CN101599114A - 对病毒程序的驱动进行定位的方法及系统 - Google Patents
对病毒程序的驱动进行定位的方法及系统 Download PDFInfo
- Publication number
- CN101599114A CN101599114A CNA2009100866874A CN200910086687A CN101599114A CN 101599114 A CN101599114 A CN 101599114A CN A2009100866874 A CNA2009100866874 A CN A2009100866874A CN 200910086687 A CN200910086687 A CN 200910086687A CN 101599114 A CN101599114 A CN 101599114A
- Authority
- CN
- China
- Prior art keywords
- code
- virus
- function
- driving
- call
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Executing Machine-Instructions (AREA)
Abstract
本发明涉及一种对病毒程序的驱动进行定位的方法及系统,方法包括:获取第一系统调用的原始函数的入口地址;所述第一系统调用由于病毒程序的驱动保护而不能被正确执行;根据所述入口地址修改所述原始函数,以使调用所述原始函数的第二系统调用跳转到预设的检测代码;所述第二系统调用不受所述病毒程序的驱动保护;发起所述第二系统调用,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次;根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码;执行第三系统调用,利用所述定位代码定位所述病毒程序的驱动;所述第三系统调用由于所述病毒程序的驱动保护而不能被正确执行。根除了病毒程序。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种对病毒程序的驱动进行定位的方法及系统。
背景技术
目前,有一类病毒程序通过应用程序与驱动程序结合的办法,避免安全软件对其进行查杀。该类病毒程序通过驱动程序对病毒程序的进程、注册表项、文件等进行守护,禁止安全软件停止病毒程序进程,访问或者操作病毒相关注册表项及病毒文件,导致安全软件无法对其进行查杀。
现有技术中,安全软件对于这类病毒程序采取的防御措施是绕过可能存在的病毒程序的守护,对杀不掉的病毒程序进程强行终止,对删不掉的病毒文件通过底层磁盘操作删除,从而制止该类病毒程序的侵害。
现有技术存在的缺陷在于,现有技术虽然能禁止一部分病毒程序的侵扰行为,但是无法发现对这种病毒程序进行守护的内核驱动模块,下次Windows系统启动时,驱动仍被加载,并生成病毒文件,写病毒启动项,造成病毒文件的再次启动,而安全软件只能反复报警,反复杀进程,删除文件及注册表项,导致该类病毒程序不能被彻底根除。
发明内容
本发明实施例提出一种对病毒程序的驱动进行定位的方法及系统,以定位病毒程序的驱动,彻底根除病毒程序。
本发明实施例提供了一种对病毒程序的驱动进行定位的方法,包括:
获取第一系统调用的原始函数的入口地址;所述第一系统调用由于病毒程序的驱动保护而不能被正确执行;
根据所述入口地址修改所述原始函数,以使调用所述原始函数的第二系统调用跳转到预设的检测代码;所述第二系统调用不受所述病毒程序的驱动保护;
发起所述第二系统调用,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次;
根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码;
执行第三系统调用,利用所述定位代码定位所述病毒程序的驱动;所述第三系统调用由于所述病毒程序的驱动保护而不能被正确执行。
本发明实施例还提供了一种对病毒程序的驱动进行定位的系统,包括:
第一获取模块,用于获取第一系统调用的原始函数的入口地址;所述第一系统调用由于病毒程序的驱动保护而不能被正确执行;
修改模块,用于根据所述入口地址修改所述原始函数,以使调用所述原始函数的第二系统调用跳转到预设的检测代码;所述第二系统调用不受所述病毒程序的驱动保护;
第二获取模块,用于发起所述第二系统调用,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次;
钩挂模块,用于根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码;
定位模块,用于执行第三系统调用,利用所述定位代码定位所述病毒程序的驱动;所述第三系统调用由于所述病毒程序的驱动保护而不能被正确执行。
上述技术方案通过修改由于病毒程序的驱动保护而不能被正确执行的系统调用的原始函数,使后续发起的正常系统调用跳转到预设的检测代码,获取该系统调用所涉及的所有函数调用层次,并根据获取的函数调用层次插入定位代码,通过定位代码对再次执行由于病毒程序的驱动保护而不能被正确执行的系统调用所涉及的函数调用进行记录,从而根据定位代码记录的信息实现了对病毒程序的驱动的定位,彻底根除了病毒程序。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明实施例提供的一种对病毒程序的驱动进行定位的方法的流程图;
图2为本发明实施例提供的对病毒程序的驱动进行定位的方法中一种修改原始函数的示意图;
图3为本发明实施例提供的对病毒程序的驱动进行定位的方法中另一种修改原始函数的示意图;
图4为本发明实施例提供的对病毒程序的驱动进行定位的方法中函数调用层次的示意图;
图5为本发明实施例提供的对病毒程序的驱动进行定位的方法中系统调用示意图;
图6为本发明实施例提供的另一种对病毒程序的驱动进行定位的方法的流程图;
图7为图6所示实施例中获取函数调用层次的示意图;
图8为图6所示实施例中定位代码记录调用信息的示意图;
图9为本发明实施例提供的一种对病毒程序的驱动进行定位的系统的结构示意图。
具体实施方式
图1为本发明实施例提供的一种对病毒程序的驱动进行定位的方法的流程图。该方法包括:
步骤11、获取第一系统调用的原始函数的入口地址;上述第一系统调用由于病毒程序的驱动保护而不能被正确执行。具体地,对于不能正确执行的具体的系统调用即第一系统调用,如被病毒程序阻止的操作,获取相关的原始函数入口地址。其中,相关的原始函数即系统服务分发表(SSDT)中该系统调用的系统调用号对应的函数指针指向的原始函数。原始函数入口地址可通过读取并解析操作系统内核对应的磁盘文件得到。
步骤12、根据上述入口地址修改上述原始函数,以使调用上述原始函数的第二系统调用跳转到预设的检测代码;该第二系统调用不受上述病毒程序的驱动保护。具体地,根据获取的原始函数入口地址修改该原始函数,以保证在原始函数被调用时能执行预定的钩挂层次检测代码,执行钩挂层次检测代码。如图2所示,可以修改原始函数的入口代码为跳转指令,让原始函数在入口处跳转到检测代码。也可如图3所示,在原始函数的函数体的其他位置插入能执行钩挂层次检测代码的跳转。当上述检测代码被调用时,如果当前线程ID是调用前保存的线程ID,认为发起的是保证能成功执行的操作,进行钩挂层次获取。
步骤13、发起上述第二系统调用,利用上述检测代码获取从上述第二系统调用的发起到上述原始函数的所有函数调用层次。具体地,发起一个保证能正常执行的操作即第二系统调用,最上层函数即当前函数逐层调用下层函数直到原始函数。原始函数被调用后,在执行时调用钩挂层次检测代码,此时,利用钩挂层次检测代码获取从发起操作到原始函数的所有函数调用层次。本文中,调用层次即指某个系统调用号对应的SSDT调用被替换次数及顺序。如图4所示,系统调用号68对应的函数指针指向的当前函数为最上层函数,然后根据替换的后先顺序依次为下层函数,其中,最下层的函数即为原始函数。
步骤14、根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码。具体地,根据调用层次获取该系统调用被替换的层次和每层SSDT的函数指针。获取需要检测的系统调用的每层SSDT的函数指针后,对函数指针对应的函数体进行钩挂,插入定位代码。如,在函数入口处插入入口记录代码,在函数返回处插入函数返回处理代码。
步骤15、执行第三系统调用,利用上述定位代码定位上述病毒程序的驱动;上述第三系统调用由于上述病毒程序的驱动保护而不能被正确执行,这里也可以是第一系统调用。具体地,如在每层调用都被插入定位代码后,再次进行被阻止的操作即第一系统调用。这个被阻止的操作执行的系统调用将会被某层函数调用阻止(即不调用下层函数直接返回)或者修改调用返回数值,这些信息被定位代码所记录。通过对定位代码记录的信息的分析,能确定是哪层函数阻止了调用或者修改了调用返回数值,从而定位对病毒程序如木马进行保护的驱动即内核模块。
上述步骤13之后,本发明实施例提供的对病毒程序的驱动进行定位的方法还可包括:卸载上述检测代码,以提高定位的安全和效率。
上述步骤14中,插入定位代码可包括:在上述每层函数指针对应的函数入口处插入入口记录代码。此时上述步骤15中,利用上述定位代码定位上述病毒程序的驱动可包括:利用上述入口记录代码记录上述第三系统调用对上述每层函数指针对应的函数体的调用信息如每层SSDT替换函数是否被调用;根据上述调用信息确定上述病毒程序的驱动。具体地,调用全部返回后,如果某层SSDT替换函数中插入的入口记录代码没有被调用,而上层SSDT替换函数中插入的入口记录被调用,则可定位上层SSDT替换函数对应的内核(驱动)模块是病毒程序的驱动。
或者,上述步骤14中,插入定位代码可包括:在上述每层函数指针对应的函数返回处插入返回处理代码。此时上述步骤15中,利用上述定位代码定位上述病毒程序的驱动可包括:利用上述返回处理代码记录上述第三系统调用对上述每层函数指针对应的函数体的调用信息;根据上述调用信息确定上述病毒程序的驱动。
或者,上述步骤14中,插入定位代码可包括:在上述每层函数指针对应的函数入口处插入入口记录代码;以及在上述每层函数指针对应的函数返回处插入返回处理代码。此时上述步骤15中,利用上述定位代码定位上述病毒程序的驱动可包括:利用上述入口记录代码及上述返回处理代码记录上述第三系统调用对上述每层函数指针对应的函数体的调用信息;根据上述调用信息确定上述病毒程序的驱动。
由于Windows系统中广泛使用函数指针和函数指针表的调用的方式,即在某个固定位置放置函数指针或者一个函数指针数组。当系统调用函数时,根据给定逻辑获取函数指针即函数入口地址,进而调用相应的函数。如Windows系统调用和“Device Attach”。以Windows系统调用时使用的指针数组为例进行说明。如图5所示,在用户态应用程序调用用于打开注册表键值的函数“RegOpenKey”时,系统在实现这个用户态系统调用时,会根据系统定义好的调用规则将“RegOpenKey”解析出系统调用号68。此调用号可能根据不同的Windows操作系统会有不同。在SSDT中,根据系统调用号68获取函数指针,通过获取的函数指针调用对应的函数“NtOpenKey”。
当SSDT中的某个函数指针被替换,则该函数指针对应的系统调用的功能被过滤,即系统在执行某个相关系统调用时,根据系统调用号在SSDT中找到的是替换后的函数指针,而无法找到被替换的函数指针进行函数调用。病毒驱动程序为了实现隐蔽和保护自身,通过替换SSDT中的函数指针,让系统先执行病毒代码。当安全软件执行被替换的函数指针时,该替换的函数指针对应的病毒程序拒绝该操作,从而导致病毒程序的进程或者注册表项、文件被保护。
本实施例通过插入检测代码及定位代码,对于不能正确执行的系统调用,如特定进程不能被访问、不能被终止,特定文件不可访问、不可操作,特定注册表项不能访问、不可操作等等,都能够发现是否有驱动保护并定位保护病毒程序的进程、文件等的驱动。
如图6所示,以注册表保护内核模块的发现为例,对本发明实施例提供的定位病毒守护驱动的方法进行说明。
假设木马病毒程序通过替换注册表替换相关系统调用,达到隐藏和保护木马启动项的目的。当发现有与木马病毒程序相关的注册表项无法访问或者无法操作时,可通过以下步骤确认是否有内核驱动模块保护,并定位进行保护的内核模块。
步骤61、获取打开注册表项的系统服务原始函数“NtOpenKey”的入口地址,并用检测代码替换原始函数“NtOpenKey”的下层函数。如图3所示,用检测代码替换原始函数“NtOpenKey”调用的第一个下层函数;或者如图2所示,修改原始函数“NtOpenKey”第一条指令,让其跳转到钩挂层次检测代码中。这里,将检测代码命名为“Fake_NtOpenKey_Call_xxx”,也即钩挂层次检测代码。
步骤62、获取SSDT替换信息。具体地,包括:在当前线程环境中,记录当前线程ID,发起打开注册表操作,打开临时注册表键值所在的注册表项。其中,该临时注册表键值是驱动程序在本驱动服务注册表键值下创建的,以保证系统能打开该临时注册表键值所在的注册表项,即保证该系统调用不受病毒程序的驱动保护,避免该系统调用由于病毒程序的驱动保护而不能被正确执行。
如图7所示,当该系统调用请求发送到原始函数“NtOpenKey”时,原始函数“NtOpenKey”调用检测代码“Fake_NtOpenKey_Call_xxx”,在此处遍历调用堆栈即调用层次,根据每层调用堆栈的返回地址,获取每层SSDT替换调用函数的入口地址并记录。所有调用返回后,卸载钩挂层次检测代码,以提高安全和效率。
步骤63、对病毒程序的驱动进行定位,本例中即对保护注册表键值的恶意软件(rootkit)进行定位。
如图8所示,修改所有替换系统服务“NtOpenKey”的所有函数返回处,让被调用的函数执行后返回到本驱动的返回记录函数“OpenLog”。此处,返回记录函数即返回处理代码。在执行被阻止的操作前,在每层钩挂函数中入口处插入入口记录代码,在每层钩挂函数返回处插入返回处理代码。入口记录代码和返回处理代码的插入根据具体应用决定。在此示例应用中,返回处理代码即可满足需求。
发起打开注册表操作,即打开应用程序传下来的不能打开的注册表项,也即执行因受病毒程序的驱动保护而不能被正确执行的系统调用。该系统调用逐层调用替换函数,在每层调用返回时,均会调用返回记录函数“OpenLog”,在返回记录函数“OpenLog”中记录本层钩挂函数即该层SSDT函数指针指向的函数是否被调用和调用结果。在所有调用返回后,检查返回记录函数“OpenLog”中记录的每层钩挂函数被调用和返回的信息。如果某层钩挂函数没有调用下层函数而直接返回,或者虽然调用了下层函数,但是将返回值置为错误值,则认定该层钩挂函数对应的驱动模块为保护该注册表项的恶意软件,也即病毒程序的驱动。其中,某层钩挂函数是否调用了下层函数,可通过下层钩挂函数中的返回记录函数“OpenLog”是否被调用确认;在每层钩挂函数调用返回记录函数“OpenLog”时,返回值和返回信息记录在返回记录函数“OpenLog”中。
