[发明专利]一种动态检测恶意网页脚本的方法和装置

说明书

【技术领域】

本发明涉及计算机安全技术领域，特别涉及一种动态检测恶意网页脚本的方法和装置。

【背景技术】

随着计算机技术的不断发展，计算机网络已经成为人们获取信息的主要工具，随之而来的是对计算机安全技术需求的不断提高。计算机病毒、木马、间谍软件和恶意代码是近几年来计算机网络面对的主要安全威胁，其中shellcode是利用特定漏洞的恶意代码，一般作为数据发送给服务端造成溢出。

现有检测网页脚本中shellcode的方法主要包括以下两种：

其一、采用静态分析网页特征的方式，预先维护一个恶意网页特征表，将待检测网页脚本与该恶意网页特征表进行匹配，如果匹配到，则确认该网页脚本包含shellcode，但该方法对于采用变形手段的恶意脚本则容易失效，可靠性较低。

其二、通过外围监控浏览器进程的启动进程、加载模块、内存占用过大进行识别，但这种方式在检测到shellcode时通常已经执行了shellcode，浏览器进程可能已经崩溃。

【发明内容】

本发明提供了一种动态检测恶意网页脚本的方法和装置，以便于提高识别shellcode的可靠性，且解决现有识别过程中造成浏览器进程崩溃的缺陷。

具体技术方案如下：

一种动态检测恶意网页脚本的方法，所述方法包括：

S1、对待检测网页脚本进行解析，在解析过程中如果通过预先对预设的用于编写shellcode的函数所挂的函数钩子获取到对应函数在内存中产生的二进制数据，则执行步骤S2；

S2、对所述二进制数据进行反汇编检测，如果在反汇编过程中检测到自定位代码，则确定检测到shellcode。

根据本发明一优选实施例，在所述步骤S1之前还包括：

S0、新建一个浏览器IE控件进程，并对预设的用于编写shellcode的函数挂函数钩子。

根据本发明一优选实施例，所述用于编写shellcode的函数包括：javascript类型脚本的/u函数、unescape函数或者string.fromcharcode函数，vbscript类型脚本的unescape函数、string.fromcharcode函数或者chrw函数中的至少一种。

根据本发明一优选实施例，在所述步骤S1之后且执行所述步骤S2之前，还包括：

S3、将获取到的二进制数据的开头与预先设置的黑名单进行匹配，如果匹配上，则确定检测到shellcode，结束对所述待检测网页脚本的解析；否则，执行所述步骤S2；

其中所述黑名单包括：nop指令头。

根据本发明一优选实施例，所述自定位代码包括：call指令代码、pop指令代码、FSTENV指令代码以及SEH指令代码中的至少一种。

根据本发明一优选实施例，在所述步骤S2中如果确定检测到shellcode，则结束对所述待检测网页脚本的解析，否则转至所述步骤S1对所述待检测网页脚本继续进行解析。

根据本发明一优选实施例，在所述步骤S2中如果在反汇编过程中没有检测到自定位代码，则继续执行步骤S3：

S3、对所述获取到的二进制数据进行高危字节码的统计，如果统计到的高危字节码的数量超过预设的高危字节码数量阈值，则确定检测到shellcode，结束对所述待检测网页脚本的解析；否则，转至所述步骤S1对所述待检测网页脚本继续进行解析。

根据本发明一优选实施例，所述高危字节码包括：不可见字符和堆喷射常用地址中的至少一种。

一种动态检测恶意网页脚本的方法，所述方法包括：

A1、对待检测网页脚本进行解析，在解析过程中如果通过预先对预设的用于编写shellcode的函数所挂的函数钩子获取到对应函数在内存中产生的二进制数据，则执行步骤A2；

A2、对所述二进制数据进行高危字节码的统计，如果统计到的高危字节码的数量超过预设的高危字节码数量阈值，则确定检测到shellcode。

根据本发明一优选实施例，在所述步骤A1之前还包括：

A0、新建一个浏览器IE控件进程，并对预设的用于编写shellcode的函数挂函数钩子。