[發明專利]攻擊代碼檢測方法、裝置、電子設備、程序和存儲介質在審
| 申請號: | 202011540159.4 | 申請日: | 2020-12-23 |
| 公開(公告)號: | CN114662098A | 公開(公告)日: | 2022-06-24 |
| 發明(設計)人: | 徐榮維;王健;齊向東;吳云坤 | 申請(專利權)人: | 網神信息技術(北京)股份有限公司;奇安信科技集團股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京路浩知識產權代理有限公司 11002 | 代理人: | 苗曉靜 |
| 地址: | 100044 北京市西*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 攻擊 代碼 檢測 方法 裝置 電子設備 程序 存儲 介質 | ||
1.一種攻擊代碼檢測方法,其特征在于,包括:
獲取調用函數的返回地址;其中,所述調用函數為被系統的目標進程調用的函數;
若所述返回地址不屬于系統配置地址,則所述系統中存在攻擊代碼;所述系統配置地址為目標進程加載的可執行文件的代碼段地址。
2.根據權利要求1所述的攻擊代碼檢測方法,其特征在于,在獲取調用函數的返回地址之前,所述方法還包括:
獲取監測函數是否被調用的監測信息;其中,所述監測函數根據攻擊代碼對函數的歷史調用信息確定;
若所述監測信息為監測函數被調用,則將調用所述監測函數的進程作為所述目標進程。
3.根據權利要求1所述的攻擊代碼檢測方法,其特征在于,所述獲取調用函數的返回地址,包括:
從內核中獲取所述調用函數的函數棧幀,和/或從應用層獲取所述調用函數的函數棧幀;
根據調用函數的函數棧幀獲取所述返回地址。
4.根據權利要求3所述的攻擊代碼檢測方法,其特征在于,所述從內核中獲取所述調用函數的函數棧幀,包括:
從內核棧中獲取所述目標進程陷入內核時,保存在內核棧中的用戶態上下文結構;
根據所述用戶態上下文結構確定所述目標進程棧范圍內首個函數棧幀的基地址,作為第一基地址;
自所述第一基地址開始獲取所述目標進程棧范圍內的每一函數棧幀,得到所述調用函數的函數棧幀。
5.根據權利要求3所述的攻擊代碼檢測方法,其特征在于,所述從應用層獲取所述調用函數的函數棧幀,包括:
從應用層的用戶棧中獲取所述目標進程棧范圍內首個函數棧幀的基地址,作為第二基地址;
自所述第二基地址開始獲取所述目標進程棧范圍內的每一函數棧幀,得到所述調用函數的函數棧幀。
6.根據權利要求1所述的攻擊代碼檢測方法,其特征在于,在所述返回地址不屬于系統配置地址之前,還包括:
通過內存中的虛擬內存管理結構確定所述返回地址對應的虛擬內存區塊結構體,根據所述虛擬內存區塊結構體中描述被映射文件的成員所指向的地址,確定所述返回地址是否屬于所述系統配置地址;
和/或,從應用層獲取表示內存布局的內存布局文件,從所述內存布局文件中獲取所述返回地址所在的行內容,根據所述行內容中的文件路徑,確定所述返回地址是否屬于所述系統配置地址。
7.一種攻擊代碼檢測裝置,其特征在于,包括:
獲取模塊,用于獲取調用函數的返回地址;其中,所述調用函數為被系統的目標進程調用的函數;
確定模塊,用于若所述返回地址不屬于系統配置地址,則所述系統中存在攻擊代碼;所述系統配置地址為目標進程加載的可執行文件的代碼段地址。
8.一種電子設備,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,其特征在于,所述處理器執行所述程序時實現如權利要求1至6任一項所述的攻擊代碼檢測方法的步驟。
9.一種非暫態可讀存儲介質,其上存儲有計算機程序,其特征在于,該計算機程序被處理器執行時實現如權利要求1至6任一項所述的攻擊代碼檢測方法的步驟。
10.一種計算機程序,其特征在于,該計算機程序被處理器執行時實現如權利要求1至6任一項所述的攻擊代碼檢測方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于網神信息技術(北京)股份有限公司;奇安信科技集團股份有限公司,未經網神信息技術(北京)股份有限公司;奇安信科技集團股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011540159.4/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:數據匯聚方法及裝置
- 下一篇:一種任務調度方法、存儲介質及終端設備
