【技术实现步骤摘要】
一种应用程序的监控方法、装置、电子设备及存储介质
本专利技术实施例涉及Windows平台上IAT(ImportAddressTable,输入地址表)HOOK监控
,尤其涉及一种应用程序的监控方法、装置、电子设备及存储介质。
技术介绍
目前,基于Windows平台开发的一些应用软件功能越来越丰富,并且基于Windows平台的强大支撑,可以开发一些特殊功能的软件,例如监控某个程序的所有读写文件,监控键盘输入或者监控网络流量等特殊功能的软件。然而对于Windows平台来说,很多功能都需要通过HOOK技术来实现,例如监控一个程序打开的所有文件,则可以通过HOOK技术打开文件的API(ApplicationProgrammingInterface,应用程序接口)函数,从而可以得到打开所有文件的文件名。IAT(ImportAddressTable,输入地址表)HOOK作为HOOK技术的一种方式被广泛应用于应用程序的监控中。然而使用IATHOOK对应用程序进行监控时通常会被监控应用程序的开发商检测到,从而导致监控失效,因此如何绕过对IAT的检测,提高IATHOOK对应用程...
【技术保护点】
1.一种应用程序的监控方法,其特征在于,包括:从应用程序运行时对应的可移植可执行PE文件的输入地址表IAT中确定被监控的目标函数地址;利用预先确定的属于系统模块的空闲内存地址替换所述IAT中所述被监控的目标函数地址;通过所述属于系统模块的空闲内存地址调用监控函数;基于所述监控函数对所述应用程序进行监控;其中,所述监控函数基于监控任务预先编写。
【技术特征摘要】
1.一种应用程序的监控方法,其特征在于,包括:从应用程序运行时对应的可移植可执行PE文件的输入地址表IAT中确定被监控的目标函数地址;利用预先确定的属于系统模块的空闲内存地址替换所述IAT中所述被监控的目标函数地址;通过所述属于系统模块的空闲内存地址调用监控函数;基于所述监控函数对所述应用程序进行监控;其中,所述监控函数基于监控任务预先编写。2.根据权利要求1所述的方法,其特征在于,所述从应用程序运行时对应的可移植可执行PE文件的输入地址表IAT中确定被监控的目标函数地址,包括:基于所述PE文件的文件格式对所述PE文件的IAT进行内容解析;根据内容解析结果遍历所述IAT,确定被监控的目标函数;根据所述IAT中各函数以及各函数地址之间的对应关系确定所述目标函数地址。3.根据权利要求1所述的方法,其特征在于,所述通过所述属于系统模块的空闲内存地址调用监控函数,包括:从所述属于系统模块的空闲内存地址中获取跳转桩代码;根据所述跳转桩代码获取保存所述监控函数的目标地址;通过所述目标地址调用所述监控函数。4.根据权利要求1所述的方法,其特征在于,所述通过所述属于系统模块的空闲内存地址调用监控函数,包括:直接从所述属于系统模块的空闲内存地址调用监控函数,其中,所述监控函数保存在所述属于系统模块的空闲内存地址。5.根据权利要求1-4中任一项所述的方法,其特征在于,所述利用预先确定的属于系统模块的空闲内存地址替换所述IAT中所述被监控的目标函数地址之前,还包括:确定属于系统模块的空闲内存地址;将所述监控函数写入所述属于系统模块的空闲内存地...
【专利技术属性】
技术研发人员:周志刚,
申请(专利权)人:武汉斗鱼网络科技有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。