-
公开(公告)号:CN104731708A
公开(公告)日:2015-06-24
申请号:CN201510134654.8
申请日:2015-03-25
Applicant: 北京信息控制研究所 , 中国工程物理研究院计算机应用研究所
Abstract: 一种Shellcode的动态检测方法,首先抓取网络数据流并进行划分,得到多个执行链;然后触发一个操作系统breakpoint异常,将异常触发时的寄存器值和内存内容作为初始寄存器值和内存内容并存储;最后依次执行执行链,同时在每一执行链执行过程中,检测是否出现死循环或者操作系统异常,如果出现死循环或系统异常,则当前执行链没有Shellcode,否则使用启发式方法检测当前执行链是否含有Shellcode,完成检测。本发明方法不仅能够检测到使用了代码混淆技术的Shellcode,而且未采用虚拟化技术、易于部署,能有效检测到可发现虚拟化环境的Shellcode,大大降低了Shellcode检测暴露的可能性。
Search Results
1
records
(took 0.043 seconds)
筛选
AND
AND
过滤
NOT
NOT
Scan to Join
