[发明专利]产生及利用特征码以监测程序的装置及方法

权利要求书

1.一种产生特征码以监测程序的装置，其特征在于包含：

呼叫模块，用以使该程序通过第一应用程序接口呼叫函式；

记录模块，用以记录该第一应用程序接口呼叫该函式后的第一返回地址；以及

产生模块，用以根据该第一返回地址产生该特征码；

其中，该特征码被用以与该程序于再次执行时以同样步骤所产生的监测码比对，以决定该程序是否受到攻击。

2.根据权利要求1所述的装置，其特征在于该呼叫模块还用以使该程序还通过第二应用程序接口呼叫该函式，该记录模块还用以记录该第二应用程序接口呼叫该函式后的第二返回地址；以及该产生模块还用以根据该第二返回地址产生该特征码。

3.根据权利要求2所述的装置，其特征在于该产生模块包含：

运算模块，用以对该第一返回地址及该第二返回地址进行逻辑运算以得该特征码。

4.根据权利要求2所述的装置，其特征在于该产生模块包含：

移位模块，用以将该第二返回地址的多个位元移位预定长度；以及

运算模块，用以将移位的结果与该第一返回地址进行互斥逻辑运算以得该特征码。

5.根据权利要求2所述的装置，其特征在于该记录模块包含：

有限状态机，用以记录该第一返回地址及记录该第二返回地址。

6.根据权利要求2所述的装置，其特征在于还包含：

储存模块，用以储存该特征码。

7.根据权利要求2所述的装置，其特征在于该呼叫模块使该程序通过该第一应用程序接口直接呼叫该函式，且使该程序通过该第二应用程序接口呼叫储存该函式的数据库。

8.根据权利要求2所述的装置，其特征在于该装置使用于微软窗口操作系统，该第一应用程序接口为LoadLibraryA()，且该第二应用程序接口为GetProcAddress()。

9.一种利用特征码以监测程序的装置，其特征在于包含：

呼叫模块，用以使该程序通过第一应用程序接口呼叫函式；

记录模块，用以记录该第一应用程序接口呼叫该函式后的第一返回地址；

产生模块，用以根据该第一返回地址产生监测码；以及

判断模块，用以判断该监测码与该特征码是否相同；

其中，该特征码为该程序于再次执行时以同样步骤所产生的，以及若该监测码与该特征码不同，该产生模块还用以产生信息用以表示该程序受到攻击。

10.根据权利要求9所述的装置，其特征在于该呼叫模块还用以使该程序还通过第二应用程序接口呼叫该函式，该记录模块还用以记录该第二应用程序接口呼叫该函式后的第二返回地址；以及该产生模块还用以根据该第二返回地址产生该监测码。

11.根据权利要求10所述的装置，其特征在于该产生模块对该第一返回地址及该第二返回地址进行逻辑运算以得该监测码。

12.根据权利要求10所述的装置，其特征在于该产生模块包含：

移位模块，用以将该第二返回地址的多个位元移位预定长度；以及

运算模块，用以将移位的结果与该第一返回地址进行互斥逻辑运算以得该监测码。

13.根据权利要求10所述的装置，其特征在于该记录模块包含：

有限状态机，用以记录该第一返回地址及记录该第二返回地址。

14.根据权利要求10所述的装置，其特征在于该呼叫模块使该程序通过该第一应用程序接口直接呼叫该函式，且使该程序通过该第二应用程序接口呼叫储存该函式的数据库。

15.根据权利要求10所述的装置，其特征在于该装置系使用于微软窗口操作系统，该第一应用程序接口为LoadLibraryA()，且该第二应用程序接口为GetProcAddress()。

16.一种产生特征码以监测程序的方法，其特征在于包含下列步骤：

使该程序通过第一应用程序接口呼叫函式；

记录该第一应用程序接口呼叫该函式后的第一返回地址；以及

根据该第一返回地址产生该特征码；

其中，该特征码被用以与该程序于再次执行时以同样步骤所产生的监测码比对，以决定该程序是否受到攻击。