[发明专利]获取远程计算机信息的方法及装置

说明书

技术领域

 本发明实施例涉及计算机技术，特别涉及一种获取远程计算机信息的方法及装置。 

背景技术

一些计算机病毒是利用操作系统漏洞、用户空口令账户或弱口令账户对远程计算机进行攻击的恶意代码，这些病毒在局域网中感染和传播迅速，难于彻底清除。 

现有的软件防火墙能够在远程计算机向本地计算机发出网络连接请求或发起攻击时报警，软件防火墙可以从远程计算机发出的请求包中获取远程计算机信息，但是软件防火墙无法区分远程计算机发起的请求是正常访问还是网络攻击，因此，容易造成误报警，甚至造成局域网中计算机无法正常通信访问。 

现有的杀毒软件当远程计算机在本地计算机上生成恶意程序或者修改本地计算机上的用户程序时，能够根据行为特征或者病毒特征码发现病毒并报警。该方法主要是在识别出病毒后对病毒加以清除，而无法获知传播病毒的远程计算机信息，因此很难有效遏制病毒在局域网内的传播。 

发明内容

本发明实施例提供一种获取远程计算机信息的方法及装置，用以在监控到文件操作后区分正常文件操作和异常文件操作，并根据文件操作的函数调用栈的参数来获取远程计算机信息，实现发现病毒入侵后的第一时间准确报警及定位病毒来源，进而可以实现对病毒的迅速拦截及对发起攻击的远程计算机进行维护。 

一方面，本发明实施例提供一种获取运程计算机信息的方法，该方法包括： 

当监控到文件操作时，将所述文件操作分为正常文件操作或异常文件操作； 

若所述正常文件操作或所述异常文件操作属于系统进程，则判断所述正常文件操作或所述异常文件操作对应的线程的起始地址是否位于所述系 统进程中处理远程文件访问的模块内； 

若所述起始地址位于所述处理远程文件访问的模块内，则： 

a、获取当前函数调用栈的栈帧及返回地址； 

b、若所述当前函数调用栈的返回地址在所述处理远程文件访问的模块内，则根据所述当前函数调用栈的栈帧获取所述当前函数调用栈的至少一个调用参数； 

c、若所述当前函数调用栈的至少一个调用参数为有效的数据结构指针，则判断所述当前函数调用栈的至少一个调用参数是否符合远程访问传递的数据结构类型； 

d、若所述当前函数调用栈的至少一个调用参数符合所述数据结构类型，则根据所述当前函数调用栈的至少一个调用参数指向的内存块固定偏移位置获取所述异常文件操作对应的远程计算机信息。 

另一方面，本发明实施例还提供一种获取远程计算机信息的装置，该装置包括： 

解析模块，用于当监控到文件操作时，将所述文件操作分为正常文件操作或异常文件操作； 

判断模块，用于若所述正常文件操作或所述异常文件操作属于系统进程，则判断所述正常文件操作或所述异常文件操作对应的线程的起始地址是否位于所述系统进程中处理远程文件访问的模块内； 

第一获取子模块，用于获取当前函数调用栈或上一层函数调用栈的栈帧及返回地址； 

第一判断子模块，用于判断所述当前函数调用栈或所述上一层函数调用栈的返回地址是否在所述处理远程文件访问的模块内； 

第二获取子模块，用于若所述当前函数调用栈减所述上一层函数调用栈的返回地址在所述处理远程文件访问的模块内，根据所述当前函数调用栈或所述上一层函数调用栈栈帧获取所述当前函数调用栈或所述上一层函数调用栈的至少一个调用参数； 

第二判断子模块，用于判断所述当前函数调用栈或所述上一层函数调用栈的至少一个调用参数是否为数据结构指针以及是否有效； 

第三判断子模块，用于若所述当前函数调用栈或所述上一层函数调用栈的至 少一个调用参数为数据结构指针且有效，判断所述当前函数调用栈或所述上一层函数调用栈的至少一个调用参数是否符合远程访问传递的数据结构类型； 

处理子模块，用于若所述当前函数调用栈或所述上一层函数调用栈的至少一个调用参数符合远程访问传递的数据结构类型，根据所述当前函数调用栈或所述上一层函数调用栈的至少一个调用参数指向的内存块固定偏移位置获取所述操作对应的远程计算机信息；