一种基于动态内存指纹异常分析的漏洞利用检测识别方法
基本信息
| 申请号 | CN201710202771.2 | 申请日 | - |
| 公开(公告)号 | CN106991328B | 公开(公告)日 | 2019-11-29 |
| 申请公布号 | CN106991328B | 申请公布日 | 2019-11-29 |
| 分类号 | G06F21/57 | 分类 | 计算;推算;计数; |
| 发明人 | 何永强;朱鲲鹏;吕承琨;卞玉捷 | 申请(专利权)人 | 兴华永恒(北京)科技有限责任公司 |
| 代理机构 | 北京慧泉知识产权代理有限公司 | 代理人 | 兴华永恒(北京)科技有限责任公司 |
| 地址 | 100094 北京市海淀区北清路68号用友软件园西区2号楼 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法,步骤如下:1、将动态链接库文件注入到目标进程中;2、申请向量化异常处理函数;3、开启数据执行保护;4、分配随机大小不可访问的内存块;5、申请内存占用HeapSpray地址;6、监控进程堆的堆块分布情况;7、对加载的模块进行重选基址;8、申请地址为0x1的不可访问属性的内存块;9、接管最终异常事件;10、劫持特定接口函数,对调用环境进行行为识别;11、劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为;12、监控内核态下对用户层地址的访问执行情况;通过以上步骤,达到了检测漏洞攻击的效果,解决了现有防护技术中流程复杂,存在滞后期,兼容性差的问题。 |
