技術(shù)特征:
技術(shù)總結(jié)
一種基于動(dòng)態(tài)內(nèi)存指紋異常分析的漏洞利用檢測識別方法,步驟如下:1、將動(dòng)態(tài)鏈接庫文件注入到目標(biāo)進(jìn)程中;2、申請向量化異常處理函數(shù);3、開啟數(shù)據(jù)執(zhí)行保護(hù);4、分配隨機(jī)大小不可訪問的內(nèi)存塊;5、申請內(nèi)存占用HeapSpray地址;6、監(jiān)控進(jìn)程堆的堆塊分布情況;7、對加載的模塊進(jìn)行重選基址;8、申請地址為0x1的不可訪問屬性的內(nèi)存塊;9、接管最終異常事件;10、劫持特定接口函數(shù),對調(diào)用環(huán)境進(jìn)行行為識別;11、劫持線程調(diào)度過程,監(jiān)控目標(biāo)進(jìn)程的訪問令牌及SecurityDescriptor指針的變更行為;12、監(jiān)控內(nèi)核態(tài)下對用戶層地址的訪問執(zhí)行情況;通過以上步驟,達(dá)到了檢測漏洞攻擊的效果,解決了現(xiàn)有防護(hù)技術(shù)中流程復(fù)雜,存在滯后期,兼容性差的問題。
技術(shù)研發(fā)人員:何永強(qiáng);朱鯤鵬;呂承琨;卞玉捷
受保護(hù)的技術(shù)使用者:興華永恒(北京)科技有限責(zé)任公司
技術(shù)研發(fā)日:2017.03.30
技術(shù)公布日:2017.07.28