[發明專利]內核檢測方法、裝置、電子設備及存儲介質有效
| 申請號: | 201811346957.6 | 申請日: | 2018-11-13 |
| 公開(公告)號: | CN110414218B | 公開(公告)日: | 2022-09-09 |
| 發明(設計)人: | 詹健宇;方家弘 | 申請(專利權)人: | 騰訊科技(深圳)有限公司 |
| 主分類號: | G06F21/52 | 分類號: | G06F21/52;G06F21/57 |
| 代理公司: | 廣州三環專利商標代理有限公司 44202 | 代理人: | 郝傳鑫;熊永強 |
| 地址: | 518057 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 內核 檢測 方法 裝置 電子設備 存儲 介質 | ||
1.一種內核檢測方法,應用于目標操作系統,所述目標操作系統包括目標內核,其特征在于,所述目標內核包含內核模塊,所述內核模塊與目標內存區域相對應,所述目標內存區域設有樁函數;所述方法包括:
在所述目標內核的目標函數中注冊插樁點位置;
采用跳轉指令替換所述目標函數中位于所述插樁點位置處的源指令,并將所述源指令存儲至所述目標內存區域中;
當所述目標內核運行至插樁點位置時中斷所述目標內核中位于所述插樁點位置的目標函數的運行;
執行所述插樁點位置處的跳轉指令以跳轉至所述目標內存區域;將所述目標函數的運行數據存儲至所述目標內存區域,其中,所述目標內存區域存儲有所述目標函數中位于所述插樁點位置處的源指令;
調用并執行所述目標內存區域中的樁函數以檢測所述目標內核的運行狀態;
當所述樁函數被執行完成時,從所述目標內存區域中讀取所述源指令及所述目標函數的運行數據;所述目標內存區域中的樁函數是加載所述內核模塊得到的,所述內核模塊為一個可插拔的、獨立于目標內核的內核鏡像的可運行代碼文件,所述內核模塊與至少兩種應用平臺適配,所述至少兩種應用平臺包括基于所述目標操作系統的應用平臺;
根據所述目標函數的運行數據執行所述源指令以重新啟動所述目標函數的運行。
2.如權利要求1所述的方法,其特征在于,還包括:
在所述目標內核中加載所述內核模塊;
建立所述內核模塊與所述目標內存區域的對應關系,所述目標內存區域是采用靜態方式或動態方式對所述目標內核的內存空間進行分配得到的;
將所述內核模塊中的樁函數存儲至所述目標內存區域。
3.如權利要求1所述的方法,其特征在于,所述目標函數的運行數據包括硬件上下文,所述根據所述目標函數的運行數據執行所述源指令以重新啟動所述目標函數的運行,包括:
在所述目標內存區域中恢復所述目標函數的運行數據;
執行所述源指令;
待所述源指令執行完成后,跳轉至所述目標函數中從所述插樁點位置的下一位置繼續運行所述目標函數。
4.如權利要求2所述的方法,其特征在于,還包括:
調用適配工具判斷所述內核模塊與所述目標內核是否適配;
若所述內核模塊與所述目標內核不適配,則對所述內核模塊的配置信息進行修改以使得所述內核模塊與所述目標內核適配;
若所述內核模塊與所述目標內核適配,則執行在所述目標內核中加載所述內核模塊的步驟。
5.如權利要求4所述的方法,其特征在于,所述調用所述適配工具判斷所述內核模塊與所述目標內核是否適配,包括:
調用所述適配工具獲取所述目標內核的鏡像,并從所述鏡像中讀取所述目標內核的屬性信息;
獲取所述內核模塊的配置信息;
若所述內核模塊的配置信息與所述目標內核的屬性信息相匹配,則確認所述內核模塊與所述目標內核適配;
若所述內核模塊的配置信息與所述目標內核的屬性信息不匹配,則確定所述內核模塊與所述目標內核不適配。
6.如權利要求1-5任一項所述的方法,其特征在于,還包括:
根據檢測到的所述目標內核的運行狀態生成日志,并輸出所述日志;所述目標內核的運行狀態包括正常運行狀態或漏洞利用狀態;
若所述目標內核處于漏洞利用狀態,攔截針對所述目標內核的漏洞利用程序。
7.如權利要求1所述的方法,其特征在于,所述目標操作系統為基于Linux 的操作系統,所述內核模塊為ELF格式的文件;
所述內核模塊包括擴展字段,所述擴展字段用于存儲所述內核模塊的配置信息。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于騰訊科技(深圳)有限公司,未經騰訊科技(深圳)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811346957.6/1.html,轉載請聲明來源鉆瓜專利網。
