CN114363017A - 系统函数调用方法、装置、设备和存储介质 - Google Patents
系统函数调用方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN114363017A CN114363017A CN202111564979.1A CN202111564979A CN114363017A CN 114363017 A CN114363017 A CN 114363017A CN 202111564979 A CN202111564979 A CN 202111564979A CN 114363017 A CN114363017 A CN 114363017A
- Authority
- CN
- China
- Prior art keywords
- system function
- calling
- function
- electronic equipment
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012360 testing method Methods 0.000 claims abstract description 34
- 230000007123 defense Effects 0.000 claims abstract description 30
- 238000001514 detection method Methods 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims description 124
- 230000004044 response Effects 0.000 claims description 8
- 238000009795 derivation Methods 0.000 claims description 5
- 230000009191 jumping Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本公开的实施例提供了一种系统函数调用方法、装置、设备和存储介质。该方法包括:获取应用程序发起的系统函数调用请求;响应于系统函数调用请求,检测电子设备的运行场景;若电子设备处于攻防测试场景,则获取系统函数的系统调用号;基于Syscall加载系统调用号,调用系统函数。以此方式,可以基于Syscall直接调用系统函数,从而绕过相关检测,促使攻防测试正常进行。
Description
技术领域
本公开涉及网络安全领域,尤其涉及一种系统函数调用方法、装置、设备和存储介质。
背景技术
近年来,网络攻击事件频发,这对网络安全形成了严重的威胁。因此,需要对网络进行攻防测试,测试网络的防护能力。
但是在目前的攻防测试例如渗透测试中,系统函数的调用容易被安全应用程序的HOOK组件检测,从而干扰测试。因此,如何避免在调用系统函数时被安全应用程序HOOK挂钩检测就成为了目前亟待解决的技术问题。
发明内容
本公开提供了一种系统函数调用方法、装置、设备和存储介质,可以绕过相关检测,促使攻防测试正常进行。
第一方面,本公开实施例提供了一种系统函数调用方法,该方法包括:
获取应用程序发起的系统函数调用请求;
响应于系统函数调用请求,检测电子设备的运行场景;
若电子设备处于攻防测试场景,则获取系统函数的系统调用号;
基于Syscall加载系统调用号,调用系统函数。
在第一方面的一些可实现方式中,检测电子设备的运行场景,包括:
检测电子设备的工作模式;
根据工作模式确定电子设备的运行场景。
在第一方面的一些可实现方式中,该方法还包括:
响应于系统函数调用请求,检测电子设备是否安装包括HOOK组件的安全应用程序;
若电子设备处于攻防测试场景,则获取系统函数的系统调用号,包括:
若电子设备处于攻防测试场景且安装包括HOOK组件的安全应用程序,则获取系统函数的系统调用号。
在第一方面的一些可实现方式中,获取系统函数的系统调用号,包括:
获取电子设备的系统版本;
从系统版本对应的系统调用表中,查找系统函数的系统调用号。
在第一方面的一些可实现方式中,获取系统函数的系统调用号,包括:
从应用程序的PEB中提取Ntdll.dll的地址;
基于Ntdll.dll的地址,确定系统函数的系统调用号。
在第一方面的一些可实现方式中,基于Ntdll.dll的地址,确定系统函数的系统调用号,包括:
基于Ntdll.dll的地址,从Ntdll.dll的导出表中确定与系统函数对应的目标函数的地址;
基于目标函数的地址,从目标函数中提取系统函数的系统调用号。
在第一方面的一些可实现方式中,基于Syscall加载系统调用号,调用系统函数,包括:
将系统调用号写入至寄存器,并调用软中断指令,跳转至内核;
在内核中查找系统调用号对应的函数入口地址;
基于函数入口地址,调用系统函数。
第二方面,本公开实施例提供了一种系统函数调用装置,该装置包括:
获取模块,用于获取应用程序发起的系统函数调用请求;
检测模块,用于响应于系统函数调用请求,检测电子设备的运行场景;
获取模块,还用于若电子设备处于攻防测试场景,则获取系统函数的系统调用号;
调用模块,用于基于Syscall加载系统调用号,调用系统函数。
