[发明专利]一种未导出的函数地址和数据结构偏移的获取方法及装置

说明书

本发明公开了一种未导出的函数地址和数据结构偏移的获取方法及装置，用以实现未导出的函数地址和数据结构偏移的自动获取，以解决现有技术中靠人工获取未导出的函数地址和数据结构偏移所造成的人力浪费问题，同时提高系统的支持效率。其中，所述方法包括：当待监控系统的内核执行到断点时，调用控制函数，通过所述控制函数找出与所述指定函数存在访问关系的所述未导出的函数地址和/或数据结构偏移的函数，获取所述未导出的函数地址和/或数据结构偏移的函数的数据属性；其中所述数据属性是所述未导出的函数地址和/或数据结构偏移的属性信息；所述内核根据所述数据属性，确定所述未导出的函数地址和/或数据结构偏移。

技术领域

本发明涉及网络安全技术，特别涉及一种未导出的函数地址和数据结构偏移的获取方法及装置。

背景技术

基于虚拟机的软件监控技术是利用虚拟机技术，以实现在最底层对操作系统中的进程、线程、模块、文件、网络等行为进行监控。利用该技术，我们就可以针对各种对操作系统产生的危害可以进行分析处理了。但基于虚拟机的软件监控技术基本上要依赖于特定的操作系统，如特定的操作种类(Windows,Linux)，特定的版本(Windows XP/7,Debian 7/8)，特定的内核编译选项等等约束。

目前，基于虚拟机的软件监控技术一般有如下几种方式：纯用户态的软件监控技术、基于驱动程序的软件监控技术、基于代理程序和虚拟机结合的软件监控技术和纯虚拟机的软件监控技术。其中，纯虚拟机的软件监控技术对监控的目标程序完全透明，目标程序无法知道监控机制的存在，而且还可以做全系统监控，从用户态到内核态，所有进程、线程、指令等都能实现监控；而且，此技术完全在虚拟机层面来实现对内部的操作系统进行监控，不需要借助操作系统的任何代理程序即可完成监控而成为主要的监控方式，基于上述各种优点，使得纯虚拟机的软件监控技术成为目前监控的主要方式。但是，该利用纯虚拟机的软件监控技术进行监控时，必须要知道被监控操作系统的内部关键函数的位置和关键数据结构的定义，否则无法从操作系统外层来区分哪些数据是描述进程对象的，哪些数据是描述文件对象的。因此要实现这种监控技术，首先要明确被监控的操作系统的种类，版本等各种信息，通过操作系统的关键文件(例如内核文件)，自动或者人工的分析出关键的函数位置和关键的数据结构定义。比如Windows系统，可以通过内核文件的PDB文件，来获取关键函数和关键数据结构。这个可以使用程序自动化完成。如果是Linux系统，一般情况下，Linux系统的内核文件内部有一段符号信息。虽然这些符号信息可以定位某些关键函数(但并非所有)，但符号信息中不包含数据结构的信息。Linux数据结构信息虽然在源代码里都有，但不同的版本很多都是有差异的，即便是同一个版本，不同的编译选项，也会造成数据结构的差异，对于这些差异，现有技术基本上只能是支持已知版本，已知编译选项的Linux系统的监控。对于未知版本，未知编译选项，只能靠人工逆向的方式来确定，这样很浪费人力和时间。

发明内容

本发明实施例提供了一种未导出的函数地址的获取方法及装置，用以实现未导出的函数地址的自动获取，以解决现有技术中靠人工获取未导出的函数地址所造成的人力浪费问题，同时提高系统支持效率。

本发明实施例提供了一种未导出的函数地址和数据结构偏移的获取方法，所述方法包括：

在从待监控系统的内核文件直接获取到的地址中选择合适的地址作为固定点；

从待监控系统的内核文件中找出与所述未导出的函数地址和/或数据结构偏移的函数存在访问关系的指定函数，并在所述固定点处将所述指定函数的地址设置为断点；

当待监控系统的内核执行到所述断点时，调用控制函数，通过所述控制函数找出与所述指定函数存在访问关系的所述未导出的函数地址和/或数据结构偏移的函数，获取所述未导出的函数地址和/或数据结构偏移的函数的数据属性；其中所述数据属性是所述未导出的函数地址和/或数据结构偏移的属性信息；

所述内核根据所述数据属性，确定所述未导出的函数地址和/或数据结构偏移。