本申请涉及计算机技术领域,具体涉及信息安全技术领域,尤其涉及用于修复内核漏洞的方法和装置。
背景技术:
内核是操作系统的核心,负责管理系统的进程、内存、设备驱动程序、文件和网络系统等,决定着系统的性能和稳定性。由于采用替换内核并重启系统的内核漏洞修复代码方法,不能满足高可靠性要求,因此,需要一种支持在内核运行过程中可立即升级待修复内核功能的漏洞修复代码技术。现有的内核热漏洞修复代码技术以内存漏洞修复代码的形式在内核运行过程中对内核功能进行修复,不需要替换整个内核,有利于提高系统的可靠性。
由于Linux等操作系统的内核的碎片化,不同的内核对于同一结构体的定义,同一函数的实现代码可能不同,不同的编译选项也可能会导致内核的差异,这给Linux内核热补丁方案提出了极大挑战。目前业界的热补丁解决方案需要编译目标内核的源码和修复代码来生成补丁,同时也限定了补丁只能应用于此目标内核,如果需要应用于其他内核则需要重新编译生成新的补丁。当需要修补的内核版本较多时,需要花费大量的资源。
技术实现要素:
本申请的目的在于提出一种改进的用于修复内核漏洞的方法,该方法包括:收集待修复内核的属性信息,属性信息包括用于表征待修复内核所支持代码加载方式的特征信息;获取与特征信息匹配的漏洞修复代码,其中,漏洞修复代码用于调用补丁应用程序编程接口,补丁应用程序编程接口用于使漏洞修复代码与不同内核的内核函数适配;加载漏洞修复代码并对漏洞修复代码中包含的指令进行重定位;将漏洞修复代码中补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址;执行地址替换后的漏洞修复代码以修复内核漏洞。
在一些实施例中,获取与特征信息匹配的漏洞修复代码,包括:获取服务器中存储的、与特征信息匹配的漏洞修复代码,其中,服务器中针对不同内核存储有相同的漏洞修复代码。
在一些实施例中,特征信息包括:系统调用信息;以及获取与特征信息匹配的漏洞修复代码,包括:获取与系统调用信息匹配的内核模块类型的漏洞修复代码。
在一些实施例中,特征信息包括:物理内存设备或内核驱动信息;获取与特征信息匹配的漏洞修复代码,包括:获取与物理内存设备或内核驱动信息匹配的指令序列类型的漏洞修复代码。
在一些实施例中,加载漏洞修复代码并对漏洞修复代码中包含的指令进行重定位,包括:获取描述待修复内核的元数据信息;对漏洞修复代码中包含的指令进行重定位后,再加载漏洞修复代码,其中,漏洞修复代码在执行时使用元数据信息。
在一些实施例中,元数据信息包括以下至少一项:内核函数名称和内核函数的地址,内核变量名称和内核变量地址,内核结构体名称,内核结构体地址,内核结构体成员名称,内核结构体成员大小。
在一些实施例中,获取描述待修复内核的元数据信息,包括:通过补丁应用程序编程接口获取保存在内核中的元数据信息;和/或通过补丁应用程序编程接口从内核镜像中获取元数据信息,其中,内核镜像为内核在编译时产生的包含每个符号定义和地址的镜像;和/或以云方式下载元数据信息。
第二方面,本申请提供了一种用于修复内核漏洞的装置,该装置包括:收集单元,用于收集待修复内核的属性信息,属性信息包括用于表征待修复内核所支持代码加载方式的特征信息;获取单元,用于获取与特征信息匹配的漏洞修复代码,其中,漏洞修复代码用于调用补丁应用程序编程接口,补丁应用程序编程接口用于使漏洞修复代码与不同内核的内核函数适配;重定位单元,用于加载漏洞修复代码并对漏洞修复代码中包含的指令进行重定位;替换单元,用于将漏洞修复代码中补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址;执行单元,用于执行地址替换后的漏洞修复代码以修复内核漏洞。
在一些实施例中,获取单元进一步用于:获取服务器中存储的、与特征信息匹配的漏洞修复代码,其中,服务器中针对不同内核存储有相同的漏洞修复代码。
在一些实施例中,特征信息包括:系统调用信息;以及获取单元进一步用于:获取与系统调用信息匹配的内核模块类型的漏洞修复代码。
在一些实施例中,特征信息包括:物理内存设备或内核驱动信息;以及获取单元进一步用于:获取与物理内存设备或内核驱动信息匹配的指令序列类型的漏洞修复代码。
在一些实施例中,该装置还包括元数据获取单元,用于获取描述待修复内核的元数据信息;以及重定位单元进一步用于对漏洞修复代码中包含的指令进行重定位后,再加载漏洞修复代码,其中,漏洞修复代码在执行时使用元数据信息。
在一些实施例中,元数据信息包括以下至少一项:内核函数名称和内核函数的地址,内核变量名称和内核变量地址,内核结构体名称,内核结构体地址,内核结构体成员名称,内核结构体成员大小。
在一些实施例中,元数据获取单元进一步用于:通过补丁应用程序编程接口获取保存在内核中的元数据信息;和/或通过补丁应用程序编程接口从内核镜像中获取元数据信息,其中,内核镜像为内核在编译时产生的包含每个符号定义和地址的镜像;和/或以云方式下载元数据信息。
本申请提供的用于修复内核漏洞的方法和装置,获取与内核所支持的加载方式匹配的漏洞修复代码并对该漏洞修复代码进行重定位,并将漏洞修复代码中补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址,再执行地址替换后的漏洞修复代码,使得地址替换后的漏洞修复代码可以在内核中加载以实现对内核的漏洞修复。这种漏洞修复方法可以兼容于多个内核修复代码加载方法,不依赖于内核源码及其内核功能,漏洞修复代码可自适配不同的内核编译版本,克服了Linux系统碎片化的影响。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本申请的用于修复内核漏洞的方法的一个实施例的流程图;
图3是根据本申请的用于修复内核漏洞的方法的又一个实施例的流程图;
图4是根据本申请的用于修复内核漏洞的装置的一个实施例的结构示意图;
图5是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的用于修复内核漏洞的方法或用于修复内核漏洞的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有安全软件等通讯客户端应用。
终端设备101、102、103可以是各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103提供数据支持的云端服务器。云端服务器可以对接收到的漏洞修复代码请求等数据进行分析等处理,并将处理结果(例如预设的漏洞修复代码)反馈给终端设备101、102、103。
需要说明的是,本申请实施例所提供的用于修复内核漏洞的方法一般由终端设备101、102、103执行,一些步骤也可以由服务器105执行;相应地,用于修复内核漏洞的装置一般设置于终端设备101、102、103中,用于修复内核漏洞的装置的一些单元也可以设置在服务器105中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的用于修复内核漏洞的方法的一个实施例的流程200。该用于修复内核漏洞的方法,包括以下步骤:
步骤201,收集待修复内核的属性信息。
在本实施例中,用于修复内核漏洞的方法运行于其上的电子设备(例如图1所示的终端设备)可以首先对该电子设备中待修复内核进行分析,从而收集该内核的属性信息。待修复内核可以是各种操作系统的内核,相应的操作系统可以是Windows、Linux等。其中,该属性信息可以是各种用于描述内核相关属性的信息,例如内核版本信息、内核配置信息等。在此,该属性信息中包括待修复内核所支持代码加载方式的特征信息。特征信息为指示待修复内核使用何种模式加载漏洞修复代码的信息。特征信息可包括用于指示待修复内核是否支持加载内核模块格式的漏洞修复代码的系统调用信息,和/或用于指示待修复内核是否支持加载指令序列类型的漏洞修复代码的物理内存设备或内核驱动信息。不同的内核编译版本,其支持的代码加载方式可能不同,待修复内核所支持的代码加载方式即可以通过上述特征信息进行表征。其中代码记载方式可以是内核记载代码的各种方式,例如加载内核模块方式、操作内存方式以及其他系统可能支持的代码加载方式。
在本实施例的一些可选实现方式中,上述属性信息包括以下至少一项:修复状态;修复日志;元数据信息;系统版本信息;用于指示待修复内核是否支持加载内核模块格式的漏洞修复代码的系统调用信息;用于指示待修复内核是否支持加载指令序列类型的漏洞修复代码的物理内存设备或内核驱动信息;内核配置信息。其中,系统调用信息和物理内存设备或内核驱动信息为特征信息。
步骤202,获取与上述特征信息匹配的漏洞修复代码。
在本实施例中,电子设备可以在预先设置的一个或多个漏洞修复代码中,获取与上述特征信息匹配的漏洞修复代码,上述漏洞修复代码用于调用补丁应用程序编程接口,该补丁应用程序编程接口用于使上述漏洞修复代码与不同内核的内核函数适配。内核函数指位于操作系统内部且只能在内核模式下调用的函数。
通常,预先设置的一个或多个漏洞修复代码可以是用于对待修复内核进行修复的各种漏洞修复代码。这些预先设置的一个或多个漏洞修复代码可以是存储在电子设备本地,也可以存储在服务器上,且可以是各种形式的。其中,所获取的漏洞修复代码可以是内核模块形式,也可以是指令序列形式,还可以是预先约定的、且可被电子设备解释与执行的指示组合。内核模块形式是指可在内核运行时加载到内核的一组目标代码,在重构和使用可装载模块时并不需要重新编译内核。漏洞修复代码与特征信息之间的匹配关系可以是预先设置的。电子设备在获取漏洞修复代码时,即可以根据上述匹配关系获取到与上述特征信息匹配的漏洞修复代码。例如,当特征信息指示内核支持以预先约定的指示组合加载代码时,所匹配的漏洞修复代码可以是相应的指示组合形式。
在本实施例的一些可选实现方式中,补丁应用程序编程接口用于使上述漏洞修复代码与不同内核的内核函数适配。该补丁应用程序编程接口的功能包括但不限于以下各项:根据内核符号名称确定漏洞修复代码的函数地址(漏洞修复代码在编译时,每一个函数都有一个入口地址,该入口地址就是函数地址)和/或漏洞修复代码所调用的内核函数的地址(内核在编译时,每一个内核函数都有一个入口地址,该入口地址就是内核函数地址);从内核函数的地址开始搜索指令特征以确定漏洞修复代码所包含的指令位置;向指定的地址写入预设大小的数据;使用预先提供的漏洞信息(例如漏洞函数名称、地址、漏洞修复函数地址等)来修改待修复函数并调用漏洞修复函数;用于获取内核结构体的成员的偏移;用于获取内核结构体的成员的值。补丁应用程序编程接口可以将内核间的差异限制在补丁应用程序编程接口内,对于漏洞修复代码来说,消除了内核间差异,提高了漏洞修复代码的自适应性。
在本实施例的一些可选实现方式中,步骤202可以具体包括:获取服务器中存储的、与上述特征信息匹配的漏洞修复代码,其中,服务器中针对不同内核存储有相同的漏洞修复代码。因此,一套漏洞修复代码可应用于多个内核,而不需要针对同一漏洞为不同的内核提供不同版本的漏洞修复代码。在本实施例中,电子设备可以通过有线连接方式或者无线连接方式从服务器中获取与上述特征信息匹配的漏洞修复代码。该服务器中存储的漏洞修复代码可以是实现更新的,因此。在具体获取时,电子设备可以向服务器发送对漏洞修复代码的请求,服务器可以根据该请求向分发相应的漏洞代码。
可选的,电子设备还可以将相应的属性信息通过请求发送至服务器,使服务器返回的漏洞修复代码与上述特征信息匹配。上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。通过这种方式,电子设备可以获取到实时更新的漏洞修复代码,使得对内核漏洞的修复具有更强的实时性,进一步保证内核的安全性。
在本实施例的一些可选实现方式中,当属性信息包括系统调用信息时,获取与该系统调用信息匹配的内核模块类型的漏洞修复代码。
在本实施例的一些可选实现方式中,当属性信息包括物理内存设备或内核驱动信息时,获取与物理内存设备或内核驱动信息匹配的指令序列类型的漏洞修复代码。
以Linux操作系统为例进行说明。例如,有的内核编译版本中存在预设的系统调用信息,该预设的系统调用信息可用于加载内核模块。当收集到系统调用信息时,意味着该内核模块可以支持内核模块的加载,则在获取漏洞修复代码时,可以获取内核模块类型的漏洞修复代码。上述预设的系统调用可以是模块加载与卸载函数,例如Linux系统的系统调用函数(如init_module、finit_module、delete_module),也可以是其他各种用于加载或卸载内核模块的系统调用。
又例如,有的内核编译版本中存在预设的物理内存设备或内核驱动信息,该预设的物理内存设备或内核驱动信息可用于对内存进行操作来加载和移除代码。当收集到物理内存设备或内核驱动信息时,意味着内核支持使用该物理内存设备或内核驱动进行操作内存以加载代码,则所获取的漏洞修复代码可以是可在内存中直接加载执行的指令序列。
可选的,当同时收集到系统调用与物理内存设备或内核驱动信息时,内核模块类型与指令序列类型的漏洞修复代码均匹配,电子设备可以选择任意一项。
步骤203,加载漏洞修复代码并对漏洞修复代码中包含的指令进行重定位。
在本实施例中,将步骤202获取的漏洞修复代码加载,并对漏洞修复代码中包含的指令进行重定位。重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程,也就是说在加载漏洞修复代码时对目标程序中指令和数据的修改过程。
步骤204,将漏洞修复代码中补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址。
在本实施例中,漏洞修复代码只是对补丁应用程序编程接口符号的引用,是不能运行的。而待修复的内核中已经存在补丁应用程序编程接口的实现函数。因此需要将补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址,使得替换地址后的漏洞修复代码可以运行。
步骤205,执行地址替换后的漏洞修复代码以修复内核漏洞。
在本实施例中,执行经地址替换处理后的漏洞修复代码,完成漏洞修复代码的加载以修复内核漏洞。
本申请的上述实施例提供的方法,通过加载由补丁应用程序编程接口组成的可自适应于不同内核版本的漏洞修复代码,可不依赖于当前运行系统的内核源码,大大减少了传统热补丁技术方案的维护成本。
进一步参考图3,其示出了用于修复内核漏洞的方法的又一个实施例的流程300。该用于修复内核漏洞的方法的流程300,包括以下步骤:
步骤301,收集待修复内核的属性信息。
在本实施例中,步骤301中的具体处理可以参考图2对应实施例中的步骤201,这里不再赘述。
步骤302,获取与特征信息匹配的漏洞修复代码。
在本实施例中,步骤302中的具体处理可以参考图2对应实施例中的步骤202,这里不再赘述。
步骤303,获取描述待修复内核的元数据信息。
在本实施例中,元数据信息用来描述内核的特定信息(如内核的某结构体成员的偏移,某内核函数地址,某内核变量地址等),作为自适应漏洞修复代码的可选辅助条件,用于提供漏洞修复代码需要使用的信息。例如,在各个内核中,一个结构体的成员在结构体中的偏移都不太相同,为了使漏洞修复代码能够自适应于各种内核,需要预先获取元数据信息。
在本实施例的一些可选实现方式中,元数据信息可包括以下至少一项:内核函数名称和内核函数的地址,内核变量名称和内核变量地址,内核结构体名称,内核结构体地址,内核结构体成员名称,内核结构体成员大小。
在本实施例的一些可选实现方式中,获取描述待修复内核的元数据信息,包括:通过补丁应用程序编程接口获取保存在内核中的元数据信息;和/或通过补丁应用程序编程接口从内核镜像中获取元数据信息,其中,内核镜像为内核在编译时产生的包含每个符号定义和地址的镜像;和/或以云方式下载元数据信息。其中,以云方式下载元数据信息的方式指的是元数据信息可以在云端和漏洞修复代码结合,为某指定内核生成对应的漏洞修复代码,也可以随漏洞修复代码下发至内核。
步骤304,对漏洞修复代码中包含的指令进行重定位后,再加载漏洞修复代码。
在本实施例中,根据步骤303获取的内核函数地址、内核变量地址、内核结构体等元数据信息对漏洞修复代码中包含的指令进行重定位后再加载漏洞修复代码。
步骤305,将漏洞修复代码中补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址。
在本实施例中,步骤305中的具体处理可以参考图2对应实施例中的步骤204,这里不再赘述。
步骤306,执行地址替换后的漏洞修复代码以修复内核漏洞。
在本实施例中,步骤306中的具体处理可以参考图2对应实施例中的步骤205,这里不再赘述。
从图3中可以看出,与图2对应的实施例相比,本实施例中的用于修复内核漏洞的方法的流程300突出了获取描述待修复内核的元数据信息的步骤,各个内核只要能够提供必要的元数据信息就可以使用同一漏洞修复代码,无需任何修改。
进一步参考图4,作为对上述各图所示方法的实现,本申请提供了一种用于修复内核漏洞的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例用于修复内核漏洞的装置400包括:收集单元401、获取单元402、重定位单元403、替换单元404和执行单元405。其中,收集单元401用于收集待修复内核的属性信息,属性信息包括用于表征待修复内核所支持代码加载方式的特征信息;获取单元402用于获取与特征信息匹配的漏洞修复代码,其中,漏洞修复代码用于调用补丁应用程序编程接口,补丁应用程序编程接口用于使漏洞修复代码与不同内核的内核函数适配;重定位单元403用于加载漏洞修复代码并对漏洞修复代码中包含的指令进行重定位;替换单元404用于将漏洞修复代码中补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址;执行单元405用于执行地址替换后的漏洞修复代码以修复内核漏洞。
在本实施例中,用于修复内核漏洞的400的收集单元401、获取单元402、重定位单元403、替换单元404和执行单元405的具体处理可以参考图2对应实施例中的步骤201、步骤202、步骤203、步骤204和步骤205。
在本实施例的一些可选实现方式中,获取单元402进一步用于:获取服务器中存储的、与特征信息匹配的漏洞修复代码,其中服务器中针对不同内核存储有相同的漏洞修复代码。
在本实施例的一些可选实现方式中,特征信息包括:系统调用信息;以及获取单元402进一步用于:获取与系统调用信息匹配的内核模块类型的漏洞修复代码。
在本实施例的一些可选实现方式中,特征信息包括:物理内存设备或内核驱动信息;以及获取单元402进一步用于:获取与物理内存设备或内核驱动信息匹配的指令序列类型的漏洞修复代码。
在本实施例的一些可选实现方式中,该装置400还包括元数据获取单元(未示出),用于获取描述待修复内核的元数据信息;以及重定位单元403进一步用于对漏洞修复代码中包含的指令进行重定位后,再加载漏洞修复代码,其中,漏洞修复代码在执行时使用元数据信息。
在本实施例的一些可选实现方式中,元数据信息包括以下至少一项:内核函数名称和内核函数的地址,内核变量名称和内核变量地址,内核结构体名称,内核结构体地址,内核结构体成员名称,内核结构体成员大小。
在本实施例的一些可选实现方式中,元数据获取单元进一步用于:通过补丁应用程序编程接口获取保存在内核中的元数据信息;和/或通过补丁应用程序编程接口从内核镜像中获取元数据信息,其中,内核镜像为内核在编译时产生的包含每个符号定义和地址的镜像;和/或以云方式下载元数据信息。
下面参考图5,其示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统500的结构示意图。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括收集单元、获取单元、重定位单元、替换单元和执行单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,收集单元还可以被描述为“收集待修复内核的属性信息的单元”。
作为另一方面,本申请还提供了一种非易失性计算机存储介质,该非易失性计算机存储介质可以是上述实施例中装置中所包含的非易失性计算机存储介质;也可以是单独存在,未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序,当一个或者多个程序被一个设备执行时,使得设备:收集待修复内核的属性信息,属性信息包括用于表征待修复内核所支持代码加载方式的特征信息;获取与特征信息匹配的漏洞修复代码,其中,漏洞修复代码用于调用补丁应用程序编程接口,补丁应用程序编程接口用于使漏洞修复代码与不同内核的内核函数适配;加载漏洞修复代码并对漏洞修复代码中包含的指令进行重定位;将漏洞修复代码中补丁应用程序编程接口重定位后的地址替换为漏洞修复代码所调用的内核函数的地址;执行地址替换后的漏洞修复代码以修复内核漏洞。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。