CN102932329A - 一种对程序的行为进行拦截的方法、装置和客户端设备 - Google Patents
一种对程序的行为进行拦截的方法、装置和客户端设备 Download PDFInfo
- Publication number
- CN102932329A CN102932329A CN2012103651645A CN201210365164A CN102932329A CN 102932329 A CN102932329 A CN 102932329A CN 2012103651645 A CN2012103651645 A CN 2012103651645A CN 201210365164 A CN201210365164 A CN 201210365164A CN 102932329 A CN102932329 A CN 102932329A
- Authority
- CN
- China
- Prior art keywords
- grade
- program
- file
- progress information
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 409
- 230000006399 behavior Effects 0.000 title abstract description 26
- 230000008569 process Effects 0.000 claims abstract description 372
- 230000000903 blocking effect Effects 0.000 claims description 13
- 238000012552 review Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 8
- 238000011112 process operation Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 description 13
- 239000000725 suspension Substances 0.000 description 11
- 230000007123 defense Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 241000700605 Viruses Species 0.000 description 5
- 230000001681 protective effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 239000012467 final product Substances 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000001846 repelling effect Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种对程序的行为进行拦截的方法、装置和客户端设备,以解决由于不存在网络连接而导致无法拦截恶意程序的问题。其中,所述方法包括:在为程序创建进程时查询并记录每个进程的进程信息;当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。本发明提高了安全防护软件的防护能力,能够更加有效地拦截恶意程序。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种对程序的行为进行拦截的方法、装置和客户端设备。
背景技术
恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch,windows shell,java等)、木马、犯罪软件、间谍软件和广告软件等等,都是一些可以称之为恶意程序的例子。
传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码包含相匹配的特征码,就可以判定该文件程序为恶意程序。
特征库匹配是查杀已知恶意程序很有效的一项技术。但是现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,很多时候杀毒软件无法防杀层出不穷的未知恶意程序。
因此,为了解决上述问题,以快速地识别和查杀新木马,同时为了减轻客户端的资源消耗,目前的安全防护软件越来越多地使用云安全技术。云安全技术即把客户端的可疑文件的特征传给云安全中心的服务器,由云安全中心对其安全性做出判定,然后客户端安全软件根据云安全中心传回的信息对木马进行报告和处理。
然而,恶意程序为了躲避安全防护软件的检测,于是想方设法破坏客户端软件与云安全中心的网络通讯。例如,当前较为流行的名为“飓风”的木马,它主要借助不良网站的“高清影音播放插件”传播,专门屏蔽杀毒厂商的云安全服务器,干扰安全防护软件的联网通讯和升级,向云安全中心发起猛烈的“断网”攻击。
由于恶意程序通过对用户网络的攻击,断开了客户端与云安全中心的网络连接,或者暂时断开整个网络连接,从而导致云安全中心无法有效拦截恶意程序。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的对程序的行为进行拦截的装置及客户端设备和相应的对程序的行为进行拦截的方法。
依据本发明的一个方面,提供了一种对程序的行为进行拦截的方法,包括:
在为程序创建进程时查询并记录每个进程的进程信息;
当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;
依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。
本发明实施例中,对程序的行为进行拦截的方法还包括:
预先创建进程表;
所述记录每个进程的进程信息的步骤为:将所述进程信息记录在进程表中;
所述进程信息包括该进程的标识PID、创建关系和文件等级,其中,进程依据所述创建关系形成进程链。
本发明实施例中,获取该程序所执行进程的进程信息,包括:
在所述程序执行之前,检测当前是否存在网络连接;
若是,则通过服务器获取所述进程信息;
若否,则查找所述进程表,获取所述进程信息。
本发明实施例中,查找所述进程表,获取所述进程信息,包括:
获取当前进程的文件等级;
从所述当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
本发明实施例中,在为程序创建进程时查询并记录每个进程的进程信息,包括:
检测当前是否存在网络连接;
若是,则通过服务器查询当前进程的文件等级;
若否,则
从当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
本发明实施例中,文件等级包括:
安全等级、未知等级、可疑等级、高度可疑等级和恶意等级。
本发明实施例中,对程序的行为进行拦截的方法还包括:
在为程序创建进程时若查询到当前进程的文件等级为恶意等级,则直接拦截所述程序的执行。
本发明实施例中,依据获取到的进程信息检测所述程序是否满足拦截条件包括:
检测当前进程的文件等级,当所述文件等级为恶意等级时,确定所述程序满足拦截条件。
本发明实施例中,当所述程序不满足拦截条件时,还包括:
当所述文件等级为未知等级、可疑等级和高度可疑等级中的任意一个时,在客户端显示提示信息,针对不同的文件等级显示不同的提示信息;
当所述文件等级为安全等级时,允许所述程序的执行。
本发明实施例中,预先设置的拦截点的操作为以下的任意一种:
写入注册表操作、文件操作、进程操作、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件。
根据本发明的另一方面,提供了一种对程序的行为进行拦截的装置,包括:
查询模块,用于在为程序创建进程时查询并记录每个进程的进程信息;
获取模块,用于当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;
第一拦截模块,用于依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。
本发明实施例中,对程序的行为进行拦截的装置还包括:
创建模块,用于预先创建进程表;
所述查询模块将所述进程信息记录在进程表中;
所述进程信息包括该进程的标识PID、创建关系和文件等级,其中,进程依据所述创建关系形成进程链。
本发明实施例中,获取模块包括:
第一网络检测单元,用于在所述程序执行之前,检测当前是否存在网络连接;
第一获取单元,用于当第一网络检测单元检测出当前存在网络连接时,通过服务器获取所述进程信息;
第二获取单元,用于当第一网络检测单元检测出当前不存在网络连接时,查找所述进程表,获取所述进程信息。
本发明实施例中,第二获取单元包括:
等级获取子单元,用于获取当前进程的文件等级;
查找子单元,用于从所述当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
第一确定子单元,用于当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
本发明实施例中,查询模块包括:
第二网络检测单元,用于检测当前是否存在网络连接;
查询单元,用于当第二网络检测单元检测出当前存在网络连接时,通过服务器查询当前进程的文件等级;
查找单元,用于当第二网络检测单元检测出当前不存在网络连接时,从当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
等级确定单元,用于当第二网络检测单元检测出当前不存在网络连接时,当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
本发明实施例中,文件等级包括:
安全等级、未知等级、可疑等级、高度可疑等级和恶意等级。
本发明实施例中,对程序的行为进行拦截的装置还包括:
第二拦截模块,用于在查询模块查询到当前进程的文件等级为恶意等级时,直接拦截所述程序的执行。
本发明实施例中,第一拦截模块包括:
拦截条件检测单元,用于检测当前进程的文件等级;
拦截条件确定单元,用于当拦截条件检测单元检测出所述文件等级为恶意等级时,确定所述程序满足拦截条件。
本发明实施例中,第一拦截模块还包括:
提示单元,用于当拦截条件检测单元检测出所述文件等级为未知等级、可疑等级和高度可疑等级中的任意一个时,在客户端显示提示信息,针对不同的文件等级显示不同的提示信息;
执行单元,用于当拦截条件检测单元检测出所述文件等级为安全等级时,允许所述程序的执行。
本发明实施例中,预先设置的拦截点的操作为以下的任意一种:
写入注册表操作、文件操作、进程操作、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件。
根据本发明的另一方面,提供了一种客户端设备,包括如上所述的对程序的行为进行拦截的装置。
根据本发明的对程序的行为进行拦截的方法、装置和客户端设备可以在为程序创建进程时查询并记录每个进程的进程信息,当检测到某一程序执行触发预先设置的拦截点的操作时,如果恶意程序通过对用户网络的攻击,断开了客户端与云安全中心的网络连接,或者暂时断开整个网络连接时,可以通过查询之前的记录获取当前进程的进程信息,依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。由此解决了由于不存在网络连接而导致无法拦截恶意程序的问题,取得了提高安全防护软件的防护能力,更加有效地拦截恶意程序的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种对程序的行为进行拦截的方法的流程图;
图2示出了根据本发明一个实施例的一种对程序的行为进行拦截的方法的流程图;以及
图3示出了根据本发明一个实施例的一种对程序的行为进行拦截的装置的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络连接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
参照图1,示出了根据本发明一个实施例的一种对程序的行为进行拦截的方法的流程图,所述方法包括:
步骤S101,在为程序创建进程时查询并记录每个进程的进程信息;
为了适应恶意程序的更新速度,快速地识别和查杀恶意程序,目前的安全防护软件越来越多地使用云安全技术对恶意程序进行拦截。所谓云安全技术,就是把客户端的可疑文件的特征传给云安全中心的服务器,由云安全中心对其安全做出判定,然后客户端安全软件根据云安全中心传回的信息对木马进行报告和处理。
然而,恶意程序为了躲避安全防护软件的检测,于是想方设法破坏客户端软件与云安全中心的网络通讯,干扰安全防护软件的联网通讯和升级,向云安全中心发起猛烈的“断网”攻击,从而使得云安全中心无法获取到当前程序所执行进程的进程信息,导致无法有效拦截恶意程序。
因此,本发明在为程序创建进程时查询并记录每个进程的进程信息,该过程是在本地进行查询和记录,不要求必须有网络连接。通过将每个进程的进程信息记录下来,当后续有恶意程序发起了“断网”攻击后,即使无法通过网络连接获取当前进程的进程信息,也可以通过查询之前的记录获取所述进程信息,从而可以有效拦截恶意程序。
其中,恶意程序可以通过以下方式向云安全中心发起“断网”攻击:
网络协议安全(Internet Protocol Security,IPSec)设置:把安全厂商的云安全中心服务器IP地址或域名加入到阻止列表中;
系统防火墙设置:修改Vista及以上平台的系统防火墙的出入站规则,把云安全中心服务器IP地址加入阻止列表中;
IP地址设置:通过在客户端添加与云安全中心服务器在同一网段的IP地址及无效网关地址,使得无法访问云安全中心服务器的IP地址;
路由项设置:设置错误的路由项导致无法访问云安全中心服务器的IP地址;
域名系统(Domain Name System,DNS)设置:修改系统的DNS设置,指向木马作者控制的黑DNS服务器,导致无法解析云安全中心域名;
Hosts(是一个没有扩展名的系统文件)文件篡改:在系统的Hosts文件中添加云安全中心域名并将其执行错误的IP地址;
分层服务提供程序(Layered Service Provider,LSP):木马通过在系统中植入恶意LSP程序,篡改客户端与云安全中心的通讯包或直接阻断与云安全中心的网络访问;
网络驱动接口规范(Network Driver Interface Specification,NDIS)网络过滤驱动:木马在系统中植入NDIS网络过滤驱动,篡改客户端与云安全中心的通讯包或直接阻断与云安全中心的网络访问。
当然,恶意程序还可以通过其他方式发起“断网”攻击,本实施例在此不再详细论述。
步骤S102,当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;
本申请实施例是在程序执行之前对其进行拦截,安全防护软件的主动防御程序在工作时,会在系统的关键位置设置拦截点,当有程序试图修改这些关键位置时,就会触发主动防御程序所设置的拦截点。此时主动防御程序就会对此次行为进行鉴别,所述鉴别主要是通过该程序所执行进程的进程信息进行判断。因此,当检测到某一程序执行触发预先设置的拦截点的操作时,需要首先获取该程序所执行进程的进程信息。
在获取进程信息的过程中,如果当前存在网络连接,则可以直接通过服务器获取,如果不存在网络连接(恶意程序发起断网攻击之后),也可以通过查询之前的记录获取。
在本实施例中,所述预先设置的拦截点的操作可以为写入注册表操作、文件操作、进程操作、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件。
当然,预先设置的拦截点的操作也可以为其他操作,本发明对此并不加以限制。
步骤S103,依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。
当获取到进程信息后,即可依据该进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行,对于具体的过程,将在下面的实施例中详细介绍。
本发明实施例可以在为程序创建进程时查询并记录每个进程的进程信息,当检测到某一程序执行触发预先设置的拦截点的操作时,如果恶意程序通过对用户网络的攻击,断开了客户端与云安全中心的网络连接,或者暂时断开整个网络连接时,可以通过查询之前的记录获取当前进程的进程信息,依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。由此解决了由于不存在网络连接而导致无法拦截恶意程序的问题,取得了提高安全防护软件的防护能力,更加有效地拦截恶意程序的有益效果。
参照图2,示出了根据本发明一个实施例的一种对程序的行为进行拦截的方法的流程图,所述方法包括:
步骤S201,预先创建进程表;
本实施例首先需要创建一个进程表,该进程表主要用于存储每个进程的进程信息。
步骤S202,在为程序创建进程时查询并记录每个进程的进程信息;
恶意程序想要发起断网攻击必须先运行,因此本发明实施例在程序运行之前,即在为程序创建进程时查询并记录每个进程的进程信息。基于上述步骤S201所创建的进程表,在该步骤中,在为程序创建进程时将所查询的进程信息均记录在进程表中。
其中,所述进程信息包括该进程的标识PID、创建关系和文件等级。所述创建关系中记录了当前进程的父进程的标识PID,因此,进程之间依据所述创建关系即可形成进程链,所述进程链中包括了当前进程的每一级父进程。
例如,当前进程为进程D,通过进程D的创建关系可以得知该进程D的父进程为进程C,通过进程C的创建关系可以得知该进程C的父进程为进程B,通过进程B的创建关系可以得知该进程B的父进程为进程A,并且通过进程A的创建关系可以得知进程A没有父进程。
因此,进程A、B、C、D之间依据所述创建关系即可形成进程链A→B→C→D,在该进程链中,进程C为进程D的第一级父进程,进程B为进程D的第二级父进程,进程A为进程D的第三级父进程(即最后一级父进程)。
当然,所述进程的信息还可以包括其他信息,例如会话ID、优先级、拥有的线程、用户ID、句柄、进程内存计数器、进程路径、进程命令行参数、进程名称、进程创建者、创建时间、退出时间、内核时间等,本发明对此不再详细介绍。
对于云主动防御而言,最主要的鉴别依据是进程的文件等级信息。如果主动防御无法取得进程的文件等级信息,就无法判定发起动作的程序是否安全。
在本实施例中,所述文件等级包括:安全等级、未知等级、可疑等级、高度可疑等级和恶意等级,其中,恶意等级为最高等级,安全等级为最低等级。例如,可以设置等级为10-20时为安全等级,等级为30-40时为未知等级,等级为50-60时为可疑等级和高度可疑等级,等级大于70时为恶意等级。
当然,还可以设置所述文件等级为其他形式,本发明对此并不加以限制。
在查询并记录每个进程的进程信息的过程中,也可能存在断网的情况(例如由外界环境导致的断网),因此,该步骤S202进一步包括:
步骤a1,检测当前是否存在网络连接;
步骤a2,如果当前存在网络连接,则通过服务器查询当前进程的文件等级;
在本发明实施例中,可以通过云安全技术进行查询,具体的,当为某一程序创建进程时,客户端会把该程序文件的特征通过网络传给云安全中心的服务器,然后由云安全中心的服务器对其安全性做出判定,获取为该程序所创建进程的文件等级并返回给客户端,客户端根据云安全中心的服务器返回的信息对该程序进程进行相应的报告和处理。
步骤a3,如果当前不存在网络连接,则无法通过服务器获取到当前进程的文件等级信息,此时,通过之前的进程所形成的进程链获取当前进程的文件等级,具体包括:
(1)从当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
(2)当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
例如,当前进程为进程D,通过该进程D的创建关系追溯到对应进程D的进程链为A→B→C→D,在该进程链中查找:首先查找到进程D的第一级父进程为进程C,并且获取到所述进程C的文件等级为可疑等级;然后查找到进程D的第二级父进程为进程B,并且获取到所述进程B的文件等级为未知等级;最后查找到进程D的第三级父进程为进程A,并且获取到所述进程A的文件等级为安全等级。
其中,进程A为进程D的最后一级父进程,统计所获取到的文件等级,分别为可疑等级、未知等级和安全等级,因此将上述3个等级中最高的文件等级“可疑等级”确定为进程D的文件等级。
在本实施例中,可以设置进程链管理功能,使用驱动来取得一个进程的创建和退出事件,该进程链管理功能用于管理上述创建的进程表,在进程表中包括了多个进程的进程信息,并且这些进程组成多个进程链,其中,对于每个进程来说,在创建时都会分配给该进程一个标识PID,进程链管理功能控制每个进程的标识PID都是唯一的,即使该进程退出之后其标识仍然不会被其他进程利用。
因此,当需要查找某些进程及其创建关系时,只要依据该进程的标识PID通过进程链管理功能去进程表中查找对应的进程,并使用驱动获取该进程的创建和退出事件,就可以取得整个父子进程关系了。
当然,本发明还可以通过其他方式去管理所述进程表,本发明对此并不加以限制。
步骤S203,在为程序创建进程时若查询到当前进程的文件等级为恶意等级,则直接拦截所述程序的执行。
在为程序创建进程时,如果查询到当前进程的文件等级为恶意等级,则直接拦截所述程序的执行,而不需要再执行后续的操作。
步骤S204,当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;
本实施例是在程序执行之前对其进行拦截,因此当检测到某一程序执行触发预先设置的拦截点的操作时,主动防御程序就会对此次行为进行鉴别,其最主要的鉴别依据是进程的文件等级信息,因此需要首先获取该程序所执行进程的进程信息。
在程序执行时,恶意程序就可能发起断网攻击,因此,在获取该程序所执行进程的进程信息时,也需要先检测是否有网络连接,根据不同的情况执行不同的操作。
具体的,该步骤S204进一步包括:
步骤b1,在所述程序执行之前,检测当前是否存在网络连接;
步骤b2,如果当前存在网络连接,则通过服务器获取所述进程信息;
在本发明实施例中,可以通过云安全技术进行查询,具体的,当某一程序执行触发预先设置的拦截点的操作时,客户端会把该程序的文件的特征通过网络传给云安全中心的服务器,然后由云安全中心的服务器对其安全性做出判定,获取该程序所执行进程的进程信息并返回给客户端,客户端根据云安全中心的服务器返回的信息对该程序进行相应的报告和处理。
步骤b3,如果当前不存在网络连接(即当前的网络连接已被断开),则查找所述进程表,获取所述进程信息。
由于在上述步骤S202中将每个进程的进程信息都记录在了进程表中,因此,如果当前不存在网络连接,则可以通过查找进程表,获取其中记录的进程信息,进而获取当前进程的文件等级信息,通过所述文件等级信息判断是否需要拦截该程序的执行。
本实施例可以通过以下两种方式从进程表中获取当前进程的文件等级:
1、直接将在进程表中查找到的当前进程的文件等级确定为所述当前进程的文件等级。
2、通过查找当前进程所对应的进程链,将该进程链中最高的文件等级确定为当前进程的文件等级,具体包括:
(i)获取当前进程的文件等级;
(ii)从所述当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
(iii)当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级;
(iv)若不存在对应所述当前进程的进程链,则直接将(i)中获取到的文件等级确定为所述当前进程的文件等级。
例如,当前进程为进程D,由于进程表中已经记录了进程D的文件等级,因此,我们可以直接从进程表中获取所述进程D的文件等级,例如为未知等级。
其次,再通过该进程D的创建关系追溯到对应进程D的进程链为A→B→C→D,在该进程链中查找:首先查找到进程D的第一级父进程为进程C,并且获取到所述进程C的文件等级为可疑等级;然后查找到进程D的第二级父进程为进程B,并且获取到所述进程B的文件等级为未知等级;最后查找到进程D的第三级父进程为进程A,并且获取到所述进程A的文件等级为安全等级。
其中,进程A为进程D的最后一级父进程,统计所获取到的文件等级,分别为未知等级、可疑等级、未知等级和安全等级,因此将上述4个等级中最高的文件等级“可疑等级”确定为进程D的文件等级。
步骤S205,依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。
在本实施例中,主要是依据获取到的进程信息中的文件等级检测所述程序是否满足拦截条件,具体包括:
检测当前进程的文件等级,当所述文件等级为恶意等级时,确定所述程序满足拦截条件。
步骤S206,当步骤S205中检测出所述程序不满足拦截条件时,依据检测出的文件等级执行相应的操作,具体为:
当所述文件等级为未知等级、可疑等级和高度可疑等级中的任意一个时,在客户端显示提示信息,并且针对不同的文件等级显示不同的提示信息;
例如,可以通过提示框显示所述文件等级,并且通过不同的提示框颜色表示不同的文件等级。如对于未知等级可以在客户端显示蓝色的提示框作为提示信息;对于可疑等级可以在客户端显示黄色的提示框作为提示信息;对于高度可疑等级可以在客户端显示红色的提示框作为提示信息。
当然,上述显示提示信息的方法只是用作示例,本申请实施例还可以采用其他方法显示提示信息,本申请对此并不加以限制。
当所述文件等级为安全等级时,直接允许所述程序的执行。
在本实施例中,所述预先设置的拦截点的操作可以为:文件操作、网络操作、创建进程、创建线程、窗口托盘操作、堆栈溢出、注入线程、拦截系统应用程序接口API调用及访问、以及修改和创建用户账号,等等。
其中,还可能包括一些危险行为,例如:调用shell程序,修改程序文件或写程序文件;调用文件传输协议(File Transfer Protocol,ftp)或简单文件传输协议(Trivial File Transer Protocol,tftp),创建ftp或tftp服务;创建大量相同线程,修改和创建用户账号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;拦截系统API调用,等等。对于这些危险程序,都是需要进行拦截的。
综合来讲,可以从驱动层和应用层两个方面来定义所述预先设置的拦截点的操作。
从驱动层来说,注册表操作、文件操作和进程间操作都可以为本发明所述的预先设置的拦截点的操作。比如注册表的操作,正常的使用注册表是没有问题的,而木马执行的写入注册表操作就需要拦截。
从应用层来说,创建计划任务、修改浏览器首页、修改默认浏览器以及注册浏览器插件,这些都可以为本发明所述的预先设置的拦截点的操作。
当然,本发明中的预先设置的拦截点的操作还可以为其他的任何可能是恶意程序执行的操作,本发明对此并不加以限制。
下面,通过两个简单的例子对本发明所述的针对恶意程序进行拦截的方法进行描述:
例一:
a.exe是一个恶意程序,其在运行时会先将网络断开,再通过在注册表中写入一个系统启动项来触发拦截点,用于自启动。
在未使用本发明所提出的技术之前,主动防御拦截到了注册表的写入行为,在尝试取得a.exe的文件等级时,因为网络已经断开,因此无法获取,为避免错误提示,只能选择允许其操作。
而在使用本发明所提出的技术之后,在为a.exe创建进程时(即运行前)就会查询并记录其进程信息,当检测到注册表写入行为时,判断出当前网络无法连接,就会通过查询之前的记录获得当前进程的文件等级,从而正常拦截这个程序的执行。
例二:
结合进程链来处理断网的情况。如:a.exe是一个未知程序,b.exe是一个可以被利用的白程序(白利用),在a.exe运行时会将网络断开,然后再调用b.exe,用于写入启动项,从而触发拦截点。
在为a.exe和b.exe创建进程时,记录了其进程信息,如a.exe所执行进程的文件等级为恶意等级,b.exe所执行进程的文件等级为安全等级,并且a.exe所执行进程是b.exe所执行进程的父进程。
当b.exe执行写入注册表的操作时,触发拦截点,主动防御通过之前记录的进程创建关系,可以得知b.exe是由a.exe创建的,所以同时取得b.exe所执行进程和a.exe所执行进程的文件等级,分别为安全等级和恶意等级,所以将当前进程的等级确定为恶意等级,因此主动防御将拦截该b.exe程序的执行。
本实施例具体描述了针对恶意程序进行拦截的过程,通过本实施例所描述的方法提高了安全防护软件的防护能力,能够更加有效地拦截恶意程序。
需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请所必需的。
参照图3,示出了根据本发明一个实施例的一种对程序的行为进行拦截的装置的结构框图,所述装置包括:创建模块301、查询模块302、第二拦截模块303、获取模块304和第一拦截模块305。
其中,
创建模块301,用于预先创建进程表;
查询模块302,用于在为程序创建进程时查询并记录每个进程的进程信息;所述查询模块将所述进程信息记录在进程表中;
其中,所述进程信息包括该进程的标识PID、创建关系和文件等级,其中,进程依据所述创建关系形成进程链。所述文件等级包括:安全等级、未知等级、可疑等级、高度可疑等级和恶意等级。
所述查询模块302包括:
第二网络检测单元,用于检测当前是否存在网络连接;
查询单元,用于当第二网络检测单元检测出当前存在网络连接时,通过服务器查询当前进程的文件等级;
查找单元,用于当第二网络检测单元检测出当前不存在网络连接时,从当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
等级确定单元,用于当第二网络检测单元检测出当前不存在网络连接时,当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
第二拦截模块303,用于在查询模块查询到当前进程的文件等级为恶意等级时,直接拦截所述程序的执行;
获取模块304,用于当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;
所述获取模块304包括:
第一网络检测单元,用于在所述程序执行之前,检测当前是否存在网络连接;
第一获取单元,用于当第一网络检测单元检测出当前存在网络连接时,通过服务器获取所述进程信息;
第二获取单元,用于当第一网络检测单元检测出当前不存在网络连接时,查找所述进程表,获取所述进程信息。
所述第二获取单元包括:
等级获取子单元,用于获取当前进程的文件等级;
查找子单元,用于从所述当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
第一确定子单元,用于当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级;
第二确定子单元,用于当不存在对应所述当前进程的进程链时,直接将等级获取子单元获取到的文件等级确定为所述当前进程的文件等级。
第一拦截模块305,用于依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。
所述第一拦截模块305包括:
拦截条件检测单元,用于检测当前进程的文件等级;
拦截条件确定单元,用于当拦截条件检测单元检测出所述文件等级为恶意等级时,确定所述程序满足拦截条件。
提示单元,用于当拦截条件检测单元检测出所述文件等级为未知等级、可疑等级和高度可疑等级中的任意一个时,在客户端显示提示信息,针对不同的文件等级显示不同的提示信息;
执行单元,用于当拦截条件检测单元检测出所述文件等级为安全等级时,允许所述程序的执行;
其中,所述预先设置的拦截点的操作为以下的任意一种:
写入注册表操作、文件操作、进程操作、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件。
对于上述装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见图1和图2所示方法实施例的部分说明即可。
本发明实施例可以在为程序创建进程时查询并记录每个进程的进程信息,当检测到某一程序执行触发预先设置的拦截点的操作时,如果恶意程序通过对用户网络的攻击,断开了客户端与云安全中心的网络连接,或者暂时断开整个网络连接时,可以通过查询之前的记录获取当前进程的进程信息,依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。由此解决了由于不存在网络连接而导致无法拦截恶意程序的问题,取得了提高安全防护软件的防护能力,更加有效地拦截恶意程序的有益效果。
基于上述对程序的行为进行拦截的装置实施例,本发明实施例还提供了一种包含该装置的客户端设备。所述客户端设备在为程序创建进程时查询并记录每个进程的进程信息;在某一程序执行之前,当检测到该程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。从而解决了由于不存在网络连接而导致无法拦截恶意程序的问题,提高了安全防护软件的防护能力,能够更加有效地拦截恶意程序。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域技术人员易于想到的是:上述各个实施例的任意组合应用都是可行的,故上述各个实施例之间的任意组合都是本申请的实施方案,但是由于篇幅限制,本说明书在此就不一一详述了。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的对程序的行为进行拦截的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (21)
1.一种对程序的行为进行拦截的方法,包括:
在为程序创建进程时查询并记录每个进程的进程信息;
当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;
依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。
2.如权利要求1所述的方法,还包括:
预先创建进程表;
所述记录每个进程的进程信息的步骤为:将所述进程信息记录在进程表中;
所述进程信息包括该进程的标识PID、创建关系和文件等级,其中,进程依据所述创建关系形成进程链。
3.如权利要求2所述的方法,所述获取该程序所执行进程的进程信息,包括:
在所述程序执行之前,检测当前是否存在网络连接;
若是,则通过服务器获取所述进程信息;
若否,则查找所述进程表,获取所述进程信息。
4.如权利要求3所述的方法,所述查找所述进程表,获取所述进程信息,包括:
获取当前进程的文件等级;
从所述当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
5.如权利要求3所述的方法,所述在为程序创建进程时查询并记录每个进程的进程信息,包括:
检测当前是否存在网络连接;
若是,则通过服务器查询当前进程的文件等级;
若否,则
从当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
6.如权利要求2所述的方法,所述文件等级包括:
安全等级、未知等级、可疑等级、高度可疑等级和恶意等级。
7.如权利要求6所述的方法,还包括:
在为程序创建进程时若查询到当前进程的文件等级为恶意等级,则直接拦截所述程序的执行。
8.如权利要求6所述的方法,所述依据获取到的进程信息检测所述程序是否满足拦截条件包括:
检测当前进程的文件等级,当所述文件等级为恶意等级时,确定所述程序满足拦截条件。
9.如权利要求8所述的方法,当所述程序不满足拦截条件时,还包括:
当所述文件等级为未知等级、可疑等级和高度可疑等级中的任意一个时,在客户端显示提示信息,针对不同的文件等级显示不同的提示信息;
当所述文件等级为安全等级时,允许所述程序的执行。
10.如权利要求1所述的方法,所述预先设置的拦截点的操作为以下的任意一种:
写入注册表操作、文件操作、进程操作、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件。
11.一种对程序的行为进行拦截的装置,包括:
查询模块,用于在为程序创建进程时查询并记录每个进程的进程信息;
获取模块,用于当检测到某一程序执行触发预先设置的拦截点的操作时,获取该程序所执行进程的进程信息;
第一拦截模块,用于依据获取到的进程信息检测所述程序是否满足拦截条件,当满足拦截条件时拦截所述程序的执行。
12.如权利要求11所述的装置,还包括:
创建模块,用于预先创建进程表;
所述查询模块将所述进程信息记录在进程表中;
所述进程信息包括该进程的标识PID、创建关系和文件等级,其中,进程依据所述创建关系形成进程链。
13.如权利要求12所述的装置,所述获取模块包括:
第一网络检测单元,用于在所述程序执行之前,检测当前是否存在网络连接;
第一获取单元,用于当第一网络检测单元检测出当前存在网络连接时,通过服务器获取所述进程信息;
第二获取单元,用于当第一网络检测单元检测出当前不存在网络连接时,查找所述进程表,获取所述进程信息。
14.如权利要求13所述的装置,所述第二获取单元包括:
等级获取子单元,用于获取当前进程的文件等级;
查找子单元,用于从所述当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
第一确定子单元,用于当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
15.如权利要求13所述的装置,所述查询模块包括:
第二网络检测单元,用于检测当前是否存在网络连接;
查询单元,用于当第二网络检测单元检测出当前存在网络连接时,通过服务器查询当前进程的文件等级;
查找单元,用于当第二网络检测单元检测出当前不存在网络连接时,从当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;
等级确定单元,用于当第二网络检测单元检测出当前不存在网络连接时,当追溯到最后一级父进程时,统计所有获取到的文件等级,将最高的文件等级确定为所述当前进程的文件等级。
16.如权利要求12所述的装置,所述文件等级包括:
安全等级、未知等级、可疑等级、高度可疑等级和恶意等级。
17.如权利要求16所述的装置,还包括:
第二拦截模块,用于在查询模块查询到当前进程的文件等级为恶意等级时,直接拦截所述程序的执行。
18.如权利要求16所述的装置,所述第一拦截模块包括:
拦截条件检测单元,用于检测当前进程的文件等级;
拦截条件确定单元,用于当拦截条件检测单元检测出所述文件等级为恶意等级时,确定所述程序满足拦截条件。
19.如权利要求18所述的装置,所述第一拦截模块还包括:
提示单元,用于当拦截条件检测单元检测出所述文件等级为未知等级、可疑等级和高度可疑等级中的任意一个时,在客户端显示提示信息,针对不同的文件等级显示不同的提示信息;
执行单元,用于当拦截条件检测单元检测出所述文件等级为安全等级时,允许所述程序的执行。
20.如权利要求11所述的装置,所述预先设置的拦截点的操作为以下的任意一种:
写入注册表操作、文件操作、进程操作、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件。
21.一种客户端设备,包括如上述权利要求11至20任一所述的针对程序的行为进行拦截的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210365164.5A CN102932329B (zh) | 2012-09-26 | 2012-09-26 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210365164.5A CN102932329B (zh) | 2012-09-26 | 2012-09-26 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102932329A true CN102932329A (zh) | 2013-02-13 |
| CN102932329B CN102932329B (zh) | 2016-03-30 |
Family
ID=47647031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210365164.5A Active CN102932329B (zh) | 2012-09-26 | 2012-09-26 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932329B (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和系统 |
| CN104794374A (zh) * | 2015-04-16 | 2015-07-22 | 香港中文大学深圳研究院 | 一种用于安卓系统的应用权限管理方法和装置 |
| CN105138902A (zh) * | 2015-08-21 | 2015-12-09 | 安一恒通(北京)科技有限公司 | 用于在应用的安装过程中处理进程创建行为的方法和装置 |
| CN105549979A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 基于局域网的账户控制方法和装置 |
| CN105608375A (zh) * | 2015-12-17 | 2016-05-25 | 北京金山安全软件有限公司 | 一种进程信息获取方法及装置 |
| CN105682095A (zh) * | 2015-12-24 | 2016-06-15 | 北京奇虎科技有限公司 | 基于局域网的无线热点控制方法和装置 |
| CN105868632A (zh) * | 2016-04-20 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截释放dhcp的方法及装置 |
| CN105912933A (zh) * | 2016-04-27 | 2016-08-31 | 北京金山安全软件有限公司 | 一种断网指令的处理方法、装置及电子设备 |
| CN105956470A (zh) * | 2016-05-03 | 2016-09-21 | 北京金山安全软件有限公司 | 一种拦截应用程序行为的方法及终端 |
| CN106203092A (zh) * | 2016-06-30 | 2016-12-07 | 北京金山安全软件有限公司 | 一种拦截恶意程序关机的方法、装置及电子设备 |
| CN106657102A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的威胁处理方法和装置 |
| CN107211011A (zh) * | 2014-11-25 | 2017-09-26 | 恩西洛有限公司 | 用于恶意代码检测的系统及方法 |
| CN108537040A (zh) * | 2018-04-12 | 2018-09-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN109446807A (zh) * | 2018-10-17 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 用于识别拦截恶意机器人的方法、装置以及电子设备 |
| CN109784051A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 信息安全防护方法、装置及设备 |
| CN110457871A (zh) * | 2019-08-13 | 2019-11-15 | 杭州安恒信息技术股份有限公司 | 一种基于文件过滤驱动框架的守护进程方法和装置 |
| CN110472412A (zh) * | 2019-08-21 | 2019-11-19 | 杭州安恒信息技术股份有限公司 | 基于内核独占的程序自保护方法及装置 |
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
| CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
| CN111158937A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 基于内核驱动的软件核心文件内生防护方法及装置 |
| CN111177665A (zh) * | 2019-12-27 | 2020-05-19 | 浙大网新科技股份有限公司 | 一种新生成可执行文件的安全追溯方法 |
| CN112738123A (zh) * | 2021-01-05 | 2021-04-30 | 成都安思科技有限公司 | 一种恶意远程过程溯源调用行为的检测方法及装置 |
| CN115065558A (zh) * | 2022-08-11 | 2022-09-16 | 北京未来智安科技有限公司 | Apt攻击的攻击流程溯源方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
| US20080066179A1 (en) * | 2006-09-11 | 2008-03-13 | Fujian Eastern Micropoint Info-Tech Co., Ltd. | Antivirus protection system and method for computers |
| CN101408917A (zh) * | 2008-10-22 | 2009-04-15 | 厦门市美亚柏科资讯科技有限公司 | 应用程序行为合法性检测方法及系统 |
| CN101587521A (zh) * | 2009-06-17 | 2009-11-25 | 北京东方微点信息技术有限责任公司 | 获取远程计算机信息的方法及装置 |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
-
2012
- 2012-09-26 CN CN201210365164.5A patent/CN102932329B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080066179A1 (en) * | 2006-09-11 | 2008-03-13 | Fujian Eastern Micropoint Info-Tech Co., Ltd. | Antivirus protection system and method for computers |
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
| CN101408917A (zh) * | 2008-10-22 | 2009-04-15 | 厦门市美亚柏科资讯科技有限公司 | 应用程序行为合法性检测方法及系统 |
| CN101587521A (zh) * | 2009-06-17 | 2009-11-25 | 北京东方微点信息技术有限责任公司 | 获取远程计算机信息的方法及装置 |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和系统 |
| CN103617395B (zh) * | 2013-12-06 | 2017-01-18 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和系统 |
| CN107211011A (zh) * | 2014-11-25 | 2017-09-26 | 恩西洛有限公司 | 用于恶意代码检测的系统及方法 |
| CN104794374A (zh) * | 2015-04-16 | 2015-07-22 | 香港中文大学深圳研究院 | 一种用于安卓系统的应用权限管理方法和装置 |
| CN104794374B (zh) * | 2015-04-16 | 2018-01-05 | 香港中文大学深圳研究院 | 一种用于安卓系统的应用权限管理方法和装置 |
| CN105138902A (zh) * | 2015-08-21 | 2015-12-09 | 安一恒通(北京)科技有限公司 | 用于在应用的安装过程中处理进程创建行为的方法和装置 |
| CN105138902B (zh) * | 2015-08-21 | 2018-05-08 | 安一恒通(北京)科技有限公司 | 用于在应用的安装过程中处理进程创建行为的方法和装置 |
| CN105608375A (zh) * | 2015-12-17 | 2016-05-25 | 北京金山安全软件有限公司 | 一种进程信息获取方法及装置 |
| CN105549979B (zh) * | 2015-12-24 | 2019-05-21 | 北京奇虎科技有限公司 | 基于局域网的账户控制方法和装置 |
| CN105682095A (zh) * | 2015-12-24 | 2016-06-15 | 北京奇虎科技有限公司 | 基于局域网的无线热点控制方法和装置 |
| CN105549979A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 基于局域网的账户控制方法和装置 |
| CN105868632A (zh) * | 2016-04-20 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截释放dhcp的方法及装置 |
| CN105868632B (zh) * | 2016-04-20 | 2018-11-16 | 北京金山安全软件有限公司 | 一种拦截释放dhcp的方法及装置 |
| CN105912933A (zh) * | 2016-04-27 | 2016-08-31 | 北京金山安全软件有限公司 | 一种断网指令的处理方法、装置及电子设备 |
| CN105956470A (zh) * | 2016-05-03 | 2016-09-21 | 北京金山安全软件有限公司 | 一种拦截应用程序行为的方法及终端 |
| CN106203092B (zh) * | 2016-06-30 | 2019-12-10 | 珠海豹趣科技有限公司 | 一种拦截恶意程序关机的方法、装置及电子设备 |
| CN106203092A (zh) * | 2016-06-30 | 2016-12-07 | 北京金山安全软件有限公司 | 一种拦截恶意程序关机的方法、装置及电子设备 |
| CN106657102A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的威胁处理方法和装置 |
| CN108537040B (zh) * | 2018-04-12 | 2023-03-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN108537040A (zh) * | 2018-04-12 | 2018-09-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN109446807A (zh) * | 2018-10-17 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 用于识别拦截恶意机器人的方法、装置以及电子设备 |
| CN109784051B (zh) * | 2018-12-29 | 2021-01-15 | 360企业安全技术(珠海)有限公司 | 信息安全防护方法、装置及设备 |
| CN109784051A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 信息安全防护方法、装置及设备 |
| CN110457871A (zh) * | 2019-08-13 | 2019-11-15 | 杭州安恒信息技术股份有限公司 | 一种基于文件过滤驱动框架的守护进程方法和装置 |
| CN110472412A (zh) * | 2019-08-21 | 2019-11-19 | 杭州安恒信息技术股份有限公司 | 基于内核独占的程序自保护方法及装置 |
| CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
| CN111177665A (zh) * | 2019-12-27 | 2020-05-19 | 浙大网新科技股份有限公司 | 一种新生成可执行文件的安全追溯方法 |
| CN111177665B (zh) * | 2019-12-27 | 2022-02-11 | 浙大网新科技股份有限公司 | 一种新生成可执行文件的安全追溯方法 |
| CN111158937A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 基于内核驱动的软件核心文件内生防护方法及装置 |
| CN111158937B (zh) * | 2019-12-31 | 2024-06-04 | 奇安信科技集团股份有限公司 | 基于内核驱动的软件核心文件内生防护方法及装置 |
| CN112738123A (zh) * | 2021-01-05 | 2021-04-30 | 成都安思科技有限公司 | 一种恶意远程过程溯源调用行为的检测方法及装置 |
| CN115065558A (zh) * | 2022-08-11 | 2022-09-16 | 北京未来智安科技有限公司 | Apt攻击的攻击流程溯源方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102932329B (zh) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102932329B (zh) | 一种对程序的行为进行拦截的方法、装置和客户端设备 | |
| US10530789B2 (en) | Alerting and tagging using a malware analysis platform for threat intelligence made actionable | |
| US10581892B2 (en) | Automatically grouping malware based on artifacts | |
| US10565373B1 (en) | Behavioral analysis of scripting utility usage in an enterprise | |
| US10699012B2 (en) | Endpoint detection and response utilizing machine learning | |
| EP3430557B1 (en) | System and method for reverse command shell detection | |
| US10200390B2 (en) | Automatically determining whether malware samples are similar | |
| US20170251002A1 (en) | Malware analysis platform for threat intelligence made actionable | |
| EP3123311B1 (en) | Malicious code protection for computer systems based on process modification | |
| CN102902919A (zh) | 一种可疑操作的识别处理方法、装置和系统 | |
| EP3371953B1 (en) | System and methods for detecting domain generation algorithm (dga) malware | |
| CN102882875B (zh) | 主动防御方法及装置 | |
| CN105580022A (zh) | 使用声誉指示符来促进恶意软件扫描的系统和方法 | |
| GB2555517A (en) | Mitigation of return-oriented programming attacks | |
| CN103001947A (zh) | 一种程序处理方法和系统 | |
| US20140075555A1 (en) | System and method for protecting computer systems from malware attacks | |
| CN103473501B (zh) | 一种基于云安全的恶意软件追踪方法 | |
| EP2941714B1 (en) | Method and apparatus for identifying computing resource trajectory | |
| CN103077353A (zh) | 主动防御恶意程序的方法和装置 | |
| CN104036019A (zh) | 网页链接的开启方法及装置 | |
| CN103679031A (zh) | 一种文件病毒免疫的方法和装置 | |
| CN103020524A (zh) | 计算机病毒监控系统 | |
| CN102982281A (zh) | 程序状况检测方法和系统 | |
| CN102999720A (zh) | 程序鉴别方法和系统 | |
| CN103049695A (zh) | 一种计算机病毒的监控方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240117 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |