一種基于內存保護類型監控的惡意代碼跟蹤識別方法，步驟如下：1：將開發的動態鏈接庫注入到目標進程中；2：申請向量化異常處理函數接管異常，用于進行對異常段靜態分析及動態分析；3：劫持修改內存保護屬性的接口函數；4：檢測每次調用是否位于棧空間；5：判斷每次調用參數中是否包含執行屬性標志；6：針對修改內存保護屬性為可執行屬性的接口函數調用，清除可執行保護標志位；7：記錄本次接口函數調用的參數環境；8：調用原始接口函數，使程序正常運行；9：報告發現漏洞攻擊(exploit)；通過以上步驟，達到了識別漏洞攻擊過程中惡意代碼(shellcode)執行的效果，解決了現有技術保護覆蓋面積小，兼容性低的問題。

一.技術領域

本發明提供一種基于內存保護類型監控的惡意代碼跟蹤識別方法，它涉及漏洞防御，惡意代碼檢測識別方法，屬于信息安全領域。

二.背景技術

隨著電子設備的普及，計算機技術不斷發展，整個社會對于互聯網及計算機的依賴持續增長，此時信息安全已成為不容忽視的問題，而軟件漏洞的檢測識別及防御技術顯得尤為重要。根據專利申請者的統計，近年來漏洞攻擊技術中，代碼復用攻擊(code reuseattacks)占主要地位，漏洞攻擊者通常會通過攻擊虛函數表或返回地址執行系統接口函數修改惡意代碼所在內存保護屬性，而現有針對這種攻擊手段的防護方式如微軟提供的執行流保護(CFG Control Flow Guard)有下列缺點：保護覆蓋面積小，兼容性低，通常需要在應用程序編譯時開發環境提供支持，且運行于Windows10以上的高系統版本，兩種條件缺一不可，導致目前有大量的應用程序并無法使用該類保護方案。

三.發明內容

1.發明目的

本發明公開了一種基于內存保護類型監控的惡意代碼跟蹤識別方法，目的在于精確檢測出發生的漏洞攻擊技術以及惡意代碼威脅，從而快速進行相應的防御反應，保護沙箱環境所在網絡中的計算機系統的安全。

2.技術方案

本發明為一種基于內存保護類型監控的惡意代碼跟蹤識別方法，其步驟如下：

步驟1：將技術人員開發的動態鏈接庫注入到目標進程中；

步驟2：在目標進程中申請向量化異常處理函數，用于接管目標進程中所發出的異常并對該異常環境進行分析，分析流程包含以下步驟；

步驟2-1：等待當前進程發生的異常事件，過濾訪問違規之外的異常信息，并與收集的參數環境比對異常信息；

步驟2-2：如果步驟2-1比對信息成功，備份保留此段內存，并在此內存范圍內做靜態規則匹配；

步驟2-3：若靜態規則匹配失敗，則從異常發生的地址動態模擬解析并執行該段內存代碼，做動態行為分析；

步驟2-4：根據步驟2-3的返回結果，最終輸出本次的檢測結論，如果為惡意代碼，給出提示并退出執行過程；

步驟3：獲取系統指定動態鏈接庫中針對與修改內存保護屬性的接口函數地址，劫持其執行流程到技術人員開發的動態鏈接庫中；

步驟4：在保護程序的運行周期中監控所有關于此接口的調用流程，初步檢測調用的合法性，如果不合法，進入步驟9；

步驟5：通過初步的合法性檢測后，判斷參數中是否包含執行屬性標志；

步驟6：針對修改內存保護屬性為可執行屬性的接口函數調用，清除可執行保護標志位；

步驟7：記錄本次接口函數調用的參數環境；

步驟8：調用原始接口函數，使程序正常運行；

步驟9：報告發現漏洞攻擊(exploit)。

其中，步驟1中所述的“目標進程”，它是指受到本發明保護的進程。