漏洞防御方法及装置、电子设备的制造方法
【技术领域】
[0001]本发明涉及电子设备防护技术领域,特别是涉及漏洞防御方法及装置、电子设备。
【背景技术】
[0002]随着电子设备的普及,黑客常编写恶意程序利用漏洞对计算机等电子设备进行恶意访问,因此确定访问行为的性质尤为重要。
[0003]现有技术对针对操作系统的应用程序编程接口(API,Applicat1n ProgrammingInterface)的访问行为进行监控,从而确定各访问行为的性质。使用这种方式,技术人员对每一个需要监控的应用程序编程接口,都需要编写一段用于监控针对该应用程序编程接口的访问行为的代码以及用于判断该访问行为性质的代码。
[0004]由于应用程序编程接口数量众多,因此现有的方式下需要编写大量的代码,工作量巨大。
【发明内容】
[0005]本发明实施例的目的在于提供一种漏洞防御方法及装置、电子设备,以实现减小工作量的目的。
[0006]为达到上述目的,本发明实施例公开了一种漏洞防御方法,包括:
[0007]监测操作系统中的进程,中断所述进程对动态链接库文件的访问行为;
[0008]获取中断的访问行为的执行地址;
[0009]判断所述访问行为的执行地址是否位于堆地址空间范围或栈地址空间范围中,如果是,则确定所述进程的访问行为是恶意访问行为,否则,确定所述进程的访问行为是非恶意访问行为。
[0010]可选的,监测操作系统中的进程之前还包括:
[0011]遍历操作系统中的进程的所有线程,对预定的动态链接库文件的导出表设置硬件访问断点,并注册相应的向量异常回调函数。
[0012]可选的,所述监测操作系统中的进程,中断所述进程对动态链接库文件的访问行为,包括:
[0013]监测所述进程的所有线程,若所述进程的线程访问预定的动态链接库文件的导出表,则通过设置的硬件访问断点中断所述进程的线程对所述预定的动态链接库的访问行为。
[0014]可选的,所述获取中断的访问行为的执行地址,包括:
[0015]当所述进程的线程访问预定的动态链接库文件的导出表时触发所述硬件访问断点,所述向量异常回调函数获取所述硬件访问断点地址作为中断的访问行为的执行地址。
[0016]可选的,判断所述访问行为的执行地址是否位于栈地址空间范围中包括:根据所述线程的线程信息块的结构字段信息确定栈地址起始范围,进而判断所述访问行为的执行地址是否位于栈地址空间范围中;
[0017]判断所述访问行为的执行地址是否位于堆地址空间范围中包括:根据所述进程的进程环境块的结构字段信息确定堆地址起始范围,进而判断所述访问行为的执行地址是否位于堆地址空间范围中。
[0018]可选的,所述方法还包括:
[0019]判断所述访问行为的执行地址是否位于模块地址空间范围中,如果是,则确定所述进程的访问行为是正常程序访问行为。
[0020]可选的,判断所述访问行为的执行地址是否位于模块地址空间范围中包括:
[0021 ] 根据所述动态链接库文件的文件结构确定模块地址的起始范围,进而判断所述访问行为的执行地址是否位于模块地址空间范围中。
[0022]可选的,确定所述进程的访问行为是恶意访问行为后,所述方法还包括:
[0023]拒绝所述进程访问所述动态链接库文件;
[0024]和/ 或,
[0025]结束所述进程。
[0026]可选的,确定所述进程的访问行为是非恶意访问行为后,或确定所述进程的访问行为是正常程序访问行为后,所述方法还包括:
[0027]结束对所述访问行为的中断处理,以使所述进程对动态链接库文件的访问行为继续进行。
[0028]一种漏洞防御装置,包括:访问中断单元、地址获得单元、地址判断单元、第一访问确定单元和第二访问确定单元,
[0029]所述访问中断单元,用于监测操作系统中的进程,中断所述进程对动态链接库文件的访问行为;
[0030]所述地址获得单元,用于获取中断的访问行为的执行地址;
[0031]所述地址判断单元,用于判断所述访问行为的执行地址是否位于堆地址空间范围或栈地址空间范围中,如果是,则触发第一访问确定单元,否则,触发所述第二访问确定单元;
[0032]所述恶意访问确定单元,用于确定所述进程的访问行为是恶意访问行为;
[0033]所述正常访问确定单元,用于确定所述进程的访问行为是非恶意访问行为。
[0034]可选的,还包括:断点设置单元,用于在所述访问中断单元监测操作系统中的进程之前,遍历操作系统中的进程的所有线程,对预定的动态链接库文件的导出表设置硬件访问断点,并注册相应的向量异常回调函数。
[0035]可选的,所述访问中断单元,具体用于:
[0036]监测所述进程的所有线程,若所述进程的线程访问预定的动态链接库文件的导出表,则通过设置的硬件访问断点中断所述进程的线程对所述预定的动态链接库的访问行为。
[0037]可选的,所述地址获得单元,具体用于:
[0038]当所述进程的线程访问预定的动态链接库文件的导出表时触发所述硬件访问断点,所述向量异常回调函数获取所述硬件访问断点地址作为中断的访问行为的执行地址。
[0039]可选的,所述地址判断单元,包括:堆地址判断子单元、桟地址判断子单元和关系确定子单元,
[0040]所述堆地址判断子单元,用于根据所述线程的线程信息块的结构字段信息确定栈地址起始范围,进而判断所述访问行为的执行地址是否位于栈地址空间范围中;
[0041]所述栈地址判断子单元,用于根据所述进程的进程环境块的结构字段信息确定堆地址起始范围,进而判断所述访问行为的执行地址是否位于堆地址空间范围中;
[0042]所述关系确定子单元,用于根据所述堆地址判断子单元和所述栈地址判断子单元的判断结果,确定所述访问行为的执行地址是否位于堆地址空间范围或栈地址空间范围中,如果是,则触发第一访问确定单元,否则,触发所述第二访问确定单元。
[0043]可选的,所述装置还包括:模块判断单元,用于判断所述访问行为的执行地址是否位于模块地址空间范围中,如果是,则确定所述进程的访问行为是正常程序访问行为。
[0044]可选的,所述模块判断单元,具体用于根据所述动态链接库文件的文件结构确定模块地址的起始范围,进而判断所述访问行为的执行地址是否位于模块地址空间范围中,如果是,则确定所述进程的访问行为是正常程序访问行为。
[0045]可选的,所述装置还包括:进程拒绝单元和/或进程结束单元,
[0046]所述进程拒绝单元,用于在所述第一访问确定单元确定所述进程的访问行为是恶意访问行为后,拒绝所述进程访问所述动态链接库文件;
[0047]所述进程结束单元,用于在所述第一访问确定单元确定所述进程的访问行为是恶意访问行为后,结束所述进程。
[0048]可选的,所述装置还包括:中断结束单元,用于在所述第二访问确定单元确定所述进程的访问行为是非恶意访问行为后,或所述模块判断单元确定所述进程的访问行为是正常程序访问行为后,结束对所述访问行为的中断处理,以使所述进程对动态链接库文件的访问行为继续进行。