CN102902919B - 一种可疑操作的识别处理方法、装置和系统 - Google Patents

一种可疑操作的识别处理方法、装置和系统 Download PDF

Info

Publication number
CN102902919B
CN102902919B CN201210316980.7A CN201210316980A CN102902919B CN 102902919 B CN102902919 B CN 102902919B CN 201210316980 A CN201210316980 A CN 201210316980A CN 102902919 B CN102902919 B CN 102902919B
Authority
CN
China
Prior art keywords
processes
title
white list
dangerous
exe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210316980.7A
Other languages
English (en)
Other versions
CN102902919A (zh
Inventor
余和
范纪鍠
郑文彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qizhi Business Consulting Co ltd
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201210316980.7A priority Critical patent/CN102902919B/zh
Publication of CN102902919A publication Critical patent/CN102902919A/zh
Application granted granted Critical
Publication of CN102902919B publication Critical patent/CN102902919B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种可疑操作的识别处理方法、装置和系统,其中,所述一种可疑操作的识别处理方法包括:拦截用户设备上的程序操作;获取运行所述程序操作的进程链,并提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配包括,判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;当存在危险白名单进程时,阻止用户设备上所述程序操作的执行。本发明可以前瞻性地阻止恶意程序的攻击,提高用户设备使用的安全性和稳定性。

Description

一种可疑操作的识别处理方法、装置和系统
技术领域
本发明涉及文件处理技术领域,具体涉及一种可疑操作的识别处理方法,一种可疑操作的识别处理装置,以及,一种可疑操作的识别处理系统。
背景技术
恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch,windowsshell,java等)、木马、犯罪软件、间谍软件和广告软件等等,都可以称之为恶意程序。恶意程序通常通过在用户设备上运行程序操作,如修改注册表,访问网络等来达到破坏用户设备安全性的目的。
传统的恶意程序防杀主要依赖于特征库模式。特征库是由安全软件厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,查杀引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。
特征库匹配是查杀已知恶意程序很有效的一项技术。但是现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,很多时候安全软件无法防杀层出不穷的未知恶意程序。
因此,本领域技术人员迫切需要解决的技术问题是:如何前瞻性地阻止恶意程序的攻击,提高用户设备使用的安全性和稳定性。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种可疑操作的识别处理方法,相应的一种可疑操作的识别处理装置,和相应的一种可疑操作的识别处理系统。
依据本发明的一个方面,提供了一种可疑操作的识别处理方法,包括:
拦截用户设备上的程序操作;
获取运行所述程序操作的进程链,并提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配包括,判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
当存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
可选地,所述的方法,还包括:
当不存在危险白名单进程时,允许用户设备上所述程序操作的执行。
可选地,所述进程链的特征信息还包括:所述进程链上进程的命令行;所述危险白名单进程序列表中还包括命令行判断规则,所述匹配还包括:
采用所述命令行判断规则判断所述进程链上的进程的命令行是否合法;
若否,则判定为危险白名单进程。
可选地,所述预先收集的可疑进程的内部名称包括:
Windows操作系统的命令行程序的名称CMD或Cmd.exe;和/或,
用于注册Windows操作系统的动态链接库和ActiveX控件程序的名称regsvr32.exe;和/或,
用于在内存中运行DLL文件程序的名称rundll32.exe;和/或,
服务管理程序的名称sc.exe;和/或,
Windows注册表编辑器程序的名称Rgedit.exe;和/或,
Windows操作系统脚本相关支持程序的名称wscript.exe;和/或,
用于编辑注册表的程序的名称reg.exe;和/或,
用于使16位的进程能够运行在32位的系统环境下的程序的名称ntvdm.exe;
用于通过WinMgmt.exe程序处理WMI操作的程序的名称wmiprvse.exe。
可选地,所述进程链的特征信息还包括:所述进程链上进程的命令行;所述匹配还包括:
判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;
若满足预置合法规则,则判定为非危险白名单进程;
若满足预置非法规则,则判定为危险白名单进程。
根据本发明的另一方面,提供了一种可疑操作的识别处理装置,包括:
拦截模块,用于拦截用户设备上的程序操作;
进程链获取模块,用于获取运行所述程序操作的进程链;
特征提取模块,用于提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
匹配模块,用于采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配模块包括,
第一判定子模块,用于判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
操作阻止模块,用于在存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
可选地,所述的装置,还包括:
操作放行模块,用于在当不存在危险白名单进程时,允许用户设备上所述程序操作的执行。
可选地,所述进程链的特征信息还包括:所述进程链上进程的命令行;所述危险白名单进程序列表中还包括命令行判断规则,所述匹配模块还包括:
第二判定子模块,用于采用所述命令行判断规则判断所述进程链上的进程的命令行是否合法;若否,则判定为危险白名单进程。
可选地,所述预先收集的可疑进程的内部名称包括:
Windows操作系统的命令行程序的名称CMD或Cmd.exe;和/或,
用于注册Windows操作系统的动态链接库和ActiveX控件程序的名称regsvr32.exe;和/或,
用于在内存中运行DLL文件程序的名称rundll32.exe;和/或,
服务管理程序的名称sc.exe;和/或,
Windows注册表编辑器程序的名称Rgedit.exe;和/或,
Windows操作系统脚本相关支持程序的名称wscript.exe;和/或,
用于编辑注册表的程序的名称reg.exe;和/或,
用于使16位的进程能够运行在32位的系统环境下的程序的名称ntvdm.exe;
用于通过WinMgmt.exe程序处理WMI操作的程序的名称wmiprvse.exe。
可选地,所述进程链的特征信息还包括:所述进程链上进程的命令行;所述匹配模块还包括:
第三判定子模块,用于判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;并在满足预置合法规则时,判定为非危险白名单进程;在满足预置非法规则时,判定为危险白名单进程。
根据本发明的另一方面,提供了一种可疑操作的识别处理系统,包括:
位于客户端的拦截模块,用于拦截用户设备上的程序操作;
位于客户端的进程链获取模块,用于获取运行所述程序操作的进程链;
位于客户端的特征提取模块,用于提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
位于客户端的通信模块,用于将所述进程链的特征信息发送至服务器;
位于服务器的匹配模块,用于采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配模块包括,第一判定子模块,用于判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
位于服务器的通知模块,用于将所述判断结果发送至客户端;所述判断结果包括存在危险白名单进程;
位于客户端的操作阻止模块,用于在存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
本发明创造性地提出一种针对恶意程序的主动防御技术,通过预先构建”危险白名单程序”列表,当主动防御拦截到一个可疑操作时,如果发现进行操作的进程在“危险白名单程序”列表中,就转到危险白的处理流程中,此流程会取得运行操作的进程链(所有的父子进程)上所有进程的特征信息,比如进程的内部名称等,然后判断进程链上所有进程的特征信息,是否出现在所述“危险白名单程序”列表中,若是,则判定当前操作为危险白名单进程运行的操作,于是阻止该操作的执行。本发明前瞻性地阻止了恶意程序的攻击,能进一步对白名单进程进行潜在危胁地识别,特别是能有效防范恶意程序采用操作系统自带的程序进行伪装,运行操作的情况,从而有效提高了用户设备使用的安全性和稳定性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种可疑操作的识别处理方法实施例1的步骤流程图;
图2示出了根据本发明一个实施例的一种可疑操作的识别处理方法实施例2的步骤流程图;
图3示出了根据本发明一个实施例的一种可疑操作的识别处理装置实施例的结构框图;
图4示出了根据本发明一个实施例的一种可疑操作的识别处理系统实施例的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明涉及针对恶意程序的主动防御技术。主动防御技术是基于程序行为自主分析判断是否为恶意程序的实时防护技术,主动防御技术不以特征码作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户设备的目的。
主动防御通过系统底层驱动拦截对系统关键位置(如注册表、系统目录等)进行保护,当有程序试图修改这些系统关键位置时就会进行拦截,拦截后需要决策此次的修改行为是否为恶意,如果是判定为恶意将阻止此行为,并提示给用户;如果非恶意将允许此行为。通常的决策行为是判断试图执行此修改行为的进程是否安全来决定的,如果一个安全的程序进行的修改将允许,以减少用户不必要的打扰。
这种主动防御技术的一个漏洞在于,如果全部使用操作系统自带的程序来进行修改,则会破坏主动防御的决策机制,从而无法判断是否需要对其进行拦截,以达到攻破主动防御体系的目的。
例如,目前已知的攻击行为包括:在桌面上放置快捷方式,放置BAT文件(dos下的批处理文件)或VBS文件(一种脚本文件),建立一个文件夹并放置一个文件夹配置文件(desktop.ini),使用计划任务,或者,使用模拟鼠标点击等。当放置的文件被用户点击,或行为发生时(如计划任务、模拟鼠标点击)会调用一个操作系统自带的程序来进行执行破坏操作。传统的主动防御技术对此基本没有判断能力,会直接允许其运行。比如,木马程序在桌面上放置一个快捷方式,配上吸引用户注意的图标和文字,此快捷方式的命令行如下:regedit.exe/sabc.reg,在这种情况下,当用户点击这个图标时,regedit.exe就会被运行,并将abc.reg中的注册表项导入到用户设备的注册表中,但这些注册表项可能是修改用户的启动项用于开机自动加载木马,或修改用户的IE首页,或用于加载一个驱动程序等等,从而破坏用户设备的安全性。
传统的主动防御技术可以拦截到这些对注册表的修改,但进行决策时发现是由用户主动点击运行的程序,而这个程序(regedit.exe)又是操作系统的程序,在这种情况下,传统的主动防御技术只能选择对这个操作放行,这样木马程序就达成了其目的。
本专利发明人通过分析、研究大量的木马行为,并进行总结,发现木马利用的程序都是操作系统自带的程序运行操作,而这些程序都可以通过命令行来实现一些对系统的修改。据此,本专利发明人提出本发明实施例的核心构思之一在于,预先构建”危险白名单程序”列表,当主动防御拦截到一个可疑操作时,如果发现进行操作的进程在“危险白名单程序”列表中,就转到危险白的处理流程中,此流程会取得运行操作的进程链(所有的父子进程)上所有进程的特征信息,比如进程的内部名称等,然后判断进程链上所有进程的特征信息,是否出现在所述“危险白名单程序”列表中,若是,则判定当前操作为危险白名单进程运行的操作,于是阻止该操作的执行。
参照图1,其示出了本发明的一种可疑操作的识别处理方法实施例1的步骤流程图,具体可以包括如下步骤:
步骤101,拦截用户设备上的程序操作;
应用本发明实施例可以对用户设备上的所有程序操作进行拦截,也可以依据实际情况对用户设备上的指定操作进行拦截,例如,拦截针对操作系统程序运行修改的操作,文件或目录的删除或移动操作等。
在具体实现中,通过在操作系统的应用层(RING3层)和/或驱动层(RING0层)部署钩子(HOOK),或直接利用操作系统自带的底层驱动(如文件过滤驱动)即可实现所述拦截操作。例如,使用RING0层的底层驱动来监控对注册表的读写,在写入启动项时进行判断;或如,使用RING3层的应用程序接口(API)来拦截程序发起的程序行为和/或发起该行为的程序等,所拦截的操作的位置(系统的关键位置)可以包括:注册表、系统目录、进程注入、网络访问等等。
当然,上述拦截操作的实现可以由本领域技术人员依据实际情况任意设置,本发明对此不作限制。
步骤102,获取运行所述程序操作的进程链,并提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
进程链包括运行所述程序操作的所有父子进程,例如,一种进程链的示例为:进程1→进程2→进程3,即所述进程2为进程3的父进程,进程1为进程2的父进程,进程2为进程1的子进程,进程3为进程2的子进程。
作为本发明实施例具体应用的示例,所述运行程序操作的进程链可以使用API来获取,例如,使用NtQueryInformationProcess(NTDLL.DLL中的一个函数,用于将指定类型的进程信息拷贝到某个缓冲)可以取得父进程的PID(各进程的身份标识),逐级向上找到所有的进程。或如,使用底层驱动来取得一个进程创建和退出事件,从而创建一个进程链,通过查找所述进程链的管理功能就可以取得整个父子进程的信息。
当然,上述进程链的获取方式仅仅用作示例,本领域技术人员依据实际情况采用任一种进程链的获取方法均是可行的,本发明对此无需加以限制。
在本发明实施例中,需要提取进程链上所有进程的名称。需要说明的是,所述进程的名称是指进程的内部名称,而非进程的外部名称。进程的内部名称是系统内部用于标识一个进程所赋予的编号,通常,为了增强进程标识符的可读性,系统还允许进程的创建者为进程取一个外部名称(外部标识符)。
如果仅使用外部名称进行危险白名单进程的判断,那么木马可以等系统中的文件拷贝出来,重命名后再调用,木马如果修改某个进程的内部名称,那么该进程的数字指纹就会破坏,采用现有技术就可以很容易地被确定为一个不安全的进程。如果木马不修改某个进程的内部名称,那么就无法通过改名来逃避查杀。所以在本发明实施例中需要使用进程的内部名称来判断是否为危险白名单进程序。
在具体实现中,所述进程的内部名称可以从进程的版本信息中获取,当然,本领域技术人员采用任一种技术手段获取所述进程的内部名称均是可行的,本发明对此无需加以限制。
步骤103,采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配;
其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述步骤103可以包括如下子步骤:
子步骤S11,判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称;
子步骤S12,若是,则判定为危险白名单进程;
作为本发明实施例具体应用的一种示例,所述预先收集的可疑进程的内部名称可以包括如以下表1所示的任一种或几种或全部名称:
表1:
Cmd.exe/CMD
regsvr32.exe
rundll32.exe
sc.exe
Rgedit.exe
wscript.exe
reg.exe
ntvdm.exe
wmiprvse.exe
以下分别对上述表1中的各项进程内部名称进行说明:
1)Cmd.exe或CMD是Windows操作系统的命令行程序的内部名称;
2)regsvr32.exe是用于注册Windows操作系统的动态链接库和ActiveX控件程序的内部名称;
3)rundll32.exe是用于在内存中运行DLL文件程序的内部名称;
4)sc.exe服务管理程序的内部名称;
5)Rgedit.exe是Windows注册表编辑器程序的内部名称;
6)wscript.exe是Windows操作系统脚本相关支持程序的内部名称;
7)reg.exe是用于编辑注册表的程序的内部名称;
8)ntvdm.exe是用于使16位的进程能够运行在32位的系统环境下的程序的内部名称;
9)wmiprvse.exe是用于通过WinMgmt.exe程序处理WMI操作的程序的内部名称。
当然,上述危险白名单程序列表中的信息仅仅是在Windows操作系统下的一种简单示例,本领域技术人员依据实际情况任意设置所述危险白名单程序列表中的内容均是可行的,本发明对此无需加以限制。
步骤104,当存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
应用本发明实施例,当判定运行操作的进程链中存在危险白名单进程,则阻止所述操作的继续执行。所述操作的阻止执行可以由系统的底层驱动停止向下一级驱动发送动作执行的消息来实现,也可以采用现有技术中的任一种阻止操作执行的方法来实现,本发明对此无需加以限制。
参照图2,其示出了本发明的一种可疑操作的识别处理方法实施例2的步骤流程图,具体可以包括如下步骤:
步骤201,拦截用户设备上的程序操作;
步骤202,获取运行所述程序操作的进程链,并提取所述进程链的特征信息;
其中,所述进程链的特征信息可以包括:所述进程链上所有进程的内部名称;以及,所述进程链上进程的命令行。
以下以表1所列的进程作为示例,对进程的命令行进一步说明:
1)Cmd.exe:
cmd.exe指的是微软Windows系统的命令行程序,类似与微软的DOS操作系统。cmd.exe是一个32位的命令行程序,运行在WindowsNT/2000/XP/2003/Vista上。它不是纯粹的系统程序。cmd.exe的命令参数包括:
CMD[/A|/U][/Q][/D][/E:ON|/E:OFF][/F:ON|/F:OFF][/V:ON|/V:OFF][[/S][/C|/K]string]
其中,/C表示执行字符串指定的命令然后终断;
/K表示执行字符串指定的命令但保留;
/S表示在/C或/K后修改字符串处理;
/Q表示关闭回应;
/D表示从注册表中停用执行AutoRun命令;
/A表示使向内部管道或文件命令的输出成为ANSI(一种字符代码);
/U表示使向内部管道或文件命令的输出成为Unicode(另一种字符代码);
/T:fg表示设置前景/背景颜色;
/E:ON表示启用命令扩展;
/E:OFF表示停用命令扩展;
/F:ON表示启用文件和目录名称完成字符;
/F:OFF表示停用文件和目录名称完成字符;
/V:ON表示将!作为定界符启动延缓环境变量扩展。如:/V:ON会允许!var!在执行时允许!var!扩展变量var;
/V:OFF表示停用延缓的环境扩展。
2)regsvr32.exe:
regsvr32.exe这个程序可以用于注册Windows操作系统的动态链接库和ActiveX控件,是32位系统下使用的DLL注册和反注册工具,使用它必须通过命令行的方式使用,格式是:
regsvr32[/u][/s][/n][/i[:cmdline]]DLL文件名。
其中参数对应的功能如下:
/u:反注册DLL文件;
/s:安静模式(Silent)执行命令,即在成功注册/反注册DLL文件前提下不显示结果提示框;
/c:控制端口;
/i:在使用/u反注册时调用DllInstall;
/n:不调用DllRegisterServer,必须与/i连用。
3)rundll32.exe:
rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。以下提供几种有关Rundll的指令:
命令行:rundll32.exeshell32.dll,Control_RunDLL
功能:显示控制面板
命令行:rundll32.exeshell32.dll,Control_RunDLLaccess.cpl,,1
功能:显示“控制面板-辅助选项-键盘”选项视窗
命令行:rundll32.exeapwiz.cpl,NewLinkHere%1
功能:显示“建立快捷方式”的对话框,所建立的快捷方式的位置由%1参数决定。
4)sc.exe:
sc.exe是Windows操作系统的服务管理程序:可用sc.exe远程创建,从命令行启动服务。使用Sc.exe可以帮助开发的Windows服务。Sc.exe资源工具包中提供实现对所有在Windows服务的控件应用程序编程接口(API)函数的调用。可以通过在命令行上指定这些设置对这些函数的参数。也可以显示服务状态,并检索存储在状态结构字段中的值。该工具还允许指定远程计算机名称,以便调用服务API函数或查看远程计算机上的服务状态结构。Sc.exe还允许调用服务控制的任何API函数并从命令行参数的任何变化。此优点是它提供了一种创建或配置注册表和服务控制管理器数据库中的服务信息的简便方法。不必通过在注册表中手动创建项,然后重新启动计算机,强制更新其数据库的服务控制管理器来配置该服务。
其命令行格式为:
Syntax1(使用Syntax1运行Sc.exe)
sc[服务器名]命令Servicename[Optionname=Optionvalue...]
Syntax2(若要显示的除外查询命令的帮助信息,使用Syntax2)sc[命令]
以下提供几种sc.exe命令行的示例:
1.停止事件服务:scstopeventlog;
2.启动事件服务:scstarteventlog;
3.设置事件服务手工启动(示例),注意start=后要有一个空格:
scconfigeventlogstart=demand;
4.设置事件服务为禁用:scconfigeventlogstart=disabled。
5)regedit.exe:
regedit.exe是Windows注册表编辑器程序,用于察看和更改系统注册表设置。
6)wscript.exe:
wscript.exe是微软MicrosoftWindows操作系统脚本相关支持程序。WSCript全称“WindowsScriptingHost”,是一种批次语言/自动执行工具——它所对应的程序“WSCript.exe”是一个脚本语言解释器,位于C:\WINDOWS\system32目录下,正是它才使得脚本可以被执行,就象执行批处理一样,可以拿来执行.wsh,.vbs,.js等。它本身并不是病毒,但由于其功能十分强大,所以会被一些恶意病毒代码所利用。
7)reg.exe;
该程序通常有以下几种用法:
71)命令行:regadd:
用该命令加入一个新的指定键值,从给出的例子文件来看,基本的使用方法如下:
命令-计算机名称-根键名-[子键名称-类型-数据]
以下是更详细、规范的表述:
regadd[\\machine\]keyname[/vvaluename/ve][/ttype][/sseparator][/ddata][/f]
参数及说明:
machine:计算机名称,此处关于计算机名称的介绍,其它命令也将使用,请注意。以machine指定远程计算机名称,如果省略,默认值是使用当前的本地计算机,不能使用驱动器名来指定远程计算机名。计算机名称前面的双反斜杠符号不能省去。如:\\mydiac就是一个正确的范例;
keyname:键名;
格式:[rootkey\]key;其中,rootkey是根键;
key:子键,所选根键之下的子键的完整名字;
/vvaluename:向指定注册表加入新键值的名称,如果包含有空格,则字符串应使用引号;
/ve:加入的空键值名;
/ttype:指定使用的数字或字符串的类型;
/sseparator:指定注册表使用的数据字符串的分隔字符。
/f:允许覆盖现存的注册表;
/ddata:向注册表中的指定键以指定数据赋于键值
72)命令行:regcompare:
将当前(本地计算机)的注册表与另外一个注册表或另外一个远程计算机上的注册表进行比较,将比较结果输出到一个文件上。
regcompare[\\machine\]keyname1[\\machine\]keyname2[/vvaluename]/ve][/s][output]
参数及说明:
machine:指定的计算机名称;
keyname1,keyname2:注册表的键名;
/vvaluename:进行比较的键值的名称,如果包含有空格,则字符串应使用引号;
/ve,/ve:比较默认(无键名的)键值;
/s,/s:比较所有子键;
output输出:以下列形式的开关参数控制输出结果:
/oa,/oa:输出全部的不同部分与相同部分;
/od,/od:仅输出不同部分;
/os,/os:仅输出相同部分;
/on,/on没有任何输出。
返回代码的含义:
0:成功地进行了比较,比较的结果是二者相同;
1:比较过程失败;2-成功地进行了比较,比较的结果是二者不相同。
73)命令行:regcopy:
将当前的注册表或远程计算机上的注册表拷贝到一个新的位置(或计算机上)。
regcopy[\\machine\]sourcekey[\\machine\]destinationkey[/s][/f]
参数及说明:
machine:指定的计算机名称;
sourcekey和destinationkey:″源″键和″目的″键:注册表的键名称;
/s:拷贝全部子键及键值;
/f:强制拷贝。
74)命令行:regdelete:
删除一个注册表、注册表键值或子键值。
regdelete[\\machine\]keyname[/vvaluename/ve/va][/f]
8)ntvdm.exe:
ntvdm.exe是Windows16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。
9)wmiprvse.exe:
wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。Windows管理规范(WMI)是微软Windows操作系统的一个组件,提供管理信息和企业环境中的控制。通过使用业界标准,管理者可以用WMI查询和设置关于桌面系统、应用程序、网络,和其它企业组件的信息。开发人员可以用WMI创建事件监视应用程序,当重要事件发生时通知用户。
从WindowsXP开始,WMI属于有着几个其它服务的一个共享服务宿主。为了避免当一个提供程序失败时停止所有服务,提供程序被载入一个名为Wmiprvse.exe的分开的主机进程。Wmiprvse.exe的多个实例可以同时运行在不同的帐户下:LocalSystem、NetworkService,或LocalService。WMI核心WinMgmt.exe被载入名为Svchost.exe的共享的本地服务宿主。
以上进程命令行的示例仅仅用于本领域技术人员充分理解本发明,并不要求进程命令行的形式及参数限定在以上范围内。
步骤203,采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,判断是否存在危险白名单进程,若是,则执行步骤104;否则,执行步骤105;
其中,所述危险白名单程序列表中可以包括:预先收集的可疑进程的内部名称;以及,命令行判断规则。
在本发明的一种优选实施例中,所述步骤103可以包括如下子步骤:
子步骤S21,判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则执行子步骤S22,否则,执行子步骤S23;
子步骤S22,采用所述命令行判断规则判断所述进程链上的进程的命令行是否合法;若是,则执行子步骤S24,否则,执行子步骤S23;
子步骤S23,判定为危险白名单进程;
子步骤S24,判定非危险白名单进程。
在本发明的另一种优选实施例中,所述步骤103可以包括如下子步骤:
子步骤S31,判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;
子步骤S32,若满足预置合法规则,则判定为非危险白名单进程;
子步骤S33,若满足预置非法规则,则判定为危险白名单进程。
为使本领域技术人员更好地理解本发明,以下提供几种危险白名单进程判断方法的示例:
例1,以cmd.exe开始的进程,不管中间调用了哪些进程,只要最后运行操作的进程的内部名称存在危险白名单程序列表中,则判定为危险白名单进程;
例2,如果regedit.exe的命令行中不带参数/s,则判定当前进程为非危险白名单进程;
例3,对于Rundll32.exe分析其命令行,如果被加载的是一个非系统的DLL,则判定当前进程为非危险白名单进程;
例4,对于NTVDM.exe直接判定为危险白名单进程;
例5,如果进程调用序列中有explorer->cmd或cmd->wscript或cscript,那么判定运行操作的进程为危险白名单进程;
例6,对于wmiprvse.exe运行调用的进程判定为危险白名单进程;
例7,若进程链中前最顶端进程和最底端进程都是危险白进程,或整个进程链仅有一个危险白进程,没有其他程序,则判定运行当前操作的进程为危险白名单进程。
当然,上述危险白名单进程的判断方法仅仅用作示例,本领域技术人员根据实际情况任意设置所述危险白名单进程的判断方法均是可行的,本发明对此无需加以限制。
步骤204,当存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
步骤205,当不存在危险白名单进程时,允许用户设备上所述程序操作的执行。
以下通过一个应用本发明的具体示例简单说明本发明的应用场景和处理过程:
例如:通过把CMD之类的文件,或者bat的文件,或者快捷方式打包形成一个压缩包,也可以传递其中的单个文件(pif),图标可以是应用程序的文件,也可以VBS文件。对于一些木马会传送一个压缩包,后续解压缩到用户电脑的卓面上,如果用户主动点击或者不小心双击启动,这个压缩包所包含的文件会产生危险,该程序运行起来后可能会执行驱动加载行为,文件生成行为,程序或代码的加载行为,添加系统启动项行为,或文件或程序的修改行为等,或者是一系列行为的组合。从而有可能产生的行为包括:删除注册表启动项或服务、终止电脑安全程序工具的进程、弱口令破解局域网其他电脑的管理员帐号并复制传播、修改注册表键值导致不能查看隐藏文件和系统文件、尝试破坏硬盘分区下的文件、删除用户的系统备份文件等。
如果一个外来程序入侵,可能本身是白名单文件,但不可能做到整条该文件所在的进程链都是白名单文件。具体地,可以通过拦截系统调用函数可以达到监视的目的,当一个程序请求执行时,系统会记录该程序的宿主(即该程序的执行请求由哪个程序发出),在Windows里,用户启动的程序,其宿主为Windows外壳程序Explorer.exe,因为用户的交互界面是由该程序负责的,用户双击鼠标执行一个程序时,实际上就是通过Explorer.exe向内核传递的消息,于是它便成为用户程序的宿主;而并非所有程序都是通过Explorer.exe执行的,系统自身也执行着许多基本进程,这些进程几乎都由smss.exe所产生,而这些通过smss.exe产生的进程又能成为其它进程的宿主,如services.exe成为svchost.exe的宿主等,这些层层叠叠的关系被称为“进程链”(ProcessTree)
通过预先设置一些定制的进程内部名称及命令行为危险白名单程序列表,大概包括几十项,从而可以有效的识别出危险白进程链,即如果是符合所述危险白名单程序列表中的规则被定义是危险的。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
参照图3,示出了根据本发明一个实施例的一种可疑操作的识别处理装置实施例的结构框图,具体可以包括以下模块:
拦截模块301,用于拦截用户设备上的程序操作;
进程链获取模块302,用于获取运行所述程序操作的进程链;
特征提取模块303,用于提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
匹配模块304,用于采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;
所述匹配模块304具体可以包括,
第一判定子模块,用于判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
操作阻止模块305,用于在存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
在具体实现中,本发明实施例还可以包括如下模块:
操作放行模块,用于在当不存在危险白名单进程时,允许用户设备上所述程序操作的执行。
在本发明的一种优选实施例中,所述进程链的特征信息还可以包括:所述进程链上进程的命令行;所述危险白名单进程序列表中还可以包括命令行判断规则,在这种情况下,所述匹配模块304还可以包括以下子模块:
第二判定子模块,用于采用所述命令行判断规则判断所述进程链上的进程的命令行是否合法;若否,则判定为危险白名单进程。
作为本发明实施例具体应用的一种示例,所述预先收集的可疑进程的内部名称可以包括:
Windows操作系统的命令行程序的名称CMD或Cmd.exe;和/或,
用于注册Windows操作系统的动态链接库和ActiveX控件程序的名称regsvr32.exe;和/或,
用于在内存中运行DLL文件程序的名称rundll32.exe;和/或,
服务管理程序的名称sc.exe;和/或,
Windows注册表编辑器程序的名称Rgedit.exe;和/或,
Windows操作系统脚本相关支持程序的名称wscript.exe;和/或,
用于编辑注册表的程序的名称reg.exe;和/或,
用于使16位的进程能够运行在32位的系统环境下的程序的名称ntvdm.exe;
用于通过WinMgmt.exe程序处理WMI操作的程序的名称wmiprvse.exe。
在本发明的一种优选实施例中,所述进程链的特征信息还包括:所述进程链上进程的命令行;在这种情况下,所述匹配模块304还可以包括以下子模块:
第三判定子模块,用于判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;并在满足预置合法规则时,判定为非危险白名单进程;在满足预置非法规则时,判定为危险白名单进程。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
参照图4,示出了根据本发明一个实施例的一种可疑操作的识别处理系统实施例的结构框图,具体可以包括以下模块:
位于客户端41的拦截模块411,用于拦截用户设备上的程序操作;
位于客户端41的进程链获取模块412,用于获取运行所述程序操作的进程链;
位于客户端41的特征提取模块413,用于提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
位于客户端41的通信模块414,用于将所述进程链的特征信息发送至服务器;
位于服务器42的匹配模块421,用于采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配模块包括,第一判定子模块,用于判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
位于服务器42的通知模块422,用于将所述判断结果发送至客户端;所述判断结果包括存在危险白名单进程;
位于客户端41的操作阻止模块415,用于在存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
在具体实现中,本发明实施例还可以包括如下模块:
位于客户端41的操作放行模块,用于在当不存在危险白名单进程时,允许用户设备上所述程序操作的执行。
在本发明的一种优选实施例中,所述进程链的特征信息还可以包括:所述进程链上进程的命令行;所述危险白名单进程序列表中还可以包括命令行判断规则,在这种情况下,位于服务器42的匹配模块421还可以包括如下子模块:
第二判定子模块,用于采用所述命令行判断规则判断所述进程链上的进程的命令行是否合法;若否,则判定为危险白名单进程。
作为本发明实施例具体应用的示例,所述预先收集的可疑进程的内部名称可以包括:
Windows操作系统的命令行程序的名称CMD或Cmd.exe;和/或,
用于注册Windows操作系统的动态链接库和ActiveX控件程序的名称regsvr32.exe;和/或,
用于在内存中运行DLL文件程序的名称rundll32.exe;和/或,
服务管理程序的名称sc.exe;和/或,
Windows注册表编辑器程序的名称Rgedit.exe;和/或,
Windows操作系统脚本相关支持程序的名称wscript.exe;和/或,
用于编辑注册表的程序的名称reg.exe;和/或,
用于使16位的进程能够运行在32位的系统环境下的程序的名称ntvdm.exe;
用于通过WinMgmt.exe程序处理WMI操作的程序的名称wmiprvse.exe。
作为本发明具体应用的另一示例,所述进程链的特征信息还可以包括:所述进程链上进程的命令行;在这种情况下,位于服务器42的匹配模块421还可以包括如下子模块:
第三判定子模块,用于判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;并在满足预置合法规则时,判定为非危险白名单进程;在满足预置非法规则时,判定为危险白名单进程。
应用本发明实施例,客户端可以对其上一程序发起的程序行为和/或发起该行为的程序的特征信息进行收集,发送到服务器端;服务器端根据所述客户端发来的程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定,并反馈给所述客户端;所述客户端根据反馈的判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。
在实际应用中,本发明可以引入云安全架构,将所有“云安全”客户端与“云安全”服务器实时连接,客户端不断采集上报更新,在服务器端组成庞大的恶意程序数据库,并将主动防御的分析比对操作放在服务器端完成,从而使整个云安全网络成为一主动防御工具;针对具有威胁的程序行为进行收集并保存在服务器的数据库中,在服务器端进行恶意软件分析时,支持直接使用程序行为进行恶意程序判定。
另外,本发明还可以通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中对样本进行分析归纳,从而有助于对软件或程序进行黑白的分类判别,还可以针对黑名单中的恶意软件制定相应的清除或恢复措施
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文件保护处理设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (9)

1.一种可疑操作的识别处理方法,包括:
拦截用户设备上的程序操作;所拦截的程序操作的位置为系统的关键位置,包括注册表、系统目录、进程注入、网络访问中的一个或多个;
获取运行所述程序操作的进程链,并提取所述进程链的特征信息,具体取得父进程的身份标识,逐级向上找到所有的进程;所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配包括,判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
所述进程链的特征信息还包括:所述进程链上进程的命令行;所述匹配还包括:
判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;
若满足预置合法规则,则判定为非危险白名单进程;
若满足预置非法规则,则判定为危险白名单进程;
当存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
2.如权利要求1所述的方法,还包括:
当不存在危险白名单进程时,允许用户设备上所述程序操作的执行。
3.如权利要求1或2所述的方法,所述进程链的特征信息还包括:所述进程链上进程的命令行;所述危险白名单进程序列表中还包括命令行判断规则,所述匹配还包括:
采用所述命令行判断规则判断所述进程链上的进程的命令行是否合法;
若否,则判定为危险白名单进程。
4.如权利要求1所述的方法,所述预先收集的可疑进程的内部名称包括:
Windows操作系统的命令行程序的名称CMD或Cmd.exe;和/或,
用于注册Windows操作系统的动态链接库和ActiveX控件程序的名称regsvr32.exe;和/或,
用于在内存中运行DLL文件程序的名称rundll32.exe;和/或,
服务管理程序的名称sc.exe;和/或,
Windows注册表编辑器程序的名称Rgedit.exe;和/或,
Windows操作系统脚本相关支持程序的名称wscript.exe;和/或,
用于编辑注册表的程序的名称reg.exe;和/或,
用于使16位的进程能够运行在32位的系统环境下的程序的名称ntvdm.exe;
用于通过WinMgmt.exe程序处理WMI操作的程序的名称wmiprvse.exe。
5.一种可疑操作的识别处理装置,包括:
拦截模块,用于拦截用户设备上的程序操作;所拦截的程序操作的位置为系统的关键位置,包括注册表、系统目录、进程注入、网络访问中的一个或多个;
进程链获取模块,用于获取运行所述程序操作的进程链;具体取得父进程的身份标识,逐级向上找到所有的进程;
特征提取模块,用于提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
匹配模块,用于采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配模块包括,
第一判定子模块,用于判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
所述进程链的特征信息还包括:所述进程链上进程的命令行;所述匹配模块还包括:
第三判定子模块,用于判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;并在满足预置合法规则时,判定为非危险白名单进程;在满足预置非法规则时,判定为危险白名单进程;
操作阻止模块,用于在存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
6.如权利要求5所述的装置,还包括:
操作放行模块,用于在当不存在危险白名单进程时,允许用户设备上所述程序操作的执行。
7.如权利要求5或6所述的装置,所述进程链的特征信息还包括:所述进程链上进程的命令行;所述危险白名单进程序列表中还包括命令行判断规则,所述匹配模块还包括:
第二判定子模块,用于采用所述命令行判断规则判断所述进程链上的进程的命令行是否合法;若否,则判定为危险白名单进程。
8.如权利要求5所述的装置,所述预先收集的可疑进程的内部名称包括:
Windows操作系统的命令行程序的名称CMD或Cmd.exe;和/或,
用于注册Windows操作系统的动态链接库和ActiveX控件程序的名称regsvr32.exe;和/或,
用于在内存中运行DLL文件程序的名称rundll32.exe;和/或,
服务管理程序的名称sc.exe;和/或,
Windows注册表编辑器程序的名称Rgedit.exe;和/或,
Windows操作系统脚本相关支持程序的名称wscript.exe;和/或,
用于编辑注册表的程序的名称reg.exe;和/或,
用于使16位的进程能够运行在32位的系统环境下的程序的名称ntvdm.exe;
用于通过WinMgmt.exe程序处理WMI操作的程序的名称wmiprvse.exe。
9.一种可疑操作的识别处理系统,包括:
位于客户端的拦截模块,用于拦截用户设备上的程序操作;所拦截的程序操作的位置为系统的关键位置,包括注册表、系统目录、进程注入、网络访问中的一个或多个;
位于客户端的进程链获取模块,用于获取运行所述程序操作的进程链;具体可以取得父进程的身份标识,逐级向上找到所有的进程;
位于客户端的特征提取模块,用于提取所述进程链的特征信息,所述进程链的特征信息至少包括:所述进程链上所有进程的内部名称;
位于客户端的通信模块,用于将所述进程链的特征信息发送至服务器;
位于服务器的匹配模块,用于采用所述进程链的特征信息与预置的危险白名单进程序列表进行匹配,其中,所述危险白名单程序列表中至少包括:预先收集的可疑进程的内部名称;所述匹配模块包括,第一判定子模块,用于判断在所述危险白名单程序列表中是否存在所述进程链上某个进程的内部名称,若是,则判定为危险白名单进程;
所述进程链的特征信息还包括:所述进程链上进程的命令行;所述位于服务器的匹配模块还包括:
第三判定子模块,用于判断所述进程链上的进程的内部名称和命令行是否满足预置合法规则或预置非法规则;并在满足预置合法规则时,判定为非危险白名单进程;在满足预置非法规则时,判定为危险白名单进程;
位于服务器的通知模块,用于将所述判断结果发送至客户端;所述判断结果包括存在危险白名单进程;
位于客户端的操作阻止模块,用于在存在危险白名单进程时,阻止用户设备上所述程序操作的执行。
CN201210316980.7A 2012-08-30 2012-08-30 一种可疑操作的识别处理方法、装置和系统 Active CN102902919B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210316980.7A CN102902919B (zh) 2012-08-30 2012-08-30 一种可疑操作的识别处理方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210316980.7A CN102902919B (zh) 2012-08-30 2012-08-30 一种可疑操作的识别处理方法、装置和系统

Publications (2)

Publication Number Publication Date
CN102902919A CN102902919A (zh) 2013-01-30
CN102902919B true CN102902919B (zh) 2015-11-25

Family

ID=47575146

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210316980.7A Active CN102902919B (zh) 2012-08-30 2012-08-30 一种可疑操作的识别处理方法、装置和系统

Country Status (1)

Country Link
CN (1) CN102902919B (zh)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103679035B (zh) * 2012-09-24 2016-12-28 腾讯科技(深圳)有限公司 安全性检测方法与装置
CN103235913B (zh) * 2013-04-03 2016-12-28 北京奇虎科技有限公司 一种用于识别、拦截捆绑软件的系统、设备及方法
CN103593186B (zh) * 2013-11-11 2017-10-27 北京奇虎科技有限公司 一种操作注册表的方法及装置
CN104954342B (zh) * 2014-03-31 2019-04-02 腾讯科技(深圳)有限公司 一种安全评估方法,及装置
CN105117641B (zh) * 2015-08-20 2018-04-27 上海斐讯数据通信技术有限公司 一种防止截获系统接口的系统及方法
CN105389521B (zh) * 2015-12-18 2019-08-23 北京金山安全管理系统技术有限公司 一种对计算机系统中文件进行安全保护的方法
CN107203708A (zh) * 2016-03-18 2017-09-26 北京金山安全软件有限公司 一种安全输入防护方法、装置及电子设备
CN105868627B (zh) * 2016-04-11 2019-03-15 珠海豹趣科技有限公司 一种用户终端控制方法及用户终端
CN105868634A (zh) * 2016-04-22 2016-08-17 北京金山安全软件有限公司 一种拦截方法及装置
CN106022117A (zh) * 2016-05-18 2016-10-12 北京金山安全软件有限公司 防止系统环境变量修改的方法、装置及电子设备
CN106127034B (zh) * 2016-06-17 2019-06-07 珠海豹趣科技有限公司 一种防止系统被恶意关闭的方法、装置及电子设备
CN105868625B (zh) * 2016-06-22 2018-10-12 北京金山安全软件有限公司 一种拦截文件被重启删除的方法及装置
CN106203077B (zh) * 2016-06-28 2019-06-07 珠海豹趣科技有限公司 一种复制信息的处理方法、装置及电子设备
CN106203107A (zh) * 2016-06-29 2016-12-07 北京金山安全软件有限公司 一种防止系统菜单被恶意修改的方法、装置及电子设备
CN106127051A (zh) * 2016-06-29 2016-11-16 北京金山安全软件有限公司 一种防止鼠标被恶意捕获的方法、装置及电子设备
CN106203089A (zh) * 2016-06-29 2016-12-07 北京金山安全软件有限公司 一种防止系统颜色被恶意修改的方法、装置及电子设备
CN106127050A (zh) * 2016-06-29 2016-11-16 北京金山安全软件有限公司 一种防止系统光标被恶意修改的方法、装置及电子设备
CN106127085A (zh) * 2016-07-04 2016-11-16 北京金山安全软件有限公司 防止修改键盘输入数据的方法、装置和终端设备
CN106203112A (zh) * 2016-07-04 2016-12-07 北京金山安全软件有限公司 光标处理方法、装置和终端设备
CN106203079A (zh) * 2016-07-04 2016-12-07 北京金山安全软件有限公司 光标处理方法、装置和终端设备
CN106156617A (zh) * 2016-07-04 2016-11-23 北京金山安全软件有限公司 文档打印处理方法、装置和终端设备
CN107169359A (zh) * 2017-06-06 2017-09-15 北京奇虎科技有限公司 利用触发文件实现的文档防护方法及装置、电子设备
CN108182360B (zh) * 2018-01-31 2023-09-19 腾讯科技(深圳)有限公司 一种风险识别方法及其设备、存储介质、电子设备
CN108882183A (zh) * 2018-03-27 2018-11-23 北京泰迪熊移动科技有限公司 银行信息的识别方法、装置、存储介质及处理器
CN108920944B (zh) * 2018-06-12 2023-05-23 腾讯科技(深圳)有限公司 辅助点击事件的检测方法、装置、计算机设备及存储介质
CN109165513B (zh) * 2018-09-13 2021-08-06 新华三技术有限公司 系统配置信息的巡检方法、装置和服务器
CN109731339B (zh) * 2018-12-17 2022-04-12 福建天晴数码有限公司 检测外挂的方法、存储介质
CN110232276A (zh) * 2019-06-03 2019-09-13 浙江大华技术股份有限公司 一种程序运行的拦截方法、终端设备以及计算机存储介质
CN110442380B (zh) * 2019-07-03 2021-11-09 武汉深之度科技有限公司 一种数据预热方法及计算设备
CN112395611B (zh) * 2019-08-15 2024-01-30 奇安信安全技术(珠海)有限公司 进程链的处理方法、装置及设备
CN110955894B (zh) * 2019-11-22 2022-09-30 深信服科技股份有限公司 一种恶意内容检测方法、装置、电子设备及可读存储介质
CN111008041B (zh) * 2019-12-04 2022-03-11 北京百度网讯科技有限公司 用于主机的命令处理方法、装置、电子设备和存储介质
CN110717183B (zh) * 2019-12-09 2020-10-27 深信服科技股份有限公司 病毒查杀方法、装置、设备及存储介质
CN111125721B (zh) * 2019-12-31 2023-05-26 奇安信科技集团股份有限公司 一种进程启动的控制方法、计算机设备和可读存储介质
CN111277585B (zh) * 2020-01-16 2022-09-30 深信服科技股份有限公司 威胁处理方法、装置、设备和可读存储介质
CN111984968A (zh) * 2020-09-07 2020-11-24 中国银行股份有限公司 命令执行方法及装置
CN112434290A (zh) * 2020-12-06 2021-03-02 南京机敏软件科技有限公司 一种服务白名单检测和过滤方法
CN112989350A (zh) * 2021-05-07 2021-06-18 杭州海康威视数字技术股份有限公司 物联网恶意攻击行为处理方法、装置及系统
CN114466074B (zh) * 2021-12-10 2024-04-30 奇安信科技集团股份有限公司 一种基于wmi的攻击行为检测方法及装置
CN114338135A (zh) * 2021-12-27 2022-04-12 奇安信科技集团股份有限公司 一种远程登录行为处理方法、装置、计算设备和存储介质
CN114896592B (zh) * 2022-03-07 2023-05-05 安芯网盾(北京)科技有限公司 一种wmi恶意代码的通用检测方法、装置、设备及存储介质
CN114900326A (zh) * 2022-03-30 2022-08-12 深圳市国电科技通信有限公司 终端指令操作的监控和防护方法、系统及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350053A (zh) * 2007-10-15 2009-01-21 北京瑞星国际软件有限公司 防止网页浏览器被漏洞利用的方法和装置
CN101788915A (zh) * 2010-02-05 2010-07-28 北京工业大学 基于可信进程树的白名单更新方法
CN101944167A (zh) * 2010-09-29 2011-01-12 中国科学院计算技术研究所 识别恶意程序的方法及系统
CN102521101A (zh) * 2011-12-08 2012-06-27 曙光信息产业(北京)有限公司 一种基于进程扫描的非法作业监控方法
CN102542196A (zh) * 2011-11-23 2012-07-04 北京安天电子设备有限公司 一种恶意代码发现和预防方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350053A (zh) * 2007-10-15 2009-01-21 北京瑞星国际软件有限公司 防止网页浏览器被漏洞利用的方法和装置
CN101788915A (zh) * 2010-02-05 2010-07-28 北京工业大学 基于可信进程树的白名单更新方法
CN101944167A (zh) * 2010-09-29 2011-01-12 中国科学院计算技术研究所 识别恶意程序的方法及系统
CN102542196A (zh) * 2011-11-23 2012-07-04 北京安天电子设备有限公司 一种恶意代码发现和预防方法
CN102521101A (zh) * 2011-12-08 2012-06-27 曙光信息产业(北京)有限公司 一种基于进程扫描的非法作业监控方法

Also Published As

Publication number Publication date
CN102902919A (zh) 2013-01-30

Similar Documents

Publication Publication Date Title
CN102902919B (zh) 一种可疑操作的识别处理方法、装置和系统
US10599841B2 (en) System and method for reverse command shell detection
RU2679175C1 (ru) Способ поведенческого обнаружения вредоносных программ с использованием виртуальной машины-интерпретатора
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US9594904B1 (en) Detecting malware based on reflection
CN102932329B (zh) 一种对程序的行为进行拦截的方法、装置和客户端设备
CN103077353B (zh) 主动防御恶意程序的方法和装置
CN103001947B (zh) 一种程序处理方法和系统
EP3230919B1 (en) Automated classification of exploits based on runtime environmental features
US20100175104A1 (en) Safe and secure program execution framework with guest application space
US11822654B2 (en) System and method for runtime detection, analysis and signature determination of obfuscated malicious code
CN102882875B (zh) 主动防御方法及装置
CN102999720B (zh) 程序鉴别方法和系统
WO2015113052A1 (en) Detecting and preventing execution of software exploits
RU2723665C1 (ru) Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности
EP2637121A1 (en) A method for detecting and removing malware
CN102982281B (zh) 程序状况检测方法和系统
CN103049695B (zh) 一种计算机病毒的监控方法和装置
CN103279707A (zh) 一种用于主动防御恶意程序的方法、设备及系统
CN103473501A (zh) 一种基于云安全的恶意软件追踪方法
CN102857519B (zh) 主动防御系统
CN102999721B (zh) 一种程序处理方法和系统
CN113176926B (zh) 一种基于虚拟机自省技术的api动态监控方法及系统
CN103970574A (zh) office程序的运行方法及装置、计算机系统
US11914711B2 (en) Systems and methods for automatically generating malware countermeasures

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee after: Beijing Qizhi Business Consulting Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240112

Address after: Room 801, 8th floor, No. 104, 1st to 19th floors, Building 2, Courtyard 6, Jiuxianqiao Road, Xicheng District, Beijing, 100015

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Beijing Qizhi Business Consulting Co.,Ltd.