【技术实现步骤摘要】
本专利技术涉及安全防护,尤其涉及一种系统调用监控方法及装置。
技术介绍
1、众所周知,32位程序能运行在64位操作系统中。但受操作系统约束,32位程序其实运行在兼容子系统中,例如,兼容子系统为wow64子系统,且32位程序只能调用32位系统函数。所以,针对32位程序,安全软件通常也只能挂钩32位系统函数来监控拦截程序行为。
2、相关技术中,32位恶意程序利用天堂之门技术能够直接调用64位系统函数,执行恶意行为,从而绕过了安全软件的监控,从而降低了程序监控的准确性。
技术实现思路
1、针对现有技术存在的问题,本专利技术实施例提供一种系统调用监控方法及装置。
2、本专利技术提供一种系统调用监控方法,包括:
3、在第一位数的待监控程序在第二位数的操作系统调用第二位数的系统函数的情况下,确定栈寄存器的位数是否从所述第一位数切换至所述第二位数,所述第一位数小于所述第二位数;
4、在所述栈寄存器的位数未从所述第一位数切换至所述第二位数的情况下,禁止所述待...
【技术保护点】
1.一种系统调用监控方法,其特征在于,包括:
2.根据权利要求1所述的系统调用监控方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的系统调用监控方法,其特征在于,所述禁止所述待监控程序基于调用的所述第二位数的系统函数执行操作,包括:
4.根据权利要求2所述的系统调用监控方法,其特征在于,所述方法还包括:
5.根据权利要求1-4任一项所述的系统调用监控方法,其特征在于,所述确定栈寄存器的位数是否从所述第一位数切换至所述第二位数之前,所述方法还包括:
6.根据权利要求5所述的系统调用监控方法,其特征在于...
【技术特征摘要】
1.一种系统调用监控方法,其特征在于,包括:
2.根据权利要求1所述的系统调用监控方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的系统调用监控方法,其特征在于,所述禁止所述待监控程序基于调用的所述第二位数的系统函数执行操作,包括:
4.根据权利要求2所述的系统调用监控方法,其特征在于,所述方法还包括:
5.根据权利要求1-4任一项所述的系统调用监控方法,其特征在于,所述确定栈寄存器的位数是否从所述第一位数切换至所述第二位数之前,所述方法还包括:
6.根据权利要求5所述的系统调用监控方法,其特征在于,所述通过兼容子系统将所述栈寄存器的位数从所述第一位数切换至所述第二位数,包括:
7.根据权利要求1-4任一项所述的系统调用监控方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的系...
【专利技术属性】
技术研发人员:王丹阳,郭夏宾,王明广,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。