技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種漏洞防利用方法及系統(tǒng)。

背景技術(shù)

隨著微軟停止對(duì)XP系統(tǒng)的技術(shù)支持，XP系統(tǒng)用戶也將面臨各種漏洞的襲擊，其中office軟件漏洞尤為多，并且危害性極強(qiáng)。溢出漏洞是一種計(jì)算機(jī)程序的可更正性缺陷，溢出漏洞的全名為緩沖區(qū)溢出漏洞，因?yàn)樗窃诔绦驁?zhí)行的時(shí)候在緩沖區(qū)執(zhí)行的錯(cuò)誤代碼，所以叫緩沖區(qū)溢出漏洞。黑客主要利用office word的一些溢出漏洞對(duì)用戶發(fā)起攻擊，由于這種攻擊發(fā)起是通過word文檔構(gòu)造巧妙的溢出漏洞，傳送word文件實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的攻擊，對(duì)于這種漏洞本身殺軟很難通過掃描等手段檢測出來，而漏洞一旦執(zhí)行成功將會(huì)對(duì)用戶的財(cái)產(chǎn)安全造成極大的威脅。

現(xiàn)有的一些殺軟諸如卡巴斯基等，存在一些關(guān)于漏洞的靜態(tài)掃描方案，是針對(duì)特定漏洞做的特征，可以檢測到word文檔中的特征，來判定是否在利用漏洞，這種方法雖然針對(duì)性強(qiáng)，但是由于漏洞的多變性，導(dǎo)致維護(hù)成本較高，也不能及時(shí)檢測新出的溢出漏洞。

DEP(Data Execution Prevention)即“數(shù)據(jù)執(zhí)行保護(hù)”，是Windows的一項(xiàng)安全機(jī)制，主要用來防止病毒和其他安全威脅對(duì)系統(tǒng)造成破壞。微軟從Windows XP SP2引入了該技術(shù)，并一直延續(xù)到此后的Windows Server2003、Windows Server 2008中。DEP是一套軟硬件技術(shù)，能夠在內(nèi)存上執(zhí)行額外檢查以幫助防止在系統(tǒng)上運(yùn)行惡意代碼。在Microsoft Windows XP Service Pack 2、Microsoft Windows Server 2003 Service Pack 1、Microsoft Windows XP Tablet PC Edition 2005、Microsoft Windows Vista和Microsoft windows7中，由硬件和軟件一起強(qiáng)制實(shí)施DEP。

DEP的優(yōu)點(diǎn)是可以幫助防止數(shù)據(jù)頁執(zhí)行代碼。通常情況下，不從默認(rèn)堆和堆棧執(zhí)行代碼。硬件實(shí)施DEP檢測從這些位置運(yùn)行的代碼，并在發(fā)現(xiàn)執(zhí)行情況時(shí)引發(fā)異常。軟件實(shí)施DEP可幫助阻止惡意代碼利用Windows中的異常處理機(jī)制進(jìn)行破壞。

硬件實(shí)施DEP是某些DEP兼容處理器的功能，可以防止在已標(biāo)記為數(shù)據(jù)存儲(chǔ)區(qū)的內(nèi)存區(qū)域中執(zhí)行代碼。此功能也稱為非執(zhí)行和執(zhí)行保護(hù)。Windows XP SP2還包括軟件實(shí)施DEP，其目的在于減少利用Windows中的例外處理機(jī)制的情況。

與防病毒程序不同，硬件和軟件實(shí)施DEP技術(shù)的目的并不是防止在計(jì)算機(jī)上安裝有害程序。而是監(jiān)視您的已安裝程序，幫助確定它們是否正在安全地使用系統(tǒng)內(nèi)存。為監(jiān)視您的程序，硬件實(shí)施DEP將跟蹤已指定為“不可執(zhí)行”的內(nèi)存區(qū)域。如果已將內(nèi)存指定為“不可執(zhí)行”，但是某個(gè)程序試圖通過內(nèi)存執(zhí)行代碼，Windows將關(guān)閉該程序以防止惡意代碼。無論代碼是不是惡意，都會(huì)執(zhí)行此操作。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中存在的缺陷，本發(fā)明的目的是提供一種漏洞防利用方法及系統(tǒng)，該方法及系統(tǒng)能夠在漏洞利用過程中及時(shí)檢測出來，并阻止漏洞的繼續(xù)運(yùn)行。

為達(dá)到以上目的，本發(fā)明采用的技術(shù)方案是，一種漏洞防利用方法，包括以下步驟：

將漏洞防護(hù)模塊注入到要保護(hù)的進(jìn)程中；

利用漏洞防護(hù)模塊對(duì)漏洞進(jìn)行檢測；

當(dāng)檢測到有漏洞運(yùn)行時(shí)，對(duì)漏洞進(jìn)行攔截。

進(jìn)一步，通過本地配置文件和/或云端數(shù)據(jù)庫來判斷是否需要將漏洞防護(hù)模塊注入到要保護(hù)的進(jìn)程中。

進(jìn)一步，所述的漏洞防護(hù)模塊是通過DEP數(shù)據(jù)執(zhí)行保護(hù)、ALSR地址隨機(jī)化機(jī)制、ROP面向返回的編程攻擊三種防護(hù)手段實(shí)現(xiàn)對(duì)未知的漏洞進(jìn)行檢測。

進(jìn)一步，所述的漏洞防護(hù)模塊中內(nèi)置開關(guān)，通過開關(guān)操作對(duì)DEP數(shù)據(jù)執(zhí)行保護(hù)、ALSR地址隨機(jī)化機(jī)制、ROP面向返回的編程攻擊三種防護(hù)手段實(shí)現(xiàn)開啟或關(guān)閉。

進(jìn)一步，若開啟的DEP數(shù)據(jù)執(zhí)行保護(hù)、ALSR地址隨機(jī)化機(jī)制、ROP面向返回的編程攻擊三種防護(hù)手段與其他軟件發(fā)生沖突，則關(guān)閉存在沖突的防護(hù)手段。

進(jìn)一步，所述的DEP數(shù)據(jù)執(zhí)行保護(hù)是將DEP注入進(jìn)程后打開DEP，接受處理觸發(fā)的DEP異常，并且還會(huì)針對(duì)一些漏洞繞過DEP的方法進(jìn)行防護(hù)。

更進(jìn)一步，在NtVirtualProtectMemory設(shè)置了一個(gè)檢測點(diǎn)，檢測棧指針異常、堆棧執(zhí)行屬性修改，阻止漏洞繞過DEP防護(hù)。