CN101964036B - 漏洞检测方法及装置 - Google Patents
漏洞检测方法及装置 Download PDFInfo
- Publication number
- CN101964036B CN101964036B CN 201010526718 CN201010526718A CN101964036B CN 101964036 B CN101964036 B CN 101964036B CN 201010526718 CN201010526718 CN 201010526718 CN 201010526718 A CN201010526718 A CN 201010526718A CN 101964036 B CN101964036 B CN 101964036B
- Authority
- CN
- China
- Prior art keywords
- shellcode
- document data
- internal memory
- rule
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种漏洞检测方法及装置,包括:选取输入的文档数据;检测文档数据中是否具有shellcode;当数据中具有shellcode时,在虚拟CPU环境内执行所述shellcode中的指令;当执行shellcode中的指令过程中对内存进行读写操作时,判断被读取内存是否满足预设内存规则;当被读取内存满足内存规则时,则判定存在漏洞。本发明采用在虚拟环境下检测接收的数据是否具有利用特定漏洞的代码shellcode,并对检测到的shellcode进行模拟运行,看其运行过程中是否具有与预设内存规则相匹配的内存操作,以判定是否存在漏洞的方法,提高检测漏洞的完全性,提高了检测精度,并进一步扩大了应用范围。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种漏洞检测方法及装置。
背景技术
现有对文档类漏洞的检测及解决方案主要是利用杀毒软件进行查杀,通常杀毒软件主要采用的是病毒样本特征比对的技术,通过获取病毒样本来完善病毒特征库的覆盖范围,采用静态分析技术将病毒文件与病毒样本库规则匹配。
首先,这种解决方案具有一定的滞后性,必须是病毒大范围传播以后才可以获得样本。对于小范围传播、变种、未公开的漏洞(0DAY)则不具备快速收集的条件,这样就无法查杀具有上述漏洞的恶意文档。
另外静态分析技术主要依赖于有经验的分析人员花费大量时间去进行反汇编调试,跟踪分析文档是否包含恶意代码的攻击行为,一旦攻击者在文档中加入了大量的花指令、反调试技术会导致分析单个文件的时间大大延长。而且静态漏洞分析方法依赖于个人经验,缺少规范化的机制和流程,所以有非常大的偶然性。并且有可能出现无法分析或者分析结果错误等问题。
综上所述可以看出,采用现有技术中的漏洞检测方法的漏洞分析结果的准确度较低,且该方法的使用范围较小。
发明内容
有鉴于此,本发明提供一种漏洞检测方法及装置,以解决现有技术中的漏洞检测结果的准确度较低,且使用范围较小问题。
其具体方案如下:
一种漏洞检测方法,包括:
选取输入的文档数据;
检测选取的文档数据中是否具有利用特定漏洞的代码shellcode;
当所述选取的文档数据中具有shellcode时,在预先设定的虚拟CPU环境内执行所述shellcode中的指令;
当执行所述shellcode中的指令过程中对内存进行读写操作时,判断被读取内存是否满足预设内存规则;
当所述被读取内存满足预设内存规则时,则判定存在漏洞。
优选的,还包括:显示所述漏洞的信息。
优选的,还包括:替换所述shellcode。
优选的,所述选取输入文档数据的过程包括:
设定滑动窗口的起始位置为文档数据的起始位置;
按照预设窗口范围依次选取所述文档数据。
优选的,还包括:
判断所述窗口范围的末位是否为文档数据的末位,若是,则结束,若否,则更新所述滑动窗口的起始位置,执行检测所述被选取的数据中是否具有利用特定漏洞的代码shellcode的过程。
优选的,所述检测所述被选取的数据中是否具有shellcode的过程包括:
反汇编所述被选取的数据;
判断所述反汇编结果与预先设定的指令规则是否匹配,若匹配,则所述被选取数据中具有shellcode,若不匹配,则所述被选取数据中不具有shellcode。
优选的,所述预设内存规则包括:内存的地址、长度、匹配次数和依赖规则链表中的任意一项或多项的组合。
优选的,所述内存规则按照树形结构进行存储匹配。
一种漏洞检测装置,包括:
数据选取单元,用于选取输入的文档数据;
指令过滤单元,用于检测所述选取的文档数据中是否具有利用特定漏洞的代码shellcode;
虚拟执行单元,用于当所述选取的数据中具有shellcode时,在预先设定的虚拟CPU环境内执行所述shellcode中的指令;
内存监视单元,用于监视所述执行所述shellcode中的指令过程中是否对内存进行读写操作;
规则匹配单元,用于当执行所述shellcode过程中对内存进行读写操作时,判断被读取内存是否满足预设内存规则;
漏洞判定单元,用于当所述被读取内存满足预设内存规则时,则判定存在漏洞。
优选的,还包括:漏洞信息显示单元,用于显示所述漏洞的信息。
优选的,还包括:替换单元,用于替换所述shellcode。
优选的,所述数据选取单元包括:
起始位置设定单元,用于设定滑动窗口的起始位置为文档数据的起始位置;
选取单元,用于按照预设窗口范围依次选取所述文档数据。
优选的,所述指令过滤单元包括:
反汇编单元,用于反汇编所述被选取的数据;
指令规则匹配单元,用于将所述反汇编结果与预先设定的指令规则进行匹配,若所述反汇编结果与预先设定的指令规则匹配,则所述被选取数据中具有shellcode,若不匹配,则所述被选取数据中不具有shellcode。
从上述的技术方案可以看出,本发明实施例公开的一种漏洞检测方法,通过在虚拟环境下检测接收的数据是否具有利用特定漏洞的代码shellcode,并对检测到的shellcode进行模拟运行,看其运行过程中是否具有与预设内存规则相匹配的内存操作,以判定是否存在漏洞。从而提高检测漏洞的完全性,提高了检测精度,并进一步扩大了应用范围。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的漏洞检测方法流程图;
图2为本发明实施例公开的内存规则树形结构示意图;
图3为本发明实施例公开的又一漏洞检测方法流程图;
图4为本发明实施例公开的又一漏洞检测方法流程图;
图5为本发明公开的漏洞检测装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开了一种漏洞检测方法,采用在虚拟环境下检测接收的数据是否具有利用特定漏洞的代码shellcode,并对检测到的shellcode进行模拟运行,看其运行过程中是否具有与预设内存规则相匹配的内存操作,以判定是否存在漏洞的方法,其具体实现方式如下所述:
本发明实施例公开的一种漏洞检测方法的流程如图1所示,包括:
步骤S11、选取输入的文档数据;
从输入的文档数据中选择进行检测的数据,具体的选取形式可以为利用滑动窗口操作选取,也可以利用指针进行选取。指针选取形式只适应于C或C++之类的语言格式的数据,而滑动窗口的形式可以适应任何语言格式的数据。
步骤S12、检测所述文档数据是否具有shellcode,若是,则执行步骤S13,若否,则结束;
本步骤中可以利用shellcode所具有的一些通用特征来判断数据中是否具有shellcode,例如,很多的shellcode都带有循环自解密指令,则可以通过判断数据中是否具有循环自解密指令来判断是否具有shellcode。例如:
mov ecx,0x5C
mov esi,0x00401000
_continue:
xor byte ptr[esi+ecx-1],0x01
loop_continue
上述示例指令是对地址为0x00401000,长度为0x5C的代码段,按照每字节与1进行异或运算。
根据类似的指令,只需要提供相应的指令规则,即可灵活匹配,例如检测循环对内存进行异或写操作规则,其具体的程序如下所示:
Start(code)
While(short)
{
exists(xor(var1,var2))
}
End(code)
在上述规则中,变量var1和var2可以是Mem、Reg、Imm和Any中的一种,其中:
Mem:表示内存操作数
Reg:表示寄存器操作数
Imm:表示立即数操作数
Any:表示任意类型
Exists:为指令存在检测函数
上述规则表示匹配一个由短跳转指令产生的一个循环,当在数据中的循环体中发现一条xor指令时,则规则匹配成功,说明数据具有shellcode。
步骤S13、在预先设定的虚拟CPU环境内执行所述shellcode中的指令;
本步骤通过虚拟机来实现,通过虚拟机内的虚拟CPU实现对指令的模拟执行,并通过虚拟环境,提供对指令执行的环境支撑。例如,很多shellcode需要获取PEB(Process Enviroment Block,进程环境块)和kernel32.dll的基地址,再获得一些重要的API(Application Programming Interface,应用程序编程接口)函数。当指令对kernel32.dll的基地址进行访问的时候,就会被检测到。
步骤S14、判断执行所述shellcode中的指令过程中是否对内存进行读写操作,若是,则执行步骤S15,若否,则结束;
步骤S15、判断被读取内存是否满足预设内存规则,若是,则执行步骤S16,若否,则结束;
所述预设内存规则可以包括:内存的地址、长度、匹配次数和依赖规则链表中的任意一项或多项的组合。例如,当被读取的内存的地址与预设内存规则中的内存地址相同时,说明指令执行过程中对预先设定的内存地址的内存进行了读取操作,则此shellcode为恶意代码,文档中存在漏洞。
内存规则的结构如下:
Monitor::memory(Address,Length,Operation,Count,DependRule)
Address:内存地址
Length:长度
Operation:读取或写入
Count:匹配次数
DependRule:依赖规则
在匹配规则的过程中,由于shellcode自解密的过程中会对一段连续内存进行写操作,所以需要不断的执行循环操作,因此其与内存规则的匹配次数也会不断的改变,可以根据此情况,设定当匹配次数为某一特定值时,满足匹配次数的内存规则,其具体的数值可以灵活的设置。同样可以通过设置更多的依赖规则,来达到缩小目标范围的效果,使其更精确的匹配shellcode,降低误报率。
本实施例中的内存规则可以采用树形结构排列,其结构示意图如图2所示,该结构中Root为根节点,每个节点包含左子树L和右子树R,左子树的规则依赖于父子树的规则,而右子树的规则不依赖父子树的规则。进行内存规则匹配的时候,遍历整个树,根据依赖关系,即可判断是否符合内存规则条件。
步骤S16、判定存在漏洞。
当内存规则被匹配时,表示文档中存在可执行的恶意shellcode,即文档中存在漏洞,反之则文档是安全的。
本实施例公开的种漏洞检测方法对接收的文档中的数据进行检测,以实现判断其是否具有漏洞的目的,其检测原则为与shellcode对应的内存匹配原则,从而使得该检测方法可以适用于任何一种shellcode,可以对新的、未知的新shellcode具有相同的检测能力。对于大量shellcode样本的的分析具有通用性,提高了检测精度,扩大了适用范围。
本发明实施例公开的又一漏洞检测方法流程如图3所示,包括:
步骤S31、选取输入的文档数据;
步骤S32、检测选取的文档数据中是否具shellcode,若是,则执行步骤S33,若否,则结束;
步骤S33、在预先设定的虚拟CPU环境内执行所述shellcode中的指令;
步骤S34、判断执行所述shellcode中的指令过程中是否对内存进行读写操作,若是,则执行步骤S35,若否,则结束;
步骤S35、判断被读取内存是否满足预设内存规则,若是,则执行步骤S36,若否,则结束;
步骤S36、判定存在漏洞;
步骤S37、显示所述漏洞的信息;
将所述漏洞信息进行显示,以便于对漏洞进行分析。
步骤S38、替换所述shellcode。
通过检测获得内存地址Address,与之对应的文件偏移地址Offset,shellcode长度Length等信息,然后将Offset到Offset+Length这段内容用新的shellcode填充,即可达到替换shellcode内容。根据填充的内容不同,替换后shellcode可以实现恢复文档的正常功能。
本发明实施例公开的又一漏洞检测流程如图4所示,包括:
步骤S41、设定滑动窗口的起始位置为文档数据的起始位置;
步骤S42、按照预设窗口范围依次选取所述文档数据;
具体的窗口范围可以根据实际情况设定,可以为1k,也可以为2k。选取的范围越大,检测的时间就越短,检测速度就越快。选取的范围越小,检测的精度就越高,可以根据具体应用场景进行设定。
步骤S43、反汇编所述被选取的数据;
将被选取的数据反汇编为汇编语言格式的数据。
步骤S44、判断所述反汇编结果与预先设定的指令规则是否匹配,若匹配,则执行步骤S45a,若不匹配,则执行步骤S45b;
本步骤中的预先设定的指令规则为,数据的循环体具有xor指令。
步骤S45a、判定所述被选取数据中具有shellcode,执行步骤S46a;
步骤S45b、判断所述窗口范围的末位是否为文档数据的末位,若否,则执行步骤S46b,若是,则结束;
步骤S46a、在预先设定的虚拟CPU环境内执行所述shellcode中的当前待执行指令,执行步骤S47;
Shellcode中可能会包含多个执行指令,分别对这些指令进行模拟执行。
步骤S46b、更新所述滑动窗口的起始位置,返回执行步骤S42;
步骤S47、判断执行所述当前待执行指令过程中是否对内存进行读写操作,若是则执行步骤S48a,若否,则执行步骤S48b;
步骤S48a、判断所述被读取内存是否满足预设内存规则,若是,则执行步骤S49a,若否,则返回执行步骤S48b;
本实施例中所述的预设内存规则的判断过程为依次判断被操作内存的地址、长度、匹配次数和依赖规则链表的数据是否与预先设定的内存规则相匹配,虽然匹配规则的内容较多,检测时间较长,但是会大大提高检测精度,避免漏检的情况出现。
步骤S48b、判断当前待执行指令是否为选取数据中的shellcode内的最后一条指令,若否,则执行步骤S49b,若是,则返回执行步骤S45b;
步骤S49a、判定存在漏洞;
步骤S49b、选取下一条指令作为当前待执行指令,返回步骤S46a;
步骤S410、显示所述漏洞的信息;
将所述漏洞信息进行显示,以便于对漏洞进行分析。
本实施例中同样也可增加替换shellcode的过程。
本实施例公开的漏洞检测方法中,采用利用窗口选取被检测数据的方式,利用循环选取的步骤实现对被检测数据的选取及检测,简化了处理流程,提高了处理效率。
本发明进一步公开了一种漏洞检测装置,其结构如图5所示,包括:数据选取单元51、指令过滤单元52、虚拟执行单元53、内存监视单元54、规则匹配单元55和漏洞判定单元56,其中:
数据选取单元51用于选取输入的文档数据;指令过滤单元52用于检测选取的文档数据中是否具有利用特定漏洞的代码shellcode;虚拟执行单元53用于当所述数据中具有shellcode时,在预先设定的虚拟CPU环境内执行所述shellcode中的指令;内存监视单元54用于监视所述执行所述shellcode中的指令过程中是否对内存进行读写操作;规则匹配单元55用于当执行所述shellcode中的指令过程中对内存进行读写操作时,判断被读取内存是否满足预设内存规则;漏洞判定单元56用于当所述被读取内存满足预设内存规则时,则判定存在漏洞。
进一步的,该装置还包括:漏洞信息显示单元57,用于显示所述漏洞的信息;替换单元58,用于替换所述shellcode。
其中,所述的虚拟执行单元53可以由虚拟机实现,所述内存监视单元54可以由内存监视引擎实现。
进一步的,所述数据选取单元51包括:起始位置设定单元511,用于设定滑动窗口的起始位置为文档数据的起始位置;选取单元512,用于按照预设窗口范围依次选取所述文档数据。
所述指令过滤单元52包括:反汇编单元521,用于反汇编所述被选取的数据;指令规则匹配单元522,用于将所述反汇编结果与预先设定的指令规则进行匹配,若所述反汇编结果与预先设定的指令规则匹配,则所述被选取数据中具有shellcode,若不匹配,则所述被选取数据中不具有shellcode。
本装置中各个单元执行具体操作的过程如下所述:
首先通过起始位置设定单元设定窗口的起始位置为文档数据的起始位置,然后,选取单元按照预先设定的窗口范围选取窗口范围内的文档数据,反汇编单元将窗口范围内的数据进行反汇编得到被选取数据对应的汇编语言代码,指令规则匹配单元对汇编语言代码进行规则匹配,检测其中是否具有shellcode,如果具有,则将该汇编语言代码输入到虚拟执行单元进行虚拟执行,内存监测单元监测整个执行过程中是否出现对内存的读取操作,如果出现,则规则匹配单元将被操作的内存与预先设定的内存规则进行匹配,若相同,则漏洞判定单元判定该文档中存在漏洞。后续,可利用漏洞信息显示单元将漏洞信息进行显示,以便于后续研究分析。同样可以利用替换单元,替换掉文档中的shellcode,以保证文档则正常使用。
本实施例中可将数据选取单元、指令过滤单元、内存监视单元、规则匹配单元和漏洞判定单元同时集成在虚拟机上实现,也可以将其采用分体化设计实现。在此并不限定其具体实现形式。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种漏洞检测方法,其特征在于,包括:
选取输入的文档数据;所述选取输入的文档数据的过程包括:设定滑动窗口的起始位置为文档数据的起始位置;按照预设窗口范围依次选取所述文档数据;
通过判断选取的所述文档数据中是否具有循环自解密指令来检测选取的所述文档数据中是否具有利用特定漏洞的代码shellcode;
当选取的所述文档数据中具有shellcode时,在预先设定的虚拟CPU环境内执行所述shellcode中的指令;
当执行所述shellcode中的指令过程中对内存进行读写操作时,通过内存监视引擎监视对内存的读写操作,判断对内存的读写操作是否满足预设内存规则;所述预设内存规则包括:内存的地址、长度、匹配次数和依赖规则链表中的任意一项或多项的组合;
当对内存的读取或写入操作满足预设内存规则时,则判定存在漏洞。
2.根据权利要求1所述的方法,其特征在于,还包括:
显示所述漏洞的信息。
3.根据权利要求2所述的方法,其特征在于,还包括:
替换所述shellcode。
4.根据权利要求1所述的方法,其特征在于,还包括:
判断所述预设窗口范围的末位是否为文档数据的末位,若是,则结束,若否,则更新所述滑动窗口的起始位置,执行检测选取的所述文档数据中是否具有利用特定漏洞的代码shellcode的过程。
5.根据权利要求4所述的方法,其特征在于,所述检测选取的所述文档数据中是否具有shellcode的过程包括:
反汇编选取的所述文档数据;
