BLOCKING ROUTINE REDIRECTION

• Main Author: LINDE, David
• Format: Patent
• Language: English; French
• Published: 02.02.2017
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC DIGITAL DATA PROCESSING; PHYSICS

Disclosed herein are methods, systems, and computer-readable media for blocking attempts at runtime redirection and attempts to change memory permissions during runtime. The present disclosure describes features that enable runtime detection of an attempt to redirect routines or change memory permissions, and determining whether to allow or deny the attempt. Such features may include changing memory write permissions on memory segments, such as those segments used by dynamic loaders after call associations have been saved or otherwise created. Other features may include swapping the addresses of system routines (e.g., open, read, write, close, etc.) to new routines that perform the same function as well as additional functionality configured to detect attempts to redirect or change memory permissions. Once detected by the new routine during runtime, a determination may be made to deny or allow the call based on a policy. La présente invention concerne des procédés, des systèmes et des supports lisibles par ordinateur pour bloquer des tentatives à une redirection d'exécution et des tentatives pour changer des autorisations de mémoire pendant l'exécution. La présente invention décrit des caractéristiques qui permettent à une détection d'exécution d'une tentative de rediriger des routines ou de changer des autorisations de mémoire, et de déterminer s'il faut autoriser ou refuser la tentative. De telles caractéristiques peuvent consister à changer des autorisations d'écriture de mémoire sur des segments de mémoire, tels que ces segments utilisés par des chargeurs dynamiques après que des associations d'appel ont été sauvegardées ou autrement créées. D'autres caractéristiques peuvent consister à permuter les adresses de routines de système (par exemple ouverture, lecture, écriture, fermeture, etc.) avec de nouvelles routines qui exécutent la même fonction ainsi qu'une fonctionnalité supplémentaire configurée pour détecter des tentatives pour rediriger ou changer des autorisations de mémoire. Une fois détectées par la nouvelle routine pendant l'exécution, une détermination peut être faite pour refuser ou autoriser l'appel sur la base d'une politique.