一種檢測(cè)偽裝起始地址的內(nèi)核線程的方法及裝置

基本信息

申請(qǐng)?zhí)?/td> CN202110203553.7 申請(qǐng)日 -
公開(公告)號(hào) CN113010885B 公開(公告)日 2021-10-15
申請(qǐng)公布號(hào) CN113010885B 申請(qǐng)公布日 2021-10-15
分類號(hào) G06F21/55(2013.01)I;G06F21/56(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 代鵬 申請(qǐng)(專利權(quán))人 安芯網(wǎng)盾(北京)科技有限公司
代理機(jī)構(gòu) 北京中創(chuàng)云知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 徐輝
地址 100094北京市海淀區(qū)西北旺鎮(zhèn)唐家?guī)X路百旺弘祥科技文化園3號(hào)樓3層3222室
法律狀態(tài) -

摘要

摘要 本發(fā)明提供一種檢測(cè)偽裝起始地址的內(nèi)核線程的方法,包括:步驟S1,創(chuàng)建多個(gè)內(nèi)核線程,當(dāng)前操作系統(tǒng)的每一個(gè)內(nèi)核等待函數(shù)由至少一個(gè)所述內(nèi)核線程調(diào)用;所述多個(gè)內(nèi)核線程進(jìn)入等待狀態(tài)時(shí),獲取每個(gè)所述內(nèi)核線程的第一棧特征組成第一棧特征集;步驟S2,遍歷當(dāng)前系統(tǒng)的所有內(nèi)核線程,獲取每個(gè)處于等待狀態(tài)的內(nèi)核線程的第二棧特征;步驟S3,如果所述第二棧特征與所述第一棧特征集中的第一棧特征匹配,則執(zhí)行步驟S4;步驟S4,比對(duì)所述處于等待狀態(tài)的內(nèi)核線程調(diào)用所述等待函數(shù)時(shí)的返回地址與所述處于等待狀態(tài)的內(nèi)核線程的線程起始地址是否在同一內(nèi)核模塊內(nèi),如果比對(duì)結(jié)果為否,則判定所述處于等待狀態(tài)的內(nèi)核線程為偽裝起始地址的內(nèi)核線程。