[发明专利]一种基于动态内存指纹异常分析的漏洞利用检测识别方法有效
| 申请号: | 201710202771.2 | 申请日: | 2017-03-30 |
| 公开(公告)号: | CN106991328B | 公开(公告)日: | 2019-11-29 |
| 发明(设计)人: | 何永强;朱鲲鹏;吕承琨;卞玉捷 | 申请(专利权)人: | 兴华永恒(北京)科技有限责任公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 11232 北京慧泉知识产权代理有限公司 | 代理人: | 王顺荣;唐爱华<国际申请>=<国际公布> |
| 地址: | 100094 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法,步骤如下:1、将动态链接库文件注入到目标进程中;2、申请向量化异常处理函数;3、开启数据执行保护;4、分配随机大小不可访问的内存块;5、申请内存占用HeapSpray地址;6、监控进程堆的堆块分布情况;7、对加载的模块进行重选基址;8、申请地址为0x1的不可访问属性的内存块;9、接管最终异常事件;10、劫持特定接口函数,对调用环境进行行为识别;11、劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为;12、监控内核态下对用户层地址的访问执行情况;通过以上步骤,达到了检测漏洞攻击的效果,解决了现有防护技术中流程复杂,存在滞后期,兼容性差的问题。 | ||
| 搜索关键词: | 一种 基于 动态 内存 指纹 异常 分析 漏洞 利用 检测 识别 方法 | ||
【主权项】:
1.一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:其步骤如下:/n步骤1:将开发的动态链接库文件注入到目标进程中;/n步骤2:在目标进程中申请一个向量化异常处理函数即VEH-Vector ExceptionHandler接管异常过程;/n步骤3:开启数据执行保护即DEP-Data Execution Prevention;/n步骤4:按地址低到高顺序的分配随机大小的内存块,内存保护属性设置为不可访问;/n步骤5:申请内存占用堆喷射即heap-spray地址;/n步骤6:创建线程监控进程堆的堆块分布情况;/n步骤7:劫持动态链接库加载流程中NTDLL模块里被调用的接口函数即API-Application Programming Interface,对动态加载的特定模块进行重选基址操作;其中,所述的特定模块是指没有开启/DYNAMICBASE并带有重定位表的模块;/n步骤8:申请地址为0x1的内存块,内存保护属性设置为不可访问;/n步骤9:申请最终异常函数,接管最终异常事件;/n步骤10:劫持漏洞利用中所有使用率高的接口函数,对调用环境根据进程做异常检测并对处于漏洞利用模块黑名单的模块进行关联性的行为识别;/n其中,使用率高的接口函数是挂钩HOOK漏洞利用过程中接口函数,表示为:LoadLibraryExW,LoadLibraryExA,VirtualAllocEx,VirtualProtectEx,VirtualProtect,VirtualAlloc,WinExec和CreateFileA;/n步骤11:劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为;/n步骤12:监控内核态即ring0下,对用户层地址的访问执行情况。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于兴华永恒(北京)科技有限责任公司,未经兴华永恒(北京)科技有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710202771.2/,转载请声明来源钻瓜专利网。
