[发明专利]一种检测shellcode执行的方法、装置、设备及存储介质

权利要求书

1.一种检测shellcode执行的方法，其特征在于，包括：

监控进程内存的申请和内存属性的改变，当申请的内存属性包含可执行属性或试图改变非可执行内存的属性包含可执行内存属性时，去除对应内存的可执行属性，并记录对应内存的内存地址；

shellcode执行时，出现异常，控制流跳转至异常处理函数；

在异常处理函数执行时，检测引起异常的指令的内存地址，当所述引起异常的指令的内存地址属于所记录的内存地址且不在所述进程的任何模块内时，终止所述进程或者将异常上报云端；

还包括：

在进程中注入截获异常处理的钩子函数(HOOK)代码，并挂钩操作装置平台申请内存和改变内存属性的应用程序API或者内核API。

2.根据权利要求1所述的检测shellcode执行的方法，其特征在于，当所述引起异常的指令的内存地址属于所记录的内存地址且在所述进程的任何模块内时，把所述引起异常的指令所在内存的内存属性恢复为原有内存属性加上可执行内存属性。

3.根据权利要求1所述的检测shellcode执行的方法，其特征在于，当所述引起异常的指令的内存地址不属于链表中记录的内存地址时，上报云端：截获失败建议提前注入异常处理钩子函数(HOOK)的时机。

4.一种检测shellcode执行的装置，其特征在于，包括：

监控模块：监控进程内存的申请和者内存属性的改变，当申请的内存属性包含可执行属性或试图改变非可执行内存的属性包含可执行内存属性时，去除对应内存的可执行属性，并记录对应内存的内存地址；shellcode执行时，出现异常，调用异常处理模块；

异常处理模块：检测发生异常的地址，当引起异常的指令的内存地址属于所记录的内存地址且不在所述进程的任何模块内时，终止所述进程或者将异常上报云端；

所述监控模块，在进程中注入截获异常处理的钩子函数(HOOK)代码，并挂钩操作装置平台申请内存和改变内存属性的应用程序API或者内核API。

5.根据权利要求4所述的检测shellcode执行的装置，其特征在于，所述异常处理模块，当所述引起异常的指令的内存地址属于所记录的内存地址且在所述进程的任何模块内时，把所述引起异常的指令所在内存的内存属性恢复为原有内存属性加上可执行内存属性。

6.根据权利要求4所述的检测shellcode执行的装置，其特征在于，所述异常处理模块，当所述引起异常的指令的内存地址不属于链表中记录的内存的地址时，上报云端：截获失败建议提前注入异常处理钩子函数(HOOK)的时机。

7.一种电子设备，包括处理器和存储器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1-3任一项所述的检测shellcode执行的方法。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，其中，所述计算机程序用于由处理器加载并执行如权利要求1-3任一项所述的检测shellcode执行的方法。