| 发明名称 | 一种检测结构化异常处理攻击的方法及装置 | ||
| 摘要 | 本发明的实施例公开一种检测结构化异常处理攻击的方法及装置。该方法包括:分别在每一待监测的应用程序的进程中注入预先设置的SEH监测处理包;运行注入的SEH监测处理包,以在待监测的应用程序的进程中加载SEH监测处理包中的VEH监测程序;获取待监测的应用程序的进程中的每一线程,并在每一线程的SEH结构链表的链尾,填充SEH监测处理包中预先设置的标记信息;在VEH监测程序获取到待监测的应用程序的进程中发生异常的线程后,提取发生异常的线程的SEH结构链表的链尾信息;若提取的链尾信息与标记信息不匹配,确定发生异常的线程对应的应用程序发生SEH攻击。应用本发明,可以有效检测SEH攻击、提升操作系统安全性。 | ||
| 申请公布号 | CN104217163A | 申请公布日期 | 2014.12.17 |
| 申请号 | CN201410459683.7 | 申请日期 | 2014.09.10 |
| 申请人 | 珠海市君天电子科技有限公司 | 发明人 | 薛小昊;刘桂峰;姚辉 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京市广友专利事务所有限责任公司 11237 | 代理人 | 祁献民 |
| 主权项 | 一种检测结构化异常处理攻击的方法,其特征在于,该方法包括:分别在每一待监测的应用程序的进程中注入预先设置的SEH监测处理包;运行注入的SEH监测处理包,以在所述待监测的应用程序的进程中加载所述SEH监测处理包中的VEH监测程序;获取待监测的应用程序的进程中的每一线程,并在所述每一线程的SEH结构链表的链尾,填充所述SEH监测处理包中预先设置的标记信息;在所述VEH监测程序获取到所述待监测的应用程序的进程中发生异常的线程后,提取所述发生异常的线程的SEH结构链表的链尾信息;如果提取的链尾信息与所述标记信息不匹配,确定所述发生异常的线程对应的应用程序发生SEH攻击。 | ||
| 地址 | 519070 广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F | ||