[发明专利]空操作雪橇探测方法及其装置

说明书

本发明提供一种空操作雪橇探测方法及其装置。本发明一实施例的空操作雪橇探测方法包括：监测步骤，针对分配在计算装置的存储器中的多个跟踪对象存储块，将已发现的空操作(No‑OPeration)雪橇图案中的一个以上的图案最长连续的长度确定为所述跟踪对象存储块的空操作雪橇特征值；以及探测步骤，利用所述多个跟踪对象存储块中的至少一部分存储块的空操作雪橇特征值和所述至少一部分存储块的存储块长度来确定是否产生了空操作雪橇。

技术领域

本发明涉及一种空操作雪橇探测方法及其装置。更详细而言，涉及一种如下的空操作雪橇探测方法及其装置，即该方法及装置即使在空操作雪橇的图案为多种多样的情况下，也能够以高准确度探测散布(SPRAY)到堆(HEAP)存储器中的空操作雪橇(NOP，NOOperation Sled)，并且也不会对探测要求过大的计算负荷。

背景技术

顾名思义，空操作(NOP，NO Operation)指令是指不执行任何操作的指令。按在不同的CPU架构下，由不同的操作码(OPCODE)来定义NOP指令。例如，在英特尔x86系列的CPU(中央处理器)中，0x90被定义为NOP。

简单形式的NOP雪橇由上述NOP级联而成。因此在这种情况下，无论从哪一起始地址运行所述NOP雪橇，运行指针(程序计数器或个人电脑PC)最终只会移动到NOP雪橇结束地址，而不会执行任何操作。复杂形式的NOP雪橇使用由多个字节组成的指令中的如NOP那样不会对程序操作带来影响的、NOP等效指令(NOP equivalent instruction)。由NOP等效指令构成的NOP雪橇无论在任何字节偏移下运行，也以解释成NOP等效指令的方式进行操作。在该情况下，无论从哪一起始地址运行所述NOP雪橇，运行指针最终还是移动到NOP雪橇结束地址。从这种观点来看，能够理解运行指针滑动(slide)这一概念。

如果紧接在NOP雪橇之后写入(write)运行对象代码，则无论从存在所述NOP雪橇的区域内的哪一区域开始运行，最终都能保证所述运行对象代码的运行。当黑客能够将程序的运行指针操作到存储器中的任意地址时，为了提高运行指针安置在所述NOP雪橇区域内的概率，将所述NOP雪橇写入到存储器的多个部分，并且在其后附加恶意代码，这一做法为广为人知的恶意代码运行方法。

因此，为了事先阻断或检测恶意代码的运行，重要的是检测NOP是否被写入到存储器上。但是，由于NOP雪橇可能由非常多样的图案组成，因此很难准确地检测写入到存储器上的数据是否为NOP雪橇。

专利文献

美国授权专利第9,438,623号

美国公开专利第2010-0205674号

发明内容

本发明所要解决的技术问题是提供一种准确地探测多种结构的NOP雪橇的方法及执行该方法的计算装置。

本发明所要解决的技术问题是提供一种迅速地探测多种结构的NOP雪橇的方法及执行该方法的计算装置。

本发明所要解决的另一技术问题是提供一种如下的方法及执行该方法的计算装置，该方法为了探测写入(write)到存储器的一些列操作是否相当于NOP雪橇，在不运行所述一系列操作的情况下也准确地探测数据。

本发明的技术问题并不限定于以上所提的技术问题，本领域技术人员能够从下面的记载中明确理解没有提到的其他技术问题。

为了解决上述技术问题，本发明的一实施例的NOP雪橇探测方法可包括：监测步骤，计算装置针对分配在所述计算装置的存储器中的多个跟踪对象存储块，将由已发现的NOP(No-OPeration)雪橇图案中的一个以上的图案最长连续的长度确定为所述跟踪对象存储块的NOP雪橇特征值；以及探测步骤，所述计算装置利用所述多个跟踪对象存储块中的至少一部分存储块的NOP雪橇特征值和所述至少一部分存储块的存储块长度来确定是否产生了NOP雪橇。