一種繞過計(jì)算機(jī)系統(tǒng)應(yīng)用層檢測的方法

基本信息

申請(qǐng)?zhí)?/td> CN202111404412.8 申請(qǐng)日 -
公開(公告)號(hào) CN114047984A 公開(公告)日 2022-02-15
申請(qǐng)公布號(hào) CN114047984A 申請(qǐng)公布日 2022-02-15
分類號(hào) G06F9/448(2018.01)I;G06F8/53(2018.01)I;G06F21/54(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 廖麗文 申請(qǐng)(專利權(quán))人 北京獵鷹安全科技有限公司
代理機(jī)構(gòu) 北京康盛知識(shí)產(chǎn)權(quán)代理有限公司 代理人 李欣芮
地址 100041北京市石景山區(qū)實(shí)興大街30號(hào)院3號(hào)樓2層A-0003房間
法律狀態(tài) -

摘要

摘要 本發(fā)明提出一種繞過計(jì)算機(jī)系統(tǒng)應(yīng)用層檢測的方法,包括以下步驟:計(jì)算機(jī)系統(tǒng)應(yīng)用層將需要調(diào)用的函數(shù)參數(shù)打包,傳送至驅(qū)動(dòng);驅(qū)動(dòng)讀取動(dòng)態(tài)鏈接庫ntdll.dll文件,導(dǎo)出需要調(diào)用函數(shù)的入口,解析出調(diào)用號(hào);讀取內(nèi)核文件,解析出系統(tǒng)函數(shù)調(diào)用表;根據(jù)調(diào)用號(hào)和系統(tǒng)函數(shù)調(diào)用表解析出內(nèi)核中需要調(diào)用函數(shù)的地址;根據(jù)地址調(diào)用需要調(diào)用的函數(shù)。該方法通過跟驅(qū)動(dòng)通訊來達(dá)到調(diào)用某些函數(shù)時(shí)繞過計(jì)算機(jī)系統(tǒng)應(yīng)用層檢測的目的,該方法在內(nèi)核態(tài)實(shí)現(xiàn),相比現(xiàn)有方法更為底層,難以檢測,也可以減少程序運(yùn)行時(shí)與其它安全程序的沖突。