[发明专利]一种UAF漏洞利用判断方法及装置

权利要求书

1.一种UAF漏洞利用判断方法，其特征在于，包括：

S1，分析移动终端操作系统的内存分配方式、所述系统中存在UAF漏洞的函数、所述函数的参数以及所述函数的使用场景，构造用于覆盖已被异常释放的内存区域的第一函数序列运行样本；

S2，运行所述第一函数序列运行样本，确认所述内存区域被成功覆盖；

S3，分析所述第一函数序列运行样本在运行过程中所产生的可控对象的内容，构造用于控制所述系统中系统进程的执行流程的第二函数序列运行样本；

S4，运行所述第二函数序列运行样本，确认UAF漏洞能够被利用。

2.根据权利要求1所述的方法，其特征在于，在所述步骤S1前还包括：

S0，运行第三函数序列运行样本，触发内存区域被异常释放，确认UAF漏洞存在。

3.根据权利要求2所述的方法，其特征在于，在所述步骤S0前还包括：

确定系统中引用计数可被非法修改为零的目标对象，构造用于修改所述目标对象的引用计数的第三函数序列运行样本。

4.根据权利要求1所述的方法，其特征在于，所述步骤S2进一步包括：

创建一个新的对象，以使所述新的对象被分配到已被异常释放的内存区域；

若检测到所述新的对象成功覆盖所述内存区域，则确认所述内存区域被成功覆盖。

5.根据权利要求1所述的方法，其特征在于，所述步骤S2进一步包括：

基于用户空间对内核物理直接映射区的映射来填充已被异常释放的内存区域；

若检测到用户空间构造的数据成功覆盖所述内存区域，则确认所述内存区域被成功覆盖。

6.根据权利要求1所述的方法，其特征在于，所述步骤S3进一步包括：

分析所述第一函数序列运行样本在运行过程中所获得的可控对象的内容，确定用于控制处于内核上下文的PC寄存器值或泄露内核地址的第二函数序列运行样本。

7.根据权利要求2所述的方法，其特征在于，所述步骤S0进一步包括：

运行第三函数序列运行样本，修改目标对象的引用计数，使得系统中还存在对所述目标对象的引用时，所述目标对象所对应的内存区域被释放；

若检测到所述目标对象的引用计数被修改为零，则确认系统中存在UAF漏洞。

8.一种UAF漏洞利用判断装置，其特征在于，包括：

第一构造模块，用于分析移动终端操作系统的内存分配方式、所述系统中存在UAF漏洞的函数、所述函数的参数以及所述函数的使用场景，构造用于覆盖已被异常释放的内存区域的第一函数序列运行样本；

漏洞验证模块，用于运行所述第一函数序列运行样本，确认所述已释放的内存区域被成功覆盖；

第二构造模块，用于分析所述第一函数序列运行样本在运行过程中所产生的可控对象的内容，构造用于控制所述系统中系统进程的执行流程的第二函数序列运行样本；

漏洞利用模块，用于运行所述第二函数序列运行样本，确认UAF漏洞能够被利用。

9.一种UAF漏洞利用判断设备，其特征在于，包括存储器、处理器、以及总线，

所述处理器和存储器通过所述总线完成相互间的通信；

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述存储器中的程序指令，以执行如权利要求1至7任一所述的方法。

10.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如权利要求1至7任一所述的方法。