本发明专利技术提供一种系统调用监控方法、装置、电子设备与存储介质,方法包括:响应于检测到循环内核上下文日志CKCL处于日志记录过程中,获取内核中预定的结构体指针数组,其中,预定的结构体指针数组为发生内核事件时的执行对象,内核事件包括系统调用;利用预设钩子函数替换结构体指针数组中预定指针所指结构体的预定成员的地址,以使发生内核事件时预设钩子函数被执行,从而通过预设钩子函数劫持内核事件;从预设钩子函数劫持的内核事件中过滤出系统调用。本发明专利技术通过将预设钩子函数挂载到系统内核,杜绝了Windowsx64平台上预设钩子函数被恶意软件绕过的可能性,且不会影响操作系统的稳定性,提升了操作系统的防御力。提升了操作系统的防御力。提升了操作系统的防御力。
【技术实现步骤摘要】
一种系统调用监控方法、装置、电子设备与存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种系统调用监控方法、装置、电子设备与存储介质。
技术介绍
[0002]现有的终端安全产品一般通过多种数据分析技术检测可疑的系统行为,提供关联信息,从而阻断恶意行为。Windows为了我们提供一些获取相关事件的接口,但是目前的攻击方式上述接口已经远远无法满足需求。由于内核补丁保护PG(kernel Patch Protection)的影响,现有安全厂商在Windows x64系统上通过挂钩程序用户动态内存中的动态链接库,监视正在运行的进程,检测可疑活动并收集信息,并进行基于行为的分析。
[0003]由于“钩子”代码存在于进程用户空间(Userland)中,用户空间内存可以被直接修改,因此可以被恶意代码绕过,这将导致挂钩被抹除失效,无法检测到恶意程序发起的系统调用行为。
技术实现思路
[0004]本专利技术提供一种系统调用监控方法、装置、电子设备与存储介质,用以解决现有的预设钩子函数可以被恶意代码绕过的问题,通过将预设钩子函数挂载到系统内核,杜绝了Windows x64平台上预设钩子函数被恶意软件绕过的可能性,大大提升了操作系统的防御力。
[0005]本专利技术提供一种系统调用监控方法,包括:
[0006]响应于检测到循环内核上下文日志CKCL处于日志记录过程中,获取内核中预定的结构体指针数组,其中,所述预定的结构体指针数组为发生内核事件时的执行对象,所述循环内核上下文日志CKCL用于对内核事件进行日志记录,所述内核事件包括系统调用;
[0007]利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,以使发生内核事件时所述预设钩子函数被执行,从而通过所述预设钩子函数劫持所述内核事件;
[0008]从所述预设钩子函数劫持的内核事件中过滤出系统调用。
[0009]根据本专利技术提供的系统调用监控方法,当所述内核事件为系统调用时,所述方法还包括:
[0010]由PerflnfoLogSysCallEntry函数用当前系统调用的系统服务函数替换当前栈中的系统服务函数,并对当前系统调用进行日志记录,其中,所述PerflnfoLogSysCallEntry函数为KiSystemCall64函数的调用函数。
[0011]根据本专利技术提供的系统调用监控方法,所述利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,包括:
[0012]在操作系统版本不高于预定版本时,将所述结构体指针数组中的预定指针所指结构体的GetCpuClock成员的地址修改为所述预设钩子函数,所述GetCpuClock为结构体中预
定成员的名称。
[0013]根据本专利技术提供的系统调用监控方法,所述利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,包括:
[0014]在操作系统版本高于预定版本时,将所述结构体指针数组中的索引值GetCpuClock设置为预设值,所述索引值GetCpuClock为结构体指针数组所指向的函数的索引值;
[0015]根据对所述索引值GetCpuClock设置的预设值,将与该预设值对应的函数内部的结构体中预定成员的地址修改为所述预设钩子函数。
[0016]根据本专利技术提供的系统调用监控方法,在所述利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址之前,所述方法还包括:
[0017]通过预设钩子函数劫持所述结构体指针数组中预定指针所指结构体的预定成员,以便利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址。
[0018]根据本专利技术提供的系统调用监控方法,所述方法还包括:
[0019]检测所述循环内核上下文日志CKCL是否处于开启状态;
[0020]若所述循环内核上下文日志CKCL未处于开启状态,则开启所述循环内核上下文日志CKCL。
[0021]本专利技术还提供一种系统调用监控装置,包括:
[0022]结构体获取模块,用于响应于检测到循环内核上下文日志CKCL处于日志记录过程中,获取内核中预定的结构体指针数组,其中,所述预定的结构体指针数组为发生内核事件时的执行对象,所述循环内核上下文日志CKCL用于对内核事件进行日志记录,所述内核事件包括系统调用;
[0023]预设钩子函数替换模块,用于利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,以使发生内核事件时所述预设钩子函数被执行,从而通过所述预设钩子函数劫持所述内核事件;系统调用过滤模块,用于从所述预设钩子函数劫持的内核事件中过滤出系统调用。
[0024]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述系统调用监控方法。
[0025]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述系统调用监控方法。
[0026]本专利技术提供的系统调用监控方法、装置、电子设备与存储介质,通过响应于检测到循环内核上下文日志CKCL处于日志记录过程中,获取内核中预定的结构体指针数组,其中,所述预定的结构体指针数组为发生内核事件时的执行对象,所述循环内核上下文日志CKCL用于对内核事件进行日志记录,所述内核事件包括系统调用;利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,以使发生内核事件时所述预设钩子函数被执行,从而通过所述预设钩子函数劫持所述内核事件;从所述预设钩子函数劫持的内核事件中过滤出系统调用。本专利技术通过将预设钩子函数挂载到系统内核,杜绝了Windows x64平台上预设钩子函数被恶意软件绕过的可能性,且不会影响操作系统的稳定
性,极大地提升了操作系统的防御力。
附图说明
[0027]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0028]图1是本专利技术提供的系统调用监控方法的流程示意图;
[0029]图2是本专利技术提供的系统调用监控装置的结构示意图;
[0030]图3是本专利技术提供的电子设备的结构示意图。
具体实施方式
[0031]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术中的附图,对本专利技术中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0032]下面结合图1
‑
图3描述本专利技术的系统本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统调用监控方法,其特征在于,包括:响应于检测到循环内核上下文日志CKCL处于日志记录过程中,获取内核中预定的结构体指针数组,其中,所述预定的结构体指针数组为发生内核事件时的执行对象,所述循环内核上下文日志CKCL用于对内核事件进行日志记录,所述内核事件包括系统调用;利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,以使发生内核事件时所述预设钩子函数被执行,从而通过所述预设钩子函数劫持所述内核事件;从所述预设钩子函数劫持的内核事件中过滤出系统调用。2.根据权利要求1所述系统调用监控方法,其特征在于,当所述内核事件为系统调用时,所述方法还包括:由PerflnfoLogSysCallEntry函数用当前系统调用的系统服务函数替换当前栈中的系统服务函数,并对当前系统调用进行日志记录,其中,所述PerflnfoLogSysCallEntry函数为KiSystemCall64函数的调用函数。3.根据权利要求1所述系统调用监控方法,其特征在于,所述利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,包括:在操作系统版本不高于预定版本时,将所述结构体指针数组中的预定指针所指结构体的GetCpuClock成员的地址修改为所述预设钩子函数,所述GetCpuClock为结构体中预定成员的名称。4.根据权利要求1所述系统调用监控方法,其特征在于,所述利用预设钩子函数替换所述结构体指针数组中预定指针所指结构体的预定成员的地址,包括:在操作系统版本高于预定版本时,将所述结构体指针数组中的索引值GetCpuClock设置为预设值,所述索引值GetCpuClock为结构体指针数组所指向的函数的索引值;根据对所述索引值GetCpuClock设置...
【专利技术属性】
技术研发人员:张如平,
申请(专利权)人:奇安信安全技术珠海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。