CN105868632B - 一种拦截释放dhcp的方法及装置 - Google Patents
一种拦截释放dhcp的方法及装置 Download PDFInfo
- Publication number
- CN105868632B CN105868632B CN201610247825.2A CN201610247825A CN105868632B CN 105868632 B CN105868632 B CN 105868632B CN 201610247825 A CN201610247825 A CN 201610247825A CN 105868632 B CN105868632 B CN 105868632B
- Authority
- CN
- China
- Prior art keywords
- program
- function
- target program
- dhcp
- process path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种拦截释放DHCP的方法及装置,该方法中,当检测到目标程序对第一函数的调用请求时,判断调用请求是否为通过调用第一函数以释放动态主机配置协议DHCP的请求,当判断结果为是时,获取目标程序的进程路径,根据所获取的进程路径,判断目标程序是否为恶意程序,当判断结果为是时,不调用执行第一函数。本发明实施例中,在检测到目标程序对第一函数的调用请求为释放动态主机配置协议DHCP的请求时,通过获取发出调用请求的目标程序的进程路径的方式,确定目标程序是否为恶意程序,并在是的情况下,不调用执行第一函数,从而使得第一函数不再向子系统发送释放DHCP消息,实现了对恶意程序释放DHCP断网的拦截,避免了恶意程序对系统安全的破坏。
Description
技术领域
本发明涉及系统安全技术领域,特别是涉及一种拦截释放DHCP的方法及装置。
背景技术
随着互联网技术发展,病毒和木马等恶意程序层出不穷。目前病毒查杀软件均为可联网至服务器的查杀软件,在查杀恶意程序时,除了使用本地病毒库外,还需联网才可判断一些新类未知文件是否为恶意程序,因此联网对于病毒查杀软件来说十分重要,如果断网,病毒查杀软件将无法识别未存在于本地病毒库中的病毒。
因此,目前个别恶意程序在做恶意行为之前会先将病毒查杀软件的网络断开,由此,即可轻易绕过病毒查杀软件的防御,破坏系统的安全。恶意程序常用的使网络断开的方法为释放动态主机配置协议DHCP,释放了DHCP后,病毒查杀软件将无法联网,恶意程序即可破坏系统安全。因此,亟需一种针对恶意程序利用释放DHCP断网的拦截方法。
发明内容
本发明实施例的目的在于提供一种拦截释放DHCP的方法及装置,以实现对恶意程序释放DHCP断网的拦截。具体技术方案如下:
一种拦截释放DHCP的方法,所述方法包括:
当检测到目标程序对第一函数的调用请求时,判断所述调用请求是否为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,其中,所述第一函数为用于利用本地过程调用LPC向执行释放DHCP的子系统发送消息的函数;
当判断结果为是时,获取所述目标程序的进程路径;
根据所获取的进程路径,判断所述目标程序是否为恶意程序;
当判断结果为是时,不调用执行所述第一函数。
可选的,所述根据所获取的进程路径,判断所述目标程序是否为恶意程序之后,所述方法还包括:
当判断结果为否时,调用执行所述第一函数。
可选的,所述判断所述调用请求是否为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,包括:
判断所述调用请求中传递的端口句柄是否为DHCP端口的句柄且传递的消息数据是否为关于释放DHCP的字段值,如果是,表明所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求。
可选的,根据挂钩方式检测目标程序对第一函数的调用请求。
可选的,所述获取所述目标程序的进程路径,包括:
调用PsGetCurrentProcessId函数和ZwQueryInformationProces函数,获取所述目标程序的进程路径。
可选的,所述根据所获取的进程路径,判断所述目标程序是否为恶意程序,包括:
将所获取的进程路径发送给文件查杀引擎;
接收文件查杀引擎根据所获取的进程路径反馈的目标程序的类型;
根据所接收到的目标程序的类型确定所述目标程序是否为恶意程序。
可选的,所述根据所接收到的目标程序的类型确定所述目标程序是否为恶意程序,包括:
判断所接收到的目标程序的类型是否为未知程序类型或危险程序类型;
如果是,确定所述目标程序为恶意程序。
可选的,所述根据所获取的进程路径,判断所述目标程序是否为恶意程序,包括:
根据所获取的进程路径,调用GetFileInfoVersion函数获取目标程序的程序来源信息;
根据所获取的程序来源信息确定所述目标程序是否为恶意程序。
一种拦截释放DHCP的装置,所述装置包括:
请求判断模块,用于当检测到目标程序对第一函数的调用请求时,判断所述调用请求是否为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,其中,所述第一函数为用于利用本地过程调用LPC向执行释放DHCP的子系统发送消息的函数;
进程路径获取模块,用于在判断所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求的情况下,获取所述目标程序的进程路径;
恶意程序判断模块,用于根据所获取的进程路径,判断所述目标程序是否为恶意程序;
第一处理模块,用于在当判断所述目标程序为恶意程序的情况下,不调用执行所述第一函数。
可选的,所述装置还包括:
第二处理模块,用于当根据所获取的进程路径,判断所述目标程序不是恶意程序的情况下,调用执行所述第一函数。
可选的,所述请求判断模块,具体用于:
当检测到目标程序对第一函数的调用请求时,判断所述调用请求中传递的端口句柄是否为DHCP端口的句柄且传递的消息数据是否为关于释放DHCP的字段值,如果是,表明所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,其中,所述第一函数为用于利用LPC向执行释放DHCP的子系统发送消息的函数。
可选的,根据挂钩方式检测目标程序对第一函数的调用请求。
可选的,所述进程路径获取模块,具体用于:
在判断所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求的情况下,调用PsGetCurrentProcessId函数和ZwQueryInformationProces函数,获取所述目标程序的进程路径。
可选的,所述恶意程序判断模块,包括:
发送单元,用于将所获取的进程路径发送给文件查杀引擎;
接收单元,用于接收文件查杀引擎根据所获取的进程路径反馈的目标程序的类型;
第一确定单元,用于根据所接收到的目标程序的类型确定所述目标程序是否为恶意程序。
可选的,所述第一确定单元,具体用于:
判断所接收到的目标程序的类型是否为未知程序类型或危险程序类型;
如果是,确定所述目标程序为恶意程序。
可选的,所述恶意程序判断模块,包括:
来源信息获取单元,用于根据所获取的进程路径,调用GetFileInfoVersion函数获取目标程序的程序来源信息;
第二确定单元,用于根据所获取的程序来源信息确定所述目标程序是否为恶意程序。
本发明实施例中,在检测到目标程序对第一函数的调用请求为释放动态主机配置协议DHCP的请求时,通过获取发出调用请求的目标程序的进程路径的方式,确定目标程序是否为恶意程序,并在是的情况下,不调用执行第一函数,从而使得第一函数不再向子系统发送释放DHCP消息,实现了对恶意程序释放DHCP断网的拦截,避免了恶意程序对系统安全的破坏。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种拦截释放DHCP的方法的第一种流程示意图;
图2为本发明实施例提供的一种拦截释放DHCP的方法的第二种流程示意图;
图3为本发明实施例提供的一种拦截释放DHCP的方法的第三种流程示意图;
图4为本发明实施例提供的一种拦截释放DHCP的方法的第四种流程示意图;
图5为本发明实施例提供的一种拦截释放DHCP的装置的第一种结构示意图;
图6为本发明实施例提供的一种拦截释放DHCP的装置的第二种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术问题,本发明实施例提供了一种拦截释放DHCP的方法及装置。
下面首先对本发明实施例所提供的一种拦截释放DHCP的方法进行介绍。
需要说明的是,本发明实施例所提供的一种拦截释放DHCP的方法应用于电子设备。在实际应用中,该电子设备可以为智能手机、平板电脑、笔记本电脑等,这都是合理的。
另外,本发明实施例所提供的一种拦截释放DHCP的方法执行主体可以为一种拦截释放DHCP的装置,该拦截释放DHCP的装置可以为独立的客户端软件,此时,该独立的客户端软件可以通过执行本实施例所提供方法来避免恶意程序释放DHCP断网,或者,该拦截释放DHCP的装置可以为某一客户端软件中的插件,此时,通过该插件执行本实施例所提供方法使得该客户端软件能够避免被恶意程序释放DHCP断网。
如图1所示,本发明实施例提供的一种拦截释放DHCP的方法,应用于电子设备,可以包括:
S101:当检测到目标程序对第一函数的调用请求时,判断调用请求是否为通过调用第一函数以释放动态主机配置协议DHCP的请求,如果是,执行步骤S102,如果否,不做处理。
其中,第一函数为用于利用LPC向执行释放DHCP的子系统发送消息的函数。
目前个别恶意程序在做恶意行为之前会通过释放动态主机配置协议DHCP的方式将网络断开。当恶意程序在释放DHCP时,会调用可以利用本地过程调用LPC向执行释放DHCP的子系统发送消息的第一函数,该第一函数可以为NtrequestWaitReplyPort函数,通过调用该第一函数完成DHCP的释放。
其中,DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,其主要有两个用途,一个用途为自动给内部网络或网络服务供应商分配IP地址,另一个用途为可对所有服务器作管理,可见,释放DHCP即可使软件断网。
软件中包括多个子系统,各子系统执行不同的功能,LPC(Local Procedure Call,本地过程调用)用于软件中的各子系统之间的通讯,LPC的基础是RPC(Remote ProcedureCall,远程过程调用),RPC是Unix上用于运行在两台计算机上的进程之间的通讯。LPC用于在同一台计算机上运行的进程之间的通讯,因此,通过LPC即可向软件中的子系统发送消息。
由于一般函数的功能有多种,所以在检测到目标程序对第一函数的调用请求时,还需要判断调用请求是否为通过调用第一函数以释放动态主机配置协议DHCP的请求,然后根据判断结果进行不同的操作。
S102:获取目标程序的进程路径。
为了进一步确定目标程序是否为恶意程序,需要获知目标程序的相关信息,通过目标程序的相关信息来确定目标程序是否为恶意程序。一般可以通过获取目标程序的进程路径的方式,找到目标程序所在的位置,从而获取目标程序的数据。
因此,在判断调用请求为通过调用第一函数以释放动态主机配置协议DHCP的请求的情况下,可以通过获取目标程序的进程路径的方式来判断目标程序是否为恶意程序。
S103:根据所获取的进程路径,判断目标程序是否为恶意程序,如果是,执行步骤S104。
根据所获取的进程路径,获取目标程序的相关信息,根据所获取的目标程序的相关信息判断发出调用请求的目标程序是否为恶意程序,并根据判断结果,执行后续步骤。
S104:不调用执行第一函数。
为了防止恶意程序通过释放DHCP的方式来断网,在确定目标程序为恶意程序时,不调用执行第一函数,第一函数便不可利用LPC向执行释放DHCP的子系统发送消息,由此,恶意程序释放DHCP失败,保护了网络不再断开。
本发明实施例中,在检测到目标程序对第一函数的调用请求为释放动态主机配置协议DHCP的请求时,通过获取发出调用请求的目标程序的进程路径的方式,确定目标程序是否为恶意程序,并在是的情况下,不调用执行第一函数,从而使得第一函数不再向子系统发送释放DHCP消息,实现了对恶意程序释放DHCP断网的拦截,避免了恶意程序对系统安全的破坏。
在图1所示实施例的基础上,如图2所示,本发明实施例提供的一种拦截释放DHCP的方法,应用于电子设备,还可以包括:
S105:当S103的判断结果为否时,调用执行第一函数。
在确定目标程序不为恶意程序的情况下,调用执行第一函数,第一函数利用LPC向执行释放DHCP的子系统发送消息,从而完成DHCP的释放,此时,网络断开。
由此,在确定目标程序不为恶意程序的情况下,即可成功释放DHCP断网。
具体的,判断调用请求是否为通过调用第一函数以释放动态主机配置协议DHCP的请求,可以包括:
判断调用请求中传递的端口句柄是否为DHCP端口的句柄且传递的消息数据是否为关于释放DHCP的字段值,如果是,表明所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求。
其中,端口句柄可以理解为端口标识,通过判断调用请求中传递的端口是DHCP端口,即可确定为向DHCP端口发送消息。具体的,DHCP端口的名称为“\\RPC Control\\dhcpcsvc”,通过ObReferenceObjectByName函数可获得调用请求中传递的端口的名称,当调用请求中传递的端口的名称与DHCP端口的名称匹配时,即可确定为向DHCP端口发送消息。
在确定为向DHCP端口发送消息后,还需要进一步确定调用请求中传递的消息数据是否为关于释放DHCP的字段值,如果是,即可确定该调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求。具体的,将调用请求中传递的PPORT_MESSAGE结构类型的消息数据,通过数据转换为PDHCP_MESSAGE类型后,获取消息数据的MsgId字段值,如果该字段值为DHCP_RELEASE_PORT_ID,即可确定该消息数据为释放DHCP的消息。
具体的,根据挂钩方式检测目标程序对第一函数的调用请求。
在检测目标程序对第一函数的调用请求时,可以定义一个钩子函数,在这种挂钩形式中,钩子函数不具有利用本地过程调用LPC向执行释放DHCP的子系统发送消息的功能,所以在钩子函数中判断目标程序是否为恶意程序后,钩子函数需要执行是否继续调用第一函数。
当第一函数为NtRequestWaitReplyPort函数时,具体的定义钩子函数的过程可以为:找到系统服务描述符表SSDT的NtRequestWaitReplyPort函数,保存原始NtRequestWaitReplyPort函数地址,定义一个NewNtRequestWaitReplyPort函数替换原始NtRequestWaitReplyPort函数地址,实现了NewNtRequestWaitReplyPort函数的挂钩,此时,定义的钩子函数为NewNtRequestWaitReplyPort。
其中,SSDT(System Services Descriptor Table,系统服务描述符表)用于把ring3的Win32API和ring0的内核API联系起来,使得软件的应用层与驱动层可以相互通信。下面通过一具体实施例对通过挂钩方式拦截恶意程序释放DHCP的方法进行详细描述:
例如:第一函数为NtRequestWaitReplyPort函数,钩子函数为NewNtRequestWaitReplyPort函数.
DHCP被恶意程序释放的过程:
恶意程序调起系统的Ipconfig等命令,内核层调用NtRequestWaitReplyPort函数,NtRequestWaitReplyPort函数调用LPC向执行释放DHCP的子系统发送消息,由此完成DHCP的释放,恶意程序执行断网成功。
拦截恶意程序释放DHCP的过程:
恶意程序调起系统的Ipconfig等命令,内核层调用钩子函数NewNtRequestWaitReplyPort,钩子函数NewNtRequestWaitReplyPort获取恶意程序的进程路径,在确定为恶意程序后,内核层不调用NtRequestWaitReplyPort函数,恶意程序执行断网失败。
具体的,获取目标程序的进程路径,可以包括:
调用PsGetCurrentProcessId函数和ZwQueryInformationProces函数,获取所述目标程序的进程路径。
需要说明的是,根据所获取的进程路径,判断目标程序是否为恶意程序的具体实现方式存在多种,下面进行举例介绍。
在一种实现方式中,如图3所示,根据所获取的进程路径,判断目标程序是否为恶意程序(S103),可以包括:
S1031:将所获取的进程路径发送给文件查杀引擎。
将所获取的进程路径发送给文件查杀引擎,文件查杀引擎即可根据该进程路径获取目标程序的相关信息,通过将对目标程序的相关信息进行分析,确定目标程序是否为恶意程序。
S1032:接收文件查杀引擎根据所获取的进程路径反馈的目标程序的类型。
接收文件查杀引擎反馈的确定的目标程序的类型,其中,在文件查杀引擎中,通过对目标程序的相关信息的分析,可以确定目标程序的类型。
S1033:根据所接收到的目标程序的类型确定目标程序是否为恶意程序。
由此,通过将所获取的进程路径发送给文件查杀引擎的方式,确定目标程序是否为恶意程序。
具体的,根据所接收到的目标程序的类型确定目标程序是否为恶意程序,可以包括:
判断所接收到的目标程序的类型是否为未知程序类型或危险程序类型;
如果是,确定目标程序为恶意程序。
具体的,在文件查杀引擎中,通过对目标程序的相关信息的分析,可以确定目标程序的类型为安全程序类型、未知程序类型或危险程序类型,当所接收到的目标程序的类型为安全程序类型时,确定目标程序不是恶意程序,当所接收到的目标程序的类型为未知程序类型或危险程序类型时,确定目标程序为恶意程序。
在另一种实现方式中,如图4所示,根据所获取的进程路径,判断目标程序是否为恶意程序(S103),可以包括:
S1034:根据所获取的进程路径,调用GetFileInfoVersion函数获取目标程序的程序来源信息;
在判断一个程序是否为恶意程序时,还可以通过判断该程序的来源信息是否安全来确定,因此,根据所获取的进程路径,可以找到目标程序所在的位置,进一步通过调用GetFileInfoVersion函数获取目标程序的程序来源信息。
S1035:根据所获取的程序来源信息确定目标程序是否为恶意程序。
如果所获取的程序来源信息安全,则确定目标程序为安全程序,如果所获取的程序来源信息不安全,则确定目标程序为恶意程序。
由此,通过根据所获取的进程路径,获取目标程序的程序来源信息的方式确定目标程序是否为恶意程序。
相对于上述方法实施例,本发明实施例还提供了一种拦截释放DHCP的装置,应用于电子设备,如图5所示,该装置可以包括:
请求判断模块201,用于当检测到目标程序对第一函数的调用请求时,判断所述调用请求是否为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,其中,所述第一函数为用于利用LPC向执行释放DHCP的子系统发送消息的函数;
进程路径获取模块202,用于在判断所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求的情况下,获取所述目标程序的进程路径;
恶意程序判断模块203,用于根据所获取的进程路径,判断所述目标程序是否为恶意程序;
第一处理模块204,用于在当判断所述目标程序为恶意程序的情况下,不调用执行所述第一函数。
本发明实施例中,在检测到目标程序对第一函数的调用请求为释放动态主机配置协议DHCP的请求时,通过获取发出调用请求的目标程序的进程路径的方式,确定目标程序是否为恶意程序,并在是的情况下,不调用执行第一函数,从而使得第一函数不再向子系统发送释放DHCP消息,实现了对恶意程序释放DHCP断网的拦截,避免了恶意程序对系统安全的破坏。
在图5所述装置的基础上,如图6所示,本发明实施例提供的一种拦截释放DHCP的装置,应用于电子设备,还可以包括:
第二处理模块205,用于当根据所获取的进程路径,判断所述目标程序不是恶意程序的情况下,调用执行所述第一函数。
具体的,所述请求判断模块201,可以具体用于:
当检测到目标程序对第一函数的调用请求时,判断所述调用请求中传递的端口句柄是否为DHCP端口的句柄且传递的消息数据是否为关于释放DHCP的字段值,如果是,表明所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,其中,所述第一函数为用于利用LPC向执行释放DHCP的子系统发送消息的函数。
具体的,根据挂钩方式检测目标程序对第一函数的调用请求。
具体的,所述进程路径获取模块202,可以具体用于:
在判断所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求的情况下,调用PsGetCurrentProcessId函数和ZwQueryInformationProces函数,获取所述目标程序的进程路径。
具体的,所述恶意程序判断模块203,可以包括:
发送单元,用于将所获取的进程路径发送给文件查杀引擎;
接收单元,用于接收文件查杀引擎根据所获取的进程路径反馈的目标程序的类型;
第一确定单元,用于根据所接收到的目标程序的类型确定所述目标程序是否为恶意程序。
具体的,所述第一确定单元,可以具体用于:
判断所接收到的目标程序的类型是否为未知程序类型或危险程序类型;
如果是,确定所述目标程序为恶意程序。
具体的,所述恶意程序判断模块203,可以包括:
来源信息获取单元,用于根据所获取的进程路径,调用GetFileInfoVersion函数获取目标程序的程序来源信息;
第二确定单元,用于根据所获取的程序来源信息确定所述目标程序是否为恶意程序。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种拦截释放DHCP的方法,其特征在于,所述方法包括:
当检测到目标程序对第一函数的调用请求时,判断所述调用请求是否为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,其中,所述第一函数为用于利用本地过程调用LPC向执行释放DHCP的子系统发送消息的函数;
当判断结果为是时,获取所述目标程序的进程路径;
根据所获取的进程路径,判断所述目标程序是否为恶意程序;
当判断结果为是时,不调用执行所述第一函数。
2.根据权利要求1所述的方法,其特征在于,所述根据所获取的进程路径,判断所述目标程序是否为恶意程序之后,所述方法还包括:
当判断结果为否时,调用执行所述第一函数。
3.根据权利要求1所述的方法,其特征在于,所述判断所述调用请求是否为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,包括:
判断所述调用请求中传递的端口句柄是否为DHCP端口的句柄且传递的消息数据是否为关于释放DHCP的字段值,如果是,表明所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求。
4.根据权利要求1所述的方法,其特征在于,根据挂钩方式检测目标程序对第一函数的调用请求。
5.根据权利要求1所述的方法,其特征在于,所述获取所述目标程序的进程路径,包括:
调用PsGetCurrentProcessId函数和ZwQueryInformationProces函数,获取所述目标程序的进程路径。
6.根据权利要求1所述的方法,其特征在于,所述根据所获取的进程路径,判断所述目标程序是否为恶意程序,包括:
将所获取的进程路径发送给文件查杀引擎;
接收文件查杀引擎根据所获取的进程路径反馈的目标程序的类型;
根据所接收到的目标程序的类型确定所述目标程序是否为恶意程序。
7.根据权利要求6所述的方法,其特征在于,所述根据所接收到的目标程序的类型确定所述目标程序是否为恶意程序,包括:
判断所接收到的目标程序的类型是否为未知程序类型或危险程序类型;
如果是,确定所述目标程序为恶意程序。
8.根据权利要求1所述的方法,其特征在于,所述根据所获取的进程路径,判断所述目标程序是否为恶意程序,包括:
根据所获取的进程路径,调用GetFileInfoVersion函数获取目标程序的程序来源信息;
根据所获取的程序来源信息确定所述目标程序是否为恶意程序。
9.一种拦截释放DHCP的装置,其特征在于,所述装置包括:
请求判断模块,用于当检测到目标程序对第一函数的调用请求时,判断所述调用请求是否为通过调用所述第一函数以释放动态主机配置协议DHCP的请求,其中,所述第一函数为用于利用本地过程调用LPC向执行释放DHCP的子系统发送消息的函数;
进程路径获取模块,用于在判断所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求的情况下,获取所述目标程序的进程路径;
恶意程序判断模块,用于根据所获取的进程路径,判断所述目标程序是否为恶意程序;
第一处理模块,用于在当判断所述目标程序为恶意程序的情况下,不调用执行所述第一函数。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二处理模块,用于当根据所获取的进程路径,判断所述目标程序不是恶意程序的情况下,调用执行所述第一函数。
11.根据权利要求9所述的装置,其特征在于,所述请求判断模块,具体用于:
当检测到目标程序对第一函数的调用请求时,判断所述调用请求中传递的端口句柄是否为DHCP端口的句柄且传递的消息数据是否为关于释放DHCP的字段值,如果是,表明所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求。
12.根据权利要求9所述的装置,其特征在于,根据挂钩方式检测目标程序对第一函数的调用请求。
13.根据权利要求9所述的装置,其特征在于,所述进程路径获取模块,具体用于:
在判断所述调用请求为通过调用所述第一函数以释放动态主机配置协议DHCP的请求的情况下,调用PsGetCurrentProcessId函数和ZwQueryInformationProces函数,获取所述目标程序的进程路径。
14.根据权利要求9所述的装置,其特征在于,所述恶意程序判断模块,包括:
发送单元,用于将所获取的进程路径发送给文件查杀引擎;
接收单元,用于接收文件查杀引擎根据所获取的进程路径反馈的目标程序的类型;
第一确定单元,用于根据所接收到的目标程序的类型确定所述目标程序是否为恶意程序。
15.根据权利要求14所述的装置,其特征在于,所述第一确定单元,具体用于:
判断所接收到的目标程序的类型是否为未知程序类型或危险程序类型;
如果是,确定所述目标程序为恶意程序。
16.根据权利要求9所述的装置,其特征在于,所述恶意程序判断模块,包括:
来源信息获取单元,用于根据所获取的进程路径,调用GetFileInfoVersion函数获取目标程序的程序来源信息;
第二确定单元,用于根据所获取的程序来源信息确定所述目标程序是否为恶意程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610247825.2A CN105868632B (zh) | 2016-04-20 | 2016-04-20 | 一种拦截释放dhcp的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610247825.2A CN105868632B (zh) | 2016-04-20 | 2016-04-20 | 一种拦截释放dhcp的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105868632A CN105868632A (zh) | 2016-08-17 |
| CN105868632B true CN105868632B (zh) | 2018-11-16 |
Family
ID=56632462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610247825.2A Active CN105868632B (zh) | 2016-04-20 | 2016-04-20 | 一种拦截释放dhcp的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105868632B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105912933A (zh) * | 2016-04-27 | 2016-08-31 | 北京金山安全软件有限公司 | 一种断网指令的处理方法、装置及电子设备 |
| CN109918907B (zh) * | 2019-01-30 | 2021-05-25 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
| CN112769824B (zh) * | 2021-01-07 | 2023-03-07 | 深圳市大富网络技术有限公司 | 一种信息传输状态更新方法、终端、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737188A (zh) * | 2012-06-27 | 2012-10-17 | 北京奇虎科技有限公司 | 检测恶意网页的方法及装置 |
| CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和系统 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN103988534A (zh) * | 2011-12-12 | 2014-08-13 | 瑞典爱立信有限公司 | 用于检测网络节点上的持续恶意软件的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7434254B1 (en) * | 2002-10-25 | 2008-10-07 | Cisco Technology, Inc. | Method and apparatus for automatic filter generation and maintenance |
-
2016
- 2016-04-20 CN CN201610247825.2A patent/CN105868632B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103988534A (zh) * | 2011-12-12 | 2014-08-13 | 瑞典爱立信有限公司 | 用于检测网络节点上的持续恶意软件的方法 |
| CN102737188A (zh) * | 2012-06-27 | 2012-10-17 | 北京奇虎科技有限公司 | 检测恶意网页的方法及装置 |
| CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和系统 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
Non-Patent Citations (1)
| Title |
|---|
| 计算机网络安全ARP攻击行为的防范研究;孟令健;《齐齐哈尔大学学报(自然科学版)》;20130531;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105868632A (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| TWI678616B (zh) | 文件檢測方法、裝置及系統 | |
| CN102106114B (zh) | 分布式安全服务开通方法及其系统 | |
| CN104573494B (zh) | 一种基于wmi软件白名单机制的移动安全办公方法 | |
| CN100399750C (zh) | 便于在网络上识别计算机的系统与方法 | |
| US20140317733A1 (en) | Method and client for ensuring user network security | |
| WO2016003717A1 (en) | Method and system for efficient management of security threats in a distributed computing environment | |
| JP2004258777A (ja) | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム | |
| CN101657793A (zh) | 用于配置防火墙的方法、系统和计算机程序 | |
| US10721209B2 (en) | Timing management in a large firewall cluster | |
| JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
| CN105868632B (zh) | 一种拦截释放dhcp的方法及装置 | |
| CN101908116B (zh) | 一种计算机防护系统及方法 | |
| CN104796406A (zh) | 一种应用识别方法及装置 | |
| CN111898124A (zh) | 进程访问控制方法和装置、存储介质及电子设备 | |
| US20080172742A1 (en) | Information processing system | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| US20230336373A1 (en) | Artificial intelligence integration of third-party software into large-scale digital platforms | |
| EP3738012B1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
| CN101662368A (zh) | 一种可对抗木马程式的网络数据过滤装置和相应方法 | |
| CN111385293B (zh) | 一种网络风险检测方法和装置 | |
| KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
| CN113472831B (zh) | 一种服务访问方法、装置、网关设备及存储介质 | |
| CN110022310B (zh) | 基于云计算开放网络操作系统的授权方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181214 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TR01 | Transfer of patent right |