CN106991324B - 一种基于内存保护类型监控的恶意代码跟踪识别方法 - Google Patents

一种基于内存保护类型监控的恶意代码跟踪识别方法 Download PDF

Info

Publication number
CN106991324B
CN106991324B CN201710202288.4A CN201710202288A CN106991324B CN 106991324 B CN106991324 B CN 106991324B CN 201710202288 A CN201710202288 A CN 201710202288A CN 106991324 B CN106991324 B CN 106991324B
Authority
CN
China
Prior art keywords
memory
interface function
address
attribute
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710202288.4A
Other languages
English (en)
Other versions
CN106991324A (zh
Inventor
何永强
吕承琨
袁伟华
朱鲲鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinghua Yongheng (beijing) Science And Technology Co Ltd
Original Assignee
Xinghua Yongheng (beijing) Science And Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinghua Yongheng (beijing) Science And Technology Co Ltd filed Critical Xinghua Yongheng (beijing) Science And Technology Co Ltd
Priority to CN201710202288.4A priority Critical patent/CN106991324B/zh
Publication of CN106991324A publication Critical patent/CN106991324A/zh
Application granted granted Critical
Publication of CN106991324B publication Critical patent/CN106991324B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

一种基于内存保护类型监控的恶意代码跟踪识别方法,步骤如下:1:将开发的动态链接库注入到目标进程中;2:申请向量化异常处理函数接管异常,用于进行对异常段静态分析及动态分析;3:劫持修改内存保护属性的接口函数;4:检测每次调用是否位于栈空间;5:判断每次调用参数中是否包含执行属性标志;6:针对修改内存保护属性为可执行属性的接口函数调用,清除可执行保护标志位;7:记录本次接口函数调用的参数环境;8:调用原始接口函数,使程序正常运行;9:报告发现漏洞攻击(exploit);通过以上步骤,达到了识别漏洞攻击过程中恶意代码(shellcode)执行的效果,解决了现有技术保护覆盖面积小,兼容性低的问题。

