[发明专利]一种检测恶意flash文件的方法和装置

说明书

【技术领域】

本发明涉及计算机安全技术领域，特别涉及一种检测恶意flash文件的方法和装置。

【背景技术】

随着计算机技术的不断发展，计算机网络已经成为人们获取信息的主要工具，随之而来的是对计算机安全技术需求的不断提高。计算机病毒、木马、间谍软件和恶意代码是近几年来计算机网络面对的主要安全威胁，其中恶意flash文件中挂马是近期流行的挂马方式，即通过flash文件进行木马的传播。

现有检测恶意flash文件的方式是采用基于静态特征的静态检测技术，杀毒软件厂商预先通过客户端监控浏览器的异常代码执行，收集相关可疑flash文件，由病毒分析师分析确定其恶意性，如果为恶意flash则将该恶意flash的特征更新至病毒库，杀毒软件客户端利用病毒库实时监控flash文件的加载，通过将加载flash文件的特征在病毒库中进行匹配来检测恶意flash文件。

然而上述检测恶意flash文件的方式具备以下缺陷：

1)需要由病毒分析师分析确定其恶意性，即人工维护一个庞大的病毒库，维护成本较高。

2)恶意flash文件的检出率取决于病毒分析师预先分析出的恶意flash文件的收集覆盖率，覆盖率较低。

3)恶意flash文件的检出是依靠对浏览器的异常代码执行预先收集的，具有明显的滞后性，对于新出现的恶意flash特征则无法实时检测出。

【发明内容】

本发明提供了一种检测恶意flash文件的方法和装置，以便于降低人工维护成本，解决检测恶意flash文件的滞后性问题。

具体技术方案如下：

一种检测恶意flash文件的方法，该方法包括由以下步骤构成的动态检测流程：

A1、通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息，其中shellcode为利用特定漏洞的代码或填充数据；

A2、判断收集到的产生shellcode的操作信息，如果是产生读内存操作的函数操作信息，则执行步骤A3；如果是产生写内存操作的函数操作信息，则执行步骤A4；

A3、对产生读内存操作的函数操作信息进行参数调用的合法性检测，如果不合法，则确定所述待检测flash文件为恶意flash文件，结束对所述待检测flash文件的检测流程；

A4、对产生写内存操作的函数的有效存储空间进行喷射攻击检测，如果检测到的喷射攻击特性满足预设的喷射攻击特性要求，则确定所述待检测flash文件为恶意flash文件。

根据本发明一优选实施例，在所述步骤A1之前还包括：A0：新建浏览器IE控件进程，对可能产生shellcode的操作的函数挂函数钩子，并获取对待检测flash文件进行反编译后得到的源码；

所述步骤A1包括：读取所述源码，通过已挂的函数钩子收集产生shellcode的操作信息。

根据本发明一优选实施例，所述产生读内存操作的函数操作信息包括：Date对象创建信息或者Number对象创建信息；

所述产生写内存操作的函数操作信息包括：ByteArray对象操作信息或者String对象操作信息。

根据本发明一优选实施例，在步骤A3中所述对产生读内存操作的函数操作信息进行参数调用的合法性检测包括：

判断产生读内存操作的参数和返回值是否存在内存地址与内存地址所存储值的关系，如果是，则确定参数调用不合法。

根据本发明一优选实施例，在所述步骤A3中如果所述合法性检测的结果为合法，则转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。

根据本发明一优选实施例，在步骤A4中所述对产生写内存操作的函数的有效存储空间进行喷射攻击检测具体包括：

判断所述产生写内存操作的函数的有效存储空间长度是否超过预设的阈值，如果是，对所述产生写内存操作的函数的有效存储空间进行喷射攻击检测；否则，转至所述步骤A1针对待检测flash文件继续收集产生shellcode的操作信息。

根据本发明一优选实施例，所述喷射攻击检测具体包括：

反编译所述产生写内存操作的函数的有效存储空间并模拟执行，如果顺利执行，或者执行过程中不操作高地址内存，或者所述有效存储空间内容的重复性满足预设重复性要求，则确定检测到喷射攻击特性。

根据本发明一优选实施例，步骤A4中所述如果检测到的喷射攻击特性满足预设的喷射攻击特性要求，则确定所述待检测flash文件为恶意flash文件为：