发明名称 |
一种检测结构化异常处理攻击的方法及装置 |
摘要 |
本发明的实施例公开一种检测结构化异常处理攻击的方法及装置。该方法包括:分别在每一待监测的应用程序的进程中注入预先设置的SEH监测处理包;运行注入的SEH监测处理包,以在待监测的应用程序的进程中加载SEH监测处理包中的VEH监测程序;获取待监测的应用程序的进程中的每一线程,并在每一线程的SEH结构链表的链尾,填充SEH监测处理包中预先设置的标记信息;在VEH监测程序获取到待监测的应用程序的进程中发生异常的线程后,提取发生异常的线程的SEH结构链表的链尾信息;若提取的链尾信息与标记信息不匹配,确定发生异常的线程对应的应用程序发生SEH攻击。应用本发明,可以有效检测SEH攻击、提升操作系统安全性。 |
申请公布号 |
CN104217163A |
申请公布日期 |
2014.12.17 |
申请号 |
CN201410459683.7 |
申请日期 |
2014.09.10 |
申请人 |
珠海市君天电子科技有限公司 |
发明人 |
薛小昊;刘桂峰;姚辉 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京市广友专利事务所有限责任公司 11237 |
代理人 |
祁献民 |
主权项 |
一种检测结构化异常处理攻击的方法,其特征在于,该方法包括:分别在每一待监测的应用程序的进程中注入预先设置的SEH监测处理包;运行注入的SEH监测处理包,以在所述待监测的应用程序的进程中加载所述SEH监测处理包中的VEH监测程序;获取待监测的应用程序的进程中的每一线程,并在所述每一线程的SEH结构链表的链尾,填充所述SEH监测处理包中预先设置的标记信息;在所述VEH监测程序获取到所述待监测的应用程序的进程中发生异常的线程后,提取所述发生异常的线程的SEH结构链表的链尾信息;如果提取的链尾信息与所述标记信息不匹配,确定所述发生异常的线程对应的应用程序发生SEH攻击。 |
地址 |
519070 广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F |