判断反汇编结果与预先设定的指令规则是否匹配,若匹配,则选取的所述文档数据中具有shellcode,若不匹配,则选取的所述文档数据中不具有shellcode。
6.根据权利要求1述的方法,其特征在于,所述预设内存规则按照树形结构进行存储匹配。
7.一种漏洞检测装置,其特征在于,包括:
数据选取单元,用于选取输入的文档数据;所述数据选取单元包括:
起始位置设定单元,用于设定滑动窗口的起始位置为文档数据的起始位置;
选取单元,用于按照预设窗口范围依次选取所述文档数据;
指令过滤单元,用于通过判断选取的所述文档数据中是否具有循环自解密指令来检测选取的所述文档数据中是否具有利用特定漏洞的代码shellcode;
虚拟执行单元,用于当选取的所述文档数据中具有shellcode时,在预先设定的虚拟CPU环境内执行所述shellcode中的指令;
内存监视单元,用于监视所述执行所述shellcode中的指令过程中是否对内存进行读写操作;
规则匹配单元,用于当执行所述shellcode过程中对内存进行读写操作时,判断被读取内存是否满足预设内存规则;所述预设内存规则包括:内存的地址、长度、匹配次数和依赖规则链表中的任意一项或多项的组合;
漏洞判定单元,用于当对内存的读取或写入操作满足预设内存规则时,则判定存在漏洞。
8.根据权利要求7所述的装置,其特征在于,还包括:
漏洞信息显示单元,用于显示所述漏洞的信息。
9.根据权利要求8所述的装置,其特征在于,还包括:
替换单元,用于替换所述shellcode。
10.根据权利要求9所述的装置,其特征在于,所述指令过滤单元包括:
反汇编单元,用于反汇编选取的所述文档数据;
指令规则匹配单元,用于将反汇编结果与预先设定的指令规则进行匹配,若所述反汇编结果与预先设定的指令规则匹配,则选取的所述文档数据中具有shellcode,若不匹配,则选取的所述文档数据中不具有shellcode。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010526718 CN101964036B (zh) | 2010-10-29 | 2010-10-29 | 漏洞检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010526718 CN101964036B (zh) | 2010-10-29 | 2010-10-29 | 漏洞检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101964036A CN101964036A (zh) | 2011-02-02 |
| CN101964036B true CN101964036B (zh) | 2013-01-16 |
Family
ID=43516903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010526718 Active CN101964036B (zh) | 2010-10-29 | 2010-10-29 | 漏洞检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101964036B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609655B (zh) * | 2012-02-08 | 2017-02-08 | 北京百度网讯科技有限公司 | 一种检测堆喷射型网页木马的方法和装置 |
| CN102609654A (zh) * | 2012-02-08 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种检测恶意flash文件的方法和装置 |
| CN102693396B (zh) * | 2012-06-11 | 2014-09-17 | 中南大学 | 一种基于虚拟执行模式的Flash漏洞检测方法 |
| CN103870752B (zh) * | 2012-12-18 | 2018-04-20 | 百度在线网络技术(北京)有限公司 | 一种用于检测Flash XSS漏洞的方法、装置与设备 |
| CN104252599B (zh) * | 2013-06-28 | 2019-07-05 | 深圳市腾讯计算机系统有限公司 | 一种检测跨站脚本漏洞的方法及装置 |
| CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
| CN104298923B (zh) * | 2014-09-28 | 2018-01-02 | 北京奇虎科技有限公司 | 漏洞类型识别方法以及装置 |
| CN106682498B (zh) * | 2016-08-16 | 2019-12-06 | 腾讯科技(深圳)有限公司 | 样本的执行方法和装置 |
