[发明专利]漏洞检测方法及装置

权利要求书

1.一种漏洞检测方法，其特征在于，包括：

选取输入的文档数据；

检测选取的文档数据中是否具有利用特定漏洞的代码shellcode；

当所述选取的文档数据中具有shellcode时，在预先设定的虚拟CPU环境内执行所述shellcode中的指令；

当执行所述shellcode中的指令过程中对内存进行读写操作时，判断被读取内存是否满足预设内存规则；

当所述被读取内存满足预设内存规则时，则判定存在漏洞。

2.根据要求1所述的方法，其特征在于，还包括：

显示所述漏洞的信息。

3.根据权利要求2所述的方法，其特征在于，还包括：

替换所述shellcode。

4.根据权利要求3所述的方法，其特征在于，所述选取输入文档数据的过程包括：

设定滑动窗口的起始位置为文档数据的起始位置；

按照预设窗口范围依次选取所述文档数据。

5.根据权利要求4所述的方法，其特征在于，还包括：

判断所述窗口范围的末位是否为文档数据的末位，若是，则结束，若否，则更新所述滑动窗口的起始位置，执行检测所述被选取的数据中是否具有利用特定漏洞的代码shellcode的过程。

6.根据权利要求5所述的方法，其特征在于，所述检测所述被选取的数据中是否具有shellcode的过程包括：

反汇编所述被选取的数据；

判断所述反汇编结果与预先设定的指令规则是否匹配，若匹配，则所述被选取数据中具有shellcode，若不匹配，则所述被选取数据中不具有shellcode。

7.根据权利要求6所述的方法，其特征在于，所述预设内存规则包括：内存的地址、长度、匹配次数和依赖规则链表中的任意一项或多项的组合。

8.根据权利要求7述的方法，其特征在于，所述内存规则按照树形结构进行存储匹配。

9.一种漏洞检测装置，其特征在于，包括：

数据选取单元，用于选取输入的文档数据；

指令过滤单元，用于检测选取的文档数据中是否具有利用特定漏洞的代码shellcode；

虚拟执行单元，用于当所述选取的数据中具有shellcode时，在预先设定的虚拟CPU环境内执行所述shellcode中的指令；

内存监视单元，用于监视所述执行所述shellcode中的指令过程中是否对内存进行读写操作；

规则匹配单元，用于当执行所述shellcode过程中对内存进行读写操作时，判断被读取内存是否满足预设内存规则；

漏洞判定单元，用于当所述被读取内存满足预设内存规则时，则判定存在漏洞。

10.根据权利要求9所述的装置，其特征在于，还包括：

漏洞信息显示单元，用于显示所述漏洞的信息。

11.根据权利要求10所述的装置，其特征在于，还包括：

替换单元，用于替换所述shellcode。

12.根据权利要求11所述的装置，其特征在于，所述数据选取单元包括：

起始位置设定单元，用于设定滑动窗口的起始位置为文档数据的起始位置；

选取单元，用于按照预设窗口范围依次选取所述文档数据。

13.根据权利要求12所述的装置，其特征在于，所述指令过滤单元包括：

反汇编单元，用于反汇编所述被选取的数据；

指令规则匹配单元，用于将所述反汇编结果与预先设定的指令规则进行匹配，若所述反汇编结果与预先设定的指令规则匹配，则所述被选取数据中具有shellcode，若不匹配，则所述被选取数据中不具有shellcode。