CN106156612B - 防止用户界面特权隔离被攻击的方法、装置及终端设备 - Google Patents
防止用户界面特权隔离被攻击的方法、装置及终端设备 Download PDFInfo
- Publication number
- CN106156612B CN106156612B CN201610519399.3A CN201610519399A CN106156612B CN 106156612 B CN106156612 B CN 106156612B CN 201610519399 A CN201610519399 A CN 201610519399A CN 106156612 B CN106156612 B CN 106156612B
- Authority
- CN
- China
- Prior art keywords
- user interface
- current process
- interface privilege
- target window
- isolation function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种防止用户界面特权隔离被攻击的方法、装置及终端设备,其中方法包括:监测操作系统内核提供的用户界面特权隔离函数是否被调用;如果监测到当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与用户界面特权隔离函数对应的钩子函数;检测目标窗口所属进程是否为当前进程;如果检测获知目标窗口所属进程是当前进程,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。通过该发明实施例,避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种防止用户界面特权隔离被攻击的方法、装置及终端设备。
背景技术
通常,操作系统提供调用函数,可以向用户界面特权隔离消息过滤器中添加过滤消息,允许高完整性级别的进程能从低完整性级别的进程接收什么信息。
然而,有些低完整性级别的恶意软件会通过在较高完整性级别的进程上下文里执行任意代码提升允许特权,从而向目标窗口添加和删除过滤信息,使得目标窗口不能正常工作,对操作系统的安全带来破坏。
发明内容
本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
为此,本发明的第一个目的在于提出一种防止用户界面特权隔离被攻击的方法,该方法避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
本发明的第二个目的在于提出了一种防止用户界面特权隔离被攻击的装置。
本发明的第三个目的在于提出一种终端设备。
本发明的第四个目的在于提出另一种终端设备。
为达上述目的,根据本发明第一方面实施例提出的一种防止用户界面特权隔离被攻击的方法,包括以下步骤:监测操作系统内核提供的用户界面特权隔离函数是否被调用;如果监测到当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与所述用户界面特权隔离函数对应的钩子函数;检测所述目标窗口所属进程是否为所述当前进程;如果检测获知所述目标窗口所属进程是所述当前进程,则允许所述当前进程调用所述用户界面特权隔离函数修改所述目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
本发明实施例的防止用户界面特权隔离被攻击的方法,首先监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,如果目标窗口所属进程是当前进程,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。该方法避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
另外,根据本发明上述实施例的防止用户界面特权隔离被攻击的方法还可以具有如下附加的技术特征:
在一些示例中,所述的方法,还包括:如果检测获知所述目标窗口所属进程不是所述当前进程,则根据所述钩子函数中的特征库检测所述当前进程的合法性;如果所述当前进程非法,则拒绝所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
在一些示例中,如果所述当前进程合法,则允许所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
在一些示例中,在所述监测操作系统内核提供的用户界面特权隔离函数是否被调用之前,还包括:在具有网络安全应用的防御驱动中设置与所述用户界面特权隔离函数对应的钩子函数。
在一些示例中,所述检测当前进程的合法性,包括:根据预设的特征库检测当前进程的合法性。
在一些示例中,所述特征库包括:包括合法进程的白名单,和/或,包括非法进程的黑名单。
为达上述目的,根据本发明的第二方面实施例提出的一种防止用户界面特权隔离被攻击的装置,包括:监测模块,用于监测操作系统内核提供的用户界面特权隔离函数是否被调用;运行模块,用于如果监测到当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与所述用户界面特权隔离函数对应的钩子函数;第一检测模块,用于检测所述目标窗口所属进程是否为所述当前进程;第一处理模块,用于在检测获知所述目标窗口所属进程是所述当前进程时,允许所述当前进程调用所述用户界面特权隔离函数修改所述目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
本发明实施例的防止用户界面特权隔离被攻击的装置,首先监测模块监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时运行模块运行预设的与用户界面特权隔离函数对应的钩子函数,使第一检测模块检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,第一处理模块在目标窗口所属进程是当前进程时,允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。该装置避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
另外,根据本发明上述实施例的防止用户界面特权隔离被攻击的装置还可以具有如下附加的技术特征:
在一些示例中,所述的装置,还包括:第二检测模块,用于在检测获知所述目标窗口所属进程不是所述当前进程时,根据所述钩子函数中的特征库检测所述当前进程的合法性;第二处理模块,用于在所述当前进程非法时,拒绝所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
在一些示例中,所述的装置,包括:所述第二处理模块还用于在所述当前进程合法时,允许所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
在一些示例中,所述的装置,还包括:设置模块,用于在具有网络安全应用的防御驱动中设置与所述用户界面特权隔离函数对应的钩子函数。
在一些示例中,所述检测当前进程的合法性,包括:根据预设的特征库检测当前进程的合法性。
在一些示例中,所述特征库包括:包括合法进程的白名单,和/或,包括非法进程的黑名单。
为了实现上述目的,本发明第三方面实施例提出了一种终端设备,包括本发明第二方面实施例所述的防止用户界面特权隔离被攻击的装置。
本发明实施例的终端设备,首先监测模块监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时运行模块运行预设的与用户界面特权隔离函数对应的钩子函数,使第一检测模块检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,第一处理模块在目标窗口所属进程是当前进程时,允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。该装置避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
为达上述目的,根据本申请的第四方面实施例提出的一种终端设备,包括以下一个或多个组件:处理器,存储器,电源电路,多媒体组件,音频组件,输入/输出(I/O)的接口,传感器组件,以及通信组件;其中,电路板安置在壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为终端设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
监测操作系统内核提供的用户界面特权隔离函数是否被调用;
如果监测到当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与所述用户界面特权隔离函数对应的钩子函数;
所述目标窗口所属进程是否为所述当前进程;
如果检测获知所述目标窗口所属进程是所述当前进程,则允许所述当前进程调用所述用户界面特权隔离函数修改所述目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
本发明实施例的终端设备,首先监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,如果目标窗口所属进程是当前进程,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明一个实施例的防止用户界面特权隔离被攻击的方法的流程图;
图2是根据本发明另一个实施例的防止用户界面特权隔离被攻击的方法的流程图;
图3是根据本发明一个实施例的防止用户界面特权隔离被攻击的装置的结构示意图;
图4是根据本发明另一个实施例的防止用户界面特权隔离被攻击的装置的结构示意图;
图5是根据本发明一个实施例的终端设备的结构示意图;以及
图6是根据本发明另一个实施例的终端设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的防止用户界面特权隔离被攻击的方法、装置及终端设备。
图1是根据本发明一个实施例的防止用户界面特权隔离被攻击的方法的流程图,如图1所示,该防止用户界面特权隔离被攻击的方法包括:
S101,监测操作系统内核提供的用户界面特权隔离函数是否被调用。
S102,如果监测到当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与用户界面特权隔离函数对应的钩子函数。
通常,操作系统内核会为用户提供用户界面特权隔离函数,通过该用户界面特权隔离函数可以修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。其中,根据具体应用场景的不同,操作系统内核提供的用户界面特权隔离函数不同。
举例而言,当操作系统提供的用户界面特权隔离函数是ChangeWindowMessageFilterEx时,窗口A进程是较低等完整性级别的进程,窗口B进程是较高等完整性级别进程,通过调用用户界面特权隔离函数ChangeWindowMessageFilterEx,可以向用户界面特权隔离消息过滤器中添加过滤消息,允许高完整性级别的B进程能从低完整性级别的A进程接收什么信息。
由此可见,恶意软件可以通过调用操作系统内核提供的用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。其中,恶意软件可以是系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏调用用户界面特权隔离函数的当前进程修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。比如,目标窗口是安全软件窗口,恶意软件能够向安全软件发送指定的消息破坏安全软件进程,也可以阻止安全软件的窗口接收相关的消息,进而安全软件的防御功能将不能正常工作,从而破坏操作系统的安全。
为了避免恶意软件通过调用操作系统内核提供的用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,本发明提供的防止用户界面特权隔离被攻击的方法预先在系统中设置与用户界面特权隔离函数对应的钩子函数。
进而,监测操作系统内核提供的用户界面特权隔离函数是否被调用,当监测到用户界面特权隔离函数被当前进程调用时,运行预设的与用户界面特权隔离函数对应的钩子函数。即,在操作系统响应该调用事件之前,钩子函数就捕获到当前进程,即钩子函数先得到控制权。其中,该控制权包括:可以改变当前进程调用别的函数,也可以不作处理而当前进程继续调用用户界面特权隔离函数,还可以强制结束当前进程等等。从而,通过与用户界面特权隔离函数对应的钩子函数确定是否允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
S103,检测目标窗口所属进程是否为当前进程。
S104,如果检测获知目标窗口所属进程是当前进程,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
具体而言,监测到当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与用户界面特权隔离函数对应的钩子函数,并获取目标窗口所属进程。
进而,通过检测目标窗口所属进程与调用用户界面特权隔离函数的当前进程是否相同,即判断是否是目标窗口本身的进程在调用用户界面特权隔离函数。
如果检测获知目标窗口所属进程与当前进程相同,则表明是目标窗口本身的进程在调用用户界面特权隔离函数,从而允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
综上所述,本发明实施例的防止用户界面特权隔离被攻击的方法,首先监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,如果目标窗口所属进程是当前进程,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。该方法避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
基于以上实施例,当检测目标窗口所属进程与当前进程不相同时,并不直接允许当前进程直接调用用户界面特权隔离函数,需要对当前进程的合法性进行判断,只有当判断当前进程合法时,才允许其调用用户界面特权隔离函数。
其中,检测当前进程是否合法的方式有很多种,例如:根据预设的特征库检测、根据预设的安全标识检测和根据服务器之间的交互检测等等,可以根据不同的应用场景,选择合适的检测方式。
下面结合附图2对当目标窗口所属进程与当前进程不相同时,对当前进程的合法性进行判断的过程进行具体说明,说明如下:
S201,在具有网络安全应用的防御驱动中设置与用户界面特权隔离函数对应的钩子函数。
应当理解的是,根据应用场景的不同,与用户界面特权隔离函数对应的钩子函数可以被设置于操作系统的多个位置,本发明实施例的防止用户界面特权隔离被攻击的方法中,将钩子函数设置于具有网络安全应用的防御驱动中,有利于操作系统中相关安全资源的整合。
S202,监测操作系统内核提供的用户界面特权隔离函数是否被调用。
S203,如果监测到当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与用户界面特权隔离函数对应的钩子函数。
需要说明的是,步骤S202-S203的描述与上述步骤S101-S102相对应,因此对的步骤S202-S203的描述参考上述步骤S101-S102的描述,在此不再赘述。
S204,检测目标窗口所属进程是否为当前进程。
S205,如果检测获知目标窗口所属进程不是当前进程,则根据预设的特征库检测当前进程的合法性。
具体而言,监测到当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息时,运行预设的与用户界面特权隔离函数对应的钩子函数,并获取目标窗口所属进程。
首先,通过检测目标窗口所属进程与调用用户界面特权隔离函数的当前进程是否相同,即判断是否是当前正在使用的应用程序本身的进程在调用用户界面特权隔离函数。
如果检测获知目标窗口所属进程不是当前进程,则表明不是当前正在使用的应用程序本身的进程在调用用户界面特权隔离函数,从而需要根据预设的特征库检测当前进程的合法性。
S206,如果检测获知当前进程非法,则拒绝当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
S207,如果检测获知当前进程合法,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
具体地,本实施例根据预设的特征库检测调用用户界面特权隔离函数的进程的合法性。如果检测用户界面特权隔离函数的进程非法,则表明调用该用户界面特权隔离函数的进程可能是恶意进程,从而拒绝该进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。如果检测调用用户界面特权隔离函数的进程合法,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
需要说明的是,特征库中的具体内容可以根据应用需要进行设置,例如包括合法进程的白名单,和/或,包括非法进程的黑名单。举例说明如下:
作为一种示例,特征库中可包括白名单,白名单中包含的进程信息对应的进程是合法进程、是不会对操作系统的安全带来破坏的进程,允许进程调用用户界面特权隔离函数,不会破坏操作系统的安全。
在本示例中,在检测获知目标窗口所属进程不是当前进程时,根据当前进程的进程信息查询特征库,如果查询获取当前进程信息,与白名单中的进程信息匹配,则认为当前进程是合法进程,因此允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。与白名单中的进程信息不匹配,则认为该进程是非法进程,因此拒绝该进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
作为一种示例,特征库中包含黑名单,黑名单包含的进程信息对应的进程是非法进程,例如可能是恶意程序对应的进程,如果允许该进程调用用户界面特权隔离函数会造成对操作系统的破坏。
在本示例中,在检测获知目标窗口所属进程不是当前进程时,根据当前进程的进程信息查询特征库,如果当前进程的进程信息与黑名单包含的进程信息匹配,则认为该当前进程是非法进程,因此拒绝当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。与黑名单中的进程信息不匹配,则认为该进程是合法进程,因此允许该进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
