发明名称 | 用于外来代码检测的系统和方法 | ||
摘要 | 介绍了一种用于有效外来代码检测的方法和系统。在本发明的一个方面,认证模块检查进程空间中线程堆栈所引用的页面,其中这些页面可能包含外来代码。模块可以遍历线程堆栈以检查引用这种页面的返回地址。在另一方面,模块检查堆栈所引用的随机页面。在又一方面,模块检查堆栈所引用的经检查页面的任何邻近可疑页面。此外,模块检查指令指针所引用的页面,页面出错历史所描述的页面和调用代码、以及具有事件处理函数、动态链接库函数或可能要运行的其他函数的任何页面。 | ||
申请公布号 | CN101405705B | 申请公布日期 | 2011.04.13 |
申请号 | CN200680007679.0 | 申请日期 | 2006.04.06 |
申请人 | 微软公司 | 发明人 | K·豪特乐利得;U·隆顿;V·A·舒宾 |
分类号 | G06F12/14(2006.01)I | 主分类号 | G06F12/14(2006.01)I |
代理机构 | 上海专利商标事务所有限公司 31100 | 代理人 | 陈斌 |
主权项 | 一种检测对执行外来代码的尝试的方法,包括:基于关于包含在存储器的页面中的代码将被执行的可能性的标准来标识包含所述代码的所述存储器的页面;验证所述代码是否满足完整性测试;如果所述代码不满足所述完整性测试,则采取至少一个动作来防止代码执行;以及对计算机系统事件处理器函数和指向计算机系统事件处理器函数的指针检查外来代码,每个事件处理器函数是响应于包括用户动作和/或系统事件的一事件而执行的,对每个事件处理器函数的检查包括:检查指向该事件处理器函数的每个指针,以确定指针实际上指向该事件处理器函数而不是指向别处;检查该事件处理器函数的任何外来代码渗入;对该事件处理器函数检查任何引用外来代码的黑客侵入。 | ||
地址 | 美国华盛顿州 |