Description

一种基于内存保护类型监控的恶意代码跟踪识别方法
一.技术领域
本发明提供一种基于内存保护类型监控的恶意代码跟踪识别方法,它涉及漏洞防御,恶意代码检测识别方法,属于信息安全领域。
二.背景技术
随着电子设备的普及,计算机技术不断发展,整个社会对于互联网及计算机的依赖持续增长,此时信息安全已成为不容忽视的问题,而软件漏洞的检测识别及防御技术显得尤为重要。根据专利申请者的统计,近年来漏洞攻击技术中,代码复用攻击(code reuseattacks)占主要地位,漏洞攻击者通常会通过攻击虚函数表或返回地址执行系统接口函数修改恶意代码所在内存保护属性,而现有针对这种攻击手段的防护方式如微软提供的执行流保护(CFG Control Flow Guard)有下列缺点:保护覆盖面积小,兼容性低,通常需要在应用程序编译时开发环境提供支持,且运行于Windows10以上的高系统版本,两种条件缺一不可,导致目前有大量的应用程序并无法使用该类保护方案。
三.发明内容
1.发明目的
本发明公开了一种基于内存保护类型监控的恶意代码跟踪识别方法,目的在于精确检测出发生的漏洞攻击技术以及恶意代码威胁,从而快速进行相应的防御反应,保护沙箱环境所在网络中的计算机系统的安全。
2.技术方案
本发明为一种基于内存保护类型监控的恶意代码跟踪识别方法,其步骤如下:
步骤1:将技术人员开发的动态链接库注入到目标进程中;
步骤2:在目标进程中申请向量化异常处理函数,用于接管目标进程中所发出的异常并对该异常环境进行分析,分析流程包含以下步骤;
步骤2-1:等待当前进程发生的异常事件,过滤访问违规之外的异常信息,并与收集的参数环境比对异常信息;
步骤2-2:如果步骤2-1比对信息成功,备份保留此段内存,并在此内存范围内做静态规则匹配;
步骤2-3:若静态规则匹配失败,则从异常发生的地址动态模拟解析并执行该段内存代码,做动态行为分析;
步骤2-4:根据步骤2-3的返回结果,最终输出本次的检测结论,如果为恶意代码,给出提示并退出执行过程;
步骤3:获取系统指定动态链接库中针对与修改内存保护属性的接口函数地址,劫持其执行流程到技术人员开发的动态链接库中;
步骤4:在保护程序的运行周期中监控所有关于此接口的调用流程,初步检测调用的合法性,如果不合法,进入步骤9;
步骤5:通过初步的合法性检测后,判断参数中是否包含执行属性标志;
步骤6:针对修改内存保护属性为可执行属性的接口函数调用,清除可执行保护标志位;
步骤7:记录本次接口函数调用的参数环境;
步骤8:调用原始接口函数,使程序正常运行;
步骤9:报告发现漏洞攻击(exploit)。
其中,步骤1中所述的“目标进程”,它是指受到本发明保护的进程。
其中,步骤1中所述的“将技术人员开发的动态链接库注入到目标进程中”,其作法如下:其中的注入方法是本领域的常见技术。
其中,步骤2中所述的“在目标进程中申请向量化异常处理函数,用于接管目标进程中所发出的异常”,其作法如下:调用操作系统接口函数AddVectoredExceptionHandler,注册一个处理函数,用于处理进程中发生的异常中断。
其中,步骤2-1中所述的“等待当前进程发生的异常事件,过滤访问违规之外的异常信息,并与收集的参数环境比对异常信息”,其作法如下:当进程环境发生异常中断后,会被步骤2中申请的向量化异常处理函数所接管,过滤掉ExceptionCode为STATUS_ACCESS_VIOLATION之外的异常消息,将其发生异常的地址(ExceptionAddress)同步骤7中记录的信息做对比,判断这次异常发生的地址是否位于记录的区间中。
其中,步骤2-2、步骤2-3中所述的“静态规则匹配”,它是指符合恶意代码(SHELLCODE)形态的指令模式匹配。
其中,步骤2-2中所述的“如果步骤2-1比对信息成功,备份保留此段内存,并在此内存范围内做静态规则匹配”,其作法如下:如果异常发生的地址位于记录的数据区间中,保留(dump)本段内存到本地,并对该段内存数据进行符合恶意代码(shellcode)模式的静态搜索,其中的搜索方法是本领域的常见技术,其中的dump方法是本领域的常见技术。
其中,步骤2-3中所述的“若静态规则匹配失败,则从异常发生的地址动态模拟解析并执行该段内存代码,做动态行为分析”,其作法如下:动态模块将步骤2-1中dump下来的数据块载入内存中,从异常发生地址处偏移建立执行流程,记录其对系统接口函数的访问情况,是否存在动态获取系统接口函数地址并执行敏感接口函数的行为。
其中,步骤3中所述的“获取系统指定动态链接库中针对与修改内存保护属性的接口函数地址,劫持其执行流程到技术人员开发的动态链接库中”,其作法如下:获取NTDLL模块中,ZwProtectVirtualMemory接口函数的地址,HOOK其执行流程。其中HOOK方法是本领域的常见技术。
其中,步骤4中所述的“在保护程序的运行周期中监控所有关于此接口的调用流程,初步检测调用的合法性”,其做法如下:检测要改变保护属性的内存基址是否位于当前线程信息块中所保存的栈地址的起始范围内。
其中,步骤5中所述的“判断参数中是否包含执行属性标志”,其做法如下:检测本次ZwProtectVirtualMemory调用参数的NewAccessProtection中是否包含执行标志。