图9为本发明实施例提供的一种对病毒程序的驱动进行定位的系统的结构示意图。该系统包括:第一获取模块91、修改模块92、第二获取模块93、钩挂模块94及定位模块95。第一获取模块91用于获取第一系统调用的原始函数的入口地址;上述第一系统调用由于病毒程序的驱动保护而不能被正确执行。修改模块92用于根据上述入口地址修改上述原始函数,以使调用上述原始函数的第二系统调用跳转到预设的检测代码;上述第二系统调用不受上述病毒程序的驱动保护。第二获取模块93用于发起上述第二系统调用,利用上述检测代码获取从上述第二系统调用的发起到上述原始函数的所有函数调用层次。钩挂模块94用于根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码。定位模块95用于执行第三系统调用,利用上述定位代码定位上述病毒程序的驱动;上述第三系统调用由于上述病毒程序的驱动保护而不能被正确执行。
本发明实施例提供的对病毒程序的驱动进行定位的系统还可包括:卸载模块。在利用上述检测代码获取从上述第二系统调用的发起到上述原始函数的所有函数调用层次之后,该卸载模块卸载上述检测代码。
上述第二获取模块可具体用于在上述每层函数指针对应的函数入口处插入入口记录代码;或者具体用于在上述每层函数指针对应的函数返回处插入返回处理代码;或者具体用于在上述每层函数指针对应的函数入口处插入入口记录代码,以及在上述每层函数指针对应的函数返回处插入返回处理代码;
上述定位模块可具体用于利用上述入口记录代码记录上述第三系统调用对上述每层函数指针对应的函数体的调用信息;或者可具体用于利用上述返回处理代码记录上述第三系统调用对上述每层函数指针对应的函数体的调用信息;或者具体用于:用上述入口记录代码及上述返回处理代码记录上述第三系统调用对上述每层函数指针对应的函数体的调用信息;根据上述调用信息确定上述病毒程序的驱动。
上述方法及系统实施例通过修改由于病毒程序的驱动保护而不能被正确执行的系统调用的原始函数,使后续发起的正常系统调用跳转到预设的检测代码,获取该系统调用所涉及的所有函数调用层次,并根据获取的函数调用层次插入定位代码,通过定位代码对再次执行由于病毒程序的驱动保护而不能被正确执行的系统调用所涉及的函数调用进行记录,从而根据定位代码记录的信息实现了对病毒程序的驱动的定位,彻底根除了病毒程序。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1、一种对病毒程序的驱动进行定位的方法,其特征在于,包括:
获取第一系统调用的原始函数的入口地址;所述第一系统调用由于病毒程序的驱动保护而不能被正确执行;
根据所述入口地址修改所述原始函数,以使调用所述原始函数的第二系统调用跳转到预设的检测代码;所述第二系统调用不受所述病毒程序的驱动保护;
发起所述第二系统调用,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次;
根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码;
执行第三系统调用,利用所述定位代码定位所述病毒程序的驱动;所述第三系统调用由于所述病毒程序的驱动保护而不能被正确执行。
2、根据权利要求1所述的对病毒程序的驱动进行定位的方法,其特征在于,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次之后,还包括:
卸载所述检测代码。
3、根据权利要求1或2所述的对病毒程序的驱动进行定位的方法,其特征在于,插入定位代码包括:
在所述每层函数指针对应的函数入口处插入入口记录代码;
利用所述定位代码定位所述病毒程序的驱动,包括:利用所述入口记录代码记录所述第三系统调用对所述每层函数指针对应的函数体的调用信息;
根据所述调用信息确定所述病毒程序的驱动。
4、根据权利要求1或2所述的对病毒程序的驱动进行定位的方法,其特征在于,插入定位代码包括:
在所述每层函数指针对应的函数返回处插入返回处理代码;
利用所述定位代码定位所述病毒程序的驱动,包括:利用所述返回处理代码记录所述第三系统调用对所述每层函数指针对应的函数体的调用信息;
根据所述调用信息确定所述病毒程序的驱动。
5、根据权利要求1或2所述的对病毒程序的驱动进行定位的方法,其特征在于,插入定位代码包括:
在所述每层函数指针对应的函数入口处插入入口记录代码;以及在所述每层函数指针对应的函数返回处插入返回处理代码;
利用所述定位代码定位所述病毒程序的驱动,包括:利用所述入口记录代码及所述返回处理代码记录所述第三系统调用对所述每层函数指针对应的函数体的调用信息;
根据所述调用信息确定所述病毒程序的驱动。
