[发明专利]一种创建函数钩子的方法、系统、设备及介质

说明书

本发明公开了一种创建函数钩子的方法、系统、设备和存储介质，方法包括以下步骤：基于函数的类别创建函数钩子模板库；响应于接收到创建函数钩子的请求，根据发出所述请求的函数的类别匹配所述函数钩子库中对应的模板；响应于匹配成功，获取所述模板中对应的内容并将所述内容传输到创建的函数体中；响应于数据传输完成，基于所述函数体中的内容执行哈希计算以得到新哈希值，并判断所述新哈希值与所述模板中的哈希值是否相同；以及响应于所述新哈希值与所述模板中的哈希值相同，基于所述函数体创建函数钩子。本发明提出的方案通过创建模版，将需要hook的函数的代码编写进行统一化和标准化，并且基于哈希值判断传输的数据是否存在遗漏，进一步增强了函数钩子创建的安全性。

技术领域

本发明涉及函数领域，更具体地，特别是指一种创建函数钩子的方法、系统、计算机设备及可读介质。

背景技术

随着当今世界信息技术的高速发展，人们在享受着互联网带来的工作和生活便利的同时，也时时刻刻受到计算机病毒的威胁。计算机病毒代码编写技术从最简单的功能性破坏到采用多态、加壳等技术以避开杀毒软件的检测。基于行为的恶意软件检测及响应技术越来越受到各个厂商的青睐。这种基于行为监测的核心功能就是给每个系统函数增加hook(函数钩子)，用以获取函数的调用信息。

在传统的基于行为的恶意软件检测及响应技术的开发过程中，针对某个需要hook的windows函数进行hook代码的编写，然后对代码进行编译。这种方式的好处在需要hook的函数极少的情况下，可以快速的完成开发工作，同时也有极高的开发灵活性，但是对于在基于行为的恶意软件分析及响应的技术开发过程中，如果是对每个函数都挨个进行编写hook的话，这将是一个很大的工作量，同时，对每个函数进行hook开发，无法在开发过程中对函数进行分类处理，代码的可阅读、可维护性也不高。所以用这种传统的方式增加为系统函数增加hook的方法不适用于基于行为恶意软件行为检测及响应技术。

发明内容

有鉴于此，本发明实施例的目的在于提出一种创建函数钩子的方法、系统、计算机设备及计算机可读存储介质，通过创建模版，将需要hook的函数的代码编写进行统一化和标准化，并且基于哈希值判断传输的数据是否存在遗漏，进一步增强了函数钩子创建的安全性。

基于上述目的，本发明实施例的一方面提供了一种创建函数钩子的方法，包括如下步骤：基于函数的类别创建函数钩子模板库；响应于接收到创建函数钩子的请求，根据发出所述请求的函数的类别匹配所述函数钩子库中对应的模板；响应于匹配成功，获取所述模板中对应的内容并将所述内容传输到创建的函数体中；响应于数据传输完成，基于所述函数体中的内容执行哈希计算以得到新哈希值，并判断所述新哈希值与所述模板中的哈希值是否相同；以及响应于所述新哈希值与所述模板中的哈希值相同，基于所述函数体创建函数钩子。

在一些实施方式中，所述获取所述模板中对应的内容并将所述内容传输到创建的函数体中包括：获取标识信息，并基于所述标识信息对所述内容进行对应的读写操作。

在一些实施方式中，所述获取所述模板中对应的内容并将所述内容传输到创建的函数体中还包括：获取模式信息，并基于所述模式信息确定所述函数钩子的监控模式。

在一些实施方式中，所述基于函数的类别创建函数钩子模板库包括：根据处理的顺序对函数的内容进行分块存储。

本发明实施例的另一方面，还提供了一种创建函数钩子的系统，包括：创建模块，配置用于基于函数的类别创建函数钩子模板库；匹配模块，配置用于响应于接收到创建函数钩子的请求，根据发出所述请求的函数的类别匹配所述函数钩子库中对应的模板；传输模块，配置用于响应于匹配成功，获取所述模板中对应的内容并将所述内容传输到创建的函数体中；判断模块，配置用于响应于数据传输完成，基于所述函数体中的内容执行哈希计算以得到新哈希值，并判断所述新哈希值与所述模板中的哈希值是否相同；以及执行模块，配置利用与响应于所述新哈希值与所述模板中的哈希值相同，基于所述函数体创建函数钩子。