发明名称 | 一种Windows操作系统下钩子的防御方法 | ||
摘要 | 本发明公开了一种Windows操作系统下钩子的防御方法,属于信息安全技术领域。本发明方法包括:a)获得Windows系统提供的系统服务名称;b)通过调试工具查看所述系统的win32子系统映像文件,获取所述系统服务对应的服务号;c)根据所述系统服务号,在系统服务描述符表中找到所述系统服务的函数入口地址,并将所述函数入口地址保存至内存;d)重新编写系统服务函数;e)以所述新的系统服务函数的入口地址替换步骤c所述函数入口地址。本发明可根据不同种类钩子的特点,分别在用户态和内核态进行钩子防御,具有两个优点,一是对钩子进行全面的防御;二是在恶意软件刚进入系统时觉查到并阻止其进一步的行为,防止恶意软件造成大的破坏。 | ||
申请公布号 | CN101620660A | 申请公布日期 | 2010.01.06 |
申请号 | CN200910090179.3 | 申请日期 | 2009.07.31 |
申请人 | 北京大学 | 发明人 | 陈向群;白光冬;赵霞;郭耀 |
分类号 | G06F21/22(2006.01)I | 主分类号 | G06F21/22(2006.01)I |
代理机构 | 北京君尚知识产权代理事务所(普通合伙) | 代理人 | 冯艺东 |
主权项 | 1.一种Windows操作系统下钩子的防御方法,所述方法包括:a)获得Windows系统提供的系统服务名称;b)通过调试工具查看所述系统的win32子系统映像文件,获取所述系统服务对应的服务号;c)根据所述系统服务号,在系统服务描述符表中找到所述系统服务的函数入口地址,并将所述函数入口地址保存至内存;d)重新编写系统服务函数;e)以所述新的系统服务函数的入口地址替换步骤c所述函数入口地址。 | ||
地址 | 100871北京市海淀区颐和园路5号北京大学 |