发明名称 |
一种拦截系统调用的方法和装置 |
摘要 |
本发明公开了一种拦截系统调用的方法和装置,其中,所述方法包括:接受对本机操作系统的修改Patch操作,并在本机专用寄存器中生成与所述Patch操作相对应的真实值;响应本机操作系统向所述本机专用寄存器发起的检测请求,将虚拟寄存器中的虚拟值返回至所述本机操作系统,以拦截所述本机专用寄存器待返回的所述真实值;通过Patch后的本机操作系统,拦截系统调用。通过本发明解决了第三方主动防御软件不能对操作系统进行Patch操作,导致第三方主动防御软件无法对Windows的行为进行监控,给用户计算机系统带来安全隐患的问题。 |
申请公布号 |
CN103632101B |
申请公布日期 |
2016.11.16 |
申请号 |
CN201310661853.5 |
申请日期 |
2013.12.09 |
申请人 |
北京奇虎科技有限公司;奇智软件(北京)有限公司 |
发明人 |
潘剑锋 |
分类号 |
G06F21/57(2013.01)I;G06F21/56(2013.01)I |
主分类号 |
G06F21/57(2013.01)I |
代理机构 |
北京润泽恒知识产权代理有限公司 11319 |
代理人 |
兰淑铎 |
主权项 |
一种拦截系统调用的方法,应用于支持硬件虚拟化的CPU,所述方法包括:接受对本机操作系统的修改Patch操作,并在本机专用寄存器中生成与所述Patch操作相对应的真实值;响应本机操作系统向所述本机专用寄存器发起的检测请求,将虚拟寄存器中的虚拟值返回至所述本机操作系统,以拦截所述本机专用寄存器待返回的所述真实值;通过Patch后的本机操作系统,拦截系统调用;其中,所述虚拟寄存器通过对所述本机操作系统进行硬件虚拟化生成得到;所述虚拟值是在所述接受对本机操作系统的修改Patch操作步骤之前,所述专用寄存器中生成的与所述本机操作系统的系统调用对应的初始值。 |
地址 |
100088 北京市西城区新街口外大街28号D座112室(德胜园区) |