[发明专利]一种动态检测恶意网页脚本的方法和装置

权利要求书

1.一种动态检测恶意网页脚本的方法，其特征在于，所述方法包括：

S1、对待检测网页脚本进行解析，在解析过程中如果通过预先对预设的用于编写shellcode的函数所挂的函数钩子获取到对应函数在内存中产生的二进制数据，则执行步骤S2；

S2、对所述二进制数据进行反汇编检测，如果在反汇编过程中检测到自定位代码，则确定检测到shellcode。

2.根据权利要求1所述的方法，其特征在于，在所述步骤S1之前还包括：

S0、新建一个浏览器IE控件进程，并对预设的用于编写shellcode的函数挂函数钩子。

3.根据权利要求1或2所述的方法，其特征在于，所述用于编写shellcode的函数包括：javascript类型脚本的用于转义的/u函数、用于字符串解码的unescape函数或者用于返回ASCII值表示的字符串的string.fromcharcode函数，vbscript类型脚本的unescape函数、string.fromcharcode函数或者用于返回与指定字符代码相关联的字符的chrw函数中的至少一种。

4.根据权利要求1所述的方法，其特征在于，在所述步骤S1之后且执行所述步骤S2之前，还包括：

S3、将获取到的二进制数据的开头与预先设置的黑名单进行匹配，如果匹配上，则确定检测到shellcode，结束对所述待检测网页脚本的解析；否则，执行所述步骤S2；

其中所述黑名单包括：nop指令头。

5.根据权利要求1所述的方法，其特征在于，所述自定位代码包括：过程调用call指令代码、出栈pop指令代码、浮点检查保护环境FSTENV指令代码以及高强度加花SEH指令代码中的至少一种。

6.根据权利要求1所述的方法，其特征在于，在所述步骤S2中如果确定检测到shellcode，则结束对所述待检测网页脚本的解析，否则转至所述步骤S1对所述待检测网页脚本继续进行解析。

7.根据权利要求1所述的方法，其特征在于，在所述步骤S2中如果在反汇编过程中没有检测到自定位代码，则继续执行步骤S3：

S3、对所述获取到的二进制数据进行高危字节码的统计，如果统计到的高危字节码的数量超过预设的高危字节码数量阈值，则确定检测到shellcode，结束对所述待检测网页脚本的解析；否则，转至所述步骤S1对所述待检测网页脚本继续进行解析。

8.根据权利要求7所述的方法，其特征在于，所述高危字节码包括：不可见字符和堆喷射常用地址中的至少一种。

9.一种动态检测恶意网页脚本的方法，其特征在于，所述方法包括：

A1、对待检测网页脚本进行解析，在解析过程中如果通过预先对预设的用于编写shellcode的函数所挂的函数钩子获取到对应函数在内存中产生的二进制数据，则执行步骤A2；

A2、对所述二进制数据进行高危字节码的统计，如果统计到的高危字节码的数量超过预设的高危字节码数量阈值，则确定检测到shellcode。

10.根据权利要求9所述的方法，其特征在于，在所述步骤A1之前还包括：

A0、新建一个浏览器IE控件进程，并对预设的用于编写shellcode的函数挂函数钩子。

11.根据权利要求9或10所述的方法，其特征在于，所述用于编写shellcode的函数包括：javascript类型脚本的用于转义的/u函数、用于字符串解码的unescape函数或者用于返回ASCII值表示的字符串的string.fromcharcode函数，vbscript类型脚本的unescape函数、string.fromcharcode函数或者用于返回与指定字符代码相关联的字符的chrw函数中的至少一种。

12.根据权利要求9所述的方法，其特征在于，在所述步骤A1之后且执行所述步骤A2之前，还包括：

A3、将获取到的二进制数据的开头与预先设置的黑名单进行匹配，如果匹配上，则确定检测到shellcode，结束对所述待检测网页脚本的解析；否则，执行所述步骤A2；

其中所述黑名单包括：nop指令头。