[发明专利]一种针对APC注入的检测方法和相关装置有效
| 申请号: | 201810803125.6 | 申请日: | 2018-07-20 |
| 公开(公告)号: | CN110737892B | 公开(公告)日: | 2021-11-09 |
| 发明(设计)人: | 周志刚;陈少杰;张文明 | 申请(专利权)人: | 武汉斗鱼网络科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F11/30 |
| 代理公司: | 北京众达德权知识产权代理有限公司 11570 | 代理人: | 刘杰 |
| 地址: | 430000 湖北省武汉市东湖开*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明实施例公开了一种针对APC注入的检测方法及相关装置。本发明实施例方法包括:调用应用程序编程接口API中的OpenProcess函数以打开当前进程的句柄;调用API中的EnumProcessModule函数获取当前进程中的所有模块的模块信息,模块信息包括内存起始地址、内存结束地址和标识信息;将所有模块的模块信息进行存储得到存储列表,存储列表用于根据内存地址确定内存地址所属的模块;对当前进程的系统函数NtQueueApcThread进行挂钩hook操作,以获得系统函数NtQueueApcThread的回调函数的内存地址;调用API中的GetModuleNameByAddress函数,以根据回调函数的内存地址获取到回调函数的内存地址对应的模块的目标标识信息;若目标标识信息不包含于存储列表,则确定回调函数的内存地址对应的模块为APC注入的非法模块。 | ||
| 搜索关键词: | 一种 针对 apc 注入 检测 方法 相关 装置 | ||
【主权项】:
1.一种针对异步过程调用APC注入的检测方法,其特征在于,包括:/n调用应用程序编程接口API中的OpenProcess函数以打开当前进程的句柄;/n调用所述API中的EnumProcessModule函数获取所述当前进程中的所有模块的模块信息,所述模块信息包括内存起始地址、内存结束地址和标识信息;/n将所述所有模块的模块信息进行存储得到存储列表,所述存储列表用于根据内存地址确定所述内存地址所属的模块;/n对所述当前进程的系统函数NtQueueApcThread进行挂钩hook操作,以获得所述系统函数NtQueueApcThread的回调函数的内存地址;/n调用所述API中的GetModuleNameByAddress函数,以根据所述回调函数的内存地址获取到所述回调函数的内存地址对应的模块的目标标识信息,所述目标标识信息包含于所述所有模块的标识信息;/n若所述目标标识信息不包含于所述存储列表,则确定所述回调函数的内存地址对应的模块为APC注入的非法模块。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉斗鱼网络科技有限公司,未经武汉斗鱼网络科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810803125.6/,转载请声明来源钻瓜专利网。
