[发明专利]一种网页防挂马的方法有效
| 申请号: | 200810198999.X | 申请日: | 2008-10-07 |
| 公开(公告)号: | CN101388057A | 公开(公告)日: | 2009-03-18 |
| 发明(设计)人: | 李成科;程虎;陈志强 | 申请(专利权)人: | 珠海金山软件股份有限公司 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 广州新诺专利商标事务所有限公司 | 代理人: | 杨焕军 |
| 地址: | 519015广东省珠海市*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种防御网页挂马方法。网页防挂马的方法包括如下步骤:A.监视JavaScript的内存分配情况,判断被分配的堆是否覆盖到了0x0A0A0A0A、0x0C0C0C0C或0x0D0D0D0D;是,进入B,否,进入H;B.挂接一些API函数;C.判断API函数的返回地址是否跟0x0A0A0A0A或0x0C0C0C0C或0x0D0D0D0D在同一个内存内;是,进入D,否,进入E;D.进入步骤G;E.判断该内存块属性的Type是否为MEM_IMAGE;是,进F,否,进D;F.比较存中的数据和磁盘文件数据;相同,进H,不同,进D;G.拦截有危害的操作;H.对原始函数放行。上述方法可以进一步精确地检测网页挂马行为。 | ||
| 搜索关键词: | 一种 网页 防挂马 方法 | ||
【主权项】:
1、一种网页防挂马的方法,其特征在于,包括如下步骤:A、监视JavaScript的内存分配情况,判断被分配的堆是否覆盖到了0x0A0A0A0A、0x0C0C0C0C、0x0D0D0D0D三个地址之一;如果是,进入步骤B,如果否,进入步骤H;B、挂接若干网络API函数和恶意代码常用或者必须用到的API函数,进入步骤C;C、当所述API函数被调用时,判断API函数的返回地址是否跟0x0A0A0A0A、0x0C0C0C0C、0x0D0D0D0D三个地址之一在同一个内存块内;如果是,进入步骤D,如果否,进入步骤E;D、网页已经被挂马,进入步骤G;E、调用VirtualQuery来获取返回地址所在内存块的属性,判断该内存块属性的Type是否为MEM_IMAGE;如果是,进入步骤F,如果否,进入步骤D;F、将返回地址所在模块的内存中的数据与该模块对应磁盘文件的数据进行比较;如果相同,进入步骤H,如果不相同,进入步骤D;G、挂接的API函数返回失败,拦截挂马使用所述API函数对应的原始函数进行的有危害的操作,达到防御的目的;H、未检测到网页被挂马,步骤B中挂接的API函数对原始函数放行,即调用原始函数完成相应的功能。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于珠海金山软件股份有限公司,未经珠海金山软件股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200810198999.X/,转载请声明来源钻瓜专利网。
- 上一篇:包含反噪声发生器的半导体存储器件及其控制方法
- 下一篇:螺锁工具结构
