專利名稱:一種目標(biāo)地址定位方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全軟件領(lǐng)域,尤其涉及ー種目標(biāo)地址定位方法和系統(tǒng)�����。
背景技術(shù):
由于在設(shè)計理論上存在著一定的缺陷(例如缺乏完整性校驗機制等)����,微軟Windows 32位操作系統(tǒng)平臺存在著大量的被篡改可能。安全軟件在查殺惡意程序(計算機病毒)的過程中�����,需要查找���、定位涉嫌中毒程序、函數(shù)的原始地址�,之后再將其原始地址值與其現(xiàn)在的值對比,找出差異的地方���,這些差異之處就是被病毒篡改的隱秘修改點�,之后將隱秘修改點的值恢復(fù)為原始默認值,這是安全軟件與病毒進行攻防的重要步驟�����。從上述安全軟件殺毒的描述中可以知道原始地址定位技術(shù)是安全軟件的關(guān)鍵技術(shù)之一���。在現(xiàn)有原始地址定位技術(shù)中�,可以歸納為“特征碼掃描”定位法和“基于長度反匯 編引擎的特征碼掃描”定位法兩種���,這兩種方法的核心都在于定位的方法是從ニ進制代碼段入手���,根據(jù)某些特定的ニ進制字節(jié)流查找目標(biāo)例程,之后從提取出的相對偏移累加上重定位信息最終得出原始地址����。根據(jù)ニ進制字節(jié)流的方法依賴與特定的操作系統(tǒng)版本或編譯器選項設(shè)置,新平臺只要出現(xiàn)ー個比特的改變都將導(dǎo)致特征硬編碼失效�����,因此�,現(xiàn)有的原始地址定位技術(shù)跨平臺能力弱、向后兼容性差����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供ー種目標(biāo)地址定位方法和系統(tǒng)����,在獲取目標(biāo)驅(qū)動程序的原始地址后���,將獲取的目標(biāo)驅(qū)動程序的原始地址與系統(tǒng)開機時加載的目標(biāo)驅(qū)動程序的地址進行對比�,井根據(jù)對比結(jié)果判定目標(biāo)驅(qū)動程序的地址是否被篡改�����,如果判定目標(biāo)驅(qū)動程序的地址被篡改�����,則找出篡改點�;將篡改點恢復(fù)為原始默認值����。為了解決上述問題,本發(fā)明公開了ー種目標(biāo)地址定位方法�,包括加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間;模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境��;目標(biāo)驅(qū)動程序在用戶態(tài)下運行,獲取目標(biāo)驅(qū)動程序的原始地址���。進ー步的�,還包括將獲取的目標(biāo)驅(qū)動程序的原始地址與系統(tǒng)開機時加載的目標(biāo)驅(qū)動程序的地址進行對比�����,井根據(jù)對比結(jié)果判定目標(biāo)驅(qū)動程序的地址是否被篡改�。進ー步的,還包括如果判定目標(biāo)驅(qū)動程序的地址被篡改����,則找出篡改點;將篡改點恢復(fù)為原始默認值�。進ー步的,還包括將I/O請求包直接發(fā)送到獲取的目標(biāo)驅(qū)動程序的原始地址��。進ー步的��,模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境����,包括偽造并遍歷、替換目標(biāo)驅(qū)動程序的所有導(dǎo)入函數(shù)�;創(chuàng)建線程�����,偽造并初始化填充目標(biāo)驅(qū)動程序?qū)ο蠼Y(jié)構(gòu)及字符串指針�����;在線程中調(diào)用目標(biāo)驅(qū)動程序的導(dǎo)出入口���。進ー步的,獲取目標(biāo)驅(qū)動程序的原始地址�,包括讀取系統(tǒng)變量、例程地址數(shù)值���;獲取目標(biāo)驅(qū)動程序地址重定位信息�����,計算得到目標(biāo)驅(qū)動程序原始地址��。進ー步的,獲取目標(biāo)驅(qū)動程序地址重定位信息�����,包括調(diào)用預(yù)設(shè)例程重置目標(biāo)驅(qū)動程序重定位信息;讀取所述重定位信息��。進一步的��,在獲取目標(biāo)驅(qū)動程序原始地址后�����,還包括從用戶態(tài)內(nèi)存空間卸載目標(biāo)驅(qū)動程序�����。進一步的���,在加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間之前����,還包括發(fā)起初始化請求�����;獲取互斥對象資源��。進一步的�,在獲取目標(biāo)驅(qū)動程序原始地址后���,還包括釋放內(nèi)存和互斥對象資源。進一步的��,還包括設(shè)置與目標(biāo)驅(qū)動程序運行中錯誤信息相對應(yīng)的錯誤碼�;調(diào)用預(yù)設(shè)例程獲得目標(biāo)驅(qū)動程序運行中詳細的錯誤信息。本發(fā)明還公開了一種目標(biāo)地址定位系統(tǒng)����,包括加載裝置,用于加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間���;模擬裝置�,用于模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境�;獲取裝置,用于目標(biāo)驅(qū)動程序在用戶態(tài)下運行�����,獲取目標(biāo)驅(qū)動程序的原始地址�����。 進一步的,模擬裝置包括導(dǎo)入模塊�,用于偽造并遍歷����、替換目標(biāo)驅(qū)動程序的所有導(dǎo)入函數(shù);創(chuàng)建模塊�,用于創(chuàng)建線程,偽造并初始化填充目標(biāo)驅(qū)動程序?qū)ο蠼Y(jié)構(gòu)及字符串指針�����;調(diào)用模塊��,用于在所述線程中調(diào)用目標(biāo)驅(qū)動程序的導(dǎo)出入口�。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點本發(fā)明的目標(biāo)地址定位方法�����,通過模擬目標(biāo)驅(qū)動程序運行的內(nèi)核環(huán)境和參數(shù)等相關(guān)信息����,讓目標(biāo)驅(qū)動程序在用戶態(tài)下運行,進而獲取其實際的原始地址�����,解決了現(xiàn)有技術(shù)中依賴于二進制字節(jié)流查找原始地址而無法克服的硬編碼的問題,其跨平臺能力強��、向后兼容性好�。本發(fā)明方法中,讓目標(biāo)驅(qū)動程序在用戶態(tài)運行����,可以克服其在內(nèi)核態(tài)運行可能出現(xiàn)的藍屏或死機的問題,利于用戶觀察�����、判斷系統(tǒng)運行狀況��,獲取相關(guān)參數(shù)���,找到惡意程序的隱秘篡改點�。
圖I為本發(fā)明方法實施例I的流程圖�����;圖2為本發(fā)明方法實施例I中步驟102的具體流程圖�;圖3為本發(fā)明方法實施例I中步驟103的具體流程圖;圖4為本發(fā)明方法實施例2中為了獲取錯誤信息的流程圖;圖5為本發(fā)明方法實施例3的流程圖�;圖6為本發(fā)明系統(tǒng)實施例4中一種目標(biāo)地址定位系統(tǒng)的結(jié)構(gòu)示意圖;圖7為本發(fā)明系統(tǒng)實施例4中模擬裝置的組成結(jié)構(gòu)示意圖����。
具體實施例方式下面結(jié)合附圖和實施例�,對本發(fā)明的具體實施方式
作進一步詳細描述。以下實例用于說明本發(fā)明��,但不用來限制本發(fā)明的范圍�。Windows的內(nèi)核往往是病毒篡改的目標(biāo),改了之后怎么辦,現(xiàn)有的處理辦法是通過技術(shù)手段讓磁盤的內(nèi)容映射到內(nèi)核(磁盤中的內(nèi)容是干凈的代碼)�����,然后同內(nèi)核現(xiàn)存的代碼對比��,差異的地方就是病毒的篡改點��,殺毒的一個重要動作就是恢復(fù)這些篡改點的值為默認值?,F(xiàn)有技術(shù)找到篡改點的辦法是通過源代碼進行對比,一個一個的比對����,這樣存在硬編碼的問題,而所謂的反匯編辦法也僅僅是代碼對比的一種改進,核心還是不變化的�����。
本發(fā)明的方法是在用戶態(tài)下模擬內(nèi)核環(huán)境�,讓內(nèi)核的一些驅(qū)動程序在用戶態(tài)狀態(tài)下運行,例如*. sys等驅(qū)動程序�。這些驅(qū)動程序一旦運行的話通過分析、跟蹤其調(diào)用函數(shù)等動作就可以得到驅(qū)動程序的原始地址��。之后對比這些原始地址和當(dāng)前地址的差異�����,找到篡改點�����。同時在用戶態(tài)下模擬內(nèi)核環(huán)境可以更好的觀察這些驅(qū)動程序的運行����,驅(qū)動程序的虛擬執(zhí)行放在用戶態(tài)實現(xiàn)的主要原因是為了盡量避免(放在內(nèi)核態(tài))可能導(dǎo)致的藍屏問題。本發(fā)明的核心思想在于在用戶態(tài)模擬目標(biāo)驅(qū)動程序在內(nèi)核態(tài)運行時所需的參數(shù)和環(huán)境�����,讓目標(biāo)驅(qū)動程序在用戶態(tài)下運行,進而獲取目標(biāo)驅(qū)動程序的原始地址����。實施例1,參考圖1���,示出了ー種目標(biāo)地址定位方法�����,具體可以包括步驟101,加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間�;步驟102,模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境��;
步驟103�����,目標(biāo)驅(qū)動程序在用戶態(tài)下運行�,獲取目標(biāo)驅(qū)動程序的原始地址。在具體實施時���,步驟102可以包括(參考圖2)步驟1021��,偽造并遍歷�����、替換目標(biāo)驅(qū)動程序的所有導(dǎo)入函數(shù)���;步驟1022�����,創(chuàng)建線程�����,偽造并初始化填充目標(biāo)驅(qū)動程序?qū)ο蠼Y(jié)構(gòu)及字符串指針����;步驟1023��,在所述線程中調(diào)用目標(biāo)驅(qū)動程序的導(dǎo)出入口�����。在具體實施上述實施例I步驟103獲取目標(biāo)驅(qū)動程序的原始地址時�,可以包括(參考圖3)步驟1031��,讀取系統(tǒng)變量�、例程地址數(shù)值��;步驟1032�,獲取目標(biāo)驅(qū)動程序地址重定位信息,計算得到目標(biāo)驅(qū)動程序原始地址��。在步驟1032獲取目標(biāo)驅(qū)動程序地址重定位信息中��,可以包括調(diào)用預(yù)設(shè)例程重置目標(biāo)驅(qū)動程序重定位信息��;讀取所述重定位信息�。在上述實施例I中��,完成獲取目標(biāo)驅(qū)動程序的原始地址的動作之后����,還可以從用戶態(tài)內(nèi)存空間卸載目標(biāo)驅(qū)動程序。在上述實施例I中�,在加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間之前,還可以包括發(fā)起初始化請求��;獲取互斥對象資源�。如果在加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間之前増加了上述兩個步驟���,那么在實施例I中,獲取目標(biāo)驅(qū)動程序原始地址后�,也對應(yīng)的還可以設(shè)有釋放內(nèi)存和互斥對象資源的步驟。這里對應(yīng)用本發(fā)明方法的360安全軟件進一步的詳細描述一下以對比文件系統(tǒng)驅(qū)動為例內(nèi)存中有一份被系統(tǒng)開機時加載了的�����、不可信的�����、可能被木馬篡改了的ntfs.sys驅(qū)動��;另外����,我們假定磁盤上的ntfs. sys是沒有被篡改的、原始的�����、干凈的驅(qū)動文件����。此吋���,映射并且重定位這份干凈的ntfs. sys進內(nèi)存就可以和之前那份做對比、找篡改點��。在360安全衛(wèi)士的環(huán)境下�,安全軟件會實時監(jiān)控系統(tǒng)驅(qū)動的感染行為一不允許隨意破壞系統(tǒng)文件,所以保證了磁盤ntfs. sys文件的可信���。在本發(fā)明方法實施例2中��,為了獲取錯誤信息���,還可以包括如下步驟,參考圖4 步驟201��,設(shè)置與目標(biāo)驅(qū)動程序運行中錯誤信息相對應(yīng)的錯誤碼���;步驟202,調(diào)用預(yù)設(shè)例程獲得目標(biāo)驅(qū)動程序運行中詳細的錯誤信息�����。為了使得獲得的錯誤信息同步�����,可以設(shè)置為內(nèi)核同步調(diào)用返回用戶態(tài)調(diào)用結(jié)果。如果調(diào)用失敗�,用戶態(tài)接ロ可以設(shè)置相應(yīng)的錯誤碼,這樣�����,調(diào)用者線程可以通過預(yù)設(shè)例程得到詳細的錯誤信息�����。
在本發(fā)明方法實施例3中��,以虛擬執(zhí)行文件系統(tǒng)驅(qū)動(NTFS. SYS/FASTFAT. SYS)為例����,流程圖參考圖5,詳細實現(xiàn)步驟可以包括(I)調(diào)用者初始化時發(fā)起SetMiscParameters請求��;(2) SetMiscParameters請求需等待/獲取MemMutex互斥對象資源�;(3) SetMiscParameters調(diào)用LoadPEFile例程加載目標(biāo)驅(qū)動到用戶態(tài)內(nèi)存空間;調(diào)用ResetRelocData例程重置PE重定位信息����;(4)如LoadPEFile例程初始化失敗則返回對應(yīng)的錯誤碼����;(5) SetMiscParameters創(chuàng)建線程CallFSDThread,線程的內(nèi)部完成文件模擬執(zhí)行過程�。(6)線程CalIFSDThread調(diào)用WalkImportTable例程修復(fù)導(dǎo)入函數(shù),導(dǎo)入函數(shù)集合 需要自己提前實現(xiàn),這個集合要足夠支撐目標(biāo)驅(qū)動的正確運行����;(7)以虛擬執(zhí)行文件系統(tǒng)驅(qū)動為例,偽造輸入?yún)?shù)_DRIVER_OBJECT���、_UNIC0DE_STRING �;(8)在異常處理的保護下�����,線程CallFSDThread調(diào)用驅(qū)動的導(dǎo)出入口GsDriverEntry/DriverEntry,虛擬執(zhí)行正式開始��;(9)系統(tǒng)變量�����、例程地址等被執(zhí)行填充��,結(jié)合PE地址重定位信息�����,計算出實際的原始地址���;(10)調(diào)用例程UnloadPEFile解除可執(zhí)行文件鏡像映射�;(11)釋放內(nèi)存�����,釋放互斥對象資源��,文件模擬執(zhí)行全過程結(jié)束���。文件模擬執(zhí)行操作的接口及主要函數(shù)描述初始化例程SetMiscParameters是整個文件模擬執(zhí)行的邏輯入口��,該例程會調(diào)用可執(zhí)行鏡像裝載函數(shù)LoadPEFile完成模塊加載工作��。CalIFSDThread執(zhí)行線程也是由這個函數(shù)封裝創(chuàng)建的��。LoadPEFiIe/UnIoadPEFiIe例程是一組基于文件穿透的PE操作庫���,它們會MapSectionOfModule映射模塊并處理PE文件重定位信息。CallFSDThread執(zhí)行線程是模擬執(zhí)行的實現(xiàn)函數(shù)。在異常處理的保護下�,目標(biāo)驅(qū)動文件將在用戶態(tài)“仿真”運行。在本發(fā)明方法實施例4中���,就獲取目標(biāo)驅(qū)動程序的原始地址后的應(yīng)用做了舉例說明�,在獲取目標(biāo)驅(qū)動程序后�,可以包括將獲取的目標(biāo)驅(qū)動程序的原始地址與系統(tǒng)開機時加載的目標(biāo)驅(qū)動程序的地址進行對比,并根據(jù)對比結(jié)果判定目標(biāo)驅(qū)動程序的地址是否被篡改�。當(dāng)判定目標(biāo)驅(qū)動程序的地址沒有被篡改,則結(jié)束類似殺毒掃描的工作���,如果判定目標(biāo)驅(qū)動程序的地址已經(jīng)被篡改����,則可以將獲取的目標(biāo)驅(qū)動程序的原始地址與系統(tǒng)開機時加載的目標(biāo)驅(qū)動程序的地址進行對比���,找出篡改點����;將篡改點恢復(fù)為原始默認值�。經(jīng)過上述兩個步驟后,恢復(fù)了被惡意程序修改的篡改點���,修補了安全隱患�。在本發(fā)明方法實施例5中����,給出了在獲取目標(biāo)驅(qū)動程序的原始地址后的又一個具體應(yīng)用?����;凇拔募┩浮钡脑?,通過構(gòu)建I/O請求包并向真實的、可信的文件系統(tǒng)處理函數(shù)處發(fā)送該I/o請求包��,進而創(chuàng)建一條文件操作的可信通道�����,這是安全軟件與惡意程序攻防中重要的操作步驟���?����!罢鎸嵉?���、可信的”文件系統(tǒng)處理函數(shù)地址的獲得就是基于“虛擬執(zhí)行”定位的原始地址,因此在獲取目標(biāo)驅(qū)動程序的原始地址后���,可以將I/o請求包直接發(fā)送到所述獲取的目標(biāo)驅(qū)動程序的原始地址��。在實施例6中�����,本發(fā)明還公開了一種目標(biāo)地址定位系統(tǒng)(參考圖6)����。實施例6, —種目標(biāo)地址定位系統(tǒng)包括加載裝置601����,用于加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間;模擬裝置602����,用于模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境;獲取裝置603���,用于目標(biāo)驅(qū)動程序在用戶態(tài)下運行��,獲取目標(biāo)驅(qū)動程序的原始地址����。在加載裝置601將目標(biāo)驅(qū)動程序加載到用戶態(tài)內(nèi)存空間后,模擬裝置602在用戶態(tài)下模擬出目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境�����;在目標(biāo)驅(qū)動程序運行過程中�����,所需要的一些系統(tǒng)變量和例程地址等數(shù)值被執(zhí)行填充�����,累加目標(biāo)驅(qū)動程序的重定位信息得出系統(tǒng)變量和例程地址的實際原始地址����。在另ー個系統(tǒng)實施例7中��,上述系統(tǒng)實施6中的模擬裝置可以包括如下模塊(參見圖7)導(dǎo)入模塊701����,用于偽造并遍歷�����、替換目標(biāo)驅(qū)動程序的所有導(dǎo)入函數(shù)��;創(chuàng)建模塊702���,用于創(chuàng)建線程,偽造并初始化填充目標(biāo)驅(qū)動程序?qū)ο蠼Y(jié)構(gòu)及字符串指針����;
調(diào)用模塊703,用于在所述線程中調(diào)用目標(biāo)驅(qū)動程序的導(dǎo)出入口����。以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出�,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明技術(shù)原理的前提下�����,還可以做出若干改進和潤飾�,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。
權(quán)利要求
1.一種目標(biāo)地址定位方法����,其特征在于����,包括 加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間����; 模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境; 目標(biāo)驅(qū)動程序在用戶態(tài)下運行�,獲取目標(biāo)驅(qū)動程序的原始地址��。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于��,還包括 將獲取的目標(biāo)驅(qū)動程序的原始地址與系統(tǒng)開機時加載的目標(biāo)驅(qū)動程序的地址進行對t匕���,并根據(jù)對比結(jié)果判定目標(biāo)驅(qū)動程序的地址是否被篡改。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于����,還包括 如果判定目標(biāo)驅(qū)動程序的地址被篡改���,則找出篡改點; 將篡改點恢復(fù)為原始默認值��。
4.根據(jù)權(quán)利要求I所述的方法����,其特征在于,還包括 將I/O請求包直接發(fā)送到所述獲取的目標(biāo)驅(qū)動程序的原始地址��。
5.根據(jù)權(quán)利要求I所述的方法��,其特征在于����,所述模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境,包括 偽造并遍歷����、替換目標(biāo)驅(qū)動程序的所有導(dǎo)入函數(shù); 創(chuàng)建線程���,偽造并初始化填充目標(biāo)驅(qū)動程序?qū)ο蠼Y(jié)構(gòu)及字符串指針�����; 在所述線程中調(diào)用目標(biāo)驅(qū)動程序的導(dǎo)出入口��。
6.根據(jù)權(quán)利要求I所述的方法���,其特征在于�,所述獲取目標(biāo)驅(qū)動程序的原始地址�,包括 讀取系統(tǒng)變量、例程地址數(shù)值�����; 獲取目標(biāo)驅(qū)動程序地址重定位信息�����,計算得到目標(biāo)驅(qū)動程序原始地址���。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于�,獲取目標(biāo)驅(qū)動程序地址重定位信息,包括 調(diào)用預(yù)設(shè)例程重置目標(biāo)驅(qū)動程序重定位信息; 讀取所述重定位信息���。
8.根據(jù)權(quán)利要求I所述的方法����,其特征在于�,在獲取目標(biāo)驅(qū)動程序原始地址后,還包括 從用戶態(tài)內(nèi)存空間卸載目標(biāo)驅(qū)動程序��。
9.根據(jù)權(quán)利要求I所述的方法��,其特征在于�����,在加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間之前��,還包括 發(fā)起初始化請求����; 獲取互斥對象資源。
10.根據(jù)根據(jù)權(quán)利要求9所述的方法���,其特征在于����,在獲取目標(biāo)驅(qū)動程序原始地址后,還包括 釋放內(nèi)存和互斥對象資源����。
11.根據(jù)權(quán)利要求I所述的方法,其特征在于����,還包括 設(shè)置與目標(biāo)驅(qū)動程序運行中錯誤信息相對應(yīng)的錯誤碼; 調(diào)用預(yù)設(shè)例程獲得目標(biāo)驅(qū)動程序運行中詳細的錯誤信息��。
12.—種目標(biāo)地址定位系統(tǒng)��,其特征在于�,包括加載裝置,用于加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間����;模擬裝置�,用于模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境;獲取裝置��,用于目標(biāo)驅(qū)動程序在用戶態(tài)下運行���,獲取目標(biāo)驅(qū)動程序的原始地址����。
13.根據(jù)權(quán)利要求12所述的系統(tǒng),其特征在于����,所述模擬裝置包括導(dǎo)入模塊,用于偽造并遍歷����、替換目標(biāo)驅(qū)動程序的所有導(dǎo)入函數(shù);創(chuàng)建模塊���,用于創(chuàng)建線程����,偽造并初始化填充目標(biāo)驅(qū)動程序?qū)ο蠼Y(jié)構(gòu)及字符串指針�;調(diào)用模塊,用于在所述線程中調(diào)用目標(biāo)驅(qū)動程序的導(dǎo)出入口���。
全文摘要
本發(fā)明公開了一種目標(biāo)地址定位方法�����,包括加載目標(biāo)驅(qū)動程序到用戶態(tài)內(nèi)存空間����;模擬目標(biāo)驅(qū)動程序運行所需的參數(shù)和環(huán)境;目標(biāo)驅(qū)動程序在用戶態(tài)下運行��,獲取目標(biāo)驅(qū)動程序的原始地址�。本發(fā)明具有以下優(yōu)點本發(fā)明的目標(biāo)地址定位方法,通過模擬目標(biāo)驅(qū)動程序運行的內(nèi)核環(huán)境和參數(shù)等相關(guān)信息�����,讓目標(biāo)驅(qū)動程序在用戶態(tài)下運行����,進而獲取其實際的原始地址,解決了現(xiàn)有技術(shù)中依賴于二進制字節(jié)流查找原始地址而無法克服的硬編碼的問題�,其跨平臺能力強、向后兼容性好����。
文檔編號G06F21/00GK102831334SQ20111016106
公開日2012年12月19日 申請日期2011年6月15日 優(yōu)先權(quán)日2011年6月15日
發(fā)明者潘劍鋒, 王宇 申請人:奇智軟件(北京)有限公司