CN105488415B - 扫描系统进程的方法和装置 - Google Patents
扫描系统进程的方法和装置 Download PDFInfo
- Publication number
- CN105488415B CN105488415B CN201510857173.XA CN201510857173A CN105488415B CN 105488415 B CN105488415 B CN 105488415B CN 201510857173 A CN201510857173 A CN 201510857173A CN 105488415 B CN105488415 B CN 105488415B
- Authority
- CN
- China
- Prior art keywords
- information
- function
- handle
- unit
- privately owned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
为实现查出被进程活动链表忽略而实质上又在被执行的隐藏进程,发明人提供了一种扫描系统进程的方法,包括步骤:于内存中加载ntdll.dll文件,获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息;通过反汇编查看ntdll.dll下所述私有API函数对应的源代码,再通过汇编根据所述私有API函数信息实现从R3到R0的调用;遍历系统句柄表以获取系统所有内核句柄信息,并逐一判断是否进程句柄,如是则对其进行复制和记录,然后获得进程信息。发明人同时提供了实现上述方法的扫描系统进程的装置。本方案能够有效地全面扫描系统进程,包括某些通过特定途径隐藏的进程,从而达到提高系统安全性的目的。
Description
技术领域
本发明涉及计算机软件领域,特别涉及一种扫描系统进程的方法和装置。
背景技术
RootKit是计算机攻击者用来隐藏自己的踪迹的工具,当前常见的隐藏rootkit的方法有以下几种:
1)替换或修改操作系统上关键的系统文件。
2)基于挂钩技术,通过对已加载的应用和一些诸如系统调用表的操作系统部件打内存补丁。
3)通过动态修改内核对象。
而操作系统枚举系统当前进程是通过其Natvie API函数ZwQuerySystemInfomation通过操作进程活动链表来实现的。具体过程如下:
首先,获取当前任一进程的指针,例如通过PsGetCurrentProcess()来获取当前进程的PEPROCESS指针。
然后,定位到记录该当前进程与其它进程链接信息的Activelist处,具体的操作方式为ActiveList=pCurrentEprocess+0x88,即当前进程指针移动一定的步长。其中0x88为winxp sp3下Activelist与pCurrentEprocess的步长,在不同win操作系统时该步长并不相同。
接着,以所定位的当前进程的Activelist遍历整个进程活动链表(Activelistlink)上每一进程的数据结构,即可获得当前的存在于进程活动链表的所有进程。
如上所述,如果利用RootKit程序将进程对象从进程活动链接中移除,那么调用ZwQuerySystemInformation来通过上述方法实现枚举进程的方法将不会看到目标进程了。一些病毒、木马通过RootKit技术就是这样实现自我隐藏,对计算机造成潜在的或现实的威胁。
发明内容
为此,需要提供一种能够查找出上述被进程活动链表忽略而实质上又在被执行的隐藏进程的全面扫描枚举系统进程的技术方案。
为实现上述目的,发明人提供了一种扫描系统进程的方法,包括步骤:
于内存中加载ntdll.dll文件,获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息;
通过反汇编查看ntdll.dll下所述私有API函数对应的源代码,再通过汇编根据所述私有API函数信息实现从R3到R0的调用;
遍历系统句柄表以获取系统所有内核句柄信息,并逐一判断是否进程句柄,如是则对其进行复制和记录,然后获得进程信息。
进一步地,所述的扫描系统进程的方法中,在步骤“于内存中加载ntdll.dll文件”之前还包括步骤:
获取系统版本信息。
进一步地,所述的扫描系统进程的方法中,步骤“获取系统版本信息”具体包括:
通过GetProcAddress函数获得Kernel32.dll下的GetNativeSystemInfo函数的调用地址;
调用GetNativeSystemInfo函数获得结构为SYSTEM_INFO的系统信息si;
si.wProcessorArchitecture等于PROCESSOR_ARCHITECTURE_AMD64(9)或PROCESSOR_ARCHITECTURE_IA64(6),则判定系统版本为64位;否则系统版本为32位。
进一步地,所述的扫描系统进程的方法中,步骤“于内存中加载ntdll.dll文件,获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息”具体包括如下步骤:
于内存中加载ntdll.dll文件;
解析文件的PE头,获得导出表的相对虚拟地址RVA值,并转换为到源文件中的位移,从而得到源文件中导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息;
根据导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息,通过匹配函数名的方法,获取枚举进程所需的私有API函数的AddressOfNameOrdinals的序号,并通过该序号计算得到函数服务号和Win7下ECX的偏移。
进一步地,所述的扫描系统进程的方法中,步骤“遍历系统句柄表以获取系统所有内核句柄信息,并逐一判断是否进程句柄,如是则对其进行复制和记录,然后获得进程信息”具体包括:
通过函数NtQuerySystemInformation传递参数SystemHandleInformation,得到结构为PSYSTEM_HANDLE_INFORMATION_EX的系统句柄表;
逐一遍历系统句柄表中的句柄信息HandleInfo,当判定句柄类型ObjectTypeNumber为进程类型时,使用自实现函数NtOpenProcess传递参数PROCESS_DUP_HANDLE打开HandleInfo.ProcessId并返回进程句柄,再使用自实现函数DuplicateObject实现句柄的复制和记录,最后通过自实现函数GetProcessImageFileName获得当前进程的信息。
发明人同时还提供了一种扫描系统进程的装置,包括加载单元、信息获取单元、调用单元、遍历单元、判断单元和记录单元:
所述加载单元用于在内存中加载ntdll.dll文件
所述信息获取单元用于获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息;
所述调用单元用于通过反汇编查看ntdll.dll下所述私有API函数对应的源代码,再通过汇编根据所述私有API函数信息实现从R3到R0的调用;
所述遍历单元用于遍历系统句柄表以获取系统所有内核句柄信息;
所述判断单元用于判断遍历单元所遍历的内核句柄是否进程句柄,如是则记录单元对其进行复制和记录,然后获得进程信息。
进一步地,所述的扫描系统进程的装置中,还包括系统版本获取单元,用于获取系统版本信息。
进一步地,所述的扫描系统进程的装置中,系统版本获取单元获取系统版本信息具体包括:
通过GetProcAddress函数获得Kernel32.dll下的GetNativeSystemInfo函数的调用地址;
调用GetNativeSystemInfo函数获得结构为SYSTEM_INFO的系统信息si;
若si.wProcessorArchitecture等于PROCESSOR_ARCHITECTURE_AMD64(9)或PROCESSOR_ARCHITECTURE_IA64(6),则判定系统版本为64位;否则系统版本为32位。
进一步地,所述的扫描系统进程的装置中,所述加载单元于内存中加载ntdll.dll文件后,所述信息获取单元获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息具体包括:
解析文件的PE头,获得导出表的相对虚拟地址RVA值,并转换为到源文件中的位移,从而得到源文件中导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息;
根据导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息,通过匹配函数名的方法,获取枚举进程所需的私有API函数的AddressOfNameOrdinals的序号,并通过该序号计算得到函数服务号和Win7下ECX的偏移。
进一步地,所述的扫描系统进程的装置中,所述遍历单元通过函数NtQuerySystemInformation传递参数SystemHandleInformation,得到结构为PSYSTEM_HANDLE_INFORMATION_EX的系统句柄表;然后逐一遍历系统句柄表中的句柄信息HandleInfo;
当判断单元判定句柄类型ObjectTypeNumber为进程类型时,记录单元使用自实现函数NtOpenProcess传递参数PROCESS_DUP_HANDLE打开HandleInfo.ProcessId并返回进程句柄,再使用自实现函数DuplicateObject实现句柄的复制和记录,最后通过自实现函数GetProcessImageFileName获得当前进程的信息。
区别于现有技术,上述技术方案能够有效地全面扫描系统进程,包括某些通过特定途径隐藏的进程,从而达到提高系统安全性的目的。
附图说明
图1为本发明一实施方式所述扫描系统进程的方法的流程图;
图2为本发明一实施方式所述扫描系统进程的装置的结构示意图。
附图标记说明:
1-加载单元;
2-信息获取单元;
3-调用单元;
4-遍历单元;
5-判断单元;
6-记录单元;
7-系统版本获取单元。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
请参阅图1,为本发明一实施方式所述扫描系统进程的方法的流程图;所述方法包括如下步骤:
S1、获取系统版本信息;
S2、于内存中加载ntdll.dll文件;
S3、获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息;
S4、通过反汇编查看ntdll.dll下所述私有API函数对应的源代码;
S5、通过汇编根据所述私有API函数信息实现从R3到R0的调用;
S6、遍历系统句柄表以获取系统所有内核句柄信息,并逐一判断是否进程句柄,如是则对其进行复制和记录,然后获得进程信息。
进一步地,所述的扫描系统进程的方法中,在步骤“于内存中加载ntdll.dll文件”之前还包括步骤:
获取系统版本信息。
进一步地,所述的扫描系统进程的方法中,步骤“获取系统版本信息”具体包括:
通过GetProcAddress函数获得Kernel32.dll下的GetNativeSystemInfo函数的调用地址;
调用GetNativeSystemInfo函数获得结构为SYSTEM_INFO的系统信息si;
si.wProcessorArchitecture等于PROCESSOR_ARCHITECTURE_AMD64(9)或PROCESSOR_ARCHITECTURE_IA64(6),则判定系统版本为64位;否则系统版本为32位。
进一步地,所述的扫描系统进程的方法中,步骤“于内存中加载ntdll.dll文件,获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息”具体包括如下步骤:
于内存中加载ntdll.dll文件;
解析文件的PE头,获得导出表的相对虚拟地址RVA值,并转换为到源文件中的位移,从而得到源文件中导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息;
根据导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息,通过匹配函数名的方法,获取枚举进程所需的私有API函数的AddressOfNameOrdinals的序号,并通过该序号计算得到函数服务号和Win7下ECX的偏移。
进一步地,所述的扫描系统进程的方法中,步骤“遍历系统句柄表以获取系统所有内核句柄信息,并逐一判断是否进程句柄,如是则对其进行复制和记录,然后获得进程信息”具体包括:
通过函数NtQuerySystemInformation传递参数SystemHandleInformation,得到结构为PSYSTEM_HANDLE_INFORMATION_EX的系统句柄表;
逐一遍历系统句柄表中的句柄信息HandleInfo,当判定句柄类型ObjectTypeNumber为进程类型时,使用自实现函数NtOpenProcess传递参数PROCESS_DUP_HANDLE打开HandleInfo.ProcessId并返回进程句柄,再使用自实现函数DuplicateObject实现句柄的复制和记录,最后通过自实现函数GetProcessImageFileName获得当前进程的信息。
请参阅图2,为本发明一实施方式所述扫描系统进程的装置的结构示意图,所述装置包括加载单元1、信息获取单元2、调用单元3、遍历单元4、判断单元5和记录单元6:
所述加载单元1用于在内存中加载ntdll.dll文件
所述信息获取单元2用于获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息;
所述调用单元3用于通过反汇编查看ntdll.dll下所述私有API函数对应的源代码,再通过汇编根据所述私有API函数信息实现从R3到R0的调用;
所述遍历单元4用于遍历系统句柄表以获取系统所有内核句柄信息;
所述判断单元5用于判断遍历单元所遍历的内核句柄是否进程句柄,如是则记录单元6对其进行复制和记录,然后获得进程信息。
进一步地,所述的扫描系统进程的装置中,还包括系统版本获取单元7,用于获取系统版本信息。
进一步地,所述的扫描系统进程的装置中,系统版本获取单元7获取系统版本信息具体包括:
通过GetProcAddress函数获得Kernel32.dll下的GetNativeSystemInfo函数的调用地址;
调用GetNativeSystemInfo函数获得结构为SYSTEM_INFO的系统信息si;
若si.wProcessorArchitecture等于PROCESSOR_ARCHITECTURE_AMD64(9)或PROCESSOR_ARCHITECTURE_IA64(6),则判定系统版本为64位;否则系统版本为32位。
进一步地,所述的扫描系统进程的装置中,所述加载单元1于内存中加载ntdll.dll文件后,所述信息获取单元2获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息具体包括:
解析文件的PE头,获得导出表的相对虚拟地址RVA值,并转换为到源文件中的位移,从而得到源文件中导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息;
根据导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息,通过匹配函数名的方法,获取枚举进程所需的私有API函数的AddressOfNameOrdinals的序号,并通过该序号计算得到函数服务号和Win7下ECX的偏移。
进一步地,所述的扫描系统进程的装置中,所述遍历单元4通过函数NtQuerySystemInformation传递参数SystemHandleInformation,得到结构为PSYSTEM_HANDLE_INFORMATION_EX的系统句柄表;然后逐一遍历系统句柄表中的句柄信息HandleInfo;
当判断单元5判定句柄类型ObjectTypeNumber为进程类型时,记录单元6使用自实现函数NtOpenProcess传递参数PROCESS_DUP_HANDLE打开HandleInfo.ProcessId并返回进程句柄,再使用自实现函数DuplicateObject实现句柄的复制和记录,最后通过自实现函数GetProcessImageFileName获得当前进程的信息。
区别于现有技术,上述技术方案能够有效地全面扫描系统进程,包括某些通过特定途径隐藏的进程,从而达到提高系统安全性的目的。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括……”或“包含……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的要素。此外,在本文中,“大于”、“小于”、“超过”等理解为不包括本数;“以上”、“以下”、“以内”等理解为包括本数。
本领域内的技术人员应明白,上述各实施例可提供为方法、装置、或计算机程序产品。这些实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。上述各实施例涉及的方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机设备可读取的存储介质中,用于执行上述各实施例方法所述的全部或部分步骤。所述计算机设备,包括但不限于:个人计算机、服务器、通用计算机、专用计算机、网络设备、嵌入式设备、可编程设备、智能移动终端、智能家居设备、穿戴式智能设备、车载智能设备等;所述的存储介质,包括但不限于:RAM、ROM、磁碟、磁带、光盘、闪存、U盘、移动硬盘、存储卡、记忆棒、网络服务器存储、网络云存储等。
上述各实施例是参照根据实施例所述的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到计算机设备的处理器以产生一个机器,使得通过计算机设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机设备以特定方式工作的计算机设备可读存储器中,使得存储在该计算机设备可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机设备上,使得在计算机设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已经对上述各实施例进行了描述,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改,所以以上所述仅为本发明的实施例,并非因此限制本发明的专利保护范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围之内。
Claims (4)
1.一种扫描系统进程的方法,其特征在于,包括步骤:
获取系统版本信息,于内存中加载ntdll.dll文件;解析文件的PE头,获得导出表的相对虚拟地址RVA值,并转换为到源文件中的位移,从而得到源文件中导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息;根据导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息,通过匹配函数名的方法,获取枚举进程所需的私有API函数的AddressOfNameOrdinals的序号,并通过该序号计算得到函数服务号和Win7下ECX的偏移;
通过反汇编查看ntdll.dll下所述私有API函数对应的源代码,再通过汇编根据所述私有API函数信息实现从R3到R0的调用;
通过函数NtQuerySystemInformation传递参数SystemHandleInformation,得到结构为PSYSTEM_HANDLE_INFORMATION_EX的系统句柄表;
逐一遍历系统句柄表中的句柄信息HandleInfo,当判定句柄类型ObjectTypeNumber为进程类型时,使用自实现函数NtOpenProcess传递参数PROCESS_DUP_HANDLE打开HandleInfo.ProcessId并返回进程句柄,再使用自实现函数DuplicateObject实现句柄的复制和记录,最后通过自实现函数GetProcessImageFileName获得当前进程的信息。
2.如权利要求1所述的扫描系统进程的方法,其特征在于,步骤“获取系统版本信息”具体包括:
通过GetProcAddress函数获得Kernel32.dll下的GetNativeSystemInfo函数的调用地址;调用GetNativeSystemInfo函数获得结构为SYSTEM_INFO的系统信息si;si.wProcessorArchitecture等于PROCESSOR_ARCHITECTURE_AMD64(9)或PROCESSOR_ARCHITECTURE_IA64(6),则判定系统版本为64位;否则系统版本为32位。
3.一种扫描系统进程的装置,其特征在于,包括系统版本获取单元、加载单元、信息获取单元、调用单元、遍历单元、判断单元和记录单元:
所述系统版本获取单元用于获取系统版本信息,所述加载单元用于在获取系统版本信息后,在内存中加载ntdll.dll文件,所述信息获取单元获取枚举进程所需的私有API函数信息和Win7下的ECX偏移信息,具体包括:解析文件的PE头,获得导出表的相对虚拟地址RVA值,并转换为到源文件中的位移,从而得到源文件中导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息;
根据导出表及其对应的结构为IMAGE_EXPORT_DIRECTORY的信息,通过匹配函数名的方法,获取枚举进程所需的私有API函数的AddressOfNameOrdinals的序号,并通过该序号计算得到函数服务号和Win7下ECX的偏移;
所述调用单元用于通过反汇编查看ntdll.dll下所述私有API函数对应的源代码,再通过汇编根据所述私有API函数信息实现从R3到R0的调用;
所述遍历单元用于遍历系统句柄表以获取系统所有内核句柄信息;
所述遍历单元通过函数NtQuerySystemInformation传递参数SystemHandleInformation,得到结构为PSYSTEM_HANDLE_INFORMATION_EX的系统句柄表;然后逐一遍历系统句柄表中的句柄信息HandleInfo;当判断单元判定句柄类型ObjectTypeNumber为进程类型时,记录单元使用自实现函数NtOpenProcess传递参数PROCESS_DUP_HANDLE打开HandleInfo.ProcessId并返回进程句柄,再使用自实现函数DuplicateObject实现句柄的复制和记录,最后通过自实现函数GetProcessImageFileName获得当前进程的信息。
4.如权利要求3所述的扫描系统进程的装置,其特征在于,系统版本获取单元获取系统版本信息具体包括:
通过GetProcAddress函数获得Kernel32.dll下的GetNativeSystemInfo函数的调用地址;
调用GetNativeSystemInfo函数获得结构为SYSTEM_INFO的系统信息si;
若si.wProcessorArchitecture等于PROCESSOR_ARCHITECTURE_AMD6(9)或PROCESSOR_ARCHITECTURE_IA64(6),则判定系统版本为64位;否则系统版本为32位。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510857173.XA CN105488415B (zh) | 2015-11-30 | 2015-11-30 | 扫描系统进程的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510857173.XA CN105488415B (zh) | 2015-11-30 | 2015-11-30 | 扫描系统进程的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105488415A CN105488415A (zh) | 2016-04-13 |
| CN105488415B true CN105488415B (zh) | 2019-09-03 |
Family
ID=55675389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510857173.XA Active CN105488415B (zh) | 2015-11-30 | 2015-11-30 | 扫描系统进程的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105488415B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106022118A (zh) * | 2016-05-20 | 2016-10-12 | 北京金山安全软件有限公司 | 安全保护处理方法及装置 |
| CN108227639A (zh) * | 2016-12-22 | 2018-06-29 | 中国航天系统工程有限公司 | 一种面向集散控制系统的上位机异常状态监测方法 |
| CN108197041B (zh) * | 2017-12-28 | 2021-09-28 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN109214185A (zh) * | 2018-08-06 | 2019-01-15 | 郑州云海信息技术有限公司 | 一种Windows系统进程检测方法及装置 |
| CN110765456A (zh) * | 2018-11-07 | 2020-02-07 | 北京安天网络安全技术有限公司 | 一种检测隐藏进程的方法、装置及存储设备 |
| CN111506437A (zh) * | 2020-03-31 | 2020-08-07 | 北京安码科技有限公司 | 基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7216367B2 (en) * | 2003-02-21 | 2007-05-08 | Symantec Corporation | Safe memory scanning |
| CN102867139A (zh) * | 2012-09-25 | 2013-01-09 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN102902575A (zh) * | 2012-09-25 | 2013-01-30 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN102945343A (zh) * | 2012-09-25 | 2013-02-27 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN102945346A (zh) * | 2012-09-25 | 2013-02-27 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN104715202A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机中的隐藏进程检测方法和装置 |
-
2015
- 2015-11-30 CN CN201510857173.XA patent/CN105488415B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7216367B2 (en) * | 2003-02-21 | 2007-05-08 | Symantec Corporation | Safe memory scanning |
| CN102867139A (zh) * | 2012-09-25 | 2013-01-09 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN102902575A (zh) * | 2012-09-25 | 2013-01-30 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN102945343A (zh) * | 2012-09-25 | 2013-02-27 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN102945346A (zh) * | 2012-09-25 | 2013-02-27 | 北京奇虎科技有限公司 | 一种用于枚举系统进程的方法及装置 |
| CN104715202A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机中的隐藏进程检测方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| 【系统信息获取】2,获取操作系统位数;逆风微光;《http://blog.csdn.net/dpsying/article/details/18962655》;20140207;正文全文 |
| 从PE文件入手绕过IAT HOOK;wxl;《http://blog.csdn.net/wxl1986622/article/details/7306953》;20120229;正文全文 |
| 检测隐藏进程;黑暗粒子;《http://blog.csdn.net/3150379/article/details/3079135》;20081015;正文第5-9页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105488415A (zh) | 2016-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105488415B (zh) | 扫描系统进程的方法和装置 | |
| Ligh et al. | The art of memory forensics: detecting malware and threats in windows, linux, and Mac memory | |
| US9122341B2 (en) | Resolving merged touch contacts | |
| US9965631B2 (en) | Apparatus and method for analyzing malicious code in multi-core environment using a program flow tracer | |
| CN103065084B (zh) | 在虚拟机外部机进行的windows隐藏进程检测方法 | |
| CN106202100B (zh) | 页面的加载方法及装置 | |
| DE102012217315A1 (de) | Verwenden von nativen Routinen an Stelle von emulierten Routinen in einer emulierten Anwendung | |
| CN109918907A (zh) | Linux平台进程内存恶意代码取证方法、控制器及介质 | |
| CN109597675B (zh) | 虚拟机恶意软件行为检测方法及系统 | |
| CN108319856A (zh) | 用于恶意软件检测的对应用的通用拆包 | |
| Casey et al. | Inception: virtual space in memory space in real space–memory forensics of immersive virtual reality with the HTC vive | |
| CN104268473A (zh) | 应用程序检测方法和装置 | |
| US20130167124A1 (en) | Detection of custom parameters in a request url | |
| CN105637489A (zh) | 分布式数据库系统中的异步垃圾收集 | |
| CN109885535A (zh) | 一种文件存储的方法及相关装置 | |
| JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
| US10552491B2 (en) | Systems, devices, and methods for computing geographical relationships between objects | |
| US9594657B2 (en) | Method of analysing memory usage and user terminal performing the same | |
| CN104751057A (zh) | 一种用于增强计算机系统安全性的方法及装置 | |
| Guangqi et al. | Memory dump and forensic analysis based on virtual machine | |
| CN105912466A (zh) | 应用异常信息的处理方法及装置 | |
| CN104750714A (zh) | 文件生成系统及方法 | |
| US10565084B2 (en) | Detecting transitions | |
| JP5550581B2 (ja) | 共有メモリデバッグ装置及びプログラム | |
| Lee et al. | Physical memory collection and analysis in smart grid embedded system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |