CN106022133A - 一种信息处理方法及装置 - Google Patents

一种信息处理方法及装置 Download PDF

Info

Publication number
CN106022133A
CN106022133A CN201610373935.3A CN201610373935A CN106022133A CN 106022133 A CN106022133 A CN 106022133A CN 201610373935 A CN201610373935 A CN 201610373935A CN 106022133 A CN106022133 A CN 106022133A
Authority
CN
China
Prior art keywords
program
function
call request
window
target window
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610373935.3A
Other languages
English (en)
Inventor
杨峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201610373935.3A priority Critical patent/CN106022133A/zh
Publication of CN106022133A publication Critical patent/CN106022133A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供了一种信息处理方法和装置。该方法包括:检测是否接收到对第一函数的调用请求,第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,调用请求中包括目标窗口的信息;若为是,判断生成调用请求的第一程序是否为恶意程序;若为是,拦截第一函数,进而拒绝隐藏目标窗口的插入标记。与现有技术相比,本发明实施例中,当检测到对第一函数的调用请求时,在发出调用请求的第一程序为恶意程序的情况下,电子设备会对第一函数进行拦截,这样,目标窗口的插入标记将不会被恶意隐藏起来,用户可以非常容易地找到插入标记并实施插入操作,这样可以给用户带来非常好的使用体验。

