[发明专利]一种Windows操作系统下钩子的检测方法无效
| 申请号: | 200910088251.9 | 申请日: | 2009-07-14 |
| 公开(公告)号: | CN101620658A | 公开(公告)日: | 2010-01-06 |
| 发明(设计)人: | 陈向群;白光冬;赵霞;郭耀 | 申请(专利权)人: | 北京大学 |
| 主分类号: | G06F21/22 | 分类号: | G06F21/22 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙) | 代理人: | 冯艺东 |
| 地址: | 100871北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种Windows操作系统下钩子的检测方法,属于信息安全技术领域。本发明方法包括:i.对于待检测操作系统,获得系统内核中已加载的所有模块的信息,包括模块加载到内存中的起始地址和终止地址;ii.获得系统内核跳转表;iii.遍历跳转表中的各个表项,获得表项中的地址,并根据步骤i所述的起始地址和终止地址判断所述地址所属的内核模块;iv.若所述内核模块不是合法的系统模块,则所述地址不合法,则所述待检测操作系统被设置了钩子。本发明方法还可包括v.用正确的系统调用或中断处理函数的入口地址替换所述不合法地址。本发明方法可用于在Windows操作系统下检测基于钩子技术的恶意软件。 | ||
| 搜索关键词: | 一种 windows 操作系统 钩子 检测 方法 | ||
【主权项】:
1.一种Windows操作系统下钩子的检测方法,包括下列内核级检测方法:i.对于待检测操作系统,获得系统内核中已加载的所有模块的信息,所述信息包括所述模块加载到内存中的起始地址和终止地址;ii.获得系统内核中的跳转表的基地址,从而获得所述跳转表;iii.遍历所述跳转表中的各个表项,对于每个表项,获得所述表项中的地址,并根据步骤i所述的起始地址和终止地址判断所述地址所属的内核模块;iv.若所述内核模块不是合法的系统模块,则所述地址不合法,则所述待检测操作系统被设置了钩子。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京大学,未经北京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200910088251.9/,转载请声明来源钻瓜专利网。
- 上一篇:一种利用河道地标间接定位识别立体建筑物的方法
- 下一篇:全文检索方法及系统
