CN110046502A - 一种基于虚拟化高效hash的可配置函数api监测方法 - Google Patents

一种基于虚拟化高效hash的可配置函数api监测方法 Download PDF

Info

Publication number
CN110046502A
CN110046502A CN201910276437.0A CN201910276437A CN110046502A CN 110046502 A CN110046502 A CN 110046502A CN 201910276437 A CN201910276437 A CN 201910276437A CN 110046502 A CN110046502 A CN 110046502A
Authority
CN
China
Prior art keywords
hash
information
hook
module
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910276437.0A
Other languages
English (en)
Other versions
CN110046502B (zh
Inventor
黄桦烽
闫佳
杨轶
苏璞睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Software of CAS
Original Assignee
Institute of Software of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Software of CAS filed Critical Institute of Software of CAS
Priority to CN201910276437.0A priority Critical patent/CN110046502B/zh
Publication of CN110046502A publication Critical patent/CN110046502A/zh
Application granted granted Critical
Publication of CN110046502B publication Critical patent/CN110046502B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种基于虚拟化高效HASH的可配置函数API监测方法,其步骤包括:实时快速更新当前进程结构信息;实时快速更新当前进程的当前模块结构信息;基于当前模块结构信息及“HOOK信息HASH表”快速检测HOOK点;命中HOOK点之后根据配置提取并输出HOOK点所需的结构信息。本方法通过配置监控的模块名称及相应指令的偏移地址以及需要提取的信息数据,能够在函数起始、中间指令、函数结束等任意位置实现程序信息的按需提取,具备可扩展能力以及函数API的批量监控能力。

Description

一种基于虚拟化高效HASH的可配置函数API监测方法
技术领域
本发明属于计算机科学与技术领域,具体涉及一种在虚拟化平台上,基于高效HASH映射,实践可配置的批量函数API监测方法,提取程序分析过程中函数API关键参数,支持函数开始、中间位置、结尾任意执行位置关键参数的提取。
背景技术
函数API监测是二进制程序动态代码分析的重要技术手段之一,目前基于程序动态行为的恶意代码检测分析均需要通过监测程序敏感API函数提取相应参数,基于API函数语义及其对应的参数建立关联行为;此外,基于API函数特征进行漏洞的分析检测也需要对高危函数(如字符串操作函数)进行监测。随着程序功能、规模、复杂度的不断升级,API的数量规模越来越多,涉及的模块、API函数类别也逐渐增加,包括:进程操作函数、文件读写操作函数、网络收发数据函数、注册表操作函数、系统信息、硬件信息采集函数等。传统的API监测方法已经难以满足API更新迭代的监测需求,具体表现在恶意代码具有API HOOK的检测对抗能力,同时大量的API监控需求需要适配不同的应用场景,传统的监测能力固化到了程序代码,难以满足动态的可配置需求。
当前的API动态监控技术,通常使用如下的几种方法:
1.基于动态DLL代码注入的API HOOK监控
基于动态DLL代码注入的API HOOK监控是一种传统的API监测方案,通过编写HOOK目标函数的替代函数到动态库,注入动态库到目标进行,修改函数导入、导出表,或者修改函数的头部字节进行跳转,使得原来调用目标函数的操作转而先去执行了替代函数,替代函数可以提取参数再去执行原目标函数,或者先执行目标函数再提取返回结果,提取所需的监测信息。这种方法虽然形成了以Detour为代表的windows平台下的API HOOK框架,但其需要对每个被HOOK的目标函数编写替代函数,编辑参数信息提取代码,并且只能监测函数执行前、执行后的数据,难以满足大规模的API监控和在函数中间位置提取数据的需求,同时恶意代码对其有检测对抗能力。
2.基于Pin Tools代码插桩的API监控
基于Pin Tools代码插桩的API监控是通过函数级的代码插桩,在回调函数中编写监控代码实现,同时支持函数执行前和函数执行后的回调函数编写,回调函数的参数与API参数个数一致,同样需要对每个监测的API编写回调函数,存在只能监测函数执行前、执行后的数据,难以满足大规模的API监控和在函数中间位置提取数据需求的缺陷。
3.基于Panda架构的API监控
基于Panda架构的API监控是在虚拟化平台上运行目标操作系统,通过系统调用监控的方式监测部分API信息,同样需要对每个API编写回调函数,存在只能监测函数执行前、执行后的数据,批量监测大规模API函数工作量大,难以满足大规模的API监控和在函数中间位置提取数据需求的缺陷。
综上,目前程序API行为监控信息提取方法的主要缺陷在于:仅支持函数执行前、函数执行后属性参数的提取,难以满足在函数执行中间位置提取所需的属性参数;需要对每一个监控的目标函数编写参数提取代码,可扩展能力差,难以实现可扩展的批量程序API参数信息提取。
发明内容
针对现有API HOOK技术需要对每个监控的API对象逐一编写HOOK代码,难以实现可扩展的化的批量API参数信息提取问题,本发明的目的在于提供一种基于虚拟化高效HASH的可配置函数API监测方法,该方法通过配置监控的模块名称及相应指令的偏移地址以及需要提取的信息数据,能够在函数起始、中间指令、函数结束等任意位置实现程序信息的按需提取,具备可扩展能力以及函数API的批量监控能力。
一种基于虚拟化高效HASH的可配置函数API监测方法,其步骤包括:
·实时快速更新当前进程结构信息;
·实时快速更新当前进程的当前模块结构信息;
·基于当前模块结构信息及“HOOK信息HASH表”快速检测HOOK点;
·命中HOOK点之后根据配置提取并输出HOOK点所需的结构信息。
进一步地,所述实时快速更新当前进程结构信息是基于虚拟化进行指令动态插装分析,在指令动态插装分析过程中动态维护系统运行进程结构,并以HASH表存储进程结构信息,同时维护当前进程结构信息,通过检测指令地址空间变化识别用户态和内核态切换,在内核态切换到用户态的情况下更新当前进程结构信息。
进一步地,所述进程结构信息包括:进程结构地址、CR3、进程名、模块结构信息HASH列表、进程当前模块结构指针。
进一步地,所述以HASH表存储进程结构信息是指建立一组HASH表,每个HASH表项对应一组HASH值相同的进程结构信息,进程结构信息以进程结构地址或CR3计算HASH值得到,相同HASH值的进程结构信息组成队列,映射到对应的HASH表项,以提高进程结构信息的检索速度。
进一步地,所述维护当前进程结构信息是指使用一个进程结构信息指针,指向了当前执行指令所属的进程对应的进程结构信息对象。
进一步地,所述通过检测指令地址空间变化识别用户态和内核态切换是指内核态指令地址空间和用户态指令地址空间范围有一个界限值,通过该界限值可以判定当前指令所属的状态,同时记录了上一条指令所属的状态,通过前后状态的对比来判定状态的切换。
进一步地,所述在内核态切换到用户态的情况下更新当前进程结构信息是由于系统指令如果持续处于用户态不可能发生进程切换,当前执行进程不会改变,另外,HOOK的对象仅考虑用户态,因此只有在发生内核态切换到用户态才有必要更新当前进程结构信息。
进一步地,所述模块结构信息HASH列表是将进程的模块结构信息,以基地址计算HASH值,将相同HASH值的模块结构信息组成队列,映射到对应的HASH表项,提高模块结构信息的检索速度,所述模块结构信息包括:模块基地址、模块尾地址、模块名称、模块的HookHash表。
进一步地,所述实时快速更新当前进程的当前模块结构信息是指进程代码包括主程序模块和其加载的多个动态库模块(windows下的dll或者linux下的so),而当前执行的指令只能属于其中的一个模块而不可能属于多个模块,进程结构信息中的当前模块结构指针指向了当前指令所属程序或动态库模块对应的模块结构信息,当前模块结构信息的维护是通过检测当前指令超出当前模块范围的情况下,根据HASH值到可能的模块结构信息HASH列表项检索所属的模块,如检索失败重新提取当前进程的模块结构信息,更新到模块结构信息HASH表中再重新检索;
进一步地,所述基于当前模块结构信息及“HOOK信息HASH表”快速检测HOOK是指:提取当前指令所属模块的HOOK表,通过当前指令地址计算HASH值,取出对应的HOOK表中的HASH项,在HASH项范围内检测当前指令是否为HOOK点;
进一步地,所述HOOK信息HASH表是指将用户配置的HOOK项信息按照进程模块分类管理,同时在同一模块以HOOK地址计算HASH值,分散到HASH表中的不同组,相同HASH值的HOOK项组成一组,映射到对应的HOOK信息HASH表项,提高HOOK点的检测效率。
进一步地,所述HOOK项信息包括:指令相对模块基地值的偏移量RVA、模块基地值、模块名称、函数名称、需要提取输出的参数组描述。
进一步地,所述提取并输出HOOK点配置的结构信息是指当检测到执行的指令匹配配置的HOOK点时,根据配置规则解析提取对应的信息,按照配置规则描述输出这些信息。
进一步地,所述配置规则是指HOOK点对应的数据提取和输出格式描述,包括提取数据的条目队列,每个队列项的条目内容,条目内容包括:数据类型、寄存器类型、偏移量、字节数、输出格式。
进一步地,所述数据类型分为寄存器、内存、指针、多级指针类型;所述寄存器类型是用于描述提起的数据是哪个寄存器,或者通过哪个寄存器去索引内存,如EAX、ESI、ESP等;所述偏移量是用于描述提取的内存通过寄存器或其它操作数寻址后需加上的偏移量;所述字节数用于描述所需提取的内存或寄存器的数据长度;所述输出格式用于描述所提取的数据按照何种格式输出,HEX格式、字符串格式、宽字符格式等其它格式。
本发明的优点和积极效果如下:
本发明能够完整地监控程序的运行全过程,提供可配置的基于HASH表加速的高效程序API信息提取方案,支持函数开始、中间、结束位置的内存、寄存器数据信息的可配置数据提取,满足多样化的批量API HOOK能力,扩展API监控的支持只需由用户编辑配置文件,无需程序开发人员重新修改程序监控代码,监测位置由函数开头和结尾扩展到了函数的任意指令位置,为程序动态分析提供了方便的支撑。
附图说明
图1为本发明一种基于虚拟化高效HASH的可配置函数API监测方法关键数据结构关系图。
图2为本发明一种基于虚拟化高效HASH的可配置函数API监测方法逻辑流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图1是一种基于虚拟化高效HASH的可配置函数API监测方法关键数据结构关系图,具体内容描述如下:
1)关键数据结构包括进程HASH表、进程模块HASH表、HOOK HASH表、当前进程结构信息、进程的当前模块结构信息、模块的HOOK信息;
2)进程HASH表记录了系统运行过程中监测到的所有进程信息,并以进程结构地址计算HASH值,将进程结构信息存储在对应的HASH桶队列,进程结构信息包括:进程结构地址、CR3值、进程的模块HASH表指针、进程当前模块指针、下一项结构指针等信息;另外有一项当前进程结构指针,指向当前进程对应的进程结构信息项,该指针在系统运行过程中实时更新,保持指向当前进程;
3)通过进程结构的进程模块HASH表指针可以索引到对应进程的进程模块HASH表,进程模块HASH表记录了该进程所有的模块结构信息,并以模块基地址计算HASH值,将模块结构信息结构存储在对应的HASH桶队列,模块结构信息包括:模块基地址、模块尾地址、模块名称、模块的Hook Hash表、下一个模块项指针等信息;另外,进程结构信息中的当前模块项指针,会指向进程模块结构中的一项,该项对应的模块刚好是进程当前执行指令所处的模块;
4)HOOK HASH表记录了模块对应的用户配置的HOOK需求信息,以模块为单位进行组织管理,如果模块未配置HOOK项,该模块对应的指针为空,HASH表根据HOOK指令的地址最后一个字节作为HASH桶的索引值,存储到对应的HASH桶队列,每个HOOK项信息包括:指令相对模块基地值的偏移量RVA、模块基地值、模块名称、函数名称、需要提取输出的参数队列指针pARGVs和下一项HOOK结构信息等;
5)输出参数结构是描述HOOK点所需提取的数据,支持多项,因此用链表进行管理,每一项包括:数据类型Val type、寄存器类型Reg type、偏移量offset、字节数目size、输出格式outputformat和下一个链表项指针等;其中数据类型分为寄存器、内存、指针、多级指针等;寄存器类型用于描述提起的是哪个寄存器,或者通过哪个寄存器去索引内存,如EAX、ESI、ESP等;偏移量用于描述提取的内存通过寄存器或其它操作数寻址后需加上的偏移量;字节数目size用于描述所需提取的内存或寄存器的数据长度;输出格式outputformat用于描述所提取的数据按照何种格式输出,HEX格式、字符串格式、宽字符格式等其它格式。
图2是一种基于虚拟化高效HASH的可配置函数API监测方法流程图,具体包括的步骤描述如下:
1)配置目标程序运行环境,设定监控目标及监测的API信息以及所需提取的属性数据参数,开启系统监控功能,进入步骤2)。
2)通过指令地址判定程序是处于内核或者用户态,结合上一条指令所处的状态判定是否发生内核态到用户态的切换,如果未发生切换且处于内核态则进入步骤12),处于用户态进入步骤5),如果发生内核态到用户态的切换,则当前进程可能发生改变,进入步骤3);
3)通过内核结构解析,提取当前进程结构地址、CR3,取出HASH值,在HASH队列中查找当前进程是否在维护的进程列表中,如果属于列表中,更新当前进程结构信息,进入步骤5),如果不在列表中,进入步骤4);
4)解析当前进程结构信息,包括进程地址空间、进程名、模块列表、当前模块等,结合步骤3提取的进程结构地址、CR3信息,形成进程结构,计算进程对应的HASH值,将进程结构信息添加到HASH表对应的HASH项队列中,并更新当前进程结构信息,进入步骤5)。
5)从当前进程结构信息中取出当前进程信息,取出当前模块结构信息及当前指令地址,判断当前指令是否属于当前模块,当前模块为空则认为当前指令不属于当前模块,如果当前指令不属于当前模块,进入步骤6),反之进入步骤9);
6)取出当前进程的模块列表,计算当前指令所属模块的HASH项范围,在该HASH项范围内检索是否属于已有的模块,如果属于已有模块,更新当前进程的当前模块为该模块,进入步骤9,反之进入步骤7);
7)更新进程的模块结构信息:通过遍历当前进程的所有模块结构信息,基于模块地址判断遍历项是否已在进程模块列表中,对于不在列表中的项提取模块起始、结束地址信息、模块名称信息、以及从配置项中解析该模块是否有配置的模块HOOK信息,如果有配置,将HOOK信息队列添加到模块HOOK HASH表中,然后进入步骤8);
8)判定当前指令是否属于进程新增的模块,如果属于进程新增模块,将当前模块更新为对应的新增模块,进入步骤9),反之,如果不属于进程所有模块,可能是非模块的动态指令,将当前进程的当前模块置空,结束当前指令分析;
9)取出当前进程的当前模块,计算当前指令对应的HOOK HASH表对应的桶序号,判断该HASH桶队列是否为空,不为空就进入步骤10),否则进入步骤12);
10)遍历对应的HASH桶队列,检测当前指令是否为对应的HOOK项,是则进入步骤11),反之取队列的下一个HOOK项,直到本队列为空都没有匹配的HOOK项就进入步骤12);
11)执行的指令匹配配置的HOOK位置,取出配置需要采集的配置信息,根据配置规则提取寄存器、内存、多级指针索引内存的值,同时根据配置提取对应长度的数据,按照配置格式以16进制、字符串、宽字符串等格式输出数据,然后进入步骤12);
12)结束本条指令的分析,执行下一条指令,进入步骤2)。
本发明提出的一种基于虚拟化高效HASH的可配置函数API监测方法,对于本领域的技术人员而言,可以根据需要自己配置所需监控的API信息,支持批量的API信息配置,支持从函数开始、中间、结尾指定的位置提取程序运行过程中寄存器、内存、多级指针数据的提取和指定格式的输出,从而更方便和全面满足程序分析过程中各项信息的提取。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (10)

1.一种基于虚拟化高效HASH的可配置函数API监测方法,其特征在于,包括以下步骤:
基于虚拟化进行指令动态插装分析,在指令动态插装分析过程中动态维护系统运行进程结构,并以HASH表存储进程结构信息,同时维护当前进程结构信息,该进程结构信息包括模块结构信息HASH列表;
通过检测指令地址空间变化识别用户态和内核态切换,在内核态切换到用户态的情况下更新当前进程结构信息,以实时快速更新当前进程结构信息;
通过检测到当前指令超出当前模块范围,根据HASH值在模块结构信息HASH列表项检索所属的模块,如检索失败,则重新提取当前进程的模块结构信息,更新到模块结构信息HASH表中再重新检索,以实时快速更新当前进程的当前模块结构信息;
提取当前指令所属模块的HOOK表,通过当前指令地址计算HASH值,取出对应的HOOK表中的HASH项,在HASH项范围内检测当前指令是否为HOOK点;
当检测到执行的指令匹配配置的HOOK点时,根据配置规则解析提取HOOK点所需的结构信息,按照配置规则描述输出该结构信息。
2.如权利要求1所述的方法,其特征在于,所述进程结构信息还包括:进程结构地址、CR3、进程名、进程当前模块结构指针。
3.如权利要求2所述的方法,其特征在于,所述以HASH表存储进程结构信息,是指建立一组HASH表,每个HASH表项对应一组HASH值相同的进程结构信息,进程结构信息通过进程结构地址或CR3计算HASH值得到,相同HASH值的进程结构信息组成队列,映射到对应的HASH表项。
4.如权利要求1所述的方法,其特征在于,所述维护当前进程结构信息,是指使用一个进程结构信息指针,指向当前执行指令所属的进程对应的进程结构信息对象。
5.如权利要求1所述的方法,其特征在于,所述通过检测指令地址空间变化识别用户态和内核态切换,是指内核态指令地址空间和用户态指令地址空间范围设有一个界限值,通过该界限值来判定当前指令所属的状态,同时记录上一条指令所属的状态,通过前后状态的对比来判定状态的切换。
6.如权利要求1所述的方法,其特征在于,所述模块结构信息HASH列表是将进程的模块结构信息,以基地址计算HASH值,将相同HASH值的模块结构信息组成队列,映射到对应的HASH表项;
所述模块结构信息包括:模块基地址、模块尾地址、模块名称、模块的Hook Hash表。
7.如权利要求1所述的方法,其特征在于,所述取出对应的HASH表中的HASH项,是指将用户配置的HOOK项信息按照进程模块分类管理,同时在同一模块以HOOK地址计算HASH值,分散到HASH表中的不同组,相同HASH值的HOOK项组成一组,映射到对应的HOOK信息HASH表项中。
8.如权利要求7所述的方法,其特征在于,所述HOOK项信息包括:指令相对模块基地值的偏移量RVA、模块基地值、模块名称、函数名称、需要提取输出的参数组描述。
9.如权利要求1所述的方法,其特征在于,所述配置规则,是指HOOK点对应的数据提取和输出格式描述,包括提取数据的条目队列和每个队列项的条目内容。
10.如权利要求9所述的方法,其特征在于,所述条目内容包括:
数据类型,包括寄存器、内存、指针、多级指针类型;
寄存器类型,是用于描述提起的数据是哪个寄存器,或者通过哪个寄存器去索引内存,包括EAX、ESI、ESP;
偏移量,是用于描述提取的内存通过寄存器或操作数寻址后需加上的偏移的量;
字节数,是用于描述所需提取的内存或寄存器的数据长度;
输出格式,是用于描述所提取的数据按照何种格式输出,包括HEX格式、字符串格式、宽字符格式。
CN201910276437.0A 2019-04-08 2019-04-08 一种基于虚拟化高效hash的可配置函数api监测方法 Active CN110046502B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910276437.0A CN110046502B (zh) 2019-04-08 2019-04-08 一种基于虚拟化高效hash的可配置函数api监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910276437.0A CN110046502B (zh) 2019-04-08 2019-04-08 一种基于虚拟化高效hash的可配置函数api监测方法

Publications (2)

Publication Number Publication Date
CN110046502A true CN110046502A (zh) 2019-07-23
CN110046502B CN110046502B (zh) 2020-12-04

Family

ID=67276326

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910276437.0A Active CN110046502B (zh) 2019-04-08 2019-04-08 一种基于虚拟化高效hash的可配置函数api监测方法

Country Status (1)

Country Link
CN (1) CN110046502B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113742002A (zh) * 2021-09-10 2021-12-03 上海达梦数据库有限公司 一种动态库依赖关系获取方法、装置、设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1514353A (zh) * 2002-12-31 2004-07-21 北京科泰世纪科技有限公司 基于动态内核实现跨地址空间创建构件对象的方法
WO2016094985A1 (en) * 2014-12-15 2016-06-23 Gas Informatica Ltda Protection driver for defense against process or thread termination
CN105787371A (zh) * 2016-03-18 2016-07-20 山东华软金盾软件股份有限公司 一种计算机进程监控方法和系统
CN105956474A (zh) * 2016-05-17 2016-09-21 武汉虹旭信息技术有限责任公司 Android平台软件异常行为检测系统
CN108062475A (zh) * 2016-11-08 2018-05-22 武汉安天信息技术有限责任公司 一种恶意代码识别装置及方法
CN108446160A (zh) * 2018-01-29 2018-08-24 中国电子科技网络信息安全有限公司 一种虚拟机隐藏进程检测方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1514353A (zh) * 2002-12-31 2004-07-21 北京科泰世纪科技有限公司 基于动态内核实现跨地址空间创建构件对象的方法
WO2016094985A1 (en) * 2014-12-15 2016-06-23 Gas Informatica Ltda Protection driver for defense against process or thread termination
CN105787371A (zh) * 2016-03-18 2016-07-20 山东华软金盾软件股份有限公司 一种计算机进程监控方法和系统
CN105956474A (zh) * 2016-05-17 2016-09-21 武汉虹旭信息技术有限责任公司 Android平台软件异常行为检测系统
CN108062475A (zh) * 2016-11-08 2018-05-22 武汉安天信息技术有限责任公司 一种恶意代码识别装置及方法
CN108446160A (zh) * 2018-01-29 2018-08-24 中国电子科技网络信息安全有限公司 一种虚拟机隐藏进程检测方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李昆仑等: "二进制代码级函数指针攻击机理与检测研究", 《小型微型计算机系统》 *
黄桦烽等: "有限资源条件下的软件漏洞自动挖掘与利用", 《计算机研究与发展》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113742002A (zh) * 2021-09-10 2021-12-03 上海达梦数据库有限公司 一种动态库依赖关系获取方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN110046502B (zh) 2020-12-04

Similar Documents

Publication Publication Date Title
US10990511B2 (en) Apparatus and application interface traversing method
CN103399812B (zh) 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法
US20210117412A1 (en) Splitting a query into native query operations and post-processing operations
CN103608765B (zh) 虚拟机快照和分析
US10088969B2 (en) Image-based automation systems and methods
US8676568B2 (en) Information processing apparatus and message extraction method
US11256712B2 (en) Rapid design, development, and reuse of blockchain environment and smart contracts
CN107004089A (zh) 恶意软件检测方法及其系统
CN108140021A (zh) 涉及感兴趣的数据内容的优先化的分级索引
CN101770551A (zh) 一种基于硬件模拟器的处理隐藏进程的方法
JP6365195B2 (ja) 命令履歴分析プログラム、命令履歴分析装置、および、命令履歴分析方法
KR20210057176A (ko) 함수 점프 구현 방법, 디바이스, 및 컴퓨터 저장 매체
CN101964036A (zh) 漏洞检测方法及装置
CN103679034B (zh) 一种基于本体的计算机病毒分析系统及其特征提取方法
EP3635563B1 (en) Application analysis with flexible post-processing
US11734098B2 (en) Computer-readable recording medium storing failure cause identification program and method of identifying failure cause
CN111124371A (zh) 一种基于游戏的数据处理方法、装置、设备及存储介质
CN109983459A (zh) 用于标识语料库中出现的n-gram的计数的方法和设备
CN115904605A (zh) 软件防御方法以及相关设备
CN113626017B (zh) 异构程序的分析方法、装置、计算机设备和存储介质
CN111047434A (zh) 一种操作记录生成方法、装置、计算机设备和存储介质
CN107368739A (zh) 一种内核驱动的监视方法和装置
CN114490273A (zh) 数据处理方法以及系统
CN110046502A (zh) 一种基于虚拟化高效hash的可配置函数api监测方法
CN113176926A (zh) 一种基于虚拟机自省技术的api动态监控方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant