[发明专利]获取远程计算机信息的方法及装置

权利要求书

1.一种获取远程计算机信息的方法，其特征在于，包括：

当监控到文件操作时，将所述文件操作分为正常文件操作或异常文件 操作；

若所述正常文件操作或所述异常文件操作属于系统进程，则判断所述 正常文件操作或所述异常文件操作对应的线程的起始地址是否位于所述系 统进程中处理远程文件访问的模块内；

若所述起始地址位于所述处理远程文件访问的模块内，则：

a、获取当前函数调用栈的栈帧及返回地址；

b、若所述当前函数调用栈的返回地址在所述处理远程文件访问的模块 内，则根据所述当前函数调用栈的栈帧获取所述当前函数调用栈的至少一 个调用参数；

c、若所述当前函数调用栈的至少一个调用参数为有效的数据结构指 针，则判断所述当前函数调用栈的至少一个调用参数是否符合远程访问传 递的数据结构类型；

d、若所述当前函数调用栈的至少一个调用参数符合所述数据结构类 型，则根据所述当前函数调用栈的至少一个调用参数指向的内存块固定偏 移位置获取所述异常文件操作对应的远程计算机信息。

2.根据权利要求1所述的获取远程计算机信息的方法，其特征在于， 还包括：

若所述文件操作为正常文件操作，则对所述正常文件操作及对应的远 程计算机信息进行记录；若所述文件操作为异常文件操作，则产生报警信 号。

3.根据权利要求1或2所述的获取远程计算机信息的方法，其特征在 于，所述将所述文件操作分为正常文件操作或异常文件操作包括：

根据所述文件操作的行为特征将所述文件操作分为正常文件操作或异 常文件操作；或

根据所述文件操作对应的文件特征码将所述文件操作分为正常文件操 作或异常文件操作。

4.根据权利要求1所述的获取远程计算机信息的方法，其特征在于， 所述判断所述正常文件操作或所述异常文件操作对应的线程的起始地址是 否位于所述系统进程中处理远程文件访问的模块内之前还包括：

获取所述系统进程中处理远程文件访问的模块的起始地址及容量信 息。

5.根据权利要求1所述的获取远程计算机信息的方法，其特征在于， 所述判断所述当前函数调用栈的至少一个调用参数是否符合远程访问传递 的数据结构类型包括：

判断所述当前函数调用栈的至少一个调用参数指向的内存块的两个固 定偏移位置存储的数据是否相等；

若相等，则判断所述固定偏移位置存储的数据所指向的数据类型是否 对应同一有效内存；

若是，则判断所述有效内存存储的第一个双字内容是否为远程过程调 用协议数据包标识。

6.根据权利要求1所述的获取远程计算机信息的方法，其特征在于，

若所述当前函数调用栈的至少一个调用参数无效，或所述当前函数调 用栈的至少一个调用参数不是数据结构指针，或若所述至少一个调用参数 不符合所述数据结构类型，则执行：

a’、获取上一层函数调用栈的栈帧及返回地址；

b’、若所述上一层函数调用栈的返回地址在所述处理远程文件访问的 模块内，则根据所述上一层函数调用栈的栈帧获取所述上一层函数调用栈 的至少一个调用参数；

c’、若所述上一层函数调用栈的至少一个调用参数为有效的数据结构 指针，则判断所述上一层函数调用栈的至少一个调用参数是否符合远程访 问传递的数据结构类型；若所述上一层函数调用栈的至少一个调用参数无 效或所述上一层函数调用栈的至少一个调用参数不是数据结构指针，则返 回a’；

d’、若所述上一层函数调用栈的至少一个调用参数符合所述数据结构 类型，则根据所述上一层函数调用栈的至少一个调用参数指向的内存块固 定偏移位置获取所述异常文件操作对应的远程计算机信息；若所述上一层 函数调用栈的至少一个调用参数不符合所述数据结构类型，则返回a’。