本申請公開了一種提權漏洞檢測方法、裝置、設備及介質，包括：基于Unicorn創建CPU指令模擬器；創建各漏洞運行平臺對應的模擬操作系統；其中，每個操作模擬系統以單個進程運行；基于所述CPU指令模擬器、各所述模擬操作系統進行提權漏洞檢測，得到漏洞檢測結果。這樣以進程為容器節點，通過CPU模擬器以及多個操作模擬系統，進行提取漏洞檢測，能夠提升提權漏洞檢測的效率，以及實現提權漏洞檢測的跨平臺檢測。

技術領域

本申請涉及漏洞檢測技術領域，特別涉及一種提權漏洞檢測方法、裝置、設備及介質。

背景技術

當前，提權漏洞檢測方案通常是傳統沙箱分析，以OS系統容器節點，如Cuckoo，Sandboxie,Docker_box等，基于虛擬機部署OS系統分析，功耗大、集成度高、提權漏洞檢測需要對API劫持和過程重復執行，分析效率低，且無法跨平臺觸發分析。

發明內容

有鑒于此，本申請的目的在于提供一種提權漏洞檢測方法、裝置、設備及介質，能夠提升提權漏洞檢測的效率，以及實現提權漏洞檢測的跨平臺檢測。其具體方案如下：

第一方面，本申請公開了一種提權漏洞檢測方法，包括：

基于Unicorn創建CPU指令模擬器；

創建各漏洞運行平臺對應的模擬操作系統；其中，每個操作模擬系統以單個進程運行；

基于所述CPU指令模擬器、各所述模擬操作系統進行提權漏洞檢測，得到漏洞檢測結果。

可選的，所述創建各漏洞運行平臺對應的模擬操作系統，包括：

創建各漏洞運行平臺對應的模擬API，以便在漏洞程序調用各所述漏洞運行平臺對應的真實API時，調用相應的所述模擬API。

可選的，所述基于所述CPU指令模擬器、各所述模擬操作系統進行提權漏洞檢測，得到漏洞檢測結果，包括：

基于所述CPU指令模擬器、各所述模擬操作系統進行提權漏洞檢測，得到所述模擬API的執行數據；

利用所述模擬API的執行數據確定檢測結果。

可選的，所述基于所述CPU指令模擬器、各所述模擬操作系統進行提權漏洞檢測，得到所述模擬API的執行數據，包括：

基于所述CPU指令模擬器、各所述模擬操作系統進行提權漏洞檢測，在所述模擬API的執行過程中，通過多個預設探針提取所述模擬API的執行過程數據和/或獲取所述模擬API的執行結果數據，得到所述模擬API的執行數據。

可選的，所述利用所述模擬API的執行數據確定檢測結果，包括：

利用所述模擬API的執行數據直接確定漏洞檢測結果。

可選的，所述利用所述模擬API的執行數據確定檢測結果，包括：

利用所述模擬API的執行數據以及預設規則確定漏洞檢測結果。

可選的，所述基于所述CPU指令模擬器、各所述模擬操作系統進行提權漏洞檢測，包括：

在執行到目標模擬API時，保存當前環境的上下文數據，得到對應的快照文件，若執行出現異常，則利用所述快照文件進行數據恢復；

其中，所述快照文件為內存或者整個模擬操作系統的快照文件。

第二方面，本申請公開了一種提權漏洞檢測裝置，包括：

CPU指令模擬器創建模塊，用于基于Unicorn創建CPU指令模擬器；

模擬操作系統創建模塊，用于創建各漏洞運行平臺對應的模擬操作系統；其中，每個操作模擬系統以單個進程運行；