[发明专利]一种Windows平台下对抗API挂接的方法有效
| 申请号: | 200610021856.2 | 申请日: | 2006-09-14 |
| 公开(公告)号: | CN1936834A | 公开(公告)日: | 2007-03-28 |
| 发明(设计)人: | 邝思豪 | 申请(专利权)人: | 珠海金山软件股份有限公司 |
| 主分类号: | G06F9/44 | 分类号: | G06F9/44;G06F21/00 |
| 代理公司: | 成都天嘉专利事务所 | 代理人: | 徐丰 |
| 地址: | 510195广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种Windows平台下对抗API挂接的方法,其特征在于:进程调用API函数CreateFile打开提供API的PE文件,再将打开的PE文件映射到虚拟内存缓冲区,取得API在虚拟内存缓冲区内的偏移量,记为偏移一,然后进程通过调用API函数GetProcAddress取得API在进程空间的偏移量,记为偏移二,最后通过判断比较两个偏移的内容,将与偏移一不相同的偏移二的内容恢复成偏移一的内容;本发明从PE文件分析得出API原来的内容,并保证得到API内容的正确性,实现对抗API挂接;提高恶意进程挂接API的难度,恶意进程须改写PE文件才能实现挂接,这时在Windows NT平台下将触发Windows FileProtection机制。 | ||
| 搜索关键词: | 一种 windows 平台 对抗 api 方法 | ||
【主权项】:
1、一种Windows平台下对抗API挂接的方法,其特征在于:进程调用API函数CreateFile打开提供API的PE文件,再将打开的PE文件映射到虚拟内存缓冲区,取得API在虚拟内存缓冲区内的偏移量,记为偏移一,然后进程通过调用API函数GetProcAddress取得API在进程空间的偏移量,记为偏移二,最后通过判断比较两个偏移的内容,将与偏移一不相同的偏移二的内容恢复成偏移一的内容。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于珠海金山软件股份有限公司,未经珠海金山软件股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200610021856.2/,转载请声明来源钻瓜专利网。
