CN103049698A - 一种防御网购木马的方法及其装置 - Google Patents

一种防御网购木马的方法及其装置 Download PDF

Info

Publication number
CN103049698A
CN103049698A CN2013100168277A CN201310016827A CN103049698A CN 103049698 A CN103049698 A CN 103049698A CN 2013100168277 A CN2013100168277 A CN 2013100168277A CN 201310016827 A CN201310016827 A CN 201310016827A CN 103049698 A CN103049698 A CN 103049698A
Authority
CN
China
Prior art keywords
file
executable file
security attribute
module
dependent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013100168277A
Other languages
English (en)
Other versions
CN103049698B (zh
Inventor
苏文杰
陈志强
王云峰
徐鸣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Zhuhai Juntian Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Juntian Electronic Technology Co Ltd filed Critical Zhuhai Juntian Electronic Technology Co Ltd
Priority to CN201310016827.7A priority Critical patent/CN103049698B/zh
Publication of CN103049698A publication Critical patent/CN103049698A/zh
Application granted granted Critical
Publication of CN103049698B publication Critical patent/CN103049698B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明涉及一种防御网购木马的方法,包括步骤一:当用户点击运行可执行文件,在加载模块之前,查找可执行文件的安全属性;当该可执行文件的安全属性为黑时,拦截其运行,当该可执行文件的安全属性为白时,由后台服务器返回该可执行文件的APP type,并进入步骤二;步骤二:根据APP type信息,在配置文件库中查找该可执行文件正常安装时要依赖文件及其相对路径信息;步骤三:根据当前运行的可执行文件的全路径和配置文件库中要依赖文件的相对路径,获得要依赖文件的全路径;步骤四:根据获得的要依赖文件的全路径查找对应的文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。本发明的防御网购木马的方法可保证用户的网购及账户安全。

Description

一种防御网购木马的方法及其装置
技术领域
本发明涉及通信领域信息过滤领域,具体涉及一种防御网购木马的方法及其装置。
背景技术
电子商务是一种经由电子设备进行贸易的手段,它加速了信息的传递和覆盖。它提供了在世界范围内推销、销售产品及服务的机会。由于互联网延伸到大多数潜在消费者的巨大潜力,以及它在散布有关产品和服务的消息的有效性,人们正尝试着通过适当的网站实施交易以利用该新的平台。随着网络技术和电子商务的发展,通过网络购买自己喜欢的商品(俗称网购)已经成为广大网民的日常行为,包括淘宝、ebay在内的各种网购网站提供了各种各样的商品通过网络进行交易。由此,网购木马应运而生。
网购木马是新出现的一种欺诈木马。据金山网络安全中心新统计数据显示,2010年网购木马增长迅速,目前变种数量已经超过万个,2011年前2个月,平均每月增加新变种近3000个,而受此欺诈的网购用户也与日俱增。与钓鱼网站相比,网购木马隐藏更深,让用户无法察觉和判断,一旦感染造成危害的可能性非常高。网购木马伪装成买家,与卖家进行沟通,伺机通过聊天工具发送所谓的商品图等压缩文件给卖家,卖家,点击后,即感染木马,骗子再通过木马盗取卖家的账户密码,获取店铺的管理权限。接下来,骗子就可以冒充卖家对真正的买家实施诈骗了。给买家和卖家都造成无法预估的损失,严重地影响了在线金融服务、电子商务的发展。
木马通常隐藏在exe、pif、scr等安全的可执行文件中,当点击运行时,可执行文件必须加载特定的模块,而病毒模块以这些安全的特定模块命名,从而使可执行文件加载了病毒模块,从而运行了木马程序。该加载模块的文件名通常是以dll为后缀的动态链接库文件名。例如,病毒模块与暴风影音的安装文件捆绑在一起,一起传送给用户,且病毒模块以1.dll命名,该命名为暴风影音的安装文件在安装时必须加载的特定模块,这样,在暴风影音的安装文件安装时,其加载了以1.dll命名的病毒模块,从而使用户的电脑感染了木马。
由此可见,如何防御网购木马,已成为业界亟待解决的问题。
发明内容
本发明的目的在于克服现有技术中的缺点与不足,提供一种防御网购木马的方法。
本发明是采用以下的技术方案实现的:一种防御网购木马的方法,包括如下步骤:
步骤一:当用户点击运行可执行文件,在加载模块之前,查找可执行文件的安全属性;当该可执行文件的安全属性为黑时,拦截其运行,当该可执行文件的安全属性为白时,由后台服务器返回该可执行文件的APP type,并进入步骤二;
步骤二:根据APP type信息,在配置文件库中查找该可执行文件正常安装时要依赖文件及其相对路径信息;
步骤三:根据当前运行的可执行文件的全路径和配置文件库中要依赖文件的相对路径,获得要依赖文件的全路径;
步骤四:根据获得的要依赖文件的全路径查找对应的文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。
进一步,本发明还提供了一种防御网购木马的装置。
一种防御网购木马的装置,其包括安全属性查找模块、文件信息搜索模块、文件全路径获得模块、依赖文件查找模块,和配置文件库;当用户点击运行可执行文件,在加载模块之前,该安全属性查找模块查找可执行文件的安全属性,当该可执行文件的安全属性为黑时,拦截其运行,当该可执行文件的安全属性为白时,由后台服务器返回该可执行文件的APPtype,发送指令至文件信息搜索模块;该文件信息搜索模块根据APP type信息,在配置文件库中查找该可执行文件正常安装时要依赖文件及其相对路径信息;该文件全路径获得模块根据当前运行的可执行文件的全路径和配置文件库中要依赖文件的相对路径,获得要依赖文件的全路径;该依赖文件查找模块根据获得的要依赖文件的全路径查找对应的文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。
相对于现有技术,本发明的防御网购木马的方法及其装置通过查找可执行文件在正常运行中必须依赖的文件是否存在,来判断是否为网购木马,从而保证了用户的网购及账户安全。
为了能更清晰的理解本发明,以下将结合附图说明阐述本发明的具体实施方式。
附图说明
图1是本发明防御网购木马的方法的流程图。
图2是本发明防御网购木马的装置的模块示意图。
具体实施方式
病毒散布者会向用户发送压缩包,该压缩包包括安全的可执行文件和病毒模块,病毒模块以可执行文件必须加载的模块命名。因此,在可执行文件加载病毒模块之前,识别是否为木马病毒。
请参阅图1,其是本发明防御网购木马的方法的流程图。该防御网购木马的方法包括如下步骤:
步骤S11:当用户点击运行可执行文件,在加载模块之前,查找可执行文件的安全属性。其中,查找可执行文件的安全属性,是通过查找设置在云端的安全属性数据库获得的。该安全属性数据库收集记载有所有可执行文件的安全属性,具体包括黑、白两种属性,黑为病毒可执行文件,白为安全可执行文件。当该可执行文件的安全属性为黑时,拦截其运行,当该可执行文件的安全属性为白时,由后台服务器返回该可执行文件的APP type,并进入步骤S12。该APP type为程序类别。
步骤S12:根据APP type信息,在配置文件库中查找该可执行文件正常安装时要依赖文件及其相对路径信息。
该可执行文件正常安装时要依赖的文件是除加载模块外的其他文件,如数据文件,图片文件等。该配置文件库收集记载有所有安全的可执行文件在正常安装时必定存在的要依赖文件及其相对路径信息。
步骤S13:根据当前运行的可执行文件的全路径和配置文件库中要依赖文件的相对路径,获得要依赖文件的全路径。
步骤S14:根据获得的要依赖文件的全路径查找对应的文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。
其中,上述的可执行文件正常安装时的要依赖的文件为一个或多个,可以根据可执行文件的特点设置其中的一个或几个进行全路径查找,只有当所有的设定的要依赖文件的全路径查找对应的文件存在,才允许其运行。
以下举例说明:
当用户点击运行可执行文件1.exe,在可执行文件1.exe加载加载模块之前,首先在云端的安全属性数据库查找可执行文件1.exe的安全属性,若为黑,则直接拦截,若为白,由后台服务器返回该可执行文件的APP type为1000。根据该可执行文件的APP type为1000,在配置文件库中查找1000对应的可执行文件正常安装时必定存在的要依赖的文件有两个,其相对路径分别为1\3\3.exe和2\2\5.exe。且当前运行的可执行程序1.exe的全路径为D:\Demo\1.exe,则将1\3\3.exe和2\2\5.exe分别与D:\Demo\1.exe拼接成要依赖文件的全路径:D:\Demo\1\3\3.exe和D:\Demo\2\2\5.exe,根据拼接的新路径D:\Demo\1\3\3.exe和D:\Demo\2\2\5.exe查找对应的两个文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。
请参阅图2,其是本发明的防御网购木马的装置的模块示意图。包括安全属性查找模块21、文件信息搜索模块22、文件全路径获得模块23、依赖文件查找模块24,以及安全属性数据库25和配置文件库26。
其中,该安全属性数据库25设置在云端,其收集记载有所有可执行文件的安全属性,包括黑、白两种属性,黑为病毒可执行文件,白为安全可执行文件。该配置文件库26设置在客户端,其收集记载有所有安全的可执行文件在正常安装时必定存在的文件及其相对路径信息。
当用户点击运行可执行文件,在加载模块之前,该安全属性查找模块21查找可执行文件的安全属性。其中,查找可执行文件的安全属性,是通过查找设置在云端的安全属性数据库获得的。当该可执行文件的安全属性为黑时,拦截其运行,当该可执行文件的安全属性为白时,由后台服务器返回该可执行文件的APP type,发送指令至文件信息搜索模块22。该APPtype为程序类别。
该文件信息搜索模块22根据APP type信息,在配置文件库中查找该可执行文件正常安装时必定存在的要依赖文件及其相对路径信息。
文件全路径获得模块23根据当前运行的可执行文件的全路径和配置文件库中要依赖文件的相对路径,计算获得要依赖文件的全路径。
依赖文件查找模块24根据计算获得的要依赖文件的全路径查找对应的文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。
其中,上述的可执行文件正常安装时的要依赖的文件为一个或多个,只有当所有的计算获得的要依赖文件的全路径查找对应的文件存在,才允许其运行。
相对于现有技术,本发明的防御网购木马的方法及其装置通过查找可执行文件在正常运行中必须依赖的文件是否存在,来判断是否为网购木马,从而保证了用户的网购及账户安全。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。

Claims (4)

1.一种防御网购木马的方法,包括如下步骤:
步骤一:当用户点击运行可执行文件,在加载模块之前,查找可执行文件的安全属性;当该可执行文件的安全属性为黑时,拦截其运行,当该可执行文件的安全属性为白时,由后台服务器返回该可执行文件的APP type,并进入步骤二;
步骤二:根据APP type信息,在配置文件库中查找该可执行文件正常安装时要依赖文件及其相对路径信息;
步骤三:根据当前运行的可执行文件的全路径和配置文件库中要依赖文件的相对路径,获得要依赖文件的全路径;
步骤四:根据获得的要依赖文件的全路径查找对应的文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。
2.根据权利要求1所述的防御网购木马的方法,其特征在于:该步骤一查找可执行文件的安全属性是通过查找设置在云端的安全属性数据库获得的。
3.一种防御网购木马的装置,其特征在于:包括安全属性查找模块、文件信息搜索模块、文件全路径获得模块、依赖文件查找模块,和配置文件库;当用户点击运行可执行文件,在加载模块之前,该安全属性查找模块查找可执行文件的安全属性,当该可执行文件的安全属性为黑时,拦截其运行,当该可执行文件的安全属性为白时,由后台服务器返回该可执行文件的APP type,发送指令至文件信息搜索模块;该文件信息搜索模块根据APP type信息,在配置文件库中查找该可执行文件正常安装时要依赖文件及其相对路径信息;该文件全路径获得模块根据当前运行的可执行文件的全路径和配置文件库中要依赖文件的相对路径,获得要依赖文件的全路径;该依赖文件查找模块根据获得的要依赖文件的全路径查找对应的文件是否存在,若存在,则允许可执行文件的运行,若不存在,则拦截其运行。
4.根据权利要求3所述的防御网购木马的装置,其特征在于:还包括一设置在云端的安全属性数据库,该安全属性查找模块通过查找设置在云端的安全属性数据库获得可执行文件的安全属性。
CN201310016827.7A 2013-01-17 2013-01-17 一种防御网购木马的方法及其装置 Active CN103049698B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310016827.7A CN103049698B (zh) 2013-01-17 2013-01-17 一种防御网购木马的方法及其装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310016827.7A CN103049698B (zh) 2013-01-17 2013-01-17 一种防御网购木马的方法及其装置

Publications (2)

Publication Number Publication Date
CN103049698A true CN103049698A (zh) 2013-04-17
CN103049698B CN103049698B (zh) 2015-08-19

Family

ID=48062331

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310016827.7A Active CN103049698B (zh) 2013-01-17 2013-01-17 一种防御网购木马的方法及其装置

Country Status (1)

Country Link
CN (1) CN103049698B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592004A (zh) * 2014-10-21 2016-05-18 阿里巴巴集团控股有限公司 账户安全检查方法、装置、客户端、服务器及系统
CN106529281A (zh) * 2016-11-07 2017-03-22 广东浪潮大数据研究有限公司 一种可执行文件处理方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101901323A (zh) * 2010-07-22 2010-12-01 湖北盛天网络技术有限公司 一种监控程序模块加载活动的系统过滤方法
CN101938469A (zh) * 2010-08-08 2011-01-05 北京大学 一种运行时Android库文件的透明加载方法及系统
CN102222194A (zh) * 2011-07-14 2011-10-19 哈尔滨工业大学 Linux主机计算环境安全保护的模块及方法
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101901323A (zh) * 2010-07-22 2010-12-01 湖北盛天网络技术有限公司 一种监控程序模块加载活动的系统过滤方法
CN101938469A (zh) * 2010-08-08 2011-01-05 北京大学 一种运行时Android库文件的透明加载方法及系统
CN102222194A (zh) * 2011-07-14 2011-10-19 哈尔滨工业大学 Linux主机计算环境安全保护的模块及方法
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592004A (zh) * 2014-10-21 2016-05-18 阿里巴巴集团控股有限公司 账户安全检查方法、装置、客户端、服务器及系统
CN105592004B (zh) * 2014-10-21 2019-08-09 阿里巴巴集团控股有限公司 账户安全检查方法、装置、客户端、服务器及系统
CN106529281A (zh) * 2016-11-07 2017-03-22 广东浪潮大数据研究有限公司 一种可执行文件处理方法及装置
CN106529281B (zh) * 2016-11-07 2019-09-06 广东浪潮大数据研究有限公司 一种可执行文件处理方法及装置

Also Published As

Publication number Publication date
CN103049698B (zh) 2015-08-19

Similar Documents

Publication Publication Date Title
Kotzias et al. Measuring {PUP} Prevalence and {PUP} Distribution through {Pay-Per-Install} Services
USRE49486E1 (en) System and method for tracking web interactions with real time analytics
CN108780479B (zh) 用于对异常进行检测和评分的系统和方法
CN103020516B (zh) 一种防御网购木马的方法及其装置
US9582668B2 (en) Quantifying the risks of applications for mobile devices
US10521446B2 (en) System and method for dynamically refactoring business data objects
CN109361711B (zh) 防火墙配置方法、装置、电子设备及计算机可读介质
CN102171657A (zh) 实体信誉评分的简化传送
Karaj et al. WhoTracks. Me: Shedding light on the opaque world of online tracking
US11570214B2 (en) Crowdsourced innovation laboratory and process implementation system
US10015191B2 (en) Detection of man in the browser style malware using namespace inspection
CN109074454A (zh) 基于赝象对恶意软件自动分组
US10454967B1 (en) Clustering computer security attacks by threat actor based on attack features
CN103701804A (zh) 网络购物环境安全性检测方法及装置
JP7105096B2 (ja) 複数組織間の脅威情報共有システム及び方法
CN109286630B (zh) 等保处理方法、装置、设备及存储介质
CN114024764A (zh) 数据库异常访问的监控方法、监控系统、设备和存储介质
CN103823833B (zh) 网页中多媒体数据的收藏方法和浏览器装置
CN104640105A (zh) 手机病毒分析和威胁关联的方法和系统
Faou et al. Follow the traffic: Stopping click fraud by disrupting the value chain
CN103049698B (zh) 一种防御网购木马的方法及其装置
KR102541888B1 (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
KR20200025408A (ko) 실시간 이벤트 처리를 이용한 실시간 오퍼 제공 방법 및 서버 시스템
KR20220086402A (ko) 클라우드 기반 통합 보안서비스 제공 시스템
CN104683379A (zh) 新技术的一种新型云计算面向企业服务平台的计算调试新系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: KINGSOFT CORPORATION LIMITED BEIKE INTERNATIONAL (

Effective date: 20130503

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20130503

Address after: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Applicant after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Applicant after: Shell International (Beijing) Safety Technology Co.,Ltd.

Applicant after: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

Address before: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong

Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd.

Address before: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: Shell International (Beijing) Safety Technology Co.,Ltd.

Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20191204

Address after: 519031 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Leopard Technology Co.,Ltd.

Address before: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Network Technology Co.,Ltd.