6、根据权利要求1或2所述的对病毒程序的驱动进行定位的方法,其特征在于,
所述第一系统调用与所述第三系统调用为同一操作。
7、一种对病毒程序的驱动进行定位的系统,其特征在于,包括:
第一获取模块,用于获取第一系统调用的原始函数的入口地址;所述第一系统调用由于病毒程序的驱动保护而不能被正确执行;
修改模块,用于根据所述入口地址修改所述原始函数,以使调用所述原始函数的第二系统调用跳转到预设的检测代码;所述第二系统调用不受所述病毒程序的驱动保护;
第二获取模块,用于发起所述第二系统调用,利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次;
钩挂模块,用于根据获取的函数调用层次对每层函数指针对应的函数体进行钩挂,插入定位代码;
定位模块,用于执行第三系统调用,利用所述定位代码定位所述病毒程序的驱动;所述第三系统调用由于所述病毒程序的驱动保护而不能被正确执行。
8、根据权利要求7所述的对病毒程序的驱动进行定位的系统,其特征在于,还包括:
卸载模块,用于在利用所述检测代码获取从所述第二系统调用的发起到所述原始函数的所有函数调用层次之后,卸载所述检测代码。
9、根据权利要求7或8所述的对病毒程序的驱动进行定位的系统,其特征在于,所述第二获取模块具体用于在所述每层函数指针对应的函数入口处插入入口记录代码;或者具体用于在所述每层函数指针对应的函数返回处插入返回处理代码;或者具体用于在所述每层函数指针对应的函数入口处插入入口记录代码,以及在所述每层函数指针对应的函数返回处插入返回处理代码;
所述定位模块具体用于利用所述入口记录代码记录所述第三系统调用对所述每层函数指针对应的函数体的调用信息;或者具体用于利用所述返回处理代码记录所述第三系统调用对所述每层函数指针对应的函数体的调用信息;或者具体用于:用所述入口记录代码及所述返回处理代码记录所述第三系统调用对所述每层函数指针对应的函数体的调用信息;根据所述调用信息确定所述病毒程序的驱动。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100866874A CN101599114B (zh) | 2009-06-17 | 2009-06-17 | 对病毒程序的驱动进行定位的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100866874A CN101599114B (zh) | 2009-06-17 | 2009-06-17 | 对病毒程序的驱动进行定位的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101599114A true CN101599114A (zh) | 2009-12-09 |
| CN101599114B CN101599114B (zh) | 2011-01-05 |
Family
ID=41420557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100866874A Expired - Fee Related CN101599114B (zh) | 2009-06-17 | 2009-06-17 | 对病毒程序的驱动进行定位的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599114B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831334A (zh) * | 2011-06-15 | 2012-12-19 | 奇智软件(北京)有限公司 | 一种目标地址定位方法和系统 |
| CN105786524A (zh) * | 2016-03-23 | 2016-07-20 | 福建正孚软件有限公司 | 软件钩子设置方法及装置 |
| CN105893102A (zh) * | 2016-06-29 | 2016-08-24 | 北京金山安全软件有限公司 | 一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备 |
| CN105956462A (zh) * | 2016-06-29 | 2016-09-21 | 北京金山安全软件有限公司 | 一种阻止恶意加载驱动的方法、装置及电子设备 |
| CN104036192B (zh) * | 2014-07-04 | 2017-01-18 | 可牛网络技术(北京)有限公司 | 一种获取计算机程序调度表原始数据的方法及装置 |
| CN107330328A (zh) * | 2017-06-30 | 2017-11-07 | 北京奇虎科技有限公司 | 防御病毒攻击的方法、装置及服务器 |
| CN109933358A (zh) * | 2019-01-28 | 2019-06-25 | 金卡智能集团股份有限公司 | 用于减少计量设备程序升级量的控制方法 |
| CN114968417A (zh) * | 2021-02-25 | 2022-08-30 | 中移物联网有限公司 | 一种函数调用方法、装置及设备 |
| CN116506222A (zh) * | 2023-06-26 | 2023-07-28 | 北京安天网络安全技术有限公司 | 一种安全防护系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100535916C (zh) * | 2006-04-14 | 2009-09-02 | 北京瑞星国际软件有限公司 | 病毒扫描系统及其方法 |
| CN100454309C (zh) * | 2006-09-28 | 2009-01-21 | 北京理工大学 | 基于链接分析的网页木马追踪技术 |
-
2009
- 2009-06-17 CN CN2009100866874A patent/CN101599114B/zh not_active Expired - Fee Related
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831334B (zh) * | 2011-06-15 | 2014-12-17 | 奇智软件(北京)有限公司 | 一种目标地址定位方法和系统 |
| CN102831334A (zh) * | 2011-06-15 | 2012-12-19 | 奇智软件(北京)有限公司 | 一种目标地址定位方法和系统 |
| CN104036192B (zh) * | 2014-07-04 | 2017-01-18 | 可牛网络技术(北京)有限公司 | 一种获取计算机程序调度表原始数据的方法及装置 |
| CN105786524A (zh) * | 2016-03-23 | 2016-07-20 | 福建正孚软件有限公司 | 软件钩子设置方法及装置 |
| CN105786524B (zh) * | 2016-03-23 | 2019-03-12 | 福建正孚软件有限公司 | 软件钩子设置方法及装置 |
| CN105956462B (zh) * | 2016-06-29 | 2019-05-10 | 珠海豹趣科技有限公司 | 一种阻止恶意加载驱动的方法、装置及电子设备 |
| CN105956462A (zh) * | 2016-06-29 | 2016-09-21 | 北京金山安全软件有限公司 | 一种阻止恶意加载驱动的方法、装置及电子设备 |
| CN105893102A (zh) * | 2016-06-29 | 2016-08-24 | 北京金山安全软件有限公司 | 一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备 |
| CN105893102B (zh) * | 2016-06-29 | 2019-11-12 | 珠海豹趣科技有限公司 | 一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备 |
| CN107330328A (zh) * | 2017-06-30 | 2017-11-07 | 北京奇虎科技有限公司 | 防御病毒攻击的方法、装置及服务器 |
| CN107330328B (zh) * | 2017-06-30 | 2021-02-05 | 北京奇虎科技有限公司 | 防御病毒攻击的方法、装置及服务器 |
| CN109933358A (zh) * | 2019-01-28 | 2019-06-25 | 金卡智能集团股份有限公司 | 用于减少计量设备程序升级量的控制方法 |
| CN109933358B (zh) * | 2019-01-28 | 2022-06-24 | 金卡智能集团股份有限公司 | 用于减少计量设备程序升级量的控制方法 |
| CN114968417A (zh) * | 2021-02-25 | 2022-08-30 | 中移物联网有限公司 | 一种函数调用方法、装置及设备 |
| CN114968417B (zh) * | 2021-02-25 | 2024-05-24 | 中移物联网有限公司 | 一种函数调用方法、装置及设备 |
| CN116506222A (zh) * | 2023-06-26 | 2023-07-28 | 北京安天网络安全技术有限公司 | 一种安全防护系统 |
| CN116506222B (zh) * | 2023-06-26 | 2023-09-08 | 北京安天网络安全技术有限公司 | 一种安全防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101599114B (zh) | 2011-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101599114B (zh) | 对病毒程序的驱动进行定位的方法及系统 | |
| US7124290B2 (en) | Method and system for selectively booting one of a plurality of operating systems contained on a mass storage device | |
| JP6474398B2 (ja) | コードスタック管理 | |
| CN100428165C (zh) | 用于控制子上下文之间的存储器访问的装置、系统和方法 | |
| EP2704004B1 (en) | Computing device having a dll injection function, and dll injection method | |
| CN107808094A (zh) | 检测文件中的恶意代码的系统和方法 | |
| US6931503B1 (en) | Protected storage device for computer system | |
| JPH0242528A (ja) | Icメモリカード | |
| US20100115530A1 (en) | Method to track application context and application identification | |
| CN102867141A (zh) | 对主引导记录恶意程序进行处理的方法及装置 | |
| CN102930201A (zh) | 对主引导记录恶意程序进行处理的方法及装置 | |
| US8473936B2 (en) | System and method for runtime class extracting | |
| CN101520754A (zh) | 内存越界访问的定位方法及装置 | |
| US7484239B1 (en) | Detecting heap and stack execution in the operating system using regions | |
| CN100514305C (zh) | 实现操作系统安全控制的系统及方法 | |
| CN112905962B (zh) | 一种mcu内程序代码保护的方法、智能终端及存储介质 | |
| KR100762973B1 (ko) | 컴퓨터의 악성코드 탐지 및 제거 방법과 그 장치, 그방법을 컴퓨터에서 실행시키기 위한 프로그램 코드를기록한 기록매체 | |
| CN110647764B (zh) | 针对用户态非易失性内存文件系统的保护方法及系统 | |
| US20060080518A1 (en) | Method for securing computers from malicious code attacks | |
| CN101231599B (zh) | 一种定位特定内存被函数非法改写的方法 | |
| JP2001249848A (ja) | 先行特権レベルに基づく特権昇格 | |
| US20150143093A1 (en) | Plurality of interface files usable for access to bios | |
| KR100613126B1 (ko) | 컴퓨터에서의 악성 코드 제거 방법 및 그 장치, 그 방법을컴퓨터에서 실행시키기 위한 프로그램 코드를 기록한기록매체 | |
| US11893113B2 (en) | Return-oriented programming protection | |
| CN100424652C (zh) | 一种基于嵌入式操作系统的硬盘自恢复保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180507 Address after: 100097 Jin Yuan, A 5E, business center, 2 East Road, Haidian District, Beijing. Patentee after: Weidian Baihui (Beijing) Information Security Technology Co.,Ltd. Address before: 100097 room 1608, office building, B District, Jin Yuan times shopping centre, 2 East Road, Haidian District, Beijing. Patentee before: Beijing Dongfang Micropoint Information Technology Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110105 |