[发明专利]一种检测结构化异常处理攻击的方法及装置有效
| 申请号: | 201410459683.7 | 申请日: | 2014-09-10 |
| 公开(公告)号: | CN104217163B | 公开(公告)日: | 2017-04-26 |
| 发明(设计)人: | 薛小昊;刘桂峰;姚辉 | 申请(专利权)人: | 珠海市君天电子科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京市广友专利事务所有限责任公司11237 | 代理人: | 祁献民 |
| 地址: | 519070 广东省珠海市唐家*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 检测 结构 异常 处理 攻击 方法 装置 | ||
1.一种检测结构化异常处理攻击的方法,其特征在于,该方法包括:
分别在每一待监测的应用程序的进程中注入预先设置的SEH监测处理包;
运行注入的SEH监测处理包,以在所述待监测的应用程序的进程中加载所述SEH监测处理包中的VEH监测程序;
获取待监测的应用程序的进程中的每一线程,并在所述每一线程的SEH结构链表的链尾,填充所述SEH监测处理包中预先设置的标记信息;
在所述VEH监测程序获取到所述待监测的应用程序的进程中发生异常的线程后,提取所述发生异常的线程的SEH结构链表的链尾信息;
如果提取的链尾信息与所述标记信息不匹配,确定所述发生异常的线程对应的应用程序发生SEH攻击。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
按照预先设置的SEH攻击处理策略,对发生SEH攻击的线程对应的应用程序进行处理。
3.根据权利要求2所述的方法,其特征在于,所述按照预先设置的SEH攻击处理策略,对发生SEH攻击的线程对应的应用程序进行处理包括:
发送消息提醒;和/或,
对发生SEH攻击的线程对应的应用程序进行安全扫描,并对扫描结果为不安全的应用程序进行隔离;和/或,
卸载所述发生SEH攻击的线程对应的应用程序;和/或,
为所述发生SEH攻击的线程对应的应用程序设置访问权限。
4.根据权利要求1所述的方法,其特征在于,在所述注入预先设置的SEH监测处理包之前,所述方法进一步包括:
调用Windows操作系统的SetWindowsHookEx接口,设置用于监测和处理进程操作的SEH监测处理包。
5.根据权利要求1所述的方法,其特征在于,在所述注入预先设置的SEH监测处理包之前,所述方法进一步包括:
获取操作系统的根权限。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述在每一待监测的应用程序的进程中注入预先设置的SEH监测处理包包括:
在待监测的应用程序中注入预先设置的SEH监测处理包中的监测及分析防护模块,以在所述待监测的应用程序中增加所述注入的监测及分析防护模块;
监测到所述待监测的应用程序启动,以及,SEH监测处理包监测到操作系统为启动的应用程序配置进程后,在配置的进程中启动注入在所述待监测的应用程序中的所述监测及分析防护模块。
7.根据权利要求6所述的方法,其特征在于,所述在待监测的应用程序中注入预先设置的SEH监测处理包中的监测及分析防护模块包括:
将监测及分析防护模块的内存变量对应的代码写入动态链接库中,利用操作系统中的windows钩子技术,将写入动态链接库中的内存变量代码映射到所述待监测的应用程序中。
8.根据权利要求6所述的方法,其特征在于,所述在待监测的应用程序中注入预先设置的SEH监测处理包中的监测及分析防护模块包括:
将监测及分析防护模块的内存变量对应的代码写入动态链接库中,利用操作系统中的远程注入以及动态加载,将写入动态链接库中的内存变量代码映射到所述待监测的应用程序中。
9.根据权利要求1至5任一项所述的方法,其特征在于,所述进程中的每一线程对应一VEH监测程序。
10.根据权利要求1至5任一项所述的方法,其特征在于,所述标记信息为预先设置的SEHEnd()函数。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于珠海市君天电子科技有限公司,未经珠海市君天电子科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201410459683.7/1.html,转载请声明来源钻瓜专利网。
