CN101206692A - 检测进程的方法及设备 - Google Patents
检测进程的方法及设备 Download PDFInfo
- Publication number
- CN101206692A CN101206692A CN 200610165468 CN200610165468A CN101206692A CN 101206692 A CN101206692 A CN 101206692A CN 200610165468 CN200610165468 CN 200610165468 CN 200610165468 A CN200610165468 A CN 200610165468A CN 101206692 A CN101206692 A CN 101206692A
- Authority
- CN
- China
- Prior art keywords
- switching function
- context switching
- address
- long
- operating system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种进程的检测方法,该方法尤其针对内核级隐藏进程进行检测,包括以下步骤:查找操作系统内核地址空间,得到上下文切换函数地址;修改上下文切换函数首部地址内容为远程跳转指令,通过远程跳转,访问进程结构体,获取进程信息。由于本发明从处于操作系统最底层的线程上下文切换函数出发,可以获得最真实的内核对象信息,对于各种操作系统版都能通用,能够对DKOM隐藏进程进行有效的检测;而且,通过对上下文切换函数首部地址内容以及报警日志的动态监控和更新,保证了隐藏进程检测的准确性。本发明还公开了一种进程的检测设备。
Description
技术领域
本发明涉及计算机操作系统安全技术领域,尤其涉及一种检测计算机操作系统内核级隐藏进程的方法及设备。
背景技术
rootkit(后门工具包)是计算机攻击者用来隐藏自己的踪迹和保留访问权限的工具。rootkit发展大致分为三个阶段,第一代的rootkit是原始的,他们简单地替换/修改操作系统上关键的系统文件;第二代的rootkit基于挂钩技术,通过对已加载的应用程序和一些诸如系统调用表的操作系统部件打内存补丁,而改变执行路径,将修改方式从磁盘移到已加载程序的内存映像;第三代的内核rootkit技术通过动态地修改内核对象来实现。
直接内核对象操作(DKOM,Direct Kernel Object Manipulation)技术作为第三代内核级rootkit的代表,通过直接修改操作系统内核对象来实现进程的隐藏、设备驱动隐藏以及进程权限提升等深度隐藏的目的。DKOM较难于检测,因为它并不修改程序执行路径,而是直接修改操作系统中的内核对象。内核对象是指核心数据结构内容,包括进程、线程和设备驱动等。这些内核对象是操作系统和上层应用程序直接依赖的内容,通过修改它们可以达到rootkit隐藏恶意进程的目的。
在具体执行过程中,所有进程都是由一个进程结构体(EPROCESS)描述,而所有进程结构体都由一个双向循环链表维护。DKOM进程隐藏的一个方法是改变进程结构体的指针,使得链表枚举跳过自身达到进程隐藏的目的。现有的针对此种进程隐藏的检测方法,是采用遍历EPROCESS结构的双向链表来得到进程列表,然后将此进程列表中进程ID(标识符)与API(ApplicationProgramming Interface,应用编程接口)调用的进程ID进行比较,可以检测出隐藏的进程。
但是这种检测方法不够彻底,当攻击者也修改了双向链表,这种方法就会失效;而且,为了得到进程名称、ID和父进程ID,必须获知EPROCESS结构中偏移地址,而这些偏移地址随着操作系统类型或版本的变化而不同,例如Windows 2000和Windows XP,各自对应偏移地址不同,所以这种检测方法不具有通用性。而且,当攻击者将要隐藏的EPROCESS双向指针清空,也就是要隐藏的进程都被从进程链表中删掉了,那么上述遍历双向链表的方式也就不可能检测到隐藏的进程了。
发明内容
本发明公开了一种检测进程的方法及设备,用于解决现有进程检测方法检测不够彻底、不通用的问题。
为此,本发明采用如下技术方案:
一种检测进程的方法,该方法包括步骤:查找操作系统内核地址空间,得到上下文切换函数地址;修改所述上下文切换函数首部地址内容为远程跳转指令,通过远程跳转,访问进程结构体,获取进程信息。
在获取进程信息之后,所述方法还包括:执行被远程跳转指令覆盖的上下文切换函数首部地址内容指令,并将远程跳转返回至上下文切换函数。
在远程跳转返回至上下文切换函数之后,所述方法还包括:将所述获取的进程信息与调用应用编程接口API进程信息进行比较,若不一致,确定存在内核级隐藏进程。
在得到上下文切换函数地址之后,所述方法还包括:检测上下文切换函数首部地址内容是否被篡改,若是,立即将其恢复为原始状态,并记录报警日志。
所述方法还包括:动态监控上下文切换函数首部地址内容是否被篡改,若是,立即将其恢复为原始状态,并记录报警日志。
所述方法是采用搜索算法查找内核地址空间得到上下文切换函数地址;或者,由以下步骤得到上下文切换函数地址:通过反汇编得到操作系统内核调度程序的二进制特征码,通过所述特征码查找到上下文切换函数地址。
一种检测进程的设备,该设备包括地址查询单元、跳转单元和实时监控单元;所述地址查询单元,用于查找操作系统内核地址空间,得到上下文切换函数地址;所述跳转单元,在所述地址查询单元得到上下文切换函数地址时,修改上下文切换函数首部地址内容为远程跳转指令,并指示实时监控单元对进程结构体进行监控;所述实时监控单元,得到跳转单元监控指示后,对进程结构体进行访问,得到进程有关信息。
所述设备还包括进程比较单元,用于将所述实时监控单元得到的进程信息,与调用API进程信息进行比较,在比较结果不一致的情况下,确定存在内核级隐藏进程。
所述跳转单元包括跳转执行子单元和跳转返回子单元;所述跳转执行子单元,在所述地址查询单元得到上下文切换函数地址时,将上下文切换函数首部地址内容修改为远程跳转指令,并指示实时监控单元对进程结构体进行监控;所述跳转返回子单元,当得知实时监控单元获取到进程信息后,通知操作系统内核执行被远程跳转指令覆盖的上下文切换函数首部地址内容指令,并指示操作系统内核返回至上下文切换函数。
所述跳转单元还包括首部地址内容检测子单元,用于动态监控上下文切换函数首部地址内容是否被篡改,若是,立即通知操作系统内核将其恢复为原始状态;所述跳转单元还包括报警日志,用于记录上下文切换函数首部地址内容被篡改情况。
所述操作系统包括WINDOWS系列操作系统、UNIX系列操作系统或LINUX系列操作系统;所述进程有关信息,包括进程ID、进程名称或进程镜像文件。
本发明中,通过对操作系统内核调度线程(ETHREAD)的过程进行监控,获取与当前线程有关的各种信息,其中包括EPROCESS,达到检测隐藏进程的目的。由于本发明从处于操作系统最底层的线程出发,可以获得最真实的内核对象信息,而且不存在操作系统版本不同检测方法不能通用的问题,能够对DKOM隐藏进程进行有效的检测;进一步,本发明通过对上下文切换函数首部地址内容以及报警日志的动态监控和更新,保证了检测的准确性。
附图说明
图1为EPROCESS与ETHREAD关系示意图;
图2为实施例一流程图;
图3为实施例一远程跳转逻辑示意图;
图4为实施例二流程图;
图5为进程检测设备内部结构示意图。
具体实施方式
现有技术通过遍历进程双向链表来检测进程,而本发明着眼于调度线程,通过调度线程得到进程结构体,从而达到检测进程的目的。
下面详细介绍实施例一:
首先来分析一下有关进程和线程工作原理。现代操作系统一般以多任务抢占方式来运行,每个进程分配特定的CPU时间片来达到执行目的,这样宏观上看就像多个任务在同时运行。每个进程分配的时间片是由操作系统的CPU时钟中断确定的,系统调用中断来比较当前进程分配的时间片,如果时间片用完会根据各线程优先级等信息、用特定的调度算法来选择新的线程,然后将它的返回值,一个ETHREAD结构,作为参数来完成上下文切换函数,从而设置ETHREAD、EPROCESS中的各项参数,并替换内核处理器控制区域(KPCRB)中的相应结构来完成线程切换,调度到另一个进程的线程会继续执行。其中,当线程等待某一事件或信号量时,进程会自动放弃当前时间片;EPROCEE保存着进程的各种信息,和相关结构的指针。
如前已述,在操作系统中每一个进程都有一个EPROCESS结构,而操作系统内核维护一个双向链表,正常情况下,通过遍历双向链表就可以得到当前系统中活动的进程。比如,运行任务管理器就可以看到当前系统中所有进程。而DKOM就是通过修改这个双向链表,将要隐藏的进程的EPROCESS的双向指针清空,然后修改与之相邻的EPROCESS指针,使得这个双向链表“跳过”了这个隐藏进程的EPROCESS,那么遍历双向链表得不到该隐藏进程,此时运行任务管理器自然也就看不到该进程了。
操作系统一般有三个维护线程的双向链表(例如,Windows2000包括:KiWaitInListHead、KiWaitOutListHead、KiDispatcherReadyListHead),前两个链表包含等待某种事件的线程,它们对于一个线程功能性没有任何影响,因此很容易被修改来隐藏进程;而最后一个链表包含的是等待执行的线程,这个结构包括了很多进程相关指针,包括EPROCESS结构,而且此第三个链表指针是切换地址空间时调度程序(scheduler,也可称为:上下文切换函数、或上下文切换程序)使用的指针,它不能被修改,可以利用它来检测拥有某个线程的进程。ETHREAD、KTHREAD与EPROCESS结构之间关系参见图1所示,KPRCB中的CurrentThread(当前线程)指向ETHREAD,而ETHREAD内部包含的KTHREAD又指向EPROCESS,由此可知,ETHREAD、KTHREAD与EPROCESS是紧密相关的。
从上述分析不难看出,线程是CPU调度的作小单位,操作系统是以线程调度为核心的。本发明就是从调度线程出发,通过监控线程调度过程,来获得EPROCESS有关进程的各种信息,从而能够检测出采用DKOM隐藏的进程。
下面参见图2对实施例一进行介绍,实施例一包括:
步骤201:查找操作系统内核地址空间,获取上下文切换函数地址;
具体实施中,可通过反汇编得到操作系统内核调度程序的二进制特征码;然后在保护性进程模块(例如:ntoskrnl)中查找这些特征码,就能查找到上下文切换函数地址,一般情况下,查找前20字节即可。
或者,可以采用搜索算法来查找到上下文切换函数地址,例如深度优先搜索、广度优先搜索和启发式搜索等,这些搜索算法技术已经非常成熟,在此不再赘述。
步骤202:修改上下文切换函数首部(前面几个字节)地址内容为远程跳转指令,将上下文切换函数进行远程跳转;
参见图3所示,将原始调度程序首部内容地址修改为一条远程跳转指令,跳转到本发明新构建的实时监控单元,此模块执行完毕后,再开始执行原来调度程序开始部分的指令,然后结束跳转,返回至原上下文切换函数。
步骤203:远程跳转至访问EPROCESS,获取当前切换进程ID和进程镜像文件等信息;
在此,要构建一个实时监控单元,用于监控当前进程情况。上述步骤102将上下文切换函数跳转至此实时监控单元,对ETHREAD、KTHREAD和EPROCESS进行访问,特别是通过访问EPROCESS,可以获知当前进程的各项参数。
步骤204:远程跳转返回至上下文切换函数,保证上下文切换函数挂钩。
由以上介绍可知,通过查找上下文切换函数地址,然后将其跳转至远程,对EPROCESS结构进行访问,就能得到当前进程有关信息,达到检测进程的目的。由于本发明从调度线程出发,而线程又处于操作系统的最底层,这也就保证了获取的进程信息是真实可靠的,而且,不存在因操作系统版本不同而不能通用的问题。采用实施例一提供的方法,能够检测出操作系统当前的进程,包括正常的进程、以及基于内核级隐藏的进程。
下面详细介绍本实施例二:
为了防止攻击者也对上下文切换函数进行类似的挂钩行为,在实施例一的基础上,增加了远程跳转及其报警日志的动态监控和更新,以此保证检测的准确性。
实施例二具体操作是,在地址空间中查找到上下文切换函数地址后,先对前面若干字节进行检查,如果发现已经被修改为远程跳转,则记录报警日志,并且将其恢复,然后再进行远程跳转修改。
如图4所示,实施例二包括:
步骤401:查找上下文切换函数地址;
步骤402:检查上下文切换函数地址前面字节是否被篡改,若是,执行步骤403,否则,执行步骤404;
步骤403:将篡改的地址恢复为原始状态;
步骤404:修改上下文切换函数首部地址内容为远程跳转指令;
步骤405:远程跳转至访问EPROCESS结构,获取当前切换进程ID和进程镜像文件等信息;
步骤406:远程跳转返回至上下文切换函数,保证上下文切换函数挂钩。
除了采用上述步骤使检测结果更加准确之外,还可以动态监控上下文切换函数首部地址内容以及报警日志:一旦发现上下文地址被篡改,立即恢复,并记录报警日志。
下面详细介绍本实施例三:
上述两个实施例能够完成检测当前进程的目的,然而对于确定哪些是DKOM隐藏的恶意进程还需要进一步判断。
任何一个进程都要通过API与操作系统进行交互,而大多数交互都通过系统调用传递给内核,而那些不使用任何API而存在的进程对系统不能起任何作用,所以可以使用系统调用管理器来拦截系统调用,然后得到当前进程的EPROCESS。
在实施例一或实施例二的基础上,实施例三对检测到的进程ID和进程镜像文件名等进程信息,再与调用API得到的当前进程ID和进程镜像文件名进行比较,如果不一致,则说明存在基于内核级隐藏的进程,也就是存在DKOM的rootkit。
为了保证实时检测单元、以及操作系统在硬盘上的镜像文件不被篡改,还可以在操作系统上安装信任链工具(信任链软件),来保证其安全性。
本发明还公开了一种检测进程的设备,用于检测操作系统内核级隐藏进程,操作系统包括现有或未来出现的各种类型,例如WINDOWS系列操作系统、UNIX系列操作系统以及LINUX系列操作系统等。
如图5所示,该检测设备包括地址查询单元501、跳转单元502和实时监控单元503,跳转单元502在地址查询单元501获知上下文切换函数地址后,修改调度程序(上下文切换函数)首部内容地址,进行远程跳转,通过实时监控单元503对EPROCESS结构的实时访问,获得当前进程的有关信息。
地址查询单元501,用于查找操作系统内核地址空间,得到上下文切换函数地址。具体实施中,可通过反汇编得到操作系统内核调度程序的二进制特征码;然后查找这些特征码,就能获得到上下文切换函数地址;或者,可以采用搜索算法来查找到上下文切换函数地址。
跳转单元502,主要针对调度程序的地址进行跳转。在地址查询单元501得到上下文切换函数地址时,跳转单元502会修改上下文切换函数首部地址内容为远程跳转指令,并指示实时监控单元503对进程结构体EPROCESS进行监控。
实时监控单元503,得到跳转单元502监控指示后,对进程结构体进行访问,得到进程有关信息,包括进程名称、进程ID和进程镜像文件等。
优选地,进程检测设备还包括进程比较单元504,用于将实时监控单元503检测到的进程信息与调用API进程信息进行比较,在比较结果不一致的情况下,确定存在内核级隐藏进程。
进一步,跳转单元502包括跳转执行子单元511,它在得到上下文切换函数地址时,将上下文切换函数首部地址内容修改为远程跳转指令,并指示实时监控单元503对进程结构体进行监控。
优选地,跳转单元502还包括跳转返回子单元512、首部地址内容检测子单元513和报警日志514。跳转返回子单元512,当得知实时监控单元503获取到进程信息后,通知操作系统内核执行被远程跳转指令覆盖的上下文切换函数首部地址内容指令,并指示操作系统内核返回至上下文切换函数;首部地址内容检测子单元513用于动态监控上下文切换函数首部地址内容是否被篡改,若是,立即通知操作系统内核将其恢复为原始状态;报警日志514用于根据首部地址内容检测子单元513检测,记录上下文切换函数首部地址内容被篡改的情况。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种检测进程的方法,其特征在于包括:
查找操作系统内核地址空间,得到上下文切换函数地址;
修改所述上下文切换函数首部地址内容为远程跳转指令,通过远程跳转,访问进程结构体,获取进程信息。
2.根据权利要求1所述的检测进程的方法,其特征在于,在获取进程信息之后,所述方法还包括:
执行被远程跳转指令覆盖的上下文切换函数首部地址内容指令,并将远程跳转返回至上下文切换函数。
3.根据权利要求2所述的检测进程的方法,其特征在于,在远程跳转返回至上下文切换函数之后,所述方法还包括:
将所述获取的进程信息与调用应用编程接口API进程信息进行比较,若不一致,确定存在内核级隐藏进程。
4.根据权利要求1、2或3所述的检测进程的方法,其特征在于,在得到上下文切换函数地址之后,所述方法还包括:
检测上下文切换函数首部地址内容是否被篡改,若是,立即将其恢复为原始状态,并记录报警日志。
5.根据权利要求1、2或3所述的检测进程的方法,其特征在于,所述方法还包括:
动态监控上下文切换函数首部地址内容是否被篡改,若是,立即将其恢复为原始状态,并记录报警日志。
6.根据权利要求5所述的检测进程的方法,其特征在于,采用搜索算法查找内核地址空间得到上下文切换函数地址;
或者,由以下步骤得到上下文切换函数地址:
通过反汇编得到操作系统内核调度程序的二进制特征码,通过所述特征码查找到上下文切换函数地址。
7.一种检测进程的设备,其特征在于包括地址查询单元、跳转单元和实时监控单元;
所述地址查询单元,用于查找操作系统内核地址空间,得到上下文切换函数地址;
所述跳转单元,在所述地址查询单元得到上下文切换函数地址时,修改上下文切换函数首部地址内容为远程跳转指令,并指示实时监控单元对进程结构体进行监控;
所述实时监控单元,得到跳转单元监控指示后,对进程结构体进行访问,得到进程有关信息。
8.根据权利要求7所述的检测进程的设备,其特征在于,所述设备还包括进程比较单元,
用于将所述实时监控单元得到的进程信息,与调用API进程信息进行比较,在比较结果不一致的情况下,确定存在内核级隐藏进程。
9.根据权利要求7或8所述的检测进程的设备,其特征在于,所述跳转单元包括跳转执行子单元和跳转返回子单元;
所述跳转执行子单元,在所述地址查询单元得到上下文切换函数地址时,将上下文切换函数首部地址内容修改为远程跳转指令,并指示实时监控单元对进程结构体进行监控;
所述跳转返回子单元,当得知实时监控单元获取到进程信息后,通知操作系统内核执行被远程跳转指令覆盖的上下文切换函数首部地址内容指令,并指示操作系统内核返回至上下文切换函数。
10.根据权利要求9所述的检测进程的设备,其特征在于,所述跳转单元还包括首部地址内容检测子单元,
用于动态监控上下文切换函数首部地址内容是否被篡改,若是,立即通知操作系统内核将其恢复为原始状态;
所述跳转单元还包括报警日志,用于记录上下文切换函数首部地址内容被篡改情况。
11.根据权利要求10所述的检测进程的设备,其特征在于,所述操作系统包括WINDOWS系列操作系统、UNIX系列操作系统或LINUX系列操作系统;所述进程有关信息,包括进程ID、进程名称或进程镜像文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610165468 CN101206692B (zh) | 2006-12-20 | 2006-12-20 | 检测进程的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610165468 CN101206692B (zh) | 2006-12-20 | 2006-12-20 | 检测进程的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101206692A true CN101206692A (zh) | 2008-06-25 |
| CN101206692B CN101206692B (zh) | 2011-04-27 |
Family
ID=39566890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610165468 Active CN101206692B (zh) | 2006-12-20 | 2006-12-20 | 检测进程的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101206692B (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542196A (zh) * | 2011-11-23 | 2012-07-04 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN102663312A (zh) * | 2012-03-20 | 2012-09-12 | 中国科学院信息工程研究所 | 一种基于虚拟机的rop攻击检测方法及系统 |
| CN102945343A (zh) * | 2012-09-25 | 2013-02-27 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN103150508A (zh) * | 2013-03-08 | 2013-06-12 | 北京理工大学 | 基于多维交叉视图的rootkit行为辨识方法 |
| CN103384212A (zh) * | 2013-07-24 | 2013-11-06 | 佳都新太科技股份有限公司 | 一种通信应用系统双机高可用方案及其实现 |
| CN103400074A (zh) * | 2013-07-09 | 2013-11-20 | 青岛海信传媒网络技术有限公司 | 一种隐藏进程的检测方法及装置 |
| CN103632087A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 保护进程的方法和装置 |
| CN103679027A (zh) * | 2013-12-05 | 2014-03-26 | 北京奇虎科技有限公司 | 内核级恶意软件查杀的方法和装置 |
| CN104268472A (zh) * | 2014-09-11 | 2015-01-07 | 腾讯科技(深圳)有限公司 | 还原被第三方动态库修改函数地址的方法和装置 |
| CN105138388A (zh) * | 2014-06-09 | 2015-12-09 | 腾讯科技(深圳)有限公司 | 虚拟机监控方法及装置 |
| CN105335651A (zh) * | 2015-10-22 | 2016-02-17 | 成都卫士通信息产业股份有限公司 | 一种基于Linux操作系统的进程防护方法 |
| CN106127053A (zh) * | 2016-06-30 | 2016-11-16 | 北京金山安全软件有限公司 | 恶意进程结束方法及装置 |
| CN106201731A (zh) * | 2016-07-07 | 2016-12-07 | 浪潮(北京)电子信息产业有限公司 | 一种用户态读写锁死锁检测方法及系统 |
| CN106201730A (zh) * | 2016-07-07 | 2016-12-07 | 浪潮(北京)电子信息产业有限公司 | 一种linux用户态互斥锁死锁检测方法及系统 |
| CN106294137A (zh) * | 2016-08-01 | 2017-01-04 | 浪潮(北京)电子信息产业有限公司 | 一种linux用户态自旋锁死锁检测方法及系统 |
| CN106778284A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 内核漏洞后端检测的方法及装置 |
| CN107450964A (zh) * | 2017-08-10 | 2017-12-08 | 西安电子科技大学 | 一种用于发现虚拟机自省系统中是否存在漏洞的方法 |
| CN107479898A (zh) * | 2017-08-28 | 2017-12-15 | 荆门程远电子科技有限公司 | 一种基于移动平台的三维虚拟地球的系统架构 |
| CN109388581A (zh) * | 2018-10-08 | 2019-02-26 | 郑州云海信息技术有限公司 | 一种非易失性内存储器管理方法与装置 |
| CN109508536A (zh) * | 2017-09-15 | 2019-03-22 | 华为技术有限公司 | 一种篡改程序流攻击的检测方法和装置 |
| CN109993501A (zh) * | 2019-03-20 | 2019-07-09 | 北京字节跳动网络技术有限公司 | 需求过程的管理方法、装置、存储介质及电子设备 |
| CN110134458A (zh) * | 2019-05-14 | 2019-08-16 | 中国人民解放军海军工程大学 | Qnx操作系统通用无源码软件参数调整方法及其系统、及系统的实现方法 |
| CN112818345A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 遍历隐藏进程 |
| CN113110893A (zh) * | 2020-01-13 | 2021-07-13 | 奇安信科技集团股份有限公司 | 进程重定向方法及装置 |
| CN114282217A (zh) * | 2021-12-22 | 2022-04-05 | 完美世界征奇(上海)多媒体科技有限公司 | 游戏外挂的检测方法和装置、存储介质、电子装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7549150B2 (en) * | 2004-03-24 | 2009-06-16 | Microsoft Corporation | Method and system for detecting potential races in multithreaded programs |
| CN1818822A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 缓冲区溢出攻击的检测方法 |
-
2006
- 2006-12-20 CN CN 200610165468 patent/CN101206692B/zh active Active
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542196B (zh) * | 2011-11-23 | 2014-09-17 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN102542196A (zh) * | 2011-11-23 | 2012-07-04 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN102663312A (zh) * | 2012-03-20 | 2012-09-12 | 中国科学院信息工程研究所 | 一种基于虚拟机的rop攻击检测方法及系统 |
| CN102663312B (zh) * | 2012-03-20 | 2014-10-01 | 中国科学院信息工程研究所 | 一种基于虚拟机的rop攻击检测方法及系统 |
| CN103632087A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 保护进程的方法和装置 |
| CN103632087B (zh) * | 2012-08-21 | 2017-10-13 | 腾讯科技(深圳)有限公司 | 保护进程的方法和装置 |
| CN102945343A (zh) * | 2012-09-25 | 2013-02-27 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN102945343B (zh) * | 2012-09-25 | 2017-05-17 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN103150508A (zh) * | 2013-03-08 | 2013-06-12 | 北京理工大学 | 基于多维交叉视图的rootkit行为辨识方法 |
| CN103400074A (zh) * | 2013-07-09 | 2013-11-20 | 青岛海信传媒网络技术有限公司 | 一种隐藏进程的检测方法及装置 |
| CN103400074B (zh) * | 2013-07-09 | 2016-08-24 | 青岛海信传媒网络技术有限公司 | 一种隐藏进程的检测方法及装置 |
| CN103384212A (zh) * | 2013-07-24 | 2013-11-06 | 佳都新太科技股份有限公司 | 一种通信应用系统双机高可用方案及其实现 |
| CN103679027A (zh) * | 2013-12-05 | 2014-03-26 | 北京奇虎科技有限公司 | 内核级恶意软件查杀的方法和装置 |
| WO2015081791A1 (zh) * | 2013-12-05 | 2015-06-11 | 北京奇虎科技有限公司 | 内核级恶意软件查杀的方法和装置 |
| CN105138388B (zh) * | 2014-06-09 | 2019-07-23 | 腾讯科技(深圳)有限公司 | 虚拟机监控方法及装置 |
| CN105138388A (zh) * | 2014-06-09 | 2015-12-09 | 腾讯科技(深圳)有限公司 | 虚拟机监控方法及装置 |
| CN104268472A (zh) * | 2014-09-11 | 2015-01-07 | 腾讯科技(深圳)有限公司 | 还原被第三方动态库修改函数地址的方法和装置 |
| CN104268472B (zh) * | 2014-09-11 | 2016-04-13 | 腾讯科技(深圳)有限公司 | 还原被第三方动态库修改函数地址的方法和装置 |
| CN105335651B (zh) * | 2015-10-22 | 2018-09-18 | 成都卫士通信息产业股份有限公司 | 一种基于Linux操作系统的进程防护方法 |
| CN105335651A (zh) * | 2015-10-22 | 2016-02-17 | 成都卫士通信息产业股份有限公司 | 一种基于Linux操作系统的进程防护方法 |
| CN106127053A (zh) * | 2016-06-30 | 2016-11-16 | 北京金山安全软件有限公司 | 恶意进程结束方法及装置 |
| CN106127053B (zh) * | 2016-06-30 | 2018-11-20 | 北京金山安全软件有限公司 | 恶意进程结束方法及装置 |
| CN106201731A (zh) * | 2016-07-07 | 2016-12-07 | 浪潮(北京)电子信息产业有限公司 | 一种用户态读写锁死锁检测方法及系统 |
| CN106201730A (zh) * | 2016-07-07 | 2016-12-07 | 浪潮(北京)电子信息产业有限公司 | 一种linux用户态互斥锁死锁检测方法及系统 |
| CN106294137A (zh) * | 2016-08-01 | 2017-01-04 | 浪潮(北京)电子信息产业有限公司 | 一种linux用户态自旋锁死锁检测方法及系统 |
| CN106778284A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 内核漏洞后端检测的方法及装置 |
| CN106778284B (zh) * | 2016-11-28 | 2021-03-26 | 北京奇虎科技有限公司 | 内核漏洞后端检测的方法及装置 |
| CN107450964A (zh) * | 2017-08-10 | 2017-12-08 | 西安电子科技大学 | 一种用于发现虚拟机自省系统中是否存在漏洞的方法 |
| CN107450964B (zh) * | 2017-08-10 | 2020-05-05 | 西安电子科技大学 | 一种用于发现虚拟机自省系统中是否存在漏洞的方法 |
| CN107479898B (zh) * | 2017-08-28 | 2020-10-27 | 荆门程远电子科技有限公司 | 一种基于移动平台的三维虚拟地球的系统架构 |
| CN107479898A (zh) * | 2017-08-28 | 2017-12-15 | 荆门程远电子科技有限公司 | 一种基于移动平台的三维虚拟地球的系统架构 |
| CN109508536A (zh) * | 2017-09-15 | 2019-03-22 | 华为技术有限公司 | 一种篡改程序流攻击的检测方法和装置 |
| CN109388581A (zh) * | 2018-10-08 | 2019-02-26 | 郑州云海信息技术有限公司 | 一种非易失性内存储器管理方法与装置 |
| CN109993501A (zh) * | 2019-03-20 | 2019-07-09 | 北京字节跳动网络技术有限公司 | 需求过程的管理方法、装置、存储介质及电子设备 |
| CN110134458A (zh) * | 2019-05-14 | 2019-08-16 | 中国人民解放军海军工程大学 | Qnx操作系统通用无源码软件参数调整方法及其系统、及系统的实现方法 |
| CN110134458B (zh) * | 2019-05-14 | 2022-04-26 | 中国人民解放军海军工程大学 | Qnx操作系统通用无源码软件参数调整方法及其系统、及系统的实现方法 |
| CN113110893A (zh) * | 2020-01-13 | 2021-07-13 | 奇安信科技集团股份有限公司 | 进程重定向方法及装置 |
| CN113110893B (zh) * | 2020-01-13 | 2024-04-26 | 奇安信科技集团股份有限公司 | 进程重定向方法及装置 |
| CN112818345A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 遍历隐藏进程 |
| CN114282217A (zh) * | 2021-12-22 | 2022-04-05 | 完美世界征奇(上海)多媒体科技有限公司 | 游戏外挂的检测方法和装置、存储介质、电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101206692B (zh) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101206692B (zh) | 检测进程的方法及设备 | |
| KR100786725B1 (ko) | 악성코드 분석 시스템 및 방법 | |
| US5953530A (en) | Method and apparatus for run-time memory access checking and memory leak detection of a multi-threaded program | |
| CN106227671B (zh) | 程序运行性能分析方法及装置 | |
| CN104380264B (zh) | 运行时间检测报告 | |
| CN104704474B (zh) | 用于管理的运行时间的基于硬件的运行时间检测设施 | |
| US20180285561A1 (en) | Method and system for detecting kernel corruption exploits | |
| CN101770551A (zh) | 一种基于硬件模拟器的处理隐藏进程的方法 | |
| CN105701033A (zh) | 取决于模式而可动态配置以选择一或多个组的多模式组相联高速缓存存储器 | |
| US11455392B2 (en) | Methods and apparatus of anomalous memory access pattern detection for translational lookaside buffers | |
| CN108292272A (zh) | 用于管理有界指针的装置和方法 | |
| CN105701031A (zh) | 取决于模式而可动态配置以选择分配至全部或是一个组的多模式组相联高速缓存存储器 | |
| CN105701030A (zh) | 根据卷标比特的动态高速缓存置换路选择 | |
| CN103399812A (zh) | 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法 | |
| CN101183414A (zh) | 一种程序检测的方法、装置及程序分析的方法 | |
| CA2800271A1 (en) | System test method | |
| CN109656779A (zh) | 内存监控方法、装置、终端和存储介质 | |
| CN107450964B (zh) | 一种用于发现虚拟机自省系统中是否存在漏洞的方法 | |
| CN104364769A (zh) | 处理器特性的运行时间检测监控 | |
| CN109784062A (zh) | 漏洞检测方法及装置 | |
| Wilhelm et al. | Computation takes time, but how much? | |
| CN108027859A (zh) | 检测对计算设备中的进程的软件攻击 | |
| CN110298173A (zh) | 检测由软件程序的延迟循环隐藏的恶意软件 | |
| CN111444504A (zh) | 一种用于软件运行时自动识别恶意代码的方法及装置 | |
| CN105550575B (zh) | 一种未导出的函数地址和数据结构偏移的获取方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |