[发明专利]一种获取计算机程序调度表原始数据的方法及装置

权利要求书

1.一种获取计算机程序调度表原始数据的方法，其特征在于，包括步骤：

将要获取调度表原始数据的计算机程序的原始文件展开到内存中；

对所述计算机程序的原始文件进行重定位处理；

加载所述计算机程序的引入表，并在加载过程中将预设的挂钩表中的挂钩加载到所述引入表中；所述预设的挂钩表中的挂钩，用于针对所述计算机程序中不需要被调用的函数，返回无效值；

获取被加载的计算机程序的入口指针；

根据所述入口指针，按照上述加载了预设的挂钩表中挂钩的引入表，执行所述要获取调度表原始数据的计算机程序的入口程序；在执行所述入口程序过程中，计算机程序的数据被初始化；

从所述被初始化的数据中，获取调度表原始数据。

2.根据权利要求1所述的方法，其特征在于，所述将要获取调度表原始数据的计算机程序的原始文件展开到内存中，包括：

用Windows API ZwCreateFile打开原始文件；

将返回的文件句柄传递给ZwCreateSection；

执行ZwCreateSection，将原始文件展开到内存中。

3.根据权利要求1所述的方法，其特征在于，所述对所述计算机程序的原始文件进行重定位处理为：按照标准重定位表，对内存中原始文件代码段中的所有立即地址进行重定位。

4.根据权利要求1所述的方法，其特征在于，

当要获取调度表原始数据的计算机程序为驱动程序时，所述不需要被调用的函数包括：

IoCreateDevice、IoCreateSymbolicLink、IoRegisterDriverReinitialization、IoRegisterBootDriverReinitialization、IoRegisterFileSystem、KeSetTimer、ZwOpenKey、MmGetSystemRoutineAddress、IoWMIRegistrationControl、FsRtlRegisterFileSystemFilterCallbacks、IoDeleteDevice、ObfReferenceObject和ObfDereferenceObject。

5.根据权利要求4所述的方法，其特征在于，所述根据所述入口指针，按照上述加载了预设的挂钩表中挂钩的引入表，执行所述要获取调度表原始数据的计算机程序的入口程序，包括：

分配一个DRIVER_OBJECT对象；

将DRIVER_OBJECT对象作为参数传递给驱动程序的入口指针并调用它；

所述计算机程序的数据被初始化为：所述DRIVER_OBJECT对象被初始化，获取DRIVER_OBJECT对象初始化后的数据。

6.根据权利要求5所述的方法，其特征在于，所述从所述被初始化的数据中，获取调度表原始数据为：

从DRIVER_OBJECT对象初始化后的域DRIVER_OBJECT.MajorFunction中提取出中断请求调度表的原始值。

7.根据权利要求1所述的方法，其特征在于，

当要获取调度表原始数据的计算机程序为COM组件时，所述不需要被调用的函数包括：

CreateMutex和CreateEvent。

8.一种获取计算机程序调度表原始数据的装置，其特征在于，包括：

原始文件展开单元，将要获取调度表原始数据的计算机程序的原始文件展开到内存中；

重定位单元，对所述计算机程序的原始文件进行重定位处理；

引入表加载单元，加载所述计算机程序的引入表，并在加载过程中将预设的挂钩表中的挂钩加载到所述引入表中；所述预设的挂钩表中的挂钩，用于针对所述计算机程序中不需要被调用的函数，返回无效值；

入口指针获取单元，获取被加载的计算机程序的入口指针；

入口程序执行单元，根据所述入口指针，按照上述加载了预设的挂钩表中挂钩的引入表，执行所述要获取调度表原始数据的计算机程序的入口程序；在执行所述入口程序过程中，计算机程序的数据被初始化；和

调度表原始数据获取单元，从所述被初始化的数据中，获取调度表原始数据。