发明名称 |
一种动态检测恶意网页脚本的方法和装置 |
摘要 |
本发明提供了一种动态检测恶意网页脚本的方法和装置,其中方法包括:S1、对待检测网页脚本进行解析,在解析过程中如果通过预先对预设的用于编写shellcode的函数所挂的函数钩子获取到对应函数在内存中产生的二进制数据,则执行步骤S2;S2、对所述二进制数据进行反汇编检测,如果在反汇编过程中检测到自定位代码,则确定检测到shellcode。本发明通过加载网页脚本进行动态解析,并在动态解析过程中实现检测,相比较静态分析的方式提高了可靠性和检出率,在脚本漏洞触发前就能够检测出shellcode,相比较通过外围监控浏览器进程的方式,避免了浏览器进程的崩溃。 |
申请公布号 |
CN102622543B |
申请公布日期 |
2016.08.03 |
申请号 |
CN201210024781.9 |
申请日期 |
2012.02.06 |
申请人 |
北京百度网讯科技有限公司 |
发明人 |
黄正 |
分类号 |
G06F21/56(2013.01)I;G06F17/30(2006.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京鸿德海业知识产权代理事务所(普通合伙) 11412 |
代理人 |
袁媛 |
主权项 |
一种动态检测恶意网页脚本的方法,其特征在于,所述方法包括:S1、对待检测网页脚本进行解析,在解析过程中如果通过预先对预设的用于编写shellcode的函数所挂的函数钩子获取到对应函数在内存中产生的二进制数据,则执行步骤S2;S2、对所述二进制数据进行反汇编检测,如果在反汇编过程中检测到自定位代码,则确定检测到shellcode;如果在反汇编过程中没有检测到自定位代码,则继续执行步骤S3:S3、对所述获取到的二进制数据进行高危字节码的统计,如果统计到的高危字节码的数量超过预设的高危字节码数量阈值,则确定检测到shellcode;其中所述高危字节码包括不可见字符。 |
地址 |
100085 北京市海淀区上地十街10号百度大厦2层 |