| CN106384049A (zh) * | 2016-09-06 | 2017-02-08 | 亚信科技(成都)有限公司 | 一种安全防护的方法及系统 |
| CN106445626B (zh) * | 2016-09-30 | 2020-03-06 | 北京奇虎科技有限公司 | 数据分析方法及装置 |
| CN109558734B (zh) * | 2018-11-28 | 2021-10-15 | 北京梆梆安全科技有限公司 | 一种堆栈安全性的检测方法及装置、移动设备 |
| CN111444509B (zh) * | 2018-12-27 | 2024-05-14 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测方法及系统 |
| CN111444510A (zh) * | 2018-12-27 | 2020-07-24 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测方法及系统 |
| CN113360902B (zh) * | 2020-03-05 | 2024-02-20 | 奇安信科技集团股份有限公司 | shellcode的检测方法、装置、计算机设备及计算机存储介质 |
| CN112422553A (zh) * | 2020-11-17 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种检测VBScript漏洞利用的方法、装置及设备 |
| CN113076540B (zh) * | 2021-04-16 | 2023-04-14 | 顶象科技有限公司 | 一种攻击检测的方法、装置、电子设备及存储介质 |
| CN113591089B (zh) * | 2021-08-12 | 2024-06-11 | 上海观安信息技术股份有限公司 | 一种数据混淆加密方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159732A (zh) * | 2007-08-14 | 2008-04-09 | 电子科技大学 | 基于数据流分析的恶意攻击检测方法 |
| US7552479B1 (en) * | 2005-03-22 | 2009-06-23 | Symantec Corporation | Detecting shellcode that modifies IAT entries |
| CN101482847A (zh) * | 2009-01-19 | 2009-07-15 | 北京邮电大学 | 一种基于安全漏洞缺陷模式的检测方法 |
| CN101515320A (zh) * | 2009-04-10 | 2009-08-26 | 中国科学院软件研究所 | 一种攻击时漏洞检测方法及其系统 |
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
-
2010
- 2010-10-29 CN CN 201010526718 patent/CN101964036B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7552479B1 (en) * | 2005-03-22 | 2009-06-23 | Symantec Corporation | Detecting shellcode that modifies IAT entries |
| CN101159732A (zh) * | 2007-08-14 | 2008-04-09 | 电子科技大学 | 基于数据流分析的恶意攻击检测方法 |
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
| CN101482847A (zh) * | 2009-01-19 | 2009-07-15 | 北京邮电大学 | 一种基于安全漏洞缺陷模式的检测方法 |
| CN101515320A (zh) * | 2009-04-10 | 2009-08-26 | 中国科学院软件研究所 | 一种攻击时漏洞检测方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101964036A (zh) | 2011-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101964036B (zh) | 漏洞检测方法及装置 | |
| KR101711882B1 (ko) | 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기 | |
| CN110287702B (zh) | 一种二进制漏洞克隆检测方法及装置 | |
| JP6867066B1 (ja) | 動的ステイン分析に基づくメモリ分析方法及び装置 | |
| Canfora et al. | Acquiring and analyzing app metrics for effective mobile malware detection | |
| US12093398B2 (en) | Vulnerability analysis and reporting for embedded systems | |
| TWI528216B (zh) | 隨選檢測惡意程式之方法、電子裝置、及使用者介面 | |
| CN102402479B (zh) | 用于静态分析的中间表示结构 | |
| CN110741354A (zh) | 呈现代码实体调用之间的差异 | |
| US9690946B2 (en) | Security analysis using relational abstraction of data structures | |
| JP7517585B2 (ja) | 解析機能付与装置、解析機能付与プログラム及び解析機能付与方法 | |
| CN103793651B (zh) | 基于Xen虚拟化的内核完整性检测方法 | |
| CN107526970B (zh) | 基于动态二进制平台检测运行时程序漏洞的方法 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| CN105302717A (zh) | 一种大数据平台的检测方法及装置 | |
| CN104268473A (zh) | 应用程序检测方法和装置 | |
| US9842044B2 (en) | Commit sensitive tests | |
| CN108090352A (zh) | 检测系统及检测方法 | |
| Heelan et al. | Augmenting vulnerability analysis of binary code | |
| Wang et al. | OFFDTAN: a new approach of offline dynamic taint analysis for binaries | |
| Cui et al. | Flowwalker: a fast and precise off-line taint analysis framework | |
| CN102708054A (zh) | 二进制程序循环写内存安全漏洞的检测方法 | |
| CN114741700B (zh) | 基于符号化污点分析的公共组件库漏洞可利用性分析方法及装置 | |
| Letychevskyi et al. | Fuzz Testing Technique and its Use in Cybersecurity Tasks | |
| WO2023067668A1 (ja) | 解析機能付与方法、解析機能付与装置及び解析機能付与プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: SHENZHEN JOWTO TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: BEIJING JOWTO TECHNOLOGY CO., LTD. Effective date: 20120329 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100020 CHAOYANG, BEIJING TO: 518007 SHENZHEN, GUANGDONG PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20120329 Address after: 518007, G, 24, Mao Mao business center, 59 news Road, Shenzhen, Guangdong, Futian District Applicant after: Beijing Jiaotu Technology Co.,Ltd. Address before: 100020, East Third Ring Road, a building 19, 20, 2307 Applicant before: Beijing Jiaotu Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |