System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本申请涉及网络安全,特别是涉及一种桌面窗口管理器漏洞利用的检测方法、装置、设备及计算机可读存储介质。
技术介绍
1、windows桌面窗口管理器(desktop windows manager,dwm)是windows操作系统中的一个重要组件,主要负责管理并渲染桌面窗口的显示。近年来,windows桌面窗口管理器开始成为新的权限提升类漏洞攻击媒介。
2、面对日益增多的windows桌面窗口管理器漏洞利用案例,目前的防护方式主要是静态特征扫描识别漏洞样本或者通过进程令牌比对方式识别漏洞样本。通过静态特征扫描识别漏洞样本的方法需要结合人工分析,对技术人员有较高的能力和经验要求。此外,对于被加密或者经过代码混淆的样本,该方式无法做到有效的扫描,存在不足。通过进程令牌比对方式识别漏洞样本的方法是比对当前进程令牌与常见系统进程的令牌是否一致,如果发现一致,则代表当前进程令牌被恶意替换,视为检出。然而,近几年出现的windows桌面窗口管理器漏洞利用手法并不存在传统权限提升类漏洞利用中常见的令牌替换操作,此种检测方式无法对windows桌面窗口管理器漏洞利用攻击行为进行有效检测。
3、综上所述,如何有效地解决目前的桌面窗口管理器漏洞利用的检测方法对技术人员能力和经验要求高,无法对桌面窗口管理器漏洞利用攻击行为进行有效检测等问题,是目前本领域技术人员急需解决的问题。
技术实现思路
1、本申请的目的是提供一种桌面窗口管理器漏洞利用的检测方法,该方法实现了对桌面窗口管理器漏洞
2、为解决上述技术问题,本申请提供如下技术方案:
3、一种桌面窗口管理器漏洞利用的检测方法,包括:
4、当检测到共享区域基类中的映射共享内存方法函数被调用时,利用预加载的动态链接库调用所述映射共享内存方法函数,得到本次渲染进程进行数据共享的共享数据基地址;
5、获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据;
6、获取所述预设偏移地址对应的攻击判别数据;
7、当确定所述待校验数据与对应的攻击判别数据一致时,确定存在桌面窗口管理器漏洞利用行为。
8、在本申请的一种具体实施方式中,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
9、获取所述共享数据基地址+0x10地址和所述共享数据基地址+0x10地址处的8字节数据,并获取所述共享数据基地址和所述共享数据基地址处的8字节数据;
10、相应的,获取所述预设偏移地址对应的攻击判别数据,包括:
11、获取所述共享数据基地址+0x10地址对应的攻击判别数据0x1ffeeffee,并获取所述共享数据基地址对应的攻击判别数据0xffeeffee;
12、相应的,当确定所述待校验数据与对应的攻击判别数据一致时,确定存在桌面窗口管理器漏洞利用行为,包括:
13、当确定所述共享数据基地址+0x10地址处的8字节数据为攻击判别数据0x1ffeeffee,且所述共享数据基地址处的8字节数据为攻击判别数据0xffeeffee时,确定存在桌面窗口管理器漏洞利用行为。
14、在本申请的一种具体实施方式中,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
15、获取所述共享数据基地址+0x10地址和所述共享数据基地址+0x10地址处的8字节数据,并获取所述共享数据基地址+0x1e8地址和所述共享数据基地址+0x1e8地址处的8字节数据;
16、相应的,获取所述预设偏移地址对应的攻击判别数据,包括:
17、获取所述共享数据基地址+0x10地址对应的攻击判别数据0x1ffeeffee,并获取所述共享数据基地址+0x1e8地址对应的标准存根缓冲区调试服务器释放函数地址;
18、相应的,当确定所述待校验数据与对应的攻击判别数据一致时,确定存在桌面窗口管理器漏洞利用行为,包括:
19、当确定所述共享数据基地址+0x10地址处的8字节数据为攻击判别数据0x1ffeeffee,且所述共享数据基地址+0x1e8地址处的8字节数据为标准存根缓冲区调试服务器释放函数地址时,确定存在桌面窗口管理器漏洞利用行为。
20、在本申请的一种具体实施方式中,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
21、获取所述共享数据基地址+0x10地址和所述共享数据基地址+0x10地址处的8字节数据,并获取所述共享数据基地址+0x230地址和所述共享数据基地址+0x230地址处的8字节数据;
22、相应的,获取所述预设偏移地址对应的攻击判别数据,包括:
23、获取所述共享数据基地址+0x10地址对应的攻击判别数据0x1ffeeffee,并获取所述共享数据基地址+0x230地址对应的多字节字符加载模块函数地址和宽字符加载模块函数地址;
24、相应的,当确定所述待校验数据与对应的攻击判别数据一致时,确定存在桌面窗口管理器漏洞利用行为,包括:
25、当确定所述共享数据基地址+0x10地址处的8字节数据为攻击判别数据0x1ffeeffee,且所述共享数据基地址+0x230地址处的8字节数据为多字节字符加载模块函数地址或宽字符加载模块函数地址时,确定存在桌面窗口管理器漏洞利用行为。
26、在本申请的一种具体实施方式中,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
27、获取所述共享数据基地址+0x10地址和所述共享数据基地址+0x10地址处的8字节数据,并获取所述共享数据基地址+0x1c0地址和所述共享数据基地址+0x1c0地址处的8字节数据;
28、相应的,获取所述预设偏移地址对应的攻击判别数据,包括:
29、获取所述共享数据基地址+0x10地址对应的攻击判别数据0x1ffeeffee,并获取所述共享数据基地址+0x1c0地址对应的网络数据表示代理转发函数地址和标准存根缓冲区释放连接函数地址;
30、相应的,当确定所述待校验数据与对应的攻击判别数据一致时,确定存在桌面窗口管理器漏洞利用行为,包括:
31、当确定所述共享数据基地址+0x10地址处的8字节数据为攻击判别数据0x1ffeeffee,且所述共享数据基地址+0x1c0地址处的8字节数据为网络数据表示代理转发函数地址或标准存根缓冲区释放连接函数地址时,确定存在桌面窗口管理器漏洞利用行为。
32、在本申请的一种具体实施方式中,还包括:
33、当确定所述共享数据基地址+0x10地址处的8字节数据不为攻击判别数据0x1f本文档来自技高网...
【技术保护点】
1.一种桌面窗口管理器漏洞利用的检测方法,其特征在于,包括:
2.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
3.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
4.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
5.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
6.根据权利要求2至5任一项所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,还包括:
7.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,还包括所述动态链接库的加载过程,所述动态链接库的加载过程包括:
8.一种桌面窗口
9.一种桌面窗口管理器漏洞利用的检测设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述桌面窗口管理器漏洞利用的检测方法的步骤。
...【技术特征摘要】
1.一种桌面窗口管理器漏洞利用的检测方法,其特征在于,包括:
2.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
3.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
4.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基地址对应的预设偏移地址和所述预设偏移地址中的待校验数据,包括:
5.根据权利要求1所述的桌面窗口管理器漏洞利用的检测方法,其特征在于,获取所述共享数据基...
【专利技术属性】
技术研发人员:金权,钟国贤,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。