发明名称 |
漏洞检测方法及装置 |
摘要 |
本发明公开了一种漏洞检测方法及装置,包括:选取输入的文档数据;检测文档数据中是否具有shellcode;当数据中具有shellcode时,在虚拟CPU环境内执行所述shellcode中的指令;当执行shellcode中的指令过程中对内存进行读写操作时,判断被读取内存是否满足预设内存规则;当被读取内存满足内存规则时,则判定存在漏洞。本发明采用在虚拟环境下检测接收的数据是否具有利用特定漏洞的代码shellcode,并对检测到的shellcode进行模拟运行,看其运行过程中是否具有与预设内存规则相匹配的内存操作,以判定是否存在漏洞的方法,提高检测漏洞的完全性,提高了检测精度,并进一步扩大了应用范围。 |
申请公布号 |
CN101964036B |
申请公布日期 |
2013.01.16 |
申请号 |
CN201010526718.6 |
申请日期 |
2010.10.29 |
申请人 |
深圳市安盾椒图科技有限公司 |
发明人 |
李科 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京集佳知识产权代理有限公司 11227 |
代理人 |
逯长明;王宝筠 |
主权项 |
一种漏洞检测方法,其特征在于,包括:选取输入的文档数据;所述选取输入的文档数据的过程包括:设定滑动窗口的起始位置为文档数据的起始位置;按照预设窗口范围依次选取所述文档数据;通过判断选取的所述文档数据中是否具有循环自解密指令来检测选取的所述文档数据中是否具有利用特定漏洞的代码shellcode;当选取的所述文档数据中具有shellcode时,在预先设定的虚拟CPU环境内执行所述shellcode中的指令;当执行所述shellcode中的指令过程中对内存进行读写操作时,通过内存监视引擎监视对内存的读写操作,判断对内存的读写操作是否满足预设内存规则;所述预设内存规则包括:内存的地址、长度、匹配次数和依赖规则链表中的任意一项或多项的组合;当对内存的读取或写入操作满足预设内存规则时,则判定存在漏洞。 |
地址 |
518007 广东省深圳市福田区新闻路59号深茂商业中心24层G座 |