| 发明名称 | 一种Windows平台下对抗API挂接的方法 | ||
| 摘要 | 本发明公开了一种Windows平台下对抗API挂接的方法,其特征在于:进程调用API函数CreateFile打开提供API的PE文件,再将打开的PE文件映射到虚拟内存缓冲区,取得API在虚拟内存缓冲区内的偏移量,记为偏移一,然后进程通过调用API函数GetProcAddress取得API在进程空间的偏移量,记为偏移二,最后通过判断比较两个偏移的内容,将与偏移一不相同的偏移二的内容恢复成偏移一的内容;本发明从PE文件分析得出API原来的内容,并保证得到API内容的正确性,实现对抗API挂接;提高恶意进程挂接API的难度,恶意进程须改写PE文件才能实现挂接,这时在Windows NT平台下将触发Windows FileProtection机制。 | ||
| 申请公布号 | CN1936834A | 申请公布日期 | 2007.03.28 |
| 申请号 | CN200610021856.2 | 申请日期 | 2006.09.14 |
| 申请人 | 珠海金山软件股份有限公司 | 发明人 | 邝思豪 |
| 分类号 | G06F9/44(2006.01);G06F21/00(2006.01) | 主分类号 | G06F9/44(2006.01) |
| 代理机构 | 成都天嘉专利事务所 | 代理人 | 徐丰 |
| 主权项 | 1、一种Windows平台下对抗API挂接的方法,其特征在于:进程调用API函数CreateFile打开提供API的PE文件,再将打开的PE文件映射到虚拟内存缓冲区,取得API在虚拟内存缓冲区内的偏移量,记为偏移一,然后进程通过调用API函数GetProcAddress取得API在进程空间的偏移量,记为偏移二,最后通过判断比较两个偏移的内容,将与偏移一不相同的偏移二的内容恢复成偏移一的内容。 | ||
| 地址 | 510195广东省珠海市吉大景山路莲山巷8号 | ||