一種漏洞利用代碼的檢測方法

2023-04-24 23:55:41

一種漏洞利用代碼的檢測方法
【專利摘要】本發明公開了一種漏洞利用代碼的檢測方法，應用於一電子設備中，所述方法包括：運行程序A，檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B；判斷所述調用地址B是否在所述程序A的程序段中，若所述調用地址B在所述程序A的程序段中，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不在所述程序A的程序段中，則所述程序A中有漏洞利用代碼，實現了快速、簡單、高效、準確並且易於實施，佔用CPU資源較小的完成shellcode漏洞利用代碼檢測的技術效果。
【專利說明】—種漏洞利用代碼的檢測方法
【技術領域】
[0001]本發明涉及信息安全領域，尤其涉及一種漏洞利用代碼的檢測方法。
【背景技術】
[0002]隨著科技的進步和發展，電子設備已經成為人們工作和生活不可缺失的一部分，如電腦手機等，人們使用它們進行辦公、娛樂、學習、購物等，相應的人們的各種個人信息和財產安全都與電子設備中的信息息息相關，所以電子設備的信息安全日益受到人們的重視。
[0003]目前，在現有技術中，電子設備如計算機受到shellcode的攻擊較為普遍，shellcode是具有特定功能的攻擊計算機系統漏洞的一段代碼，根據不同的攻擊需求，shellcode的功能有所不同。常見的主要功能有通過TCP協議連接到控制伺服器，接收控制控制命令；下載木馬程序並運行。Shellcode可以通過網絡發送到指定伺服器；也可以包含在FOF'word, jpeg等文件中發送到攻擊目標的計算機中。一旦shellcode得以執行，目標系統就可能被種上木馬程序，從而被黑客控制。IExplorer, Flash Player等流行軟體漏洞曾一度被黑客利用，大量傳播病毒等惡意軟體。
[0004]目前，在現有技術中，有幾種檢測shellcode漏洞利用代碼的方法，一、靜態檢測方法:如文獻1-Shellcode靜態檢測技術研究，文獻I摘自計算機應用與軟體第27卷第2期，文獻2:基於自定位指令特徵的Shellcode檢測技術研究,文獻2摘自計算機工程第34卷第13期,其中文獻1、2都是基於shellcode靜態特徵的檢測技術,是對shellcode的字節序列和反彙編的指令進行檢測。它存在著三個主要缺點:
1、經過代碼混淆技術編碼和加密後的shellcode很容易逃過靜態檢測。
[0005]2、基於特徵的靜態檢測技術難以避免誤報，可能將正常程序誤報為shellcode。
[0006]3、基於特徵的靜態檢測技術難以有效實施，難以從大量數據中定位可能潛在shellcode進行靜態掃描和反彙編。
[0007]二、動態檢測方法，如基於動態模擬的多態Shellcode檢測系統，動態檢測方法使用動態模擬技術能有效處理混淆和加密後的shellcode，但是CPU模擬執行需要大量的預算資源，難以實際應用。
[0008]本申請發明人在實現本申請實施例中發明技術方案的過程中，發現上述技術至少存在如下技術問題:
在現有技術中，由於現有的shellcode漏洞利用代碼檢測技術採用靜態檢測的方法或者採用動態模擬的方法進行檢測，而經過處理後的shellcode很容易逃過靜態檢測，靜態檢測冶容易出現誤報，可能將正常程序誤報為shellcode，並且靜態檢測技術難以有效實施，難以從大量數據中定位可能潛在shellcode進行靜態掃描和反彙編；動態檢測由於CPU模擬執行需要大量的預算資源，難以實際應用，所以現有的shellcode漏洞利用代碼檢測技術存在檢測複雜、不準確、效率較低、不易於實施、需要佔用較大CPU資源的技術問題。
【發明內容】

[0009]本發明提供了一種漏洞利用代碼的檢測方法，解決了現有的shellcode漏洞利用代碼檢測技術存在檢測複雜、不準確、效率較低、不易於實施、需要佔用較大CPU資源的技術問題，實現了快速、簡單、高效、準確並且易於實施，佔用CPU資源較小的完成shellcode漏洞利用代碼檢測的技術效果。
[0010]為解決上述技術問題，本申請實施例提供了一種漏洞利用代碼的檢測方法，應用於一電子設備中，所述方法包括:
運行程序A，檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B，其中，所述程序A為所述電子設備中一應用程式；
判斷所述調用地址B是否在所述程序A的程序段中，若所述調用地址B在所述程序A的程序段中，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不在所述程序A的程序段中，則所述程序A中有漏洞利用代碼。
[0011]進一步的，所述程序A調用所述關鍵API函數的頻率小於所述漏洞利用代碼調用所述關鍵API函數的頻率。
[0012]進一步的，所述關鍵API函數具體是但不限於:CreateProcessA函數，或CreateProcessff 函數、或 UrlDownloadToFile 函數中的一種。
[0013]進一步的，所述檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B具體為:在所述電子設備的內存空間中創建一個監控模塊，所述監控模塊對所述程序A進行監測，獲得所述關鍵API函數的調用地址B。
[0014]進一步的，所述監控模塊對所述程序A進行監測具體為:在所述監控模塊中通過API掛鈎技術，獲取所述關鍵API函數的所述調用地址B。
[0015]進一步的,所述漏洞利用代碼具體為shellcode漏洞利用代碼。
[0016]進一步的，若所述程序A中有漏洞利用代碼，則阻斷所述漏洞利用代碼的運行，報告檢測結果，記錄檢測日誌。
[0017]進一步的，所述判斷所述調用地址B是否在所述程序A的程序段中具體包括:
首先利用OpenProcess打開所述程序A進程；
然後利用EnumProcessModules枚舉所述程序A進程中所有的程序模塊；
最後利用GetModuleInformation順序獲取每個程序模塊的地址範圍；
其中，若所述調用地址B屬於所述程序模塊的地址範圍，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不屬於所述程序模塊的地址範圍，則所述程序A中沒有漏洞利用代碼。
[0018]本申請實施例中提供的一個或多個技術方案，至少具有如下技術效果或優點: 由於採用了首先運行程序A，檢測關鍵API函數的調用地址，獲得所述關鍵API函數的
調用地址B ;然後判斷所述調用地址B是否在所述程序A的程序段中，若所述調用地址B在所述程序A的程序段中，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不在所述程序A的程序段中，則所述程序A中有漏洞利用代碼的技術手段，即監測關鍵API函數的調用地址，通過調用地址所在內存區段的屬性來判斷是否有shellcode在運行，所以，有效解決了現有的shellcode漏洞利用代碼檢測技術存在檢測複雜、不準確、效率較低、不易於實施、需要佔用較大CPU資源的技術問題，進而實現了快速、簡單、高效、準確並且易於實施，佔用CPU資源較小的完成shellcode漏洞利用代碼檢測的技術效果。
【專利附圖】

【附圖說明】
[0019]圖1是本申請實施例中漏洞代碼的檢測方法的流程圖；
圖2是本申請實施例中檢測方法在IE瀏覽器中的檢測示意圖；
圖3是本申請實施例中應用本方法的檢測系統的模塊之間的通信示意圖；
圖4是本申請實施例中應用本方法的檢測系統檢測漏洞代碼的流程圖；
圖5是本申請實施例中掛鈎技術前後函數調用關係示意圖。
【具體實施方式】
[0020]本發明提供了一種漏洞利用代碼的檢測方法，解決了現有的shellcode漏洞利用代碼檢測技術存在檢測複雜、不準確、效率較低、不易於實施、需要佔用較大CPU資源的技術問題，實現了快速、簡單、高效、準確並且易於實施，佔用CPU資源較小的完成shellcode漏洞利用代碼檢測的技術效果。
[0021]本申請實施中的技術方案為解決上述技術問題。總體思路如下:
採用了首先運行程序A，檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B ;然後判斷所述調用地址B是否在所述程序A的程序段中，若所述調用地址B在所述程序A的程序段中，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不在所述程序A的程序段中，則所述程序A中有漏洞利用代碼的技術手段，即監測關鍵API函數的調用地址，通過調用地址所在內存區段的屬性來判斷是否有shellcode在運行，所以，有效解決了現有的shellcode漏洞利用代碼檢測技術存在檢測複雜、不準確、效率較低、不易於實施、需要佔用較大CPU資源的技術問題，進而實現了快速、簡單、高效、準確並且易於實施，佔用CPU資源較小的完成shellcode漏洞利用代碼檢測的技術效果。
[0022]為了更好的理解上述技術方案，下面將結合說明書附圖以及具體的實施方式對上述技術方案進行詳細的說明。
[0023]實施例一:
在實施例一中，提供了一種漏洞利用代碼的檢測方法，應用在一電子設備中，其中，所述電子設備可以是計算機，可以是智慧型手機，也可以是遊戲機，在本申請實施例中，在此就不再一一舉例了。請參考圖1-圖5，本申請實施例中的檢測方法具體包括:
S10，運行程序A，檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B ;S20，判斷所述調用地址B是否在所述程序A的程序段中，若所述調用地址B在所述程序A的程序段中，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不在所述程序A的程序段中，則所述程序A中有漏洞利用代碼。
[0024]其中，在本申請實施例中，所述判斷所述調用地址B是否在所述程序A的程序段中具體包括:
利用OpenProcess打開所述程序A進程；
利用EnumProcessModules枚舉所述程序A進程中所有的程序模塊；
利用GetModuleInformation順序獲取每個程序模塊的地址範圍；
其中，若所述調用地址B屬於所述程序模塊的地址範圍，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不屬於所述程序模塊的地址範圍，則所述程序A中沒有漏洞利用代碼。
[0025]其中，在本申請實施例中，所述程序A為所述電子設備中一應用程式，如瀏覽器、播放器、遊戲等。
[0026]在實際應用中，利用函數OpenProcess、函數EnumProcessModules以及函數GetModuleInformation來完成步驟判斷所述調用地址B是否在所述程序A的程序段中。OpenProcess函數為用來打開一個已存在的進程對象，並返回進程的句柄；EnumProcesses函數主要功能得到一系列過程採用EnumProcesses功能。為每個過程、主要功能調用PrintModules功能，通過工藝標識符。PrintModules反過來呼叫OpenProcess功能得到過程處理。如果OpenProcess失敗，只有過程輸出顯示標識符。OpenProcess閒置，或者因為他們的準入限制CSRSS過程防止用戶級代碼從打開它們。其次，PrintModules稱EnumProcessModules功能模塊處理獲得的功能。最後，PrintModules稱GetModuleFileNameEx功能,對每一個模塊進行一次，取得模塊的名字；函數GetModuleInformation用於獲取模塊信息並儲存在M0DULEINF0結構。
[0027]其中，在本申請實施例中，所述程序A調用所述關鍵API函數的頻率小於所述漏洞利用代碼調用所述關鍵API函數的頻率。
[0028]在實際應用中，程序A調用所述關鍵API函數的頻率小於所述漏洞代碼調用所述關鍵系統API函數的頻率，採用這種關鍵API函數是為了不影響程序執行效率，不佔用過多的系統資源，關鍵API函數集合的選取非常重要。比如所有的shellcode都會調用GetProcessAddress,而應用程式對它的調用頻度也很高,所以本方法並不選取這類API函數作為關鍵API函數。
[0029]其中，在本申請實施例中，，所述關鍵API函數具體是但不限於=CreateProcessA函數，或 CreateProcessW 函數、或 UrlDownloadToFile 函數中的一種。
[0030]在實際應用中，選取shellcode調用的典型API函數，如CreateProcessA、CreateProcessff,、UrlDownloadToFile 等。這些 API 函數為關鍵 API 函數。選取 shellcode經常調用而正常程序調用頻度不高的API作為關鍵API，以降低對系統性能影響。
[0031]其中，在本申請實施例中，所述檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B具體為:在所述電子設備的內存空間中創建一個監控模塊，所述監控模塊對所述程序A進行監測，獲得所述關鍵API函數的調用地址B。
[0032]其中，在本申請實施例中，所述監控模塊對所述程序A進行監測具體為:在所述監控模塊中通過API掛鈎技術，獲取所述關鍵API函數的所述調用地址B。
[0033]在實際應用中，請參考圖3，創建一個DLL動態連結庫模塊，命名該模塊為monitor, dllo將monitor, dll注入到被保護的進程中。在monitor, dll中通過API掛鈎技術(hook技術)，截獲關鍵API函數調用，當程序執行到關鍵API時，通過棧回溯找到API的調用地址。程序在調用API時，會將調用地址的下一條指令地址(設該地址為X)壓入棧中，所以可以在棧中找到地址X。X-5就是API函數調用地址，設該地址為Y。然後枚舉內存空間中的所有程序地址段，如果地址Y不屬於任何程序段，那麼判定shellcode正在運行，最後阻斷shellcode運行，報告檢測結果，記錄檢測日誌。
[0034]在實際應用中，本申請實施例使用的是內聯掛鈎(inline hook)技術。Inlinehook是指將系統dll中的API函數體的頭部指令(通常佔5位元組)替換成一條無條件跳轉指令(jmp)，將程序執行流程跳轉到指定的hook函數地址。替換之前需要對被替換的指令進行備份，並在備份的指令後添加一條無條件跳轉指令(jmp)，使程序跳轉回原始API函數繼續正常執行，不影響程序正常運行。在hook函數中根據策略可以調用原始API函數(執行備份的指令)，也可以只直接返回，截斷API的調用。
[0035]具體做法如下:
首先將目標API函數(TargetFunction)頭部指令備份到內存空間中，內存空間中的部分內存為蹦床函數(TrampolineFuction)，並在TrampolineFunction末尾加無條件跳轉指令jmp targetfunction，這樣最終的程序流程可以返回到目標函數中，不影響程序正常運行。
[0036]然後將目標API函數的頭部指令替換成跳轉指令jmp hookfunction。這樣hookfunction將得到執行權。Hookfunction是自定義函數。
[0037]在自定義hookfunction中執行功能代碼，其中在本申請實施例中，在hookfucntion中回溯獲取到API調用地址。
[0038]Hookfunction 執行結束後，將跳轉執行到 TrampolineFuction。
[0039]TrampolineFunction 執行結束後，將跳轉執行到 TargetFunction。
[0040]TargetFunction執行結束後,將返回到調用函數。
[0041]如圖5所示hook前後函數調用變化，可以清楚的看到，hook的目的就是在函數調用目標函數前，執行掛鈎函數，在掛鈎函數中完成對API調用的監控,獲取API調用地址。
[0042]通過API hook技術，使得hook函數在目標API函數調用之前獲得了執行權。在hook函數中通過棧回溯的方法找到API調用者的調用地址。調用地址是指相應API調用CALL指令所處地址。API函數調用時，首先是參數壓入棧中。然後CALL指令被調用，其下一條指令的地址(設為X)將被壓入棧中。ESP是CPU的棧指針，它始終指向棧的頂部，我們可以通過ESP指針回溯，在地址ESP+4處找到X的值。由於CALL指令佔用5個字節空間，所以X-5就是CALL指令所在的調用地址。
[0043]其中，在本申請實施例中，所述漏洞利用代碼具體為shellcode漏洞利用代碼。
[0044]其中，在本申請實施例中，若所述程序A中有漏洞利用代碼，則阻斷所述漏洞利用代碼的運行，報告檢測結果，記錄檢測日誌。
[0045]在實際應用中，請參考圖2，如圖2所示的IE瀏覽器內存空間分布示意圖，程序的各個模塊比如user32.dll, ieframe.dll等被系統加載到內存中，它們都有各自的內存地址段。當IE正常啟動運行另一程序時,系統API函數CreateProcessW會被調用，調用地址A屬於ieframe.dll程序段。當有shellcode在IE中運行調用CreateProcessW運行木馬程序時，調用地址B則屬於shellcode所在的堆棧內存中。根據地址A與地址B的不同來判斷是否有Shellcode運行。
[0046]例如對於IE漏洞CVE-2012-1875，當IE程序訪問惡意網頁時，shellcode通過網絡進入IE進程空間。惡意構造的網頁使IE程序內存溢出，並執行shellcode代碼。接著shellcode下載運行後門程序以便攻擊者實現對目標的永久控制，下載時就會調用相應的關鍵API比如UrlDownloadToFile等。此時應用本方法的檢測系統追蹤關鍵API函數的調用源地址，如果調用源地址異常則報告檢測到shellcode。[0047]在實際應用中，首先shellcode進入程序進程空間；然後程序內存溢出shellcode獲得執行權；然後shellcode調用關鍵API函數；然後應用本申請方法的檢測系統分析關鍵API函數的調用源地址；然後報告溢出API函數調用源地址；最後檢測系統根據策略報告 shellcode。
[0048]在實際應用中，請參考圖4,圖4為應用本方法的檢測系統檢測shellcode漏洞代碼的流程，具體為:開始檢測，首先啟動主控程序；然後將將monitor, dll注入到被保護程序中；然後判斷是否注入成功，若不成功，則結束檢測；若成功則將monitor, dll中hook (掛鈎)關鍵API函數；然後獲得monitor, dll中記錄API函數調用地址以及地址屬性；然後將監控信息傳遞至主控程序，然後主控程序報告檢測結果，阻斷shellcode繼續運行；然後判斷被保護程序是否退出，若是則結束檢測；若否則繼續獲得monitor, dll中記錄API函數調用地址以及地址屬性。
[0049]上述本申請實施例中的技術方案，至少具有如下的技術效果或優點:
由於採用了首先運行程序A，檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B ;然後判斷所述調用地址B是否在所述程序A的程序段中，若所述調用地址B在所述程序A的程序段中，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不在所述程序A的程序段中，則所述程序A中有漏洞利用代碼的技術手段，即監測關鍵API函數的調用地址，通過調用地址所在內存區段的屬性來判斷是否有shellcode在運行，所以，有效解決了現有的shellcode漏洞利用代碼檢測技術存在檢測複雜、不準確、效率較低、不易於實施、需要佔用較大CPU資源的技術問題，進而實現了快速、簡單、高效、準確並且易於實施，佔用CPU資源較小的完成shellcode漏洞利用代碼檢測的技術效果。
[0050]儘管已描述了本發明的優選實施例，但本領域內的技術人員一旦得知了基本創造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權利要求意欲解釋為包括優選實施例以及落入本發明範圍的所有變更和修改。
[0051]顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內，則本發明也意圖包含這些改動和變型在內。
【權利要求】
1.一種漏洞利用代碼的檢測方法，應用於一電子設備中，其特徵在於，所述方法包括: 運行程序A，檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B，其中，所述程序A為所述電子設備中一應用程式； 判斷所述調用地址B是否在所述程序A的程序段中，若所述調用地址B在所述程序A的程序段中，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不在所述程序A的程序段中，則所述程序A中有漏洞利用代碼。
2.根據權利要求1所述的方法，其特徵在於，所述程序A調用所述關鍵API函數的頻率小於所述漏洞利用代碼調用所述關鍵API函數的頻率。
3.根據權利要求1所述的方法，其特徵在於，所述關鍵API函數具體是但不限於:CreateProcessA 函數，或 CreateProcessW 函數、或 UrlDownloadToFile 函數中的一種。
4.根據權利要求1所述的方法，其特徵在於，所述檢測關鍵API函數的調用地址，獲得所述關鍵API函數的調用地址B具體為:在所述電子設備的內存空間中創建一個監控模塊，所述監控模塊對所述程序A進行監測，獲得所述關鍵API函數的調用地址B。
5.根據權利要求4所述的方法，其特徵在於，所述監控模塊對所述程序A進行監測具體為:在所述監控模塊中通過API掛鈎技術，獲取所述關鍵API函數的所述調用地址B。
6.根據權利要求1所述的方法，其特徵在於，所述漏洞利用代碼具體為shellcode漏洞利用代碼。
7.根據權利要求1所述的方法，其特徵在於，若所述程序A中有漏洞利用代碼，則阻斷所述漏洞利用代碼的運行，報告檢測結果，記錄檢測日誌。
8.根據權利要求1-7中任意一項所述的方法，其特徵在於，所述判斷所述調用地址B是否在所述程序A的程序段中具體包括: 利用OpenProcess打開所述程序A進程； 利用EnumProcessModules枚舉所述程序A進程中所有的程序模塊； 利用GetModuleInformation順序獲取每個程序模塊的地址範圍； 其中，若所述調用地址B屬於所述程序模塊的地址範圍，則所述程序A中沒有漏洞利用代碼；若所述調用地址B不屬於所述程序模塊的地址範圍，則所述程序A中沒有漏洞利用代碼。
【文檔編號】G06F21/56GK103714292SQ201410016789
【公開日】2014年4月9日 申請日期:2014年1月15日 優先權日:2014年1月15日
【發明者】李曉寧, 程濤 申請人:四川師範大學