技術領域

本發明涉及互聯網技術領域，具體涉及一種檢測Flash漏洞利用的方法和裝置。

背景技術

隨著互聯網技術的不斷發展，人們對于網絡的使用愈加頻繁，通過網絡可以進行工作、學習、生活、娛樂等多方面的事宜，給人們帶來了極大的便利。然而，人們在使用互聯網的過程中所用到的很多文件存在漏洞，這些文件的漏洞給惡意開發者以可乘之機，惡意開發者們可以利用這些文件的漏洞對打開這些文件的應用程序進行攻擊。

幾年前Java的漏洞是許多攻擊者感染操作系統的主要媒介，而目前Adobe Flash Player漏洞(以下稱為Flash漏洞)則成為了新的攻擊媒介。Flash文件是一種基于矢量的動畫文件，它們包含豐富的視頻、聲音和圖形。被廣泛的嵌入在網頁中。2015年第一季度時含有針對Flash Player播放器的惡意網頁在總體惡意網頁中占有93.3％，而到了第四季度則飆升到了99.2％。

前段時間的Hacking Team攻擊事件后，Flash又爆出了嚴重的Oday漏洞，一時間，廣大Flash用戶的安全蕩然無存，我們迫切的需要一套通用的Flash漏洞利用檢測方式，不僅能防住當前已知的漏洞攻擊，還能預防可能出現的潛在性威脅。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的檢測Flash漏洞利用的方法和裝置。

依據本發明的一個方面，提供了一種檢測Flash漏洞利用的方法，包括：

在應用程序的Flash模塊的運行過程中，監聽對Flash模塊中的指定對象進行讀寫操作的事件；

當監聽到對所述指定對象進行讀寫操作的事件時，獲取所述指定對象，判斷所述指定對象中的長度元素的值是否大于預設閾值；

是則，確定Flash模塊所運行的Flash文件中存在漏洞利用；

否則，確定Flash模塊所運行的Flash文件中不存在漏洞利用。

可選地，該方法進一步包括：

當確定Flash模塊所運行的Flash文件中存在漏洞利用時，禁止對所述指定對象進行讀寫操作的繼續執行；

當確定Flash模塊所運行的Flash文件中不存在漏洞利用時，允許對所述指定對象進行讀寫操作的繼續執行。

可選地，該方法進一步包括：在應用程序的Flash模塊運行之前，獲知Flash模塊中對所述指定對象進行讀寫操作的數據讀寫函數；

所述監聽對Flash模塊中的指定對象進行讀寫操作的事件包括：監聽所述數據讀寫函數的調用事件；

所述當監聽到對所述指定對象進行讀寫操作的事件時，獲取所述指定對象包括：當監聽到對所述數據讀寫函數進行調用的事件時，獲取所述指定對象。

可選地，所述監聽所述數據讀寫函數的調用事件包括：

在所述數據讀寫函數上掛載鉤子函數；

通過所述鉤子函數攔截指示對所述數據讀寫函數進行調用的消息，不允許所述指示對所述數據讀寫函數進行調用的消息的繼續傳遞。

可選地，所述當確定Flash模塊所運行的Flash文件中存在漏洞利用時，禁止對所述指定對象進行讀寫操作的繼續執行包括：

當確定Flash模塊所運行的Flash文件中存在漏洞利用時，通過所述鉤子函數強制結束所述指示對所述數據讀寫函數進行調用的消息的繼續傳遞。

可選地，當確定Flash模塊所運行的Flash文件中不存在漏洞利用時，允許對所述指定對象進行讀寫操作的繼續執行包括：

當確定Flash模塊所運行的Flash文件中不存在漏洞利用時，通過所述鉤子函數放行所述指示對所述數據讀寫函數進行調用的消息，使得所述指示對所述數據讀寫函數進行調用的消息繼續傳遞。

可選地，所述獲知Flash模塊中對所述指定對象進行讀寫操作的數據讀寫函數包括：

對Flash模塊進行靜態分析，根據靜態分析結果獲知Flash模塊中對所述指定對象進行讀寫操作的數據讀寫函數。

可選地，當確定Flash模塊所運行的Flash文件中存在漏洞利用時，該方法進一步包括：

將所述指定對象中的長度元素的值恢復為原始值。

可選地，所述指定對象包括：Vector對象，和/或，ByteArray對象；

所述指定對象中的長度元素包括：length元素，和/或，capacity元素。

可選地，所述應用程序包括如下一種或多種：