本发明专利技术实施例适用于计算机安全技术领域,提供了一种数据处理方法、装置、电子设备及存储介质,其中,数据处理方法包括:在设定操作事件发生的情况下,删除设定操作事件指向的目标内存页的可执行属性;设定操作事件用于设置目标内存页的可执行属性;在获取到异常发生的情况下,确定获取到的异常是否为设定异常,设定异常指示所述目标内存页被执行;在获取到的异常为设定异常的情况下,对目标内存页中的动态代码进行检测,得到检测结果;检测结果表征动态代码是否为恶意代码。态代码是否为恶意代码。态代码是否为恶意代码。
【技术实现步骤摘要】
一种数据处理方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机安全
,尤其涉及一种数据处理方法、装置、电 子设备及存储介质。
技术介绍
[0002]恶意的动态代码会对计算机的安全造成危害,比如shellcode是一种恶意的 动态代码,shellcode通过注入内存中来控制计算机。目前,相关技术通过监控 特定的Hook应用程序接口(API,Application Programming Interface)来获取 跳转的目标地址,对目标地址中的动态代码进行检测,判断是否为恶意的动态 代码。但是跳转可以不通过API,攻击者可以通过特殊指令直接跳转到动态代 码。
技术实现思路
[0003]为了解决上述问题,本专利技术实施例提供了一种数据处理方法、装置、电子 设备及存储介质,以至少解决相关技术无法防范攻击者通过跳转指令直接跳转 到动态代码的问题。
[0004]本专利技术的技术方案是这样实现的:
[0005]第一方面,本专利技术实施例提供了一种数据处理方法,该方法包括:
[0006]在设定操作事件发生的情况下,删除所述设定操作事件指向的目标内存页 的可执行属性;所述设定操作事件用于设置所述目标内存页的可执行属性;
[0007]在获取到异常发生的情况下,确定获取到的异常是否为设定异常,所述设 定异常指示所述目标内存页被执行;
[0008]在获取到的异常为所述设定异常的情况下,对所述目标内存页中的动态代 码进行检测,得到检测结果;所述检测结果表征所述动态代码是否为恶意代码。
[0009]上述方案中,所述确定获取到的异常是否为设定异常,包括:
[0010]确定执行所述目标内存页中的动态代码时得到的异常码是否为设定异常 码;和/或,
[0011]确定异常记录文档中的设定字段的取值是否为设定值。
[0012]上述方案中,在对所述目标内存页中的动态代码进行检测,得到检测结果 之后,所述方法还包括:
[0013]在所述检测结果表征所述动态代码为正常代码的情况下,恢复所述目标内 存页的可执行属性。
[0014]上述方案中,在删除所述设定操作事件指向的目标内存页的可执行属性之 前,所述方法还包括:
[0015]基于设定的Hook引擎Hook第一接口函数;所述第一接口函数表征设置内 存属性为可执行的相关函数;
[0016]监听被Hook的第一接口函数,确定是否发生所述设定操作事件;
[0017]在所述被Hook的第一接口函数被调用的情况下,确定发生所述设定操作 事件。
[0018]上述方案中,在设定操作事件发生的情况下,所述方法还包括:
[0019]确定所述目标内存页是否处于第一进程对应的内存空间中;所述第一进程 表征执行所述设定操作事件的进程;
[0020]在所述目标内存页处于所述第一进程对应的内存空间中的情况下,将所述 动态代码的相关信息存储在所述第一进程对应的内存空间中;
[0021]在所述目标内存页不处于所述第一进程对应的内存空间中的情况下,将所 述动态代码的相关信息存储在设定驱动中;所述设定驱动用于在不同进程之间 传递数据。
[0022]上述方案中,所述确定获取到的异常是否为设定异常,包括:
[0023]确定执行所述目标内存页中的动态代码时得到的异常地址是否位于所述第 一进程的内存空间或所述设定驱动中。
[0024]上述方案中,所述动态代码的相关信息包括所述动态代码的上下文信息。
[0025]上述方案中,所述对所述目标内存页中的动态代码进行检测,得到检测结 果,包括:
[0026]对所述动态代码进行仿真执行,得到仿真执行结果;
[0027]基于所述仿真执行结果确定所述检测结果。
[0028]上述方案中,所述在设定操作事件发生的情况下,删除所述设定操作事件 指向的目标内存页的可执行属性,包括:
[0029]基于设定集合中的事件对所述设定操作事件进行过滤;若经过滤操作确定 所述设定操作事件可疑时,删除所述设定操作事件指向的目标内存页的可执行 属性。
[0030]第二方面,本专利技术实施例提供了一种数据处理装置,该装置包括:
[0031]删除模块,用于在设定操作事件发生的情况下,删除所述设定操作事件指 向的目标内存页的可执行属性;所述设定操作事件用于设置所述目标内存页的 可执行属性;
[0032]确定模块,用于在获取到异常发生的情况下,确定获取到的异常是否为设 定异常,所述设定异常指示所述目标内存页被执行;
[0033]检测模块,用于在获取到的异常为所述设定异常的情况下,对所述目标内 存页中的动态代码进行检测,得到检测结果;所述检测结果表征所述动态代码 是否为恶意代码。
[0034]第三方面,本专利技术实施例提供了一种电子设备,包括处理器和存储器,所 述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计 算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本发 明实施例第一方面提供的数据处理方法的步骤。
[0035]第四方面,本专利技术实施例提供了一种计算机可读存储介质,包括:所述计 算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如 本专利技术实施例第一方面提供的数据处理方法的步骤。
[0036]本专利技术实施例在设定操作事件发生的情况下,删除设定操作事件指向的目 标内存页的可执行属性,在获取到异常发生的情况下,确定获取到的异常是否 为设定异常,如果获取到的异常为设定异常,对目标内存页中的动态代码进行 检测,得到检测结果。其中,检测结果表征动态代码是否为恶意代码,设定异 常指示所述目标内存页被执行。本专利技术实施例通过删除动态代码所在目标内存 页的可执行属性,无论攻击者如何操作或布局代码,
最终总要跳转到动态代码 处执行,这样必然能够检测到动态代码。本专利技术实施例能够更加全面地捕获动 态代码,提高了异常代码的检测能力,有效保护了计算机的安全。
附图说明
[0037]图1是本专利技术实施例提供的一种数据处理方法的实现流程示意图;
[0038]图2是本专利技术实施例提供的另一种数据处理方法的实现流程示意图;
[0039]图3是本专利技术实施例提供的一种Hook引擎的示意图;
[0040]图4是本专利技术实施例提供的另一种数据处理方法的实现流程示意图;
[0041]图5是本专利技术实施例提供的另一种数据处理方法的实现流程示意图;
[0042]图6是本专利技术应用实施例提供的一种数据处理流程的示意图;
[0043]图7是本专利技术应用实施例提供的一种异常确定流程的示意图;
[0044]图8是本专利技术实施例提供的一种数据处理装置的示意图;
[0045]图9是本专利技术一实施例提供的电子设备的示意图。
[0046][0047]具体实施方式
[0048]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清 本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据处理方法,其特征在于,所述方法包括:在设定操作事件发生的情况下,删除所述设定操作事件指向的目标内存页的可执行属性;所述设定操作事件用于设置所述目标内存页的可执行属性;在获取到异常发生的情况下,确定获取到的异常是否为设定异常,所述设定异常指示所述目标内存页被执行;在获取到的异常为所述设定异常的情况下,对所述目标内存页中的动态代码进行检测,得到检测结果;所述检测结果表征所述动态代码是否为恶意代码。2.根据权利要求1所述的方法,其特征在于,所述确定获取到的异常是否为设定异常,包括:确定执行所述目标内存页中的动态代码时得到的异常码是否为设定异常码;和/或,确定异常记录文档中的设定字段的取值是否为设定值。3.根据权利要求1所述的方法,其特征在于,在对所述目标内存页中的动态代码进行检测,得到检测结果之后,所述方法还包括:在所述检测结果表征所述动态代码为正常代码的情况下,恢复所述目标内存页的可执行属性。4.根据权利要求1所述的方法,其特征在于,在删除所述设定操作事件指向的目标内存页的可执行属性之前,所述方法还包括:基于设定的Hook引擎Hook第一接口函数;所述第一接口函数表征设置内存属性为可执行的相关函数;监听被Hook的第一接口函数,确定是否发生所述设定操作事件;在所述被Hook的第一接口函数被调用的情况下,确定发生所述设定操作事件。5.根据权利要求1至4中任一项所述的方法,其特征在于,在设定操作事件发生的情况下,所述方法还包括:确定所述目标内存页是否处于第一进程对应的内存空间中;所述第一进程表征执行所述设定操作事件的进程;在所述目标内存页处于所述第一进程对应的内存空间中的情况下,将所述动态代码的相关信息存储在所述第一进程对应的内存空间中;在所述目标内存页不处于所述第一进程对应的内存空间中的情况下,将所述动态代码的相关信息存储在设定驱动中;所述设定驱动用于在不同进程之间传递数据。...
【专利技术属性】
技术研发人员:张峰,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。