其中,步骤6中所述的“清除可执行保护标志位”,其作法如下:该方法是本领域的常见技术。
其中,步骤7中所述的“记录本次接口函数调用的参数环境”,其作法如下:记录NTDLL模块中,NewZwProtectVirtualMemory接口函数调用时的BaseAddress参数,NumberOfBytesToProtect参数,OldAccessProtection参数。
其中,步骤8中所述的“调用原始接口函数,使程序正常运行”,其做法如下:该方法是本领域的常见技术。
通过以上步骤,本发明达到了识别漏洞攻击过程中恶意代码(shellcode)执行的效果,解决了现有技术保护覆盖面积小,兼容性低的问题。
3.优点
本发明通过劫持修改内存保护属性的系统接口函数,判断调用参数是否位于栈地址空间,并记录包含可执行属性的调用参数,清除可执行标志位,导致受保护的应用程序因任何原因跳转,执行到属性修改过的内存块时,对于异常的地址进行向高地址反汇编,并根据反汇编结果进行的静态扫描及加载异常内存块,模拟执行的动态行为进行漏洞攻击,恶意代码的识别判断。
针对目前常见的漏洞攻击利用手段,通过攻击虚函数表,调用修改内存属性的接口函数修改通过脚本所布置的恶意代码段所在的内存属性,并通过攻击虚表劫持中央处理器(CPU)的指令指针寄存器执行到恶意代码等代码复用攻击(code reuse attacks),目前操作系统拥有的漏洞保护方案:地址空间布局随机化,数据执行保护通常无法检测,而与WINDOWS 10操作系统上才默认开启,由微软提供的执行流保护(CFG Control Flow Guard)这一保护方案相比,本发明有以下优点:保护覆盖面积广,兼容性高,执行流保护只能被WINDOWS最新版本所支持,并且需要在编译时开启这一保护方案,而非最新操作系统或者受保护程序在编译时没有开启这一保护策略,则无法使用这种保护,导致市面上大多数的软件不支持这种防护方式,而本发明不存在这种问题,可以在保证准确度的前提下保护并支持基本上所有的应用程序。
四.附图说明
图1是本发明所述方法流程示意图。
图2是本发明方法的异常处理流程示意图。
五.具体实施方式:
本发明通过劫持修改内存保护属性的系统接口函数,收集记录包含可执行属性的调用参数,做清除可执行标志位处理,通过监控异常的方式来拦截目标代码的执行,通过静态规则及动态模拟执行的方式高效准确的识别漏洞攻击及恶意代码。
参见图1,为本发明所述方法流程示意图,具体流程包括:
步骤S101:将本发明的保护模块注入到目标进程中。
步骤S102:在受保护的目标进程中申请向量化异常处理函数,用于接管该进程在运行中所引发的异常中断,处理分析异常环境,其处理过程见参考图2,分为S201-S210 10个步骤,如下:
步骤S201:进程运行期间发出异常中断,并被向量化异常处理所拦截。
步骤S202:判定步骤S201所发生的异常中断信息,是否为关注的异常行为,即“访问违规”异常(MEMORY ACCESS VIOLATION OCCURRED),对于其他原因所发出的异常中断,此处不做处理,并将异常正常下发步骤S209。
步骤S203:对于步骤S202所过滤下的异常中断信息,判断其异常中断地址(Exception-address)是否位于数据容器内,对于非该范围内的异常地址,执行步骤S209。
步骤S204:将异常发生的内存基地址开始,地址大小范围内的内存备份复制下来,并记录异常发生地址对于这段内存的偏移地址。
步骤S205:从异常发生的地址开始向下反汇编,将数据交由S206处理。
步骤S206:对于反汇编后的代码,对其进行静态特征代码块扫描识别,对识别到特殊恶意指令块的操作,报告漏洞攻击行为步骤S210。
步骤S207:如静态模块扫描识别没有危险特征,进行动态模拟执行操作,并将结果传递给步骤S208进行行为分析。
步骤S208:分析该异常代码段的行为结果,如果命中动态特征规则,则报告漏洞攻击,执行步骤S210,否则执行步骤S09。
步骤S209:本次异常检测结束,检测结果为非漏洞攻击。
步骤S210:报告当前进程中发现漏洞攻击(exploit)。
步骤S103:劫持修改内存属性的系统应用程序编程接口(ApplicationProgramming Interface),在漏洞攻击过程中,该函数常用于修改目标即恶意代码(SHELLCODE)所在内存段的内存属性,劫持该接口函数用于实现初步漏洞攻击判定及特定信息参数的收集。
步骤S104:用于判断进程是否存在通过该接口函数修改线程栈所在内存的内存属性行为,如果修改保护属性的内存的地址位于栈地址空间中,报告漏洞攻击,执行步骤S109。
步骤S105:判定该次调用的参数是否带有可执行标记位,即是否要将目标内存设置为带有可执行属性的内存,此处过滤不带有可执行标志位的调用,返回执行原始接口函数步骤S108。
步骤S106:通过步骤S105的处理部分,即说明本次接口函数的调用参数中带有可执行标记位,将原始的可执行标志位取消掉。
步骤S107:收集本次调用的参数环境信息,并加入由保护模块维护的数据容器中。
步骤S108:内存设置完毕,调用原始函数不打断进程的正常执行流程,并等待该进程所发出的异常中断信息。
步骤S109:报告当前进程中发现漏洞攻击(exploit)。

