技術領域

本發明涉及信息安全技術領域，尤其涉及一種定位被改寫代碼段所在進程的方法及裝置。

背景技術

某些帶操作系統的處理器，例如TI64X系列芯片，代碼段和數據段是統一編址的，造成代碼段很容易被改寫，而且被改寫代碼和改寫內容往往是隨機的，造成代碼段被改寫很難定位，這種情況下，確定是那塊程序運行引起的代碼段改寫是非常困難的。

目前的處理器設計時，在操作系統的任務切換間添加了進程切換記錄，當驅動檢測到處理器故障時，會將處理器狀態記錄下來，通過進程切換記錄進行分析和定位問題。如果代碼段被改寫，造成了處理器進入死循環或者進入驅動異常進程，此時記錄進程切換信息，從而可以通過進程切換記錄，查找最近被哪些進程調用，并基本可以確定就是在這些進程的調用過程中，造成了代碼改寫。

但是，代碼段被改寫往往是一個循序漸進的過程，常常是某些代碼段被改寫還不足以導致系統故障，那么此時驅動認為系統正常，不會及時獲取并分析進程切換記錄來定位問題。當代碼段被改寫的范圍擴大，出現多處代碼段被改寫以致系統故障時，驅動才會對歷史進程切換記錄進行分析來定位問題，但是此時獲取的進程切換記錄已經非常繁多?？梢姡捎跊]有及時分析進程切換記錄，在發現系統故障時不得不分析眾多歷史進程切換記錄。在眾多歷史進程切換記錄中，幾乎無法獲知哪些代碼先被改寫、被哪些進程改寫。由此，這種僅依靠進程切換記錄的方式，針對性不明確，很難確定是由哪個進程引起的代碼段改寫。

發明內容

本發明目的是提供一種定位被改寫代碼段所在進程的方法及裝置，實現對被改寫代碼段所在進程的精確定位。

為此，本發明實施例采用如下技術方案：

一種定位被改寫代碼段所在進程的方法，包括步驟：備份代碼段信息；利用代碼段備份信息，在操作系統空閑進程或操作系統的任務切換期間，核查運行的代碼段是否被改寫，若是，立即獲取核查到代碼段被改寫最近的進程切換記錄；分析所述進程切換記錄，確定被改寫代碼段所在進程。

優選地，所述代碼段備份信息包括代碼段副本和代碼段校驗值；核查運行的代碼段是否被改寫的過程是：計算運行的代碼段的校驗值，比較計算的校驗值與備份的校驗值是否一致，若否，確定代碼段被改寫；再利用代碼段副本對上述被改寫代碼段逐字比較，從而確定被改寫代碼段的具體字段。

或者，所述代碼段備份信息是指代碼段副本；核查運行的代碼段是否被改寫的過程是：逐字比較運行中的代碼段和代碼段副本是否一致，若否，則確定運行的代碼段被改寫。

或者，所述代碼段備份信息是指代碼段校驗值；核查運行的代碼段是否被改寫的過程是：計算運行中的代碼段的校驗值，比較計算出的校驗值與備份的校驗值是否一致；若否，則確定運行的代碼段被改寫。

所述方法還包括：備份代碼段校驗值的檢驗值；在運行的代碼段校驗值與備份代碼段校驗值一致時，計算運行中的代碼段校驗值的檢驗值，并比較計算的檢驗值與備份的檢驗值是否一致，若否，則確定運行的代碼段被改寫。

所述代碼段的校驗值，是指代碼段逐字累加之和、代碼段逐字作與操作的結果，或者代碼段逐字作異或操作的結果；所述代碼段校驗值的檢驗值，是指校驗值逐字累加之和、校驗值逐字作與操作的結果，或者校驗值逐字作異或操作的結果。

所述方法還包括：確定代碼段備份信息中包含代碼段副本時，利用所述代碼段副本更新確定的進程中被改寫的代碼段。

一種定位被改寫代碼段所在進程的裝置，包括：獲取單元，用于獲取進程切換記錄；定位單元，用于依據所述獲取單元提供的進程切換記錄，確定被改寫代碼段所在進程；所述裝置還包括：備份單元，存儲有代碼段信息；核查單元，利用所述備份單元提供的代碼段信息，在操作系統空閑進程或操作系統的任務切換期間，核查運行中的代碼段是否被改寫；指示單元，從所述核查單元獲知運行中的代碼段被改寫時，立即啟動所述獲取單元；

獲取單元還用于：在進行所述進程切換記錄的獲取時獲取核查到代碼段被改寫最近的進程切換記錄。

所述備份單元存儲的代碼段信息，是指代碼段副本，代碼段校驗值，代碼段校驗值與校驗值的檢驗值，代碼段副本與代碼段校驗值，或者，代碼段副本、代碼段校驗值與校驗值的檢驗值的集合。

所述裝置還包括：恢復單元，利用所述備份單元提供的代碼段副本，更新所述定位單元確定的進程中被改寫的代碼段。

對于上述技術方案的技術效果分析如下：