专利汇可以提供一种基于内存保护类型监控的恶意代码跟踪识别方法专利检索,专利查询,专利分析的服务。并且一种基于内存 保护类型 监控的恶意代码 跟踪 识别方法,步骤如下:1:将开发的动态链接库注入到目标 进程 中;2: 申请 向量化异常处理函数接管异常,用于进行对异常段静态分析及动态分析;3:劫持 修改 内存保护属性的 接口 函数;4:检测每次调用是否位于栈空间;5:判断每次调用参数中是否包含执行属性标志;6:针对修改内存保护属性为可执行属性的接口函数调用,清除可执行保护标志位;7:记录本次接口函数调用的参数环境;8:调用原始接口函数,使程序正常运行;9:报告发现漏洞攻击(exploit);通过以上步骤,达到了识别漏洞攻击过程中恶意代码(shellcode)执行的效果,解决了 现有技术 保护 覆盖 面积小,兼容性低的问题。,下面是一种基于内存保护类型监控的恶意代码跟踪识别方法专利的具体信息内容。
1.一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:其步骤如下:
步骤1:将技术人员开发的动态链接库注入到目标进程中;
步骤2:在目标进程中申请向量化异常处理函数,用于接管目标进程中所发出的异常并对该异常环境进行分析,分析流程包含以下步骤;
步骤2-1:等待当前进程发生的异常事件,过滤访问违规之外的异常信息,并与收集的参数环境比对异常信息;
步骤2-2:如果步骤2-1比对信息成功,备份保留此段内存,并在此内存范围内做静态规则匹配;
步骤2-3:若静态规则匹配失败,则从异常发生的地址动态模拟解析并执行该段内存代码,做动态行为分析;
步骤2-4:根据步骤2-3的返回结果,最终输出本次的检测结论,如果为恶意代码,给出提示并退出执行过程;
步骤3:获取系统指定动态链接库中针对与修改内存保护属性的接口函数地址,劫持其执行流程到技术人员开发的动态链接库中;
步骤4:在保护程序的运行周期中监控所有关于此接口的调用流程,初步检测调用的合法性,如果不合法,进入步骤9;
步骤5:通过初步的合法性检测后,判断参数中是否包含执行属性标志;
步骤6:针对修改内存保护属性为可执行属性的接口函数调用,清除可执行属性标志;
步骤7:记录本次接口函数调用的参数环境;
步骤8:调用原始接口函数,使程序正常运行;
步骤9:报告发现漏洞攻击即exploit;
在步骤2-2中所述的“如果步骤2-1比对信息成功,备份保留此段内存,并在此内存范围内做静态规则匹配”,其作法如下:如果异常发生的地址位于记录的数据区间中,保留即dump本段内存到本地,并对该段内存数据进行符合恶意代码即shellcode模式的静态搜索。
2.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤1中所述的“目标进程”,它是指受到保护的进程。
3.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤2中所述的“在目标进程中申请向量化异常处理函数,用于接管目标进程中所发出的异常”,其作法如下:调用操作系统接口函数AddVectoredExceptionHandler,注册一个处理函数,用于处理进程中发生的异常中断。
4.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤2-1中所述的“等待当前进程发生的异常事件,过滤访问违规之外的异常信息,并与收集的参数环境比对异常信息”,其作法如下:当进程环境发生异常中断后,会被步骤2中申请的向量化异常处理函数所接管,过滤掉ExceptionCode为STATUS_ACCESS_VIOLATION之外的异常消息,将其发生异常的地址即ExceptionAddress同步骤7中记录的信息做对比,判断这次异常发生的地址是否位于记录的数据区间中。
5.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤2-3中所述的“若静态规则匹配失败,则从异常发生的地址动态模拟解析并执行该段内存代码,做动态行为分析”,其作法如下:动态模块将步骤2-2中dump下来的数据块载入内存中,从异常发生地址处偏移建立执行流程,记录其对系统接口函数的访问情况,是否存在动态获取系统接口函数地址并执行敏感接口函数的行为。
6.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤3中所述的“获取系统指定动态链接库中针对与修改内存保护属性的接口函数地址,劫持其执行流程到技术人员开发的动态链接库中”,其作法如下:获取NTDLL模块中,ZwProtectVirtualMemory接口函数的地址,HOOK其执行流程。
7.根据权利要求1所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤4中所述的“在保护程序的运行周期中监控所有关于此接口的调用流程,初步检测调用的合法性”,其做法如下:检测要改变保护属性的内存基址是否位于当前线程信息块中所保存的栈地址的起始范围内。
8.根据权利要求6所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤5中所述的“判断参数中是否包含执行属性标志”,其做法如下:检测本次ZwProtectVirtualMemory调用参数的NewAccessProtection中是否包含执行属性标志。
9.根据权利要求6所述的一种基于内存保护类型监控的恶意代码跟踪识别方法,其特征在于:在步骤7中所述的“记录本次接口函数调用的参数环境”,其作法如下:记录NTDLL模块中,ZwProtectVirtualMemory接口函数调用时的BaseAddress参数,
NumberOfBytesToProtect参数,OldAccessProtection参数。
一.技术领域
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种基于H.264视频报文类型的不等差错传输保护方法 | 2020-05-12 | 403 |
一种光伏系统直流侧电弧故障类型辨识及保护装置 | 2020-05-12 | 572 |
对预留给处理器逻辑使用的存储器的访问类型保护 | 2020-05-12 | 485 |
具有交替导电类型的区域的用于静电放电保护的半导体装置 | 2020-05-12 | 556 |
一种基于内存保护类型监控的恶意代码跟踪识别方法 | 2020-05-12 | 815 |
对预留给处理器逻辑使用的存储器的访问类型保护 | 2020-05-13 | 110 |
具有交替导电类型的区域的用于静电放电保护的半导体装置 | 2020-05-13 | 8 |
面向类型化资源的IoT环境下信息隐私保护方法 | 2020-05-11 | 799 |
一种由四类型节电器构成的综合节电保护装置 | 2020-05-12 | 749 |
一种由四类型节电器构成的综合节电保护装置 | 2020-05-12 | 186 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。