[发明专利]一种应用层命令审计方法、装置、系统及存储介质

权利要求书

1.一种应用层命令审计方法，其特征在于，所述应用层命令审计方法包括：

对命令的二进制文件静态注入一段加载指定动态库的机器码；

当所述命令的命令进程启动时，加载所述指定动态库，并在所述指定动态库中钩子hook记录命令函数；

确定所述记录命令函数被调用时，记录所述命令的命令信息，并通过客户端上报所述命令信息至服务端；

所述对命令的二进制文件静态注入一段加载指定动态库的机器码包括：

将所述加载指定动态库的机器码写到所述命令的二进制文件对应的代码段中；

查找所述命令的二进制文件的入口函数地址和加载动态库的API函数地址，所述入口函数用于作为跳转到所述机器码的入口，所述API函数地址用于加载所述指定动态库；

根据所述入口函数和所述API函数的地址值对所述机器码进行计算；

保存修改后的执行命令的二进制文件。

2.根据权利要求1所述的应用层命令审计方法，其特征在于，所述根据所述入口函数和所述API函数的地址值对所述机器码进行计算包括：

将所述入口函数所在位置的前n个字节修改为跳转到注入的所述机器码的地址处，n为正整数；

根据修改后的所述入口函数和所述API函数的地址值，对所述机器码中的指定位置的跳转偏移值进行计算。

3.根据权利要求2所述的应用层命令审计方法，其特征在于，所述当所述命令的命令进程启动时，加载所述指定动态库，并在所述指定动态库中hook记录命令函数包括：

当所述命令进程启动时，执行所述入口函数，跳转到所述机器码处；

保存所述入口函数中预设寄存器的值，并调用所述API加载所述指定动态库；

所述指定动态库被加载后，获取所述命令进程中所述记录命令函数的地址，并对所述记录命令函数进行hook。

4.根据权利要求3所述的应用层命令审计方法，其特征在于，所述当所述命令的命令进程启动时，加载所述指定动态库之后包括：

所述指定动态库加载完成后，恢复所述预设寄存器的值，跳转回所述入口函数执行所述命令进程。

5.根据权利要求4所述的应用层命令审计方法，其特征在于，所述确定所述记录命令函数被调用时，记录所述命令的命令信息包括:

当所述命令进程中所述记录命令函数被调用，跳转到hook记录命令函数；

记录所述命令和命令的IP，并上报至客户端。

6.一种应用层命令审计方法，其特征在于，所述应用层命令审计方法包括：

对命令的二进制文件静态注入一段加载指定动态库的机器码；

当命令进程启动时，加载所述指定动态库，并在所述指定动态库中hook记录命令函数；

确定所述记录命令函数被调用时，记录所述命令的命令信息，并通过客户端上报所述命令信息至服务端；

接收并分析所述客户端上报的所述命令信息；

当确定对所述命令信息对应的命令进行阻断时，向所述客户端下发命令阻断操作；

所述对命令的二进制文件静态注入一段加载指定动态库的机器码包括：

将所述加载指定动态库的机器码写到所述命令的二进制文件对应的代码段中；

查找所述命令的二进制文件的入口函数地址和加载动态库的API函数地址，所述入口函数用于作为跳转到所述机器码的入口，所述API函数地址用于加载所述指定动态库；

根据所述入口函数和所述API函数的地址值对所述机器码进行计算；

保存修改后的执行命令的二进制文件。