第三方面,本公开实施例提供了一种电子设备,该电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如以上所述的方法。
第四方面,本公开实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行如以上所述的方法。
第五方面,本公开实施例提供了一种计算机程序产品,该计算机程序产品包括计算机程序,计算机程序在被处理器执行时实现如以上所述的方法。
在本公开中,可以响应于应用程序发起的系统函数调用请求,检测电子设备的运行场景,若电子设备处于攻防测试场景,则获取系统函数的系统调用号,并基于Syscall加载系统调用号,直接调用系统函数,从而绕过相关检测,促使攻防测试正常进行。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本公开实施例提供的一种系统函数调用方法的流程图;
图2示出了本公开实施例提供的一种系统函数调用装置的结构图;
图3示出了一种能够实施本公开的实施例的示例性电子设备的结构图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
目前,在避免安全应用程序如杀毒软件检测系统函数调用的方面,通常是通过编程的方式重新创建LoadLibrary、GetProcAddress和FreeLibrary等函数来取消对PE文件导入地址表的使用来规避检测。但是,部分安全应用程序例如终端检测与响应(EndpointDetection and Response,EDR)程序可以通过HOOK组件挂钩系统应用程序接口(Application Programming Interface,API)来检测系统函数调用,进而识别并处理敏感操作,干扰攻防测试。
针对于此,本公开实施例提供了一种系统函数调用方法、装置、设备和存储介质。具体地,可以响应于应用程序发起的系统函数调用请求,检测电子设备的运行场景,若电子设备处于攻防测试场景,则获取系统函数的系统调用号,并基于Syscall加载系统调用号,直接调用系统函数,从而绕过相关检测,促使攻防测试正常进行。
下面结合附图,通过具体的实施例对本公开实施例提供的系统函数调用方法、装置、设备和存储介质进行详细地说明。
其中,该系统函数调用方法可以应用于移动电子设备或非移动电子设备,例如,移动电子设备可以是手机、平板电脑、笔记本电脑、掌上电脑或者超级移动个人计算机(Ultra-Mobile Personal Computer,UMPC)等,非移动电子设备可以是个人计算机(Personal Computer,PC)、电视(Television,TV)、服务器或者车载主机等。
图1示出了本公开实施例提供的一种系统函数调用方法100的流程图,如图所示,系统函数调用方法100可以包括以下步骤:
S110,获取应用程序发起的系统函数调用请求。
具体地,可以获取电子设备上运行的应用程序发起的系统函数调用请求。其中,应用程序可以是地图、社交、金融或者购物等应用,在此不做限制。
S120,响应于系统函数调用请求,检测电子设备的运行场景。
在一些实施例中,可以检测电子设备的工作模式,根据工作模式快速确定电子设备的运行场景。其中,工作模式可以由用户预先设置,例如可以包括攻防测试模式、安全保护模式或者普通使用模式等。
相应地,若工作模式是攻防测试模式,则可以确定电子设备处于攻防测试场景,若工作模式是安全保护模式,则可以确定电子设备处于安全场景,若工作模式是普通使用模式,则可以确定电子设备处于普通场景。
S130,若电子设备处于攻防测试场景,则获取系统函数的系统调用号。
在一些实施例中,响应于系统函数调用请求,还可以检测电子设备是否安装包括HOOK组件的安全应用程序。
若电子设备处于攻防测试场景且安装包括HOOK组件的安全应用程序,则可以获取系统函数的系统调用号。
以此方式,可以仅在电子设备处于攻防测试场景且安装包括HOOK组件的安全应用程序的情况下,才开展后续绕过HOOK挂钩检测的步骤,提高电子设备的资源利用率与安全性。
可选地,可以获取电子设备的系统版本,从系统版本对应的系统调用表中,快速查找系统函数的系统调用号。其中,系统版本可以是Windows XP、Windows 8、Windows 10等,也可以是其他32位或64位的系统版本,在此不做限制。需要注意的是,系统调用表需要定时维护,保证有效性。
此外,也可以从应用程序的进程环境信息块(Process Enviroment Block,PEB)中提取Ntdll.dll的地址,基于Ntdll.dll的地址,确定系统函数的系统调用号。具体地,可以基于Ntdll.dll的地址,从Ntdll.dll的导出表中确定与系统函数对应的目标函数的地址,基于目标函数的地址,从目标函数中提取系统函数的系统调用号。如此一来,无需查阅系统调用表即可快速获取系统函数的系统调用号。
S140,基于Syscall加载系统调用号,调用系统函数。
具体地,可以将系统调用号写入至寄存器,并调用软中断指令,跳转至内核,在内核中查找系统调用号对应的函数入口地址,基于函数入口地址,快速调用系统函数。
根据本公开实施例,可以响应于应用程序发起的系统函数调用请求,检测电子设备的运行场景,若电子设备处于攻防测试场景,则获取系统函数的系统调用号,并基于Syscall加载系统调用号,直接调用系统函数,从而绕过相关检测并进行敏感操作,促使攻防测试正常进行。
下面结合一个具体的实施例对本公开提供的系统函数调用方法进行详细介绍,具体如下:
假设电子设备运行的应用程序需要调用系统函数VirtualAllc,则电子设备可以获取应用程序发起得系统函数调用请求,响应于该系统函数调用请求,检测电子设备的运行场景,以及电子设备是否安装包括HOOK组件的安全应用程序。
若电子设备处于攻防测试场景且安装包括HOOK组件的安全应用程序,则可以从应用程序的PEB中提取Ntdll.dll的地址,基于Ntdll.dll的地址,从Ntdll.dll的导出表中确定与VirtualAllc对应的NtAllocateVirtualMemory的地址,基于NtAllocateVirtualMemory的地址,从NtAllocateVirtualMemory中提取VirtualAllc的系统调用号。
然后将系统调用号写入至寄存器,并调用软中断指令,跳转至内核,在内核中查找系统调用号对应的函数入口地址,基于函数入口地址,快速调用VirtualAllc。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图2示出了根据本公开的实施例提供的一种系统函数调用装置的结构图,如图2所示,系统函数调用装置200可以包括:
获取模块210,用于获取应用程序发起的系统函数调用请求。
检测模块220,用于响应于系统函数调用请求,检测电子设备的运行场景。
获取模块210,还用于若电子设备处于攻防测试场景,则获取系统函数的系统调用号。
调用模块230,用于基于Syscall加载系统调用号,调用系统函数。
在一些实施例中,检测模块220具体用于:
检测电子设备的工作模式。
根据工作模式确定电子设备的运行场景。
在一些实施例中,检测模块220还用于响应于系统函数调用请求,检测电子设备是否安装包括HOOK组件的安全应用程序。
获取模块210具体用于:
若电子设备处于攻防测试场景且安装包括HOOK组件的安全应用程序,则获取系统函数的系统调用号。
在一些实施例中,获取模块210具体用于:
获取电子设备的系统版本。
从系统版本对应的系统调用表中,查找系统函数的系统调用号。
在一些实施例中,获取模块210具体用于:
从应用程序的PEB中提取Ntdll.dll的地址。
基于Ntdll.dll的地址,确定系统函数的系统调用号。
在一些实施例中,获取模块210具体用于:
基于Ntdll.dll的地址,从Ntdll.dll的导出表中确定与系统函数对应的目标函数的地址。
基于目标函数的地址,从目标函数中提取系统函数的系统调用号。
在一些实施例中,调用模块230具体用于:
将系统调用号写入至寄存器,并调用软中断指令,跳转至内核。
在内核中查找系统调用号对应的函数入口地址。
基于函数入口地址,调用系统函数。
可以理解的是,图2所示系统调用装置200中的各个模块/单元具有实现本公开实施例提供的系统调用方法100中的各个步骤的功能,并能达到其相应的技术效果,为了简洁,在此不再赘述。
图3示出了一种可以用来实施本公开的实施例的电子设备的结构图。电子设备300旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备300还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图3所示,电子设备300可以包括计算单元301,其可以根据存储在只读存储器(ROM)302中的计算机程序或者从存储单元308加载到随机访问存储器(RAM)303中的计算机程序,来执行各种适当的动作和处理。在RAM303中,还可存储电子设备300操作所需的各种程序和数据。计算单元301、ROM302以及RAM303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
电子设备300中的多个部件连接至I/O接口305,包括:输入单元306,例如键盘、鼠标等;输出单元307,例如各种类型的显示器、扬声器等;存储单元308,例如磁盘、光盘等;以及通信单元309,例如网卡、调制解调器、无线通信收发机等。通信单元309允许电子设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元301的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元301执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机程序产品,包括计算机程序,其被有形地包含于计算机可读介质,例如存储单元308。在一些实施例中,计算机程序的部分或者全部可以经由ROM302和/或通信单元309而被载入和/或安装到设备300上。当计算机程序加载到RAM303并由计算单元301执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元301可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,计算机可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。计算机可读介质可以是计算机可读信号介质或计算机可读储存介质。计算机可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。计算机可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
