[发明专利]漏洞检测方法及装置

权利要求书

1.一种漏洞检测方法，其特征在于，包括：

对终端设备的系统进行虚拟化处理；

利用虚拟化后的虚拟机监视器对所述终端设备对应的操作行为进行内存权限监控，以检测所述操作行为是否发生内存访问违规；

若发生内存访问违规，则确定检测到疑似未知漏洞，并将所述操作行为对应的上下文环境进行保存，所述上下文环境用于对所述疑似未知漏洞检测进一步检测；

所述利用虚拟化后的虚拟机监视器对所述终端设备对应的操作行为进行内存权限监控，以检测所述操作行为是否发生内存访问违规，包括：

利用虚拟化后的虚拟机监视器对所述终端设备对应的操作行为访问的物理内存页面进行监控；

检测所述访问的物理内存页面是否符合预设条件；

若符合，则确定所述操作行为发生内存访问违规；

所述检测所述访问的物理内存页面是否符合预设条件，包括：检测所述访问的物理内存页面是否属于第一物理内存页面集合且属于第二物理内存页面集合，所述第一物理内存页面集合为所述系统中各个物理内存页面的集合，所述第二物理内存页面集合为所述系统中不具有写入权限的物理内存页面的集合；

所述若发生内存访问违规，则确定检测到疑似未知漏洞，包括：若是，则确定所述操作行为发生内存写入违规，并确定检测到疑似的未知漏洞提权操作。

2.根据权利要求1所述的方法，其特征在于，所述检测所述访问的物理内存页面是否符合预设条件之前，所述方法还包括：

枚举所述系统的各个物理内存页面，并枚举所述系统的各个系统进程控制域对应的物理内存页面；

根据所述系统的各个物理内存页面，构建所述第一物理内存页面集合；

根据所述各个系统进程控制域对应的物理内存页面，构建所述第二物理内存页面集合。

3.根据权利要求1所述的方法，其特征在于，所述检测所述访问的物理内存页面是否符合预设条件，包括：

检测所述访问的物理内存页面是否属于第三物理内存页面集合但不属于第四物理内存页面集合，所述第三物理内存页面集合为所述系统中各个物理内存页面的集合，所述第四物理内存页面集合为所述系统中具有执行权限的物理内存页面的集合；

所述若发生内存访问违规，则确定检测到疑似未知漏洞，包括：

若是，则确定所述操作行为发生内存执行违规，并确定检测到疑似的未知漏洞shellcode操作。

4.根据权利要求3所述的方法，其特征在于，所述检测所述访问的物理内存页面是否符合预设条件之前，所述方法还包括：

枚举所述系统的各个物理内存页面，并枚举所述系统各个已经载入内存的可执行模块；

根据所述系统的各个物理内存页面，构建所述第三物理内存页面集合；

根据所述可执行模块对应的物理内存页面，构建所述第四物理内存页面集合。

5.根据权利要求1所述的方法，其特征在于，所述确定检测到疑似未知漏洞之后，所述方法还包括：

对所述操作行为进行拦截处理。

6.根据权利要求1所述的方法，其特征在于，所述上下文环境包括中央处理器寄存器信息、进程模块信息、调用堆栈信息，所述将所述操作行为对应的上下文环境进行保存，包括：

利用虚拟机控制域获取所述中央处理器寄存器信息，利用内存访问违规的代码虚拟地址获取所述进程模块信息，并利用预设栈回溯函数获取所述调用堆栈信息；

将所述中央处理器寄存器信息、所述进程模块信息和所述调用堆栈信息保存到共享内存。