[發明專利]一種篡改程序流攻擊的檢測方法和裝置有效
| 申請號: | 201710832391.7 | 申請日: | 2017-09-15 |
| 公開(公告)號: | CN109508536B | 公開(公告)日: | 2020-12-15 |
| 發明(設計)人: | 劉恒;程志軍;侯承舜;樊輝 | 申請(專利權)人: | 華為技術有限公司 |
| 主分類號: | G06F21/52 | 分類號: | G06F21/52 |
| 代理公司: | 北京同達信恒知識產權代理有限公司 11291 | 代理人: | 馮艷蓮 |
| 地址: | 518129 廣東*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 篡改 程序 攻擊 檢測 方法 裝置 | ||
1.一種篡改程序流攻擊的檢測方法,其特征在于,包括:
確定被檢測進程發生分支預測失敗事件時,獲取所述被檢測進程中發生時刻距離當前時刻由近及遠的N條跳轉指令;
從所述N條跳轉指令中篩選出符合預設高危條件的M條跳轉指令,N和M均為正整數,且N不小于M;
獲取所述M條跳轉指令的目標地址;
若所述M條跳轉指令的目標地址未全部包含在預設的白名單中時,確定所述被檢測進程發生篡改程序流攻擊;
所述從所述N條跳轉指令中篩選出符合預設高危條件的M條跳轉指令,包括:
將所述N條跳轉指令中的靜態跳轉指令和已經發生過的動態跳轉指令篩選出來作為所述M條跳轉指令。
2.如權利要求1所述的方法,其特征在于,所述方法還包括:
若所述M條跳轉指令的目標地址全部包含在預設的白名單中時,確定所述被檢測進程運行安全。
3.如權利要求1-2任一項所述的方法,其特征在于,所述預設的白名單由下述方式獲得:
通過靜態掃描的方式讀取可執行文件的二進制代碼,所述可執行文件是指運行后生成所述被檢測進程的文件;
利用反匯編工具從所述二進制代碼中獲取包含所有的跳轉指令;
獲取所述所有的跳轉指令中的各跳轉指令分別對應的目標地址;
保存獲取到的目標地址,從而形成白名單。
4.如權利要求3所述的方法,其特征在于,獲取所述M條跳轉指令的目標地址,包括:
針對所述M條跳轉指令中的第一跳轉指令,若所述第一跳轉指令所屬的指令類型為無條件轉移類、條件轉移類、或為調用指令類中的調用子程序類時,則將所述第一跳轉指令中包含的地址作為所述第一跳轉指令的目標地址;
若所述第一跳轉指令所屬的指令類型為調用指令類中的調用子程序與返回類,則將所述第一跳轉指令的下一條跳轉指令中包含的地址作為所述第一跳轉指令的目標地址;
其中,所述第一跳轉指令為所述M條跳轉指令中的任意一個。
5.一種篡改程序流攻擊的檢測裝置,其特征在于,包括:
第一獲取單元,用于確定被檢測進程發生分支預測失敗事件時,獲取所述被檢測進程中發生時刻距離當前時刻由近及遠的N條跳轉指令;
篩選單元,用于從所述N條跳轉指令中篩選出符合預設高危條件的M條跳轉指令,N和M均為正整數,且N不小于M;
第二獲取單元,用于獲取所述M條跳轉指令的目標地址;
確定單元,用于在所述M條跳轉指令的目標地址未全部包含在預設的白名單中時,確定所述被檢測進程發生篡改程序流攻擊;
所述篩選單元從所述N條跳轉指令中篩選出符合預設高危條件的M條跳轉指令時,具體用于:
將所述N條跳轉指令中的靜態跳轉指令和已經發生過的動態跳轉指令篩選出來作為所述M條跳轉指令。
6.如權利要求5所述的裝置,其特征在于,所述確定單元還用于:
在所述M條跳轉指令的目標地址全部包含在預設的白名單中時,確定所述被檢測進程運行安全。
7.如權利要求5-6任一項所述的裝置,其特征在于,所述裝置還包括第三獲取單元,所述預設的白名單由所述第三獲取單元由下述方式獲得:
通過靜態掃描的方式讀取可執行文件的二進制代碼,所述可執行文件是指運行后生成所述被檢測進程的文件;
利用反匯編工具從所述二進制代碼中獲取包含所有的跳轉指令;
獲取所述所有的跳轉指令中的各跳轉指令分別對應的目標地址;
保存獲取到的目標地址,從而形成白名單。
8.如權利要求7所述的裝置,其特征在于,所述第二獲取單元在獲取所述M條跳轉指令的目標地址時,具體用于:
針對所述M條跳轉指令中的第一跳轉指令,若所述第一跳轉指令所屬的指令類型為無條件轉移類、條件轉移類、或為調用指令類中的調用子程序類時,則將所述第一跳轉指令中包含的地址作為所述第一跳轉指令的目標地址;
若所述第一跳轉指令所屬的指令類型為調用指令類中的調用子程序與返回類,則將所述第一跳轉指令的下一條跳轉指令中包含的地址作為所述第一跳轉指令的目標地址;
其中,所述第一跳轉指令為所述M條跳轉指令中的任意一個。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于華為技術有限公司,未經華為技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710832391.7/1.html,轉載請聲明來源鉆瓜專利網。
