本申请公开了一种提权漏洞检测方法、装置、设备及介质,包括:基于Unicorn创建CPU指令模拟器;创建各漏洞运行平台对应的模拟操作系统;其中,每个操作模拟系统以单个进程运行;基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到漏洞检测结果。这样以进程为容器节点,通过CPU模拟器以及多个操作模拟系统,进行提取漏洞检测,能够提升提权漏洞检测的效率,以及实现提权漏洞检测的跨平台检测。测。测。
【技术实现步骤摘要】
一种提权漏洞检测方法、装置、设备及介质
[0001]本申请涉及漏洞检测
,特别涉及一种提权漏洞检测方法、装置、设备及介质。
技术介绍
[0002]当前,提权漏洞检测方案通常是传统沙箱分析,以OS系统容器节点,如Cuckoo,Sandboxie,Docker_box等,基于虚拟机部署OS系统分析,功耗大、集成度高、提权漏洞检测需要对API劫持和过程重复执行,分析效率低,且无法跨平台触发分析。
技术实现思路
[0003]有鉴于此,本申请的目的在于提供一种提权漏洞检测方法、装置、设备及介质,能够提升提权漏洞检测的效率,以及实现提权漏洞检测的跨平台检测。其具体方案如下:
[0004]第一方面,本申请公开了一种提权漏洞检测方法,包括:
[0005]基于Unicorn创建CPU指令模拟器;
[0006]创建各漏洞运行平台对应的模拟操作系统;其中,每个操作模拟系统以单个进程运行;
[0007]基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到漏洞检测结果。
[0008]可选的,所述创建各漏洞运行平台对应的模拟操作系统,包括:
[0009]创建各漏洞运行平台对应的模拟API,以便在漏洞程序调用各所述漏洞运行平台对应的真实API时,调用相应的所述模拟API。
[0010]可选的,所述基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到漏洞检测结果,包括:
[0011]基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到所述模拟API的执行数据;
[0012]利用所述模拟API的执行数据确定检测结果。
[0013]可选的,所述基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到所述模拟API的执行数据,包括:
[0014]基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,在所述模拟API的执行过程中,通过多个预设探针提取所述模拟API的执行过程数据和/或获取所述模拟API的执行结果数据,得到所述模拟API的执行数据。
[0015]可选的,所述利用所述模拟API的执行数据确定检测结果,包括:
[0016]利用所述模拟API的执行数据直接确定漏洞检测结果。
[0017]可选的,所述利用所述模拟API的执行数据确定检测结果,包括:
[0018]利用所述模拟API的执行数据以及预设规则确定漏洞检测结果。
[0019]可选的,所述基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,
包括:
[0020]在执行到目标模拟API时,保存当前环境的上下文数据,得到对应的快照文件,若执行出现异常,则利用所述快照文件进行数据恢复;
[0021]其中,所述快照文件为内存或者整个模拟操作系统的快照文件。
[0022]第二方面,本申请公开了一种提权漏洞检测装置,包括:
[0023]CPU指令模拟器创建模块,用于基于Unicorn创建CPU指令模拟器;
[0024]模拟操作系统创建模块,用于创建各漏洞运行平台对应的模拟操作系统;其中,每个操作模拟系统以单个进程运行;
[0025]提权漏洞检测模块,用于基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到漏洞检测结果。
[0026]第三方面,本申请公开了一种电子设备,包括:
[0027]存储器,用于保存计算机程序;
[0028]处理器,用于执行所述计算机程序,以实现前述的提权漏洞检测方法。
[0029]第四方面,本申请公开了一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的提权漏洞检测方法。
[0030]可见,本申请先基于Unicorn创建CPU指令模拟器,之后创建各漏洞运行平台对应的模拟操作系统;其中,每个操作模拟系统以单个进程运行,最后基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到漏洞检测结果。也即,本申请基于Unicorn仿真CPU,并仿真各漏洞运行平台的环境,得到模拟操作系统,且每个模拟操作系统以单个进程运行,这样以进程为容器节点,通过CPU模拟器以及多个操作模拟系统,进行提取漏洞检测,能够提升提权漏洞检测的效率,以及实现提权漏洞检测的跨平台检测。
附图说明
[0031]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0032]图1为本申请公开的一种提权漏洞检测方法流程图;
[0033]图2为本申请公开的一种具体的操作系统模拟流程图;
[0034]图3为本申请公开的一种具体的提权漏洞检测方法示意图;
[0035]图4为本申请公开的一种具体的提权漏洞检测方法示意图;
[0036]图5为本申请公开的一种具体的提权漏洞检测方法流程图;
[0037]图6为本申请公开的一种具体的模拟API处理流程图;
[0038]图7为本申请公开的一种提权漏洞检测装置结构示意图;
[0039]图8为本申请公开的一种电子设备结构图。
具体实施方式
[0040]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0041]当前,提权漏洞检测方案通常是传统沙箱分析,以OS系统容器节点,如Cuckoo,Sandboxie,Docker_box等,基于虚拟机部署OS系统分析,功耗大、集成度高、分析效率低,且无法跨平台触发分析。为此,本申请提供了一种提权漏洞检测方案,能够提升提权漏洞检测的效率,以及实现提权漏洞检测的跨平台检测。
[0042]参见图1所示,本申请实施例公开了一种提权漏洞检测方法,包括:
[0043]步骤S11:基于Unicorn创建CPU指令模拟器。
[0044]步骤S12:创建各漏洞运行平台对应的模拟操作系统;其中,每个操作模拟系统以单个进程运行。
[0045]例如,创建Windows/linux等不同平台的模拟操作系统。
[0046]参见图2所示,图2为本申请实施例公开了一种具体的操作系统模拟流程图,图2以Windows的模拟操作系统为例,系统仿真步骤包括:1.设置OS堆栈/空间;2.初始化系统PEB/TEB/LDR等数据结构;3.加载内存必要的DLL文件/修复;4.映射漏洞样本及修复重定位/IAT等操作;5.模拟漏洞样本相关API执行;6.设置漏洞样本入口执行;7.根据预设API和规则提权漏洞检本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种提权漏洞检测方法,其特征在于,包括:基于Unicorn创建CPU指令模拟器;创建各漏洞运行平台对应的模拟操作系统;其中,每个操作模拟系统以单个进程运行;基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到漏洞检测结果。2.根据权利要求1所述的提权漏洞检测方法,其特征在于,所述创建各漏洞运行平台对应的模拟操作系统,包括:创建各漏洞运行平台对应的模拟API,以便在漏洞程序调用各所述漏洞运行平台对应的真实API时,调用相应的所述模拟API。3.根据权利要求2所述的提权漏洞检测方法,其特征在于,所述基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到漏洞检测结果,包括:基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到所述模拟API的执行数据;利用所述模拟API的执行数据确定检测结果。4.根据权利要求3所述的提权漏洞检测方法,其特征在于,所述基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,得到所述模拟API的执行数据,包括:基于所述CPU指令模拟器、各所述模拟操作系统进行提权漏洞检测,在所述模拟API的执行过程中,通过多个预设探针提取所述模拟API的执行过程数据和/或获取所述模拟API的执行结果数据,得到所述模拟API的执行数据。5.根据权利要求3所述的提权漏洞检测方法,其特征在于,所述利用所述模拟API的执...
【专利技术属性】
技术研发人员:陈震宇,范渊,吴卓群,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。