[发明专利]一种程序内存布局信息泄露行为的检测方法

权利要求书

1.一种程序内存布局信息泄露行为的检测方法，其特征在于，包括如下步骤：

步骤一：获取目标程序及其动态链接库；

步骤二：识别与提取目标程序的安全敏感区域，所述安全敏感区域被定义为代码和能被用来推测代码布局的数据；

步骤三：确定目标程序安全敏感区域运行时的地址；

步骤四：动态管理安全敏感区域；

步骤五：程序运行时，监控输出操作，检测内存信息是否泄漏；

步骤一包括：找到受保护程序及其动态链接的共享库，并将它们的二进制文件所处的完整路径加入目标路径集合protectSet，所述protectSet集合用于存放受保护程序及其动态链接库对应的二进制文件在计算机中所处的完整路径，根据完整路径找到待分析的二进制文件；

步骤二包括：对目标路径集合protectSet包含的每个完整路径对应的二进制文件，通过分析其段表和节表得到安全敏感区域的大小和安全敏感区域相对于对应段加载位置的偏移量，将结果存放到auxiliaryInfo文件中，所述auxiliaryInfo文件用于存放protectSet集合中每个路径所对应二进制文件的安全敏感区域的大小以及安全敏感区域相对于对应段加载位置的偏移量，一条记录对应一个安全敏感区域，用于在程序加载完成后确认安全敏感区域的开始地址以及结束地址；

步骤三包括：在程序装载完成后，程序自身和装载时链接的共享库最终位置已经确定，根据anxiliaryInfo中的信息，确定相应安全敏感区域在进程地址空间中的起始地址和终止位置，将其加入到boundInfo，所述boundInfo用于存放每一个安全敏感区域在进程地址空间中的开始地址以及结束地址，用于在运行时确认程序是否访问了安全敏感区域；

步骤四包括：在程序运行过程中，对安全敏感区域进行动态管理，以更新boundInfo中的边界信息；

步骤五包括：在程序运行时，对输出操作添加钩子，检查其访问的区域是否和安全敏感区域有重合部分；若重合，则说明检测到内存布局信息泄露，终止程序的运行并提醒用户；若没有与任意一个安全敏感区域重合，程序正常运行。

2.根据权利要求1所述的一种程序内存布局信息泄露行为的检测方法，其特征在于，步骤一包括：

步骤20：初始动作；

步骤21：从集合中取出一条未经处理的目标程序或共享库的路径信息；

步骤22：判断是否得到，若得到转步骤23，否则转步骤28；

步骤23：使用ldd命令处理得到的程序；

步骤24：逐条获取ldd的分析结果，其中每条结果表示共享库的路径信息；

步骤25：判断是否得到，若得到转步骤26，否则转步骤21；

步骤26：判断分析结果是否已存在于protectSet集合中，若是，转步骤24，否则转步骤27；步骤27：将尚未加入集合的共享库路径信息添加到protectSet集合中，转到步骤24执行；

步骤28：结束状态。

3.根据权利要求1所述的一种程序内存布局信息泄露行为的检测方法，其特征在于，步骤二包括：

步骤30：初始动作；

步骤31：从protectSet集合中取出未被处理的一项；

步骤32：判断是否取到，若取到，转步骤33，否则，转步骤3c；

步骤33：对目标二进制文件进行取段表的操作；

步骤34：对目标二进制文件进行取节表的操作；

步骤35：从段表中逐一取出可装载段的段表项；

步骤36：判断是否取到，若取到，转步骤37，否则转步骤31；

步骤37：根据段表项标记的节信息，从节表中取出对应的节表项；

步骤38：判断是否取到，若取到转步骤39，否则转步骤3a；

步骤39：根据取到的节偏移信息和节大小信息记录节首尾位置相对于段的偏移信息，转步骤37；

步骤3a：将同一个段中相邻的节进行合并；

步骤3b：合并后的节信息存入auxiliaryInfo文件，转步骤35；

步骤3c：结束状态。