作为一种示例,特征库中可包含黑名单和白名单,白名单中包含的进程信息对应的进程是合法进程,黑名单中包含的进程信息对应的进程是非法进程。
在本示例中,检测获知目标窗口所属进程不是当前进程时,根据当前进程的进程信息查询特征库,如果查询获取当前进程信息,与白名单的进程信息匹配,则认为当前进程是合法进程,因此允许当前进程调用用户界面特权隔离函数;如果当前进程的进程信息与黑名单包含的进程信息匹配,则认为当前进程是非法进程,因此拒绝当前进程调用用户界面特权隔离函数。
综上所述,本发明实施例的防止用户界面特权隔离被攻击的方法,当检测目标窗口所属进程不是调用用户界面特权隔离函数的当前进程时,则根据钩子函数中的特征库检测当前进程合法性,当当前进程合法时,允许调用用户界面特权隔离函数,当当前进程非法时,拒绝调用用户界面特权隔离函数,进一步防止用户界面特权隔离被攻击,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了一种防止用户界面特权隔离被攻击的装置。图3是根据本发明一个实施例的防止用户界面特权隔离被攻击的装置的结构示意图,如图3所示,该防止用户界面特权隔离被攻击的装置包括:监测模块10、运行模块20、第一检测模块30和第一处理模块40。
其中,监测模块10,用于监测操作系统内核提供的用户界面特权隔离函数是否被调用。
运行模块20,用于如果监测到当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与用户界面特权隔离函数对应的钩子函数。
第一检测模块30,用于检测目标窗口所属进程是否为当前进程。
第一处理模块40,用于在检测获知目标窗口所属进程是当前进程时,允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
具体地,本发明实施例的防止用户界面特权隔离被攻击的装置,将钩子函数与操作系统进行挂接,通过钩子函数监视操作系统内核中,用户界面特权隔离函数的调用,每当监测模块10监测到用户界面特权隔离函数被调用时,在操作系统响应调用之前,运行模块20运行钩子函数捕获调用用户界面特权隔离函数的当前进程,从而判断调用用户界面特权隔离函数的当前进程是否合法。
进一步地,第一检测模块30通过检测目标窗口所属进程与调用用户界面特权隔离函数的当前进程是否相同,即判断是否是当前目标窗口本身的进程在调用用户界面特权隔离函数。
从而,如果第一检测模块30检测获知目标窗口所属进程与当前进程相同,则表明是当前目标窗口本身的进程在调用用户界面特权隔离函数,从而第一处理模块40允许当前进程调用用户界面特权隔离函数。
需要说明的是,前述对防止用户界面特权隔离被攻击的方法实施例的解释说明也适用于该实施例的防止用户界面特权隔离被攻击的装置,其实现原理类似,此处不再赘述。
综上所述,本发明实施例的防止用户界面特权隔离被攻击的装置,首先监测模块监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时运行模块运行预设的与用户界面特权隔离函数对应的钩子函数,使第一检测模块检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,第一处理模块在目标窗口所属进程是当前进程时,允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。该装置避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
基于以上实施例,当检测目标窗口所属进程与当前进程不相同时,并不直接允许当前进程直接调用用户界面特权隔离函数,需要对当前进程的合法性进行判断,只有当判断当前进程合法时,才允许对其调用用户界面特权隔离函数。
下面结合附图4对当目标窗口所属进程与当前进程不相同时,对当前进程的合法性进行判断的过程进行具体说明,说明如下:
图4是根据本发明另一个实施例的防止用户界面特权隔离被攻击的装置的结构示意图,如图4所示,在如图3所示的基础上,该装置还包括:设置模块50、第二检测模块60和第二处理模块70。
其中,设置模块50,用于在具有网络安全应用的防御驱动中设置与用户界面特权隔离函数对应的钩子函数。
第二检测模块60,用于在检测获知目标窗口所属进程不是当前进程时,根据钩子函数中的特征库检测当前进程的合法性。
第二处理模块70,用于在当前进程非法时,拒绝当前进程调用用户界面特权隔离函数。
具体地,当监测操作系统内核提供的用户界面特权隔离函数被调用时,运行预设的与用户界面特权隔离函数对应的钩子函数,从而利用设置模块50设置的钩子函数获取调用当前调用用户界面特权隔离函数的当前进程,并通过特征库检测该进程是否合法。
需要说明的是,特征库中的具体内容可以根据应用需要进行设置,例如包括合法进程的白名单,和/或,包括非法进程的黑名单。
需要说明的是,前述对防止用户界面特权隔离被攻击的方法实施例的解释说明也适用于该实施例的防止用户界面特权隔离被攻击的装置,其实现原理类似,此处不再赘述。
综上所述,本发明实施例的防止用户界面特权隔离被攻击的装置,当检测目标窗口所属进程不是调用用户界面特权隔离函数的当前进程时,则根据钩子函数中的特征库检测当前进程合法性,当当前进程合法时,允许调用用户界面特权隔离函数,当当前进程非法时,拒绝调用用户界面特权隔离函数,进一步防止用户界面特权隔离被攻击,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了一种终端设备,图5是根据本发明一个实施例的终端设备的结构示意图。
如图5所示,本发明实施例的终端设备包括防止用户界面特权隔离被攻击的装置1000。
其中,需要说明的是,本发明实施例中的防止用户界面特权隔离被攻击的装置1000与上述实施例中参考图3-图4描述的防止用户界面特权隔离被攻击的装置对应,在此不再赘述。
本发明实施例的终端设备,首先监测模块监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时运行模块运行预设的与用户界面特权隔离函数对应的钩子函数,使第一检测模块检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,第一处理模块在目标窗口所属进程是当前进程时,允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。该装置避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了另一种终端设备。
图6是根据本发明另一个实施例的终端设备的结构示意图。
参见图6,终端设备2000可以包括以下一个或多个组件:处理器2001,存储器2002,电源电路2003,多媒体组件2004,音频组件2005,输入/输出(I/O)的接口2006,传感器组件2007,以及通信组件2008。
电源电路2003,用于为终端设备的各个电路或器件供电;存储器2002用于存储可执行程序代码;处理器2001通过读取存储器2002中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
监测操作系统内核提供的用户界面特权隔离函数是否被调用。
如果监测到当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与用户界面特权隔离函数对应的钩子函数。
检测目标窗口所属进程是否为当前进程。
如果检测获知目标窗口所属进程是当前进程,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
需要说明的是,前述对防止用户界面特权隔离被攻击的方法实施例的解释说明也适用于该实施例的终端设备,其实现原理类似,此处不再赘述。
综上所述,本发明实施例的终端设备,首先监测操作系统内核提供的用户界面特权隔离函数是否被调用,接着在被调用时检测目标窗口所属进程是否是调用该用户界面特权隔离函数的当前进程,如果目标窗口所属进程是当前进程,则允许当前进程调用用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。避免了恶意软件对用户界面特权隔离的攻击,保护了操作系统的安全。
在本发明的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (14)
1.一种防止用户界面特权隔离被攻击的方法,其特征在于,包括以下步骤:
监测操作系统内核提供的用户界面特权隔离函数是否被调用;
如果监测到当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与所述用户界面特权隔离函数对应的钩子函数;
检测所述目标窗口所属进程是否为所述当前进程;
如果检测获知所述目标窗口所属进程是所述当前进程,则允许所述当前进程调用所述用户界面特权隔离函数修改所述目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
2.如权利要求1所述的方法,其特征在于,还包括:
如果检测获知所述目标窗口所属进程不是所述当前进程,则检测所述当前进程的合法性;
如果所述当前进程非法,则拒绝所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
3.如权利要求2所述的方法,其特征在于,还包括:
如果所述当前进程合法,则允许所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
4.如权利要求1所述的方法,其特征在于,在所述监测操作系统内核提供的用户界面特权隔离函数是否被调用之前,还包括:
在具有网络安全应用的防御驱动中设置与所述用户界面特权隔离函数对应的钩子函数。
5.如权利要求2所述的方法,其特征在于,检测所述当前进程的合法性,包括:
根据预设的特征库检测所述当前进程的合法性。
6.如权利要求5所述的方法,其特征在于,所述特征库包括:
包括合法进程的白名单,和/或,包括非法进程的黑名单。
7.一种防止用户界面特权隔离被攻击的装置,其特征在于,包括:
监测模块,用于监测操作系统内核提供的用户界面特权隔离函数是否被调用;
运行模块,用于如果监测到当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与所述用户界面特权隔离函数对应的钩子函数;
第一检测模块,用于检测所述目标窗口所属进程是否为所述当前进程;
第一处理模块,用于在检测获知所述目标窗口所属进程是所述当前进程时,允许所述当前进程调用所述用户界面特权隔离函数修改所述目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
8.如权利要求7所述的装置,其特征在于,还包括:
第二检测模块,用于在检测获知所述目标窗口所属进程不是所述当前进程时,根据所述钩子函数中的特征库检测所述当前进程的合法性;
第二处理模块,用于在所述当前进程非法时,拒绝所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
9.如权利要求8所述的装置,其特征在于,包括:
所述第二处理模块还用于在所述当前进程合法时,允许所述当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
10.如权利要求7所述的装置,其特征在于,还包括:
设置模块,用于在具有网络安全应用的防御驱动中设置与所述用户界面特权隔离函数对应的钩子函数。
11.如权利要求8所述的装置,其特征在于,所述第二检测模块具体用于:
根据预设的特征库检测当前进程的合法性。
12.如权利要求11所述的装置,其特征在于,所述特征库包括:
包括合法进程的白名单,和/或,包括非法进程的黑名单。
13.一种终端设备,其特征在于,包括:
如权利要求7-12任一项所述的防止用户界面特权隔离被攻击的装置。
14.一种终端设备,其特征在于,包括:以下一个或多个组件:处理器,存储器,电源电路,多媒体组件,音频组件,输入/输出(I/O)的接口,传感器组件,以及通信组件;其中,电路板安置在壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为终端设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
监测操作系统内核提供的用户界面特权隔离函数是否被调用;
如果监测到当前进程调用所述用户界面特权隔离函数修改目标窗口的用户界面特权隔离消息过滤器中的过滤信息,运行预设的与所述用户界面特权隔离函数对应的钩子函数;
检测所述目标窗口所属进程是否为所述当前进程;
如果检测获知所述目标窗口所属进程是所述当前进程,则允许所述当前进程调用所述用户界面特权隔离函数修改所述目标窗口的用户界面特权隔离消息过滤器中的过滤信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610519399.3A CN106156612B (zh) | 2016-07-04 | 2016-07-04 | 防止用户界面特权隔离被攻击的方法、装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610519399.3A CN106156612B (zh) | 2016-07-04 | 2016-07-04 | 防止用户界面特权隔离被攻击的方法、装置及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106156612A CN106156612A (zh) | 2016-11-23 |
| CN106156612B true CN106156612B (zh) | 2019-04-26 |
Family
ID=58061196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610519399.3A Active CN106156612B (zh) | 2016-07-04 | 2016-07-04 | 防止用户界面特权隔离被攻击的方法、装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106156612B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN103020527A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 主动拦截恶意程序的方法、装置、系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8881047B2 (en) * | 2009-06-19 | 2014-11-04 | Moment Usa, Inc. | Systems and methods for dynamic background user interface(s) |
-
2016
- 2016-07-04 CN CN201610519399.3A patent/CN106156612B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN103020527A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 主动拦截恶意程序的方法、装置、系统 |
Non-Patent Citations (1)
| Title |
|---|
| Windows Nt6.x安全特性下的Rootkit研究;李弼翀;《中国优秀硕士学位论文全文数据库 信息科技辑》;20130415(第4期);第8-15页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106156612A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109753806B (zh) | 服务器防护方法及装置 | |
| EP2562673B1 (en) | Apparatus and method for securing mobile terminal | |
| CN101414997B (zh) | 阻止恶意程序访问网络的方法和装置 | |
| EP3168770B1 (en) | Executing process monitoring | |
| CN105580022A (zh) | 使用声誉指示符来促进恶意软件扫描的系统和方法 | |
| CN106778243B (zh) | 基于虚拟机的内核漏洞检测文件保护方法及装置 | |
| CN102945348B (zh) | 文件信息收集方法与装置 | |
| CN102945349B (zh) | 未知文件处理方法与装置 | |
| JP2014509421A (ja) | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 | |
| CN106778244B (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| KR101799366B1 (ko) | 다이나믹 보안모듈 서버장치 및 그 구동방법 | |
| CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| WO2016048539A1 (en) | Behavioral detection of malware agents | |
| US20200153849A1 (en) | Context-dependent timeout for remote security services | |
| CN106503556A (zh) | 数据存储的方法、装置及系统 | |
| CN111651754A (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| CN106203111A (zh) | 防止修改剪贴板数据的方法、装置和终端设备 | |
| KR101373051B1 (ko) | 통신차단 제어 장치 및 그 방법 | |
| CN102984135B (zh) | 安全防御方法、装置与系统 | |
| KR20040090373A (ko) | 무선 단말기에서 실시간 바이러스 감시/진단/치료 방법 | |
| CN106127041A (zh) | 防止剪贴板数据被监听的方法、装置及终端设备 | |
| CN106156612B (zh) | 防止用户界面特权隔离被攻击的方法、装置及终端设备 | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| CN111783082A (zh) | 进程的追溯方法、装置、终端和计算机可读存储介质 | |
| CN106203189A (zh) | 设备数据获取方法、装置和终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |