发明名称 |
一种针对网页的恶意攻击进行防护的方法、装置和浏览器 |
摘要 |
本申请提供了一种针对网页的恶意攻击进行防护的方法、装置和浏览器,以解决攻击者使用ROP技术绕过DEP进行网页木马攻击的问题。本申请在进程调用改变内存页保护属性的API时,对恶意代码要修改的内存地址的内存页保护属性进行预检测,通过规则对该内存地址的原有内存页保护属性和修改后的内存页保护属性进行判别,一旦发现恶意的修改行为即阻止和警告,从而保护数据页内存地址不被修改成可执行权限,并被非法执行恶意代码。 |
申请公布号 |
CN102831339B |
申请公布日期 |
2015.05.27 |
申请号 |
CN201210252213.4 |
申请日期 |
2012.07.19 |
申请人 |
北京奇虎科技有限公司 |
发明人 |
宋申雷;刘起;张聪 |
分类号 |
G06F21/55(2013.01)I;G06F21/56(2013.01)I |
主分类号 |
G06F21/55(2013.01)I |
代理机构 |
北京润泽恒知识产权代理有限公司 11319 |
代理人 |
苏培华 |
主权项 |
一种针对网页的恶意攻击进行防护的方法,其特征在于,包括:当进程调用改变内存页保护属性的应用程序编程接口时,对恶意代码要修改的内存地址的内存页保护属性进行预检测,所述预检测包括:对恶意代码要修改的内存地址的内存页保护属性和要修改的内存起始地址的内存页保护属性进行检测,其中,所述要修改的内存地址为恶意代码所在的内存地址;所述检测包括:获取所述内存地址的原有内存页保护属性,并检查所述原有内存页保护属性是否设置为可执行权限;获取所述内存地址的修改后的内存页保护属性,并检查所述修改后的内存页保护属性是否设置可执行权限;当所述内存地址的原有内存页保护属性不具有可执行权限,并且所述修改后的内存页保护属性具有可执行权限时,警告并阻止对所述内存地址的内存页保护属性的修改行为。 |
地址 |
100000 北京市西城区新街口外大街28号D座112室(德胜园区) |