本發(fā)明公開了一種不可信搜索路徑漏洞的檢測方法及系統(tǒng)，該方法包括以下步驟：配置目標軟件的檢測參數(shù)；基于目標軟件所支持的文件類型，生成相應(yīng)的測試文件；逐一打開測試文件，啟動目標進程；根據(jù)打開測試文件時，所啟動的目標進程的DLL加載函數(shù)的返回值判斷是否存在不可信搜索路徑漏洞。通過該方案，提高了漏洞檢測的準確性和全面性。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，具體涉及一種不可信搜索路徑漏洞的檢測方法及系統(tǒng)。

背景技術(shù)

不可信搜索路徑漏洞是軟件漏洞的一種，該類漏洞的挖掘方法，一般是由各研究機構(gòu)的安全實驗室研究員進行人工挖掘。

比如在某文件夾DIR中存放了一個目標文件B，此時文件夾中沒有其它文件了，雙擊打開文件B，這時目標軟件啟動，來打開文件B，如果軟件啟動的時候加載動態(tài)鏈接庫abc.dll(DLL文件)，但文件夾DIR中并沒有這個動態(tài)鏈接庫文件，因此這個動態(tài)鏈接庫，沒有加載成功，軟件繼續(xù)執(zhí)行；但如果在該文件夾中存放一個和這個不存在的動態(tài)鏈接庫名字一樣的木馬文件，那么，雙擊打開目標文件的時候，就會順利的加載該木馬文件，因此，存在這種情況的軟件存在漏洞，該類漏洞就是不可信搜索路徑漏洞。

現(xiàn)階段白帽子挖掘不可信搜索路徑漏洞的流程如圖1所示，其包括以下步驟：

1)流程開始；

2)啟動進程監(jiān)控工具；

3)打開目標文件；

4)檢測目標進程在目標文件所在目錄的文件打開情況，判斷欲打開的DLL是否存在，如果不存在，則跳轉(zhuǎn)到步驟5，否則跳轉(zhuǎn)到步驟6)；

5)則可能存在不可信搜索路徑漏洞，結(jié)束；

6)基本可以排除存在不可信搜索路徑漏洞，結(jié)束。

現(xiàn)階段主要利用進程監(jiān)控工具人工判斷其是否為漏洞，由于需要人工檢測，效率低下，且容易漏看，導(dǎo)致漏洞被放過。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本發(fā)明提供了一種不可信搜索路徑漏洞的檢測方法，其特征在于，該方法包括以下步驟：

1)配置目標軟件的檢測參數(shù)；

2)基于目標軟件所支持的文件類型，生成相應(yīng)的測試文件；

3)逐一打開測試文件，啟動目標進程；

4)根據(jù)打開測試文件時，所啟動的目標進程的DLL加載函數(shù)的返回值判斷是否存在不可信搜索路徑漏洞；

5)判斷已完成全部測試文件的測試；

6)結(jié)束。

根據(jù)本發(fā)明的實施例，優(yōu)選的，所述步驟4)根據(jù)目標進程的DLL加載函數(shù)返回值判斷是否存在不可信搜索路徑漏洞具體包括：

對DLL加載函數(shù)進行監(jiān)控；

如果所述DLL加載函數(shù)返回成功值，則不存在不可信搜索路徑漏洞，跳轉(zhuǎn)到步驟6)；

如果所述DLL加載函數(shù)返回失敗值，則判斷所述DLL加載函數(shù)參數(shù)中的DLL文件是否在測試文件所在目錄，如果在則判斷存在不可信搜索路徑漏洞。

根據(jù)本發(fā)明的實施例，優(yōu)選的，所述步驟1)中，配置目標軟件的檢測參數(shù)包括：配置目標軟件所支持的文件類型，目標軟件所包含的所有exe文件。

根據(jù)本發(fā)明的實施例，優(yōu)選的，所述步驟2)中基于目標軟件所支持的文件類型，生成相應(yīng)的測試文件。

根據(jù)本發(fā)明的實施例，優(yōu)選的，所述步驟3)啟動目標進程的同時，向目標進程注入監(jiān)控DLL，所述DLL加載函數(shù)為：loadlibrary函數(shù)。