盖该内存区域,遍历当前内存区域的加密链查询是否已经被之前的映射加密,如果已加密则按照顺序解密;内存映射完毕后,在内存读写操作时进入补丁内的异常处理逻辑,判断是否为预期异常,继而判断异常触发类型为读或写,分别进入读写指令模拟逻辑;当调用结束内存映射函数关闭当前映射时,根据加密链设置现场,将之前解密的数据再次加密。
主权项:1.一种针对Windows系统映射内存的通用HOOK方法,其特征在于,包括:当程序执行CreateFile函数时,在补丁中进行异常处理程序的注册,并使用APIHOOK来挂钩MapViewofFile函数、UnMapViewofFile函数、CloseHandle函数;当程序执行MapViewOfFile函数时,在补丁中清除内存区域的读写属性来强制触发异常,并修改异常监控范围来覆盖内存区域,遍历当前内存区域的加密链查询是否已经被之前的映射加密,如果已加密则按照顺序解密;内存映射完毕后,在内存读写操作时进入补丁内的异常处理逻辑,判断是否为预期异常,继而判断异常触发类型为读或写,分别进入读写指令模拟逻辑;当调用UnMapViewOfFile函数关闭当前映射时,根据加密链设置现场,将之前解密的数据再次加密;所述判断是否为预期异常,继而判断异常触发类型为读或写,分别进入读写指令模拟逻辑的步骤,包括:在异常处理逻辑中,判断触发异常的内存地址是否在之前设置的异常监控范围内,如果在,则表示为预期异常;如果不在,则表示为其他异常,不需要处理,直接返回;如果是预期异常,则进一步判断异常的触发类型是读操作还是写操作,分别进入对应的读指令模拟逻辑或写指令模拟逻辑;所述方法还包括:在读指令模拟逻辑中,根据异常的内存地址和读取长度,在加密链中查询是否包含此范围;如果包含,则表示要读取的数据是加密的,需要先将数据解密后再返回给程序;如果不包含,则表示要读取的数据是未加密的,直接读取内存数据并返回给程序;如果需要解密,则根据加密链记录的算法、密钥信息,对要读取的数据进行解密,解密后的数据暂存在补丁缓冲区中,并修改异常现场的寄存器值,使其指向补丁缓冲区,然后返回;所述方法还包括:在写指令模拟逻辑中,如果写入的数据长度超过了加密链中已有数据的长度,表示有新的数据需要加密,则根据程序预设的加密算法和密钥对新写入的数据进行加密,并将加密信息添加到加密链中;如果写入的数据未超出加密链长度,则将写入的数据按照加密链中的信息进行加密后写入内存,写入完成后,修改异常现场的寄存器,使程序可以继续执行;在加密数据时,如果加密数据长度未达到加密算法的块大小,则将数据缓存在补丁缓冲区中,等待后续写入数据一起进行加密,避免频繁加密解密导致效率下降。
全文数据:
权利要求:
百度查询: 北京长亭未来科技有限公司 针对Windows系统映射内存的通用HOOK方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。