一种基于内存保护类型监控的恶意代码跟踪识别方法
基本信息
| 申请号 | CN201710202288.4 | 申请日 | - |
| 公开(公告)号 | CN106991324B | 公开(公告)日 | 2020-02-14 |
| 申请公布号 | CN106991324B | 申请公布日 | 2020-02-14 |
| 分类号 | G06F21/56;G06F21/57 | 分类 | 计算;推算;计数; |
| 发明人 | 何永强;吕承琨;袁伟华;朱鲲鹏 | 申请(专利权)人 | 兴华永恒(北京)科技有限责任公司 |
| 代理机构 | 北京慧泉知识产权代理有限公司 | 代理人 | 兴华永恒(北京)科技有限责任公司 |
| 地址 | 100094 北京市海淀区北清路68号用友软件园西区2号楼 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 一种基于内存保护类型监控的恶意代码跟踪识别方法,步骤如下:1:将开发的动态链接库注入到目标进程中;2:申请向量化异常处理函数接管异常,用于进行对异常段静态分析及动态分析;3:劫持修改内存保护属性的接口函数;4:检测每次调用是否位于栈空间;5:判断每次调用参数中是否包含执行属性标志;6:针对修改内存保护属性为可执行属性的接口函数调用,清除可执行保护标志位;7:记录本次接口函数调用的参数环境;8:调用原始接口函数,使程序正常运行;9:报告发现漏洞攻击(exploit);通过以上步骤,达到了识别漏洞攻击过程中恶意代码(shellcode)执行的效果,解决了现有技术保护覆盖面积小,兼容性低的问题。 |
