【技術實現步驟摘要】
本專利技術涉及一種Windows操作系統內核函數遍歷方法,屬于計算機與信息科學
技術介紹
非開源操作系統中存在大量內核函數,但是僅僅公開了其中的一部分。為了更好的理解操作系統的運行機理或逆向分析操作系統的內核函數,需要了解內核中未公開的函數。因此,本專利技術將提供一種操作系統內核函數遍歷方法來搜索Windows操作系統中的公開和未公開的內核函數。操作系統內核函數遍歷方法需要解決的基本問題是:尋找內核空間中函數所在的虛擬地址及其使用的參數個數和參數類型。綜觀現有的操作系統內核函數遍歷方法,通常使用方法可歸為兩類:1.源碼或符號分析源碼或符號分析是指通過源代碼或符號表來確定內核函數。但是源碼分析只能針對開源的操作系統來查找內核函數,且難以定位函數在內存中的具體地址。而符號分析則需要依據符號表來定位操作系統中具體的內核函數地址,但是直接通過符號表分析難以獲取函數所使用的參數。2.導出函數遍歷一些內核函數可通過可執行文件結構把全局函數進行導出,如Windows內核文件利用導出表導出自己的內核函數。然而這種方法只能提供導出函數的地址,無法給出非導出函數的地址,且無法給出函數使用的參數。綜上所述,現有的操作系統內核函數遍歷方法難以對非開源操作系統進行系統、全面的遍歷,所以本專利技術提出一種針對Windows操作系統的內核函數遍歷方法。
技術實現思路
本專利技術的目的是為遍...
【技術保護點】
一種Windows操作系統內核函數遍歷方法,其特征在于所述方法包括如下步驟:步驟1,通過寄存器、特征碼搜索、地址計算等方式獲取內核起始點函數地址,包括:快速系統調用函數、系統服務描述符表中函數、中斷處理函數;步驟2,從內核起始點函數通過查找調用指令并計算子函數的地址及其參數的個數和類型,然后以子函數為起始點重復上述過程,直到找不到子函數為止;步驟3,利用符號表查找函數地址對應的函數名。
【技術特征摘要】
1.一種Windows操作系統內核函數遍歷方法,其特征在于所述方法包
括如下步驟:
步驟1,通過寄存器、特征碼搜索、地址計算等方式獲取內核起始點函數地
址,包括:快速系統調用函數、系統服務描述符表中函數、中斷處理函數;
步驟2,從內核起始點函數通過查找調用指令并計算子函數的地址及其
參數的個數和類型,然后以子函數為起始點重復上述過程,直到找不到子函
數為止;
步驟3,利用符號表查找函數地址對應的函數名。
2.根據權利要求1所述的一種Windows操作系統內核函數遍歷方法,其
特征在于:步驟1中以快速系統調用函數、系統服務描述符表中函數、中斷
處理函數為內核...
【專利技術屬性】
技術研發人員:羅森林,焦龍龍,潘麗敏,閆廣祿,劉望桐,
申請(專利權)人:北京理工大學,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。