CN105653948B - 一种阻止恶意操作的方法及装置 - Google Patents
一种阻止恶意操作的方法及装置 Download PDFInfo
- Publication number
- CN105653948B CN105653948B CN201410647667.0A CN201410647667A CN105653948B CN 105653948 B CN105653948 B CN 105653948B CN 201410647667 A CN201410647667 A CN 201410647667A CN 105653948 B CN105653948 B CN 105653948B
- Authority
- CN
- China
- Prior art keywords
- function
- application service
- service process
- called
- executed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种阻止恶意操作的方法及装置,属于互联网通信领域。所述方法包括:控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,所述第一动态链接库包括所述系统动态链接库中的每个第二函数对应第一函数;通过所述调用的第一函数获取所述应用服务进程传入给所述调用的第一函数的调用参数;根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作;如果是恶意操作,则阻止所述应用服务进程执行所述待执行的操作。所述装置包括:控制模块、获取模块、确定模块和阻止模块。本发明能够避免漏检恶意操作,以对恶意操作进行阻止。
Description
技术领域
本发明涉及互联网通信领域,特别涉及一种阻止恶意操作的方法及装置。
背景技术
随着互联网技术的快速发展,互联网中的网站越来越多。网站通过其服务器向用户提供各式各样的服务。然而,目前黑客常常利用服务器的漏洞对服务器执行恶意操作来获得非法利益,给网站的安全和正常运营带来威胁。
为了解决上述问题,目前出现了阻止恶意操作的方法,通过该方法可以阻止黑客对服务器执行的恶意操作。该方法可以为:拦截用户发送给服务器的数据包,通过预设的检测策略对该数据包中的数据内容进行分析,以确定该数据包是否为攻击性的数据包,攻击性的数据包用于利用服务器的漏洞控制服务器执行恶意操作;如果是攻击性的数据包,则丢弃该数据包,如果不是攻击性数据包,则转发该数据包给服务器,以使服务器根据该数据包为发送该数据包的用户提供服务。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
由于通过预设的检测策略对该数据包中的数据内容进行分析,如此对数据包的数据内容进行修改,就可以绕过检测策略,以至于无法对黑客的恶意操作进行阻止。
发明内容
为了避免漏检恶意操作,以对恶意操作进行阻止,本发明提供了一种阻止恶意操作的方法及装置。所述技术方案如下:
一种阻止恶意操作的方法,所述方法包括:
控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,所述第一动态链接库包括所述系统动态链接库中的每个第二函数对应第一函数;
通过所述调用的第一函数获取所述应用服务进程传入给所述调用的第一函数的调用参数;
根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作;
如果是恶意操作,则阻止所述应用服务进程执行所述待执行的操作在本发明实施例中,
一种阻止恶意操作的装置,所述装置包括:
控制模块,用于控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,所述第一动态链接库包括所述系统动态链接库中的每个第二函数对应第一函数;
获取模块,用于通过所述调用的第一函数获取所述应用服务进程传入给所述调用的第一函数的调用参数;
确定模块,用于根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作;
阻止模块,用于如果是恶意操作,则阻止所述应用服务进程执行所述待执行的操作。
在本发明实施例中,通过第一动态链接库获取应用服务进程需要调用的第一函数和调用参数,根据该第一函数和调用参数确定应用服务进程待执行的操作是否为恶意操作,如此避免检测不出恶意操作,并对该恶意操作进行阻止,提高了服务器的安全性。
附图说明
图1是本发明实施例1提供的一种阻止恶意操作的方法流程图;
图2-1是本发明实施例2提供的一种阻止恶意操作的方法流程图;
图2-2是本发明实施例2提供的一种应用服务进程调用函数的流程图;
图3是本发明实施例3提供的一种阻止恶意操作的装置结构示意图;
图4是本发明实施例4提供的一种服务器结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
参见图1,本发明实施例提供了一种阻止恶意操作的方法,包括:
步骤101:控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,第一动态链接库包括系统动态链接库中的每个第二函数对应第一函数。
步骤102:通过调用的第一函数获取应用服务进程传入给调用的第一函数的调用参数。
步骤103:根据调用的第一函数和所述调用参数,确定应用服务进程待执行的操作是否为恶意操作。
步骤104:如果是恶意操作,则阻止应用服务进程执行待执行的操作。
优选的,步骤103可以包括:
根据调用的第一函数和该调用参数,确定应用服务进程待执行的操作;
如果应用服务进程对应的合法操作集合中不包括待执行的操作,则确定待执行的操作为恶意操作。
优选的,步骤101可以为:
通过预加载配置文件控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,预加载配置文件用于存储第一动态链接库的地址。
进一步地,该方法还包括:
将预加载配置文件中存储的系统动态链接库的地址修改为第一动态链接库的地址。
优选的,步骤104可以为:
通过调用的第一函数向应用服务进程返回错误响应,以实现阻止应用服务进程执行待执行的操作。
进一步地,该方法还包括:
如果不是恶意操作,则通过调用的第一函数从系统动态链接库调用调用的第一函数对应的第二函数,向应用服务进程返回调用的第二函数,以使应用服务进程根据调用的第二函数执行待执行的操作。
在本发明实施例中,通过第一动态链接库获取应用服务进程需要调用的第一函数和调用参数,根据该第一函数和调用参数确定应用服务进程待执行的操作是否为恶意操作,如此避免检测不出恶意操作,并对该恶意操作进行阻止,提高了服务器的安全性。
实施例2
本发明实施例提供了一种阻止恶意操作的方法。
其中,网站的服务器中包括多个应用服务进程,当用户需要请求服务器提供服务时,用户通过其对应的终端向服务器发送服务请求。服务器接收该服务请求,根据该服务请求所需要请求的服务,从自身包括的应用服务进程中选择用于提供该服务的应用服务进程,然后通过该应用服务进程执行相应操作来为用户提供服务。应用服务进程可能存在漏洞,黑客可以利用该漏洞控制应用服务进程执行恶意操作来获取自身的利益,为了解决该问题需要对该恶意操作进行阻止。
假设,当服务器接收到一个服务请求时,服务器为该服务请求分配应用服务进程,该应用服务进程需要从系统动态链接库中调用函数,其中,系统动态链接库包括的函数都为系统API(Application Programming Interface,应用程序编程接口),该应用服务进程通过调用的函数来执行待执行的操作,以对用户提供服务。在本发明实施例中,在该应用服务进程执行待执行的操作之前,可以通过如下步骤来检测应用服务进程待执行的操作是否为恶意操作,如果是,阻止应用服务进程执行该恶意操作。
参见图2-1,该方法包括:
步骤201:控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,第一动态链接库包括系统动态链接库中的每个第二函数对应的第一函数。
服务器的操作系统中包括系统动态链接库,系统动态链接库中包括多个第二函数,这些第二函数都为系统API,每个第二函数用于执行某一种或多种操作。应用服务进程如果需要执行某个操作,则应用服务进程必需到系统动态链接库中调用相应的第二函数,然后向调用的第二函数传入调用参数,运行调用的第二函数,使调用的第二函数根据该调用参数来执行该操作。
例如,系统动态链接库中的第二函数包括用于文件读写的open(),用于内存分配的mmap()、用于网络连接的函数和用于进程派生的函数。用于网络连接的函数包括socket()和connect(),用于进程派生的函数包括execv()、execvp()、exeve()、exec()、execle()和execlp()。如果应用服务进程需要读取某个文件,则应用服务进程需要到系统动态链接库中调用用于文件读写的open(),然后将需要读取的该文件的存储路径传入调用的open(),该文件的存储路径即为调用参数,运行调用的open(),调用的open()根据该文件的存储路径读取该文件,将读取的该文件返回给应用服务进程。
在本发明实施例中,为系统动态链接库中的每个第二函数开发对应的一个第一函数,并事先将每个第二函数对应的第一函数存储在第一动态链接库中。对于每个第二函数,该第二函数对应的第一函数的函数标识和名称分别与该第二函数的函数标识和名称相同,但该第二函数实现的功能与该第二函数对应的第一函数实现的功能不同。对于每个第二函数对应的第一函数,通过运行该第一函数能够获取应用服务进程传入的调用参数,确定应用服务进程待执行的操作,如果待执行的操作为恶意操作,则可以阻止该恶意操作的执行,如果待执行的操作不是恶意操作,则可以从系统动态链接库中调用该第一函数对应的第二函数,并使应用服务进程通过该第二函数执行待执行的操作。
例如,对于系统动态链接库中的open()、mmap()和exec()等第二函数,第二函数open()对应的第一函数为open(),第二函数mmap()对应的第一函数为mmap(),第二函数exec()对应的第一函数为exec()。虽然第二函数的名称与该第二函数对应的第一函数的名称相同,但两者实现的功能完全不同。例如,第二函数open()用于读写文件,而第二函数open()对应的第一函数open()用于接收应用服务进程传入的调用参数,确定应用服务进程待执行的操作,如果待执行的操作为恶意操作,则阻止该恶意操作的执行,如果待执行的操作不是恶意操作,则第一函数open()调用其对应的第二函数open()给应用服务进程,以使应用服务进程通过第二函数open()读写文件。再如,第二函数exec()用于派生进程,而第二exec()对应的第一函数exec()用于接收应用服务进程传入的调用参数,确定应用服务进程待执行的操作,如果待执行的操作为恶意操作,则阻止该恶意操作的执行,如果待执行的操作不是恶意操作,则第一函数exec()调用其对应的第二函数exec()给应用服务进程,以使应用服务进程通过第二函数exec()派生一个新进程。对于其他的每个第二函数以及该第二函数对应的第一函数的含义同上述两函数一样,就不一一描述。
本步骤可以为:通过预加载配置文件控制应用服务进程从第一动态链接库中调用待调用的第一函数,预加载配置文件用于存储第一动态链接库的地址。
其中,当应用服务进程需要调用系统动态链接库中的第二函数时,应用服务进程先从预加载配置文件中读取预加载配置文件存储的动态链接库的地址,根据读取的动态链接库的地址向对应的动态链接库发起调用请求,该调用请求携带待调用的函数标识,并从该动态链接库中调用待调用的函数标识对应的函数。
其中,最初始预加载配置文件用于存储系统动态链接库的地址,在执行本步骤之前,先将预加载配置文件中存储的系统动态链接库的地址修改为第一动态链接库的地址。如此,参见图2-2,在本发明实施例中,当应用服务进程需要从系统动态链接库中调用第二函数时,先从预加载配置文件中读取到第一动态链接库的地址,根据第一动态链接库的地址发送调用请求给第一动态链接库,该调用请求携带待调用的函数标识,并从第一动态链接库中调用待调用的标识对应的第一函数。
步骤202:通过调用的第一函数获取应用服务进程传入给调用的第一函数的调用参数。
其中,服务器为服务请求分配应用服务进程后,应用服务进程根据该服务请求所需要请求的服务生成调用参数。然后应用服务进程调用第一函数,运行该第一函数并将调用参数传入给第一函数。该第一函数被运行后,可以接收应用服务进程传入的调用参数。例如,假设应用服务进程需要读取某文件,则该文件的存储路径即为调用参数,该应用服务进程从预加载配置文件中读取到第一动态链接库的地址,根据第一动态链接库的地址定位出第一动态链接库,从第一动态链接库中调用待调用的函数标识对应的第一函数为open(),运行第一函数open()并将该文件的存储路径传入给第一函数open(),第一函数open()接收该文件的存储路径。
步骤203:根据调用的该第一函数和该调用参数,确定应用服务进程待执行的操作。
具体地,获取调用的该第一函数对应的第二函数,确定该第二函数所实现的功能,根据该功能和该调用参数,确定应用服务进程待执行的操作。
其中,在该第一函数被运行时,该第一函数可以获得自身对应的第二函数所需要实现的功能,根据该功能对该调用参数进行分析,可以确定出应用服务进程待执行的操作。
例如,第一函数open()对应的第二函数open(),第二函数open()所要实现的功能为读写文件。假设第一函数open()接收该文件的存储路径为非web(网页)根目录下的存储路径,则根据第二函数open()所要实现的功能和该文件的存储路径可以确定应用服务进程待执行的操作为读写非web根目录下的文件。
再如,假设应用服务进程需要派生一个新进程,调用参数为该新进程的进程句柄。以及,假设在步骤202中应用服务进程调用的第一函数为exec(),以及传入第一函数exec()的调用参数为该新进程的进程句柄。而第一函数exec()对应的第二函数exec()所要实现的功能为派生进程,所以根据第二函数exec()所要实现的功能和该调用参数可以确定出应用服务进程待执行的操作为派生一个新进程。
步骤204:获取该应用服务进程对应的合法操作集合。
其中,每个网站的服务器中包括至少一个应用服务进程,每个应用服务进程对应一个合法操作集合,该合法操作集合包括该应用服务进程对应的合法操作,这些合法操作都是由技术人员事先定义的,通过这些合法操作为用户提供服务。且定义每个应用服务进程对应的合法操作集合后,可以将每个应用服务进程的进程标识与每个应用服务进程对应的合法操作集合存储在进程标识与合法操作集合的对应关系中。
本步骤可以为:获取该应用服务进程的进程标识,根据该应用服务进程的进程标识,从进程标识与合法操作集合的对应关系中获取该应用服务进程对应的合法操作集合。
步骤205:如果该应用服务进程对应的合法操作集合中不包括待执行的操作,则确定待执行的操作为恶意操作,执行步骤206。
其中,应用服务进程可能存在漏洞,黑客可以利用该漏洞控制应用服务进程执行除该应用服务进程对应的合法操作以外的其他操作,以获得自身所需要的利益,该其他操作即为恶意操作,需要对其进行阻止。所以当待执行的操作不在该应用服务进程对应的合法操作集合中,则可以确定待执行的操作为恶意操作。
例如,假设该应用服务进程对应的合法操作集合中只包括读写web根目录下的文件。如果该应用服务进程存在漏洞,黑客可以通过该漏洞控制应用服务进程读写非web根目录下的文件,即在步骤203中确定出该应用服务进程待执行的操作为读写非web根目录下的文件,而该应用服务进程对应的合法操作集合中不包括待执行的操作,所以可以确定待执行的操作为恶意操作。
再如,假设该应用服务对应的合法操作集合中不包括派生新进程的操作。如果该应用服务进程存在漏洞,黑客可以通过该漏洞控制应用服务进程派生新进程,即在步骤203中获取的待执行的操作为派生新进程,所以可以确定待执行的操作为恶意操作。
步骤206:阻止该应用服务进程执行待执行的操作。
具体地,通过调用的第一函数向该应用服务进程返回错误响应,而应用服务进程接收该错误响应后无法继续执行操作,从而达到阻止该应用服务进程执行待执行的操作的目的。
其中,如果待执行的操作不是恶意操作,则通过调用的第一函数从系统动态链接库中调用该调用的第一函数对应的第二函数,向该应用服务进程返回调用的第二函数。应用服务进程向调用的第二函数传入调用参数,运行调用的第二函数,根据该调用参数并通过调用的第二函数执行待执行的操作,以为用户提供服务。
在本发明实施例中,通过第一动态链接库获取应用服务进程需要调用的第一函数和调用参数,根据该第一函数和调用参数确定应用服务进程待执行的操作,由于事先定义了应用服务进程对应的合法操作集合,如果该合法操作集合中不包括待执行的操作,则可以确定出待执行的操作为恶意操作,避免检测不出恶意操作,并对该恶意操作进行阻止,提高了服务器的安全性。另外,在应用服务进程执行操作之前进行恶意操作的检测,从而能实时检测出恶意操作,做到实时阻断的目的。以及,只对应用服务进程进行安全检测,不会响应服务器的系统应用的正常运行。
实施例3
参见图3,本发明实施例提供了一种阻止恶意操作的装置,包括:
控制模块301,用于控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,第一动态链接库包括系统动态链接库中的每个第二函数对应第一函数;
获取模块302,用于通过调用的第一函数获取应用服务进程传入给调用的第一函数的调用参数;
确定模块303,用于根据调用的第一函数和该调用参数,确定应用服务进程待执行的操作是否为恶意操作;
阻止模块304,用于如果是恶意操作,则阻止应用服务进程执行待执行的操作。
优选的,确定模块303包括:
第一确定单元,用于根据调用的第一函数和该调用参数,确定应用服务进程待执行的操作;
第二确定单元,用于如果应用服务进程对应的合法操作集合中不包括待执行的操作,则确定待执行的操作为恶意操作。
优选的,控制模块301,用于通过预加载配置文件控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,预加载配置文件用于存储第一动态链接库的地址。
进一步地,该装置还包括:
修改模块,用于将预加载配置文件中存储的系统动态链接库的地址修改为第一动态链接库的地址。
优选的,阻止模块304,用于通过调用的第一函数向应用服务进程返回错误响应,以实现阻止应用服务进程执行待执行的操作。
进一步地,该装置还包括:
调用模块,用于如果不是恶意操作,则通过调用的第一函数从系统动态链接库调用调用的第一函数对应的第二函数,向应用服务进程返回调用的第二函数,以使应用服务进程根据调用的第二函数执行待执行的操作。
在本发明实施例中,通过第一动态链接库获取应用服务进程需要调用的第一函数和调用参数,根据该第一函数和调用参数确定应用服务进程待执行的操作,由于事先定义了应用服务进程对应的合法操作集合,如果该合法操作集合中不包括待执行的操作,则可以确定出待执行的操作为恶意操作,避免检测不出恶意操作,并对该恶意操作进行阻止,提高了服务器的安全性。另外,在应用服务进程执行操作之前进行恶意操作的检测,从而能实时检测出恶意操作,做到实时阻断的目的。以及,只对应用服务进程进行安全检测,不会响应服务器的系统应用的正常运行。
实施例4
图4是本发明实施例提供的服务器的结构示意图。服务器1900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)1922(例如,一个或一个以上处理器)和存储器1932,一个或一个以上存储应用程序1942或数据1944的存储介质1930(例如一个或一个以上海量存储设备)。其中,存储器1932和存储介质1930可以是短暂存储或持久存储。存储在存储介质1930的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1922可以设置为与存储介质1930通信,在服务器1900上执行存储介质1930中的一系列指令操作。
服务器1900还可以包括一个或一个以上电源1926,一个或一个以上有线或无线网络接口1950,一个或一个以上输入输出接口1958,一个或一个以上键盘1956,和/或,一个或一个以上操作系统1941,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
服务器1900可以包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行以下操作的指令:
控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,所述第一动态链接库包括所述系统动态链接库中的每个第二函数对应第一函数;
通过所述调用的第一函数获取所述应用服务进程传入给所述调用的第一函数的调用参数;
根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作;
如果是恶意操作,则阻止所述应用服务进程执行所述待执行的操作。
优选的,所述根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作,包括:
根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作;
如果所述应用服务进程对应的合法操作集合中不包括所述待执行的操作,则确定所述待执行的操作为恶意操作。
优选的,所述控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,包括:
通过预加载配置文件控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数,所述预加载配置文件用于存储所述第一动态链接库的地址。
进一步地,还包括:
将所述预加载配置文件中存储的系统动态链接库的地址修改为所述第一动态链接库的地址。
优选的,所述阻止所述应用服务进程执行所述待执行的操作,包括:
通过所述调用的第一函数向所述应用服务进程返回错误响应,以实现阻止所述应用服务进程执行所述待执行的操作。
进一步地,还包括:
如果不是恶意操作,则通过所述调用的第一函数从所述系统动态链接库调用所述调用的第一函数对应的第二函数,向所述应用服务进程返回所述第二函数,以使所述应用服务进程根据所述第二函数执行待执行的操作。
在本发明实施例中,通过第一动态链接库获取应用服务进程需要调用的第一函数和调用参数,根据该第一函数和调用参数确定应用服务进程待执行的操作,由于事先定义了应用服务进程对应的合法操作集合,如果该合法操作集合中不包括待执行的操作,则可以确定出待执行的操作为恶意操作,避免检测不出恶意操作,并对该恶意操作进行阻止,提高了服务器的安全性。另外,在应用服务进程执行操作之前进行恶意操作的检测,从而能实时检测出恶意操作,做到实时阻断的目的。以及,只对应用服务进程进行安全检测,不会响应服务器的系统应用的正常运行。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种阻止恶意操作的方法,其特征在于,所述方法包括:
将为系统动态链接库中的第二函数开发的第一函数存储在第一动态链接库中,所述第二函数对应的第一函数的函数标识和名称分别与所述第二函数的函数标识和名称相同,所述第二函数实现的功能与所述第二函数对应的第一函数实现的功能不同;
将预加载配置文件中存储的系统动态链接库的地址修改为所述第一动态链接库的地址;
通过所述预加载配置文件控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数;
通过所述调用的第一函数获取所述应用服务进程传入给所述调用的第一函数的调用参数;
根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作;
如果是恶意操作,则通过调用的第一函数向所述应用服务进程返回错误响应,其中所述应用服务进程接收所述错误响应无法继续执行操作,以阻止所述应用服务进程执行所述待执行的操作,如果不是恶意操作,则通过所述调用的第一函数从所述系统动态链接库调用所述调用的第一函数对应的第二函数,向所述应用服务进程返回所述第二函数,以使所述应用服务进程向调用的第二函数传入调用参数,运行调用的第二函数,根据调用参数并根据所述调用参数通过所述第二函数执行待执行的操作。
2.如权利要求1所述的方法,其特征在于,所述根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作,包括:
根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作;
如果所述应用服务进程对应的合法操作集合中不包括所述待执行的操作,则确定所述待执行的操作为恶意操作。
3.如权利要求1所述的方法,其特征在于,所述阻止所述应用服务进程执行所述待执行的操作,包括:
通过所述调用的第一函数向所述应用服务进程返回错误响应,以实现阻止所述应用服务进程执行所述待执行的操作。
4.一种阻止恶意操作的装置,其特征在于,所述装置包括:
所述装置用于将为系统动态链接库中的第二函数开发的第一函数存储在第一动态链接库中,所述第二函数对应的第一函数的函数标识和名称分别与所述第二函数的函数标识和名称相同,所述第二函数实现的功能与所述第二函数对应的第一函数实现的功能不同;
修改模块,用于将预加载配置文件中存储的系统动态链接库的地址修改为所述第一动态链接库的地址;
控制模块,用于通过所述预加载配置文件控制应用服务进程从第一动态链接库中调用待调用的函数标识对应的第一函数;
获取模块,用于通过所述调用的第一函数获取所述应用服务进程传入给所述调用的第一函数的调用参数;
确定模块,用于根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作是否为恶意操作;
阻止模块,用于如果是恶意操作,则通过调用的第一函数向所述应用服务进程返回错误响应,其中所述应用服务进程接收所述错误响应无法继续执行操作,以阻止所述应用服务进程执行所述待执行的操作;
调用模块,用于如果不是恶意操作,则通过所述调用的第一函数从所述系统动态链接库调用所述调用的第一函数对应的第二函数,向所述应用服务进程返回所述第二函数,以使所述应用服务进程向调用的第二函数传入调用参数,运行调用的第二函数,根据调用参数并根据所述调用参数通过所述第二函数执行待执行的操作。
5.如权利要求4所述的装置,其特征在于,所述确定模块包括:
第一确定单元,用于根据所述调用的第一函数和所述调用参数,确定所述应用服务进程待执行的操作;
第二确定单元,用于如果所述应用服务进程对应的合法操作集合中不包括所述待执行的操作,则确定所述待执行的操作为恶意操作。
6.如权利要求4所述的装置,其特征在于,
所述阻止模块,用于通过所述调用的第一函数向所述应用服务进程返回错误响应,以实现阻止所述应用服务进程执行所述待执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410647667.0A CN105653948B (zh) | 2014-11-14 | 2014-11-14 | 一种阻止恶意操作的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410647667.0A CN105653948B (zh) | 2014-11-14 | 2014-11-14 | 一种阻止恶意操作的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105653948A CN105653948A (zh) | 2016-06-08 |
CN105653948B true CN105653948B (zh) | 2020-04-24 |
Family
ID=56479833
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410647667.0A Active CN105653948B (zh) | 2014-11-14 | 2014-11-14 | 一种阻止恶意操作的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105653948B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107247901B (zh) * | 2016-11-24 | 2020-01-14 | 北京瑞星网安技术股份有限公司 | Linux函数劫持方法及装置 |
CN107256349B (zh) * | 2017-06-13 | 2020-02-28 | 广州阿里巴巴文学信息技术有限公司 | 动态库防盗用方法、装置、电子设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
CN101005497A (zh) * | 2006-11-27 | 2007-07-25 | 科博技术有限公司 | 一种阻止恶意代码入侵的系统及方法 |
CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101086203B1 (ko) * | 2011-07-15 | 2011-11-23 | 에스지에이 주식회사 | 악성 프로세스의 행위를 판단하여 사전에 차단하는 악성프로세스 사전차단 시스템 및 방법 |
-
2014
- 2014-11-14 CN CN201410647667.0A patent/CN105653948B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
CN101005497A (zh) * | 2006-11-27 | 2007-07-25 | 科博技术有限公司 | 一种阻止恶意代码入侵的系统及方法 |
CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105653948A (zh) | 2016-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
US9594912B1 (en) | Return-oriented programming detection | |
US9973531B1 (en) | Shellcode detection | |
US9686303B2 (en) | Web page vulnerability detection method and apparatus | |
US10565373B1 (en) | Behavioral analysis of scripting utility usage in an enterprise | |
JP5094928B2 (ja) | 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置 | |
US10341365B1 (en) | Methods and system for hiding transition events for malware detection | |
WO2016160599A1 (en) | System and method for threat-driven security policy controls | |
WO2016160595A1 (en) | System and method for threat-driven security policy controls | |
US10867050B2 (en) | Method and apparatus for generating dynamic security module | |
US11588851B2 (en) | Detecting device masquerading in application programming interface (API) transactions | |
US20150128206A1 (en) | Early Filtering of Events Using a Kernel-Based Filter | |
CN104182688A (zh) | 基于动态激活及行为监测的Android恶意代码检测装置和方法 | |
CN110197075B (zh) | 资源访问方法、装置、计算设备以及存储介质 | |
US11528257B1 (en) | Identifying and removing a tracking capability from an external domain that performs a tracking activity on a host web page | |
WO2015109912A1 (zh) | 缓冲区溢出攻击检测装置、方法和安全防护系统 | |
CN110545269A (zh) | 访问控制方法、设备及存储介质 | |
US9942267B1 (en) | Endpoint segregation to prevent scripting attacks | |
CN105653948B (zh) | 一种阻止恶意操作的方法及装置 | |
CN106911635B (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
JP2018081514A (ja) | マルウェアの解析方法及び記憶媒体 | |
CN114793171B (zh) | 访问请求的拦截方法、装置、存储介质及电子装置 | |
US11930019B2 (en) | Methods and systems for fast-paced dynamic malware analysis | |
US10044728B1 (en) | Endpoint segregation to prevent scripting attacks | |
US8676884B2 (en) | Security configuration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |