一種繞過計算機(jī)系統(tǒng)應(yīng)用層檢測的方法

基本信息

申請?zhí)?/td> CN202111404412.8 申請日 -
公開(公告)號 CN114047984A 公開(公告)日 2022-02-15
申請公布號 CN114047984A 申請公布日 2022-02-15
分類號 G06F9/448(2018.01)I;G06F8/53(2018.01)I;G06F21/54(2013.01)I 分類 計算;推算;計數(shù);
發(fā)明人 廖麗文 申請(專利權(quán))人 北京獵鷹安全科技有限公司
代理機(jī)構(gòu) 北京康盛知識產(chǎn)權(quán)代理有限公司 代理人 李欣芮
地址 100041北京市石景山區(qū)實興大街30號院3號樓2層A-0003房間
法律狀態(tài) -

摘要

摘要 本發(fā)明提出一種繞過計算機(jī)系統(tǒng)應(yīng)用層檢測的方法,包括以下步驟:計算機(jī)系統(tǒng)應(yīng)用層將需要調(diào)用的函數(shù)參數(shù)打包,傳送至驅(qū)動;驅(qū)動讀取動態(tài)鏈接庫ntdll.dll文件,導(dǎo)出需要調(diào)用函數(shù)的入口,解析出調(diào)用號;讀取內(nèi)核文件,解析出系統(tǒng)函數(shù)調(diào)用表;根據(jù)調(diào)用號和系統(tǒng)函數(shù)調(diào)用表解析出內(nèi)核中需要調(diào)用函數(shù)的地址;根據(jù)地址調(diào)用需要調(diào)用的函數(shù)。該方法通過跟驅(qū)動通訊來達(dá)到調(diào)用某些函數(shù)時繞過計算機(jī)系統(tǒng)應(yīng)用層檢測的目的,該方法在內(nèi)核態(tài)實現(xiàn),相比現(xiàn)有方法更為底層,難以檢測,也可以減少程序運行時與其它安全程序的沖突。