[发明专利]一种对具有自我保护的目标进程实现拦截的方法

权利要求书

1.一种对具有自我保护的目标进程实现拦截的方法，其特征在于，包括如下步骤：

步骤1、将目标进程调入内存中进行调试并查找其中所有的调用系统服务指令；

步骤2、对每一个确定的调用系统服务指令的指向代码，建立格式不同但同样执行原功能的映射代码；

步骤3、建立仿目标进程文件，并在调式过程中将目标进程的代码按原顺序拷贝到仿目标进程文件中，同时用映射代码替换对应指令的指向代码；

步骤4、对仿目标进程文件进行编译形成可执行的仿目标进程，当系统调用目标进程时用仿目标进程进行替换执行，此时对仿目标进程进行拦截也就实现了目标进程的拦截。

2.如权利要求1所述的方法，其特征在于，所述步骤1中的调试过程为：

步骤21、首先对目标进程在内存中的所有代码进行反汇编；

步骤22、然后根据要查找的调用系统服务指令的名称在反汇编后的代码中进行匹配，查找出所有符合条件的调用系统服务指令；

步骤23、获取调用系统服务指令所指向的调用系统服务函数的调用号或系统服务函数地址的偏移量的指向代码。

3.如权利要求2所述的方法，其特征在于，所述步骤22中，匹配采用遍历的方式相对所有的代码，具体步骤如下：

步骤31、当匹配到某个符合的调用系统服务指令时，在此处设置断点；

步骤32、对此调用系统服务指令的指向代码进行分析，进一步确定指向代码的内容是否属于目标进程实施了屏蔽的调用号或偏移量；

步骤321、如当前调用号或偏移量是屏蔽对象，则跳转到步骤2进行重建；

步骤322、如当前调用号或偏移量不是屏蔽对象，则继续向下匹配。

4.如权利要求3所述的方法，其特征在于，所述步骤32中，如当前调用系统服务指令跳转的目的是进入下一级程序，则进入下一级程序的代码继续进行匹配，直至遇到当前程序末尾的回转指令时才跳转回断点处继续向下匹配。

5.如权利要求2所述的方法，其特征在于，所述步骤22中，每匹配到一个新的调用系统服务指令时，则取消前面设置的断点，重新在当前位置设置新断点，即分析过程中只设置一个断点。

6.如权利要求1所述的方法，其特征在于，所述步骤3中仿目标进程文件的建立是与匹配过程同步进行的，建立过程如下：

步骤61、在匹配过程中，依次将目标进程中匹配过但不符合条件的代码拷贝到仿目标进程文件中；

步骤62、在拷贝过程中涉及到要重建的调用系统服务指令的指向代码时，则用相应重建的映射代码代替；

步骤63、当匹配完成时，对仿目标进程文件的代码拷贝也同时完成，对完成后的仿目标进程文件进行编译形成仿目标进程。

7.如权利要求1-6所述的任意一种方法，其特征在于，所述调用系统服务指令是指调用系统服务函数的调用号或系统服务函数地址的偏移量的跳转指令和调用指令。

8.如权利要求7所述的方法，其特征在于，所述重建的指向代码中不包括虽然是调用系统服务函数指令，但不属于目标进程的屏蔽目标的调用系统服务指令。