本發(fā)明涉及一種信息
技術(shù)領(lǐng)域:
:���,特別是涉及一種漏洞檢測方法及裝置���。
背景技術(shù):
::隨著社會信息化的不斷發(fā)展,網(wǎng)絡(luò)安全漏洞也在不斷增加�。當(dāng)發(fā)現(xiàn)存在漏洞時(shí)����,需要及時(shí)通過相關(guān)補(bǔ)丁對該漏洞進(jìn)行修復(fù)�。該類已經(jīng)發(fā)現(xiàn)并且已經(jīng)發(fā)布修復(fù)補(bǔ)丁的漏洞稱為已知漏洞;而已經(jīng)發(fā)現(xiàn)但是還沒有給出相關(guān)補(bǔ)丁對該漏洞進(jìn)行修復(fù)的漏洞稱為0day漏洞�。惡意文件就是根據(jù)加載文件的軟件存在的0day漏洞而故意制作的不正常的文件,例如�����,惡意文件可以為惡意文檔文件�����,該惡意文檔文件是黑客根據(jù)加載該文檔文件的軟件存在的0day漏洞而特制的文檔文件�,當(dāng)用戶在不知情的情況下打開該文檔文件時(shí)�,會成功執(zhí)行該文檔文件中的惡意指令。目前0day漏洞的檢測方法基本上依靠人的經(jīng)驗(yàn)進(jìn)行判斷��,然而���,這種判斷方式需要技術(shù)人員從海量的數(shù)據(jù)中去挖掘出軟件存在的0day漏洞���,會耗費(fèi)大量的時(shí)間��,進(jìn)而會造成0day漏洞的檢測效率較低��。技術(shù)實(shí)現(xiàn)要素:有鑒于此����,本發(fā)明提供了一種漏洞檢測方法及裝置����,主要目的在于可以提高0day漏洞的檢測效率,以便及時(shí)配置相應(yīng)的漏洞補(bǔ)丁���,進(jìn)而保證軟件的使用安全����。依據(jù)本發(fā)明一個(gè)方面���,提供了一種漏洞檢測方法�,該方法包括:獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件���;通過預(yù)設(shè)腳本引擎��,對所述待檢測文件進(jìn)行解析���;根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件��;若是�����,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞����。依據(jù)本發(fā)明另一個(gè)方面��,提供了一種漏洞檢測裝置���,該裝置包括:獲取單元���,用于獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件���;解析單元���,用于通過預(yù)設(shè)腳本引擎,對所述獲取單元獲取的待檢測文件進(jìn)行解析���;檢測單元�����,用于根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件����;確定單元,用于若所述檢測單元檢測出所述待檢測文件符合預(yù)定異常條件�,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞。借由上述技術(shù)方案�����,本發(fā)明實(shí)施例提供的技術(shù)方案至少具有下列優(yōu)點(diǎn):本發(fā)明提供的一種漏洞檢測方法及裝置���,首先獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件�����;通過預(yù)設(shè)腳本引擎�����,對所述待檢測文件進(jìn)行解析����;根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件;若是����,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞。與目前通過人工檢測0day漏洞的方式相比��,本發(fā)明通過對啟動時(shí)發(fā)生程序崩潰的待檢測文件進(jìn)行解析�,并根據(jù)解析結(jié)果檢測待檢測文件是否符合預(yù)定異常條件,若存在����,則確定相應(yīng)的啟動軟件存在0day漏洞,整個(gè)過程按照規(guī)則流程自動執(zhí)行�,可以提高0day漏洞的檢測效率,以便及時(shí)配置相應(yīng)的漏洞補(bǔ)丁���,進(jìn)而保證軟件的使用安全�。上述說明僅是本發(fā)明技術(shù)方案的概述���,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的�、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式�。附圖說明通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了�。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對本發(fā)明的限制�����。而且在整個(gè)附圖中����,用相同的參考符號表示相同的部件。在附圖中:圖1示出了本發(fā)明實(shí)施例提供的一種漏洞檢測方法流程示意圖��;圖2示出了本發(fā)明實(shí)施例提供的另一種漏洞檢測方法流程示意圖��;圖3示出了本發(fā)明實(shí)施例提供的一種漏洞檢測裝置結(jié)構(gòu)示意圖���;圖4示出了本發(fā)明實(shí)施例提供的另一種漏洞檢測裝置結(jié)構(gòu)示意圖�。具體實(shí)施方式下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例�����。