[发明专利]一种阻止恶意加载驱动的方法、装置及电子设备有效
| 申请号: | 201610495769.4 | 申请日: | 2016-06-29 |
| 公开(公告)号: | CN105956462B | 公开(公告)日: | 2019-05-10 |
| 发明(设计)人: | 李文靖 | 申请(专利权)人: | 珠海豹趣科技有限公司 |
| 主分类号: | G06F21/51 | 分类号: | G06F21/51;G06F21/56 |
| 代理公司: | 北京新知远方知识产权代理事务所(普通合伙) 11397 | 代理人: | 徐彩华 |
| 地址: | 519031 广东省珠海市横琴新*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种阻止恶意加载驱动的方法、装置及电子设备,用以增强对恶意程序加载驱动的拦截。本发明中的方法,包括:获取加载驱动操作的调用栈中的函数地址列表;根据所述函数地址列表确定第一函数的地址,所述第一函数为所述加载驱动操作中共同调用的函数;定义与所述第一函数相同参数的第二函数替换所述第一函数的地址;在第二函数中,获得所述加载驱动操作对应的操作信息;根据所述操作信息确定所述加载驱动操作是否为恶意,并拒绝加载判断为恶意的驱动。由于本发明实施例中能够获得加载驱动操作中共同调用的第一函数进行判断,因此能够避免现有技术中不执行到相应驱动加载函数致使无法拦截的问题。 | ||
| 搜索关键词: | 一种 阻止 恶意 加载 驱动 方法 装置 电子设备 | ||
【主权项】:
1.一种阻止恶意加载驱动的方法,其特征在于,包括:获取加载驱动操作的调用栈中的函数地址列表;根据所述函数地址列表确定第一函数的地址,所述第一函数为所述加载驱动操作中共同调用的函数;定义与所述第一函数相同参数的第二函数替换所述第一函数的地址;在第二函数中,获得所述加载驱动操作对应的操作信息;根据所述操作信息确定所述加载驱动操作是否为恶意,并拒绝加载判断为恶意的驱动;所述第一函数为MmLoadSystemImage;所述获取加载驱动操作的调用栈中的函数地址列表具体为:调用MmGetSystemRoutineAddress获取KeWaitForSingleObject函数地址,定义NewKeWaitForSingleObject函数替换所述KeWaitForSingleObject函数地址;在NewKeWaitForSingleObject函数上开始栈回溯,调用RtlWalkFrameChain函数获取调用栈过程中的函数地址;所述根据所述函数地址列表确定第一函数的地址具体为:循环判断所述函数地址列表,确定出哪一个是MmLoadSystemImage函数内部调用过来的,通过虚拟地址转换获取MmLoadSystemImage函数地址。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于珠海豹趣科技有限公司,未经珠海豹趣科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610495769.4/,转载请声明来源钻瓜专利网。
