发明 一种针对APC注入的检测方法和相关装置
【计算机软件 软件开发 网络安全 黑客入侵 接口】 【 新能源汽车 】 【 计算机软件 软件开发 网络安全 黑客入侵 接口 】 【 计算机软件 软件开发 网络安全 黑客入侵 接口 APC注入 开发平台】 7人
G06F21/56 G06F11/30
摘要:本发明实施例公开了一种针对APC注入的检测方法及相关装置。本发明实施例方法包括:调用应用程序编程接口API中的OpenProcess函数以打开当前进程的句柄;调用API中的EnumProcessModule函数获取当前进程中的所有模块的模块信息,模块信息包括内存起始地址、内存结束地址和标识信息;将所有模块的模块信息进行存储得到存储列表,存储列表用于根据内存地址确定内存地址所属的模块;对当前进程的系统函数NtQueueApcThread进行挂钩hook操作,以获得系统函数NtQueueApcThread的回调函数的内存地址;调用API中的GetModuleNameByAddress函数,以根据回调函数的内存地址获取到回调函数的内存地址对应的模块的目标标识信息;若目标标识信息不包含于存储列表,则确定回调函数的内存地址对应的模块为APC注入的非法模块。
