漏洞防御方法及裝置、電子設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及電子設(shè)備防護技術(shù)領(lǐng)域，特別是涉及漏洞防御方法及裝置、電子設(shè)備。
【背景技術(shù)】
[0002]隨著電子設(shè)備的普及，黑客常編寫惡意程序利用漏洞對計算機等電子設(shè)備進行惡意訪問，因此確定訪問行為的性質(zhì)尤為重要。
[0003]現(xiàn)有技術(shù)對針對操作系統(tǒng)的應(yīng)用程序編程接口(API，Applicat1n ProgrammingInterface)的訪問行為進行監(jiān)控，從而確定各訪問行為的性質(zhì)。使用這種方式，技術(shù)人員對每一個需要監(jiān)控的應(yīng)用程序編程接口，都需要編寫一段用于監(jiān)控針對該應(yīng)用程序編程接口的訪問行為的代碼以及用于判斷該訪問行為性質(zhì)的代碼。
[0004]由于應(yīng)用程序編程接口數(shù)量眾多，因此現(xiàn)有的方式下需要編寫大量的代碼，工作量巨大。

【發(fā)明內(nèi)容】

[0005]本發(fā)明實施例的目的在于提供一種漏洞防御方法及裝置、電子設(shè)備，以實現(xiàn)減小工作量的目的。
[0006]為達到上述目的，本發(fā)明實施例公開了一種漏洞防御方法，包括:
[0007]監(jiān)測操作系統(tǒng)中的進程，中斷所述進程對動態(tài)鏈接庫文件的訪問行為；
[0008]獲取中斷的訪問行為的執(zhí)行地址；
[0009]判斷所述訪問行為的執(zhí)行地址是否位于堆地址空間范圍或棧地址空間范圍中，如果是，則確定所述進程的訪問行為是惡意訪問行為，否則，確定所述進程的訪問行為是非惡意訪問行為。
[0010]可選的，監(jiān)測操作系統(tǒng)中的進程之前還包括:
[0011]遍歷操作系統(tǒng)中的進程的所有線程，對預(yù)定的動態(tài)鏈接庫文件的導(dǎo)出表設(shè)置硬件訪問斷點，并注冊相應(yīng)的向量異?；卣{(diào)函數(shù)。
[0012]可選的，所述監(jiān)測操作系統(tǒng)中的進程，中斷所述進程對動態(tài)鏈接庫文件的訪問行為，包括:
[0013]監(jiān)測所述進程的所有線程，若所述進程的線程訪問預(yù)定的動態(tài)鏈接庫文件的導(dǎo)出表，則通過設(shè)置的硬件訪問斷點中斷所述進程的線程對所述預(yù)定的動態(tài)鏈接庫的訪問行為。
[0014]可選的，所述獲取中斷的訪問行為的執(zhí)行地址，包括:
[0015]當(dāng)所述進程的線程訪問預(yù)定的動態(tài)鏈接庫文件的導(dǎo)出表時觸發(fā)所述硬件訪問斷點，所述向量異?；卣{(diào)函數(shù)獲取所述硬件訪問斷點地址作為中斷的訪問行為的執(zhí)行地址。
[0016]可選的，判斷所述訪問行為的執(zhí)行地址是否位于棧地址空間范圍中包括:根據(jù)所述線程的線程信息塊的結(jié)構(gòu)字段信息確定棧地址起始范圍，進而判斷所述訪問行為的執(zhí)行地址是否位于棧地址空間范圍中；
[0017]判斷所述訪問行為的執(zhí)行地址是否位于堆地址空間范圍中包括:根據(jù)所述進程的進程環(huán)境塊的結(jié)構(gòu)字段信息確定堆地址起始范圍，進而判斷所述訪問行為的執(zhí)行地址是否位于堆地址空間范圍中。
[0018]可選的，所述方法還包括:
[0019]判斷所述訪問行為的執(zhí)行地址是否位于模塊地址空間范圍中，如果是，則確定所述進程的訪問行為是正常程序訪問行為。
[0020]可選的，判斷所述訪問行為的執(zhí)行地址是否位于模塊地址空間范圍中包括:
[0021 ] 根據(jù)所述動態(tài)鏈接庫文件的文件結(jié)構(gòu)確定模塊地址的起始范圍，進而判斷所述訪問行為的執(zhí)行地址是否位于模塊地址空間范圍中。
[0022]可選的，確定所述進程的訪問行為是惡意訪問行為后，所述方法還包括:
[0023]拒絕所述進程訪問所述動態(tài)鏈接庫文件；
[0024]和/ 或，
[0025]結(jié)束所述進程。
[0026]可選的，確定所述進程的訪問行為是非惡意訪問行為后，或確定所述進程的訪問行為是正常程序訪問行為后，所述方法還包括:
[0027]結(jié)束對所述訪問行為的中斷處理，以使所述進程對動態(tài)鏈接庫文件的訪問行為繼續(xù)進行。
[0028]一種漏洞防御裝置，包括:訪問中斷單元、地址獲得單元、地址判斷單元、第一訪問確定單元和第二訪問確定單元，
[0029]所述訪問中斷單元，用于監(jiān)測操作系統(tǒng)中的進程，中斷所述進程對動態(tài)鏈接庫文件的訪問行為；
[0030]所述地址獲得單元，用于獲取中斷的訪問行為的執(zhí)行地址；
[0031]所述地址判斷單元，用于判斷所述訪問行為的執(zhí)行地址是否位于堆地址空間范圍或棧地址空間范圍中，如果是，則觸發(fā)第一訪問確定單元，否則，觸發(fā)所述第二訪問確定單元;
[0032]所述惡意訪問確定單元，用于確定所述進程的訪問行為是惡意訪問行為；
[0033]所述正常訪問確定單元，用于確定所述進程的訪問行為是非惡意訪問行為。
[0034]可選的，還包括:斷點設(shè)置單元，用于在所述訪問中斷單元監(jiān)測操作系統(tǒng)中的進程之前，遍歷操作系統(tǒng)中的進程的所有線程，對預(yù)定的動態(tài)鏈接庫文件的導(dǎo)出表設(shè)置硬件訪問斷點，并注冊相應(yīng)的向量異?；卣{(diào)函數(shù)。
[0035]可選的，所述訪問中斷單元，具體用于:
[0036]監(jiān)測所述進程的所有線程，若所述進程的線程訪問預(yù)定的動態(tài)鏈接庫文件的導(dǎo)出表，則通過設(shè)置的硬件訪問斷點中斷所述進程的線程對所述預(yù)定的動態(tài)鏈接庫的訪問行為。
[0037]可選的，所述地址獲得單元，具體用于:
[0038]當(dāng)所述進程的線程訪問預(yù)定的動態(tài)鏈接庫文件的導(dǎo)出表時觸發(fā)所述硬件訪問斷點，所述向量異?；卣{(diào)函數(shù)獲取所述硬件訪問斷點地址作為中斷的訪問行為的執(zhí)行地址。
[0039]可選的，所述地址判斷單元，包括:堆地址判斷子單元、桟地址判斷子單元和關(guān)系確定子單元，
[0040]所述堆地址判斷子單元，用于根據(jù)所述線程的線程信息塊的結(jié)構(gòu)字段信息確定棧地址起始范圍，進而判斷所述訪問行為的執(zhí)行地址是否位于棧地址空間范圍中；
[0041]所述棧地址判斷子單元，用于根據(jù)所述進程的進程環(huán)境塊的結(jié)構(gòu)字段信息確定堆地址起始范圍，進而判斷所述訪問行為的執(zhí)行地址是否位于堆地址空間范圍中；
[0042]所述關(guān)系確定子單元，用于根據(jù)所述堆地址判斷子單元和所述棧地址判斷子單元的判斷結(jié)果，確定所述訪問行為的執(zhí)行地址是否位于堆地址空間范圍或棧地址空間范圍中，如果是，則觸發(fā)第一訪問確定單元，否則，觸發(fā)所述第二訪問確定單元。
[0043]可選的，所述裝置還包括:模塊判斷單元，用于判斷所述訪問行為的執(zhí)行地址是否位于模塊地址空間范圍中，如果是，則確定所述進程的訪問行為是正常程序訪問行為。
[0044]可選的，所述模塊判斷單元，具體用于根據(jù)所述動態(tài)鏈接庫文件的文件結(jié)構(gòu)確定模塊地址的起始范圍，進而判斷所述訪問行為的執(zhí)行地址是否位于模塊地址空間范圍中，如果是，則確定所述進程的訪問行為是正常程序訪問行為。
[0045]可選的，所述裝置還包括:進程拒絕單元和/或進程結(jié)束單元，
[0046]所述進程拒絕單元，用于在所述第一訪問確定單元確定所述進程的訪問行為是惡意訪問行為后，拒絕所述進程訪問所述動態(tài)鏈接庫文件；
[0047]所述進程結(jié)束單元，用于在所述第一訪問確定單元確定所述進程的訪問行為是惡意訪問行為后，結(jié)束所述進程。
[0048]可選的，所述裝置還包括:中斷結(jié)束單元，用于在所述第二訪問確定單元確定所述進程的訪問行為是非惡意訪問行為后，或所述模塊判斷單元確定所述進程的訪問行為是正常程序訪問行為后，結(jié)束對所述訪問行為的中斷處理，以使所述進程對動態(tài)鏈接庫文件的訪問行為繼續(xù)進行。