一种检测恶意flash文件的方法和装置专利登记公告

专利名称：一种检测恶意flash文件的方法和装置

摘要：本发明提供了一种检测恶意flash文件的方法和装置，通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息，分别针对产生读内存操作的函数操作信息和产生写内存操作的函数操作信息执行不同的检测操作：对产生读内存操作的函数操作信息进行参数调用的合法性检测，对产生写内存操作的函数的有效存储空间进行喷射攻击检测，从而确定待检测flash文件是否为恶意flash文件。这种动态检测的方式自动实现恶意flash的检测，无需人工参与和维护病毒库，大大降低了维护成本，提高了覆盖率；另外，本发明中对任意的待

专利类型：发明专利

专利号：CN201210027110.8

专利申请（专利权）人：北京百度网讯科技有限公司

专利发明（设计）人：黄正

主权项：一种检测恶意flash文件的方法，其特征在于，该方法包括由以下步骤构成的动态检测流程：A1、通过挂函数钩子针对待检测flash文件收集产生shellcode的操作信息，其中shellcode为利用特定漏洞的代码或填充数据；A2、判断收集到的产生shellcode的操作信息，如果是产生读内存操作的函数操作信息，则执行步骤A3；如果是产生写内存操作的函数操作信息，则执行步骤A4；A3、对产生读内存操作的函数操作信息进行参数调用的合法性检测，如果不合法，则确定所述待检测flash文件为恶意flash文件，结束对

专利地区：北京