[发明专利]一种识别文件溢出漏洞的方法及系统

说明书

本发明提出了一种识别文件溢出漏洞的方法及系统，所述方法包括：读取待检测文件的文件内容及文件大小，并保存到内存中；根据待检测文件格式，对加载到内存中的文件内容进行遍历；统计待检测文件中未被遍历到的数据长度；判断待检测文件中未被遍历到的数据长度是否大于0，如果是，则所述待检测文件可能存在溢出漏洞，发送给溢出漏洞扫描器进一步扫描；否则不存在溢出漏洞。通过本发明的方法，只需要了解文件的文件格式，即能够快速识别文件的溢出漏洞，与其他漏洞识别技术相比，可节约大量时间成本。

技术领域

本发明涉及计算机网络安全领域，特别涉及一种识别文件溢出漏洞的方法及系统。

背景技术

文件是一种不仅包含文本而且包括图形、电子表格数据、声音、视频图象以及其它信息的文件，如Office文件、PDF文件、Flash文件、压缩类型文件等。随着文件的普遍使用，越来越多的黑客利用文件解析器（阅读器）的溢出漏洞发起攻击，主要危害包括窃取系统重要信息、感染系统等。尤其在利用oday文件溢出漏洞发起的恶意攻击，对用户计算机造成巨大威胁。

文件是按照一定的格式组织起来的二进制数据文件，文件解析器需按照文件的格式一步步进行解析，最终将解析出的内容显示在界面上。一般文件的溢出漏洞是由于具有设计缺陷的文件解析器在解析文件格式的时候对数据缺乏有效检查而产生的，包括缓冲区溢出漏洞、整数溢出漏洞等。对于有溢出漏洞的文件解析器，黑客一般需要对文件格式的内容进行精心设计，篡改部分数据并插入恶意代码，在文件解析器对构造的恶意文件进行解析出，解析器存在缺陷的程序在解析恶意构造的数据时，发生缓冲区溢出、整数溢出等，促使解析器程序跳转到带有恶意指令流的数据部分进行执行。如Office、Acrobat、WinRAR等有缺陷的软件在解析经过黑客精心构造的文件格式时，发生溢出漏洞，转而执行黑客嵌入到文件中的恶意代码（如ShellCode、恶意脚本等）。

举例来说，漏洞MS03-050，主要原因是WORD在解析doc文件的时候，未对宏的名称进行长度检测，导致了缓冲区溢出，“万珍”蠕虫便是利用该漏洞进行传播的；漏洞CVE-2010-0188，主要原因是开源TIFF图像解析库libtiff存在缓冲区溢出漏洞，远程攻击者通过诱使用户使用Adobe Reader打开处理恶意TIFF图像文件来触发此漏洞，导致在用户系统上执行任意指令，从而控制用户系统。

目前未有针对文件溢出漏洞识别的统一有效方法，大部分要依靠人工对具有溢出漏洞的文件以及对应存在缺陷的文件解析器进行逆向分析，以此来发现溢出漏洞。

发明内容

为解决上述问题，本发明提出了一种识别文件溢出漏洞的方法及系统，解决了现有技术只能通过人工分析文件溢出漏洞的缺陷，可以快速识别文件的溢出漏洞。

一种识别文件溢出漏洞的方法，包括：

读取待检测文件的文件内容及文件大小，并保存到内存中；

根据待检测文件格式，对加载到内存中的文件内容进行遍历；

统计待检测文件中未被遍历到的数据长度；

判断待检测文件中未被遍历到的数据长度是否大于0，如果是，则所述待检测文件可能存在溢出漏洞，发送给溢出漏洞扫描器进一步扫描；否则不存在溢出漏洞。

所述的方法中，根据待检测文件格式，对加载到内存中的文件内容进行遍历过程中，判断待检测文件格式与文件格式标准是否一致，如果是，则继续遍历，否则所述待检测文件存在溢出漏洞，发送给溢出漏洞扫描器进一步扫描。

所述的方法中，所述判断待检测文件中未被遍历到的数据长度是否大于0，具体为，判断待检测文件的文件未被遍历到的字节数是否大于0。

本发明还提出一种识别文件溢出漏洞的系统，包括：

文件读取模块，用于读取待检测文件的文件内容及文件大小，并保存到内存中；