漏洞检测方法、装置、计算机设备和存储介质制造方法及图纸

本申请涉及一种漏洞检测方法、装置、计算机设备和存储介质。所述方法包括：识别操作系统中运行的目标进程，将预设库文件注入至目标进程；预设库文件用于对运行的目标进程进行显式调用；获取系统属性信息和目标检测代码，利用预设回调函数根据系统属性信息和目标检测代码构造目标进程对应的回调函数；利用预设进程函数和回调函数对目标进程进行回调配置；通过回调函数从操作系统中返回目标进程的系统调用，获取返回的系统调用，利用回调函数解析系统调用对应的返回地址；当返回地址与目标进程的偏移地址不匹配时，确定返回地址对应的系统调用存在安全漏洞。采用本方法能够有效提高漏洞检测的效率和准确率。漏洞检测的效率和准确率。漏洞检测的效率和准确率。

【技术实现步骤摘要】
漏洞检测方法、装置、计算机设备和存储介质


[0001]本申请涉及计算机安全
，特别是涉及一种漏洞检测方法、装置、计算机设备和存储介质。

技术介绍

[0002]随着互联网技术的迅速发展，信息网络广泛涉及各个领域，这也导致网络信息网络存在被攻击、数据被窃取等风险，网络信息安全成为了备受关注的问题。因此出现了一些基于网络信息安全的漏洞检测方式。通常是利用驱动层中设置的全局钩子拦截操作系统中所有进程的调用，再基于函数挂钩的系统调用识别，对调用地址进行筛选和判断，从而识别出不安全的系统调用。
[0003]然而，目前的基于驱动层的钩子识别方式易被常见工具检测到，且全局拦截方式需要拦截所有进程的系统调用，这种方式的处理复杂度较高，容易影响操作系统的稳定性，导致操作系统运行缓慢，从而导致漏洞检测的效率较低。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种能够有效提高漏洞检测的效率和准确率的漏洞检测方法、装置、计算机设备和存储介质。
[0005]一种漏洞检测方法，所述方法包括：
[0006]识别操作系统中运行的目标进程，将预设库文件注入至所述目标进程；所述预设库文件用于对所述运行的目标进程进行显式调用；
[0007]获取系统属性信息和目标检测代码，利用预设回调函数根据所述系统属性信息和所述目标检测代码构造所述目标进程对应的回调函数；
[0008]获取预设进程函数的进程函数信息，根据所述回调函数和所述进程函数信息对所述目标进程进行回调配置；
[0009]通过所述回调函数从所述操作系统中返回所述目标进程的系统调用，获取返回的系统调用，利用所述回调函数解析所述系统调用对应的返回地址；
[0010]当所述返回地址与所述目标进程的偏移地址不匹配时，确定所述返回地址对应的系统调用存在安全漏洞。
[0011]一种漏洞检测装置，所述装置包括：
[0012]文件注入模块，用于识别操作系统中运行的目标进程，将预设库文件注入至所述目标进程；所述预设库文件用于对所述运行的目标进程进行显式调用；
[0013]回调配置模块，用于获取系统属性信息和目标检测代码，利用预设回调函数根据所述系统属性信息和所述目标检测代码构造所述目标进程对应的回调函数；
[0014]回调处理模块，用于通过所述回调函数从所述操作系统中返回所述目标进程的系统调用，获取返回的系统调用，利用所述回调函数解析所述系统调用对应的返回地址；获取预设进程函数的进程函数信息，根据所述回调函数和所述进程函数信息对所述目标进程进
行回调配置；
[0015]漏洞检测模块，用于当所述返回地址与所述目标进程的偏移地址不匹配时，确定所述返回地址对应的系统调用存在安全漏洞。
[0016]一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
[0017]识别操作系统中运行的目标进程，将预设库文件注入至所述目标进程；所述预设库文件用于对所述运行的目标进程进行显式调用；
[0018]获取系统属性信息和目标检测代码，利用预设回调函数根据所述系统属性信息和所述目标检测代码构造所述目标进程对应的回调函数；
[0019]获取预设进程函数的进程函数信息，根据所述回调函数和所述进程函数信息对所述目标进程进行回调配置；
[0020]通过所述回调函数从所述操作系统中返回所述目标进程的系统调用，获取返回的系统调用，利用所述回调函数解析所述系统调用对应的返回地址；
[0021]当所述返回地址与所述目标进程的偏移地址不匹配时，确定所述返回地址对应的系统调用存在安全漏洞。
[0022]一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
[0023]识别操作系统中运行的目标进程，将预设库文件注入至所述目标进程；所述预设库文件用于对所述运行的目标进程进行显式调用；
[0024]获取系统属性信息和目标检测代码，利用预设回调函数根据所述系统属性信息和所述目标检测代码构造所述目标进程对应的回调函数；
[0025]获取预设进程函数的进程函数信息，根据所述回调函数和所述进程函数信息对所述目标进程进行回调配置；
[0026]通过所述回调函数从所述操作系统中返回所述目标进程的系统调用，获取返回的系统调用，利用所述回调函数解析所述系统调用对应的返回地址；
[0027]当所述返回地址与所述目标进程的偏移地址不匹配时，确定所述返回地址对应的系统调用存在安全漏洞。
[0028]上述漏洞检测方法、装置、计算机设备和存储介质，识别到操作系统中运行的目标进程后，将预设库文件注入至操作系统中运行的目标程序，根据系统属性信息和目标检测代码构造和配置目标进程对应的回调函数，并利用预设进程函数的进程函数信息和回调函数对目标进程进行回调配置，由此能够有效地对目标进程进行回调配置，以有效获取目标进程的回调链。进而通过回调函数可以截获从操作系统的内核层返回至应用层的所有的系统调用，进而通过利用回调函数识别系统调用的调用链，由此能够快速精准地识别出存在安全漏洞的系统调用，从而有效提高了漏洞检测的效率和精准度。
附图说明
[0029]图1为一个实施例中漏洞检测方法的应用环境图；
[0030]图2为一个实施例中漏洞检测方法的流程示意图；
[0031]图3为一个实施例中漏洞检测方法的流程示意图；
[0032]图4为另一个实施例中漏洞检测方法的流程示意图；
[0033]图5为又一个实施例中漏洞检测方法的流程示意图；
[0034]图6为一个具体的实施例中漏洞检测方法的流程示意图；
[0035]图7为一个具体的实施例中检测shellcode漏洞的流程示意图；
[0036]图8为一个实施例中漏洞检测装置的结构框图；
[0037]图9为另一个实施例中漏洞检测装置的结构框图；
[0038]图10为一个实施例中计算机设备的内部结构图。
具体实施方式
[0039]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。
[0040]本申请提供的漏洞检测方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104进行通信。终端102运行目标程序时，与服务器104进行交互，服务器104向终端102返回目标进程相应的返回地址、请求数据以及相应功能等。终端102识别操作系统中运行的目标进程，将预设库文件注入至目标进程，预设库文件用于对运行的目标进程进行显式调用。获取系统属性信息和目标检测代码，利用预设回调函数根据系统属性信息和目标检测代码构造目标进程对应的回调函数，并利用预设进程函数的进程函数信息和回调函数对目标进程进行回调配置。通过回调函数从操作系统中返回目标进程的系统调用，获取本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞检测方法，其特征在于，所述方法包括：识别操作系统中运行的目标进程，将预设库文件注入至所述目标进程；所述预设库文件用于对所述运行的目标进程进行显式调用；获取系统属性信息和目标检测代码，利用预设回调函数根据所述系统属性信息和所述目标检测代码构造所述目标进程对应的回调函数；获取预设进程函数的进程函数信息，根据所述回调函数和所述进程函数信息对所述目标进程进行回调配置；通过所述回调函数从所述操作系统中返回所述目标进程的系统调用，获取返回的系统调用，利用所述回调函数解析所述系统调用对应的返回地址；当所述返回地址与所述目标进程的偏移地址不匹配时，确定所述返回地址对应的系统调用存在安全漏洞。2.根据权利要求1所述的方法，其特征在于，所述利用预设回调函数根据所述系统属性信息和所述目标检测代码构造所述目标进程对应的回调函数包括：获取预设回调函数，根据所述系统属性信息填充所述预设回调函数的结构字段信息；根据待检测漏洞属性获取目标检测代码；根据所述结构字段信息和所述目标检测代码构造所述目标进程对应的回调函数。3.根据权利要求2所述的方法，其特征在于，所述根据所述结构字段信息和所述目标检测代码构造所述目标进程对应的回调函数包括：根据所述目标进程确定所述目标进程对应的目标代码区域；根据所述待检测漏洞属性和所述目标代码区域确定对应的目标检测代码，利用所述目标检测代码生成回调函数的桩代码；利用所述结构字段信息和所述桩代码生成所述目标进程对应的回调函数。4.根据权利要求3所述的方法，其特征在于，所述操作系统包括内核层和应用层，所述根据所述目标代码区域确定对应的目标检测代码，利用所述目标检测代码生成回调函数的桩代码包括：获取所述目标进程从所述内核层返回所述应用层的堆栈分布和回调函数参数；根据所述堆栈分布确定所述目标进程对应的目标代码区域；利用所述目标代码区域和所述回调函数参数生成目标漏洞检测代码。5.根据权利要求1所述的方法，其特征在于，所述获取预设进程函数的进程函数信息，根据所述回调函数和所述进程函数信息对所述目标进程进行回调配置包括：获取所述目标进程的回调域；获取预设回调函数和对应的回调函数信息，根据所述回调域和所述回调函数信息配置所述回调函数的第一参数；获取预设进程函数和对应的进程函数信息，利用所述进程函数信息生成第二参数；利用所述第二参数封装所述回...

【专利技术属性】
技术研发人员：盛子骁，殷赵辉，曹飞，宋青原，卢正军，李文豪，朱泽瑾，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：