[发明专利]一种检测恶意flash文件的方法和装置无效
| 申请号: | 201210027110.8 | 申请日: | 2012-02-08 |
| 公开(公告)号: | CN102609654A | 公开(公告)日: | 2012-07-25 |
| 发明(设计)人: | 黄正 | 申请(专利权)人: | 北京百度网讯科技有限公司 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 深圳市威世博知识产权代理事务所(普通合伙) 44280 | 代理人: | 何青瓦;李庆波 |
| 地址: | 100085 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种检测恶意flash文件的方法和装置,通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,分别针对产生读内存操作的函数操作信息和产生写内存操作的函数操作信息执行不同的检测操作:对产生读内存操作的函数操作信息进行参数调用的合法性检测,对产生写内存操作的函数的有效存储空间进行喷射攻击检测,从而确定待检测flash文件是否为恶意flash文件。这种动态检测的方式自动实现恶意flash的检测,无需人工参与和维护病毒库,大大降低了维护成本,提高了覆盖率;另外,本发明中对任意的待检测flash均能够实时检测出是否恶意,不依赖于预先收集的病毒库,解决了滞后性的问题。 | ||
| 搜索关键词: | 一种 检测 恶意 flash 文件 方法 装置 | ||
【主权项】:
一种检测恶意flash文件的方法,其特征在于,该方法包括由以下步骤构成的动态检测流程:A1、通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息,其中shellcode为利用特定漏洞的代码或填充数据;A2、判断收集到的产生shellcode的操作信息,如果是产生读内存操作的函数操作信息,则执行步骤A3;如果是产生写内存操作的函数操作信息,则执行步骤A4;A3、对产生读内存操作的函数操作信息进行参数调用的合法性检测,如果不合法,则确定所述待检测flash文件为恶意flash文件,结束对所述待检测flash文件的检测流程;A4、对产生写内存操作的函数的有效存储空间进行喷射攻击检测,如果检测到的喷射攻击特性满足预设的喷射攻击特性要求,则确定所述待检测flash文件为恶意flash文件。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京百度网讯科技有限公司,未经北京百度网讯科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210027110.8/,转载请声明来源钻瓜专利网。
- 上一篇:一种锥形弹簧调控双味液态调料器皿
- 下一篇:一种轴向位移传感器