需要注意的是,本公开还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行方法100,并达到本公开实施例执行其方法达到的相应技术效果,为简洁描述,在此不再赘述。
另外,本公开还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,计算机程序在被处理器执行时实现方法100。
为了提供与用户的交互,可以在计算机上实施以上描述的实施例,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将以上描述的实施例实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (10)
1.一种系统函数调用方法,其特征在于,所述方法包括:
获取应用程序发起的系统函数调用请求;
响应于所述系统函数调用请求,检测电子设备的运行场景;
若所述电子设备处于攻防测试场景,则获取系统函数的系统调用号;
基于Syscall加载所述系统调用号,调用所述系统函数。
2.根据权利要求1所述的方法,其特征在于,所述检测电子设备的运行场景,包括:
检测所述电子设备的工作模式;
根据所述工作模式确定所述电子设备的运行场景。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述系统函数调用请求,检测所述电子设备是否安装包括HOOK组件的安全应用程序;
所述若所述电子设备处于攻防测试场景,则获取系统函数的系统调用号,包括:
若所述电子设备处于攻防测试场景且安装包括HOOK组件的安全应用程序,则获取所述系统函数的系统调用号。
4.根据权利要求1所述的方法,其特征在于,所述获取系统函数的系统调用号,包括:
获取所述电子设备的系统版本;
从所述系统版本对应的系统调用表中,查找所述系统函数的系统调用号。
5.根据权利要求1所述的方法,其特征在于,所述获取系统函数的系统调用号,包括:
从所述应用程序的PEB中提取Ntdll.dll的地址;
基于Ntdll.dll的地址,确定所述系统函数的系统调用号。
6.根据权利要求5所述的方法,其特征在于,所述基于Ntdll.dll的地址,确定所述系统函数的系统调用号,包括:
基于Ntdll.dll的地址,从Ntdll.dll的导出表中确定与所述系统函数对应的目标函数的地址;
基于所述目标函数的地址,从所述目标函数中提取所述系统函数的系统调用号。
7.根据权利要求1-6任意一项所述的方法,其特征在于,所述基于Syscall加载所述系统调用号,调用所述系统函数,包括:
将所述系统调用号写入至寄存器,并调用软中断指令,跳转至内核;
在内核中查找所述系统调用号对应的函数入口地址;
基于所述函数入口地址,调用所述系统函数。
8.一种系统函数调用装置,其特征在于,所述装置包括:
获取模块,用于获取应用程序发起的系统函数调用请求;
检测模块,用于响应于所述系统函数调用请求,检测电子设备的运行场景;
所述获取模块,还用于若所述电子设备处于攻防测试场景,则获取系统函数的系统调用号;
调用模块,用于基于Syscall加载所述系统调用号,调用所述系统函数。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111564979.1A CN114363017A (zh) | 2021-12-20 | 2021-12-20 | 系统函数调用方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111564979.1A CN114363017A (zh) | 2021-12-20 | 2021-12-20 | 系统函数调用方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114363017A true CN114363017A (zh) | 2022-04-15 |
Family
ID=81100666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111564979.1A Pending CN114363017A (zh) | 2021-12-20 | 2021-12-20 | 系统函数调用方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363017A (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106059826A (zh) * | 2016-07-08 | 2016-10-26 | 中国电子科技集团公司电子科学研究院 | 一种虚拟化平台的监控方法和装置 |
| CN113676472A (zh) * | 2021-08-18 | 2021-11-19 | 国网湖南省电力有限公司 | 电力行业可扩展式蜜罐溯源反制方法 |
-
2021
- 2021-12-20 CN CN202111564979.1A patent/CN114363017A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106059826A (zh) * | 2016-07-08 | 2016-10-26 | 中国电子科技集团公司电子科学研究院 | 一种虚拟化平台的监控方法和装置 |
| CN113676472A (zh) * | 2021-08-18 | 2021-11-19 | 国网湖南省电力有限公司 | 电力行业可扩展式蜜罐溯源反制方法 |
Non-Patent Citations (5)
| Title |
|---|
| ADMIN: "edr免杀之syscall", pages 1, Retrieved from the Internet <URL:cn-sec.com/archives/671488.html> * |
| DITUICYQZ: "系统调用表与系统调用号-=>数组与下标", Retrieved from the Internet <URL:https://blog.csdn.net/fuli911/article/details/109238501> * |
| HAZIR: "Linux 下系统调用的三种方法", Retrieved from the Internet <URL:https://www.cnblogs.com/hazir/p/three_methods_of_syscall.html> * |
| 张亚航;刘波;韩啸;姜电波;靳远游;: "Windows系统下多种Rootkit隐藏方式分析以及探测方法研究", 信息网络安全, no. 05 * |
| 西京刀客: "Linux系统调用号列表、系统调用的三种方式", Retrieved from the Internet <URL:https://blog.csdn.net/inthat/article/details/117295940> * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2856268C (en) | Methods of detection of software exploitation | |
| CN107390983B (zh) | 业务指令执行方法、客户端和存储介质 | |
| CN106789973B (zh) | 页面的安全性检测方法及终端设备 | |
| CN112965799B (zh) | 任务状态的提示方法、装置、电子设备和介质 | |
| CN114157480A (zh) | 网络攻击方案的确定方法、装置、设备和存储介质 | |
| JP6018344B2 (ja) | 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム | |
| CN114363017A (zh) | 系统函数调用方法、装置、设备和存储介质 | |
| CN115080003A (zh) | 零代码平台的运行方法、装置、电子设备及存储介质 | |
| CN114329149A (zh) | 页面信息自动抓取的检测方法、装置、电子设备及可读存储介质 | |
| CN111506499B (zh) | 一种小程序中参数可用性检测方法、装置以及电子设备 | |
| CN114116373A (zh) | 一种网络请求监控方法、装置、电子设备及存储介质 | |
| CN108664253B (zh) | 应用替换方法、装置、存储介质及电子设备 | |
| CN113254932A (zh) | 应用程序的风险检测方法、装置、电子设备和介质 | |
| CN114422944B (zh) | 虚拟位置数据的提供方法、装置、设备和存储介质 | |
| CN112540804A (zh) | 小程序运行方法及装置、电子设备、介质 | |
| CN114398233B (zh) | 一种负载异常检测方法、装置、服务器和存储介质 | |
| US20140283132A1 (en) | Computing application security and data settings overrides | |
| CN114428646B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN115953889B (zh) | 一种防拆功能检测方法、系统、装置、设备及存储介质 | |
| CN113268300B (zh) | 信息显示方法及装置 | |
| CN114237752B (zh) | 推送页面的显示方法、装置、电子设备和存储介质 | |
| CN114791996B (zh) | 信息处理方法、装置、系统、电子设备及存储介质 | |
| CN117235784A (zh) | 应用程序生成及隐私检测方法、装置、设备及存储介质 | |
| CN117852043A (zh) | 异常设备的确定方法、装置、电子设备以及存储介质 | |
| US8739188B2 (en) | System, method and computer program product for deferring interface monitoring based on whether a library associated with the interface is loaded |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220415 |