本申请提供一种漏洞利用的检测方法、装置、电子设备及存储介质。方法包括:获取被触发的异常对应的异常信息,该异常信息包括异常标识、访问者地址和访问地址;根据异常标识、访问者地址和访问地址判断该异常是否为对目标内存的预设访问行为触发的;目标内存中预先设置有禁止访问的内存属性;若该异常为对目标内存的预设访问行为触发的,则确定该异常为漏洞利用异常。本申请基于漏洞利用代码在利用过程中会访问目标内存的特征,因此,预先在目标内存中设置禁止访问的内存属性,当有代码访问该目标内存时,则抛出异常,VEH则根据异常信息中的异常表示、访问者地址和访问地址判断该异常是否为漏洞利用异常,从而,可以有效识别漏洞利用的行为。用的行为。用的行为。
【技术实现步骤摘要】
一种漏洞利用的检测方法、装置、电子设备及存储介质
[0001]本申请涉及信息安全
,具体而言,涉及一种漏洞利用的检测方法、装置、电子设备及存储介质。
技术介绍
[0002]随着科技的进步和发展,电子设备已经成为人们工作和生活不可缺少的一部分,如电脑、手机等,人们使用这些电子设备进行办公、娱乐、学习、购物等。相应的,人们的各种个人信息和财产安全都与电子设备中的信息息息相关。因此,电子设备的信息安全日益受到人们的重视。
[0003]目前,在现有技术中,电子设备(如计算机)受到shellcode的攻击较为普遍,shellcode是具有特定功能的攻击计算机系统漏洞的一段代码,根据不同的攻击需求,shellcode的功能有所不同。常见的主要功能有通过TCP协议连接到控制服务器,接收控制命令;下载木马程序并运行。shellcode可以通过网络发送到指定服务器;也可以包含在PDF、word,jpeg等文件中发送到攻击目标的计算机中。一旦shellcode得以执行,目标系统就可能被种上木马程序,从而被黑客控制。IExplorer,Flash Player等流行软件漏洞曾一度被黑客利用,大量传播病毒等恶意软件。
[0004]近些年,较为流行的漏洞攻击技术是通过篡改脚本API地址,从而实现无shellcode化的漏洞利用,从而目前针对shellcode的漏洞利用检测技术便无法准确、有效地对这种无shellcode的漏洞利用进行检测。
技术实现思路
[0005]本申请实施例的目的在于提供一种漏洞利用的检测方法、装置、电子设备及存储介质,用以提高对漏洞利用检测的准确性。
[0006]第一方面,本申请实施例提供一种漏洞利用的检测方法,包括:获取被触发的异常对应的异常信息,该异常信息包括异常标识、访问者地址和访问地址;根据异常标识、访问者地址和访问地址判断该异常是否为对目标内存的预设访问行为触发的;其中,目标内存中预先设置有禁止访问的内存属性;若该异常为对目标内存的预设访问行为触发的,则确定该异常为漏洞利用异常。
[0007]本申请实施例基于漏洞利用代码在利用过程中会访问目标内存的特征,因此,预先在目标内存中设置禁止访问的内存属性,当有代码访问该目标内存时,则抛出异常,VEH则根据异常信息中的异常表示、访问者地址和访问地址判断该异常是否为漏洞利用异常,从而,可以有效识别漏洞利用的行为。
[0008]在任一实施例中,根据异常标识、访问者地址和访问地址判断异常是否为对目标内存的预设访问行为触发的,包括:
[0009]根据异常标识判断是否为保护页面GP异常;
[0010]若是GP异常,则根据访问者地址判断GP异常是否为内存属性对应的GP异常;
[0011]若是内存属性对应的GP异常,则根据访问者地址和访问地址判断异常是否为目标模块访问对应的目标内存触发。
[0012]在实际应用中,本申请的漏洞利用检测方案可以在目标内存中设置页面属性,别的对象也可以在该目标内存中设置页面属性,因此,当触发了GP异常后,可以根据访问者地址和访问地址判断该异常是否是内存属性对应的GP异常,以及是否是目标模块自己访问自己,从而可以准确地捕捉到漏洞利用异常。
[0013]在任一实施例中,根据访问者地址判断GP异常是否为内存属性对应的GP异常,包括:
[0014]将访问者地址与预先保存的内存属性对应的异常地址进行匹配,以判断GP异常是否为内存属性对应的GP异常。
[0015]本申请实施例通过预先保存内存属性对应的异常地址,从而可以通过将访问者地址与预先保存的异常地址进行匹配,以快速、准确地识别该异常是否为内存属性对应的GP异常。
[0016]在任一实施例中,根据访问者地址和访问地址判断异常是否为目标模块访问对应的目标内存触发,包括:
[0017]将访问者地址和访问地址与目标模块对应的内存地址范围进行匹配,以判断异常是否为目标模块访问对应的目标内存触发。
[0018]本申请实施例通过将访问者地址和访问地址与目标模块对应的内存地址范围进行匹配,若访问者地址和访问地址均在内存地址范围内,则说明该异常是目标模块自己访问自己的目标内存导致的,属于预设访问行为,从而可以准确识别出该漏洞利用异常。
