CN101414997B - 阻止恶意程序访问网络的方法和装置 - Google Patents
阻止恶意程序访问网络的方法和装置 Download PDFInfo
- Publication number
- CN101414997B CN101414997B CN 200710162446 CN200710162446A CN101414997B CN 101414997 B CN101414997 B CN 101414997B CN 200710162446 CN200710162446 CN 200710162446 CN 200710162446 A CN200710162446 A CN 200710162446A CN 101414997 B CN101414997 B CN 101414997B
- Authority
- CN
- China
- Prior art keywords
- trusted
- web application
- network
- creation
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于阻止恶意程序访问网络的方法,包括:监控步骤,将监控动态库注入到系统中的一个或多个进程中以对其进行监控;拦截步骤,拦截进程创建网络应用程序的对象的动作;判断步骤,根据定义的规则判断是否允许该进程访问网络;以及处理步骤,按照判定结果执行相应处理。
Description
技术领域
本发明涉及一种阻止恶意程序访问网络的方法和装置,更具体地,涉及一种阻止恶意程序创建通过受信任的网络应用程序对象来访问网络的方法和装置。
背景技术
随着计算机技术的飞速发展和网络的迅速普及,诸如木马病毒这样的恶意程序也层出不穷,严重危害了计算机用户的信息安全。
通常,用户的计算机在感染了恶意程序后,恶意程序会在用户不知情的情况下通过自身去访问网络,从而进行传递所窃取的用户信息等操作。对此,现有的防火墙等安全软件会对这样的网络访问动作进行拦截,确定该动作的发起者,根据规则或由用户进行选择来采取相应的放行或阻止操作。
近来,出现了一类新的恶意程序,为了绕开现有安全软件的保护,其并不通过自身来直接访问网络,而是调用系统中受信任的程序来访问网络,从而间接地向外发送帐号、密码等敏感信息。例如,一些木马病毒调用微软的Internet Explorer浏览器标准接口来访问网络发送信息。从表面上看,这样的访问动作的发起者是受信任的网络访问程序,因此现有的安全软件通常会对该网络访问动作放行,即便给出提示,用户在看到发起者是受信任的程序时,也不会对其进行阻止,结果是该恶意软件成功地突破了安全软件的保护而实现自身的非法目的。
发明内容
为了解决上述问题,弥补现有的安全软件功能上的不足,本发明提供了一种用于阻止恶意程序访问网络的方法,包括:监控步骤,将监控动态库注入到系统中的一个或多个进程中以对其进行监控;拦截步骤,拦截进程创建网络应用程序的对象的动作;判断步骤,根据定义的规则判断是否允许该进程访问网络;以及处理步骤,按照判定结果执行相应处理。
本发明还提供了一种用于实现上述方法的装置。
附图说明
图1是一种根据本发明的阻止恶意程序访问网络的方法的流程图;以及
图2是根据本发明的方法的一个示例性实施例的流程图。
具体实施方式
以下,结合附图详细描述本发明。
首先参照图1,说明了一种根据本发明的阻止恶意程序访问网络的方法的流程图,其中:
在步骤S10中,监控动态库被注入到系统中的进程中,以便实时地监控各个进程的动作。要注意的是,可以注入到系统中的所有进程中,也可以根据具体需求而选择注入到系统中的部分进程中,这都在本发明的保护范围之内。
在步骤S20中,当发现某个进程要创建能够访问网络的应用程序的对象时,对该对象创建动作进行拦截。此处需要特别注意的是,本发明的方法并不对某些进程通过自身来直接访问网络的动作进行拦截(这是一般防火墙均已实现的功能),而是专门针对下面一种情况,即,某些恶意程序的进程会通过创建系统中受信任的网络应用程序的对象,从而间接地利用所创建的受信任对象提供的方法来访问网络。
在步骤S30中,根据定义的规则来进行判断,确定是否允许该进程(或者说是与该进程相对应的程序)访问网络。例如,这样的规则可以是预先定义好的,并被记录在表状数据结构中,其中以条目的形式,记载有针对该进程的相关规则,即是否允许其访问网络、以及其它信息;或者这样的规则也可以是在未预定义的情况下,由用户根据进程信息当时确定的。显然,本发明并不局限于此,而是可以有各种定义规则的方式和记录规则的形式。
在步骤S40中,根据步骤S30的判定结果,执行相应的处理,亦即禁止或放行。具体地,如果允许该进程访问网络,则本方法不再对该进程的组件对象创建动作进行拦截,该进程从而得以继续执行该动作以创建受信任的网络应用程序对象来接入网络;反之,如果不允许该进程访问网络,则本方法最终禁止该进程继续执行该组件对象创建动作,使其无法通过前述的这种间接方式接入网络,从而使用户的信息安全得到保护。
下面结合图2,以恶意程序调用受信任的微软Internet Explorer浏览器程序来间接访问网络为例,说明本发明的一个实施例的方法的流程图,其中的各个小标题分别对应于图1所示的方法中的相应步骤。
监控过程
在步骤S101,防火墙启动保护,将监控动态库注入到Windows系统中正在运行的每一个进程中,从而开始对进程的动作进行监控。所述监控动态库对组件对象模型(Component Object Model,COM)库中的对象创建函数进行了HOOK,并记录了相应函数的入口地址,所述函数例如CoGetClassObject、CoCreateInstance或CoCreateInstanceEx等,但并不限于此。同时,防火墙也可以监视进程创建,每当有新进程创建时,就自动向其注入监控动态库。启动保护之后,该过程转入到步骤S201。本领域技术人员可以理解,该监控过程可以是常驻在系统中的,后续的各个过程则针对的是一次拦截。
拦截过程
在步骤S201中,在某一时刻,系统中的一个进程P调用上述对象创建函数,以便创建一个组件对象。当发生这样的调用时,注入到进程P中的监控动态库对该函数进行拦截,使得进程P调用COM库函数的动作被暂停,并且根据本实施例的过程转入到步骤S202。
在上述组件对象创建函数被调用时,传入的参数中均包括有一个参数clsid,例如,CoCreateInstance函数原型是HRESULTCoCreateInstance(const CLSID & clsid,...),该clsid值唯一地标识一种组件对象。因此,在步骤S202中,通过检查传给该函数的参数clsid,来确定该进程P通过调用COM库函数要创建的对象是否为设定好要监视的组件对象。例如,在本实施例中,要监视的是Internet Explorer,其clsid应为{0002DF01-0000-0000-C000-000000000046}。
如果根据clsid确定进程P调用的组件对象创建函数要创建的是我们所要监视的组件对象,在本实施例中,也就是Internet Explorer组件对象(在步骤S202中为“是”),则该过程转到步骤S301。
如果确定要创建的不是我们要监视的组件对象,例如,在本实施例中,确定不是Internet Explorer组件对象(在步骤S202中为“否”),则该过程转到步骤S401。
判断过程
在步骤S301中,获取该进程P的相关信息,例如,该进程的主模块(EXE文件)的完整路径、加载的动态库、公司信息等。然后,该过程转到步骤S302。
在步骤S302中,根据所获取的该进程P的相关信息,在预定义的规则文件中查找对应的规则条目。规则条目的定义和规则文件的组织形式以及查找方法可以采用本领域中常用的方式,在此省略其说明。
如果在预定义的规则文件中找到有与该进程P相对应的规则条目(在步骤S302中为“是”),则该过程转到步骤S303。在步骤S303中,根据所找到的规则条目来判断是否允许该进程P访问网络。
如果并未找到与该进程P相对应的规则条目(在步骤S302中为“否”),则该过程转到步骤S304。在步骤S304中,向用户报警,向其告知该进程P的相关信息,由用户来作出选择。可选地,用户的选择结果也被作为一条新增的规则条目记录到预定义的规则文件中供以后使用。
如果预定义的规则条目或者用户的选择不允许该进程P访问网络,也就是说,认定与该进程P对应的程序是恶意程序(在步骤S303中为“否”,或者在步骤S304中为“否”),则该过程转到步骤S401,以进行相应的禁止处理。
如果预定义的规则条目或者用户的选择允许该进程P访问网络(在步骤S303中为“是”,或者在步骤S304中为“是”),则该过程转到步骤S402,以进行相应的放行处理。
处理过程
在步骤S401中,最终决定禁止进程P调用的组件对象创建函数的对象创建动作,并返回一个错误值。由此,使得进程P创建InternetExplorer组件对象的动作失败,从而成功阻止了恶意进程P对网络的间接访问。
或者,在步骤S402中,由于确认了进程P的动作的合法性,因此直接返回到之前的拦截点处,也就是在步骤S101中记录的该组件对象创建函数的入口地址。从而,进程P可以恢复执行组件对象创建动作。对于Internet Explorer的情况,上述操作使得进程P得以成功调用COM库函数创建一个Internet Explorer组件对象,从而通过该对象访问网络。
在步骤S401或S402之后,本实施例的方法针对一次拦截的处理操作结束。
要注意的是,微软公司定义的组件对象模型(COM)是关于如何建立组件以及如何通过组件来建构应用程序的一个规范。就本发明所涉及的方面而言,对于多种能够访问网络传递信息的应用程序,例如Internet Explorer、Outlook等,均有相应的COM组件对象接口,允许利用COM库的对象创建函数(例如但不限于前面提及的CoGetClassObject、CoCreateInstance或CoCreateInstanceEx等),来创建相应的组件对象,并使用所创建的组件对象的标准方法来访问网络。显然,恶意程序也可以通过这些应用程序来间接访问网络从而隐藏其自身,因此,上述实施例给出的方法也同样能够针对Outlook、Outlook Express和Windows Mail以及其它提供有标准COM接口来访问网络的程序进行保护。
尽管前面已经结合实施例详细描述了本发明,但是本领域的技术人员能够理解,这些实施例是说明性的而非限制性的;对于这些实施例,可以有各种变型,而不背离本发明的实质。因此,所有这样的变型都落入由所附权利要求书限定的本发明的范围之内。
Claims (10)
1.一种用于阻止恶意程序访问网络的方法,包括:
监控步骤,将监控动态库注入到系统中的一个或多个进程中以对其进行监控;
拦截步骤,当所述一个或多个进程中的一个进程要创建受信任的网络应用程序的对象时,拦截该进程创建所述受信任的网络应用程序的对象的动作;
判断步骤,根据定义的规则判断是否允许该进程访问网络;以及
处理步骤,如果允许所述进程访问网络,则允许该进程创建所述受信任的网络应用程序的对象,使得该进程能够通过该对象间接访问网络,以及如果不允许该进程访问网络,则禁止该进程创建所述受信任的网络应用程序的对象。
2.根据权利要求1所述的方法,其中,在所述拦截步骤中,对进程调用组件对象模型(COM)库的对象创建函数来创建所述受信任的网络应用程序的对象的动作进行拦截。
3.根据权利要求2所述的方法,其中
要创建的所述受信任的网络应用程序的对象是通过传入所述对象创建函数的参数clsid来识别的。
4.根据权利要求3所述的方法,其中
所述对象创建函数是CoGetClassObject、CoCreateInstance、或CoCreateInstanceEx。
5.根据权利要求3所述的方法,其中
所述受信任的网络应用程序是微软的Internet Explorer、Outlook、Outlook Express或Windows Mail。
6.根据权利要求1所述的方法,其中,在所述监控步骤中,对系统中的每一个进程均进行监控。
7.根据权利要求1所述的方法,其中,所述判断步骤包括:
根据预定义的规则文件中的相关条目进行判断。
8.根据权利要求7所述的方法,其中,所述判断步骤还包括:
如果所述规则文件中不存在相关条目,则提示给用户由用户进行选择,并将用户的选择结果记入所述规则文件中。
9.一种用于阻止恶意程序访问网络的装置,包括:
监控模块,用于将监控动态库注入到系统中的一个或多个进程中以对其进行监控;
拦截模块,用于当所述一个或多个进程中的一个进程要创建受信任的网络应用程序的对象时,拦截该进程创建所述受信任的网络应用程序的对象的动作;
判断模块,用于根据定义的规则判断是否允许该进程访问网络;以及
处理模块,用于如果允许所述进程访问网络,则允许该进程创建所述受信任的网络应用程序的对象,使得该进程能够通过该对象间接访问网络,以及如果不允许该进程访问网络,则禁止该进程创建所述受信任的网络应用程序的对象。
10.根据权利要求9所述的装置,其中,所述拦截模块对进程调用组件对象模型(COM)库的对象创建函数来创建所述受信任的网络应用程序的对象的动作进行拦截。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710162446 CN101414997B (zh) | 2007-10-15 | 2007-10-15 | 阻止恶意程序访问网络的方法和装置 |
| HK09107173.5A HK1127453A1 (en) | 2007-10-15 | 2009-08-05 | Method and apparatus for preventing malicious program from accessing network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710162446 CN101414997B (zh) | 2007-10-15 | 2007-10-15 | 阻止恶意程序访问网络的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101414997A CN101414997A (zh) | 2009-04-22 |
| CN101414997B true CN101414997B (zh) | 2013-06-12 |
Family
ID=40595311
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710162446 Active CN101414997B (zh) | 2007-10-15 | 2007-10-15 | 阻止恶意程序访问网络的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101414997B (zh) |
| HK (1) | HK1127453A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103034806B (zh) * | 2011-09-30 | 2016-08-10 | 腾讯科技(深圳)有限公司 | 处理操作的方法和终端 |
| CN103294590B (zh) * | 2012-02-28 | 2015-05-06 | 腾讯科技(深圳)有限公司 | 应用程序运行中的处理方法和装置 |
| CN107103238A (zh) * | 2012-02-29 | 2017-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
| CN102779255B (zh) | 2012-07-16 | 2014-11-12 | 腾讯科技(深圳)有限公司 | 判断恶意程序的方法及装置 |
| CN103902890A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 一种Android程序行为的监控方法及监控系统 |
| CN103116716A (zh) * | 2013-01-25 | 2013-05-22 | 复旦大学 | 一种针对移动平台的低干扰的即时权限授予方法 |
| CN103116723A (zh) * | 2013-02-06 | 2013-05-22 | 北京奇虎科技有限公司 | 一种网址拦截处理的方法、装置和系统 |
| CN103218564A (zh) * | 2013-04-01 | 2013-07-24 | 广东欧珀移动通信有限公司 | 一种移动终端保护方法及装置 |
| CN104346137B (zh) * | 2013-07-24 | 2019-05-14 | 腾讯科技(深圳)有限公司 | 一种应用联网的管理方法、系统和计算机可读存储介质 |
| US9450970B2 (en) * | 2013-08-12 | 2016-09-20 | Wal-Mart Stores, Inc. | Automatic blocking of bad actors across a network |
| CN106325844B (zh) * | 2015-06-30 | 2022-04-22 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| US10671449B2 (en) | 2015-06-30 | 2020-06-02 | Lenovo (Beijing) Limited | Methods and apparatuses for setting application property and message processing |
| CN105119903B (zh) * | 2015-07-21 | 2019-03-08 | 北京奇虎科技有限公司 | 在局域网中处理恶意程序的方法及装置 |
| CN109379404B (zh) * | 2018-09-14 | 2022-04-01 | 厦门天锐科技股份有限公司 | 基于tdi驱动和代理服务器有效代理转发数据的方法 |
| CN111327607B (zh) * | 2020-02-13 | 2022-11-01 | 重庆特斯联智慧科技股份有限公司 | 一种基于大数据的安全威胁情报管理方法、系统、存储介质及终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310411A (zh) * | 2000-02-24 | 2001-08-29 | 英业达股份有限公司 | 一种可防止电子邮件病毒的电子邮件处理系统 |
| CN1801031A (zh) * | 2004-12-31 | 2006-07-12 | 福建东方微点信息安全有限责任公司 | 运用程序行为知识库判断已知程序被攻击的方法 |
| CN1900941A (zh) * | 2006-04-28 | 2007-01-24 | 傅玉生 | 一种基于软件身份认证技术的计算机安全保护方法 |
-
2007
- 2007-10-15 CN CN 200710162446 patent/CN101414997B/zh active Active
-
2009
- 2009-08-05 HK HK09107173.5A patent/HK1127453A1/xx not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310411A (zh) * | 2000-02-24 | 2001-08-29 | 英业达股份有限公司 | 一种可防止电子邮件病毒的电子邮件处理系统 |
| CN1801031A (zh) * | 2004-12-31 | 2006-07-12 | 福建东方微点信息安全有限责任公司 | 运用程序行为知识库判断已知程序被攻击的方法 |
| CN1900941A (zh) * | 2006-04-28 | 2007-01-24 | 傅玉生 | 一种基于软件身份认证技术的计算机安全保护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| HK1127453A1 (en) | 2009-09-25 |
| CN101414997A (zh) | 2009-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101414997B (zh) | 阻止恶意程序访问网络的方法和装置 | |
| US11514159B2 (en) | Method and system for preventing and detecting security threats | |
| US10333967B2 (en) | Method and system for dynamic platform security in a device operating system | |
| JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| TWI559166B (zh) | 應用程式的威脅程度評估 | |
| WO2015124018A1 (zh) | 基于智能终端设备的应用程序访问方法与装置 | |
| EP1622061A2 (en) | Method and system for single reactivation of software product licenses | |
| KR20130135952A (ko) | 동작 중인 어플리케이션 프로그램을 실행 시 처리처리하기 위한 방법 및 장치 | |
| JP2003535414A (ja) | 情報を盗んだり及び/又は損害を引き起こしたりするかもしれない邪悪なプログラムに対するコンピュータの包括的一般的共通的保護のためのシステム及び方法 | |
| KR100733387B1 (ko) | 이상 행동 기반 유해 프로그램 검출 시스템 및 그 방법 | |
| Hagan et al. | Enforcing policy-based security models for embedded SoCs within the internet of things | |
| EP3482335B1 (en) | Mitigation of malicious actions associated with graphical user interface elements | |
| Egners et al. | Hackers in your pocket: A survey of smartphone security across platforms | |
| CN109800580B (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
| US11005859B1 (en) | Methods and apparatus for protecting against suspicious computer operations using multi-channel protocol | |
| KR20150144046A (ko) | 웹 쉘 탐지 장치와 이를 이용한 함수 실행 제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1127453 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: BEIJING RISING INTERNATIONAL TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: BEIJING RISING INTERNATIONAL SOFTWARE CO., LTD. Effective date: 20100413 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100080 ROOM 1305, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN AVENUE, BEIJING CITY TO: 100190 ROOM 1301, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN AVENUE, HAIDIAN DISTRICT, BEIJING CITY |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20100413 Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Applicant after: Beijing Rising Information Technology Co., Ltd. Address before: 100080, room 1305, Zhongke building, 22 Zhongguancun street, Beijing Applicant before: Beijing Rising International Software Co., Ltd. |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1127453 Country of ref document: HK |
|
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee after: Beijing Rising Information Technology Co., Ltd Address before: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee before: Beijing Rising Information Technology Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee after: Beijing net an Technology Limited by Share Ltd Address before: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Patentee before: Beijing Rising Information Technology Co., Ltd |