Description

一种信息处理方法及装置
技术领域
本发明涉及计算机技术领域,特别是涉及一种信息处理方法及装置。
背景技术
随着互联网技术的迅猛发展,病毒、木马等恶意程序技术层出不穷,这些恶意程序可能会对电子设备的正常运行带来非常不利的影响。具体地,恶意程序可以通过调用特定的函数来使电子设备中的程序所创建的窗口的插入标记被隐藏,这样,当用户想在该窗口中实施插入操作时,用户将无法找到插入标记,故用户将无法实施插入操作,这样会给用户带来非常不好的使用体验。因此,如何避免恶意程序将电子设备中的程序所创建的窗口的插入标记恶意隐藏起来是一个亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种信息处理方法及装置,以避免恶意程序将电子设备中的程序所创建的窗口的插入标记恶意隐藏起来,从而大大地提高了用户的使用体验。
一方面,本发明实施例提供了一种信息处理方法,所述方法包括:
检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,所述调用请求中包括目标窗口的信息;
若接收到对第一函数的调用请求,判断生成所述调用请求的第一程序是否为恶意程序;
若所述第一程序是恶意程序,拦截所述第一函数,进而拒绝隐藏所述目标窗口的插入标记。
更进一步的,上述方法中,所述判断所述第一程序是否为恶意程序之后,所述方法还包括:
若所述第一程序不是恶意程序,调用所述第一函数,以隐藏所述目标窗口的插入标记。
更进一步的,上述方法中,若接收到对第一函数的调用请求,所述方法还包括:
基于所述目标窗口的信息,判断所述目标窗口是否为生成所述调用请求的第一程序创建的,若为否,执行所述判断生成所述调用请求的第一程序是否为恶意程序。
更进一步的,上述方法中,所述目标窗口的信息为所述目标窗口的窗口句柄标识,相应地,所述判断所述目标窗口是否为生成所述调用请求的第一程序创建的,包括:
根据所述窗口句柄标识,获取与所述窗口句柄标识相对应的程序路径信息;
获取所述第一程序的路径信息;
判断所述路径信息与所述程序路径信息是否相同,如果不是,表明所述目标窗口不是生成所述调用请求的第一程序创建的。
更进一步的,上述方法中,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述第一程序所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的目标内容标识值;
根据所述目标内容标识值和预设对应关系,确定所述第一程序是否为恶意程序,其中,所述预设对应关系为关于多个内容标识值与程序安全类型的对应关系,所述程序安全类型的种类包括恶意类型和非恶意类型。
更进一步的,上述方法中,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述第一程序所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的目标内容标识值;
判断本地存储的恶意数据库中是否存在所述目标内容标识值,其中,所述恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明所述第一程序是恶意程序。
更进一步的,上述方法中,所述内容标识值为MD5值或哈希值。
更进一步的,上述方法中,所述检测是否接收到对第一函数的调用请求,包括:
通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
另一方面,本发明实施例还提供了一种信息处理装置,包括:
调用请求检测模块,用于检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,所述调用请求中包括目标窗口的信息;
恶意程序判断模块,用于在接收到对第一函数的调用请求的情况下,判断生成所述调用请求的第一程序是否为恶意程序;
第一执行模块,用于在所述第一程序是恶意程序的情况下,拦截所述第一函数,进而拒绝隐藏所述目标窗口的插入标记。
更进一步的,上述装置还包括:
第二执行模块,用于在判断生成所述调用请求的第一程序是否为恶意程序,且判断结果为否的情况下,调用所述第一函数,以隐藏所述目标窗口的插入标记。
更进一步的,上述装置还包括:
窗口创建对象确定模块,用于在接收到对第一函数的调用请求的情况下,基于所述目标窗口的信息,判断所述目标窗口是否为生成所述调用请求的第一程序创建的,若为否,触发所述恶意程序判断模块。
更进一步的,上述装置中,所述目标窗口的信息为所述目标窗口的窗口句柄标识,相应地,所述窗口创建对象确定模块,包括:
程序路径信息获取单元,用于根据所述窗口句柄标识,获取与所述窗口句柄标识相对应的程序路径信息;
第一路径信息获取单元,用于获取所述第一程序的路径信息;
路径信息判断单元,用于判断所述路径信息与所述程序路径信息是否相同,如果不是,表明所述目标窗口不是生成所述调用请求的第一程序创建的。
更进一步的,上述装置中,所述恶意程序判断模块,包括:
第二路径信息获取单元,用于获取生成所述调用请求的第一程序的路径信息;
第一数据文件获取单元,用于根据所述路径信息,获取所述第一程序所对应的数据文件;
目标内容标识值确定单元,用于根据所述数据文件的文件内容,确定所述第一程序的目标内容标识值;
第一恶意程序确定单元,用于根据所述目标内容标识值和预设对应关系,确定所述第一程序是否为恶意程序,其中,所述预设对应关系为关于多个内容标识值与程序安全类型的对应关系,所述程序安全类型的种类包括恶意类型和非恶意类型。
更进一步的,上述装置中,所述恶意程序判断模块,包括:
第三路径信息获取单元,用于获取生成所述调用请求的第一程序的路径信息;
第二数据文件获取单元,用于根据所述路径信息,获取所述第一程序所对应的数据文件;
第二目标内容标识值确定单元,用于根据所述数据文件的文件内容,确定所述第一程序的目标内容标识值;
第二恶意程序确定单元,用于判断本地存储的恶意数据库中是否存在所述目标内容标识值,其中,所述恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明所述第一程序是恶意程序。
更进一步的,上述装置中,所述内容标识值为MD5值或哈希值。
更进一步的,上述装置中,所述调用请求检测模块具体用于通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
本发明实施例提供了一种信息处理方法和装置。该方法包括:检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,调用请求中包括目标窗口的信息;若接收到对第一函数的调用请求,判断生成调用请求的第一程序是否为恶意程序;若第一程序是恶意程序,拦截第一函数,进而拒绝隐藏目标窗口的插入标记。与现有技术相比,本发明实施例中,当检测到对系统内核层中用于执行隐藏窗口插入标记操作的第一函数的调用请求时,电子设备不会立即调用第一函数,而是先判断生成调用请求的第一程序是否为恶意程序,在第一程序为恶意程序的情况下,电子设备会对第一函数进行拦截,进而拒绝隐藏目标窗口的插入标记,相应地,目标窗口的插入标记将不会被恶意隐藏起来,当用户想要在目标窗口中实施插入操作时,用户可以非常容易地找到插入标记并实施插入操作,这样可以给用户带来非常好的使用体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的信息处理方法的流程图;
图2为本发明实施例提供的信息处理方法的又一流程图;
图3为本发明实施例提供的信息处理方法的又一流程图;
图4为本发明实施例提供的信息处理装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术存在的问题,本发明实施例提供了一种信息处理方法及装置。
下面首先对本发明实施例所提供的一种信息处理方法进行介绍。
需要说明的是,本发明实施例所提供的一种信息处理方法可以应用于电子设备中。在实际应用中,该电子设备可以为智能手机、平板电脑、笔记本电脑等,这都是合理的。
另外,实现本发明实施例所提供的一种信息处理方法的功能软件可以为独立的客户端软件,或者,也可以为现有客户端软件中的插件,这都是合理的。
参见图1,图中示出了本发明所提供的一种信息处理方法的流程图。如图1所示,该方法可以包括:
S101,检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,调用请求中包括目标窗口的信息,如果是,执行S102。
本领域技术人员可以理解的是,窗口是电子设备的用户界面中最为重要的组成部分。具体地,窗口是电子设备的屏幕上与一个程序相对应的矩形区域,该矩形区域包括框架和客户区,由框架和客户区组合而成的矩形区域构成了用户与创建该窗口的程序之间进行交互的可视界面。每当用户开始运行一个程序时,该程序就会向电子设备的操作系统发送请求,以使操作系统创建并显示一个与该程序相对应的窗口,当用户操作该窗口中的对象时,该程序就会作出相应的反应,例如,当用户关闭该窗口时,生成该窗口的程序就会停止运行。
目前,在很多情况下,需要隐藏电子设备中的窗口的插入标记,为了实现该目的,电子设备的操作系统提供了两个用于执行隐藏窗口插入标记操作的函数,其中,一个函数位于系统内核层中,另一个函数位于系统应用层中。具体地,位于系统内核层中的函数,即第一函数可以为NtUserHideCaret函数,位于系统应用层中的函数可以为HideCaret函数。
这样,当系统内核层中的程序希望隐藏目标窗口的插入标记时,该程序就会发出对系统内核层中的NtUserHideCaret函数的调用请求,并在调用请求中携带目标窗口的信息,举例而言,调用请求中可以携带目标窗口的窗口句柄标识,最终,若NtUserHideCaret函数被成功调用,目标窗口的插入标记即可被成功隐藏。
类似地,当系统应用层中的程序希望隐藏目标窗口的插入标记时,该程序会发出对系统应用层中的HideCaret函数以及对系统内核层中的NtUserHideCaret函数的调用请求,并在调用请求中携带目标窗口的信息,举例而言,调用请求中可以携带目标窗口的窗口句柄标识,最终,若HideCaret函数和NtUserHideCaret函数被依次成功调用,目标窗口的插入标记即可被成功隐藏。
可以看出,不管程序是属于系统内核层还是系统应用层,若其要对目标窗口的插入标记进行隐藏,最终都需要调用系统内核层中用于执行隐藏窗口插入标记操作的函数,即第一函数。也就是说,只要检测到对第一函数的调用请求,就说明有程序请求隐藏目标窗口的插入标记。因此,只要对针对第一函数的调用请求进行检测,就可以有效地检测所有程序的隐藏窗口插入标记的请求,从而避免对某些程序发出的隐藏窗口插入标记的请求的遗漏。
需要注意的是,目前恶意程序会通过调用第一函数来使电子设备中的程序所创建的窗口的插入标记被隐藏,这样,当用户想要在该窗口中实施插入操作时,用户将无法找到该插入标记,相应地,用户将无法实施插入操作,这样会给用户带来非常不好的使用体验。
因此,具体实施时,为了避免恶意程序将电子设备中的程序所创建的窗口的插入标记恶意隐藏起来,当电子设备检测到对第一函数的调用请求时,电子设备不会立即调用第一函数,而是先执行后续的S102,相应地,目标窗口的插入标记不会立即被隐藏。
需要强调的是,检测是否接收到对第一函数的调用请求的具体实现方式存在多种,为了布局清楚,后续进行举例介绍。
S102,判断生成调用请求的第一程序是否为恶意程序,若为是,执行S103。
需要说明的是,判断生成调用请求的第一程序是否为恶意程序的具体实现方式存在多种,为了布局清楚,后续进行举例介绍。
S103,拦截第一函数,进而拒绝隐藏目标窗口的插入标记。
当判断出第一程序是恶意程序时,为了避免恶意程序将目标窗口的插入标记恶意隐藏起来,从而给用户带来不好的使用体验,电子设备会对第一函数进行拦截,以拒绝隐藏目标窗口的插入标记。
与现有技术相比,本实施例中,当检测到对系统内核层中用于执行隐藏窗口插入标记操作的第一函数的调用请求时,电子设备不会立即调用第一函数,而是先判断发出调用请求的第一程序是否为恶意程序,在第一程序为恶意程序的情况下,电子设备会对第一函数进行拦截,进而拒绝隐藏目标窗口的插入标记,相应地,目标窗口的插入标记将不会被恶意隐藏起来,当用户想要在目标窗口中实施插入操作时,用户可以非常容易地找到插入标记并实施插入操作,这样可以给用户带来非常好的使用体验。
参见图2,图中示出了本发明所提供的一种信息处理方法的又一流程图。如图2所示,该方法可以包括:
S201,检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,调用请求中包括目标窗口的信息,如果是,执行S202。
S202,判断生成调用请求的第一程序是否为恶意程序,若为是,执行S203,否则,执行S204。
S203,拦截第一函数,进而拒绝隐藏目标窗口的插入标记。
S204,调用第一函数,以隐藏目标窗口的插入标记。
其中,S201至S203的具体实施过程参照对S101至S103的说明即可,在此不再赘述。
当S202中判断出第一程序不是恶意程序时,则说明希望隐藏目标窗口的插入标记的程序并不是恶意程序,而是非恶意程序,此时,隐藏目标窗口的插入标记的操作是用户所希望的,因此,电子设备可以调用第一函数。当第一函数被成功调用后,目标窗口的插入标记即可按照用户的需求被成功隐藏。
参见图3,图中示出了本发明所提供的一种信息处理方法的又一流程图。如图3所示,该方法可以包括:
S301,检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,调用请求中包括目标窗口的信息,如果是,执行S302。
其中,S301的具体实施过程参照对S101的说明即可,在此不再赘述。
S302,基于目标窗口的信息,判断目标窗口是否为生成调用请求的第一程序创建的,若为否,执行S303。
本实施例中,若判断出目标窗口是生成调用请求的第一程序创建的,则说明第一程序希望将自身创建的窗口中的插入标记隐藏起来,此时,电子设备可以直接调用第一函数,以响应调用请求,而不需要再判断发出调用请求的第一程序是否为恶意程序。若判断出目标窗口不是生成调用请求的第一程序创建的,则说明第一程序希望将其他程序创建的窗口的插入标记隐藏起来,这样有可能会给用户带来不好的使用体验,因此,此时电子设备不会立即调用第一函数,而会先判断第一程序是否为恶意程序。
需要说明的是,基于目标窗口的信息,判断目标窗口是否为生成调用请求的第一程序创建的具体实现方式存在多种,为了布局清楚,后续进行举例介绍。
S303,判断生成调用请求的第一程序是否为恶意程序,若为是,执行S304。
S304,拦截第一函数,进而拒绝隐藏目标窗口的插入标记。
其中,S303和S304的具体实施过程参照对S102和S103的说明即可,在此不再赘述。
可以看出,本实施例也可以较好地避免恶意程序将电子设备中的程序所创建的窗口的插入标记恶意隐藏起来,从而大大地提高了用户的使用体验。
更进一步的,基于目标窗口的信息,判断目标窗口是否为生成调用请求的第一程序创建的具体实现方式存在多种,下面进行举例介绍:
一种具体实现方式中,目标窗口的信息可以为目标窗口的窗口句柄标识,相应地,基于目标窗口的信息,判断目标窗口是否为生成调用请求的第一程序创建的,包括:
根据窗口句柄标识,获取与窗口句柄标识相对应的程序路径信息;
获取第一程序的路径信息;
判断路径信息与程序路径信息是否相同,如果不是,表明目标窗口不是生成调用请求的第一程序创建的。
本领域技术人员可以理解的是,当电子设备检测到对第一函数的调用请求后,电子设备根据调用请求可以非常容易地获得目标窗口的窗口句柄标识以及生成调用请求的第一程序的路径信息,该目标窗口的窗口句柄标识可以对目标窗口进行标识,并且,在获得窗口句柄标识后,电子设备根据该窗口句柄标识也可以非常容易地获得与该窗口句柄标识相对应的程序路径信息,该程序路径信息即为创建目标窗口的程序的路径信息。接下来,电子设备会将获取到的两个路径信息进行比对,若两者相同,则说明生成调用请求的第一程序与创建目标窗口的程序为同一个程序,即目标窗口是生成调用请求的第一程序创建的,此时电子设备可以直接调用第一函数,否则,电子设备需要先对第一程序是否为恶意程序进行判断,在判断结果为否的情况下,电子设备才会去调用第一函数。
更进一步的,判断生成调用请求的第一程序是否为恶意程序的具体实现方式存在多种,下面进行举例介绍:
在一种具体实现方式中,判断生成调用请求的第一程序是否为恶意程序,可以包括:
获取生成调用请求的第一程序的路径信息;
根据路径信息,获取第一程序所对应的数据文件;
根据数据文件的文件内容,确定第一程序的目标内容标识值;
根据目标内容标识值和预设对应关系,确定第一程序是否为恶意程序,其中,预设对应关系为关于多个内容标识值与程序安全类型的对应关系,程序安全类型的种类包括恶意类型和非恶意类型。
本实施例中,电子设备内可以具有一数据库,该数据库内可以存储有多个内容标识值与程序安全类型之间的预设对应关系。
实际判断过程中,电子设备可以先获取生成调用请求的第一程序的路径信息,然后根据第一程序的路径信息,从与该路径信息对应的存储区域中获取第一程序所对应的数据文件,该数据文件的文件内容即为构成第一程序的所有代码,然后,电子设备可以根据构成第一程序的所有代码,确定第一程序的目标内容标识值。具体地,电子设备可以通过预设的加密算法对构成第一程序的所有代码进行加密,以获得目标内容标识值,该目标内容标识值可以对第一程序进行标识。接下来,电子设备可以根据目标内容标识值和预设对应关系,从数据库中获取与目标内容标识值相对应的程序安全类型。若与目标内容标识值所对应的程序安全类型为恶意类型,则说明第一程序是恶意程序,此时电子设备拦截第一函数,故目标窗口的插入标记将不会被隐藏起来;若与目标内容标识值所对应的程序安全类型为非恶意类型,则说明第一程序不是恶意程序,此时电子设备会调用第一函数,故目标窗口的插入标记会被成功隐藏起来。
在另一种具体实现方式中,判断生成调用请求的第一程序是否为恶意程序,可以包括:
获取生成调用请求的第一程序的路径信息;
根据路径信息,获取第一程序所对应的数据文件;
根据数据文件的文件内容,确定第一程序的目标内容标识值;
判断本地存储的恶意数据库中是否存在目标内容标识值,其中,恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明第一程序是恶意程序。
本实施例中,电子设备内可以具有一恶意数据库,该恶意数据库内可以存储有多个恶意程序的内容标识值。
实际判断过程中,电子设备可以先获取生成调用请求的第一程序的路径信息,然后根据第一程序的路径信息,从与该路径信息对应的存储区域中获取第一程序所对应的数据文件,该数据文件的文件内容即为构成第一程序的所有代码,然后,电子设备可以根据构成第一程序的所有代码,确定第一程序的目标内容标识值。具体地,电子设备可以通过预设的加密算法对构成第一程序的所有代码进行加密,以获得目标内容标识值,该目标内容标识值可以对第一程序进行标识。接下来,电子设备可以在恶意数据库中查找目标内容标识值,若在恶意数据库中查找到目标内容标识值,即表明第一程序是恶意程序,此时电子设备拦截第一函数,故目标窗口的插入标记将不会被隐藏起来;若在恶意数据库中未查找到目标内容标识值,即表明第一程序不是恶意程序,此时电子设备会调用第一函数,故目标窗口的插入标记将会被成功隐藏起来。
需要说明的是,上述实施例中,内容标识值可以为MD5值或哈希值。这样,在获取到第一程序所对应的数据文件后,电子设备可以根据现有的、用于获得MD5值或哈希值的加密算法来对构成第一程序的所有代码进行加密,以获得第一程序所对应的目标MD5值或目标哈希值。接下来,电子设备会根据目标MD5值或目标哈希值所对应的程序安全类型,或者目标MD5值或目标哈希值是否存在于恶意数据库中,从而最终确定第一程序是否为恶意程序。
需要强调的是,内容标识值的类型并不仅仅限于MD5值或哈希值,其也可以为其他类型的、可以通过加密算法得到的标识值,这都是可行的。
可以看出,通过上述方式来判断第一程序是否为恶意程序时,判断过程实施起来均非常便捷。
更进一步的,检测是否接收到对第一函数的调用请求的具体实现方式存在多种,下面进行举例介绍:
在一种具体实现方式中,检测是否接收到对第一函数的调用请求,包括:
通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
需要说明的是,钩子是Windows处理机制的一个平台,程序可以在该平台上设置子程序以监视指定窗口的某种动作,并且,其所监视的窗口可以是其他程序创建的。对于钩子函数而言,其实际上是一个处理消息的程序段,其可以挂入系统中,这样,每当有特定的消息发出之后,在该消息到达目标窗口之前,钩子函数就会将该消息捕获,并取得对该消息的控制权。具体地,钩子函数可以加工处理该消息,或者钩子函数也可以不做处理以传递该消息,或者钩子函数也可以强制结束该消息的传递。
下面以第一函数为NtUserHideCaret函数,创建目标窗口的程序为金山毒霸的情况为例,对本实施例中的钩子函数的工作原理进行详细说明。
首先,可以在金山毒霸的防御驱动程序中设置一钩子函数,并使该钩子函数与NtUserHideCaret函数进行挂钩。这样,当第一程序希望对金山毒霸的窗口的插入标记进行隐藏时,第一程序就会发出调用请求,以通知电子设备的操作系统去调用NtUserHideCaret函数,该钩子函数会先于NtUserHideCaret函数接收到调用请求,此时电子设备会在钩子函数中判断创建目标窗口的程序和第一程序是不是同一个程序。若创建目标窗口的程序和第一程序是同一个程序,那么电子设备就会直接调用NtUserHideCaret函数,否则,电子设备就会在钩子函数中判断生成调用请求的第一程序是否为恶意程序。若第一程序不是恶意程序,电子设备就会直接调用NtUserHideCaret函数,以响应调用请求,否则,金山毒霸的防御驱动程序就会拦截NtUserHideCaret函数,这样,目标窗口的插入标记将不会被隐藏。
需要说明的是,驱动程序一般是指设备驱动程序,其是一种可以使计算机和设备通信的特殊程序,其相当于硬件的接口,操作系统只有通过这个接口,才能控制硬件设备的工作,若某设备的驱动程序未能正确安装,那么该设备将无法正常工作。因此,驱动程序被比作“硬件的灵魂”、“硬件的主宰”和“硬件和系统之间的桥梁”等。
可以看出,当采用钩子函数的方式来检测对第一函数的调用请求时,该检测操作执行起来非常方便。
综上,本实施例提供的信息处理方法可以较好地避免恶意程序将电子设备中的程序所创建的窗口的插入标记恶意隐藏起来,从而大大地提高了用户的使用体验。
相应于上述方法实施例,本发明实施例还提供了一种信息处理装置。下面对本发明所提供的一种信息处理装置进行说明。
参见图4,图中示出了本发明所提供的一种信息处理装置的结构框图。如图4所示,该装置可以包括:
调用请求检测模块41,用于检测是否接收到对第一函数的调用请求,其中,第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,调用请求中包括目标窗口的信息;
恶意程序判断模块42,用于在接收到对第一函数的调用请求的情况下,判断生成调用请求的第一程序是否为恶意程序;
第一执行模块43,用于在第一程序是恶意程序的情况下,拦截第一函数,进而拒绝隐藏目标窗口的插入标记。
与现有技术相比,本实施例中,当检测到对系统内核层中用于执行隐藏窗口插入标记的第一函数的调用请求时,电子设备不会立即调用第一函数,而是先判断发出调用请求的第一程序是否为恶意程序,在第一程序为恶意程序的情况下,电子设备会对第一函数进行拦截,进而拒绝隐藏目标窗口的插入标记,相应地,目标窗口的插入标记将不会被恶意隐藏起来,当用户想要在目标窗口中实施插入操作时,用户可以非常容易地找到插入标记并实施插入操作,这样可以给用户带来非常好的使用体验。
更进一步的,上述装置还包括:
第二执行模块,用于在判断生成调用请求的第一程序是否为恶意程序,且判断结果为否的情况下,调用第一函数,以隐藏目标窗口的插入标记。
更进一步的,上述装置还包括:
窗口创建对象确定装置,用于在接收到对第一函数的调用请求的情况下,基于目标窗口的信息,判断目标窗口是否为生成调用请求的第一程序创建的,若为否,触发属性信息获取模块。
更进一步的,上述装置中,目标窗口的信息为目标窗口的窗口句柄标识,相应地,窗口创建对象确定装置,包括:
程序路径信息获取单元,用于根据窗口句柄标识,获取与窗口句柄标识相对应的程序路径信息;
第一路径信息获取单元,用于获取第一程序的路径信息;
路径信息判断单元,用于判断路径信息与程序路径信息是否相同,如果不是,表明目标窗口不是生成调用请求的第一程序创建的。
更进一步的,上述装置中,恶意程序判断模块,包括:
第二路径信息获取单元,用于获取生成调用请求的第一程序的路径信息;
第一数据文件获取单元,用于根据路径信息,获取第一程序所对应的数据文件;
目标内容标识值确定单元,用于根据数据文件的文件内容,确定第一程序的目标内容标识值;
第一恶意程序确定单元,用于根据目标内容标识值和预设对应关系,确定第一程序是否为恶意程序,其中,预设对应关系为关于多个内容标识值与程序安全类型的对应关系,程序安全类型的种类包括恶意类型和非恶意类型。
更进一步的,上述装置中,恶意程序判断模块,包括:
第三路径信息获取单元,用于获取生成调用请求的第一程序的路径信息;
第二数据文件获取单元,用于根据路径信息,获取第一程序所对应的数据文件;
第二目标内容标识值确定单元,用于根据数据文件的文件内容,确定第一程序的目标内容标识值;
第二恶意程序确定单元,用于判断本地存储的恶意数据库中是否存在目标内容标识值,其中,恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明第一程序是恶意程序。
更进一步的,上述装置中,内容标识值为MD5值或哈希值。
更进一步的,上述装置中,调用请求检测模块具体用于通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
综上,本实施例提供的信息处理装置可以较好地避免恶意程序将电子设备中的程序所创建的窗口的插入标记恶意隐藏起来,从而大大地提高了用户的使用体验。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种信息处理方法,其特征在于,所述方法包括:
检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,所述调用请求中包括目标窗口的信息;
若接收到对第一函数的调用请求,判断生成所述调用请求的第一程序是否为恶意程序;
若所述第一程序是恶意程序,拦截所述第一函数,进而拒绝隐藏所述目标窗口的插入标记。
2.如权利要求1所述的方法,其特征在于,所述判断所述第一程序是否为恶意程序之后,所述方法还包括:
若所述第一程序不是恶意程序,调用所述第一函数,以隐藏所述目标窗口的插入标记。
3.如权利要求1所述的方法,其特征在于,若接收到对第一函数的调用请求,所述方法还包括:
基于所述目标窗口的信息,判断所述目标窗口是否为生成所述调用请求的第一程序创建的,若为否,执行所述判断生成所述调用请求的第一程序是否为恶意程序。
4.如权利要求3所述的方法,其特征在于,所述目标窗口的信息为所述目标窗口的窗口句柄标识,相应地,所述判断所述目标窗口是否为生成所述调用请求的第一程序创建的,包括:
根据所述窗口句柄标识,获取与所述窗口句柄标识相对应的程序路径信息;
获取所述第一程序的路径信息;
判断所述路径信息与所述程序路径信息是否相同,如果不是,表明所述目标窗口不是生成所述调用请求的第一程序创建的。
5.如权利要求1所述的方法,其特征在于,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述第一程序所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的目标内容标识值;
根据所述目标内容标识值和预设对应关系,确定所述第一程序是否为恶意程序,其中,所述预设对应关系为关于多个内容标识值与程序安全类型的对应关系,所述程序安全类型的种类包括恶意类型和非恶意类型。
6.如权利要求1所述的方法,其特征在于,所述判断生成所述调用请求的第一程序是否为恶意程序,包括:
获取生成所述调用请求的第一程序的路径信息;
根据所述路径信息,获取所述第一程序所对应的数据文件;
根据所述数据文件的文件内容,确定所述第一程序的目标内容标识值;
判断本地存储的恶意数据库中是否存在所述目标内容标识值,其中,所述恶意数据库中存储有多个恶意程序的内容标识值,若存在,表明所述第一程序是恶意程序。
7.如权利要求5或6所述的方法,其特征在于,所述内容标识值为MD5值或哈希值。
8.如权利要求1-6中任一项所述的方法,其特征在于,所述检测是否接收到对第一函数的调用请求,包括:
通过设置钩子函数的方式,检测是否接收到对第一函数的调用请求。
9.一种信息处理装置,其特征在于,包括:
调用请求检测模块,用于检测是否接收到对第一函数的调用请求,其中,所述第一函数为:系统内核层中用于执行隐藏窗口插入标记操作的函数,所述调用请求中包括目标窗口的信息;
恶意程序判断模块,用于在接收到对第一函数的调用请求的情况下,判断生成所述调用请求的第一程序是否为恶意程序;
第一执行模块,用于在所述第一程序是恶意程序的情况下,拦截所述第一函数,进而拒绝隐藏所述目标窗口的插入标记。
10.如权利要求9所述的装置,其特征在于,还包括:
第二执行模块,用于在判断生成所述调用请求的第一程序是否为恶意程序,且判断结果为否的情况下,调用所述第一函数,以隐藏所述目标窗口的插入标记。
CN201610373935.3A 2016-05-31 2016-05-31 一种信息处理方法及装置 Pending CN106022133A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610373935.3A CN106022133A (zh) 2016-05-31 2016-05-31 一种信息处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610373935.3A CN106022133A (zh) 2016-05-31 2016-05-31 一种信息处理方法及装置

Publications (1)

Publication Number Publication Date
CN106022133A true CN106022133A (zh) 2016-10-12

Family

ID=57091500

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610373935.3A Pending CN106022133A (zh) 2016-05-31 2016-05-31 一种信息处理方法及装置

Country Status (1)

Country Link
CN (1) CN106022133A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109871285A (zh) * 2017-12-05 2019-06-11 北京嘀嘀无限科技发展有限公司 动态调整方法、装置、服务器、移动终端和可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101924762A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云安全的主动防御方法
CN102663281A (zh) * 2012-03-16 2012-09-12 成都市华为赛门铁克科技有限公司 检测恶意软件的方法和装置
CN103020526A (zh) * 2012-12-21 2013-04-03 北京奇虎科技有限公司 恶意程序主动拦截方法和装置及客户端设备
US9152791B1 (en) * 2011-05-11 2015-10-06 Trend Micro Inc. Removal of fake anti-virus software
CN105373383A (zh) * 2015-11-13 2016-03-02 珠海市君天电子科技有限公司 一种应用程序窗口的显示与隐藏控制方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101924762A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云安全的主动防御方法
US9152791B1 (en) * 2011-05-11 2015-10-06 Trend Micro Inc. Removal of fake anti-virus software
CN102663281A (zh) * 2012-03-16 2012-09-12 成都市华为赛门铁克科技有限公司 检测恶意软件的方法和装置
CN103020526A (zh) * 2012-12-21 2013-04-03 北京奇虎科技有限公司 恶意程序主动拦截方法和装置及客户端设备
CN105373383A (zh) * 2015-11-13 2016-03-02 珠海市君天电子科技有限公司 一种应用程序窗口的显示与隐藏控制方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109871285A (zh) * 2017-12-05 2019-06-11 北京嘀嘀无限科技发展有限公司 动态调整方法、装置、服务器、移动终端和可读存储介质

Similar Documents

Publication Publication Date Title
US10846402B2 (en) Security scanning method and apparatus for mini program, and electronic device
US11570211B1 (en) Detection of phishing attacks using similarity analysis
CN110084039B (zh) 用于端点安全与网络安全服务之间的协调的框架
CN105868635B (zh) 用于应对恶意软件的方法和装置
EP2839406B1 (en) Detection and prevention of installation of malicious mobile applications
US7613918B2 (en) System and method for enforcing a security context on a downloadable
CN105631312B (zh) 恶意程序的处理方法及系统
EP2892198A1 (en) Detecting and breaking captcha automation scripts and preventing image scraping
EP2488985B1 (en) Detecting and responding to malware using link files
CN105631355A (zh) 一种数据处理方法和装置
CN109376078A (zh) 移动应用的测试方法、终端设备及介质
US9141797B1 (en) Detection of fake antivirus in computers
US10262136B1 (en) Cloud-based malware detection
CN106250761B (zh) 一种识别web自动化工具的设备、装置及方法
US10474810B2 (en) Controlling access to web resources
US10176153B1 (en) Generating custom markup content to deter robots
CN105447348B (zh) 一种显示窗口的隐藏方法、装置及用户终端
CN106022122A (zh) 一种信息处理方法及装置
CN106022133A (zh) 一种信息处理方法及装置
CN105556481B (zh) 防毒保护系统及方法
CN106407815A (zh) 漏洞检测方法及装置
US10552626B2 (en) System and method for selecting a data entry mechanism for an application based on security requirements
CN105868634A (zh) 一种拦截方法及装置
CN114095218A (zh) 一种资产漏洞管理方法及装置
CN107908961B (zh) 基于虚拟化的恶意网页检测方法、设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20181213

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Applicant after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing

Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

TA01 Transfer of patent application right
RJ01 Rejection of invention patent application after publication

Application publication date: 20161012

RJ01 Rejection of invention patent application after publication