CN104217157A - 一种漏洞防利用方法及系统 - Google Patents
一种漏洞防利用方法及系统 Download PDFInfo
- Publication number
- CN104217157A CN104217157A CN201410372895.1A CN201410372895A CN104217157A CN 104217157 A CN104217157 A CN 104217157A CN 201410372895 A CN201410372895 A CN 201410372895A CN 104217157 A CN104217157 A CN 104217157A
- Authority
- CN
- China
- Prior art keywords
- dep
- leak
- address
- protection module
- rop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Executing Machine-Instructions (AREA)
Abstract
本发明涉及一种漏洞防利用方法及系统,属于网络安全技术领域。现有的漏洞扫描方案维护成本较高,也不能及时检测新出的溢出漏洞。本发明所述的方法将漏洞防护模块注入到要保护的进程中;利用漏洞防护模块对漏洞进行检测;当检测到有漏洞运行时,对漏洞进行拦截。采用本发明所述的方法及系统可以在漏洞利用过程中及时检测出来,并阻止漏洞的继续运行。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种漏洞防利用方法及系统。
背景技术
随着微软停止对XP系统的技术支持,XP系统用户也将面临各种漏洞的袭击,其中office软件漏洞尤为多,并且危害性极强。溢出漏洞是一种计算机程序的可更正性缺陷,溢出漏洞的全名为缓冲区溢出漏洞,因为它是在程序执行的时候在缓冲区执行的错误代码,所以叫缓冲区溢出漏洞。黑客主要利用office word的一些溢出漏洞对用户发起攻击,由于这种攻击发起是通过word文档构造巧妙的溢出漏洞,传送word文件实现点对点的攻击,对于这种漏洞本身杀软很难通过扫描等手段检测出来,而漏洞一旦执行成功将会对用户的财产安全造成极大的威胁。
现有的一些杀软诸如卡巴斯基等,存在一些关于漏洞的静态扫描方案,是针对特定漏洞做的特征,可以检测到word文档中的特征,来判定是否在利用漏洞,这种方法虽然针对性强,但是由于漏洞的多变性,导致维护成本较高,也不能及时检测新出的溢出漏洞。
DEP(Data Execution Prevention)即“数据执行保护”,是Windows的一项安全机制,主要用来防止病毒和其他安全威胁对系统造成破坏。微软从Windows XP SP2引入了该技术,并一直延续到此后的Windows Server2003、Windows Server 2008中。DEP是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。在Microsoft Windows XPService Pack 2、Microsoft Windows Server 2003 Service Pack 1、MicrosoftWindows XP Tablet PC Edition 2005、Microsoft Windows Vista和Microsoft windows7中,由硬件和软件一起强制实施DEP。
DEP的优点是可以帮助防止数据页执行代码。通常情况下,不从默认堆和堆栈执行代码。硬件实施DEP检测从这些位置运行的代码,并在发现执行情况时引发异常。软件实施DEP可帮助阻止恶意代码利用Windows中的异常处理机制进行破坏。
硬件实施DEP是某些DEP兼容处理器的功能,可以防止在已标记为数据存储区的内存区域中执行代码。此功能也称为非执行和执行保护。Windows XP SP2还包括软件实施DEP,其目的在于减少利用Windows中的例外处理机制的情况。
与防病毒程序不同,硬件和软件实施DEP技术的目的并不是防止在计算机上安装有害程序。而是监视您的已安装程序,帮助确定它们是否正在安全地使用系统内存。为监视您的程序,硬件实施DEP将跟踪已指定为“不可执行”的内存区域。如果已将内存指定为“不可执行”,但是某个程序试图通过内存执行代码,Windows将关闭该程序以防止恶意代码。无论代码是不是恶意,都会执行此操作。
发明内容
针对现有技术中存在的缺陷,本发明的目的是提供一种漏洞防利用方法及系统,该方法及系统能够在漏洞利用过程中及时检测出来,并阻止漏洞的继续运行。
为达到以上目的,本发明采用的技术方案是,一种漏洞防利用方法,包括以下步骤:
将漏洞防护模块注入到要保护的进程中;
利用漏洞防护模块对漏洞进行检测;
当检测到有漏洞运行时,对漏洞进行拦截。
进一步,通过本地配置文件和/或云端数据库来判断是否需要将漏洞防护模块注入到要保护的进程中。
进一步,所述的漏洞防护模块是通过DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段实现对未知的漏洞进行检测。
进一步,所述的漏洞防护模块中内置开关,通过开关操作对DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段实现开启或关闭。
进一步,若开启的DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段与其他软件发生冲突,则关闭存在冲突的防护手段。
进一步,所述的DEP数据执行保护是将DEP注入进程后打开DEP,接受处理触发的DEP异常,并且还会针对一些漏洞绕过DEP的方法进行防护。
更进一步,在NtVirtualProtectMemory设置了一个检测点,检测栈指针异常、堆栈执行属性修改,阻止漏洞绕过DEP防护。
进一步,所述的ALSR地址随机化机制是在NtVirtualProtectMemory函数中设置有hook点,当dll加载时调用该函数,此时提前在dll加载地址申请内存并重新加载dll,地址将会发生变化,就达到了让地址随机化的目的;在dll加载地址申请内存时会记录dll地址,当shellcode试图访问这个地址时将会抛出异常,被之前设置的异常接受例程接受到并处理。
进一步,所述ROP防护是在多个系统函数中设置观察点,在程序执行到这些函数的时候做一次检测,如果发现异常则判定为溢出漏洞,其中,所述的检测包括栈状态检查、返回地址检查和模块调用检查。
进一步,所要保护的进程是office word进程,所要拦截的漏洞是officeword的溢出漏洞。
本发明还公开了一种漏洞防利用系统,包括以下模块:
注入模块,用于将漏洞防护模块注入到要保护的进程中;
漏洞防护模块,用于对漏洞进行检测,当检测到有漏洞运行时,对漏洞进行拦截。
进一步,所述的漏洞防护模块包括DEP、ALSR、ROP三种防护单元,分别用于通过DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段检测未知漏洞。
进一步,所述的漏洞防护模块中内置开关,通过开关操作对DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护单元实现开启或关闭。
进一步,该系统还设置了过滤模块,用于在存在冲突软件时关闭存在冲突的防护单元,保证漏洞防护模块稳定的运行。
本发明的效果在于:采用本发明所述的方法及系统,可以在漏洞利用过程中及时检测出来,并阻止漏洞的继续运行。本发明之所以具有上述显著效果,在于本发明使用多种检测方法动态检测溢出漏洞的发生,可以应对已知和未知漏洞。本发明还加入了云端控制,增强快速反应能力,在发现新的漏洞时能够从云端指定需要保护的进程,加入开关控制以及过滤模块最大限度的保证防护的稳定性。
附图说明
图1是本发明所述方法的主流程图;
图2是本发明所述方法具体实施方式中的详细流程图;
图3是本发明具体实施方式中所述DEP防护的流程图;
图4是本发明具体实施方式中所述ALSR防护的流程图;
图5是本发明具体实施方式中所述ROP防护的流程图;
图6是本发明具体实施方式中所述ROP三种检测方法的流程图;
图7是本发明所述系统具体实施方式中的结构框图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步描述。
本发明主要针对漏洞利用过程中的一些手法与特点而产生的一些异常来检测漏洞是否运行,一旦检测到这些异常就阻止漏洞的运行,这种特征由于不是针对特定的漏洞,所以具有泛用性,只要是利用相似手法的漏洞都可检测出来。
本实施例中,以所要保护的进程是office word进程,所要拦截的漏洞是office word的一些溢出漏洞为例对本发明进行详细地描述。
如图1所示,一种漏洞防利用方法,包括以下步骤:
步骤S1,将漏洞防护模块注入到要保护的进程中;
步骤S2,利用漏洞防护模块对漏洞进行检测;
步骤S3,当检测到有漏洞运行时,对漏洞进行拦截。
如图2所示,本实施例中,是通过本地配置文件和/或云端数据库来判断是否需要将漏洞防护模块注入到要保护的进程中。
所述的漏洞防护模块是通过DEP(Data Execution Prevention,数据执行保护)、ALSR(地址随机化机制)、ROP(Return-oriented programming,面向返回的编程攻击)三种防护手段实现对未知的office word的一些溢出漏洞进行检测。
所述的漏洞防护模块中内置开关,通过开关操作对DEP(数据执行保护)、ALSR(地址随机化机制)、ROP三种防护手段实现开启或关闭。
本实施例中,所述的方法还包括以下步骤:若开启的DEP、ALSR、ROP三种防护手段与其他软件发生冲突,则关闭存在冲突的防护手段。
下面对DEP、ALSR、ROP三种防护在本实施例中的具体实现方法进行详细说明:
1、DEP防护:
XP SP2以后的操作系统本身内置了DEP(数据执行保护)功能,但是未针对WORD等进程打开,本方案在注入相关进程后将打开DEP,并接受处理触发的DEP异常。并且还会针对一些漏洞绕过DEP的方法进行防护。
DEP防护整体设计示意图如图3所示。在NtVirtualProtectMemory设置了一个检测点,检测栈指针异常、堆栈执行属性修改,可以有效的阻止漏洞绕过DEP防护。
2、ALSR防护:
漏洞在运行过程中大部分都需要硬编码一些地址在shellcode中,而Shellcode是在漏洞发生后获得执行权限的一段代码,可以为提升权限或者做其他恶意操作。
由于XP下动态链接库的加载地址都是不变的,所以很容易被利用,本方案将使用一些手法使得动态链接库在加载过程中地址发生变化,从而使得shellcode在执行过程中出现错误,此时接受到这些异常则可判定发生溢出。
ALSR防护示意图如图4所示。ALSR防护是在NtMapViewOfSection函数中设置HOOK点,hook是通过修改程序代码从而达到改变程序执行流程,在程序执行过程中加入检测流程的方法。当dll加载时会调用该函数,此时提前在dll加载地址申请内存并重新加载dll,地址将会发生变化,就达到了让地址随机化的目的。而在dll加载地址申请内存时会记录dll地址,当shellcode试图访问这个地址时将会抛出异常被之前设置的异常接受例程接受到并处理。
3、ROP防护:
在漏洞的执行过程中通常需要调用一些系统函数来达到特定的目的,包括下载文件、执行程序、创建远程线程、记载动态链接库等,根据这个特点,本方案在多个系统函数中设置观察点,在程序执行到这些函数的时候做一次检测,如果发现异常则可判定为溢出漏洞。
ROP防护观测点示意图如图5所示。这些观测点实际上是在一些shellcode执行过程中可能用到的重要函数中,也就是在漏洞发生后必经的重要路径中,在此时检测可发现大量的异常情况,组合一次或多次异常则可判定发生溢出漏洞。
这里ROP防护主要有三种检测,栈状态检查(栈指针、栈帧)、返回地址检查(返回地址是否可执行、返回地址是否为call指令)、模块调用检查(是否从可执行模块调用),如图6所示。
如图7所示,一种漏洞防利用系统,包括以下模块:
注入模块11,用于将漏洞防护模块注入到要保护的office word进程中;
漏洞防护模块12,用于对office word的一些溢出漏洞进行检测,当检测到有office word的一些溢出漏洞运行时,对漏洞进行拦截。
本实施例中,所述的漏洞防护模块包括DEP防护单元14、ALSR防护单元15、ROP防护单元16,分别用于通过DEP(数据执行保护)、ALSR(地址随机化机制)、ROP(Return-oriented programming,面向返回的编程攻击)三种防护手段检测未知漏洞。
所述的漏洞防护模块中内置开关,通过开关操作对DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护单元实现开启或关闭。
本实施例中,为了解决开启DEP、ALSR、ROP三种防护方案与其他软件可能发生冲突的问题,还设置了过滤模块13,用于在存在冲突软件时关闭存在冲突的防护单元,保证漏洞防护模块稳定的运行。
通过上述实施例可以看出,采用本发明所述的方法及系统,可以在漏洞利用过程中及时检测出来,并阻止漏洞的继续运行。
本发明之所以具有上述显著效果,主要在于:
1、本发明通过使用多种检测方法动态检测溢出漏洞的发生,可以应对已知和未知漏洞;
2、本发明通过加入了云端控制,可以增强快速反应,在发现新的漏洞时能够从云端指定需要保护的进程;
3、本发明通过加入开关控制以及过滤模块可以最大限度的保证防护的稳定性。
本发明所述的方法和系统并不限于具体实施方式中所述的实施例,所述的漏洞并不限于office漏洞,所述的防护手段也不限于DEP、ALSR、ROP三种防护手段。本领域技术人员根据本发明的技术方案得出其他的实施方式,同样属于本发明的技术创新范围。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (14)
1.一种漏洞防利用方法,包括以下步骤:
将漏洞防护模块注入到要保护的进程中;
利用漏洞防护模块对漏洞进行检测;
当检测到有漏洞运行时,对漏洞进行拦截。
2.如权利要求1所述的方法,其特征在于:通过本地配置文件和/或云端数据库来判断是否需要将漏洞防护模块注入到要保护的进程中。
3.如权利要求1所述的方法,其特征在于:所述的漏洞防护模块是通过DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段实现对未知的漏洞进行检测。
4.如权利要求3所述的方法,其特征在于:所述的漏洞防护模块中内置开关,通过开关操作对DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段实现开启或关闭。
5.如权利要求3或4所述的方法,其特征在于,该方法还包括以下步骤:若开启的DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段与其他软件发生冲突,则关闭存在冲突的防护手段。
6.如权利要求3所述的方法,其特征在于:所述的DEP数据执行保护是将DEP注入进程后打开DEP,接受处理触发的DEP异常,并且还会针对一些漏洞绕过DEP的方法进行防护。
7.如权利要求6所述的方法,其特征在于:在NtVirtualProtectMemory设置了一个检测点,检测栈指针异常、堆栈执行属性修改,阻止漏洞绕过DEP防护。
8.如权利要求3所述的方法,其特征在于:
所述的ALSR地址随机化机制是在NtVirtualProtectMemory函数中设置有hook点,当dll加载时调用该函数,此时提前在dll加载地址申请内存并重新加载dll,地址将会发生变化,就达到了让地址随机化的目的;在dll加载地址申请内存时会记录dll地址,当shellcode试图访问这个地址时将会抛出异常,被之前设置的异常接受例程接受到并处理。
9.如权利要求3所述的方法,其特征在于:所述ROP防护是在多个系统函数中设置观察点,在程序执行到这些函数的时候做一次检测,如果发现异常则判定为溢出漏洞,其中,所述的检测包括栈状态检查、返回地址检查和模块调用检查。
10.如权利要求1至4任一项所述的方法,其特征在于:所要保护的进程是office word进程,所要拦截的漏洞是office word的溢出漏洞。
11.一种漏洞防利用系统,包括以下模块:
注入模块,用于将漏洞防护模块注入到要保护的进程中;
漏洞防护模块,用于对漏洞进行检测,当检测到有漏洞运行时,对漏洞进行拦截。
12.如权利要求11所述的系统,其特征在于:所述的漏洞防护模块包括DEP、ALSR、ROP三种防护单元,分别用于通过DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护手段检测未知漏洞。
13.如权利要求12所述的系统,其特征在于:
所述的漏洞防护模块中内置开关,通过开关操作对DEP数据执行保护、ALSR地址随机化机制、ROP面向返回的编程攻击三种防护单元实现开启或关闭。
14.如权利要求11或12或13所述的系统,其特征在于:该系统还设置了过滤模块,用于在存在冲突软件时关闭存在冲突的防护单元,保证漏洞防护模块稳定的运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410372895.1A CN104217157B (zh) | 2014-07-31 | 2014-07-31 | 一种漏洞防利用方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410372895.1A CN104217157B (zh) | 2014-07-31 | 2014-07-31 | 一种漏洞防利用方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104217157A true CN104217157A (zh) | 2014-12-17 |
| CN104217157B CN104217157B (zh) | 2017-08-04 |
Family
ID=52098633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410372895.1A Active CN104217157B (zh) | 2014-07-31 | 2014-07-31 | 一种漏洞防利用方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104217157B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105117648A (zh) * | 2015-07-29 | 2015-12-02 | 杭州安恒信息技术有限公司 | 一种基于虚拟机的0day/恶意文档检测系统及方法 |
| CN105740697A (zh) * | 2016-01-26 | 2016-07-06 | 国家信息技术安全研究中心 | 一种xp中地址空间布局随机化方法及装置 |
| CN105787368A (zh) * | 2016-02-26 | 2016-07-20 | 武汉大学 | 一种基于函数置乱的rop防御方法与装置 |
| CN106095416A (zh) * | 2016-06-01 | 2016-11-09 | 腾讯科技(深圳)有限公司 | 一种在应用程序中的跳转处理方法、装置及智能终端 |
| CN106203087A (zh) * | 2015-04-29 | 2016-12-07 | 腾讯科技(深圳)有限公司 | 注入防护方法和系统 |
| CN106685900A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 漏洞防护方法和装置 |
| CN106687973A (zh) * | 2015-05-25 | 2017-05-17 | 华为国际有限公司 | 用于防御基于返回导向编程(rop)的攻击的方法和系统 |
| CN106874769A (zh) * | 2016-12-30 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 漏洞的防御方法和装置 |
| CN106991324A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于内存保护类型监控的恶意代码跟踪识别方法 |
| CN107256358A (zh) * | 2017-07-04 | 2017-10-17 | 北京工业大学 | 工业组态监控软件执行过程动态保护方法 |
| CN108475223A (zh) * | 2016-01-06 | 2018-08-31 | 国际商业机器公司 | 在硬件管理的堆栈架构中受调用者保护的堆栈返回地址 |
| CN110647743A (zh) * | 2018-06-26 | 2020-01-03 | 北京安天网络安全技术有限公司 | 一种恶意行为的鉴定方法、装置和存储设备 |
| CN112487434A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 一种应用软件自适应安全防护方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御系统 |
| CN101515320A (zh) * | 2009-04-10 | 2009-08-26 | 中国科学院软件研究所 | 一种攻击时漏洞检测方法及其系统 |
| CN102073818A (zh) * | 2011-01-17 | 2011-05-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞检测设备和方法 |
| CN103699844A (zh) * | 2012-09-28 | 2014-04-02 | 腾讯科技(深圳)有限公司 | 安全保护系统及方法 |
-
2014
- 2014-07-31 CN CN201410372895.1A patent/CN104217157B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御系统 |
| CN101515320A (zh) * | 2009-04-10 | 2009-08-26 | 中国科学院软件研究所 | 一种攻击时漏洞检测方法及其系统 |
| CN102073818A (zh) * | 2011-01-17 | 2011-05-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞检测设备和方法 |
| CN103699844A (zh) * | 2012-09-28 | 2014-04-02 | 腾讯科技(深圳)有限公司 | 安全保护系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 韩卓: "基于逆向分析的windows7安全机制突破方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106203087B (zh) * | 2015-04-29 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 注入防护方法、系统、终端以及存储介质 |
| CN106203087A (zh) * | 2015-04-29 | 2016-12-07 | 腾讯科技(深圳)有限公司 | 注入防护方法和系统 |
| CN106687973A (zh) * | 2015-05-25 | 2017-05-17 | 华为国际有限公司 | 用于防御基于返回导向编程(rop)的攻击的方法和系统 |
| CN106687973B (zh) * | 2015-05-25 | 2019-11-22 | 华为国际有限公司 | 用于防御基于返回导向编程(rop)的攻击的方法和系统 |
| CN105117648A (zh) * | 2015-07-29 | 2015-12-02 | 杭州安恒信息技术有限公司 | 一种基于虚拟机的0day/恶意文档检测系统及方法 |
| CN106685900A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 漏洞防护方法和装置 |
| CN108475223A (zh) * | 2016-01-06 | 2018-08-31 | 国际商业机器公司 | 在硬件管理的堆栈架构中受调用者保护的堆栈返回地址 |
| CN108475223B (zh) * | 2016-01-06 | 2021-04-20 | 国际商业机器公司 | 检测计算环境的堆栈的损坏的方法、系统和计算机程序产品 |
| CN105740697B (zh) * | 2016-01-26 | 2018-08-31 | 国家信息技术安全研究中心 | 一种xp中地址空间布局随机化方法及装置 |
| CN105740697A (zh) * | 2016-01-26 | 2016-07-06 | 国家信息技术安全研究中心 | 一种xp中地址空间布局随机化方法及装置 |
| CN105787368A (zh) * | 2016-02-26 | 2016-07-20 | 武汉大学 | 一种基于函数置乱的rop防御方法与装置 |
| CN106095416A (zh) * | 2016-06-01 | 2016-11-09 | 腾讯科技(深圳)有限公司 | 一种在应用程序中的跳转处理方法、装置及智能终端 |
| CN106095416B (zh) * | 2016-06-01 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 一种在应用程序中的跳转处理方法、装置及智能终端 |
| CN106874769B (zh) * | 2016-12-30 | 2019-05-24 | 腾讯科技(深圳)有限公司 | 漏洞的防御方法和装置 |
| CN106874769A (zh) * | 2016-12-30 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 漏洞的防御方法和装置 |
| CN106991324B (zh) * | 2017-03-30 | 2020-02-14 | 兴华永恒(北京)科技有限责任公司 | 一种基于内存保护类型监控的恶意代码跟踪识别方法 |
| CN106991324A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于内存保护类型监控的恶意代码跟踪识别方法 |
| CN107256358A (zh) * | 2017-07-04 | 2017-10-17 | 北京工业大学 | 工业组态监控软件执行过程动态保护方法 |
| CN110647743A (zh) * | 2018-06-26 | 2020-01-03 | 北京安天网络安全技术有限公司 | 一种恶意行为的鉴定方法、装置和存储设备 |
| CN112487434A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 一种应用软件自适应安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104217157B (zh) | 2017-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104217157A (zh) | 一种漏洞防利用方法及系统 | |
| US9117080B2 (en) | Process evaluation for malware detection in virtual machines | |
| US8272059B2 (en) | System and method for identification and blocking of malicious code for web browser script engines | |
| EP2888691B1 (en) | Data processing apparatus and method using secure domain and less secure domain | |
| US10310992B1 (en) | Mitigation of cyber attacks by pointer obfuscation | |
| AU2006210698B2 (en) | Intrusion detection for computer programs | |
| JP6189039B2 (ja) | セキュアドメインおよび低セキュアドメインを使用するデータ処理装置および方法 | |
| US8214900B1 (en) | Method and apparatus for monitoring a computer to detect operating system process manipulation | |
| EP3502944B1 (en) | Detecting script-based malware cross reference to related applications | |
| CN103907098A (zh) | 用于管理程序环境中的关键地址空间保护的系统和方法 | |
| AU2012236739A1 (en) | System and method for virtual machine monitor based anti-malware security | |
| US11042633B2 (en) | Methods for protecting software hooks, and related computer security systems and apparatus | |
| US10210349B2 (en) | Data processing apparatus and method using secure domain and less secure domain | |
| CN102882875B (zh) | 主动防御方法及装置 | |
| CN103001947A (zh) | 一种程序处理方法和系统 | |
| US10055251B1 (en) | Methods, systems, and media for injecting code into embedded devices | |
| US10025930B2 (en) | Hardware assisted branch transfer self-check mechanism | |
| CN102857519B (zh) | 主动防御系统 | |
| US20160335439A1 (en) | Method and apparatus for detecting unsteady flow in program | |
| CN103970574A (zh) | office程序的运行方法及装置、计算机系统 | |
| US9536090B2 (en) | Method of defending a computer from malware | |
| EP2867819B1 (en) | Preventing attacks on devices with multiple cpus | |
| US20220035911A1 (en) | Active signaling in response to attacks on a transformed binary | |
| Aboughadareh et al. | Detecting rootkits with the RAI runtime application inventory | |
| CN103886251A (zh) | 系统加固的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181211 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Seal Interest Technology Co., Ltd. Address before: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |