CN102819703A - 用于防护网页攻击的方法和设备 - Google Patents

用于防护网页攻击的方法和设备 Download PDF

Info

Publication number
CN102819703A
CN102819703A CN2012102515605A CN201210251560A CN102819703A CN 102819703 A CN102819703 A CN 102819703A CN 2012102515605 A CN2012102515605 A CN 2012102515605A CN 201210251560 A CN201210251560 A CN 201210251560A CN 102819703 A CN102819703 A CN 102819703A
Authority
CN
China
Prior art keywords
attribute
authority
function
parameter
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012102515605A
Other languages
English (en)
Other versions
CN102819703B (zh
Inventor
宋申雷
刘起
张聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201210251560.5A priority Critical patent/CN102819703B/zh
Publication of CN102819703A publication Critical patent/CN102819703A/zh
Application granted granted Critical
Publication of CN102819703B publication Critical patent/CN102819703B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明涉及一种用于防护网页攻击的方法和设备。该方法包括:在调用改变内存地址的内存保护属性的已挂钩待检测函数之前,获取已挂钩待检测函数的第一参数和第二参数,其中,所述已挂钩待检测函数是完成挂钩操作的待检测函数;检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限,并且检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限;以及当所述第一属性是与可执行相关联的权限,并且所述第二属性被修改成与可写相关联的权限时,警告或阻止所述已挂钩待检测函数的执行。

