公开(公告)号：CN113176926B

公开(公告)日：2023-09-05

申请号：CN202110367511.7

申请日：2021-04-06

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  屈天恒 ,  程丰 ,  刘永继 ,  秦文雨

IPC: G06F9/455

Abstract: 本发明公开了一种基于虚拟机自省技术的API动态监控方法及系统。本方法为：1)读取并解析设定的监控策略配置文件，获取所需监控的API以及API所属的动态链接库DLL；2)遍历已加载到系统内存的动态链接库，对已加载到内存中且需要监控的API进行监控；对未加载入系统内存的动态链接库进行监控，当其载入系统内后，确认是否是需要监控的动态链接库，如果是，则对该动态链接库内需要监控的API函数进行监控；3)当所需监控API函数被触发后，对当前操作系统内存进行解析，提取出当前进程、进程ID、当前线程、线程ID、当前进程名、所调用API、所属动态链接库信息，并写入日志。

公开(公告)号：CN113176926A

公开(公告)日：2021-07-27

申请号：CN202110367511.7

申请日：2021-04-06

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  屈天恒 ,  程丰 ,  刘永继 ,  秦文雨

IPC: G06F9/455

Abstract: 本发明公开了一种基于虚拟机自省技术的API动态监控方法及系统。本方法为：1)读取并解析设定的监控策略配置文件，获取所需监控的API以及API所属的动态链接库DLL；2)遍历已加载到系统内存的动态链接库，对已加载到内存中且需要监控的API进行监控；对未加载入系统内存的动态链接库进行监控，当其载入系统内后，确认是否是需要监控的动态链接库，如果是，则对该动态链接库内需要监控的API函数进行监控；3)当所需监控API函数被触发后，对当前操作系统内存进行解析，提取出当前进程、进程ID、当前线程、线程ID、当前进程名、所调用API、所属动态链接库信息，并写入日志。