一种绕过计算机系统应用层检测的方法
基本信息
| 申请号 | CN202111404412.8 | 申请日 | - |
| 公开(公告)号 | CN114047984A | 公开(公告)日 | 2022-02-15 |
| 申请公布号 | CN114047984A | 申请公布日 | 2022-02-15 |
| 分类号 | G06F9/448(2018.01)I;G06F8/53(2018.01)I;G06F21/54(2013.01)I | 分类 | 计算;推算;计数; |
| 发明人 | 廖丽文 | 申请(专利权)人 | 北京猎鹰安全科技有限公司 |
| 代理机构 | 北京康盛知识产权代理有限公司 | 代理人 | 李欣芮 |
| 地址 | 100041北京市石景山区实兴大街30号院3号楼2层A-0003房间 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明提出一种绕过计算机系统应用层检测的方法,包括以下步骤:计算机系统应用层将需要调用的函数参数打包,传送至驱动;驱动读取动态链接库ntdll.dll文件,导出需要调用函数的入口,解析出调用号;读取内核文件,解析出系统函数调用表;根据调用号和系统函数调用表解析出内核中需要调用函数的地址;根据地址调用需要调用的函数。该方法通过跟驱动通讯来达到调用某些函数时绕过计算机系统应用层检测的目的,该方法在内核态实现,相比现有方法更为底层,难以检测,也可以减少程序运行时与其它安全程序的冲突。 |
