Nothing Special   »   [go: up one dir, main page]

RU2014139201A - Method for creating a system call handler - Google Patents

Method for creating a system call handler Download PDF

Info

Publication number
RU2014139201A
RU2014139201A RU2014139201A RU2014139201A RU2014139201A RU 2014139201 A RU2014139201 A RU 2014139201A RU 2014139201 A RU2014139201 A RU 2014139201A RU 2014139201 A RU2014139201 A RU 2014139201A RU 2014139201 A RU2014139201 A RU 2014139201A
Authority
RU
Russia
Prior art keywords
handler
system call
code
modified
original
Prior art date
Application number
RU2014139201A
Other languages
Russian (ru)
Other versions
RU2596577C2 (en
Inventor
Максим Витальевич Юдин
Александр Сергеевич Тарасенко
Вячеслав Иванович Левченко
Игорь Юрьевич Кумагин
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014139201/08A priority Critical patent/RU2596577C2/en
Publication of RU2014139201A publication Critical patent/RU2014139201A/en
Application granted granted Critical
Publication of RU2596577C2 publication Critical patent/RU2596577C2/en

Links

Landscapes

  • Exchange Systems With Centralized Control (AREA)
  • Storage Device Security (AREA)

Abstract

1. Способ вызова обработчика системных вызовов, содержащий этапы на которых:локализуют код оригинального обработчика системных вызовов;создают модифицированный обработчик системных вызовов путем выделения памяти и копирования туда кода оригинального обработчика, при этом дополнительно выполняют следующие шаги:а) модифицируют относительные ссылки в коде модифицированного обработчика;б) заменяют адреса сервисных таблиц в коде модифицированного обработчика;перехватывают вызов инструкций процессора, связанных с системным вызовом;вызывают модифицированный обработчик системных вызовов.2. Способ по п. 1, в котором при локализации кода оригинального обработчика системных вызовов определяют местоположение и размер кода.3. Способ по п. 1, в котором инструкциями процессора, связанных с системным вызовом, являются RDMSR и WRMSR.4. Способ по п. 1, в котором перехват осуществляется с помощью гипервизора.5. Способ по п. 1, в котором при создании модифицированного обработчика дополнительно изменяют таблицу исключений.1. A method for calling a system call handler, comprising the steps of: localizing the code of the original system call handler; creating a modified system call handler by allocating memory and copying the code of the original handler there, while additionally performing the following steps: a) modify the relative links in the code of the modified handler; b) replace the addresses of service tables in the code of the modified handler; intercept the call of processor instructions related to the system call; Call a modified system call handler. 2. The method according to claim 1, wherein, when the code of the original system call handler is localized, the location and size of the code are determined. The method of claim 1, wherein the processor instructions associated with the system call are RDMSR and WRMSR. The method of claim 1, wherein the interception is performed using a hypervisor. The method of claim 1, wherein, when creating the modified handler, the exception table is further modified.

Claims (5)

1. Способ вызова обработчика системных вызовов, содержащий этапы на которых:1. A method for calling a system call handler, comprising the steps of: локализуют код оригинального обработчика системных вызовов;localize the code of the original system call handler; создают модифицированный обработчик системных вызовов путем выделения памяти и копирования туда кода оригинального обработчика, при этом дополнительно выполняют следующие шаги:create a modified system call handler by allocating memory and copying the code of the original handler there, while additionally performing the following steps: а) модифицируют относительные ссылки в коде модифицированного обработчика;a) modify the relative links in the code of the modified handler; б) заменяют адреса сервисных таблиц в коде модифицированного обработчика;b) replace the addresses of the service tables in the code of the modified processor; перехватывают вызов инструкций процессора, связанных с системным вызовом;intercepting a call to processor instructions associated with a system call; вызывают модифицированный обработчик системных вызовов.call the modified system call handler. 2. Способ по п. 1, в котором при локализации кода оригинального обработчика системных вызовов определяют местоположение и размер кода.2. The method according to claim 1, in which, when the code of the original system call handler is localized, the location and size of the code are determined. 3. Способ по п. 1, в котором инструкциями процессора, связанных с системным вызовом, являются RDMSR и WRMSR.3. The method of claim 1, wherein the processor instructions associated with the system call are RDMSR and WRMSR. 4. Способ по п. 1, в котором перехват осуществляется с помощью гипервизора.4. The method according to p. 1, in which the interception is carried out using a hypervisor. 5. Способ по п. 1, в котором при создании модифицированного обработчика дополнительно изменяют таблицу исключений. 5. The method according to claim 1, wherein when creating the modified handler, the exception table is further modified.
RU2014139201/08A 2014-09-30 2014-09-30 Method of creating a system call handler RU2596577C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014139201/08A RU2596577C2 (en) 2014-09-30 2014-09-30 Method of creating a system call handler

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014139201/08A RU2596577C2 (en) 2014-09-30 2014-09-30 Method of creating a system call handler

Publications (2)

Publication Number Publication Date
RU2014139201A true RU2014139201A (en) 2016-04-20
RU2596577C2 RU2596577C2 (en) 2016-09-10

Family

ID=55789215

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014139201/08A RU2596577C2 (en) 2014-09-30 2014-09-30 Method of creating a system call handler

Country Status (1)

Country Link
RU (1) RU2596577C2 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6467084B1 (en) * 1999-12-16 2002-10-15 Emware, Inc. Systems and methods for reprogramming an embedded device with program code using relocatable program code
US7512935B1 (en) * 2001-02-28 2009-03-31 Computer Associates Think, Inc. Adding functionality to existing code at exits
US7996836B1 (en) * 2006-12-29 2011-08-09 Symantec Corporation Using a hypervisor to provide computer security
US8341419B2 (en) * 2008-09-09 2012-12-25 Via Technologies, Inc. Apparatus and method for limiting access to model specific registers in a microprocessor
US20100128866A1 (en) * 2008-11-26 2010-05-27 Microsoft Corporation Modification of system call behavior
US8434057B2 (en) * 2010-08-17 2013-04-30 Oracle International Corporation Optimized implementation of breakpoint in java debugger agent
RU2510075C2 (en) * 2012-04-11 2014-03-20 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of detecting malware in operating system kernel

Also Published As

Publication number Publication date
RU2596577C2 (en) 2016-09-10

Similar Documents

Publication Publication Date Title
BR112020002012A8 (en) ANTI-CD39 ANTIBODIES, COMPOSITIONS COMPRISING ANTI-CD39 ANTIBODIES AND METHODS OF USING ANTI-CD39 ANTIBODIES
WO2016044270A3 (en) Paging of external memory
CL2016002294A1 (en) Parallel decision tree processor architecture.
EA201791529A1 (en) IMPROVED SEARCH CALLS FOR MACHINE CONNECTION (MTC)
EA201890079A1 (en) CELL SYSTEM FOR DIRECTED DELIVERY OF ACTIVE INGREDIENT
EA201492184A1 (en) METHODS OF TREATMENT OF METABOLIC SYNDROME BY MODULATING PROTEIN HEAT SHOCK (HSP) 90-BETA
BR112017006612A2 (en) data transmission method, terminal and base station
BR112016018170A2 (en) Methods To Treat Alzheimer's Disease
SG11202110222XA (en) Executing system calls in isolated address space in operating system kernel
MX357351B (en) Number marking method and device.
EP3899719A4 (en) Process address space identifier virtualization using hardware paging hint
EA201892500A1 (en) APPLICATION OF THE LIGNIN FRACTION AS AN ANTIFYTOPATOGENIC AGENT AND CONTAINING ITS ANTIFYTOPATOGENIC COMPOSITIONS
EA201790655A1 (en) NEW ACTIVATORS OF SOLUBLE GUANYLATZCLAZE AND THEIR APPLICATION
MX2014015093A (en) Computer processor and system without an arithmetic and logic unit.
EA201891664A1 (en) COMPOSITIONS / COMPOSITIONS CONTAINING BTK INHIBITOR
EA201890322A1 (en) NEW TOBAMOVIRUS TYPE
SG10201906104WA (en) Methods and apparatuses for storing file path and accessing local file
BR112017013410A2 (en) unified communication system based on base microstation
BR112017005645A2 (en) method of preparing cinnamaldehyde
RU2014139201A (en) Method for creating a system call handler
RU2014139202A (en) The way to call system functions in the conditions of use of the kernel system protection
BR112018012494A2 (en) fabric softener compositions
TR201722950A2 (en) New pharmaceutical compositions in the treatment of COPD.
TR201819920T4 (en) Ophthalmic compositions for use in the treatment of dry eye syndrome.
EA202190045A1 (en) COMPOSITIONS / COMPOSITIONS CONTAINING IBRUTINIB