CN103970574B - office程序的运行方法及装置、计算机系统 - Google Patents
office程序的运行方法及装置、计算机系统 Download PDFInfo
- Publication number
- CN103970574B CN103970574B CN201410218521.4A CN201410218521A CN103970574B CN 103970574 B CN103970574 B CN 103970574B CN 201410218521 A CN201410218521 A CN 201410218521A CN 103970574 B CN103970574 B CN 103970574B
- Authority
- CN
- China
- Prior art keywords
- office programs
- office
- programs
- startup
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 244000035744 Hura crepitans Species 0.000 claims abstract description 56
- 238000012545 processing Methods 0.000 claims description 32
- 238000004321 preservation Methods 0.000 claims description 8
- 231100000572 poisoning Toxicity 0.000 abstract description 6
- 230000000607 poisoning effect Effects 0.000 abstract description 6
- 230000006399 behavior Effects 0.000 description 91
- 230000006870 function Effects 0.000 description 30
- 238000005516 engineering process Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 231100001261 hazardous Toxicity 0.000 description 4
- 239000004576 sand Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Abstract
本发明公开了一种office程序的运行方法及装置、计算机系统。其中方法基于预先建立的配置文件而执行,所述配置文件中包含被选择启用保护功能的office程序的路径信息;该方法包括:在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行。本发明提供的方案通过比对路径信息识别出启动程序为被选择启用保护功能的office程序,并将所启动的office程序嵌入沙箱中运行,office程序的所有操作被虚拟重定向,防止恶意操作对真实系统产生影响,能够有效地避免office程序运行所引起的计算机中毒问题。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及一种office程序的运行方法及装置、计算机系统。
背景技术
在计算机安全领域,沙箱(也称为沙盒)是一种程序的隔离运行机制,其目的是限制不可信进程的权限。沙箱技术经常被用于执行未经测试的或不可信的客户程序。为了避免不可信程序可能破坏其它程序的运行,沙箱技术通过为不可信客户程序提供虚拟化的磁盘、内存以及网络资源,而这种虚拟化手段对客户程序来说是透明的。由于沙箱里的资源被虚拟化(或被间接化),所以沙箱里的不可信程序的恶意行为往往会被限制在沙箱中,从而保护系统原有的状态。
具体来说,沙箱技术可以将一个程序放入沙箱运行,这样该程序所创建、修改、删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。
黑客可以利用office程序中存在的漏洞、office文档中的宏病毒以及嵌入的链接等执行修改注册表、调用系统命令、运行系统文件等恶意操作,使用户的计算机遭受病毒的入侵。现有技术没有提供一种有效的手段,解决由office程序运行所引起的计算机中毒问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的office程序的运行方法和相应的office程序的运行装置、计算机系统。
根据本发明的一个方面,提供了一种office程序的运行方法,所述方法基于预先建立的配置文件而执行,所述配置文件中包含被选择启用保护功能的office程序的路径信息;所述方法包括:
在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;
在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行。
可选地,所述将启动的office程序嵌入到沙箱中运行进一步包括:若所述启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行。
可选地,所述第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件。
可选地,所述将启动的office程序嵌入到沙箱中运行进一步包括:若所述启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行所述网络访问行为。
可选地,所述根据预配置策略拦截或放行所述网络访问行为进一步包括:
通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截所述网络访问行为;否则,放行所述网络访问行为。
可选地,所述根据预配置策略拦截或放行所述网络访问行为进一步包括:
判断office程序执行的网络行为是否为局域网访问行为,若是,则放行所述网络访问行为。
可选地,所述将启动的office程序嵌入到沙箱中运行进一步包括:
若所述启动的office程序执行的操作属于第二类预设操作,并且该office程序执行操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理。
可选地,所述第二类预设操作包含保存或另存为操作;
所述对该office程序执行的操作进行漏沙处理具体为:将该office程序执行操作的对象文件保存到真实系统中。
根据本发明的另一方面,提供了一种office程序的运行装置,所述装置基于预先建立的配置文件而运行,所述配置文件中包含被选择启用保护功能的office程序的路径信息;所述装置包括:
比对模块,适于在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;
运行模块,适于在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行。
可选地,所述运行模块进一步包括:沙箱运行单元,适于若所述启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行。
可选地,所述第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件。
可选地,所述运行模块进一步包括:网络访问行为处理单元,适于若所述启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行所述网络访问行为。
可选地,所述网络访问行为处理单元进一步适于:
通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截所述网络访问行为;否则,放行所述网络访问行为。
可选地,所述网络访问行为处理单元进一步适于:
判断office程序执行的网络行为是否为局域网访问行为,若是,则放行所述网络访问行为。
可选地,所述运行模块进一步包括:漏沙处理单元,适于若所述启动的office程序执行的操作属于第二类预设操作,并且该office程序执行的操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理。
可选地,所述第二类预设操作包含保存或另存为操作;
漏沙处理单元具体适于:将该office程序执行操作的对象文件保存到真实系统中。
根据本发明的又一方面,提供了一种计算机系统,所述计算机系统包括用于防护所述计算机系统安全的安全设备,所述安全设备包括上述office程序的运行装置。
根据本发明的提供的方案,该方案基于预先建立的配置文件而执行,所述配置文件中包含被选择启用保护功能的office程序的路径信息。在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行。本发明提供的方案通过比对路径信息识别出启动程序为被选择启用保护功能的office程序,并将所启动的office程序嵌入沙箱中运行,office程序的所有操作被虚拟重定向,防止恶意操作对真实系统产生影响,能够有效地避免office程序运行所引起的计算机中毒问题。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的的office程序的运行方法的流程图;
图2示出了根据本发明另一个实施例的的office程序的运行方法的流程图;
图3示出了根据本发明一个实施例的office程序的运行装置的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明的office程序运行方法及装置所提供的office保护功能可以是盾甲保护中的一个子功能。盾甲保护具有程序加固引擎、补天热补丁引擎、关键程序隔离引擎功能,程序加固引擎具体包括:设置界面,主要负责产品配置;常驻模块,主要负责弹窗、程序初始化等;安装打包,主要负责安装程序。程序加固引擎主要使用内置的主动防御引擎加固敏感应用程序,防止漏洞攻击。补天热补丁引擎主要提供最全面的热补丁防护。关键程序隔离引擎可以对重要程序和数据进行隔离,防止漏洞对系统造成损害。盾甲保护的三个功能是相互独立的,本发明主要涉及程序加固引擎功能。程序加固引擎功能结合沙箱技术,防止漏洞攻击。
具体地,用户可以选择是否启用上述office保护功能,在用户选择启用该功能的同时,本发明根据用户的选择预先建立配置文件,该配置文件中包含被选择启用保护功能的office程序的路径信息。例如,用户选择启用对Word、Excel和PowerPoint等office程序的保护功能,本发明检测计算机系统中是否已安装有Word、Excel和PowerPoint等office程序,若确认已安装,则将Word路径信息、Excel路径信息和PowerPoint路径信息写到配置文件中。
基于上述配置文件,本发明实施例提供了如下office程序的运行方法。
图1示出了根据本发明一个实施例的office程序的运行方法的流程图。如图1所示,该方法包括以下步骤:
步骤S100,在office程序启动之后,将启动的office程序的路径信息与配置文件中包含的路径信息进行比对。
待用户启动office程序后,获得启动后的office程序的路径信息并将启动的office程序的路径信息与配置文件中包含的路径信息进行比对。
步骤S110,在比对结果一致的情况下,将启动的office程序嵌入到沙箱中运行。
在启动的office程序的路径信息与配置文件中包含的路径信息一致的情况下,将启动的office程序嵌入到沙箱中,使得office程序所执行的操作是在沙箱中运行的。
根据本发明上述实施例提供的方法,在office程序启动之后,将启动的office程序的路径信息与配置文件中包含的路径信息进行比对,在比对结果一致的情况下,将启动的office程序嵌入到沙箱中运行。本方法通过比对路径信息识别出启动程序为被选择启用保护功能的office程序,并将所启动的office程序嵌入沙箱中运行,office程序的所有操作被虚拟重定向,防止恶意操作对真实系统产生影响,能够有效地避免office程序运行所引起的计算机中毒问题。
图2示出了根据本发明另一个实施例的office程序的运行方法的流程图。如图2所示,该方法包括以下步骤:
步骤S200,在office程序启动之后,比对启动的office程序的路径信息与配置文件中包含的路径信息是否一致,若是,则执行步骤S210,否则,方法结束。
根据上面的描述可知,配置文件中所包含的路径信息为被选择启用保护功能的office程序的路径信息,如果用户启动office程序的路径信息与配置文件中包含的某路径信息一致,表明此时用户启动的office程序是被选择启用保护功能的office程序,那么则执行后续步骤。如果用户启动office程序的路径信息与配置文件中包含的路径信息都不一致,表明此时用户启动的office程序不是被选择启用保护功能的office程序,那么则不执行后续步骤。
步骤S210,将启动的office程序嵌入到沙箱中运行。
在启动的office程序的路径信息与配置文件中包含的路径信息一致的情况下,将启动的office程序嵌入到沙箱中,使得office程序所执行的操作是在沙箱中运行的。
步骤S220,判断启动的office程序执行的操作,若启动的office程序执行的操作属于第一类预设操作,则执行步骤S230;若启动的office程序执行的操作属于网络访问行为,则执行步骤S240;若启动的office程序执行的操作属于第二类预设操作,并且该office程序执行操作的对象文件的格式属于预设文件格式,则执行步骤S250。
具体地,启动的office程序执行的操作主要包括第一类预设操作、网络访问行为以及第二类预设操作。其中,第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件。网络访问行为包括通过链接访问互联网网站的行为以及访问局域网的行为。第二类预设操作包含保存或另存为操作。预设文件格式包括.doc、.xsl、.ppt。
步骤S230,将该office程序执行的操作在虚拟系统中运行。
若启动的office程序执行的是第一类预设操作其中之一,如修改注册表,由于在步骤S210中已将启动的office程序嵌入到沙箱中运行,因此,该office程序执行的操作保持在虚拟系统中运行的,从而不会对真实系统造成影响。
下面以黑客利用零日漏洞(0day)修改注册表为例具体说明是如何进行office防护:
0day是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。这些漏洞被发现后立即被恶意利用,例如利用0day可以修改注册表、下载东西、运行系统文件。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。
具体地,用户选择启用对Word、Excel和PowerPoint等office程序的保护功能,检测计算机系统中是否已安装有Word、Excel和PowerPoint等office程序,若确认已安装,则将Word路径信息、Excel路径信息和PowerPoint路径信息写到配置文件中。待用户启动某个office程序(以Word程序为例)后,获得启动后的Word程序的路径信息并将启动的Word程序的路径信息与配置文件中包含的路径信息进行比对。通过比对可知,Word程序是预先被选择启用保护功能的程序,则将启动的Word程序嵌入到沙箱中运行。若用户通过启动的Word程序想打开一word文档,由于Word程序存在0day漏洞,因此在word文档被打开后即触发了该漏洞。鉴于黑客可以利用0day修改注册表,因此需要对系统的注册表的操作进行监控,确定是否发生修改注册表的行为。盾甲保护的RD(Registry Defend,注册表防御体系)提供了监控注册表的功能。RD提供了对常见的系统敏感注册表项进行监视,如启动项、服务驱动项、系统策略项、浏览器设置或网络设置(包括NameServer)项的添加修改。当监控到启动的Word程序执行的操作属于修改注册表如修改了启动项的注册表,由于启动的Word程序已被嵌入到沙箱中,因此该Word程序执行的修改注册表的操作是在虚拟系统中运行的,从而保护了真实系统不受0day漏洞的影响。
下面再以office程序执行的操作为修改宏文件为例具体说明是如何进行office防护:
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开携带宏病毒的文档,执行文档中的宏,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上以及修改宏文件。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
具体地,用户选择启用对Word、Excel和PowerPoint等office程序的保护功能,检测计算机系统中是否已安装有Word、Excel和PowerPoint等office程序,若确认已安装,则将Word路径信息、Excel路径信息和PowerPoint路径信息写到配置文件中。待用户启动某个office程序(以Word程序为例)后,获得启动后的Word程序的路径信息并将启动的Word程序的路径信息与配置文件中包含的路径信息进行比对。通过比对可知,Word程序是预先被选择启用保护功能的程序,则将启动的Word程序嵌入到沙箱中运行。若用户通过启动的Word程序想打开一word文档,由于Word文档感染了宏病毒,因此在word主程序打开该word文档时即触发了该宏病毒,如果用户选择在真实系统上执行宏后会导致系统中毒。但在本发明实施例中,用户启动Word程序(即打开一非PE文件),宏病毒可以修改宏文件以及调用系统命令(即运行PE文件),当监控到启动的Word程序执行的操作属于修改宏文件以及调用系统命令,则需要利用office防护来保护真实系统。启动的Word程序已被嵌入到沙箱中,因此该Word程序执行的修改宏文件以及调用系统命令的操作是在虚拟系统中运行的。其中,PE文件被称为可移植的执行体是Portable Execute的全称,常见的PE文件有EXE、DLL、OCX、SYS、COM。PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。
上述例子仅为第一类预设操作的示例,本发明不仅限于此。本领域技术人员可以根据实际情况将office程序的某些其它操作归为第一类预设操作,从而进行相应的office防护,在此不再赘述。
步骤S240,根据预配置策略拦截或放行网络访问行为。
本步骤可以包括:通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截网络访问行为;否则,放行网络访问行为。其中,网络访问行为指通过链接访问互联网网站的行为。驱动层截获程序发起的网络访问请求的数据包,通常一个程序如果需要连接网络,需要通过操作系统(如Windows)提供的API(Application Program Interface,应用程序接口)接口发送网络访问请求,操作系统接收到程序的这种网络访问请求后,会接收程序要发送的数据包,并对接收到的数据包进行封装,之后将封装的数据包发送给物理设备(如网卡等),最后由硬件设备将数据包传出。基于这样的程序访问网络的流程,在该流程的任一环节对网络行为的相关信息进行截获都可以实现监控程序的当前网络行为的目的。驱动层解析截获的数据包,获取数据包中的至少一种域信息,将数据包及其至少一种域信息发送到应用层。应用层查询本地库和/或网络库中是否保存有至少一种域信息中的任一种并判断至少一种域信息中的任一种是否属于本地库和/或网络库的黑名单,若保存有至少一种域信息中的任一种并且域信息属于本地库和/或网络库的黑名单则应阻止程序的网络访问请求,表明office程序执行的网络访问行为是危险行为,应该拦截网络访问行为;若本地库和/或网络库中没有保存至少一种域信息中的任一种或判断至少一种域信息中的任一种属于本地库和/或网络库的白名单,则放行程序的网络访问请求,表明office程序执行的网络访问行为不是危险行为,应该放行网络访问行为。其中,本地库和/或网络库中存储有大量的域信息以及这些域信息属于黑名单或白名单的标记。
一般情况下,office程序本身是不去访问网络的,出现访问网络的情况主要有:输入法例如云输入法,所谓云输入法是一种利用服务器的无限量的存储和计算能力,大幅提升输入准确率的输入法,其现在可以应用于所有主流浏览器上,如IE6-8、Firefox1.5-3.7、Opera9-10、Safari3-4、Chrome1-5等;office中嵌入的链接;微软官方的一些安全性操作例如帮助;office在线论坛等。office防护在设置时会认为输入法、微软官方的一些安全性操作例如帮助、office在线论坛这些网络访问行为属于安全行为,并放行这些网络访问行为;而对于通过office中嵌入的链接所进行的网络访问行为则进行拦截。
本步骤还可以包括:判断office程序执行的网络行为是否为局域网访问行为,若是,则放行网络访问行为。
局域网(Local Area Network)是在一个局部的地理范围内(如一个学校、工厂和机关内),将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网,简称LAN。通过判断office程序想要打开的文件是否存在于局域网中的设备来判断office程序执行的网络行为是否为局域网访问行为。通过判断获知用户通过office程序想要打开的是局域网共享文件如财务文件夹—>报销.doc,则需放行该网络访问行为,否则用户无法打开所访问的文件。
步骤S250,对该office程序执行的操作进行漏沙处理。
若启动的office程序执行的是第二类预设操作其中之一,如保存,并且该office程序执行操作的对象文件的格式属于预设文件格式中任一种,如.doc,驱动层就不做重定向操作,即不将office文档写到沙箱里,则对该office程序执行的操作进行漏沙处理,具体为:将该office程序执行操作的对象文件保存到真实系统中。还可将office防护中的沙箱设置成若启动的office程序执行的是将word转成excel操作、word联网打印操作,则可对对该操作进行漏沙出来,使得相应的操作可在真实系统中完成。在本实施例由于office程序所执行的操作为保存或另存为等安全操作,并且文件的格式属于.doc、.xsl、.ppt,因此可将此类操作进行漏沙处理,将文件保存到真实系统。此外,还可以将沙箱设置成禁止读取某些文件或允许读取某些文件。
上述例子仅为第二类预设操作的示例,本发明不仅限于此。本领域技术人员可以根据实际情况将office程序的某些其它操作归为第二类预设操作,从而进行相应的office防护,在此不再赘述。
根据本发明上述实施例提供的方法,在office程序启动之后,将启动的office程序的路径信息与配置文件中包含的路径信息进行比对,若比对结果一致则将启动的office程序嵌入到沙箱中运行。通过这样的方法,可以有效的识别出启动程序为被选择启用保护功能的office程序,并将所启动的office程序嵌入沙箱中运行。进一步的,判断启动的office程序执行的操作,若启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行。本发明中第一类预设操作属于易被恶意程序利用执行的操作,通过将此类操作运行于虚拟系统中,使操作被虚拟重定向,能够防止恶意操作对真实系统产生影响,有效地避免office程序运行所引起的计算机中毒问题。若启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行网络访问行为;本发明提供了具体的预配置策略来防护通过office程序的网络访问行为,当网络访问行为具有一定的危险性时,直接拦截该网络访问行为,保护计算机系统的安全。若启动的office程序执行的操作属于第二类预设操作,并且该office程序执行操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理;本发明中第二类预设操作属于安全操作,通过将此类操作运行于真实系统中,进而将执行完此类操作后的文件保存在真实系统的本地文件夹中,避免了文件被保存在沙箱中所导致的在退出沙箱时将文件删除使用户的常规操作受到影响的问题。
图3示出了根据本发明一个实施例的office程序的运行装置的结构框图。如图3所示,该装置包括:比对模块300、运行模块310。
比对模块300,适于在office程序启动之后,将启动的office程序的路径信息与配置文件中包含的路径信息进行比对。
配置文件中所包含的路径信息为被选择启用保护功能的office程序的路径信息,如果用户启动office程序的路径信息与配置文件中包含的某路径信息一致,表明此时用户启动的office程序是被选择启用保护功能的office程序。如果用户启动office程序的路径信息与配置文件中包含的路径信息都不一致,表明此时用户启动的office程序不是被选择启用保护功能的office程序。
运行模块310,适于在比对结果一致的情况下,将启动的office程序嵌入到沙箱中运行。
在启动的office程序的路径信息与配置文件中包含的路径信息一致的情况下,将启动的office程序嵌入到沙箱中,使得office程序所执行的操作是在沙箱中运行的。
运行模块310进一步包括:沙箱运行单元320,适于若启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行。
其中,第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件。
运行模块310进一步包括:网络访问行为处理单元330,适于若启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行网络访问行为。
网络访问行为处理单元330进一步适于:通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截网络访问行为;否则,放行网络访问行为。
网络访问行为处理单元330进一步适于:判断office程序执行的网络行为是否为局域网访问行为,若是,则放行网络访问行为。
运行模块310进一步包括:漏沙处理单元340,适于若启动的office程序执行的操作属于第二类预设操作,并且该office程序执行的操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理。
其中,第二类预设操作包含保存或另存为操作;
漏沙处理单元340具体适于:将该office程序执行操作的对象文件保存到真实系统中。
本发明还提供了一种计算机系统,该计算机系统包括一安全设备,安全设备用于防护计算机系统的安全。其中安全设备包括上述实施例提供的office程序的运行装置。
根据本发明上述实施例提供的装置,在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行。本发明提供的装置通过比对路径信息识别出启动程序为被选择启用保护功能的office程序,并将所启动的office程序嵌入沙箱中运行,office程序的所有操作被虚拟重定向,防止恶意操作对真实系统产生影响,能够有效地避免office程序运行所引起的计算机中毒问题。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的office程序的运行设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了:A1、一种office程序的运行方法,所述方法基于预先建立的配置文件而执行,所述配置文件中包含被选择启用保护功能的office程序的路径信息;所述方法包括:
在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;
在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行。
A2、根据A1所述的方法,所述将启动的office程序嵌入到沙箱中运行进一步包括:若所述启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行。
A3、根据A2所述的方法,所述第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件。
A4、根据A1所述的方法,所述将启动的office程序嵌入到沙箱中运行进一步包括:若所述启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行所述网络访问行为。
A5、根据A4所述的方法,所述根据预配置策略拦截或放行所述网络访问行为进一步包括:
通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截所述网络访问行为;否则,放行所述网络访问行为。
A6、根据A4所述的方法,所述根据预配置策略拦截或放行所述网络访问行为进一步包括:
判断office程序执行的网络行为是否为局域网访问行为,若是,则放行所述网络访问行为。
A7、根据A1所述的方法,所述将启动的office程序嵌入到沙箱中运行进一步包括:
若所述启动的office程序执行的操作属于第二类预设操作,并且该office程序执行操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理。
A8、根据A7所述的方法,所述第二类预设操作包含保存或另存为操作;
所述对该office程序执行的操作进行漏沙处理具体为:将该office程序执行操作的对象文件保存到真实系统中。
本发明还公开了:B9、一种office程序的运行装置,所述装置基于预先建立的配置文件而运行,所述配置文件中包含被选择启用保护功能的office程序的路径信息;所述装置包括:
比对模块,适于在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;
运行模块,适于在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行。
B10、根据B9所述的装置,所述运行模块进一步包括:沙箱运行单元,适于若所述启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行。
B11、根据B10所述的装置,所述第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件。
B12、根据B9所述的装置,所述运行模块进一步包括:网络访问行为处理单元,适于若所述启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行所述网络访问行为。
B13、根据B12所述的装置,所述网络访问行为处理单元进一步适于:
通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截所述网络访问行为;否则,放行所述网络访问行为。
B14、根据B12所述的装置,所述网络访问行为处理单元进一步适于:
判断office程序执行的网络行为是否为局域网访问行为,若是,则放行所述网络访问行为。
B15、根据B9所述的装置,所述运行模块进一步包括:漏沙处理单元,适于若所述启动的office程序执行的操作属于第二类预设操作,并且该office程序执行的操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理。
B16、根据B15所述的装置,所述第二类预设操作包含保存或另存为操作;
漏沙处理单元具体适于:将该office程序执行操作的对象文件保存到真实系统中。
本发明还公开了:C17、一种计算机系统,所述计算机系统包括用于防护所述计算机系统安全的安全设备,所述安全设备包括B9-B16任一项所述的office程序的运行装置。
Claims (11)
1.一种office程序的运行方法,所述方法基于预先建立的配置文件而执行,所述配置文件中包含被选择启用保护功能的office程序的路径信息;所述方法包括:
在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;
在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行;
所述将启动的office程序嵌入到沙箱中运行进一步包括:
若所述启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行;所述第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件;
若所述启动的office程序执行的操作属于第二类预设操作,并且该office程序执行操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理;所述第二类预设操作包含保存或另存为操作。
2.根据权利要求1所述的方法,所述将启动的office程序嵌入到沙箱中运行进一步包括:若所述启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行所述网络访问行为。
3.根据权利要求2所述的方法,所述根据预配置策略拦截或放行所述网络访问行为进一步包括:
通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截所述网络访问行为;否则,放行所述网络访问行为。
4.根据权利要求2所述的方法,所述根据预配置策略拦截或放行所述网络访问行为进一步包括:
判断office程序执行的网络行为是否为局域网访问行为,若是,则放行所述网络访问行为。
5.根据权利要求1所述的方法,所述对该office程序执行的操作进行漏沙处理具体为:将该office程序执行操作的对象文件保存到真实系统中。
6.一种office程序的运行装置,所述装置基于预先建立的配置文件而运行,所述配置文件中包含被选择启用保护功能的office程序的路径信息;所述装置包括:
比对模块,适于在office程序启动之后,将启动的office程序的路径信息与所述配置文件中包含的路径信息进行比对;
运行模块,适于在比对结果一致的情况下,将所述启动的office程序嵌入到沙箱中运行;
所述运行模块进一步包括:沙箱运行单元,适于若所述启动的office程序执行的操作属于第一类预设操作,则将该office程序执行的操作在虚拟系统中运行;所述第一类预设操作包含:修改注册表,修改宏文件,调用系统命令,和/或运行系统文件;
所述运行模块进一步包括:漏沙处理单元,适于若所述启动的office程序执行的操作属于第二类预设操作,并且该office程序执行的操作的对象文件的格式属于预设文件格式,则对该office程序执行的操作进行漏沙处理;所述第二类预设操作包含保存或另存为操作。
7.根据权利要求6所述的装置,所述运行模块进一步包括:网络访问行为处理单元,适于若所述启动的office程序执行的操作属于网络访问行为,则根据预配置策略拦截或放行所述网络访问行为。
8.根据权利要求7所述的装置,所述网络访问行为处理单元进一步适于:
通过查询本地库和/或网络库判断office程序执行的网络访问行为是否属于危险行为,若是,则拦截所述网络访问行为;否则,放行所述网络访问行为。
9.根据权利要求7所述的装置,所述网络访问行为处理单元进一步适于:
判断office程序执行的网络行为是否为局域网访问行为,若是,则放行所述网络访问行为。
10.根据权利要求6所述的装置,所述漏沙处理单元具体适于:将该office程序执行操作的对象文件保存到真实系统中。
11.一种计算机系统,所述计算机系统包括用于防护所述计算机系统安全的安全设备,所述安全设备包括权利要求6-10任一项所述的office程序的运行装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410218521.4A CN103970574B (zh) | 2014-05-22 | 2014-05-22 | office程序的运行方法及装置、计算机系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410218521.4A CN103970574B (zh) | 2014-05-22 | 2014-05-22 | office程序的运行方法及装置、计算机系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103970574A CN103970574A (zh) | 2014-08-06 |
CN103970574B true CN103970574B (zh) | 2017-07-14 |
Family
ID=51240111
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410218521.4A Active CN103970574B (zh) | 2014-05-22 | 2014-05-22 | office程序的运行方法及装置、计算机系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103970574B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106682501A (zh) * | 2016-12-20 | 2017-05-17 | 深圳市九洲电器有限公司 | 机顶盒应用程序管理方法及系统 |
CN107025407A (zh) * | 2017-03-22 | 2017-08-08 | 国家计算机网络与信息安全管理中心 | 一种office文档文件的恶意代码检测方法及系统 |
CN108182363B (zh) * | 2017-12-25 | 2022-01-07 | 安天科技集团股份有限公司 | 嵌入式office文档的检测方法、系统及存储介质 |
CN108830077B (zh) * | 2018-06-14 | 2023-07-18 | 腾讯科技(深圳)有限公司 | 一种脚本检测方法、装置及终端 |
CN110866256A (zh) * | 2019-11-12 | 2020-03-06 | 深信服科技股份有限公司 | 一种宏代码检测方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101425016A (zh) * | 2007-11-01 | 2009-05-06 | 珠海金山软件股份有限公司 | 运行安装软件的方法和系统 |
CN101937500A (zh) * | 2009-06-29 | 2011-01-05 | 深圳市联软科技有限公司 | 一种计算机终端的安全保护方法及系统 |
CN102184356A (zh) * | 2011-04-21 | 2011-09-14 | 奇智软件(北京)有限公司 | 利用沙箱技术进行防御的方法、装置及安全浏览器 |
CN102741824A (zh) * | 2009-12-15 | 2012-10-17 | 迈克菲股份有限公司 | 用于行为沙箱化的系统和方法 |
CN103500104A (zh) * | 2013-09-09 | 2014-01-08 | 北京奇虎科技有限公司 | 一种沙箱界面的实现方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103345603B (zh) * | 2011-12-28 | 2016-08-10 | 北京奇虎科技有限公司 | 基于沙箱技术浏览网页的方法及装置 |
WO2013152431A1 (en) * | 2012-04-12 | 2013-10-17 | Absolute Software Corporation | Configuration of third party applications in a sandboxed environment |
-
2014
- 2014-05-22 CN CN201410218521.4A patent/CN103970574B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101425016A (zh) * | 2007-11-01 | 2009-05-06 | 珠海金山软件股份有限公司 | 运行安装软件的方法和系统 |
CN101937500A (zh) * | 2009-06-29 | 2011-01-05 | 深圳市联软科技有限公司 | 一种计算机终端的安全保护方法及系统 |
CN102741824A (zh) * | 2009-12-15 | 2012-10-17 | 迈克菲股份有限公司 | 用于行为沙箱化的系统和方法 |
CN102184356A (zh) * | 2011-04-21 | 2011-09-14 | 奇智软件(北京)有限公司 | 利用沙箱技术进行防御的方法、装置及安全浏览器 |
CN103500104A (zh) * | 2013-09-09 | 2014-01-08 | 北京奇虎科技有限公司 | 一种沙箱界面的实现方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103970574A (zh) | 2014-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10291634B2 (en) | System and method for determining summary events of an attack | |
US8590041B2 (en) | Application sandboxing using a dynamic optimization framework | |
Heiderich et al. | Scriptless attacks: stealing the pie without touching the sill | |
EP3039608B1 (en) | Hardware and software execution profiling | |
US20170346843A1 (en) | Behavior processing method and device based on application program | |
CN106557701B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
US11882134B2 (en) | Stateful rule generation for behavior based threat detection | |
US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
RU2697954C2 (ru) | Система и способ создания антивирусной записи | |
CN103970574B (zh) | office程序的运行方法及装置、计算机系统 | |
CN109255235B (zh) | 基于用户态沙箱的移动应用第三方库隔离方法 | |
Lim et al. | An Android Application Protection Scheme against Dynamic Reverse Engineering Attacks. | |
US10339305B2 (en) | Sub-execution environment controller | |
CN107330328A (zh) | 防御病毒攻击的方法、装置及服务器 | |
EP2492833A1 (en) | Method and apparatus for detecting malicious software | |
Yang et al. | {Iframes/Popups} Are Dangerous in Mobile {WebView}: Studying and Mitigating Differential Context Vulnerabilities | |
Knittel et al. | Xsinator. com: From a formal model to the automatic evaluation of cross-site leaks in web browsers | |
Onarlioglu et al. | Sentinel: Securing legacy firefox extensions | |
KR102156340B1 (ko) | 웹 페이지 공격 차단 방법 및 장치 | |
Bernardinetti et al. | PEzoNG: Advanced Packer For Automated Evasion On Windows | |
Bousquet et al. | Mandatory access control for the android dalvik virtual machine | |
WO2023031679A1 (en) | Systems and methods for inhibiting exploitations in runtime environments | |
Xuan et al. | DroidPill: Pwn Your Daily-Use Apps | |
US11507673B1 (en) | Adaptive cyber-attack emulation | |
KR102304332B1 (ko) | 웹 페이지 공격 차단 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220726 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
TR01 | Transfer of patent right |