-
公开(公告)号:CN101620658A
公开(公告)日:2010-01-06
申请号:CN200910088251.9
申请日:2009-07-14
Applicant: 北京大学
IPC: G06F21/22
Abstract: 本发明公开了一种Windows操作系统下钩子的检测方法,属于信息安全技术领域。本发明方法包括:i.对于待检测操作系统,获得系统内核中已加载的所有模块的信息,包括模块加载到内存中的起始地址和终止地址;ii.获得系统内核跳转表;iii.遍历跳转表中的各个表项,获得表项中的地址,并根据步骤i所述的起始地址和终止地址判断所述地址所属的内核模块;iv.若所述内核模块不是合法的系统模块,则所述地址不合法,则所述待检测操作系统被设置了钩子。本发明方法还可包括v.用正确的系统调用或中断处理函数的入口地址替换所述不合法地址。本发明方法可用于在Windows操作系统下检测基于钩子技术的恶意软件。
-
公开(公告)号:CN101620660B
公开(公告)日:2012-03-21
申请号:CN200910090179.3
申请日:2009-07-31
Applicant: 北京大学
IPC: G06F21/22
Abstract: 本发明公开了一种Windows操作系统下钩子的防御方法,属于信息安全技术领域。本发明方法包括:a)获得Windows系统提供的系统服务名称;b)通过调试工具查看所述系统的win32子系统映像文件,获取所述系统服务对应的服务号;c)根据所述系统服务号,在系统服务描述符表中找到所述系统服务的函数入口地址,并将所述函数入口地址保存至内存;d)重新编写系统服务函数;e)以所述新的系统服务函数的入口地址替换步骤c所述函数入口地址。本发明可根据不同种类钩子的特点,分别在用户态和内核态进行钩子防御,具有两个优点,一是对钩子进行全面的防御;二是在恶意软件刚进入系统时觉查到并阻止其进一步的行为,防止恶意软件造成大的破坏。
-
公开(公告)号:CN101620660A
公开(公告)日:2010-01-06
申请号:CN200910090179.3
申请日:2009-07-31
Applicant: 北京大学
IPC: G06F21/22
Abstract: 本发明公开了一种Windows操作系统下钩子的防御方法,属于信息安全技术领域。本发明方法包括:a)获得Windows系统提供的系统服务名称;b)通过调试工具查看所述系统的win32子系统映像文件,获取所述系统服务对应的服务号;c)根据所述系统服务号,在系统服务描述符表中找到所述系统服务的函数入口地址,并将所述函数入口地址保存至内存;d)重新编写系统服务函数;e)以所述新的系统服务函数的入口地址替换步骤c所述函数入口地址。本发明可根据不同种类钩子的特点,分别在用户态和内核态进行钩子防御,具有两个优点,一是对钩子进行全面的防御;二是在恶意软件刚进入系统时觉查到并阻止其进一步的行为,防止恶意软件造成大的破坏。
-
公开(公告)号:CN101620659A
公开(公告)日:2010-01-06
申请号:CN200910088252.3
申请日:2009-07-14
Applicant: 北京大学
IPC: G06F21/22
Abstract: 本发明公开了一种Windows操作系统下钩子的检测方法,属于信息安全技术领域。本发明方法包括:a)计算标准操作系统的一个或多个设定的系统文件的hash值并储存,若某个系统文件存在多个版本,则分别计算各个版本文件的hash值并储存;b)计算待检测操作系统的所述系统文件的hash值,若某个系统文件的hash值和对应的步骤a所述一个或多个版本的hash值都不相同,则所述系统文件被设置了钩子,则所述待检测操作系统被设置了钩子。本发明方法还可包括c)用标准操作系统的相应版本的系统文件替换步骤b所述被设置了钩子的系统文件。本发明方法可用于在Windows操作系统下检测基于钩子技术的恶意软件。
-
-
-
Search Results
4
records
(took 0.015 seconds)
