【技术实现步骤摘要】
本专利技术涉及安全防护,尤其涉及一种系统调用监控方法及装置。
技术介绍
1、众所周知,32位程序能运行在64位操作系统中。但受操作系统约束,32位程序其实运行在兼容子系统中,例如,兼容子系统为wow64子系统,且32位程序只能调用32位系统函数。所以,针对32位程序,安全软件通常也只能挂钩32位系统函数来监控拦截程序行为。
2、相关技术中,32位恶意程序利用天堂之门技术能够直接调用64位系统函数,执行恶意行为,从而绕过了安全软件的监控,从而降低了程序监控的准确性。
技术实现思路
1、针对现有技术存在的问题,本专利技术实施例提供一种系统调用监控方法及装置。
2、本专利技术提供一种系统调用监控方法,包括:
3、在第一位数的待监控程序在第二位数的操作系统调用第二位数的系统函数的情况下,确定栈寄存器的位数是否从所述第一位数切换至所述第二位数,所述第一位数小于所述第二位数;
4、在所述栈寄存器的位数未从所述第一位数切换至所述第二位数的情况下,禁止所述待监控程序基于调用的所述第二位数的系统函数执行操作。
5、根据本专利技术提供的一种系统调用监控方法,所述方法还包括:
6、在所述栈寄存器的位数从所述第一位数切换至所述第二位数的情况下,确定切换函数是否为兼容子系统中的函数;所述切换函数用于对所述栈寄存器的位数进行切换,所述兼容子系统用于控制所述第一位数的待监控程序可调用所述第二位数的系统函数;
7、在所述切换函数不
8、根据本专利技术提供的一种系统调用监控方法,所述禁止所述待监控程序基于调用的所述第二位数的系统函数执行操作,包括:
9、禁止所述待监控程序基于调用的所述第二位数的系统函数执行以下至少一项操作:进程操作、线程操作、文件操作和注册表操作。
10、根据本专利技术提供的一种系统调用监控方法,所述方法还包括:
11、在所述切换函数为所述兼容子系统中的函数的情况下,允许所述待监控程序基于调用的所述第二位数的系统函数执行操作。
12、根据本专利技术提供的一种系统调用监控方法,所述确定栈寄存器的位数是否从所述第一位数切换至所述第二位数之前,所述方法还包括:
13、在所述待监控程序调用第一位数的系统函数的情况下,通过兼容子系统将所述栈寄存器的位数从所述第一位数切换至所述第二位数;
14、通过所述兼容子系统将代码寄存器的位数从所述第一位数切换至所述第二位数,以使所述待监控程序调用所述第二位数的系统函数。
15、根据本专利技术提供的一种系统调用监控方法,所述通过兼容子系统将所述栈寄存器的位数从所述第一位数切换至所述第二位数,包括:
16、在通过安全软件确定所述第一位数的系统函数合法的情况下,通过所述兼容子系统将所述栈寄存器的位数从所述第一位数切换至所述第二位数。
17、根据本专利技术提供的一种系统调用监控方法,所述方法还包括:
18、在检测到代码寄存器对应的处理器模式从所述第一位数的处理器模式切换至所述第二位数的处理器模式的情况下,确定所述待监控程序为恶意程序、且确定所述待监控程序是通过天堂之门技术调用所述第二位数的系统函数。
19、根据本专利技术提供的一种系统调用监控方法,所述在检测到代码寄存器对应的处理器模式从所述第一位数的处理器模式切换至所述第二位数的处理器模式的情况下,确定所述待监控程序为恶意程序、且确定所述待监控程序是通过天堂之门技术调用所述第二位数的系统函数,包括:
20、在检测到代码寄存器对应的处理器模式从所述第一位数的处理器模式切换至所述第二位数的处理器模式、且所述栈寄存器的位数从所述第一位数切换至所述第二位数的情况下,确定所述待监控程序为恶意程序、且确定所述待监控程序是通过所述天堂之门技术调用所述第二位数的系统函数。
21、本专利技术还提供一种系统调用监控装置,包括:
22、第一确定单元,用于在第一位数的待监控程序在第二位数的操作系统调用第二位数的系统函数的情况下,确定栈寄存器的位数是否从所述第一位数切换至所述第二位数,所述第一位数小于所述第二位数;
23、控制单元,用于在所述栈寄存器的位数未从所述第一位数切换至所述第二位数的情况下,禁止所述待监控程序基于调用的所述第二位数的系统函数执行操作。
24、本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述系统调用监控方法。
25、本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述系统调用监控方法。
26、本专利技术还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述系统调用监控方法。
27、本专利技术提供的系统调用监控方法及装置,在第一位数的待监控程序在第一位置的操作系统调用第二位数的系统函数的情况下,确定栈寄存器的位数是否从第一位数切换至第二位数,在栈寄存器的位数未从第一位数切换至第二位数时,说明待监控程序是基于天堂之门技术调用了第二位数的系统函数,可以确定待监控程序为恶意程序,则禁止待监控程序基于调用的第二位数的系统函数执行操作,以防待监控程序通过调用的第二位数的系统函数执行恶意操作,从而提高了程序监控的准确性。
本文档来自技高网...【技术保护点】
1.一种系统调用监控方法,其特征在于,包括:
2.根据权利要求1所述的系统调用监控方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的系统调用监控方法,其特征在于,所述禁止所述待监控程序基于调用的所述第二位数的系统函数执行操作,包括:
4.根据权利要求2所述的系统调用监控方法,其特征在于,所述方法还包括:
5.根据权利要求1-4任一项所述的系统调用监控方法,其特征在于,所述确定栈寄存器的位数是否从所述第一位数切换至所述第二位数之前,所述方法还包括:
6.根据权利要求5所述的系统调用监控方法,其特征在于,所述通过兼容子系统将所述栈寄存器的位数从所述第一位数切换至所述第二位数,包括:
7.根据权利要求1-4任一项所述的系统调用监控方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的系统调用监控方法,其特征在于,所述在检测到代码寄存器对应的处理器模式从所述第一位数的处理器模式切换至所述第二位数的处理器模式的情况下,确定所述待监控程序为恶意程序、且确定所述待监控程序是通过天堂之门技术调用所
9.一种系统调用监控装置,其特征在于,包括:
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述系统调用监控方法。
11.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述系统调用监控方法。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述系统调用监控方法。
...【技术特征摘要】
1.一种系统调用监控方法,其特征在于,包括:
2.根据权利要求1所述的系统调用监控方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的系统调用监控方法,其特征在于,所述禁止所述待监控程序基于调用的所述第二位数的系统函数执行操作,包括:
4.根据权利要求2所述的系统调用监控方法,其特征在于,所述方法还包括:
5.根据权利要求1-4任一项所述的系统调用监控方法,其特征在于,所述确定栈寄存器的位数是否从所述第一位数切换至所述第二位数之前,所述方法还包括:
6.根据权利要求5所述的系统调用监控方法,其特征在于,所述通过兼容子系统将所述栈寄存器的位数从所述第一位数切换至所述第二位数,包括:
7.根据权利要求1-4任一项所述的系统调用监控方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的系...
【专利技术属性】
技术研发人员:王丹阳,郭夏宾,王明广,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。