儲區(qū)域中不包括非法操作區(qū)域��,則檢測出操作指令不存在漏洞�����,則繼續(xù)判斷下一條操作指令����,直至將運行待檢測應用時所執(zhí)行的所有操作指令均檢測完成,以完成對整個待檢測應用的檢測���。
[0174]采用本發(fā)明實施例�����,通過操作指令所操作的存儲區(qū)域確定操作指令是否存在漏洞��,對待檢測應用執(zhí)行的操作具有很強的針對性����,而不是現(xiàn)有技術中的在挖掘漏洞過程中監(jiān)測到產(chǎn)品崩潰才發(fā)現(xiàn)待檢測應用存在漏洞。具體地�����,本發(fā)明實施例是從待檢測應用執(zhí)行的操作出發(fā)��,通過跟蹤待檢測應用運行時的整個過程中的各個操作���,通過判斷操作中是否存在漏洞來挖掘待檢測應用中的漏洞�,能夠給主動分析漏洞�����,實時性強��,而不是現(xiàn)有技術中被動地等待產(chǎn)品發(fā)生頂層危險行為����。解決了現(xiàn)有技術中黑盒漏洞挖掘方法對漏洞的檢測不準確、漏洞挖掘滯后的問題��,實現(xiàn)了實時準確地檢測待檢測應用的漏洞的效果。
[0175]其中����,本發(fā)明實施例中可以將所有的外部輸入數(shù)據(jù)(如網(wǎng)絡包,外部文件���,用戶輸入的內(nèi)容)標記為污染源(即非法數(shù)據(jù)源),因為外部輸入數(shù)據(jù)是不可信的���,是可以被黑客控制的數(shù)據(jù)����。然后將待檢測應用對非法數(shù)據(jù)源執(zhí)行存儲操作時使用的區(qū)域(即待檢測應用對非法數(shù)據(jù)源執(zhí)行操作時的全部路徑)均標記為非法的非法操作區(qū)域��。
[0176]可選地�,存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼:檢測操作指令的操作對象所在的存儲區(qū)域中是否包括存在非法操作標識的區(qū)域;若檢測出操作指令的操作對象所在的存儲區(qū)域中包括存在非法操作標識的區(qū)域����,則判斷出操作指令所操作的存儲區(qū)域中包括非法操作區(qū)域。
[0177]其中�,非法操作區(qū)域可以使用非法操作標識來標識,通過判斷某個區(qū)域是否使用非法操作標識來判斷該區(qū)域是否為非法操作區(qū)域�����。
[0178]具體地,如果該區(qū)域中存在非法操作標識則判斷出該區(qū)域為非法操作區(qū)域�����;如果該區(qū)域中不存在非法操作標識則判斷出該區(qū)域不為非法操作區(qū)域�����。
[0179]可選地����,在本實施例中,上述存儲介質(zhì)可以包括但不限于:U盤����、只讀存儲器(R0M,Read-Only Memory)�����、隨機存取存儲器(RAM, Random Access Memory)��、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�。
[0180]可選地,本實施例中的具體示例可以參考上述實施例1和實施例2中所描述的示例����,本實施例在此不再贅述。
[0181 ] 上述本發(fā)明實施例序號僅僅為了描述�����,不代表實施例的優(yōu)劣�����。
[0182]在本發(fā)明的上述實施例中��,對各個實施例的描述都各有側(cè)重,某個實施例中沒有詳述的部分����,可以參見其他實施例的相關描述��。
[0183]在本申請所提供的幾個實施例中��,應該理解到�����,所揭露的終端,可通過其它的方式實現(xiàn)����。其中,以上所描述的裝置實施例僅僅是示意性的�����,例如所述單元的劃分�,僅僅為一種邏輯功能劃分,實際實現(xiàn)時可以有另外的劃分方式����,例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng),或一些特征可以忽略���,或不執(zhí)行�����。另一點���,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口��,單元或模塊的間接耦合或通信連接�,可以是電性或其它的形式����。
[0184]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元����,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡單元上���?����?梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。
[0185]另外��,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中���,也可以是各個單元單獨物理存在�����,也可以兩個或兩個以上單元集成在一個單元中���。上述集成的單元既可以采用硬件的形式實現(xiàn)�,也可以采用軟件功能單元的形式實現(xiàn)���。
[0186]所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時�����,可以存儲在一個計算機可提取存儲介質(zhì)中��?��;谶@樣的理解,本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來��,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中�����,包括若干指令用以使得一臺計算機設備(可為個人計算機����、服務器或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟�。而前述的存儲介質(zhì)包括:U盤�、只讀存儲器(ROM, Read-Only Memory)、隨機存取存儲器(RAM, Random Access Memory)���、移動硬盤��、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)��。
[0187]以上所述僅是本發(fā)明的優(yōu)選實施方式����,應當指出���,對于本技術領域的普通技術人員來說���,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾�,這些改進和潤飾也應視為本發(fā)明的保護范圍。
【主權項】
1.一種漏洞檢測方法���,其特征在于,包括: 將待檢測應用對已標記為非法的非法數(shù)據(jù)源執(zhí)行存儲操作時使用的區(qū)域標記為非法的非法操作區(qū)域����; 獲取在運行所述待檢測應用時所執(zhí)行的操作指令��; 判斷所述操作指令所操作的存儲區(qū)域中是否包括所述非法操作區(qū)域�����; 若所述操作指令所操作的所述存儲區(qū)域中包括所述非法操作區(qū)域���,則檢測出所述操作指令存在漏洞。2.根據(jù)權利要求1所述的漏洞檢測方法��,其特征在于���,所述判斷所述操作指令所操作的存儲區(qū)域中是否包括所述非法操作區(qū)域包括: 檢測所述操作指令的操作對象所在的所述存儲區(qū)域中是否包括存在非法操作標識的區(qū)域���; 若檢測出所述操作指令的所述操作對象所在的所述存儲區(qū)域中包括所述存在非法操作標識的區(qū)域,則判斷出所述操作指令所操作的所述存儲區(qū)域中包括所述非法操作區(qū)域��。3.根據(jù)權利要求2所述的漏洞檢測方法�����,其特征在于���,所述檢測所述操作指令的操作對象所在的所述存儲區(qū)域中是否包括存在非法操作標識的區(qū)域包括: 在所述操作指令為將所述操作對象從源區(qū)域復制至第一目標區(qū)域的指令的情況下�����,檢測所述源區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中是否包括所述存在非法操作標識的區(qū)域�����; 若所述源區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中包括所述存在非法操作標識的區(qū)域����,則檢測出所述操作指令的所述操作對象所在的所述存儲區(qū)域中包括所述存在非法操作標識的區(qū)域。4.根據(jù)權利要求2所述的漏洞檢測方法��,其特征在于�����,所述檢測所述操作指令的操作對象所在的所述存儲區(qū)域中是否包括存在非法操作標識的區(qū)域包括: 在所述操作指令為將所述操作對象存儲至第二目標區(qū)域的指令的情況下����,檢測所述第二目標區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中是否包括所述存在非法操作標識的區(qū)域; 若所述第二目標區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中包括所述存在非法操作標識的區(qū)域��,則檢測出所述操作指令的所述操作對象所在的所述存儲區(qū)域中包括所述存在非法操作標識的區(qū)域。5.根據(jù)權利要求1至4中任意一項所述的漏洞檢測方法����,其特征在于�����, 在檢測出所述操作指令存在漏洞之后����,所述漏洞檢測方法包括:上報所述操作指令和所述漏洞。6.根據(jù)權利要求1至4中任意一項所述的漏洞檢測方法�����,其特征在于�,獲取在運行所述待檢測應用時所執(zhí)行的操作指令包括: 在所述待檢測應用上執(zhí)行測試用例; 獲取所述檢測應用執(zhí)行所述測試用例時的運行指令��,其中����,所述運行指令為匯編指令; 將所述運行指令轉(zhuǎn)換為所述操作指令��,其中�����,所述操作指令為使用中間語言描述的指令,所述中間語言為應用于抽象機器的編程語言����。7.根據(jù)權利要求3或4所述的漏洞檢測方法,其特征在于�,所述寄存區(qū)域為所述系統(tǒng)的內(nèi)存和所述系統(tǒng)的處理器中的寄存器。8.一種漏洞檢測裝置����,其特征在于,包括: 標記模塊�����,用于將待檢測應用對已標記為非法的非法數(shù)據(jù)源執(zhí)行存儲操作時使用的區(qū)域標記為非法的非法操作區(qū)域����; 指令獲取模塊,用于獲取在運行待檢測應用時所執(zhí)行的操作指令�; 區(qū)域判斷模塊,用于判斷所述操作指令所操作的存儲區(qū)域中是否包括所述非法操作區(qū)域�����; 漏洞檢測模塊,用于若所述操作指令所操作的所述存儲區(qū)域中包括所述非法操作區(qū)域���,則檢測出所述操作指令存在漏洞。9.根據(jù)權利要求8所述的漏洞檢測裝置����,其特征在于,所述區(qū)域判斷模塊包括: 區(qū)域檢測模塊�,用于檢測所述操作指令的操作對象所在的所述存儲區(qū)域中是否包括存在非法操作標識的區(qū)域; 區(qū)域確定模塊�����,用于若檢測出所述操作指令的所述操作對象所在的所述存儲區(qū)域中包括所述存在非法操作標識的區(qū)域��,則判斷出所述操作指令所操作的所述存儲區(qū)域中包括所述非法操作區(qū)域�����。10.根據(jù)權利要求9所述的漏洞檢測裝置���,其特征在于�,所述區(qū)域檢測模塊包括: 第一檢測子模塊,用于在所述操作指令為將所述操作對象從源區(qū)域復制至第一目標區(qū)域的指令的情況下���,檢測所述源區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中是否包括所述存在非法操作標識的區(qū)域����; 第一確定子模塊�,用于若所述源區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中包括所述存在非法操作標識的區(qū)域,則檢測出所述操作指令的所述操作對象所在的所述存儲區(qū)域中包括所述存在非法操作標識的區(qū)域�。11.根據(jù)權利要求9所述的漏洞檢測裝置,其特征在于���,所述區(qū)域檢測模塊包括: 第二檢測子模塊�����,用于在所述操作指令為將所述操作對象存儲至第二目標區(qū)域的指令的情況下��,檢測所述第二目標區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中是否包括所述存在非法操作標識的區(qū)域����; 第二確定子模塊�����,用于若所述第二目標區(qū)域?qū)倪\行所述待檢測應用的系統(tǒng)的寄存區(qū)域中包括所述存在非法操作標識的區(qū)域,則檢測出所述操作指令的所述操作對象所在的所述存儲區(qū)域中包括所述存在非法操作標識的區(qū)域����。12.根據(jù)權利要求8至11中任意一項所述的漏洞檢測裝置,其特征在于�,所述漏洞檢測裝置包括: 上報模塊,用于在檢測出所述操作指令存在漏洞之后��,上報所述操作指令和所述漏洞���。13.根據(jù)權利要求8至11中任意一項所述的漏洞檢測裝置,其特征在于��,所述指令獲取模塊包括: 執(zhí)行模塊�,用于在所述待檢測應用上執(zhí)行測試用例; 獲取子模塊�����,用于獲取所述檢測應用執(zhí)行所述測試用例時的運行指令�,其中,所述運行指令為匯編指令����; 轉(zhuǎn)換模塊�����,用于將所述運行指令轉(zhuǎn)換為所述操作指令����,其中�,所述操作指令為使用中間語言描述的指令,所述中間語言為應用于抽象機器的編程語言��。14.根據(jù)權利要求10或11所述的漏洞檢測裝置�����,其特征在于�,所述寄存區(qū)域為所述系統(tǒng)的內(nèi)存和所述系統(tǒng)的處理器中的寄存器。
【專利摘要】本發(fā)明公開了一種漏洞檢測方法及裝置����。其中,該方法包括:將待檢測應用對已標記為非法的非法數(shù)據(jù)源執(zhí)行存儲操作時使用的區(qū)域標記為非法的非法操作區(qū)域��;獲取在運行待檢測應用時所執(zhí)行的操作指令��;判斷操作指令所操作的存儲區(qū)域中是否包括已標識為非法的非法操作區(qū)域���;若操作指令所操作的存儲區(qū)域中包括非法操作區(qū)域���,則檢測出操作指令存在漏洞��。采用本發(fā)明�,解決了現(xiàn)有技術中黑盒漏洞挖掘方法對漏洞的檢測不準確的問題�����,實現(xiàn)了實時準確地檢測待檢測應用的漏洞的效果�����。
【IPC分類】G06F21/57, G06F11/36
【公開號】CN105204985
【申請?zhí)枴緾N201410283564
【發(fā)明人】郭冕
【申請人】騰訊科技(深圳)有限公司
【公開日】2015年12月30日
【申請日】2014年6月23日