CN106022122B - 一种信息处理方法及装置 - Google Patents
一种信息处理方法及装置 Download PDFInfo
- Publication number
- CN106022122B CN106022122B CN201610373229.9A CN201610373229A CN106022122B CN 106022122 B CN106022122 B CN 106022122B CN 201610373229 A CN201610373229 A CN 201610373229A CN 106022122 B CN106022122 B CN 106022122B
- Authority
- CN
- China
- Prior art keywords
- program
- call request
- window
- type
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种信息处理方法及装置。该方法包括:检测是否接收到对第一函数的调用请求,第一函数为:系统内核层中用于执行窗口重画操作的函数,调用请求中包括针对待重画窗口的重画类型;若为是,判断重画类型是否为无效类型;若为是,判断生成调用请求的第一程序是否为恶意程序;若为是,拦截第一函数,以拒绝响应调用请求。与现有技术相比,本发明中,当检测到对第一函数的调用请求时,在重画类型为无效类型,且第一程序是恶意程序的情况下,电子设备会对第一函数进行拦截,故待重画窗口不会被重画为无效类型的窗口,创建待重画窗口的程序仍可正常运行,这样大大地提高了用户的使用体验,同时也较好地保证了电子设备的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种信息处理方法及装置。
背景技术
随着互联网技术的迅猛发展,病毒、木马等恶意程序技术层出不穷,这些恶意程序可能会对电子设备的正常运行带来非常不利的影响。具体来说,恶意程序会通过调用特定的函数来对电子设备中的程序所创建的窗口进行重画,并使该重画类型为无效类型。这样,在重画操作完成后,该窗口将无法接收消息,故创建该窗口的程序将无法正常运行,相应地,用户也无法使用该程序,这样会给用户带来非常不好的使用体验。因此,如何避免恶意程序将电子设备中的程序所创建的窗口重画为无效类型的窗口是一个亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种信息处理方法及装置,以避免恶意程序将电子设备中的程序所创建的窗口重画为无效类型的窗口,从而大大地提高了用户的使用体验。
本发明实施例提供了一种信息处理方法,所述方法包括:
检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行窗口重画操作的函数,所述调用请求中包括针对待重画窗口的重画类型;
若为是,判断所述重画类型是否为无效类型;
若所述重画类型是无效类型,判断生成所述调用请求的第一程序是否为恶意程序;
若所述第一程序是恶意程序,拦截所述第一函数,进而拒绝响应所述调用请求。
更进一步的,上述方法中,所述判断生成所述调用请求的第一程序是否为恶意程序之后,所述方法还包括:
若所述第一程序不是恶意程序,调用所述第一函数,以响应所述调用请求。
更进一步的,上述方法中,若所述重画类型是无效类型,所述方法还包括:
判断所述待重画窗口是否为生成所述调用请求的第一程序创建的,若为否,执行所述判断生成所述调用请求的第一程序是否为恶意程序。
更进一步的,上述方法中,所述判断所述待重画窗口是否为生成所述调用请求的第一程序创建的,包括:
获取所述待重画窗口的窗口句柄标识;
根据所述窗口句柄标识,获取与所述窗口句柄标识相对应的程序路径信息;
获取所述第一程序的路径信息;
判断所述路径信息与所述程序路径信息是否相同,如果不是,表明所述待重画窗口不是生成所述调用请求的第一程序创建的。
更进一步的,上述方法中,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述路径信息所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
根据所述内容标识值和预设对应关系,确定所述第一程序是否为恶意程序,其中,所述预设对应关系为关于多个内容标识值与程序安全类型的对应关系,所述程序安全类型的种类包括恶意类型和非恶意类型。
更进一步的,上述方法中,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述路径信息所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
判断本地存储的恶意数据库中是否存在所述内容标识值,其中,所述恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明所述第一程序是恶意程序。
更进一步的,上述方法中,所述内容标识值为MD5值或哈希值。
更进一步的,上述方法中,所述检测是否接收到对第一函数的调用请求,包括:
通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
本发明实施例还提供了一种信息处理装置,包括:
调用请求检测模块,用于检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行窗口重画操作的函数,所述调用请求中包括针对待重画窗口的重画类型;
调用请求类型判断模块,用于在检测到对第一函数的调用请求的情况下,判断所述重画类型是否为无效类型;
恶意程序判断模块,用于在所述重画类型是无效类型的情况下,判断生成所述调用请求的第一程序是否为恶意程序;
第一执行模块,用于在所述第一程序是恶意程序的情况下,拦截所述第一函数,进而拒绝响应所述调用请求。
更进一步的,上述装置还包括:
第二执行模块,用于在判断所述第一程序是否为恶意程序,且判断结果为否的情况下,调用所述第一函数,以响应所述调用请求。
更进一步的,上述装置还包括:
窗口创建对象判断模块,用于在所述重画类型是无效类型的情况下,判断所述待重画窗口是否为生成所述调用请求的第一程序创建的,若为否,触发所述恶意程序判断模块。
更进一步的,上述装置中,所述窗口创建对象判断模块,包括:
窗口句柄标识获取单元,用于获取所述待重画窗口的窗口句柄标识;
程序路径信息获取单元,用于根据所述窗口句柄标识,获取与所述窗口句柄标识相对应的程序路径信息;
第一路径信息获取单元,用于获取所述第一程序的路径信息;
路径信息判断单元,用于判断所述路径信息与所述程序路径信息是否相同,如果不是,表明所述待重画窗口不是生成所述调用请求的第一程序创建的。
更进一步的,上述装置中,所述恶意程序判断模块,包括:
第二路径信息获取单元,用于获取生成所述调用请求的第一程序的路径信息;
第一数据文件获取单元,用于根据所述路径信息,获取所述路径信息所对应的数据文件;
第一内容标识值确定单元,用于根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
第一恶意程序确定单元,用于根据所述内容标识值和预设对应关系,确定所述第一程序是否为恶意程序,其中,所述预设对应关系为关于多个内容标识值与程序安全类型的对应关系,所述程序安全类型的种类包括恶意类型和非恶意类型。
更进一步的,上述装置中,所述恶意程序判断模块,包括:
第三路径信息获取单元,用于获取生成所述调用请求的第一程序的路径信息;
第二数据文件获取单元,用于根据所述路径信息,获取所述路径信息所对应的数据文件;
第二内容标识值确定单元,用于根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
第二恶意程序确定单元,用于判断本地存储的恶意数据库中是否存在所述内容标识值,其中,所述恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明所述第一程序是恶意程序。
更进一步的,上述装置中,所述内容标识值为MD5值或哈希值。
更进一步的,上述装置中,所述调用请求检测模块具体用于通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
本发明实施例提供了一种信息处理方法及装置。该方法包括:检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行窗口重画操作的函数,调用请求中包括针对待重画窗口的重画类型;若为是,判断重画类型是否为无效类型;若重画类型是无效类型,判断生成调用请求的第一程序是否为恶意程序;若第一程序是恶意程序,拦截第一函数,进而拒绝响应调用请求。与现有技术相比,本发明实施例中,当检测到对系统内核层中用于执行窗口重画操作的第一函数的调用请求时,电子设备不会立即调用第一函数,而是依次判断调用请求中的重画类型是否为无效类型,以及生成调用请求的第一程序是否为恶意程序,在重画类型为无效类型,且生成调用请求的第一程序是恶意程序的情况下,电子设备会对第一函数进行拦截,进而拒绝响应调用请求,相应地,待重画窗口将不会被重画为无效类型的窗口,创建待重画窗口的程序仍可正常运行,用户仍可继续使用该程序,这样可以大大地提高用户的使用体验,同时也较好地保证了电子设备的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的信息处理方法的流程图;
图2为本发明实施例提供的信息处理方法的又一流程图;
图3为本发明实施例提供的信息处理方法的又一流程图;
图4为本发明实施例提供的信息处理装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术存在的问题,本发明实施例提供了一种信息处理方法及装置。
下面首先对本发明实施例所提供的一种信息处理方法进行介绍。
需要说明的是,本发明实施例所提供的一种信息处理方法可以应用于电子设备中。在实际应用中,该电子设备可以为智能手机、平板电脑、笔记本电脑等,这都是合理的。
另外,实现本发明实施例所提供的一种信息处理方法的功能软件可以为独立的客户端软件,或者,也可以为现有客户端软件中的插件,这都是合理的。
参见图1,图中示出了本发明所提供的一种信息处理方法的流程图。如图1所示,该方法可以包括:
S101,检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行窗口重画操作的函数,调用请求中包括针对待重画窗口的重画类型,如果是,执行S102。
本领域技术人员可以理解的是,窗口是电子设备的用户界面中最为重要的组成部分。具体地,窗口是电子设备的屏幕上与一个程序相对应的矩形区域,该矩形区域包括框架和客户区,由框架和客户区组合而成的矩形区域构成了用户与创建该窗口的程序之间进行交互的可视界面。每当用户开始运行一个程序时,该程序就会向电子设备的操作系统发送请求,以使操作系统创建并显示一个与该程序相对应的窗口,当用户操作该窗口中的对象时,该程序就会作出相应的反应,例如,当用户关闭该窗口时,创建该窗口的程序就会停止运行。
目前,在很多情况下,需要对电子设备中的窗口进行重画,为了实现该目的,电子设备的操作系统提供了两个用于执行窗口重画操作的函数,其中,一个函数位于系统内核层中,另一个函数位于系统应用层中。具体地,位于系统内核层中的函数,即第一函数可以为NtUserRedrawWindow函数,位于系统应用层中的函数可以为RedrawWindow函数。
这样,当系统内核层中的程序希望对待重画窗口进行重画时,该程序就会发出对系统内核层中的NtUserRedrawWindow函数的调用请求,并在调用请求中明确待重画窗口具体是哪一个窗口,以及重画类型具体是无效类型还是非无效类型,最终,若NtUserRedrawWindow函数被成功调用,待重画窗口即可被成功重画。
类似地,当系统应用层中的程序希望对待重画窗口进行重画时,该程序会发出对系统应用层中的RedrawWindow函数以及对系统内核层中的NtUserRedrawWindow函数的调用请求,并在调用请求中明确待重画窗口具体是哪一个窗口,以及重画类型具体是无效类型还是非无效类型,最终,若RedrawWindow函数和NtUserRedrawWindow函数被依次成功调用,待重画窗口即可被成功重画。
可以看出,不管程序是属于系统内核层还是系统应用层,若其要对待重画窗口进行重画,最终都需要调用系统内核层中用于执行窗口重画操作的函数,即第一函数。也就是说,只要检测到对第一函数的调用请求,就说明有程序请求对待重画窗口进行重画。因此,只要对针对第一函数的调用请求进行检测,就可以有效地检测所有程序的重画请求,从而避免对某些程序发出的重画请求的遗漏。
需要说明的是,根据重画类型的不同,若第一函数被成功调用,则创建待重画窗口的程序的状态会存在较大的差异。
具体来说,若重画类型是非无效类型,则当第一函数被成功调用后,待重画窗口中将不会存在无效区域,并且,待重画窗口仍能正常地接收消息,相应地,创建待重画窗口的程序仍能正常运行。也就是说,当重画类型不是无效类型时,无论发出调用请求的程序是不是恶意程序,创建待重画窗口的程序的正常运行均不会受到影响,故此时电子设备可以直接调用第一函数,以响应调用请求。
若重画类型是无效类型,则当第一函数被成功调用后,待重画窗口中将不会存在无效区域,并且,待重画窗口将无法接收消息,即创建待重画窗口的程序无法正常运行。这种情况下,发出调用请求的程序极有可能是恶意程序,并且,由于创建待重画窗口的程序无法正常运行,这样会给用户带来非常不好的使用体验。更为严重的是,当待重画窗口为安全软件创建的窗口时,一旦第一函数被成功调用,安全软件将无法正常运行,即无法执行正常的防御功能,此时电子设备很容易受到恶意软件的攻击,整个电子设备的安全性会大大地降低。因此,为了较好地解决上述隐患,当接收到对第一函数的调用请求时,电子设备不会立即执行调用第一函数的步骤,而会先执行S102,相应地,待重画窗口将不会立即被重画。
需要强调的是,检测是否接收到对第一函数的调用请求的具体实现方式存在多种,为了布局清楚,后续进行举例介绍。
S102,判断重画类型是否为无效类型,如果是,执行S103。
具体地,电子设备可以通过判断调用请求中的重画标志是否为RDW_INVALIDATE(1)来判断重画类型是否为无效类型。若重画标志是RDW_INVALIDATE(1),则表明重画类型是无效类型,此时调用请求很有可能是由恶意软件发出的,为了避免恶意软件对创建待重画窗口的程序的正常运行造成影响,电子设备不会立即执行调用第一函数的步骤,而会先执行S103,相应地,待重画窗口将不会立即被重画。若重画标志不是RDW_INVALIDATE(1),则表明重画类型是非无效类型,电子设备会直接执行调用第一函数的步骤,以响应调用请求。
S103,判断生成调用请求的第一程序是否为恶意程序,如果是,执行S104。
需要说明的是,恶意程序一般是指计算机系统中用来执行恶意任务的病毒、蠕虫或者特洛伊木马等,恶意程序一般通过破坏电子设备的软件进程来实施对电子设备的攻击。
本领域技术人员可以理解的是,进程是指计算机系统中的程序关于某数据集合上的一次运行活动,其是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。简单来说,程序是指令、数据及其组织形式的描述,进程是程序的实体。
需要强调的是,判断生成调用请求的第一程序是否为恶意程序的具体实现方式存在多种,为了布局清楚,后续进行举例介绍。
S104,拦截第一函数,进而拒绝响应调用请求。
当判断出第一程序是恶意程序时,为了避免恶意程序对创建待重画窗口的程序的正常运行造成影响,电子设备会对第一函数进行拦截,以拒绝响应调用请求。
与现有技术相比,本实施例中,当检测到对系统内核层中用于执行窗口重画操作的第一函数的调用请求时,电子设备不会立即调用第一函数,而是依次判断调用请求中的重画类型是否为无效类型,以及生成调用请求的第一程序是否为恶意程序,在重画类型为无效类型,且生成调用请求的第一程序是恶意程序的情况下,电子设备会对第一函数进行拦截,进而拒绝响应调用请求,相应地,待重画窗口将不会被重画为无效类型的窗口,创建待重画窗口的程序仍可正常运行,用户仍可继续使用该程序,这样可以大大地提高用户的使用体验,同时也较好地保证了电子设备的安全性。
参见图2,图中示出了本发明所提供的一种信息处理方法的又一流程图。如图2所示,该方法可以包括:
S201,检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行窗口重画操作的函数,调用请求中包括针对待重画窗口的重画类型,如果是,执行S202。
S202,判断重画类型是否为无效类型,如果是,执行S203。
S203,判断生成调用请求的第一程序是否为恶意程序,如果是,执行S204,否则,执行S205。
S204,拦截第一函数,进而拒绝响应调用请求。
S205,调用第一函数,以响应调用请求。
其中,S201至S204的具体实施过程参照对S101至S104的说明即可,在此不再赘述。
当S203中判断出第一程序不是恶意程序时,则说明希望将待重画窗口重画为无效类型的窗口的程序并不是恶意程序,而是非恶意程序,此时,将待重画窗口重画为无效类型的窗口的操作是用户所希望的,因此,电子设备可以调用第一函数。当第一函数被成功调用后,待重画窗口即可按照用户的需求被重画。
参见图3,图中示出了本发明所提供的一种信息处理方法的又一流程图。如图3所示,该方法可以包括:
S301,检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行窗口重画操作的函数,调用请求中包括针对待重画窗口的重画类型,如果是,执行S302。
S302,判断重画类型是否为无效类型,如果是,执行S303。
其中,S301和S302的具体实施过程参照对S101和S102的说明即可,在此不再赘述。
S303,判断待重画窗口是否为生成调用请求的第一程序创建的,如果是,执行S304。
本实施例中,若判断出待重画窗口是生成调用请求的第一程序创建的,则说明第一程序希望对自身创建的窗口进行重画,相应地,对待重画窗口的重画操作不会对其他程序的正常运行造成影响,因此,电子设备可以直接调用第一函数,以响应调用请求,而不需要再判断发出调用请求的第一程序是否为恶意程序。若判断出待重画窗口不是生成调用请求的第一程序创建的,则说明第一程序希望对其他程序创建的窗口进行重画,此时,第一程序有可能会对其他程序的正常运行造成影响,因此,此时电子设备不会立即调用第一函数,而会先判断第一程序是否为恶意程序。
需要说明的是,判断待重画窗口是否为生成调用请求的第一程序创建的具体实现方式存在多种,为了布局清楚,后续进行举例介绍。
S304,判断生成调用请求的第一程序是否为恶意程序,如果是,执行S305。
S305,拦截第一函数,进而拒绝响应调用请求。
可以看出,本实施例也可以较好地避免了恶意程序将电子设备中的程序所创建的窗口重画为无效类型的窗口,从而大大地提高了用户的使用体验。
更进一步的,判断待重画窗口是否为生成调用请求的第一程序创建的具体实现方式存在多种,下面进行举例介绍:
在一种具体实现方式中,判断待重画窗口是否为生成调用请求的第一程序创建的,可以包括:
获取待重画窗口的窗口句柄标识;
根据窗口句柄标识,获取与窗口句柄标识相对应的程序路径信息;
获取第一程序的路径信息;
判断路径信息与程序路径信息是否相同,如果不是,表明待重画窗口不是生成调用请求的第一程序创建的。
本领域技术人员可以理解的是,当电子设备检测到对第一函数的调用请求后,电子设备根据调用请求可以非常容易地获得待重画窗口的窗口句柄标识以及生成调用请求的第一程序的路径信息,并且,在获得窗口句柄标识后,电子设备根据该窗口句柄标识也可以非常容易地获得与该窗口句柄标识相对应的程序路径信息,该程序路径信息即为创建待重画窗口的程序的路径信息。接下来,电子设备会将获取到的两个路径信息进行比对,若两者相同,则说明生成调用请求的第一程序与创建待重画窗口的程序为同一个程序,即待重画窗口是生成调用请求的第一程序创建的,此时对待重画窗口的重画操作不会对其他的程序的正常运行造成影响,故电子设备可以直接调用第一函数,否则,电子设备需要先对第一程序是否为恶意程序进行判断,在判断结果为否的情况下,电子设备才会去调用第一函数。
更进一步的,判断生成调用请求的第一程序是否为恶意程序的具体实现方式存在多种,下面进行举例介绍:
在一种具体实现方式中,判断生成调用请求的第一程序是否为恶意程序,可以包括:
获取生成调用请求的第一程序的路径信息;
根据路径信息,获取路径信息所对应的数据文件;
根据数据文件的文件内容,确定第一程序的内容标识值;
根据内容标识值和预设对应关系,确定第一程序是否为恶意程序,其中,预设对应关系为关于多个内容标识值与程序安全类型的对应关系,程序安全类型的种类包括恶意类型和非恶意类型。
本实施例中,电子设备内可以具有一数据库,该数据库内可以存储有多个内容标识值与程序安全类型之间的预设对应关系。
实际判断过程中,电子设备可以先获取生成调用请求的第一程序的路径信息,然后根据该路径信息,从与该路径信息对应的存储区域中获取第一程序所对应的数据文件,该数据文件的文件内容即为构成第一程序的所有代码,然后,电子设备可以根据构成第一程序的所有代码,确定第一程序的内容标识值。具体地,电子设备可以通过预设的加密算法对构成第一程序的所有代码进行加密,以获得内容标识值,该内容标识值可以对第一程序进行标识。接下来,电子设备可以根据内容标识值和预设对应关系,从数据库中获取与内容标识值相对应的程序安全类型。若与内容标识值所对应的程序安全类型为恶意类型,则说明第一程序是恶意程序,此时电子设备拦截第一函数,故待重画窗口将不会被重画为无效类型的窗口;若与内容标识值所对应的程序安全类型为非恶意类型,则说明第一程序不是恶意程序,此时电子设备会调用第一函数,故待重画窗口将会被重画为无效类型的窗口。
在另一种具体实现方式中,判断生成调用请求的第一程序是否为恶意程序,可以包括:
获取生成调用请求的第一程序的路径信息;
根据路径信息,获取路径信息所对应的数据文件;
根据数据文件的文件内容,确定第一程序的内容标识值;
判断本地存储的恶意数据库中是否存在内容标识值,其中,恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明第一程序是恶意程序。
本实施例中,电子设备内可以具有一恶意数据库,该恶意数据库内可以存储有多个恶意程序的内容标识值。
实际判断过程中,电子设备可以先获取生成调用请求的第一程序的路径信息,然后根据该路径信息,从与该路径信息对应的存储区域中获取第一程序所对应的数据文件,该数据文件的文件内容即为构成第一程序的所有代码,然后,电子设备可以根据构成第一程序的所有代码,确定第一程序的内容标识值。具体地,电子设备可以通过预设的加密算法对构成第一程序的所有代码进行加密,以获得内容标识值,该内容标识值可以对第一程序进行标识。接下来,电子设备可以在恶意数据库中查找内容标识值,若在恶意数据库中查找到内容标识值,即表明第一程序是恶意程序,此时电子设备拦截第一函数,故待重画窗口将不会被重画为无效类型的窗口;若在恶意数据库中未查找到内容标识值,即表明第一程序不是恶意程序,此时电子设备会调用第一函数,故待重画窗口将会被重画为无效类型的窗口。
需要说明的是,上述实施例中,内容标识值可以为MD5值或哈希值。这样,在获取到第一程序所对应的数据文件后,电子设备可以根据现有的、用于获得MD5值或哈希值的加密算法来对构成第一程序的所有代码进行加密,以获得第一程序所对应的目标MD5值或目标哈希值。接下来,电子设备会根据目标MD5值或目标哈希值所对应的程序安全类型,或者目标MD5值或目标哈希值是否存在于恶意数据库中,从而最终确定第一程序是否为恶意程序。
需要强调的是,内容标识值的类型并不仅仅限于MD5值或哈希值,其也可以为其他类型的、可以通过加密算法得到的标识值,这都是可行的。
可以看出,通过上述方式来判断第一程序是否为恶意程序时,判断过程实施起来均非常便捷。
更进一步的,检测是否接收到对第一函数的调用请求的具体实现方式存在多种,下面进行举例介绍:
在一种具体实现方式中,检测是否接收到对第一函数的调用请求,可以包括:
通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
需要说明的是,钩子是Windows处理机制的一个平台,程序可以在该平台上设置子程序以监视指定窗口的某种动作,并且,其所监视的窗口可以是其他程序创建的。对于钩子函数而言,其实际上是一个处理消息的程序段,其可以挂入系统中,这样,每当有特定的消息发出之后,在该消息到达目标窗口之前,钩子函数就会将该消息捕获,并取得对该消息的控制权。具体地,钩子函数可以加工处理该消息,或者钩子函数也可以不做处理并传递该消息,或者钩子函数也可以强制结束该消息的传递。
下面以第一函数为NtUserRedrawWindow函数,创建待重画窗口的程序为金山毒霸的情况为例,对本实施例中的钩子函数的工作原理进行详细说明。
首先,可以在金山毒霸的防御驱动程序中设置一钩子函数,并使该钩子函数与NtUserRedrawWindow函数进行挂钩。这样,当第一程序希望对金山毒霸的窗口进行重画时,第一程序就会发出调用请求,以通知电子设备的操作系统去调用NtUserRedrawWindow函数,该钩子函数会先于NtUserRedrawWindow函数接收到调用请求,此时电子设备会在钩子函数中判断重画类型是否为无效类型,若重画类型不是无效类型,电子设备就会直接调用NtUserRedrawWindow函数,否则,电子设备就会在钩子函数中判断创建待重画窗口的程序和第一程序是不是同一个程序。若创建待重画窗口的程序和第一程序是同一个程序,那么电子设备就会直接调用NtUserRedrawWindow函数,否则,电子设备就会在钩子函数中判断生成调用请求的第一程序是否为恶意程序。若第一程序不是恶意程序,电子设备就会直接调用NtUserRedrawWindow函数,以响应调用请求,否则,金山毒霸的防御驱动程序就会拦截NtUserRedrawWindow函数,这样,恶意程序将金山毒霸的窗口重画为无效类型的窗口的请求失败,金山毒霸能够正常地运行,以可靠地保证电子设备的安全性。
需要说明的是,驱动程序一般是指设备驱动程序,其是一种可以使计算机和设备通信的特殊程序,其相当于硬件的接口,操作系统只有通过这个接口,才能控制硬件设备的工作,若某设备的驱动程序未能正确安装,那么该设备将无法正常工作。因此,驱动程序被比作“硬件的灵魂”、“硬件的主宰”和“硬件和系统之间的桥梁”等。
可以看出,当采用钩子函数的方式来检测对第一函数的调用请求时,该检测操作执行起来非常方便。
综上,本实施例提供的信息处理方法较好地避免了恶意程序将电子设备中的程序所创建的窗口重画为无效类型的窗口,从而大大地提高了用户的使用体验。
相应于上述方法实施例,本发明实施例还提供了一种信息处理装置。下面对本发明所提供的一种信息处理装置进行说明。
参见图4,图中示出了本发明所提供的一种信息处理装置的结构框图。如图4所示,该装置可以包括:
调用请求检测模块41,用于检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行窗口重画操作的函数,调用请求中包括针对待重画窗口的重画类型;
调用请求类型判断模块42,用于在检测到对第一函数的调用请求的情况下,判断重画类型是否为无效类型;
恶意程序判断模块43,用于在重画类型是无效类型的情况下,判断生成调用请求的第一程序是否为恶意程序;
第一执行模块44,用于在第一程序是恶意程序的情况下,拦截第一函数,进而拒绝响应调用请求。
与现有技术相比,本实施例中,当检测到对系统内核层中用于执行窗口重画操作的第一函数的调用请求时,电子设备不会立即调用第一函数,而是依次判断调用请求中的重画类型是否为无效类型,以及生成调用请求的第一程序是否为恶意程序,在重画类型为无效类型,且生成调用请求的第一程序是恶意程序的情况下,电子设备会对第一函数进行拦截,进而拒绝响应调用请求,相应地,待重画窗口将不会被重画为无效类型的窗口,创建待重画窗口的程序仍可正常运行,用户仍可继续使用该程序,这样可以大大地提高用户的使用体验,同时也较好地保证了电子设备的安全性。
更进一步的,上述装置还包括:
第二执行模块,用于在判断第一程序是否为恶意程序,且判断结果为否的情况下,调用第一函数,以响应调用请求。
更进一步的,上述装置还包括:
窗口创建对象判断模块,用于在重画类型是无效类型的情况下,判断待重画窗口是否为生成调用请求的第一程序创建的,若为否,触发恶意程序判断模块。
更进一步的,上述装置中,窗口创建对象判断模块,包括:
窗口句柄标识获取模块,用于获取待重画窗口的窗口句柄标识;
程序路径信息获取单元,用于根据窗口句柄标识,获取与窗口句柄标识相对应的程序路径信息;
第一路径信息获取单元,用于获取第一程序的路径信息;
路径信息判断单元,用于判断路径信息与程序路径信息是否相同,如果不是,表明待重画窗口不是生成调用请求的第一程序创建的。
更进一步的,上述装置中,恶意程序判断模块,包括:
第二路径信息获取单元,用于获取生成调用请求的第一程序的路径信息;
第一数据文件获取单元,用于根据路径信息,获取路径信息所对应的数据文件;
第一内容标识值确定单元,用于根据数据文件的文件内容,确定第一程序的内容标识值;
第一恶意程序确定单元,用于根据内容标识值和预设对应关系,确定第一程序是否为恶意程序,其中,预设对应关系为关于多个内容标识值与程序安全类型的对应关系,程序安全类型的种类包括恶意类型和非恶意类型。
更进一步的,上述装置中,恶意程序判断模块,包括:
第三路径信息获取单元,用于获取生成调用请求的第一程序的路径信息;
第二数据文件获取单元,用于根据路径信息,获取路径信息所对应的数据文件;
第二内容标识值确定单元,用于根据数据文件的文件内容,确定第一程序的内容标识值;
第二恶意程序确定单元,用于判断本地存储的恶意数据库中是否存在内容标识值,其中,恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明第一程序是恶意程序。
更进一步的,上述装置中,内容标识值为MD5值或哈希值。
更进一步的,上述装置中,调用请求检测模块具体用于通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
综上,本实施例提供的信息处理装置较好地避免了恶意程序将电子设备中的程序所创建的窗口重画为无效类型的窗口,从而大大地提高了用户的使用体验。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种信息处理方法,其特征在于,所述方法包括:
检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行窗口重画操作的函数,所述调用请求中包括针对待重画窗口的重画类型;
若为是,判断所述重画类型是否为无效类型;
若所述重画类型是无效类型,判断生成所述调用请求的第一程序是否为恶意程序;
若所述第一程序是恶意程序,拦截所述第一函数,进而拒绝响应所述调用请求。
2.如权利要求1所述的方法,其特征在于,所述判断生成所述调用请求的第一程序是否为恶意程序之后,所述方法还包括:
若所述第一程序不是恶意程序,调用所述第一函数,以响应所述调用请求。
3.如权利要求1所述的方法,其特征在于,若所述重画类型是无效类型,所述方法还包括:
判断所述待重画窗口是否为生成所述调用请求的第一程序创建的,若为否,执行所述判断生成所述调用请求的第一程序是否为恶意程序。
4.如权利要求3所述的方法,其特征在于,所述判断所述待重画窗口是否为生成所述调用请求的第一程序创建的,包括:
获取所述待重画窗口的窗口句柄标识;
根据所述窗口句柄标识,获取与所述窗口句柄标识相对应的程序路径信息;
获取所述第一程序的路径信息;
判断所述路径信息与所述程序路径信息是否相同,如果不是,表明所述待重画窗口不是生成所述调用请求的第一程序创建的。
5.如权利要求1所述的方法,其特征在于,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述路径信息所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
根据所述内容标识值和预设对应关系,确定所述第一程序是否为恶意程序,其中,所述预设对应关系为关于多个内容标识值与程序安全类型的对应关系,所述程序安全类型的种类包括恶意类型和非恶意类型。
6.如权利要求1所述的方法,其特征在于,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述路径信息所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
判断本地存储的恶意数据库中是否存在所述内容标识值,其中,所述恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明所述第一程序是恶意程序。
7.如权利要求5或6所述的方法,其特征在于,所述内容标识值为MD5值或哈希值。
8.如权利要求1-6中任一项所述的方法,其特征在于,所述检测是否接收到对第一函数的调用请求,包括:
通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
9.一种信息处理装置,其特征在于,包括:
调用请求检测模块,用于检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行窗口重画操作的函数,所述调用请求中包括针对待重画窗口的重画类型;
调用请求类型判断模块,用于在检测到对第一函数的调用请求的情况下,判断所述重画类型是否为无效类型;
恶意程序判断模块,用于在所述重画类型是无效类型的情况下,判断生成所述调用请求的第一程序是否为恶意程序;
第一执行模块,用于在所述第一程序是恶意程序的情况下,拦截所述第一函数,进而拒绝响应所述调用请求。
10.如权利要求9所述的装置,其特征在于,还包括:
第二执行模块,用于在判断所述第一程序是否为恶意程序,且判断结果为否的情况下,调用所述第一函数,以响应所述调用请求。
11.如权利要求9所述的装置,其特征在于,还包括:
窗口创建对象判断模块,用于在所述重画类型是无效类型的情况下,判断所述待重画窗口是否为生成所述调用请求的第一程序创建的,若为否,触发所述恶意程序判断模块。
12.如权利要求11所述的装置,其特征在于,所述窗口创建对象判断模块,包括:
窗口句柄标识获取单元,用于获取所述待重画窗口的窗口句柄标识;
程序路径信息获取单元,用于根据所述窗口句柄标识,获取与所述窗口句柄标识相对应的程序路径信息;
第一路径信息获取单元,用于获取所述第一程序的路径信息;
路径信息判断单元,用于判断所述路径信息与所述程序路径信息是否相同,如果不是,表明所述待重画窗口不是生成所述调用请求的第一程序创建的。
13.如权利要求9所述的装置,其特征在于,所述恶意程序判断模块,包括:
第二路径信息获取单元,用于获取生成所述调用请求的第一程序的路径信息;
第一数据文件获取单元,用于根据所述路径信息,获取所述路径信息所对应的数据文件;
第一内容标识值确定单元,用于根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
第一恶意程序确定单元,用于根据所述内容标识值和预设对应关系,确定所述第一程序是否为恶意程序,其中,所述预设对应关系为关于多个内容标识值与程序安全类型的对应关系,所述程序安全类型的种类包括恶意类型和非恶意类型。
14.如权利要求9所述的装置,其特征在于,所述恶意程序判断模块,包括:
第三路径信息获取单元,用于获取生成所述调用请求的第一程序的路径信息;
第二数据文件获取单元,用于根据所述路径信息,获取所述路径信息所对应的数据文件;
第二内容标识值确定单元,用于根据所述数据文件的文件内容,确定所述第一程序的内容标识值;
第二恶意程序确定单元,用于判断本地存储的恶意数据库中是否存在所述内容标识值,其中,所述恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明所述第一程序是恶意程序。
15.如权利要求13或14所述的装置,其特征在于,所述内容标识值为MD5值或哈希值。
16.如权利要求9-14中任一项所述的装置,其特征在于,所述调用请求检测模块具体用于通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610373229.9A CN106022122B (zh) | 2016-05-31 | 2016-05-31 | 一种信息处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610373229.9A CN106022122B (zh) | 2016-05-31 | 2016-05-31 | 一种信息处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106022122A CN106022122A (zh) | 2016-10-12 |
| CN106022122B true CN106022122B (zh) | 2018-12-14 |
Family
ID=57091616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610373229.9A Active CN106022122B (zh) | 2016-05-31 | 2016-05-31 | 一种信息处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106022122B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109472140B (zh) * | 2017-12-29 | 2021-11-12 | 北京安天网络安全技术有限公司 | 基于窗体标题校验阻止勒索软件加密的方法及系统 |
| CN112000313A (zh) * | 2020-08-03 | 2020-11-27 | 北京达佳互联信息技术有限公司 | 请求响应方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553316A (zh) * | 2003-03-12 | 2004-12-08 | 中兴通讯股份有限公司 | 一种Windows应用程序界面的通用锁定系统及方法 |
| CN103207968A (zh) * | 2012-01-12 | 2013-07-17 | 精品科技股份有限公司 | 操作历程的记录方法、以及信息安全的管理方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8205260B2 (en) * | 2007-12-19 | 2012-06-19 | Symantec Operating Corporation | Detection of window replacement by a malicious software program |
-
2016
- 2016-05-31 CN CN201610373229.9A patent/CN106022122B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553316A (zh) * | 2003-03-12 | 2004-12-08 | 中兴通讯股份有限公司 | 一种Windows应用程序界面的通用锁定系统及方法 |
| CN103207968A (zh) * | 2012-01-12 | 2013-07-17 | 精品科技股份有限公司 | 操作历程的记录方法、以及信息安全的管理方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 一种融合用户级和内核级拦截的主动防御方案;许方恒等;《计算机应用研究》;20130630;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106022122A (zh) | 2016-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| EP3665573B1 (en) | Real-time prevention of malicious content via dynamic analysis | |
| JP6100898B2 (ja) | メッセージを処理するための方法およびデバイス | |
| JP5956570B2 (ja) | ネットワークアクセス制御システムおよび方法 | |
| CN105631312B (zh) | 恶意程序的处理方法及系统 | |
| CN104392175A (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
| US7725578B2 (en) | Providing status information to a device attached to an information infrastructure | |
| CN111984975B (zh) | 基于拟态防御机制的漏洞攻击检测系统、方法及介质 | |
| WO2012103646A1 (en) | Determining the vulnerability of computer software applications to privilege-escalation attacks | |
| CN105373734A (zh) | 应用数据的保护方法及装置 | |
| WO2021002884A1 (en) | Data breach prevention and remediation | |
| CN106372496A (zh) | 提高支付终端应用安全性的方法及系统 | |
| WO2016002605A1 (ja) | 検知装置、検知方法及び検知プログラム | |
| CN106022122B (zh) | 一种信息处理方法及装置 | |
| CN109120626A (zh) | 安全威胁处理方法、系统、安全感知服务器及存储介质 | |
| WO2014036932A1 (en) | A user interface hijacking prevention device and method | |
| CN112463266A (zh) | 执行策略生成方法、装置、电子设备以及存储介质 | |
| CN111770085A (zh) | 一种网络安保系统、方法、设备及介质 | |
| US7784034B1 (en) | System, method and computer program product for hooking a COM interface | |
| CN105556481B (zh) | 防毒保护系统及方法 | |
| US10552626B2 (en) | System and method for selecting a data entry mechanism for an application based on security requirements | |
| KR20180065535A (ko) | 커널 루트킷 탐지 시스템 및 방법 | |
| CN106022133A (zh) | 一种信息处理方法及装置 | |
| US9654498B2 (en) | Detecting deviation from a data packet send-protocol in a computer system | |
| CN115859291B (zh) | 安全监测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181218 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TR01 | Transfer of patent right |