- 专利标题: 一种Windows平台下对抗API挂接的方法
- 专利标题(英): Method of resisting API articulation under windows platform
-
申请号: CN200610021856.2申请日: 2006-09-14
-
公开(公告)号: CN1936834B公开(公告)日: 2010-05-12
- 发明人: 邝思豪
- 申请人: 珠海金山软件股份有限公司
- 申请人地址: 广东省珠海市吉大景山路莲山巷8号
- 专利权人: 珠海金山软件股份有限公司
- 当前专利权人: 珠海金山软件有限公司
- 当前专利权人地址: 广东省珠海市吉大景山路莲山巷8号
- 代理机构: 成都天嘉专利事务所
- 代理商 徐丰
- 主分类号: G06F9/44
- IPC分类号: G06F9/44 ; G06F21/00
摘要:
本发明公开了一种Windows平台下对抗API挂接的方法,其特征在于:进程调用API函数CreateFile打开提供API的PE文件,再将打开的PE文件映射到虚拟内存缓冲区,取得API在虚拟内存缓冲区内的偏移量,记为偏移一,然后进程通过调用API函数GetProcAddress取得API在进程空间的偏移量,记为偏移二,最后通过判断比较两个偏移的内容,将与偏移一不相同的偏移二的内容恢复成偏移一的内容;本发明从PE文件分析得出API原来的内容,并保证得到API内容的正确性,实现对抗API挂接;提高恶意进程挂接API的难度,恶意进程须改写PE文件才能实现挂接,这时在Windows NT平台下将触发Windows FileProtection机制。
公开/授权文献
- CN1936834A 一种Windows平台下对抗API挂接的方法 公开/授权日:2007-03-28