Claims (9)

1.一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:其步骤如下:
步骤1:将技术人员开发的动态链接库注入到目标进程中;
步骤2:在目标进程中申请向量化异常处理函数,用于接管目标进程中所发出的异常并对该异常环境进行分析,分析流程包含以下步骤;
步骤2-1:等待当前进程发生的异常事件,过滤访问违规之外的异常信息,并与收集的参数环境比对异常信息;
步骤2-2:如果步骤2-1比对信息成功,备份保留此段内存,并在此内存范围内做静态规则匹配;
步骤2-3:若静态规则匹配失败,则从异常发生的地址动态模拟解析并执行该段内存代码,做动态行为分析;
步骤2-4:根据步骤2-3的返回结果,最终输出本次的检测结论,如果为恶意代码,给出提示并退出执行过程;
步骤3:获取系统指定动态链接库中针对与修改内存保护属性的接口函数地址,劫持其执行流程到技术人员开发的动态链接库中;
步骤4:在保护程序的运行周期中监控所有关于此接口的调用流程,初步检测调用的合法性,如果不合法,进入步骤9;
步骤5:通过初步的合法性检测后,判断参数中是否包含执行属性标志;
步骤6:针对修改内存保护属性为可执行属性的接口函数调用,清除可执行属性标志;
步骤7:记录本次接口函数调用的参数环境;
步骤8:调用原始接口函数,使程序正常运行;
步骤9:报告发现漏洞攻击即exploit;
在步骤2-2中所述的“如果步骤2-1比对信息成功,备份保留此段内存,并在此内存范围内做静态规则匹配”,其作法如下:如果异常发生的地址位于记录的数据区间中,保留即dump本段内存到本地,并对该段内存数据进行符合恶意代码即shellcode模式的静态搜索。
2.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤1中所述的“目标进程”,它是指受到保护的进程。
3.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤2中所述的“在目标进程中申请向量化异常处理函数,用于接管目标进程中所发出的异常”,其作法如下:调用操作系统接口函数AddVectoredExceptionHandler,注册一个处理函数,用于处理进程中发生的异常中断。
4.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤2-1中所述的“等待当前进程发生的异常事件,过滤访问违规之外的异常信息,并与收集的参数环境比对异常信息”,其作法如下:当进程环境发生异常中断后,会被步骤2中申请的向量化异常处理函数所接管,过滤掉ExceptionCode为STATUS_ACCESS_VIOLATION之外的异常消息,将其发生异常的地址即ExceptionAddress同步骤7中记录的信息做对比,判断这次异常发生的地址是否位于记录的数据区间中。
5.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤2-3中所述的“若静态规则匹配失败,则从异常发生的地址动态模拟解析并执行该段内存代码,做动态行为分析”,其作法如下:动态模块将步骤2-2中dump下来的数据块载入内存中,从异常发生地址处偏移建立执行流程,记录其对系统接口函数的访问情况,是否存在动态获取系统接口函数地址并执行敏感接口函数的行为。
6.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤3中所述的“获取系统指定动态链接库中针对与修改内存保护属性的接口函数地址,劫持其执行流程到技术人员开发的动态链接库中”,其作法如下:获取NTDLL模块中,ZwProtectVirtualMemory接口函数的地址,HOOK其执行流程。
7.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤4中所述的“在保护程序的运行周期中监控所有关于此接口的调用流程,初步检测调用的合法性”,其做法如下:检测要改变保护属性的内存基址是否位于当前线程信息块中所保存的栈地址的起始范围内。
8.根据权利要求6所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤5中所述的“判断参数中是否包含执行属性标志”,其做法如下:检测本次ZwProtectVirtualMemory调用参数的NewAccessProtection中是否包含执行属性标志。
9.根据权利要求6所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤7中所述的“记录本次接口函数调用的参数环境”,其作法如下:记录NTDLL模块中,ZwProtectVirtualMemory接口函数调用时的BaseAddress参数,NumberOfBytesToProtect参数,OldAccessProtection参数。
CN201710202288.4A 2017-03-30 2017-03-30 一种基于内存保护类型监控的恶意代码跟踪识别方法 Active CN106991324B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710202288.4A CN106991324B (zh) 2017-03-30 2017-03-30 一种基于内存保护类型监控的恶意代码跟踪识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710202288.4A CN106991324B (zh) 2017-03-30 2017-03-30 一种基于内存保护类型监控的恶意代码跟踪识别方法

Publications (2)

Publication Number Publication Date
CN106991324A CN106991324A (zh) 2017-07-28
CN106991324B true CN106991324B (zh) 2020-02-14

Family

ID=59412289

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710202288.4A Active CN106991324B (zh) 2017-03-30 2017-03-30 一种基于内存保护类型监控的恶意代码跟踪识别方法

Country Status (1)

Country Link
CN (1) CN106991324B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108446149B (zh) * 2018-02-28 2021-07-20 北京凌宇智控科技有限公司 一种第三方动态库接口拦截方法及系统
CN108846287A (zh) * 2018-06-26 2018-11-20 北京奇安信科技有限公司 一种检测漏洞攻击的方法及装置
CN108628699B (zh) * 2018-05-11 2021-10-19 简式国际汽车设计(北京)有限公司 一种基于ecc的flash数据异常处理方法及装置
CN109190372B (zh) * 2018-07-09 2021-11-12 四川大学 一种基于字节码的JavaScript恶意代码检测方法
CN110737891A (zh) * 2018-07-19 2020-01-31 北京京东金融科技控股有限公司 一种主机入侵检测方法和装置
CN112241529B (zh) * 2019-07-16 2024-03-29 腾讯科技(深圳)有限公司 恶意代码检测方法、装置、存储介质和计算机设备
US20210026969A1 (en) * 2019-07-23 2021-01-28 Chameleonx Ltd Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events
CN112395149B (zh) * 2019-08-15 2023-01-06 奇安信安全技术(珠海)有限公司 脚本行为的识别方法及装置、存储介质、计算机设备
CN110610086B (zh) * 2019-08-30 2021-06-18 北京卓识网安技术股份有限公司 非法代码识别方法、系统、装置及存储介质
CN112632531A (zh) * 2020-12-15 2021-04-09 平安科技(深圳)有限公司 恶意代码的识别方法、装置、计算机设备及介质
CN113569244B (zh) * 2021-09-18 2021-12-03 成都数默科技有限公司 一种基于处理器跟踪的内存恶意代码检测方法
CN114398192B (zh) * 2021-12-29 2023-05-05 安芯网盾(北京)科技有限公司 一种检测绕过Windows控制流防护CFG的方法及装置
CN114741694B (zh) * 2022-03-07 2023-03-10 安芯网盾(北京)科技有限公司 一种检测shellcode执行的方法、装置、设备及存储介质
CN115688109B (zh) * 2023-01-04 2023-03-28 杭州云缔盟科技有限公司 一种基于恶意代码检测报警系统的恶意代码检测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101615238A (zh) * 2009-07-28 2009-12-30 南京大学 基于二进制的内存篡改攻击的检测和漏洞定位系统
CN104217157A (zh) * 2014-07-31 2014-12-17 珠海市君天电子科技有限公司 一种漏洞防利用方法及系统
CN104899157A (zh) * 2015-05-28 2015-09-09 北京北信源软件股份有限公司 一种内存溢出检测方法和系统
CN106295354A (zh) * 2016-08-08 2017-01-04 中国科学院信息工程研究所 一种Android系统堆溢出漏洞验证方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9117072B2 (en) * 2012-10-28 2015-08-25 Google Inc. Software exploit detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101615238A (zh) * 2009-07-28 2009-12-30 南京大学 基于二进制的内存篡改攻击的检测和漏洞定位系统
CN104217157A (zh) * 2014-07-31 2014-12-17 珠海市君天电子科技有限公司 一种漏洞防利用方法及系统
CN104899157A (zh) * 2015-05-28 2015-09-09 北京北信源软件股份有限公司 一种内存溢出检测方法和系统
CN106295354A (zh) * 2016-08-08 2017-01-04 中国科学院信息工程研究所 一种Android系统堆溢出漏洞验证方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Linux平台下软件溢出漏洞攻击阻断工具的研究与实现;刘令;《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》;20160815(第08期);第I138-183页 *

Also Published As

Publication number Publication date
CN106991324A (zh) 2017-07-28

Similar Documents

Publication Publication Date Title
CN106991324B (zh) 一种基于内存保护类型监控的恶意代码跟踪识别方法
KR102307534B1 (ko) 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들
RU2698776C2 (ru) Способ ведения базы данных и соответствующий сервер
AU2006210698B2 (en) Intrusion detection for computer programs
KR101174751B1 (ko) 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법
EP3039608B1 (en) Hardware and software execution profiling
US8627478B2 (en) Method and apparatus for inspecting non-portable executable files
JP4518564B2 (ja) 不正コード実行の防止方法、不正コード実行の防止用プログラム、及び不正コード実行の防止用プログラムの記録媒体
CN107330328B (zh) 防御病毒攻击的方法、装置及服务器
CN101408917A (zh) 应用程序行为合法性检测方法及系统
CN110647748B (zh) 一种基于硬件特性的代码复用攻击检测系统及方法
CN101599113A (zh) 驱动型恶意软件防御方法和装置
KR100745640B1 (ko) 커널 메모리를 보호하는 방법 및 그 장치
CN115840940A (zh) 一种无文件木马检测方法、系统、介质及设备
CN110717181B (zh) 基于新型程序依赖图的非控制数据攻击检测方法及装置
KR100745639B1 (ko) 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치
WO2020040983A1 (en) Active testing of access control policy
KR100666562B1 (ko) 커널 드라이버 및 프로세스 보호 방법
JP4643201B2 (ja) バッファオーバーフロー脆弱性分析方法、データ処理装置、分析情報提供装置、分析情報抽出処理用プログラムおよび分析情報提供処理用プログラム
CN111538986A (zh) 一种基于调用栈轨迹进行动态度量计算机可信状态装置及其方法
CN114866355B (zh) 一种报文流转发方法、装置、计算机设备
Wang et al. IRePf: An Instruction Reorganization Virtual Platform for Kernel Stack Overflow Detection
JP6594213B2 (ja) 制御装置およびプログラム
CN117574366A (zh) 一种基于应用层函数系统调用集的智能主动软件防护方法
CN115730308A (zh) 一种基于内存检查的运行时防护方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant