[发明专利]ALPC监控方法、病毒程序监控方法及相关装置

说明书

本发明涉及计算机安全技术领域，提供了一种ALPC监控方法、病毒程序监控方法及相关装置，所述方法包括：根据预先注册的回调函数确定目标线程的数据结构，目标线程为调用回调函数的线程；从目标线程的数据结构中确定目标线程调用的ALPC的数据结构；对ALPC的数据结构进行解析，以对ALPC的调用情况进行监控。本发明能够实现对ALPC的调用情况进行直接监控。

技术领域

本发明涉及计算机安全技术领域，具体而言，涉及一种ALPC监控方法、病毒程序监控方法及相关装置。

背景技术

Windows操作系统中的高级本地过程调用ALPC(Advanced Local ProcedureCall，ALPC)是一种高速的、可伸缩的、安全的消息传递设施，可用于在一个或多个进程之间传递任意大小的消息。

由于ALPC不能直接通过Windows应用程序编程接口API(ApplicationProgramming Interface，API)获得，是一种仅适用于Windows操作系统组件的内部机制，因此，无法直接对ALPC的调用进行监控。

发明内容

本发明的目的在于提供了一种ALPC监控方法、病毒程序监控方法及相关装置，其能够实现对ALPC的调用情况进行直接监控。

本发明的实施例可以这样实现：

第一方面，本发明提供一种ALPC监控方法，所述方法包括：

根据预先注册的回调函数确定目标线程的数据结构，所述目标线程为调用所述回调函数的线程；

从所述目标线程的数据结构中确定所述目标线程调用的ALPC的数据结构；

对所述ALPC的数据结构进行解析，以对所述ALPC的调用情况进行监控。

在可选的实施方式中，所述根据预先注册的回调函数确定目标线程的数据结构的步骤包括：

根据预先注册的回调函数确定所述目标线程的线程标识；

根据所述线程标识确定指向所述目标线程的数据结构的内存指针；

从所述内存指针指向的存储空间中获取所述目标线程的数据结构。

在可选的实施方式中，所述根据预先注册的回调函数确定所述目标线程的线程标识的步骤包括：

若所述回调函数注册在创建线程操作中，则在创建所述目标线程时通过所述回调函数获取所述目标线程的线程标识；

若所述回调函数注册在非创建线程操作中，则通过所述回调函数获取所述目标线程所属进程的进程标识、并根据所述进程标识获取所述目标线程的线程标识。

在可选的实施方式中，若所述回调函数注册在非创建线程操作中，则通过所述回调函数获取所述目标线程所属进程的进程标识的步骤包括：

若所述非创建线程操作为创建进程操作，则在创建所述进程时通过所述回调函数获取所述进程标识；

若所述非创建线程操作为注册表操控操作，则在操作注册表时通过所述回调函数获取所述进程标识。

在可选的实施方式中，所述从所述目标线程的数据结构中确定所述目标线程调用的ALPC的数据结构的步骤包括：

从所述目标线程的数据结构中获取所述ALPC的数据结构的内存指针；

从所述ALPC的数据结构的内存指针指向的存储空间中获取所述ALPC的数据结构。

在可选的实施方式中，所述从所述目标线程的数据结构中获取所述ALPC的数据结构的内存指针的步骤包括：

从所述目标线程的数据结构中获取表征所述ALPC的数据结构地址的成员变量；