发明名称 |
一种Windows平台下对抗API挂接的方法 |
摘要 |
本发明公开了一种Windows平台下对抗API挂接的方法,其特征在于:进程调用API函数CreateFile打开提供API的PE文件,再将打开的PE文件映射到虚拟内存缓冲区,取得API在虚拟内存缓冲区内的偏移量,记为偏移一,然后进程通过调用API函数GetProcAddress取得API在进程空间的偏移量,记为偏移二,最后通过判断比较两个偏移的内容,将与偏移一不相同的偏移二的内容恢复成偏移一的内容;本发明从PE文件分析得出API原来的内容,并保证得到API内容的正确性,实现对抗API挂接;提高恶意进程挂接API的难度,恶意进程须改写PE文件才能实现挂接,这时在Windows NT平台下将触发Windows FileProtection机制。 |
申请公布号 |
CN1936834A |
申请公布日期 |
2007.03.28 |
申请号 |
CN200610021856.2 |
申请日期 |
2006.09.14 |
申请人 |
珠海金山软件股份有限公司 |
发明人 |
邝思豪 |
分类号 |
G06F9/44(2006.01);G06F21/00(2006.01) |
主分类号 |
G06F9/44(2006.01) |
代理机构 |
成都天嘉专利事务所 |
代理人 |
徐丰 |
主权项 |
1、一种Windows平台下对抗API挂接的方法,其特征在于:进程调用API函数CreateFile打开提供API的PE文件,再将打开的PE文件映射到虚拟内存缓冲区,取得API在虚拟内存缓冲区内的偏移量,记为偏移一,然后进程通过调用API函数GetProcAddress取得API在进程空间的偏移量,记为偏移二,最后通过判断比较两个偏移的内容,将与偏移一不相同的偏移二的内容恢复成偏移一的内容。 |
地址 |
510195广东省珠海市吉大景山路莲山巷8号 |