[发明专利]ALPC监控方法、病毒程序监控方法及相关装置在审
申请号: | 202310218838.7 | 申请日: | 2023-03-08 |
公开(公告)号: | CN116305099A | 公开(公告)日: | 2023-06-23 |
发明(设计)人: | 张苏洵;孙晓骏;张佳荟;覃梓兴;刘铠文;张春广 | 申请(专利权)人: | 戎码科技(北京)有限公司 |
主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/56;G06F21/57 |
代理公司: | 北京维飞联创知识产权代理有限公司 11857 | 代理人: | 陈景晖 |
地址: | 100000 北京市西城区*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | alpc 监控 方法 病毒 程序 相关 装置 | ||
1.一种ALPC监控方法,其特征在于,所述方法包括:
根据预先注册的回调函数确定目标线程的数据结构,所述目标线程为调用所述回调函数的线程;
从所述目标线程的数据结构中确定所述目标线程调用的ALPC的数据结构;
对所述ALPC的数据结构进行解析,以对所述ALPC的调用情况进行监控。
2.如权利要求1所述的ALPC监控方法,其特征在于,所述根据预先注册的回调函数确定目标线程的数据结构的步骤包括:
根据预先注册的回调函数确定所述目标线程的线程标识;
根据所述线程标识确定指向所述目标线程的数据结构的内存指针;
从所述内存指针指向的存储空间中获取所述目标线程的数据结构。
3.如权利要求2所述的ALPC监控方法,其特征在于,所述根据预先注册的回调函数确定所述目标线程的线程标识的步骤包括:
若所述回调函数注册在创建线程操作中,则在创建所述目标线程时通过所述回调函数获取所述目标线程的线程标识;
若所述回调函数注册在非创建线程操作中,则通过所述回调函数获取所述目标线程所属进程的进程标识、并根据所述进程标识获取所述目标线程的线程标识。
4.如权利要求3所述的ALPC监控方法,其特征在于,若所述回调函数注册在非创建线程操作中,则通过所述回调函数获取所述目标线程所属进程的进程标识的步骤包括:
若所述非创建线程操作为创建进程操作,则在创建所述进程时通过所述回调函数获取所述进程标识;
若所述非创建线程操作为注册表操控操作,则在操作注册表时通过所述回调函数获取所述进程标识。
5.如权利要求1所述的ALPC监控方法,其特征在于,所述从所述目标线程的数据结构中确定所述目标线程调用的ALPC的数据结构的步骤包括:
从所述目标线程的数据结构中获取所述ALPC的数据结构的内存指针;
从所述ALPC的数据结构的内存指针指向的存储空间中获取所述ALPC的数据结构。
6.如权利要求5所述的ALPC监控方法,其特征在于,所述从所述目标线程的数据结构中获取所述ALPC的数据结构的内存指针的步骤包括:
从所述目标线程的数据结构中获取表征所述ALPC的数据结构地址的成员变量;
若当前的操作系统为第一目标系统版本时,则对所述成员变量的变量值进行解密,并将解密后的变量值作为所述ALPC的数据结构的内存指针,所述第一目标系统版本是将所述成员变量的变量值加密后存储至内存中;
若当前的操作系统为第二目标系统版本,则将所述成员变量的变量值作为所述ALPC的数据结构的内存指针,所述第二目标系统版本是将所述成员变量的变量值直接存储至内存中。
7.如权利要求1所述的ALPC监控方法,其特征在于,所述对所述ALPC的数据结构进行解析,以对所述ALPC的调用情况进行监控的步骤包括:
从所述ALPC的数据结构中获取RPC的数据结构的内存指针;
从所述RPC的数据结构的内存指针指向的存储空间中获取所述RPC的数据结构;
从所述RPC的数据结构中获取所述ALPC的调用信息,以对所述ALPC的调用情况进行监控。
8.如权利要求7所述的ALPC监控方法,其特征在于,所述ALPC的调用信息包括请求ALPC的消息、响应ALPC的消息及调用ALPC的应用进程的进程信息。
9.一种病毒程序监控方法,其特征在于,所述方法包括:
利用如权利要求1~8中任一项所述的ALPC监控方法,对ALPC的调用情况进行监控,以确定调用所述ALPC的应用程序是否为病毒程序;
在确定为病毒程序时,对所述病毒程序进行监控。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于戎码科技(北京)有限公司,未经戎码科技(北京)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202310218838.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:限速器及电梯
- 下一篇:一种光催化剂及其应用