[发明专利]一种阻止漏洞利用的方法及装置

权利要求书

1.一种阻止漏洞利用的方法，其特征在于，所述方法包括：

获取软件访问内存的访问信息，所述访问信息包括所述软件在运行过程中访问内存的内存地址或者所述软件在运行过程中发生的异常所在的线程对应的结构化异常处理链；

根据所述访问信息，确定所述软件存在的漏洞是否被利用；

如果所述软件存在的漏洞被利用，则结束所述软件继续运行，以实现阻止所述软件的漏洞被利用。

2.如权利要求1所述的方法，其特征在于，所述根据所述访问信息，确定所述软件存在的漏洞是否被利用，包括：

判断所述内存地址是否与空操作指令相同，如果是，则确定出所述软件存在的漏洞被利用，如果否，则确定出所述软件存在的漏洞没有被利用。

3.如权利要求1所述的方法，其特征在于，所述根据所述访问信息，确定所述软件存在的漏洞是否被利用，包括：

对所述内存地址对应的内存空间进行判断，如果所述内存空间不可读不可写，则确定出所述软件存在的漏洞被利用，如果所述内存空间可读或可写，则确定出所述软件存在的漏洞没有被利用。

4.如权利要求3所述的方法，其特征在于，所述对所述内存地址对应的内存空间进行判断，包括：

根据所述内存地址，从所述软件对应的地址列表中获取所述内存地址的属性信息，所述地址列表用于存储内存地址与属性信息的对应关系；

如果所述属性信息为不可读不可写，则判断出所述内存地址对应的内存空间不可读不可写；

如果所述属性信息为可读或可写，则判断出所述内存地址对应的内存空间可读或可写。

5.如权利要求4所述的方法，其特征在于，所述根据所述访问信息，确定所述软件存在的漏洞是否被利用之前，还包括：

当所述软件启动时，在所述软件对应的地址列表中将与空操作指令相同的内存地址对应的属性信息修改为不可读不可写。

6.如权利要求2或5所述的方法，其特征在于，

与所述空操作指令相同的内存地址包括0x0a0a0a0a、0x0b0b0b0b、0x0c0c0c0c、0x0d0d0d0d、0x0e0e0e0e、0x0f0f0f0f、0x14141414和0x15151515中的至少一者。

7.如权利要求1所述的方法，其特征在于，所述根据所述访问信息，确定所述软件存在的漏洞是否被利用，包括：

对所述结构化异常处理链的完整性进行判断；

如果所述结构化异常处理链不完整，则确定出所述软件存在的漏洞被利用；

如果所述结构化异常处理链完整，则确定出所述软件存在的漏洞没有被利用。

8.如权利要求7所述的方法，其特征在于，所述对所述结构化异常处理链的完整性进行判断，包括：

获取所述结构化异常处理链最末尾的一个结构化异常处理节点；

如果所述结构化异常处理节点不是预设的结构化异常处理节点，则判断出所述结构化异常处理节点不完整；

如果所述结构化异常处理节点是预设的结构化异常处理节点，则判断出所述结构化异常处理链完整。

9.如权利要求7或8所述的方法，其特征在于，所述根据所述访问信息，确定所述软件存在的漏洞是否被利用之前，还包括：

在创建所述软件包括的线程时，获取所述创建的线程对应的结构化异常处理链，在所述获取的结构化异常处理链的最末尾节点之后添加预设的结构化异常处理节点。

10.一种阻止漏洞利用的装置，所述装置包括：

获取模块，用于获取软件访问内存的访问信息，所述访问信息包括所述软件在运行过程中访问内存的内存地址或者所述软件在运行过程中发生的异常所在的线程对应的结构化异常处理链；

确定模块，用于根据所述访问信息，确定所述软件存在的漏洞是否被利用；

结束模块，用于如果所述软件存在的漏洞被利用，则结束所述软件继续运行，以实现阻止所述软件的漏洞被利用。

11.如权利要求10所述的装置，其特征在于，所述确定模块包括：

第一判断单元，用于判断所述内存地址是否与空操作指令相同，如果是，则确定出所述软件存在的漏洞被利用，如果否，则确定出所述软件存在的漏洞没有被利用。