[发明专利]用于透明地对应用程序进行插桩的方法和设备

权利要求书

1.一种用于对应用程序进行插桩方法，包括：

将可执行应用程序的至少一部分存储在主机系统物理存储器中的第一主机物理地址处；

对所述可执行应用程序的所述部分的副本进行插桩，并将经过插桩的副本存储在所述主机系统物理存储器的第二主机物理地址处；

对所述第一主机物理地址将相应访问权限设置为只读，并对所述第二主机物理地址将相应访问权限设置为只执行；

至少部分地基于所述访问权限，执行所述经过插桩的副本或读取所述可执行应用程序的所述部分；

生成与所述第一主机物理地址相关联的第一扩展页表以及与所述第二主机物理地址相关联的第二扩展页表；以及

利用第一指令来对存储器扫描器进行插桩，所述第一指令被配置成选择所述第一扩展页表，

其中，所述存储器扫描器被配置成读取所述可执行应用程序的所述部分，所述第一指令被配置成在所述存储器扫描器读取所述可执行应用程序的所述部分之前被执行。

2.如权利要求1所述的方法，还包括：

响应于读取所述第二主机物理地址的尝试或执行存储在所述第一主机物理地址处的所述可执行应用程序的所述部分的尝试，生成页错误。

3.如权利要求2所述的方法，还包括：

确定所述页错误的类型；以及

更新扩展页表条目，以如果所述页错误是执行错误，则对应于所述第二主机物理地址，或如果所述页错误是读取错误，则对应于所述第一主机物理地址。

4.如权利要求1所述的方法，其中，存储器扫描器被配置成读取所述可执行应用程序的所述部分。

5.如权利要求1所述的方法，还包括：

利用第二指令来对所述存储器扫描器进行插桩，所述第二指令被配置成选择所述第二扩展页表，

其中，所述第二指令被配置成在所述存储器扫描器读取了所述可执行应用程序的所述部分之后被执行。

6.如权利要求1所述的方法，还包括：

使用所述经过插桩的副本，监视所述可执行应用程序的执行，其中所述监视被配置成检测恶意软件程序。

7.如权利要求1所述的方法，还包括：

生成与所述第一主机物理地址相关联的第一扩展页表以及与所述第二主机物理地址相关联的第二扩展页表；

响应于读取所述第二主机物理地址的尝试或执行存储在所述第一主机物理地址处的所述可执行应用程序的所述部分的尝试，生成页错误；以及

响应于所述页错误，选择所述第一扩展页表和第二扩展页表中的一个。

8.一种计算系统，包括在其上分别地或组合地存储了当由一个或多个处理器执行时导致包括下列操作的指令一个或多个存储介质：

将可执行应用程序的至少一部分存储在主机系统物理存储器中的第一主机物理地址处；

对所述可执行应用程序的所述部分的副本进行插桩，并将经过插桩的副本存储在所述主机系统物理存储器的第二主机物理地址处；

对所述第一主机物理地址将相应访问权限设置为只读，并对所述第二主机物理地址将相应访问权限设置为只执行；

至少部分地基于所述访问权限，执行所述经过插桩的副本或读取所述可执行应用程序的所述部分；

生成与所述第一主机物理地址相关联的第一扩展页表以及与所述第二主机物理地址相关联的第二扩展页表；以及

利用第一指令来对存储器扫描器进行插桩，所述第一指令被配置成选择所述第一扩展页表，

其中，所述存储器扫描器被配置成读取所述可执行应用程序的所述部分，所述第一指令被配置成在所述存储器扫描器读取所述可执行应用程序的所述部分之前被执行。

9.如权利要求8所述的系统，其中所述指令导致下列附加操作，包括：

响应于读取所述第二主机物理地址的尝试或执行存储在所述第一主机物理地址处的所述可执行应用程序的所述部分的尝试，生成页错误。

10.如权利要求9所述的系统，其中所述指令导致下列附加操作，包括：

确定所述页错误的类型；以及

更新扩展页表条目，以如果所述页错误是执行错误，则对应于所述第二主机物理地址，或如果所述页错误是读取错误，则对应于所述第一主机物理地址。

11.如权利要求8所述的系统，其中存储器扫描器被配置成读取所述可执行应用程序的所述部分。