公开(公告)号：CN119670160A

公开(公告)日：2025-03-21

申请号：CN202411615200.8

申请日：2024-11-13

Applicant: 北京航天万源科技有限公司

Inventor： 侯路 ,  易航 ,  林汝梁 ,  韩杰 ,  郭瑶瑶 ,  宋鸿儒 ,  王蓉 ,  王书 ,  刘涛 ,  刘侠 ,  樊涛 ,  丁风云 ,  赵婧 ,  张璐 ,  夏梦瑜 ,  李丹平

IPC: G06F21/64 ,  G06F21/56

Abstract: 本发明提供一种用于检测内存函数指针被替换的方法和装置，所述方法包括以下步骤：读取目标模块的物理文件，将物理文件加载到内存中，形成第一内存区域；从内存中读取目标模块对应的完整内存，形成第二内存区域；根据操作系统类型，解析目标模块的可执行程序头部，获取会被系统加载器修改的函数和函数指针的列表；解析第一内存区域的可执行程序头部，比对第一内存区域和第二内存区域里的代码段，获取比对结果；根据比对结果，基于预设的判断标准，获取内存函数指针被替换内容，预设的判断标准与列表相关。本发明可以规避操作系统的自修改，避免造成误报，提高检测结果的准确性。