-
公开(公告)号:CN101599113A
公开(公告)日:2009-12-09
申请号:CN200910086686.X
申请日:2009-06-17
申请人: 北京东方微点信息技术有限责任公司
发明人: 郭强
摘要: 本发明公开一种驱动型恶意软件防御方法和装置,该方法包括:根据驱动程序的导入表信息,将与所需监控的系统函数相关的函数地址信息替换为安全软件监控函数的地址信息;应用安全软件监控函数,监控驱动程序的执行动作,并在执行动作异常时发送报警信息。该装置包括:替换处理模块,用于根据驱动程序的导入表信息,将与所需监控的系统函数相关的函数地址信息替换为安全软件监控函数的地址信息;监控处理模块,用于应用替换处理模块替换后的安全软件监控函数,监控驱动程序的执行动作,并在执行动作异常时发送报警信息。本发明对驱动型恶意程序进行有效防御的同时,具有智能性、防御性能安全可靠且不易被恢复以及不会对系统性能产生影响等特点。
-
公开(公告)号:CN101599114B
公开(公告)日:2011-01-05
申请号:CN200910086687.4
申请日:2009-06-17
申请人: 北京东方微点信息技术有限责任公司
发明人: 郭强
摘要: 本发明涉及一种对病毒程序的驱动进行定位的方法及系统,方法包括:获取第一系统调用的原始函数的入口地址;所述第一系统调用由于病毒程序的驱动保护而不能被正确执行;根据所述入口地址修改所述原始函数,以使调用所述原始函数的第二系统调用跳转到预设的检测代码;所述第二系统调用不受所述病毒程序的驱动保护;发起所述第二系统调用,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次;根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码;执行第三系统调用,利用所述定位代码定位所述病毒程序的驱动;所述第三系统调用由于所述病毒程序的驱动保护而不能被正确执行。根除了病毒程序。
-
公开(公告)号:CN101599114A
公开(公告)日:2009-12-09
申请号:CN200910086687.4
申请日:2009-06-17
申请人: 北京东方微点信息技术有限责任公司
发明人: 郭强
摘要: 本发明涉及一种对病毒程序的驱动进行定位的方法及系统,方法包括:获取第一系统调用的原始函数的入口地址;所述第一系统调用由于病毒程序的驱动保护而不能被正确执行;根据所述入口地址修改所述原始函数,以使调用所述原始函数的第二系统调用跳转到预设的检测代码;所述第二系统调用不受所述病毒程序的驱动保护;发起所述第二系统调用,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次;根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码;执行第三系统调用,利用所述定位代码定位所述病毒程序的驱动;所述第三系统调用由于所述病毒程序的驱动保护而不能被正确执行。根除了病毒程序。
-
公开(公告)号:CN101587521B
公开(公告)日:2011-12-28
申请号:CN200910086688.9
申请日:2009-06-17
申请人: 北京东方微点信息技术有限责任公司
发明人: 郭强
摘要: 本发明实施例提供一种获取远程计算机信息的方法及装置。该方法包括:当监控到文件操作时,将文件操作分为正常文件操作或异常文件操作;若正常文件操作或异常文件操作属于系统进程,则判断该正常文件操作或异常文件操作对应的线程的起始地址是否位于系统进程中处理远程文件访问的模块内;若起始地址位于处理远程文件访问的模块内,则根据该正常文件操作或异常文件操作的函数调用栈的参数获取异常文件操作对应的远程计算机信息。本发明实施例能够获取进行远程文件操作的远程计算机的信息,实现在病毒入侵的第一时间准确报警并对病毒来源进行定位,进而可以实现对病毒的迅速拦截及对病毒来源进行管理和维护。
-
公开(公告)号:CN101587521A
公开(公告)日:2009-11-25
申请号:CN200910086688.9
申请日:2009-06-17
申请人: 北京东方微点信息技术有限责任公司
发明人: 郭强
摘要: 本发明实施例提供一种获取远程计算机信息的方法及装置。该方法包括:当监控到文件操作时,将文件操作分为正常文件操作或异常文件操作;若正常文件操作或异常文件操作属于系统进程,则判断该正常文件操作或异常文件操作对应的线程的起始地址是否位于系统进程中处理远程文件访问的模块内;若起始地址位于处理远程文件访问的模块内,则根据该正常文件操作或异常文件操作的函数调用栈的参数获取异常文件操作对应的远程计算机信息。本发明实施例能够获取进行远程文件操作的远程计算机的信息,实现在病毒入侵的第一时间准确报警并对病毒来源进行定位,进而可以实现对病毒的迅速拦截及对病毒来源进行管理和维护。
-
-
-
-
搜索结果
5 条记录 (耗时 0.053 秒)