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反��,提供這些實(shí)施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。本發(fā)明實(shí)施例提供了一種漏洞檢測方法����,如圖1所示,所述方法包括:101����、獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件。其中����,所述待檢測文件可以為非PE(PortableExecutable,可移植執(zhí)行體)文件�����,具體可以為DOC、PDF���、XLS、PPT等文檔文件�����、或網(wǎng)頁文件等�。對于本發(fā)明實(shí)施例的執(zhí)行主體可以為配置在后臺服務(wù)器中用于檢測軟件0day漏洞的裝置,為了實(shí)現(xiàn)檢測出軟件中存在的0day漏洞����,可以在終端設(shè)備中預(yù)先配置特定的客戶端,通過該客戶端記錄在終端設(shè)備中啟動時(shí)發(fā)生程序崩潰的非PE文件���,以及崩潰前的環(huán)境信息等�,并可以在用戶允許的情況下�����,上傳給后臺服務(wù)器用于進(jìn)一步分析����。需要說明的是�����,對于本發(fā)明實(shí)施例�����,具體可以應(yīng)用在終端設(shè)備安裝了最新的補(bǔ)丁之后�����,以便發(fā)現(xiàn)軟件最新的漏洞��。102����、通過預(yù)設(shè)腳本引擎����,對待檢測文件進(jìn)行解析。其中��,所述預(yù)設(shè)腳本引擎可以由技術(shù)人員事先進(jìn)行編寫配置���。例如����,通過預(yù)設(shè)腳本引擎,對待檢測文件進(jìn)行解析�,得到該待檢測文件中的內(nèi)容數(shù)據(jù)。103�、根據(jù)解析結(jié)果檢測待檢測文件是否符合預(yù)定異常條件����。其中,所述預(yù)定異常條件可以根據(jù)實(shí)際需求預(yù)先進(jìn)行設(shè)定配置�。例如,預(yù)定異常條件可以設(shè)定為待檢測文件中存在可執(zhí)行函數(shù)��,當(dāng)根據(jù)解析結(jié)果檢測出待檢測文件中存在可執(zhí)行函數(shù)時(shí)�,說明該待檢測文件中可能存在黑客編寫的可被執(zhí)行或可被調(diào)用的函數(shù),當(dāng)用戶在不知情的情況下打開該文件時(shí)����,可能會觸發(fā)執(zhí)行文件中的可執(zhí)行函數(shù),因此��,可以確定待檢測文件符合預(yù)定異常條件����。又例如�,預(yù)定異常條件可以設(shè)定為待檢測文件中存在Shellcode(填充數(shù)據(jù))二進(jìn)制代碼��,當(dāng)根據(jù)解析結(jié)果檢測出待檢測文件中存在Shellcode二進(jìn)制代碼時(shí)��,說明該待檢測文件中存在利用特定漏洞的代碼����,可以確定該待檢測文件符合預(yù)定異常條件。104�����、若檢測出待檢測文件符合預(yù)定異常條件���,則確定與待檢測文件相對應(yīng)的啟動軟件存在0day漏洞����。例如��,若待檢測文件為DOC文檔文件�����,當(dāng)檢測出該DOC文檔文件符合預(yù)定異常條件時(shí)����,可以確定WORD軟件存在0day漏洞�,進(jìn)一步地��,技術(shù)人員可以根據(jù)該DOC文檔文件中包含的惡意指令代碼程序��,確定相應(yīng)的WORD軟件0day漏洞�����,并配置相應(yīng)的漏洞補(bǔ)丁以及下發(fā)給用戶���,以保證WORD軟件的使用安全。進(jìn)一步地����,在確定與待檢測文件相對應(yīng)的啟動軟件存在0day漏洞后,可以輸出相應(yīng)的告警信息��,以便及時(shí)提醒技術(shù)人員發(fā)現(xiàn)相應(yīng)的軟件0day漏洞��,并進(jìn)行相應(yīng)防范措施�����,其中,該告警信息可以文本告警信息���、圖片告警信息�����、音頻告警信息�����、視頻告警信息等�。本發(fā)明實(shí)施例提供的一種漏洞檢測方法�����,首先獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件���;通過預(yù)設(shè)腳本引擎�����,對所述待檢測文件進(jìn)行解析��;根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件�����;若是���,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞�。與目前通過人工檢測0day漏洞的方式相比���,本發(fā)明通過對啟動時(shí)發(fā)生程序崩潰的待檢測文件進(jìn)行解析����,并根據(jù)解析結(jié)果檢測待檢測文件是否符合預(yù)定異常條件�,若存在,則確定相應(yīng)的啟動軟件存在0day漏洞�����,整個(gè)過程按照規(guī)則流程自動執(zhí)行�����,可以提高0day漏洞的檢測效率����,以便及時(shí)配置相應(yīng)的漏洞補(bǔ)丁,進(jìn)而保證軟件的使用安全��。具體地���,本發(fā)明實(shí)施例提供了另一種漏洞檢測方法����,如圖2所示�����,所述方法包括:201�、獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件。其中��,所述待檢測文件可以為非PE文件��,具體可以為DOC�、XLS、PPT����、PDF等文檔文件或網(wǎng)頁文件等��。202���、將待檢測文件配置在預(yù)設(shè)沙箱環(huán)境中。其中����,所述預(yù)設(shè)沙箱環(huán)境可以實(shí)際需求進(jìn)行配置,所述預(yù)設(shè)沙箱環(huán)境可以為一種按照安全策略限制程序行為的執(zhí)行環(huán)境��,在該預(yù)設(shè)沙箱環(huán)境中可以監(jiān)視程序行為���。進(jìn)一步地����,可以在預(yù)設(shè)沙箱環(huán)境中對待檢測文件進(jìn)行測試���,如果該待檢測文件在測試的過程中存在聯(lián)網(wǎng)行為��、和/或關(guān)閉行為、和/或崩潰行為����、和/或產(chǎn)生額外進(jìn)程的行為時(shí),可以確定該待檢測文件為惡意文件,進(jìn)而可以根據(jù)該文件中的惡意代碼程序���,確定與該文件相對應(yīng)的啟動軟件中存在0day漏洞����。203���、在預(yù)設(shè)沙箱環(huán)境中�,通過預(yù)設(shè)腳本引擎����,對待檢測文件進(jìn)行解析。例如�����,若待檢測文件為網(wǎng)頁文件���,通過預(yù)設(shè)腳本引擎�����,對網(wǎng)頁文件進(jìn)行解析���,得到該網(wǎng)頁文件中的網(wǎng)頁內(nèi)容數(shù)據(jù)�。204��、根據(jù)解析結(jié)果檢測待檢測文件是否符合預(yù)定異常條件����。其中,所述預(yù)定異常條件可以根據(jù)實(shí)際需求預(yù)先進(jìn)行設(shè)定配置�����。具體地����,所述步驟204具體可以包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行函數(shù);若是�����,則確定所述待檢測文件符合預(yù)定異常條件�����。例如����,若待檢測文件為PDF文檔文件,當(dāng)根據(jù)解析結(jié)果檢測出該P(yáng)DF文檔文件中存在可執(zhí)行函數(shù)時(shí)�����,說明該P(yáng)DF文檔文件中可能存在攻擊者編寫的可被執(zhí)行或可被調(diào)用的函數(shù)�����,當(dāng)用戶在不知情的情況下打開該P(yáng)DF文檔文件時(shí)����,可能會觸發(fā)執(zhí)行文件中的未知可執(zhí)行函數(shù),因此���,可以確定該P(yáng)DF文檔文件符合預(yù)定異常條件����。具體地����,所述步驟204具體還可以包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在Shellcode二進(jìn)制代碼,其中����,該Shellcode二進(jìn)制代碼可以為用來發(fā)送到服務(wù)器利用特定漏洞的代碼��,一般可以獲取權(quán)限���;若是,則確定所述待檢測文件符合預(yù)定異常條件�。例如,若待檢測文件為DOC文檔文件�����,當(dāng)檢測出該DOC文檔文件中存在Shellcode二進(jìn)制代碼��,說明該DOC文檔文件中存在用來發(fā)送到服務(wù)器利用特定漏洞的代碼��,進(jìn)而可以確定該DOC文檔文件符合預(yù)定異常條件���。具體地���,所述步驟204具體還可以包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在URL(UniformResourceLocator,統(tǒng)一資源定位符)地址��;若是,則檢測所述URL地址是否與預(yù)設(shè)白名單列表中的URL地址都不匹配�����,其中�����,所述預(yù)設(shè)白名單列表中保存有預(yù)先統(tǒng)計(jì)的不會造成安全威脅的URL地址�����,所述預(yù)設(shè)白名單列表可以由技術(shù)人員事先進(jìn)行編寫配置���;若是,則確定所述待檢測文件符合預(yù)定異常條件�。例如,若待檢測文件為網(wǎng)頁文件�,當(dāng)檢測出該網(wǎng)頁文件中存在URL地址后,并且該URL地址與預(yù)設(shè)白名單列表中的URL地址都不匹配時(shí)��,說明該網(wǎng)頁文件中存在可疑的URL地址���,通過該URL地址很可能跳轉(zhuǎn)到危險(xiǎn)的網(wǎng)頁當(dāng)中���,并且該網(wǎng)頁文件可能會存在關(guān)聯(lián)啟動代碼���,用戶打開該網(wǎng)頁文件時(shí),觸發(fā)打開該可疑的URL地址的網(wǎng)頁���,因此�,可以確定該網(wǎng)頁文件符合預(yù)定異常條件����。具體地,所述步驟204具體還可以包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行程序�����;若是�����,則確定所述待檢測文件符合預(yù)定異常條件�。在本發(fā)明實(shí)施例中,所述根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行程序具體可以包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在加密數(shù)據(jù)�����;若是,則通過預(yù)置異或解密函數(shù)���,對所述加密數(shù)據(jù)進(jìn)行解密��,其中��,所述預(yù)置異或解密函數(shù)可以根據(jù)異或解密算法�����,由技術(shù)人員事先進(jìn)行編寫配置;根據(jù)解密結(jié)果確定所述待檢測文件中是否存在可執(zhí)行程序�。例如,若待檢測文件為XLS文檔文件�����,當(dāng)檢測出該XLS文檔文件中存在加密數(shù)據(jù)時(shí)���,通過預(yù)置異或解密函數(shù)�����,對該加密數(shù)據(jù)進(jìn)行解密���,當(dāng)根據(jù)解密結(jié)果確定該XLS文檔文件中存在可執(zhí)行程序時(shí)�����,說明該XLS文檔文件中可能存在黑客編寫的可執(zhí)行程序�,當(dāng)用戶在不知情的情況下打開該XLS文檔文件時(shí)�����,可能會觸發(fā)執(zhí)行文件中的可執(zhí)行程序�,因此,可以確定該XLS文檔文件符合預(yù)定異常條件�����。205�����、若檢測出待檢測文件符合預(yù)定異常條件����,則確定與待檢測文件相對應(yīng)的啟動軟件存在0day漏洞。例如����,若待檢測文件為XLS文檔文件�����,當(dāng)檢測出該XLS文檔文件符合預(yù)定異常條件時(shí)���,可以確定EXCEL軟件存在0day漏洞,進(jìn)一步地��,技術(shù)人員可以根據(jù)該DOC文檔文件中包含的惡意指令代碼程序���,確定相應(yīng)的EXCEL軟件0day漏洞,并根據(jù)該0day漏洞���,可以配置相應(yīng)的漏洞補(bǔ)丁以及下發(fā)給用戶�����,以保證WORD軟件的使用安全性�����。本發(fā)明實(shí)施例提供的另一種漏洞檢測方法�,首先獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件;通過預(yù)設(shè)腳本引擎�,對所述待檢測文件進(jìn)行解析;根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件����;若是,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞��。與目前通過人工檢測0day漏洞的方式相比��,本發(fā)明通過對啟動時(shí)發(fā)生程序崩潰的待檢測文件進(jìn)行解析��,并根據(jù)解析結(jié)果檢測待檢測文件是否符合預(yù)定異常條件�����,若存在��,則確定相應(yīng)的啟動軟件存在0day漏洞�����,整個(gè)過程按照規(guī)則流程自動執(zhí)行�,可以提高0day漏洞的檢測效率,以便及時(shí)配置相應(yīng)的漏洞補(bǔ)丁�,進(jìn)而保證軟件的使用安全���。進(jìn)一步地,作為圖1所述方法的具體實(shí)現(xiàn)��,本發(fā)明實(shí)施例提供了一種漏洞檢測裝置��,如圖3所示����,所述裝置包括:獲取單元31、解析單元32����、檢測單元33、確定單元34�。所述獲取單元31,可以用于獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件����。所述解析單元32����,可以用于通過預(yù)設(shè)腳本引擎,對所述獲取單元31獲取的待檢測文件進(jìn)行解析���。所述檢測單元33���,可以用于根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件�。所述確定單元34��,可以用于若所述檢測單元33檢測出所述待檢測文件符合預(yù)定異常條件���,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞��。需要說明的是�����,本發(fā)明實(shí)施例提供的一種漏洞檢測裝置所涉及各功能單元的其他相應(yīng)描述��,可以參考圖1中的對應(yīng)描述����,在此不再贅述�����。本發(fā)明實(shí)施例提供的一種漏洞檢測裝置��,首先獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件;通過預(yù)設(shè)腳本引擎����,對所述待檢測文件進(jìn)行解析;根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件�����;若是���,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞����。與目前通過人工檢測0day漏洞的方式相比���,本發(fā)明通過對啟動時(shí)發(fā)生程序崩潰的待檢測文件進(jìn)行解析�����,并根據(jù)解析結(jié)果檢測待檢測文件是否符合預(yù)定異常條件,若存在���,則確定相應(yīng)的啟動軟件存在0day漏洞���,整個(gè)過程按照規(guī)則流程自動執(zhí)行���,可以提高0day漏洞的檢測效率,以便及時(shí)配置相應(yīng)的漏洞補(bǔ)丁����,進(jìn)而保證軟件的使用安全。進(jìn)一步地���,作為圖2所述方法的具體實(shí)現(xiàn)���,本發(fā)明實(shí)施例提供了另一種漏洞檢測裝置,如圖4所示��,所述裝置包括:獲取單元41�、解析單元42、檢測單元43����、確定單元44。所述獲取單元41���,可以用于獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件�����。所述解析單元42���,可以用于通過預(yù)設(shè)腳本引擎����,對所述獲取單元41獲取的待檢測文件進(jìn)行解析����。所述檢測單元43,可以用于根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件����。所述確定單元44,可以用于若所述檢測單元43檢測出所述待檢測文件符合預(yù)定異常條件��,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞����。具體地,所述檢測單元43包括:檢測模塊431��、確定模塊432。所述檢測模塊431�����,可以用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行函數(shù)�����。所述確定模塊432�,可以用于若所述檢測模塊431檢測出所述待檢測文件中存在可執(zhí)行函數(shù)�����,則確定所述待檢測文件符合預(yù)定異常條件�����。所述檢測模塊431��,可以用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在Shellcode二進(jìn)制代碼�����。所述確定模塊432����,可以用于若所述檢測模塊431檢測出所述待檢測文件中存在Shellcode二進(jìn)制代碼����,則確定所述待檢測文件符合預(yù)定異常條件��。所述檢測模塊431����,可以用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在統(tǒng)一資源定位符URL地址。所述檢測模塊431���,還可以用于若檢測出所述待檢測文件中存在URL地址�����,則檢測所述URL地址是否與預(yù)設(shè)白名單列表中的URL地址都不匹配���。所述確定模塊432,可以用于若所述檢測模塊431檢測出所述URL地址與預(yù)設(shè)白名單列表中的URL地址都不匹配�,則確定所述待檢測文件符合預(yù)定異常條件。所述檢測模塊431����,可以用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行程序�。所述確定模塊432��,可以用于若所述檢測模塊431檢測出所述待檢測文件中存在可執(zhí)行程序���,則確定所述待檢測文件符合預(yù)定異常條件。所述檢測模塊431�,具體可以用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在加密數(shù)據(jù)。所述檢測模塊431��,具體還可以用于若檢測出所述待檢測文件中存在加密數(shù)據(jù)���,則通過預(yù)置異或解密函數(shù)�����,對所述加密數(shù)據(jù)進(jìn)行解密�。所述檢測模塊431���,具體還可以用于根據(jù)解密結(jié)果確定所述待檢測文件中是否存在可執(zhí)行程序�。進(jìn)一步地�����,所述裝置還包括:配置單元45。所述配置單元45��,可以用于將所述待檢測文件配置在預(yù)設(shè)沙箱環(huán)境中���。所述解析單元42�,具體可以用于在所述預(yù)設(shè)沙箱環(huán)境中���,通過預(yù)設(shè)腳本引擎��,對所述待檢測文件進(jìn)行解析��。需要說明的是�����,本發(fā)明實(shí)施例提供的另一種漏洞檢測裝置所涉及各功能單元的其他相應(yīng)描述�,可以參考圖2中的對應(yīng)描述�����,在此不再贅述���。本發(fā)明實(shí)施例提供的另一種漏洞檢測裝置���,首先獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件��;通過預(yù)設(shè)腳本引擎�,對所述待檢測文件進(jìn)行解析�����;根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件�����;若是��,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞�。與目前通過人工檢測0day漏洞的方式相比����,本發(fā)明通過對啟動時(shí)發(fā)生程序崩潰的待檢測文件進(jìn)行解析,并根據(jù)解析結(jié)果檢測待檢測文件是否符合預(yù)定異常條件�����,若存在�,則確定相應(yīng)的啟動軟件存在0day漏洞���,整個(gè)過程按照規(guī)則流程自動執(zhí)行,可以提高0day漏洞的檢測效率�,以便及時(shí)配置相應(yīng)的漏洞補(bǔ)丁,進(jìn)而保證軟件的使用安全��。本發(fā)明實(shí)施例公開了:A1�、一種漏洞檢測方法,包括:獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件����;通過預(yù)設(shè)腳本引擎,對所述待檢測文件進(jìn)行解析�;根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件;若是�����,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞���。A2���、如A1所述的漏洞檢測方法,所述根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行函數(shù)�;若是����,則確定所述待檢測文件符合預(yù)定異常條件�。A3、如A1所述的漏洞檢測方法�����,所述根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在填充數(shù)據(jù)Shellcode二進(jìn)制代碼����;若是,則確定所述待檢測文件符合預(yù)定異常條件���。A4、如A1所述的漏洞檢測方法���,所述根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在統(tǒng)一資源定位符URL地址�;若是�,則檢測所述URL地址是否與預(yù)設(shè)白名單列表中的URL地址都不匹配;若是����,則確定所述待檢測文件符合預(yù)定異常條件��。A5�����、如A1所述的漏洞檢測方法�����,所述根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行程序�����;若是����,則確定所述待檢測文件符合預(yù)定異常條件��。A6�����、如A5所述的漏洞檢測方法���,所述根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行程序包括:根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在加密數(shù)據(jù)��;若是����,則通過預(yù)置異或解密函數(shù),對所述加密數(shù)據(jù)進(jìn)行解密�����;根據(jù)解密結(jié)果確定所述待檢測文件中是否存在可執(zhí)行程序�����。A7����、如A1所述的漏洞檢測方法,所述通過預(yù)設(shè)腳本引擎�����,對所述待檢測文件進(jìn)行解析之前����,所述方法還包括:將所述待檢測文件配置在預(yù)設(shè)沙箱環(huán)境中;所述通過預(yù)設(shè)腳本引擎���,對所述待檢測文件進(jìn)行解析包括:在所述預(yù)設(shè)沙箱環(huán)境中����,通過預(yù)設(shè)腳本引擎�����,對所述待檢測文件進(jìn)行解析��。B8��、一種漏洞檢測裝置�,包括:獲取單元,用于獲取啟動時(shí)發(fā)生程序崩潰的待檢測文件��;解析單元�����,用于通過預(yù)設(shè)腳本引擎����,對所述獲取單元獲取的待檢測文件進(jìn)行解析;檢測單元,用于根據(jù)解析結(jié)果檢測所述待檢測文件是否符合預(yù)定異常條件�;確定單元,用于若所述檢測單元檢測出所述待檢測文件符合預(yù)定異常條件�����,則確定與所述待檢測文件相對應(yīng)的啟動軟件存在0day漏洞�����。B9��、如B8所述的漏洞檢測裝置����,所述檢測單元包括:檢測模塊,用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行函數(shù)��;確定模塊���,用于若所述檢測模塊檢測出所述待檢測文件中存在可執(zhí)行函數(shù)����,則確定所述待檢測文件符合預(yù)定異常條件��。B10��、如B8所述的漏洞檢測裝置�����,所述檢測單元包括:檢測模塊���,用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在填充數(shù)據(jù)Shellcode二進(jìn)制代碼�����;確定模塊�����,用于若所述檢測模塊檢測出所述待檢測文件中存在Shellcode二進(jìn)制代碼����,則確定所述待檢測文件符合預(yù)定異常條件���。B11��、如B8所述的漏洞檢測裝置����,所述檢測單元包括:檢測模塊,用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在統(tǒng)一資源定位符URL地址���;所述檢測模塊�,還用于若檢測出所述待檢測文件中存在URL地址��,則檢測所述URL地址是否與預(yù)設(shè)白名單列表中的URL地址都不匹配���;確定模塊����,用于若所述檢測模塊檢測出所述URL地址與預(yù)設(shè)白名單列表中的URL地址都不匹配���,則確定所述待檢測文件符合預(yù)定異常條件�����。B12�����、如B8所述的漏洞檢測裝置�����,所述檢測單元包括:檢測模塊���,用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在可執(zhí)行程序;確定模塊��,用于若所述檢測模塊檢測出所述待檢測文件中存在可執(zhí)行程序�����,則確定所述待檢測文件符合預(yù)定異常條件���。B13��、如B12所述的漏洞檢測裝置���,所述檢測模塊,具體用于根據(jù)解析結(jié)果檢測所述待檢測文件中是否存在加密數(shù)據(jù)�;所述檢測模塊,具體還用于若檢測出所述待檢測文件中存在加密數(shù)據(jù)��,則通過預(yù)置異或解密函數(shù)��,對所述加密數(shù)據(jù)進(jìn)行解密;所述檢測模塊����,具體還用于根據(jù)解密結(jié)果確定所述待檢測文件中是否存在可執(zhí)行程序。B14�、如B8所述的漏洞檢測裝置,所述裝置還包括:配置單元�����;所述配置單元����,用于將所述待檢測文件配置在預(yù)設(shè)沙箱環(huán)境中;所述解析單元��,具體用于在所述預(yù)設(shè)沙箱環(huán)境中�����,通過預(yù)設(shè)腳本引擎����,對所述待檢測文件進(jìn)行解析。在上述實(shí)施例中�,對各個(gè)實(shí)施例的描述都各有側(cè)重�,某個(gè)實(shí)施例中沒有詳述的部分��,可以參見其他實(shí)施例的相關(guān)描述���?�?梢岳斫獾氖牵鲜龇椒把b置中的相關(guān)特征可以相互參考�����。另外��,上述實(shí)施例中的“第一”���、“第二”等是用于區(qū)分各實(shí)施例��,而并不代表各實(shí)施例的優(yōu)劣�。所屬領(lǐng)域的技術(shù)人員可以清楚地了解到�,為描述的方便和簡潔,上述描述的系統(tǒng)���,裝置和單元的具體工作過程��,可以參考前述方法實(shí)施例中的對應(yīng)過程���,在此不再贅述���。在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)����。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外�,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白��,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說明書中����,說明了大量具體細(xì)節(jié)����。然而���,能夠理解�,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐���。在一些實(shí)例中��,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)���,以便不模糊對本說明書的理解����。類似地�,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)����,在上面對本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖��、或者對其的描述中����。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征��。更確切地說���,如下面的權(quán)利要求書所反映的那樣�,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征�。因此,遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式����,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。本領(lǐng)域那些技術(shù)人員可以理解��,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中����。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件���,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件�。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述��,本說明書(包括伴隨的權(quán)利要求�����、摘要和附圖)中公開的每個(gè)特征可以由提供相同�、等同或相似目的的替代特征來代替。此外��,本領(lǐng)域的技術(shù)人員能夠理解�����,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征����,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例��。例如,在下面的權(quán)利要求書中�,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)����,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)����。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的一種漏洞檢測方法及裝置中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)�。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號的形式�。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供�����,或者以任何其他形式提供����。應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制�,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例��。在權(quán)利要求中��,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制��。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟���。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)�。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)���。單詞第一�、第二���、以及第三等的使用不表示任何順序?�?蓪⑦@些單詞解釋為名稱�。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3