[发明专利]定位被改写代码段所在进程的方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种定位被改写代码段所在进程的方法及装置。

背景技术

某些带操作系统的处理器，例如TI64X系列芯片，代码段和数据段是统一编址的，造成代码段很容易被改写，而且被改写代码和改写内容往往是随机的，造成代码段被改写很难定位，这种情况下，确定是那块程序运行引起的代码段改写是非常困难的。

目前的处理器设计时，在操作系统的任务切换间添加了进程切换记录，当驱动检测到处理器故障时，会将处理器状态记录下来，通过进程切换记录进行分析和定位问题。如果代码段被改写，造成了处理器进入死循环或者进入驱动异常进程，此时记录进程切换信息，从而可以通过进程切换记录，查找最近被哪些进程调用，并基本可以确定就是在这些进程的调用过程中，造成了代码改写。

但是，代码段被改写往往是一个循序渐进的过程，常常是某些代码段被改写还不足以导致系统故障，那么此时驱动认为系统正常，不会及时获取并分析进程切换记录来定位问题。当代码段被改写的范围扩大，出现多处代码段被改写以致系统故障时，驱动才会对历史进程切换记录进行分析来定位问题，但是此时获取的进程切换记录已经非常繁多。可见，由于没有及时分析进程切换记录，在发现系统故障时不得不分析众多历史进程切换记录。在众多历史进程切换记录中，几乎无法获知哪些代码先被改写、被哪些进程改写。由此，这种仅依靠进程切换记录的方式，针对性不明确，很难确定是由哪个进程引起的代码段改写。

发明内容

本发明目的是提供一种定位被改写代码段所在进程的方法及装置，实现对被改写代码段所在进程的精确定位。

为此，本发明实施例采用如下技术方案：

一种定位被改写代码段所在进程的方法，包括步骤：备份代码段信息；利用代码段备份信息，在操作系统空闲进程或操作系统的任务切换期间，核查运行的代码段是否被改写，若是，立即获取核查到代码段被改写最近的进程切换记录；分析所述进程切换记录，确定被改写代码段所在进程。

优选地，所述代码段备份信息包括代码段副本和代码段校验值；核查运行的代码段是否被改写的过程是：计算运行的代码段的校验值，比较计算的校验值与备份的校验值是否一致，若否，确定代码段被改写；再利用代码段副本对上述被改写代码段逐字比较，从而确定被改写代码段的具体字段。

或者，所述代码段备份信息是指代码段副本；核查运行的代码段是否被改写的过程是：逐字比较运行中的代码段和代码段副本是否一致，若否，则确定运行的代码段被改写。

或者，所述代码段备份信息是指代码段校验值；核查运行的代码段是否被改写的过程是：计算运行中的代码段的校验值，比较计算出的校验值与备份的校验值是否一致；若否，则确定运行的代码段被改写。

所述方法还包括：备份代码段校验值的检验值；在运行的代码段校验值与备份代码段校验值一致时，计算运行中的代码段校验值的检验值，并比较计算的检验值与备份的检验值是否一致，若否，则确定运行的代码段被改写。

所述代码段的校验值，是指代码段逐字累加之和、代码段逐字作与操作的结果，或者代码段逐字作异或操作的结果；所述代码段校验值的检验值，是指校验值逐字累加之和、校验值逐字作与操作的结果，或者校验值逐字作异或操作的结果。

所述方法还包括：确定代码段备份信息中包含代码段副本时，利用所述代码段副本更新确定的进程中被改写的代码段。

一种定位被改写代码段所在进程的装置，包括：获取单元，用于获取进程切换记录；定位单元，用于依据所述获取单元提供的进程切换记录，确定被改写代码段所在进程；所述装置还包括：备份单元，存储有代码段信息；核查单元，利用所述备份单元提供的代码段信息，在操作系统空闲进程或操作系统的任务切换期间，核查运行中的代码段是否被改写；指示单元，从所述核查单元获知运行中的代码段被改写时，立即启动所述获取单元；

获取单元还用于：在进行所述进程切换记录的获取时获取核查到代码段被改写最近的进程切换记录。

所述备份单元存储的代码段信息，是指代码段副本，代码段校验值，代码段校验值与校验值的检验值，代码段副本与代码段校验值，或者，代码段副本、代码段校验值与校验值的检验值的集合。

所述装置还包括：恢复单元，利用所述备份单元提供的代码段副本，更新所述定位单元确定的进程中被改写的代码段。

对于上述技术方案的技术效果分析如下：