有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0071]此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0072]本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种信息处理设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
[0073]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0074]本发明公开了 A1、一种信息处理方法,包括:
[0075]预先在目标可执行文件中注入钩子函数;
[0076]在监控到应用程序对应的系统调用时,通过所述钩子函数获取所述系统调用对应的参数信息;
[0077]根据对所述参数信息的分析,得到所述应用程序在执行过程中的调用信息。
[0078]A2、根据A1所述的方法,还包括:对所述系统调用进行监控。
[0079]A3、根据A2所述的方法,所述对所述系统调用进行监控,包括:
[0080]将监控模块注册为服务进程,并与应用程序活动进程的调用指令关联;
[0081]通过所述关联的监控模块对所述系统调用进行监控。
[0082]A4、根据A3所述的方法,所述监控模块中携带有第一函数;其中,所述第一函数用于提供父进程观察和控制其他进程执行的机制。
[0083]A5、根据A1所述的方法,所述预先在目标可执行文件中注入钩子函数,包括:
[0084]从系统的用户界面中获取所述目标可执行文件;
[0085]复制所述目标可执行文件的可执行代码;
[0086]向所述可执行代码中注入所述钩子函数。
[0087]A6、根据A5所述的方法,所述目标可执行文件为所述系统的用户界面中的ELF文件。
[0088]A7、根据A1所述的方法,所述通过所述钩子函数获取所述系统调用对应的参数信息,包括:
[0089]通过钩子函数关联第二函数;其中,所述第二函数用于装入并运行其它程序;
[0090]通过所述第二函数获取所述系统调用对应的参数信息。
[0091]A8、根据A1所述的方法,所述调用信息包括如下信息中的至少一种:所述应用程序在执行过程中对应执行的命令信息、和调用的动态链接库信息。
[0092]本发明还公开了 B9、一种信息处理系统,包括:
[0093]注入模块,用于预先在目标可执行文件中注入钩子函数;
[0094]获取模块,用于在监控到应用程序对应的系统调用时,通过所述钩子函数获取所述系统调用对应的参数信息;
[0095]分析模块,用于根据对所述参数信息的分析,得到所述应用程序在执行过程中的调用信息。
[0096]B10、根据B9所述的系统,还包括:
[0097]监控模块,用于对所述系统调用进行监控。
[0098]B11、根据B10所述的系统,所述监控模块被注册为服务进程,并与应用程序活动进程的调用指令关联,以对所述系统调用进行监控。
[0099]B12、根据B11所述的系统,所述监控模块中携带有第一函数;其中,所述第一函数用于提供父进程观察和控制其他进程执行的机制。
[0100]B13、根据B9所述的系统,所述注入模块,包括:
[0101]获取子模块,用于从系统的用户界面中获取所述目标可执行文件;
[0102]复制子模块,用于复制所述目标可执行文件的可执行代码;
[0103]注入子模块,用于向所述可执行代码中注入所述钩子函数。
[0104]B14、根据B13所述的系统,所述目标可执行文件为所述系统的用户界面中的ELF文件。
[0105]B15、根据B9所述的系统,所述获取模块在通过所述钩子函数获取所述系统调用对应的参数信息时,包括:
[0106]通过钩子函数关联第二函数;其中,所述第二函数用于装入并运行其它程序;
[0107]通过所述第二函数获取所述系统调用对应的参数信息。
[0108]B16、根据B9所述的系统,所述调用信息包括如下信息中的至少一种:所述应用程序在执行过程中对应执行的命令信息、和调用的动态链接库信息。
【主权项】
1.一种信息处理方法,包括: 预先在目标可执行文件中注入钩子函数; 在监控到应用程序对应的系统调用时,通过所述钩子函数获取所述系统调用对应的参数信息; 根据对所述参数信息的分析,得到所述应用程序在执行过程中的调用信息。2.根据权利要求1所述的方法,其特征在于,还包括:对所述系统调用进行监控。3.根据权利要求2所述的方法,其特征在于,所述对所述系统调用进行监控,包括: 将监控模块注册为服务进程,并与应用程序活动进程的调用指令关联; 通过所述关联的监控模块对所述系统调用进行监控。4.根据权利要求3所述的方法,其特征在于,所述监控模块中携带有第一函数;其中,所述第一函数用于提供父进程观察和控制其他进程执行的机制。5.根据权利要求1所述的方法,其特征在于,所述预先在目标可执行文件中注入钩子函数,包括: 从系统的用户界面中获取所述目标可执行文件; 复制所述目标可执行文件的可执行代码; 向所述可执行代码中注入所述钩子函数。6.根据权利要求5所述的方法,其特征在于,所述目标可执行文件为所述系统的用户界面中的ELF文件。7.根据权利要求1所述的方法,其特征在于,所述通过所述钩子函数获取所述系统调用对应的参数信息,包括: 通过钩子函数关联第二函数;其中,所述第二函数用于装入并运行其它程序; 通过所述第二函数获取所述系统调用对应的参数信息。8.根据权利要求1所述的方法,其特征在于,所述调用信息包括如下信息中的至少一种:所述应用程序在执行过程中对应执行的命令信息、和调用的动态链接库信息。9.一种信息处理系统,包括: 注入模块,用于预先在目标可执行文件中注入钩子函数; 获取模块,用于在监控到应用程序对应的系统调用时,通过所述钩子函数获取所述系统调用对应的参数信息; 分析模块,用于根据对所述参数信息的分析,得到所述应用程序在执行过程中的调用?目息。10.根据权利要求9所述的系统,其特征在于,还包括: 监控模块,用于对所述系统调用进行监控。
【专利摘要】本发明公开了一种信息处理方法和系统,其中,所述方法包括:预先在目标可执行文件中注入钩子函数;在监控到应用程序对应的系统调用时,通过所述钩子函数获取所述系统调用对应的参数信息;根据对所述参数信息的分析,得到所述应用程序在执行过程中的调用信息。通过本发明解决了在软件或应用程序加固之后,技术人员难以获取到原文件,进而导致无法准确判断出所述应用程序中携带有病毒代码,存在严重的安全隐患的问题。
【IPC分类】G06F21/54
【公开号】CN105373729
【申请号】CN201510993331
【发明人】曹阳
【申请人】北京奇虎科技有限公司, 奇智软件(北京)有限公司
【公开日】2016年3月2日
【申请日】2015年12月24日