[0019]在任一实施例中,在确定该异常为GP异常后,所述方法还包括:
[0020]清除内存属性;
[0021]在确定异常为目标模块访问对应的目标内存触发的之后,所述方法还包括:
[0022]将单步异常TF标识寄存器的值设置为预设值。
[0023]本申请实施例中,由于GP异常属于一次性异常,在触发后该内存属性会自动清除,为了能够持续对目标内存进行监控,可以通过设置TF标识寄存器的值,使得触发TF异常,并通过TF异常再次将内存属性增加到目标内存中。
[0024]在任一实施例中,所述方法还包括:
[0025]若根据异常标识确定异常为TF异常,则将TF标识寄存器的值恢复为默认值,并在目标内存中重新设置禁止访问的内存属性。
[0026]本申请实施例通过触发TF异常来重新给目标存储设置内存属性,以能够实现对目标内存的持续检测。
[0027]在任一实施例中,在向量化异常例程VEH获取被触发的异常对应的异常信息之前,该方法还包括:
[0028]在动态链接库DLL中初始化VEH函数;
[0029]若当前进程中包括目标模块,则在目标模块对应的目标内存中设置禁止访问的内存属性。
[0030]本申请实施例通过在DLL中初始化VEH函数,以及在目标内存中设置内存属性,为检测漏洞利用提供了检测基础。
[0031]在任一实施例中,该方法还包括:
[0032]若当前进程中不包括目标模块,则设置目标模块加载的钩子函数;
[0033]在通过钩子函数监测到加载目标模块时,对目标模块对应的目标内存中设置禁止访问的内存属性。
[0034]本申请实施例通过钩子函数监测是否在进程中加载目标模块,以便能够及时在目标内存中设置内存属性。
[0035]第二方面,本申请实施例提供一种漏洞利用的检测装置,包括:
[0036]信息获取模块,用于获取被触发的异常对应的异常信息,该异常信息包括异常标识、访问者地址和访问地址;
[0037]异常判断模块,用于根据异常标识、访问者地址和访问地址判断所述异常是否为对目标内存的预设访问行为触发的;其中,目标内存中预先设置有禁止访问的内存属性;
[0038]异常确定模块,用于若异常为对目标内存的预设访问行为触发的,则确定异常为漏洞利用异常。
[0039]第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
[0040]所述处理器和所述存储器通过所述总线完成相互间的通信;
[0041]所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
[0042]第四方面本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种漏洞利用的检测方法,其特征在于,包括:向量化异常例程VEH获取被触发的异常对应的异常信息,所述异常信息包括异常标识、访问者地址和访问地址;根据所述异常标识、所述访问者地址和所述访问地址判断所述异常是否为对目标内存的预设访问行为触发的;其中,所述目标内存中预先设置有禁止访问的内存属性;若所述异常为对目标内存的预设访问行为触发的,则确定所述异常为漏洞利用异常。2.根据权利要求1所述的方法,其特征在于,所述根据所述异常标识、所述访问者地址和所述访问地址判断所述异常是否为对目标内存的预设访问行为触发的,包括:根据所述异常标识判断是否为保护页面GP异常;若是所述GP异常,则根据所述访问者地址判断所述GP异常是否为所述内存属性对应的GP异常;若是所述内存属性对应的GP异常,则根据所述访问者地址和所述访问地址判断所述异常是否为目标模块访问对应的所述目标内存触发。3.根据权利要求2所述的方法,其特征在于,所述根据所述访问者地址判断所述GP异常是否为所述内存属性对应的GP异常,包括:将所述访问者地址与预先保存的所述内存属性对应的异常地址进行匹配,以判断所述GP异常是否为所述内存属性对应的GP异常。4.根据权利要求2所述的方法,其特征在于,所述根据所述访问者地址和所述访问地址判断所述异常是否为目标模块访问对应的所述目标内存触发,包括:将所述访问者地址和所述访问地址与所述目标模块对应的内存地址范围进行匹配,以判断所述异常是否为目标模块访问对应的所述目标内存触发。5.根据权利要求2所述的方法,其特征在于,在确定所述异常为GP异常后,所述方法还包括:清除所述内存属性;在确定所述异常为目标模块访问对应的所述目标内存触发的之后,所述方法还包括:将单步异常TF标识寄存器的值设置为预设值。6.根据权利要求5所述的方法,其特征在于,所...
【专利技术属性】
技术研发人员:王丹阳,王明广,叶俊浩,郭夏宾,
申请(专利权)人:奇安信安全技术珠海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。