[发明专利]一种检测Flash漏洞利用的方法和装置

说明书

技术领域

本发明涉及互联网技术领域，具体涉及一种检测Flash漏洞利用的方法和装置。

背景技术

随着互联网技术的不断发展，人们对于网络的使用愈加频繁，通过网络可以进行工作、学习、生活、娱乐等多方面的事宜，给人们带来了极大的便利。然而，人们在使用互联网的过程中所用到的很多文件存在漏洞，这些文件的漏洞给恶意开发者以可乘之机，恶意开发者们可以利用这些文件的漏洞对打开这些文件的应用程序进行攻击。

几年前Java的漏洞是许多攻击者感染操作系统的主要媒介，而目前Adobe Flash Player漏洞(以下称为Flash漏洞)则成为了新的攻击媒介。Flash文件是一种基于矢量的动画文件，它们包含丰富的视频、声音和图形。被广泛的嵌入在网页中。2015年第一季度时含有针对Flash Player播放器的恶意网页在总体恶意网页中占有93.3％，而到了第四季度则飙升到了99.2％。

前段时间的Hacking Team攻击事件后，Flash又爆出了严重的Oday漏洞，一时间，广大Flash用户的安全荡然无存，我们迫切的需要一套通用的Flash漏洞利用检测方式，不仅能防住当前已知的漏洞攻击，还能预防可能出现的潜在性威胁。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的检测Flash漏洞利用的方法和装置。

依据本发明的一个方面，提供了一种检测Flash漏洞利用的方法，包括：

在应用程序的Flash模块的运行过程中，监听对Flash模块中的指定对象进行读写操作的事件；

当监听到对所述指定对象进行读写操作的事件时，获取所述指定对象，判断所述指定对象中的长度元素的值是否大于预设阈值；

是则，确定Flash模块所运行的Flash文件中存在漏洞利用；

否则，确定Flash模块所运行的Flash文件中不存在漏洞利用。

可选地，该方法进一步包括：

当确定Flash模块所运行的Flash文件中存在漏洞利用时，禁止对所述指定对象进行读写操作的继续执行；

当确定Flash模块所运行的Flash文件中不存在漏洞利用时，允许对所述指定对象进行读写操作的继续执行。

可选地，该方法进一步包括：在应用程序的Flash模块运行之前，获知Flash模块中对所述指定对象进行读写操作的数据读写函数；

所述监听对Flash模块中的指定对象进行读写操作的事件包括：监听所述数据读写函数的调用事件；

所述当监听到对所述指定对象进行读写操作的事件时，获取所述指定对象包括：当监听到对所述数据读写函数进行调用的事件时，获取所述指定对象。

可选地，所述监听所述数据读写函数的调用事件包括：

在所述数据读写函数上挂载钩子函数；

通过所述钩子函数拦截指示对所述数据读写函数进行调用的消息，不允许所述指示对所述数据读写函数进行调用的消息的继续传递。

可选地，所述当确定Flash模块所运行的Flash文件中存在漏洞利用时，禁止对所述指定对象进行读写操作的继续执行包括：

当确定Flash模块所运行的Flash文件中存在漏洞利用时，通过所述钩子函数强制结束所述指示对所述数据读写函数进行调用的消息的继续传递。

可选地，当确定Flash模块所运行的Flash文件中不存在漏洞利用时，允许对所述指定对象进行读写操作的继续执行包括：

当确定Flash模块所运行的Flash文件中不存在漏洞利用时，通过所述钩子函数放行所述指示对所述数据读写函数进行调用的消息，使得所述指示对所述数据读写函数进行调用的消息继续传递。

可选地，所述获知Flash模块中对所述指定对象进行读写操作的数据读写函数包括：

对Flash模块进行静态分析，根据静态分析结果获知Flash模块中对所述指定对象进行读写操作的数据读写函数。

可选地，当确定Flash模块所运行的Flash文件中存在漏洞利用时，该方法进一步包括：

将所述指定对象中的长度元素的值恢复为原始值。

可选地，所述指定对象包括：Vector对象，和/或，ByteArray对象；

所述指定对象中的长度元素包括：length元素，和/或，capacity元素。

可选地，所述应用程序包括如下一种或多种：