一種檢測(cè)shellcode執(zhí)行的方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)

基本信息

申請(qǐng)?zhí)?/td> CN202210216564.3 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN114741694A 公開(kāi)(公告)日 2022-07-12
申請(qǐng)公布號(hào) CN114741694A 申請(qǐng)公布日 2022-07-12
分類號(hào) G06F21/56(2013.01)I;G06F21/55(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 王世元 申請(qǐng)(專利權(quán))人 安芯網(wǎng)盾(北京)科技有限公司
代理機(jī)構(gòu) 北京中創(chuàng)云知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 -
地址 100085北京市海淀區(qū)上地五街高立二千大廈二層西側(cè)
法律狀態(tài) -

摘要

摘要 根據(jù)本公開(kāi)的實(shí)施例,提供一種檢測(cè)shellcode執(zhí)行的方法、裝置、設(shè)備及存儲(chǔ)介質(zhì),監(jiān)控進(jìn)程內(nèi)存的申請(qǐng)和內(nèi)存屬性的改變,當(dāng)申請(qǐng)的內(nèi)存屬性包含可執(zhí)行屬性或改變非可執(zhí)行內(nèi)存的內(nèi)存屬性包含可執(zhí)行屬性時(shí),去除可執(zhí)行屬性,并記錄對(duì)應(yīng)的內(nèi)存地址;shellcode執(zhí)行時(shí),出現(xiàn)異常,跳轉(zhuǎn)至異常處理函數(shù);在異常處理函數(shù)執(zhí)行時(shí),檢測(cè)引起異常的指令的內(nèi)存地址,當(dāng)所述引起異常的指令的內(nèi)存地址屬于鏈表中記錄的內(nèi)存地址且不在所述進(jìn)程的任何模塊內(nèi)時(shí),終止所述進(jìn)程或者將異常上報(bào)云端。該檢測(cè)方式,在shellcode執(zhí)行的第一時(shí)間就能檢測(cè),此時(shí)shellcode還沒(méi)有執(zhí)行成功,對(duì)計(jì)算機(jī)系統(tǒng)不會(huì)產(chǎn)生任何危害;該檢測(cè)方式不依賴shellcode自身的任何特征,不限處理器平臺(tái)和操作系統(tǒng),具有普適性。