[发明专利]一种监控应用程序行为的方法及装置

权利要求书

1.一种监控应用程序行为的方法，其特征在于，所述方法包括：

向应用程序加入新段，向创建线程函数和访问文件/注册表函数加入相同的代码段，所述新段用于调用所述创建线程函数中的代码段和所述访问文件/注册表函数中的代码段，所述代码段用于截取所述创建线程函数和所述访问文件/注册表函数的配置参数，监控所述创建线程函数和所述访问文件/注册表函数的操作过程，并以日志信息的形式记录监控的结果；

应用程序启动后，所述应用程序包括的新段调用创建线程函数包括的代码段，所述创建线程函数包括的代码段获取处理应用程序的线程号；

所述新段调用访问文件/注册表函数包括的代码段，所述访问文件/注册表函数包括的代码段监控所述访问文件/注册表函数的操作功能，并记录所述操作功能对应的日志信息；

在所述应用程序退出时，按所述获取的线程号输出所述监控的结果；

其中，所述访问文件/注册表函数包括的代码段监控所述访问文件/注册表函数的操作功能，并记录所述操作功能对应的日志信息，具体包括：

判断所述调用的访问文件/注册表函数的操作功能；

若是根据所述应用程序使用的句柄进行创建新句柄的操作，则进一步判断是否成功的创建所述新句柄，若成功创建新句柄，则记录监控的结果包括获取的线程号、创建线程函数名称、访问文件/注册表函数名称、新资源名、返回值，否则，记录监控的结果包括所述获取的线程号、创建线程函数名称、访问文件/注册表函数的名称、新资源名、错误代码；

若是对所述句柄进行读取或修改，则记录监控的结果包括所述线程号、创建线程函数名称、访问文件/注册表函数名称、资源名、操作内容、错误/正确信息；

若是关闭所述句柄，则记录监控的结果包括所述线程号、创建线程函数名称、访问文件/注册表函数名称、资源名、操作内容、错误/正确信息。

2.根据权利要求1所述一种监控应用程序行为的方法，其特征在于，所述向应用程序加入新段，具体包括：

在调试符号与输出函数表之间创建了一个新段，所述新段包含有新的可移植的执行体PE头与一个新的函数输入表，所述新的PE头是通过将原PE头复制得到的PE头，同时修改了所述原PE头使之指向所述新的函数输入表。

3.根据权利要求2所述一种监控应用程序行为的方法，其特征在于，所述新的输入表调用所述创建线程函数包括的代码段和所述访问文件/注册表函数包括的代码段。

4.根据权利要求1所述一种监控应用程序行为的方法，其特征在于，所述创建线程函数包括的代码段获取处理应用程序的线程号，具体包括：

所述创建线程函数包括的代码段链接到对应的创建线程函数，所述创建线程函数获取处理所述应用程序的线程号。

5.根据权利要求4所述一种监控应用程序行为的方法，其特征在于，所述创建线程函数为所述应用程序打开的文件或注册表项创建句柄，其中，文件名称或注册表项名称统称为资源名；

记录所述资源名与句柄之间的映射关系。

6.根据权利要求5所述一种监控应用程序的方法，其特征在于，所述资源名与句柄之间的映射关系记录在全局的数据结构中。