一种检测伪装起始地址的内核线程的方法及装置
基本信息
| 申请号 | CN202110203553.7 | 申请日 | - |
| 公开(公告)号 | CN113010885B | 公开(公告)日 | 2021-10-15 |
| 申请公布号 | CN113010885B | 申请公布日 | 2021-10-15 |
| 分类号 | G06F21/55(2013.01)I;G06F21/56(2013.01)I | 分类 | 计算;推算;计数; |
| 发明人 | 代鹏 | 申请(专利权)人 | 安芯网盾(北京)科技有限公司 |
| 代理机构 | 北京中创云知识产权代理事务所(普通合伙) | 代理人 | 徐辉 |
| 地址 | 100094北京市海淀区西北旺镇唐家岭路百旺弘祥科技文化园3号楼3层3222室 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明提供一种检测伪装起始地址的内核线程的方法,包括:步骤S1,创建多个内核线程,当前操作系统的每一个内核等待函数由至少一个所述内核线程调用;所述多个内核线程进入等待状态时,获取每个所述内核线程的第一栈特征组成第一栈特征集;步骤S2,遍历当前系统的所有内核线程,获取每个处于等待状态的内核线程的第二栈特征;步骤S3,如果所述第二栈特征与所述第一栈特征集中的第一栈特征匹配,则执行步骤S4;步骤S4,比对所述处于等待状态的内核线程调用所述等待函数时的返回地址与所述处于等待状态的内核线程的线程起始地址是否在同一内核模块内,如果比对结果为否,则判定所述处于等待状态的内核线程为伪装起始地址的内核线程。 |