Description

用于防护网页攻击的方法和设备
技术领域
本发明涉及计算机网络安全技术,尤其涉及一种用于防护网页攻击的方法和设备。
背景技术
网页木马攻击是当前最流行的网络攻击之一。目前,网页木马大多基于浏览器的缓冲区溢出漏洞,攻击者通过溢出漏洞来改变和控制程序的执行流程,从而最终控制系统下载并运行木马。网页木马攻击的过程一般是攻击者通过javascript操作浏览器的堆内存,将恶意代码shellcode写入浏览器的堆内存地址,通过缓冲区溢出漏洞改变程序的执行流程,使得浏览器堆内存中的shellcode得以执行。
随着网页木马攻击越来越普遍,各安全厂商的安全产品也加强了针对网页木马攻击的安全防护功能,其中防护网页木马攻击而普遍使用的技术是针对shellcode经常使用的关键函数进行HOOK钩子监控,该技术一般是内联挂钩(inline hook),将汇编代码直接写入到API函数的内存区域,在原始函数的汇编代码入口插入5字节的jmp跳转指令,跳转到安全软件自定义的函数地址执行自定义代码进行安全检测,发现有恶意代码调用关键函数立即阻止并拦击网页木马的攻击行为,安全检测完毕再跳回原始函数的地址继续执行代码。
另一方面,黑客也开始使用新的攻击技术针对网页木马防护技术进行攻防,网络上出现过一类专门针对安全软件HOOK钩子关键API函数摘钩的攻击方法,一旦这类摘钩的攻击方法成功就会导致安全软件的防护完全失效。
安全软件防护网页木马攻击常会对执行木马文件的函数进行内联挂钩(inline hook),如CreateProcessIntemalW函数,网页木马在调用CreateProcessIntemalW函数执行木马文件前安全软件会对CreateProcessIntemalW函数进行安全监控和检测,攻击者便对CreateProcessIntemalW函数的前几个字节的jmp跳转指令进行内联挂钩(inline hook)还原,使安全软件的防护完全失效。
这种绕过HOOK钩子防护,针对关键API函数的内联挂钩(inline hook)还原的攻击方式需要进行两个步骤:
1、使用VirtualProtect函数改变关键API函数入口内存区域的内存保护属性为可写权限,从而能够对入口内存区域的指令拥有修改权限。
2、还原inline hook(内联挂钩)的jmp跳转指令为普通的函数入口指令,从而使安全软件的安全检测无法生效。
因此针对HOOK钩子关键API函数摘钩的恶意攻击进行防护和检测,目前已成为安全软件的重要功能。
发明内容
本发明的主要目的在于提供一种用于防护网页攻击的方法和设备,以解决现有技术存在的针对HOOK钩子关键API函数摘钩的恶意攻击问题,其中,该方法可以包括:在调用改变内存地址的内存保护属性的已挂钩待检测函数之前,获取已挂钩待检测函数的第一参数和第二参数,其中,所述已挂钩待检测函数是完成挂钩操作的待检测函数;检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限,并且检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限;以及当所述第一属性是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限时,警告或阻止所述已挂钩待检测函数的执行。
根据本发明的实施例,该方法还可以包括:当所述第一属性不是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,完成所述已挂钩待检测函数的执行。
根据本发明的实施例,该方法还可以包括:当所述第一属性不是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限时,完成所述已挂钩待检测函数的执行。
根据本发明的实施例,该方法还可以包括:当所述第一属性是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,完成所述已挂钩待检测函数的执行。
根据本发明的另一方面,还提供一种用于防护网页攻击的设备。该设备可以包括:获取模块,用于在调用改变内存地址的内存保护属性的已挂钩待检测函数之前获取已挂钩待检测函数的第一参数和第二参数,其中,所述已挂钩待检测函数是完成挂钩操作的待检测函数;检测模块,用于检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限,并且检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限;以及阻止与执行模块,用于当所述第一属性是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限时,警告或阻止所述已挂钩待检测函数的执行。
根据本发明的实施例,所述阻止与执行模块还可以被配置成当所述第一属性不是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,完成所述已挂钩待检测函数的执行。
根据本发明的实施例,所述阻止与执行模块还可以被配置成当所述第一属性不是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限时,完成所述已挂钩待检测函数的执行。
根据本发明的实施例,所述阻止与执行模块还可以被配置成当所述第一属性是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,完成所述已挂钩待检测函数的执行。
根据本发明的实施例,与可执行相关联的权限可以是可执行或可读可执行,与可写相关联的权限可以是可读可写可执行或可写可拷贝可执行。
根据本发明的实施例,所述第一参数可以是lpAddress参数,所述第二参数可以是flNewProtect参数。
根据本发明的实施例,所述待检测函数可以是VirtualProtect函数,所述已挂钩待检测函数可以是VirtualProtectEx函数,所述第一属性为内存保护属性,以及所述第二属性为内存保护属性。
根据本发明的实施例,获取模块可以分成获取第一参数的第一获取模块和获取第二参数的第二获取模块。
根据本发明的实施例,所述检测模块可以包括用于检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限的第一检测模块,和用于检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限的第二检测模块。
与现有技术相比,根据本发明的技术方案,检测发现和阻断通过网页木马的改写内存保护属性行为,防止网页木马摘掉安全软件所有HOOK钩子的关键API函数。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的用于防护网页攻击的方法的流程图;
图2是根据本发明实施例的用于防护网页攻击的设备的框图;以及
图3示出了适于用来实现本发明实施例的计算机系统的框图。
具体实施方式
本发明实施例在于,进程在调用改变内存页保护属性的API函数时,对修改的内存地址的内存页属性进行检测,通过规则对内存地址页的原有内存页保护属性进行判别,一旦发现恶意的修改行为即阻止和警告,保护HOOK钩子函数入口地址不被修改内存保护属性,并且不被恶意篡改。本申请的技术方案主要通过监控对改变内存属性的API函数的调用,保护HOOK钩子函数入口地址的内存保护属性不被修改成可写。
为使本发明的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本发明作进一步地详细说明。
根据本发明的实施例,提供了一种用于防护网页攻击的方法和设备。
如前所述,为了防止网页木马,通过HOOK技术对待检测函数进行挂钩(例如,采用内联挂钩(inline hook)技术来进行挂钩),利用HOOK函数MineVirtualProtectEx对已挂钩待检测函数的参数进行检测。
为了使本发明的技术方案更加清楚,将针对VirtualProtectEx函数来描述本发明的检测方法的实施。因此,首先描述与该函数相关的参数以及权限定义。VirtualProtectEx函数的作用是改变调用进程的内存保护访问级别,其函数内容如下:
Figure BDA00001908844600051
其中,hProcess参数是修改内存的进程句柄;lpAddress参数是修改内存的起始地址;dwSize参数是修改内存的字节;flNewProtect参数是修改后的内存保护属性;以及lpflOldProtect参数是修改前的内存保护属性的地址。
内存页面的内存保护属性可以有如下8个:
PAGE_NOACCESS不可读,试图读取页面、写入页面或执行页面中的代码将引发访问违规;
PAGE_READONLY只读权限,试图写入页面或执行页面中的代码将引发访问违规;
PAGE_READWRITE可读可写权限,试图执行页面中的代码将引发访问违规;
PAGE_EXECUTE可执行权限,试图读取页面或写入页面将引发访问违规;
PAGE_EXECUTE_READ可读可执行权限,试图写入页面将引发访问违规;
PAGE_EXECUTE_READWRITE可读可写可执行权限,对页面执行任何操作都不会引发访问违规;
PAGE_WRITECOPY可写可拷贝权限,试图执行页面中的代码将引发访问违规;
PAGE_EXECUTE_WRITECOPY可写可拷贝可执行权限,对页面执行任何操作都不会引发访问违规。
当然,内存页面的内存保护属性也可以有其他的属性。
参考图1,图1是本发明实施例的用于防护网页攻击的方法的流程图。
根据本发明的实施例,在进程调用改变内存页保护属性的API时,对修改的内存地址的内存保护属性进行预检测,通过规则来对内存地址页的缘由内存页保护属性进行判别,一旦发现恶意的修改行为即进行阻止和警告,保护已挂钩函数入口地址不被修改内存保护属性,并且不被恶意篡改。
在步骤101,在调用改变内存地址的内存保护属性的已挂钩待检测函数之前,获取已挂钩待检测函数的第一参数和第二参数,其中,所述已挂钩待检测函数是完成挂钩操作的待检测函数。例如,所述函数可以是VirtualProtect函数,所述已挂钩待检测函数可以是VirtualProtectEx函数,所述第一参数可以是lpAddress参数,所述第二参数可以是flNewProtect参数。其中,lpAddress参数是一个具体的内存地址,使用VirtualQuery函数查询内存地址页的内存保护属性。
在步骤102,可以检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限,并且可以检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限。其中,所述第一属性和所述第二属性是内存保护属性。也即是说,检测lpAddress参数的内存地址的内存保护属性是否为与可执行相关联的权限,并且检测flNewProtect参数的内存保护属性是否被修改成与可写相关联的权限。
根据本发明的实施例,所述检测步骤可以由单个检测步骤来检测第一属性和第二属性;所述检测步骤也可以分成两个独立的检测步骤:检测第一属性的第一检测步骤和检测第二属性的第二检测步骤。
根据本发明的实施例,关于第一参数和第二参数的获取步骤可以分成获取第一参数的第一获取步骤和获取第二参数的第二获取步骤,并且两个获取步骤的顺序可以变化。关于第一属性和第二属性的检测顺序也可以变化。并且,可以先获取第一参数后执行关于第一属性的检测,然后再获取第二参数,并随后执行关于第二属性的检测。可替换地,可以先获取第二参数后执行关于第二属性的检测,然后再获取第一参数,并随后执行关于第一属性的检测。
如果所述第一属性是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限,则在步骤103阻止所述函数的执行。否则,可以在步骤104完成所述已挂钩待检测函数的执行。也就是说,通过该方法阻止了对网页的攻击。具体而言,如果所述第一属性不是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限、或者所述第一属性不是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限、或者所述第一属性是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限,则在步骤104,完成所述已挂钩待检测函数的执行。
在本发明的实施中,第二属性的修改是与恶意程序相关联的,则阻止已挂钩待检测函数的执行。如果所述第二属性的修改不与恶意程序相关联,则完成所述已挂钩待检测函数的执行。例如,如果flNewProtect参数的内存保护属性被恶意程序恶意修改,则阻止该函数VirtualProtectEx函数的执行;否则,返回执行真实的VirtualProtectEx函数。
根据本发明的实施例,与可执行相关联的权限可以是可执行或可读可执行,与可写相关联的权限可以是可读可写可执行或可写可拷贝可执行。
由上可知,本发明的实施例例如可以对lpAddress参数和flNewProtect参数进行监控,检测VirtualProtect函数是否修改lpAddress参数内存的起始地址的内存保护属性和flNewProtect参数的内存保护属性,是否存在修改内存保护属性为可写权限的恶意行为,保护已完成挂钩操作的关键函数不被还原。
图2是根据本发明实施例的用于防护网页攻击的设备200的框图。
根据本发明的实施例,用于防护网页攻击的设备200包括获取模块205、检测模块203以及阻止与执行模块204。获取模块205可以被配置成在调用改变内存地址的内存保护属性的已挂钩待检测函数之前获取已挂钩待检测函数的第一参数和第二参数,其中,所述已挂钩待检测函数是完成挂钩操作的待检测函数。例如,所述函数可以是VirtualProtect函数,所述已挂钩待检测函数可以是VirtualProtectEx函数,所述第一参数可以是lpAddress参数,所述第二参数可以是flNewProtect参数。其中,lpAddress参数是一个具体的内存地址,使用VirtualQuery函数查询内存地址页的内存保护属性。
根据本发明的实施例,获取模块205可以分成获取第一参数的第一获取模块201和获取第二参数的第二获取模块202。
检测模块203可以被配置成检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限,并且检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限。其中,所述第一属性和所述第二属性是内存保护属性。也即是说,检测lpAddress参数的内存地址的内存保护属性是否为与可执行相关联的权限,并且检测flNewProtect参数的内存保护属性是否被修改成与可写相关联的权限。
根据本发明的实施例,所述检测模块203可以由单个检测模块来完成第一属性的检测和第二属性的检测;所述检测模块203也可以包括两个独立的检测模块:检测第一属性的第一检测模块和检测第二属性的第二检测模块。并且,可以先获取第一参数后执行关于第一属性的检测,然后再获取第二参数,并随后执行关于第二属性的检测。可替换地,可以先获取第二参数后执行关于第二属性的检测,然后再获取第一参数,并随后执行关于第一属性的检测。
如果所述第一属性是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限,则阻止与执行模块204可以被配置成阻止所述函数的执行。否则,阻止与执行模块204可以被配置成完成所述已挂钩待检测函数的执行。
具体而言,如果所述第一属性不是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限、或者所述第一属性不是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限、或者所述第一属性是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限,则阻止与执行模块204可以被配置成完成所述已挂钩待检测函数的执行。
根据本发明的实施例,与可执行相关联的权限可以是可执行或可读可执行,与可写相关联的权限可以是可读可写可执行或可写可拷贝可执行。
根据本发明的实施例,用于防护网页攻击的方法还可以用计算机程序来实现,具体如下:
Figure BDA00001908844600091
Figure BDA00001908844600101
Figure BDA00001908844600111
本发明在通过软件来实现时,所述软件能够在其中执行的计算机系统如图3所示。
图3示出了适于用来实现本发明实施例的计算机系统的框图。如图3所示,计算机系统可以包括:CPU(中央处理单元)301、RAM(随机存取存储器)302、ROM(只读存储器)303、系统总线304、硬盘控制器305、键盘控制器306、串行接口控制器307、并行接口控制器308、显示控制器309、硬盘310、键盘311、串行外部设备312、并行外部设备313和显示器314。在这些部件中,与系统总线304相连的有CPU 301、RAM 302、ROM 303、硬盘控制器305、键盘控制器306、串行控制器307、并行控制器308和显示控制器309。硬盘310与硬盘控制器305相连,键盘311与键盘控制器306相连,串行外部设备312与串行接口控制器307相连,并行外部设备313与并行接口控制器308相连,以及显示器313与显示控制器309相连。
应当理解,图3所述的结构框图仅仅为了示例的目的而示出的,而不是对本发明范围的限制。在某些情况下,可以根据具体情况而增加或者减少某些设备。
特别地,除硬件实施方式之外,本发明的实施例可以通过计算机程序产品的形式实现。例如,参考图1描述的方法可以通过计算机程序产品来实现。该计算机程序产品可以存储在例如图3所示的RAM 304、ROM 304、硬盘310和/或任何适当的存储介质中,或者通过网络从适当的位置下载到计算机系统上。计算机程序产品可以包括计算机代码部分,其包括可由适当的处理设备(例如,图3中示出的CPU301)执行的程序指令。所述程序指令至少可以包括用于实现上文描述的方法的指令。
应当注意,本发明的实施例可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
应当注意,尽管在上文详细描述中提及了设备的若干模块或子模块,但是这种划分仅仅并非强制性的。实际上,根据本发明的实施例,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (13)

1.一种用于防护网页攻击的方法,其特征在于,包括:
在调用改变内存地址的内存保护属性的已挂钩待检测函数之前,获取已挂钩待检测函数的第一参数和第二参数,其中,所述已挂钩待检测函数是完成挂钩操作的待检测函数;
检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限,并且检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限;以及
当所述第一属性是与可执行相关联的权限,并且所述第二属性被修改成与可写相关联的权限时,警告或阻止所述已挂钩待检测函数的执行。
2.根据权利要求1所述的方法,其特征在于,还包括:当所述第一属性不是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,或者当所述第一属性不是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限时,或者当所述第一属性是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,完成所述已挂钩待检测函数的执行。
3.根据权利要求1或2所述的方法,其特征在于,其中,与可执行相关联的权限是可执行或可读可执行,与可写相关联的权限是可读可写可执行或可写可拷贝可执行。
4.根据权利要求1或2所述的方法,其特征在于,其中,所述第一参数是lpAddress参数,所述第二参数是flNewProtect参数。
5.根据权利要求1或2所述的方法,其特征在于,其中,所述待检测函数是VirtualProtect函数,所述已挂钩待检测函数是VirtualProtecEx函数,所述第一属性为内存保护属性,以及所述第二属性为内存保护属性。
6.根据权利要求1或2所述的方法,其特征在于,所述第二属性的修改是与恶意程序相关联的。
7.根据权利要求1或2所述的方法,其特征在于,还包括:如果所述第二属性的修改不与恶意程序相关联,则完成所述已挂钩待检测函数的执行。
8.一种用于防护网页攻击的设备,其特征在于,包括:
获取模块,用于在调用改变内存地址的内存保护属性的已挂钩待检测函数之前,获取已挂钩待检测函数的第一参数和第二参数,其中,所述已挂钩待检测函数是完成挂钩操作的待检测函数;
检测模块,用于检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限,并且检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限;以及
阻止与执行模块,用于当所述第一属性是与可执行相关联的权限,并且所述第二属性被修改成与可写相关联的权限时警告或阻止所述已挂钩待检测函数的执行。
9.根据权利要求8所述的设备,其特征在于,所述阻止与执行模块还被配置成:当所述第一属性不是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,或者当所述第一属性不是与可执行相关联的权限并且所述第二属性被修改成与可写相关联的权限时,或者当所述第一属性是与可执行相关联的权限并且所述第二属性未被修改成与可写相关联的权限时,则完成所述已挂钩待检测函数的执行。
10.根据权利要求8或9所述的设备,其特征在于,其中,与可执行相关联的权限是可执行或可读可执行,与可写相关联的权限是可读可写可执行或可写可拷贝可执行。
11.根据权利要求8或9所述的设备,其特征在于,其中,所述待检测函数是VirtualProtect函数,所述已挂钩待检测函数是VirtualProtectEx函数,所述第一属性为内存保护属性,以及所述第二属性为内存保护属性。
12.根据权利要求8或9所述的设备,其特征在于,其中,所述获取模块包括用于获取所述第一参数的第一获取模块和用于获取所述第二参数的第二获取模块。
13.根据权利要求8或9所述的设备,其特征在于,所述检测模块包括用于检测与所述第一参数相关联的内存地址页的第一属性是否为与可执行相关联的权限的第一检测模块,和用于检测与所述第二参数相关联的内存地址页的第二属性是否被修改成与可写相关联的权限的第二检测模块。
CN201210251560.5A 2012-07-19 2012-07-19 用于防护网页攻击的方法和设备 Active CN102819703B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210251560.5A CN102819703B (zh) 2012-07-19 2012-07-19 用于防护网页攻击的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210251560.5A CN102819703B (zh) 2012-07-19 2012-07-19 用于防护网页攻击的方法和设备

Publications (2)

Publication Number Publication Date
CN102819703A true CN102819703A (zh) 2012-12-12
CN102819703B CN102819703B (zh) 2015-12-16

Family

ID=47303813

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210251560.5A Active CN102819703B (zh) 2012-07-19 2012-07-19 用于防护网页攻击的方法和设备

Country Status (1)

Country Link
CN (1) CN102819703B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103116723A (zh) * 2013-02-06 2013-05-22 北京奇虎科技有限公司 一种网址拦截处理的方法、装置和系统
CN106203093A (zh) * 2016-06-30 2016-12-07 北京金山安全软件有限公司 进程保护方法、装置以及终端
CN106203121A (zh) * 2016-07-19 2016-12-07 北京金山安全软件有限公司 内核地址防止恶意修改方法、装置以及终端
CN114707150A (zh) * 2022-03-21 2022-07-05 安芯网盾(北京)科技有限公司 一种恶意代码检测方法、装置、电子设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7552479B1 (en) * 2005-03-22 2009-06-23 Symantec Corporation Detecting shellcode that modifies IAT entries
CN101706852A (zh) * 2009-11-17 2010-05-12 珠海金山软件股份有限公司 网游密码保护装置和方法
US20100162398A1 (en) * 2008-12-16 2010-06-24 F-Secure Oyj Method and apparatus for detecting shellcode insertion

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7552479B1 (en) * 2005-03-22 2009-06-23 Symantec Corporation Detecting shellcode that modifies IAT entries
US20100162398A1 (en) * 2008-12-16 2010-06-24 F-Secure Oyj Method and apparatus for detecting shellcode insertion
CN101706852A (zh) * 2009-11-17 2010-05-12 珠海金山软件股份有限公司 网游密码保护装置和方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103116723A (zh) * 2013-02-06 2013-05-22 北京奇虎科技有限公司 一种网址拦截处理的方法、装置和系统
US9742789B2 (en) 2013-02-06 2017-08-22 Beijing Qihoo Technology Company Limited Method, device and system for intercepting web address
CN106203093A (zh) * 2016-06-30 2016-12-07 北京金山安全软件有限公司 进程保护方法、装置以及终端
CN106203121A (zh) * 2016-07-19 2016-12-07 北京金山安全软件有限公司 内核地址防止恶意修改方法、装置以及终端
CN106203121B (zh) * 2016-07-19 2019-09-06 珠海豹趣科技有限公司 内核地址防止恶意修改方法、装置以及终端
CN114707150A (zh) * 2022-03-21 2022-07-05 安芯网盾(北京)科技有限公司 一种恶意代码检测方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN102819703B (zh) 2015-12-16

Similar Documents

Publication Publication Date Title
CN102831339B (zh) 一种针对网页的恶意攻击进行防护的方法、装置和浏览器
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
CN103679032B (zh) 防御恶意软件的方法和装置
CN108154032B (zh) 具有内存完整性保障功能的计算机系统信任根构建方法
US20160232347A1 (en) Mitigating malware code injections using stack unwinding
US20100064367A1 (en) Intrusion detection for computer programs
US9659173B2 (en) Method for detecting a malware
US9038161B2 (en) Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor
US11055168B2 (en) Unexpected event detection during execution of an application
CN102819703B (zh) 用于防护网页攻击的方法和设备
Lee et al. Efficient security monitoring with the core debug interface in an embedded processor
CN101599113A (zh) 驱动型恶意软件防御方法和装置
US20120222116A1 (en) System and method for detecting web browser attacks
KR100745640B1 (ko) 커널 메모리를 보호하는 방법 및 그 장치
KR100666562B1 (ko) 커널 드라이버 및 프로세스 보호 방법
CN111488576B (zh) 一种首页篡改的保护方法、系统、电子设备及存储介质
CN116204892B (zh) 漏洞处理方法、装置、设备以及存储介质
CN108647516B (zh) 一种防御漏洞非法提权方法及装置
EP3535681B1 (en) System and method for detecting and for alerting of exploits in computerized systems
WO2022193629A1 (zh) 软件的保护方法、装置、电子设备及存储介质
GB2539199A (en) Apparatus and methods for transitioning between a secure area and a less-secure area
US20230088304A1 (en) Secure computing system for attestation of secured code, data and execution flows
CN111480160B (zh) 用于过程验证的系统、方法和介质
CN108898006B (zh) Html5文件安全保护方法、系统及终端设备
EP2919146A1 (en) An apparatus for enforcing control flows

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant