[发明专利]一种驱动内存监控方法及系统

权利要求书

1.一种驱动内存监控方法，其特征在于，所述方法包括以下步骤：

识别目标监控驱动，遍历目标监控驱动的函数地址符号表，构建对应所述目标监控驱动的内存分配和释放行为的分类和过滤规则；

在内核对应的内存分配接口和内存释放接口添加监控动作，当所述目标监控驱动运行至所述监控动作时，匹配所述内存分配和释放行为的分类和过滤规则来记录所述目标监控驱动内存的分配和释放特征；

输出所述目标监控驱动的分配和释放信息。

2.如权利要求1所述的方法，其特征在于，所述识别目标监控驱动具体包括以下步骤：

根据所述目标监控驱动的驱动名称，遍历驱动链表，判断是否存在所述目标监控驱动。

3.如权利要求1所述的方法，其特征在于，所述识别目标监控驱动具体包括以下步骤：

监测驱动加载进程，将正在加载的驱动与所述目标监控驱动比对，判断所述正在加载的驱动是否为所述目标监控驱动。

4.如权利要求1所述的方法，其特征在于，所述遍历目标监控驱动的函数地址符号表，构建目标监控驱动内存分配和释放行为的分类和过滤规则，具体包括以下步骤：

使用所述目标监控驱动的函数地址符号表中函数地址值的上限值和下限值作为基础的匹配单元，并将所有匹配单元按照大小顺序进行组织。

5.如权利要求4所述的方法，其特征在于，所述当所述目标监控驱动运行至所述监控动作时，匹配所述内存分配和释放行为的分类和过滤规则来记录所述目标监控驱动内存的分配和释放特征，具体包括以下步骤：

逐层识别所述内存分配接口或所述内存释放接口根据回溯函数调用的调用子函数对应的函数地址值；

根据各所述调用子函数的函数地址值匹配所述目标监控驱动内存分配和释放行为的分类和过滤规则；

记录所述目标监控驱动内存的分配和释放特征。

6.一种驱动内存监控系统，其特征在于，所述系统包括：

驱动识别单元，其用于识别目标监控驱动，遍历目标监控驱动的函数地址符号表，构建对应所述目标监控驱动的内存分配和释放行为的分类和过滤规则；

内存监控单元，其用于在内核对应的内存分配接口和内存释放接口添加监控动作，当所述目标监控驱动运行至所述监控动作时，匹配所述内存分配和释放行为的分类和过滤规则来记录所述目标监控驱动内存的分配和释放特征；

调用上报单元，其用于输出所述目标监控驱动的分配和释放信息。

7.如权利要求6所述的系统，其特征在于：

所述驱动识别单元，其具体用于根据所述目标监控驱动的驱动名称，遍历驱动链表，判断是否存在所述目标监控驱动。

8.如权利要求6所述的系统，其特征在于：

所述驱动识别单元，其具体用于监测驱动加载进程，将正在加载的驱动与所述目标监控驱动比对，判断所述正在加载的驱动是否为所述目标监控驱动。

9.如权利要求6所述的系统，其特征在于：

所述内存监控单元，其具体用于使用所述目标监控驱动的函数地址符号表中函数地址值的上限值和下限值作为基础的匹配单元，并将所有匹配单元按照大小顺序进行组织。

10.如权利要求9所述的系统，其特征在于：

所述内存监控单元，其具体用于逐层识别所述内存分配接口或所述内存释放接口根据回溯函数调用的调用子函数对应的函数地址值；

所述内存监控单元，其具体用于根据各所述调用子函数的函数地址值匹配所述目标监控驱动内存分配和释放行为的分类和过滤规则，记录所述目标监控驱动内存的分配和释放特征。