CN106127034A - 一种防止系统被恶意关闭的方法、装置及电子设备 - Google Patents
一种防止系统被恶意关闭的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN106127034A CN106127034A CN201610437047.3A CN201610437047A CN106127034A CN 106127034 A CN106127034 A CN 106127034A CN 201610437047 A CN201610437047 A CN 201610437047A CN 106127034 A CN106127034 A CN 106127034A
- Authority
- CN
- China
- Prior art keywords
- mistake
- closed
- function
- parameter
- eigenvalue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明的实施例公开一种防止系统被恶意关闭的方法、装置及电子设备,涉及计算机安全技术领域,能够阻止恶意程序关闭系统。所述方法包括:监听进程对操作系统中产生系统错误函数进行调用的事件;根据监听到的所述事件,获取所述进程传送的错误报告选项参数;判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数;若所述错误报告选项参数为表示产生错误并关闭系统的参数,则获取所述进程路径;根据所述进程路径,判断所述进程是否是恶意进程;若所述进程是恶意进程,则拒绝产生系统错误。本发明适用于对系统关机的安全保护。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种防止系统被恶意关闭的方法、装置及电子设备。
背景技术
在Windows系统中,为阻止恶意程序关闭系统,通常情况下是Hook Windows系统内核层的常规关闭系统的函数NtShutdownSystem,继而达到系统关机保护的目的。
在实现本发明的过程中,发明人发现Windows系统内核层还提供了NtRaiseHardError函数,此函数可以产生一个系统错误,并且可为此错误设置一个错误报告选项,其值为0到8的整数,其中当该选项为6时,表示产生错误时并关闭系统,所以有的恶意程序可以通过调用内核的NtRaiseHardError函数来对系统进行关机操作,此方法比较隐蔽,这样恶意软件就能够破坏用户系统,导致用户的数据被损坏。
发明内容
有鉴于此,本发明实施例提供一种防止系统被恶意关闭的方法、装置及电子设备,能有效的阻止恶意程序关闭系统,达到保护系统及用户数据的目的。
第一方面,本发明实施例提供一种防止系统被恶意关闭的方法,包括:
监听进程对操作系统中产生系统错误函数进行调用的事件;
根据监听到的所述事件,获取所述进程传送的错误报告选项参数;
判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数;
若所述错误报告选项参数为表示产生错误并关闭系统的参数,则获取所述进程路径;
根据所述进程路径,判断所述进程是否是恶意进程;
若所述进程是恶意进程,则拒绝产生系统错误。
结合第一方面,在第一方面的第一种实施方式中,所述系统为Windows操作系统;所述产生系统错误函数为操作系统内核层的NtRaiseHardError函数;
在监听进程对操作系统中产生系统错误函数进行调用的事件之前,所述方法还包括:预先设置挂钩操作系统中产生系统错误函数的钩子函数;
所述监听进程对操作系统中产生系统错误函数进行调用的事件,包括:通过所述钩子函数监听进程对操作系统中产生系统错误函数进行调用的事件。
结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述拒绝产生系统错误,包括:
通过所述钩子函数向所述进程返回拒绝消息;或者
所述钩子函数拒绝调用产生系统错误函数,以拒绝产生系统错误。
结合第一方面的第一种实施方式,在第一方面的第三种实施方式中,所述判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数,包括:
判断所述错误报告选项参数是否为6,是则确定所述错误报告选项参数为表示产生错误并关闭系统的参数,否则确定所述错误报告选项参数不是表示产生错误并关闭系统的参数。
结合第一方面的第一种实施方式,在第一方面的第四种实施方式中,在根据所述进程路径,判断所述进程是否是恶意进程之后,还包括:
若所述进程不是恶意进程,则调用产生系统错误函数,以产生系统错误;
在判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数之后,还包括:
若所述错误报告选项参数不是表示产生错误并关闭系统的参数,则跳至执行调用产生系统错误函数的步骤。
结合第一方面,在第一方面的第五种可能的实现方式中,所述根据所述进程路径,判断所述进程是否是恶意进程,包括:
根据预先设置的特征值算法,获取所述进程路径对应文件的特征值;
判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;
若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意进程;
其中,所述预先设置的特征库中记录有已知恶意进程路径对应文件的特征值。
结合第一方面的第五种实施方式,在第一方面的第六种可能的实现方式中,所述预先设置的特征值算法为:
求取进程路径的计算消息摘要算法值或哈希值作为进程路径对应文件的特征值,或者
从进程路径中获取文件版本号作为进程路径对应文件的特征值。
结合第一方面的第五种至第六种中任一种实施方式,在第一方面的第七种实施方式中,在所述判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值之前,还包括:
统计已知恶意进程路径;
根据预先设置的特征值算法,获取所述已知恶意进程路径对应文件的特征值;
将已知恶意进程路径的特征值存储在特征库中。
第二方面,本发明实施例提供一种防止系统被恶意关闭的装置,包括:
监听模块,用于监听进程对操作系统中产生系统错误函数进行调用的事件;
错误报告获取模块,用于根据所述监听模块监听到的事件,获取所述进程传送的错误报告选项参数;
第一判断模块,用于判断所述错误报告获取模块获取的所述错误报告选项参数是否为表示产生错误并关闭系统的参数;
进程获取模块,用于在所述第一判断模块判断出所述错误报告选项参数为表示产生错误并关闭系统的参数时,获取所述进程路径;
第二判断模块,用于根据所述进程获取模块获取到的所述进程路径,判断所述进程是否是恶意进程;
拒绝模块,用于在所述第二判断模块判断出所述进程是恶意进程时,拒绝产生系统错误。
结合第二方面,在第二方面的第一种实施方式中,所述操作系统为Windows操作系统时,所述监听模块中预先设置有挂钩操作系统内核层的NtRaiseHardError函数的钩子函数,所述监听模块通过所述钩子函数监听进程对操作系统中产生系统错误函数进行调用的事件。
结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述拒绝模块通过所述钩子函数向所述进程返回拒绝消息或拒接调用产生系统错误函数,以拒绝产生系统错误。
结合第二方面的第一种实施方式,在第二方面的第三种实施方式中,所述第一判断模块判断所述错误报告获取模块获取的所述错误报告选项参数是否为6,是则确定所述错误报告选项参数为表示产生错误并关闭系统的参数,否则确定所述错误报告选项参数不是表示产生错误并关闭系统的参数。
结合第二方面的第一种实施方式,在第二方面的第四种实施方式中,所述拒绝模块,还用于在所述第二判断模块判断出所述进程不是恶意进程或所述第一判断模块判断出所述错误报告选项参数不是表示产生错误并关闭系统的参数时,调用产生系统错误函数以产生系统错误。
结合第二方面,在第二方面的第五种实施方式中,所述第二判断模块包括:
特征值计算子模块,用于根据预先设置的特征值算法,获取所述进程获取模块获取到的进程路径对应文件的特征值;
匹配子模块,用于判断预先设置的特征库中,是否记录有所述特征值计算子模块获取到的进程路径对应文件的特征值,若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意进程;其中,所述预先设置的特征库中记录有已知恶意进程路径对应文件的特征值。
结合第二方面的第五种实施方式,在第二方面的第六种实施方式中,所述特征值计算子模块具体用于求取所述进程获取模块获取到的进程路径的计算消息摘要算法值或哈希值作为进程路径对应文件的特征值,或者从所述进程获取模块获取到的进程路径中获取文件版本号作为进程路径对应文件的特征值。
结合第二方面的第五种或第六种实施方式,在第二方面的第七种实施方式中,所述防止系统被恶意关闭的装置还包括:
特征库生成模块,用于预先统计已知恶意进程路径,并根据预先设置的特征值算法,获取所述已知恶意进程路径对应文件的特征值并存储在特征库中。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的防止系统被恶意关闭的方法。
本发明实施例提供的一种防止系统被恶意关闭的方法、装置及电子设备,通过对操作系统的产生系统错误函数被进程调用的事件进行监听,当监听到有进程调用产生系统错误函数时,获取所述进程传送的错误报告选项参数,并判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数,当错误报告选项参数为表示产生错误并关闭系统的参数,则获取所述进程路径,并根据所述进程路径判断该进程是否是恶意进程,若所述进程是恶意进程,则拒绝产生系统错误。由此能够能能够拦截恶意软件采用隐蔽方式关闭系统的行为,达到保护系统及用户数据的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明防止系统被恶意关闭的方法实施例一的流程图;
图2为本发明防止系统被恶意关闭的方法实施例二的流程图;
图3为本发明防止系统被恶意关闭的装置实施例一的结构示意图;
图4为本发明防止系统被恶意关闭的装置实施例三的结构示意图;
图5为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例一种防止系统被恶意关闭的方法、装置及电子设备进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明防止系统被恶意关闭的方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、监听进程对操作系统中产生系统错误函数进行调用的事件。
操作系统提供了产生系统错误函数。恶意应用程序的进程通过调用所述产生系统错误函数可产生一系统错误如关闭系统错误,即可实现恶意关机。本实施例通过对所述产生系统错误函数进行监视,可及时截获恶意应用程序要产生系统错误的消息。
步骤102、根据监听到的所述事件,获取进程传送的错误报告选项参数。
恶意应用程序的进程开始调用所述产生系统错误函数时,会向产生系统错误函数传送错误报告选项参数,不同的错误报告选项参数值表示不同的系统错误。本实施例中,可在所述进程传送的错误报告选项参数到达所述系统错误函数之前将其截获。
步骤103、判断错误报告选项参数是否为表示产生错误并关闭系统的参数;若错误报告选项参数为表示产生错误并关闭系统的参数,则执行步骤104。
步骤104、获取调用产生系统错误函数的进程路径。
本实施例中,若错误报告选项参数表示产生关闭系统的错误,则为了防止恶意进程关闭系统,获取当前调用产生系统错误函数的进程信息,如进程路径。
步骤105、根据所述进程路径,判断所述进程是否是恶意进程;若所述进程是恶意进程,则执行步骤106。
由于恶意程序几乎无法做到随机变换的进程路径,因此,通过当前调用产生系统错误函数的进程路径,可以通过调用产生系统错误函数的进程路径来判断其是否是恶意进程。
本实施例中,作为一可选方式,可根据预先设置的特征值算法获取所述进程路径对应文件的特征值;然后判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意进程。其中,特征库是预先设置的,特征库的生成过程为:统计已知恶意进程路径;根据预先设置的特征值算法,获取所述已知恶意进程路径对应文件的特征值存储在特征库中。
优选地,预先设置的特征值算法为:求取进程路径的计算消息摘要算法(MD5)值或哈希(HASH)值作为进程路径对应文件的特征值,或者从进程路径中获取文件版本号作为进程路径对应文件的特征值。
步骤106、拒绝产生系统错误。
本实施例中,若此次想要产生系统错误的进程是恶意进程,则返回拒绝消息,拒绝该进程调用产生系统错误函数,以拒绝产生系统错误。
通过上述方法,恶意进程要通过产生系统错误使系统关闭的行为就会失败。
本发明实施例提供的防止系统被恶意关闭的方法,通过对操作系统的产生系统错误函数被进程调用的事件进行监听,当监听到有进程调用产生系统错误函数时,获取所述进程传送的错误报告选项参数,并判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数,当错误报告选项参数为表示产生错误并关闭系统的参数,则获取所述进程路径,并根据所述进程路径判断该进程是否是恶意进程,若所述进程是恶意进程,则拒绝产生系统错误。由此能够能有效的阻止恶意程序关闭系统,达到保护系统及用户数据的目的。
图2为本发明防止系统被恶意关闭的方法实施例二的流程图,本实施例用于Windows操作系统;所述产生系统错误函数为操作系统内核层的NtRaiseHardError函数。本发明实施例适用于金山毒霸或金山卫士等安全防护类应用程序对操作系统的关机保护。如图2所示,本实施例的方法包括如下步骤:
步骤201、通过预先设置的钩子(Hook)函数监听进程对操作系统中NtRaiseHardError函数进行调用的事件。
钩子函数实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子函数就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
本实施例中,钩子函数在本步骤执行之前预先建立在安全防护类应用程序如金山毒霸的防御驱动中,该钩子函数挂钩操作系统中的NtRaiseHardError函数。安全防护类应用程序的防御驱动在Windows操作系统开机后即开始运行。
本实施例中,将NtRaiseHardError函数的原始入口地址修改为本实施例中的钩子函数的入口地址。恶意进程在调用NtRaiseHardError函数时,由于NtRaiseHardError函数的原始入口地址已被修改为本实施例的钩子函数的入口地址,则调用NtRaiseHardError函数时,会跳至本实施例的钩子函数的执行,由此实现对NtRaiseHardError函数的监视。为了实现对NtRaiseHardError函数的回调,在将NtNtRaiseHardError函数的原始入口地址修改为本实施例中的钩子函数的入口地址之前,需要对NtRaiseHardError函数的原始入口地址进行保存。
步骤202、钩子函数根据监听到的所述事件,获取所述进程传送的错误报告选项参数。
本实施例中,恶意进程对NtRaiseHardError函数的调用,是通过向Windows操作系统发出调用NtRaiseHardError函数的消息,该消息会直接被钩子函数截获。钩子函数截获到该消息,即视为监听到NtRaiseHardError函数被进程调用的事件,该消息中包括进程向NtRaiseHardError函数传送的错误报告选项参数。
步骤203、判断错误报告选项参数是否为表示产生错误并关闭系统的参数;若错误报告选项参数为表示产生错误并关闭系统的参数,则执行步骤204;若所述错误报告选项参数不是表示产生错误并关闭系统的参数,则执行步骤207。
本实施例中,对于被调用的NtRaiseHardError函数而言,当错误报告选项参数是6时,表示产生错误并关闭系统,执行步骤204。
步骤204、获取调用NtRaiseHardError函数的进程路径。
本实施例中,所述步骤204和上述方法实施例的步骤104类似,此处不再赘述。
步骤205、根据所述进程路径,判断所述进程是否是恶意进程;若所述进程是恶意进程,则执行步骤206;若所述进程不是恶意进程,则执行步骤207。
本实施例中,判断所述进程是否是恶意进程的方法和上述方法实施例的步骤105类似,此处不再赘述。
步骤206、钩子函数向所述进程返回拒绝消息或者拒绝调用NtRaiseHardError函数,以拒绝产生关闭系统的系统错误。
步骤207、钩子函数调用NtRaiseHardError函数,以产生关闭系统的系统错误。
本实施例提供的防止系统被恶意关闭的方法,能够拦截恶意软件通过调用内核函数的方式关闭操作系统。
下面采用一个具体的实施例,对图1~图2中任一个所示方法实施例的技术方案进行详细说明。
在用户电脑环境中,存在一个恶意软件A。在金山毒霸的防御驱动中Hook了产生错误的NtRaiseHardError函数,当恶意软件A的进程通知其驱动程序调用NtRaiseHardError函数,产生一个错误,并且设置错误报告选项参数为6打算关闭系统时,防御驱动就会对此行为进行拦截,并返回拒绝消息,使得恶意软件不能关闭用户系统,从而更好地保护用户系统环境不被破坏。
图3为本发明防止系统被恶意关闭的装置实施例一的结构示意图,如图3所示,本实施例的装置可以包括:监听模块11、错误报告获取模块12、第一判断模块13、进程获取模块14、第二判断模块15、拒绝模块16。其中,监听模块11,用于监听进程对操作系统中产生系统错误函数进行调用的事件;错误报告获取模块12,用于根据监听模块11监听到的事件,获取进程传送的错误报告选项参数;第一判断模块13,用于判断错误报告获取模块12获取的错误报告选项参数是否为表示产生错误并关闭系统的参数;进程获取模块14,用于在第一判断模块13判断出错误报告选项参数为表示产生错误并关闭系统的参数时,获取进程路径;第二判断模块15,用于根据进程获取模块14获取到的进程路径,判断进程是否是恶意进程;拒绝模块16,用于在第二判断模块15判断出进程是恶意进程时,拒绝产生系统错误。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明防止系统被恶意关闭的装置实施例二中,当防止系统被恶意关闭的装置用于Windows操作系统中时,监听模块11中预先设置有挂钩操作系统内核层的NtRaiseHardError函数的钩子函数,监听模块11通过所述钩子函数监听进程对操作系统中NtRaiseHardError函数进行调用的事件。第一判断模块13判断所述错误报告获取模块获取的所述错误报告选项参数是否为6,是则确定所述错误报告选项参数为表示产生错误并关闭系统的参数,否则确定所述错误报告选项参数不是表示产生错误并关闭系统的参数。拒绝模块16通过所述钩子函数向所述进程返回拒绝消息或拒接调用NtRaiseHardError函数,以拒绝产生系统错误;拒绝模块16还用于在第二判断模块15判断出所述进程不是恶意进程或所述第一判断模块13判断出所述错误报告选项参数不是表示产生错误并关闭系统的参数时,调用NtRaiseHardError函数以产生系统错误。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本发明防止系统被恶意关闭的装置实施例三的结构示意图,如图4所示,本实施例的装置在图3所示装置结构的基础上,进一步地,第二判断模块15可以包括:特征值计算子模块151,用于根据预先设置的特征值算法,获取进程获取模块14获取到的进程路径对应文件的特征值;匹配子模块152,用于判断预先设置的特征库中,是否记录有特征值计算子模块151获取到的进程路径对应文件的特征值,若预先设置的特征库中记录有进程路径对应文件的特征值,则确定进程为恶意进程;若预先设置的特征库中没有记录进程路径对应文件的特征值,则确定进程不是恶意进程;其中,预先设置的特征库中记录有已知恶意进程路径对应文件的特征值。
优选地,在实施例三中,特征值计算子模块151具体用于求取进程获取模块14获取到的进程路径的计算消息摘要算法(MD5)值或哈希(HASH)值作为进程路径对应文件的特征值,或者从进程获取模块14获取到的进程路径中获取文件版本号作为进程路径对应文件的特征值。
优选地,实施例三所示的防止系统被恶意关闭的装置还可包括特征库生成模块(图4中未示出),用于预先统计已知恶意进程路径,并根据预先设置的特征值算法,获取所述已知恶意进程路径对应文件的特征值并存储在特征库中;则匹配子模块152判断时是到特征库生成模块设置的特征库中匹配是否有特征值计算子模块151获取到的进程路径对应文件的特征值。
本实施例的装置,可以用于执行图1或图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本发明实施例还提供一种电子设备。图5为本发明电子设备一个实施例的结构示意图,可以实现本发明图1或图2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体21、处理器22、存储器23、电路板24和电源电路25,其中,电路板24安置在壳体21围成的空间内部,处理器22和存储器23设置在电路板24上;电源电路25,用于为上述电子设备的各个电路或器件供电;存储器23用于存储可执行程序代码;处理器22通过读取存储器23中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的防止系统被恶意关闭的方法。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种防止系统被恶意关闭的方法,其特征在于,包括:
监听进程对操作系统中产生系统错误函数进行调用的事件;
根据监听到的所述事件,获取所述进程传送的错误报告选项参数;
判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数;
若所述错误报告选项参数为表示产生错误并关闭系统的参数,则获取所述进程路径;
根据所述进程路径,判断所述进程是否是恶意进程;
若所述进程是恶意进程,则拒绝产生系统错误。
2.如权利要求1所述的防止系统被恶意关闭的方法,其特征在于,所述系统为Windows操作系统;所述产生系统错误函数为操作系统内核层的NtRaiseHardError函数;
在监听进程对操作系统中产生系统错误函数进行调用的事件之前,所述方法还包括:预先设置挂钩操作系统中产生系统错误函数的钩子函数;
所述监听进程对操作系统中产生系统错误函数进行调用的事件,包括:通过所述钩子函数监听进程对操作系统中产生系统错误函数进行调用的事件。
3.如权利要求2所述的防止系统被恶意关闭的方法,其特征在于,
所述拒绝产生系统错误,包括:
通过所述钩子函数向所述进程返回拒绝消息;或者
所述钩子函数拒绝调用产生系统错误函数,以拒绝产生系统错误。
4.如权利要求2所述的防止系统被恶意关闭的方法,其特征在于,所述判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数,包括:
判断所述错误报告选项参数是否为6,是则确定所述错误报告选项参数为表示产生错误并关闭系统的参数,否则确定所述错误报告选项参数不是表示产生错误并关闭系统的参数。
5.如权利要求2所述的防止系统被恶意关闭的方法,其特征在于,在根据所述进程路径,判断所述进程是否是恶意进程之后,还包括:
若所述进程不是恶意进程,则调用产生系统错误函数,以产生系统错误;
在判断所述错误报告选项参数是否为表示产生错误并关闭系统的参数之后,还包括:
若所述错误报告选项参数不是表示产生错误并关闭系统的参数,则跳至执行调用产生系统错误函数的步骤。
6.如权利要求1所述的防止系统被恶意关闭的方法,其特征在于,所述根据所述进程路径,判断所述进程是否是恶意进程,包括:
根据预先设置的特征值算法,获取所述进程路径对应文件的特征值;
判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;
若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意进程;
其中,所述预先设置的特征库中记录有已知恶意进程路径对应文件的特征值。
7.如权利要求6所述的防止系统被恶意关闭的方法,其特征在于,所述预先设置的特征值算法为:
求取进程路径的计算消息摘要算法值或哈希值作为进程路径对应文件的特征值,或者
从进程路径中获取文件版本号作为进程路径对应文件的特征值。
8.如权利要求6或7所述的防止系统被恶意关闭的方法,其特征在于,在所述判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值之前,还包括:
统计已知恶意进程路径;
根据预先设置的特征值算法,获取所述已知恶意进程路径对应文件的特征值;
将已知恶意进程路径的特征值存储在特征库中。
9.一种防止系统被恶意关闭的装置,其特征在于,包括:
监听模块,用于监听进程对操作系统中产生系统错误函数进行调用的事件;
错误报告获取模块,用于根据所述监听模块监听到的事件,获取所述进程传送的错误报告选项参数;
第一判断模块,用于判断所述错误报告获取模块获取的所述错误报告选项参数是否为表示产生错误并关闭系统的参数;
进程获取模块,用于在所述第一判断模块判断出所述错误报告选项参数为表示产生错误并关闭系统的参数时,获取所述进程路径;
第二判断模块,用于根据所述进程获取模块获取到的所述进程路径,判断所述进程是否是恶意进程;
拒绝模块,用于在所述第二判断模块判断出所述进程是恶意进程时,拒绝产生系统错误。
10.根据权利要求9所述的防止系统被恶意关闭的装置,其特征在于,所述操作系统为Windows操作系统时,所述监听模块中预先设置有挂钩操作系统内核层的NtRaiseHardError函数的钩子函数,所述监听模块通过所述钩子函数监听进程对操作系统中产生系统错误函数进行调用的事件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610437047.3A CN106127034B (zh) | 2016-06-17 | 2016-06-17 | 一种防止系统被恶意关闭的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610437047.3A CN106127034B (zh) | 2016-06-17 | 2016-06-17 | 一种防止系统被恶意关闭的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106127034A true CN106127034A (zh) | 2016-11-16 |
| CN106127034B CN106127034B (zh) | 2019-06-07 |
Family
ID=57471106
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610437047.3A Active CN106127034B (zh) | 2016-06-17 | 2016-06-17 | 一种防止系统被恶意关闭的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106127034B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106997313A (zh) * | 2017-03-28 | 2017-08-01 | 腾讯科技(深圳)有限公司 | 一种应用程序的信号处理方法、系统及终端设备 |
| CN113742074A (zh) * | 2021-09-07 | 2021-12-03 | 杭州雾联科技有限公司 | 一种云主机对关机来源进行溯源的方法及相关装置 |
| CN114201221A (zh) * | 2020-09-02 | 2022-03-18 | 成都鼎桥通信技术有限公司 | 基于双系统的系统关闭方法、设备及存储介质 |
| CN116991596A (zh) * | 2023-09-28 | 2023-11-03 | 北京安华金和科技有限公司 | 一种进程保活处理方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN102909913A (zh) * | 2012-11-02 | 2013-02-06 | 常熟华冶薄板有限公司 | 抗静电彩涂钢板及其制备方法 |
| CN104484224A (zh) * | 2014-12-18 | 2015-04-01 | 北京奇虎科技有限公司 | 一种服务器进程控制方法、装置及系统 |
| US9152791B1 (en) * | 2011-05-11 | 2015-10-06 | Trend Micro Inc. | Removal of fake anti-virus software |
-
2016
- 2016-06-17 CN CN201610437047.3A patent/CN106127034B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| US9152791B1 (en) * | 2011-05-11 | 2015-10-06 | Trend Micro Inc. | Removal of fake anti-virus software |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN102909913A (zh) * | 2012-11-02 | 2013-02-06 | 常熟华冶薄板有限公司 | 抗静电彩涂钢板及其制备方法 |
| CN104484224A (zh) * | 2014-12-18 | 2015-04-01 | 北京奇虎科技有限公司 | 一种服务器进程控制方法、装置及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106997313A (zh) * | 2017-03-28 | 2017-08-01 | 腾讯科技(深圳)有限公司 | 一种应用程序的信号处理方法、系统及终端设备 |
| CN106997313B (zh) * | 2017-03-28 | 2022-04-05 | 腾讯科技(深圳)有限公司 | 一种应用程序的信号处理方法、系统及终端设备 |
| CN114201221A (zh) * | 2020-09-02 | 2022-03-18 | 成都鼎桥通信技术有限公司 | 基于双系统的系统关闭方法、设备及存储介质 |
| CN114201221B (zh) * | 2020-09-02 | 2023-03-21 | 成都鼎桥通信技术有限公司 | 基于双系统的系统关闭方法、设备及存储介质 |
| CN113742074A (zh) * | 2021-09-07 | 2021-12-03 | 杭州雾联科技有限公司 | 一种云主机对关机来源进行溯源的方法及相关装置 |
| CN116991596A (zh) * | 2023-09-28 | 2023-11-03 | 北京安华金和科技有限公司 | 一种进程保活处理方法和系统 |
| CN116991596B (zh) * | 2023-09-28 | 2023-12-26 | 北京安华金和科技有限公司 | 一种进程保活处理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106127034B (zh) | 2019-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110383789A (zh) | 对可疑的出站业务的接近实时的检测 | |
| EP3584733A1 (en) | System and method of countering an attack on computing devices of users | |
| CN103294939B (zh) | 用于虚拟化身认证的方法和系统 | |
| CN106127034A (zh) | 一种防止系统被恶意关闭的方法、装置及电子设备 | |
| CN105531712A (zh) | 移动设备上的基于数据流的行为分析 | |
| KR20100007944A (ko) | 이동 디바이스를 위한 애플리케이션 로깅 인터페이스 | |
| CN104901805B (zh) | 一种身份鉴权方法、装置和系统 | |
| CN105844146B (zh) | 一种保护驱动程序的方法、装置及电子设备 | |
| CN106169047A (zh) | 一种监控摄像头打开的方法、装置及电子设备 | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| CN106203077B (zh) | 一种复制信息的处理方法、装置及电子设备 | |
| CN111881460B (zh) | 一种漏洞利用检测方法、系统、设备及计算机存储介质 | |
| CN106203092A (zh) | 一种拦截恶意程序关机的方法、装置及电子设备 | |
| CN104967593A (zh) | 一种身份验证方法、装置和系统 | |
| EP4005148A1 (en) | Techniques for incentivized intrusion detection system | |
| CN113141335A (zh) | 网络攻击检测方法及装置 | |
| Alshehri et al. | Are smart home devices abandoning IPV victims? | |
| CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
| CN106603817A (zh) | 来电处理方法、来电处理装置和电子设备 | |
| CN106203107A (zh) | 一种防止系统菜单被恶意修改的方法、装置及电子设备 | |
| CN106127050A (zh) | 一种防止系统光标被恶意修改的方法、装置及电子设备 | |
| CN106022120A (zh) | 文件监控处理方法、装置及电子设备 | |
| CN106127051A (zh) | 一种防止鼠标被恶意捕获的方法、装置及电子设备 | |
| CN107682526A (zh) | 一种应用消息展示方法及其设备 | |
| CN105956475A (zh) | Dll文件的拦截处理方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190115 Address after: 519031 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, No. 33 Xiaoying West Road, Haidian District, Beijing Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |