[發明專利]系統函數調用方法、裝置、設備和存儲介質在審
| 申請號: | 202111564979.1 | 申請日: | 2021-12-20 |
| 公開(公告)號: | CN114363017A | 公開(公告)日: | 2022-04-15 |
| 發明(設計)人: | 王文碩;劉加勇;肖棚 | 申請(專利權)人: | 北京華云安信息技術有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L67/133 |
| 代理公司: | 北京華專卓海知識產權代理事務所(普通合伙) 11664 | 代理人: | 王一 |
| 地址: | 100094 北京市海淀區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 系統 函數 調用 方法 裝置 設備 存儲 介質 | ||
本公開的實施例提供了一種系統函數調用方法、裝置、設備和存儲介質。該方法包括:獲取應用程序發起的系統函數調用請求;響應于系統函數調用請求,檢測電子設備的運行場景;若電子設備處于攻防測試場景,則獲取系統函數的系統調用號;基于Syscall加載系統調用號,調用系統函數。以此方式,可以基于Syscall直接調用系統函數,從而繞過相關檢測,促使攻防測試正常進行。
技術領域
本公開涉及網絡安全領域,尤其涉及一種系統函數調用方法、裝置、設備和存儲介質。
背景技術
近年來,網絡攻擊事件頻發,這對網絡安全形成了嚴重的威脅。因此,需要對網絡進行攻防測試,測試網絡的防護能力。
但是在目前的攻防測試例如滲透測試中,系統函數的調用容易被安全應用程序的HOOK組件檢測,從而干擾測試。因此,如何避免在調用系統函數時被安全應用程序HOOK掛鉤檢測就成為了目前亟待解決的技術問題。
發明內容
本公開提供了一種系統函數調用方法、裝置、設備和存儲介質,可以繞過相關檢測,促使攻防測試正常進行。
第一方面,本公開實施例提供了一種系統函數調用方法,該方法包括:
獲取應用程序發起的系統函數調用請求;
響應于系統函數調用請求,檢測電子設備的運行場景;
若電子設備處于攻防測試場景,則獲取系統函數的系統調用號;
基于Syscall加載系統調用號,調用系統函數。
在第一方面的一些可實現方式中,檢測電子設備的運行場景,包括:
檢測電子設備的工作模式;
根據工作模式確定電子設備的運行場景。
在第一方面的一些可實現方式中,該方法還包括:
響應于系統函數調用請求,檢測電子設備是否安裝包括HOOK組件的安全應用程序;
若電子設備處于攻防測試場景,則獲取系統函數的系統調用號,包括:
若電子設備處于攻防測試場景且安裝包括HOOK組件的安全應用程序,則獲取系統函數的系統調用號。
在第一方面的一些可實現方式中,獲取系統函數的系統調用號,包括:
獲取電子設備的系統版本;
從系統版本對應的系統調用表中,查找系統函數的系統調用號。
在第一方面的一些可實現方式中,獲取系統函數的系統調用號,包括:
從應用程序的PEB中提取Ntdll.dll的地址;
基于Ntdll.dll的地址,確定系統函數的系統調用號。
在第一方面的一些可實現方式中,基于Ntdll.dll的地址,確定系統函數的系統調用號,包括:
基于Ntdll.dll的地址,從Ntdll.dll的導出表中確定與系統函數對應的目標函數的地址;
基于目標函數的地址,從目標函數中提取系統函數的系統調用號。
在第一方面的一些可實現方式中,基于Syscall加載系統調用號,調用系統函數,包括:
將系統調用號寫入至寄存器,并調用軟中斷指令,跳轉至內核;
在內核中查找系統調用號對應的函數入口地址;
基于函數入口地址,調用系統函數。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京華云安信息技術有限公司,未經北京華云安信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202111564979.1/2.html,轉載請聲明來源鉆瓜專利網。
