| 发明名称 | 一种Windows操作系统内核函数遍历方法 | ||
| 摘要 | 本发明涉及一种Windows操作系统内核函数遍历方法,属于计算机与信息科学技术领域。本发明首先找到操作系统中的函数起始点,包括:快速系统调用函数、系统服务描述符表中的函数、中断处理函数等函数地址等;然后以这些函数为起点向子函数遍历,搜索跳转指令和调用指令找到子函数及其对应的参数;循环递归以上操作,直到找不到子函数为止;最后结合符号表获取函数名。本发明可以对Windows操作系统的内核函数进行遍历,其方法也可以适用于其他操作系统。 | ||
| 申请公布号 | CN105808252A | 申请公布日期 | 2016.07.27 |
| 申请号 | CN201610123820.9 | 申请日期 | 2016.03.04 |
| 申请人 | 北京理工大学 | 发明人 | 罗森林;焦龙龙;潘丽敏;闫广禄;刘望桐 |
| 分类号 | G06F9/44(2006.01)I | 主分类号 | G06F9/44(2006.01)I |
| 代理机构 | 代理人 | ||
| 主权项 | 一种Windows操作系统内核函数遍历方法,其特征在于所述方法包括如下步骤:步骤1,通过寄存器、特征码搜索、地址计算等方式获取内核起始点函数地址,包括:快速系统调用函数、系统服务描述符表中函数、中断处理函数;步骤2,从内核起始点函数通过查找调用指令并计算子函数的地址及其参数的个数和类型,然后以子函数为起始点重复上述过程,直到找不到子函数为止;步骤3,利用符号表查找函数地址对应的函数名。 | ||
| 地址 | 100081 北京市海淀区中关村南大街5号北京理工大学 | ||