CN106203111A - 防止修改剪贴板数据的方法、装置和终端设备 - Google Patents
防止修改剪贴板数据的方法、装置和终端设备 Download PDFInfo
- Publication number
- CN106203111A CN106203111A CN201610519420.XA CN201610519420A CN106203111A CN 106203111 A CN106203111 A CN 106203111A CN 201610519420 A CN201610519420 A CN 201610519420A CN 106203111 A CN106203111 A CN 106203111A
- Authority
- CN
- China
- Prior art keywords
- clipboard data
- change function
- data change
- function
- called
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明公开了一种防止修改剪贴板数据的方法、装置和终端设备。其中,方法包括:监测操作系统内核提供的剪贴板数据变更函数是否被调用,如果被调用,运行与剪贴板数据变更函数对应的钩子函数;检测调用剪贴板数据变更函数的进程的合法性;如果进程非法,则拒绝进程调用剪贴板数据变更函数。该方法避免非法进程对剪贴板数据的篡改,保护了操作系统的安全。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种防止修改剪贴板数据的方法、装置和终端设备。
背景技术
通常,操作系统会为用户提供剪贴板数据变更函数,操作系统中的进程可通过调用该函数更改剪切板数据,从而相关进程可通过获取剪贴板数据,实现相关数据信息的传递和共享。
然而,有些恶意进程会利用该剪贴板数据变更函数,篡改剪贴板数据,对操作系统的安全带来破坏。
发明内容
本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
为此,本发明的一个目的在于提出一种防止修改剪贴板数据的方法,该方法调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
本发明的第二个目的在于提出一种防止修改剪贴板数据的装置。
本发明的第三个目的在于出一种终端设备。
本发明的第四个目的在于提出另一种终端设备。
为达上述目的,本发明第一方面实施例的防止修改剪贴板数据的方法,包括以下步骤:监测操作系统内核提供的剪贴板数据变更函数是否被调用,如果被调用,运行与所述剪贴板数据变更函数对应的钩子函数;检测调用所述剪贴板数据变更函数的进程的合法性;如果所述进程非法,则拒绝所述进程调用所述剪贴板数据变更函数。
本发明实施例的防止修改剪贴板数据的方法,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该方法在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
另外,根据本发明上述实施例的防止修改剪贴板数据的方法,还可以具有如下附加的技术特征:
在本发明的一个实施例中,所述剪贴板数据变更函数,包括:剪贴板数据修改函数,或者,剪贴板数据清空函数。
在本发明的一个实施例中,所述方法还包括:如果所述进程合法,则允许所述进程调用所述剪贴板数据变更函数。
在本发明的一个实施例中,在所述监测操作系统内核提供的剪贴板数据变更函数是否被调用之前,还包括:在具有网络安全应用的防御驱动中设置与所述剪贴板数据变更函数对应的钩子函数。
在本发明的一个实施例中,所述检测调用所述剪贴板数据变更函数的进程的合法性,包括:
根据预设的特征库检测调用所述剪贴板数据变更函数的进程的合法性。
在本发明的一个实施例中,所述特征库包括:包括合法进程的白名单,和/或,包括非法进程的黑名单。
在本发明的一个实施例中,所述根据预设的特征库检测调用所述剪贴板数据变更函数的进程的合法性,包括:获取调用所述剪贴板数据变更函数的操作进程路径确定当前进程;将所述特征库中预存的非法进程与当前进程进行匹配;如果所述非法进程与当前进程匹配成功,则确定当前进程非法;如果所述非法进程与当前进程匹配不成功,则确定当前进程合法。
为达上述目的,本发明第二方面实施例的防止修改剪贴板数据的装置,包括:监测模块,用于监测操作系统内核提供的剪贴板数据变更函数是否被调用;运行模块,用于在所述剪贴板数据变更函数被调用时,运行与所述剪贴板数据变更函数对应的钩子函数;检测模块,用于检测调用所述剪贴板数据变更函数的进程的合法性;处理模块,用于在所述检测模块检测出所述进程非法时,拒绝所述进程调用所述剪贴板数据变更函数。
本发明实施例的防止修改剪贴板数据的装置,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该装置在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
另外,根据本发明上述实施例的防止修改剪贴板数据的装置还可以具有如下附加的技术特征:
在本发明的一个实施例中,所述剪贴板数据变更函数,包括:剪贴板数据修改函数,或者,剪贴板数据清空函数。
在本发明的一个实施例中,所述处理模块还用于:在所述进程合法时,允许所述进程调用所述剪贴板数据变更函数。
在本发明的一个实施例中,所述装置还包括:设置模块,用于在具有网络安全应用的防御驱动中设置与所述剪贴板数据变更函数对应的钩子函数。
在本发明的一个实施例中,所述检测模块用于:
根据预设的特征库检测调用所述剪贴板数据变更函数的进程的合法性。
在本发明的一个实施例中,所述特征库包括:包括合法进程的白名单,和/或,包括非法进程的黑名单。
在本发明的一个实施例中,所述检测模块包括:获取单元,用于获取调用所述剪贴板数据变更函数的操作进程路径确定当前进程;匹配单元,用于将所述特征库中预存的非法进程与当前进程进行匹配;第一确定单元,用于在所述非法进程与当前进程匹配成功时,确定当前进程非法;第二确定单元,用于在所述非法进程与当前进程匹配不成功时,确定当前进程合法。
为达上述目的,本发明第三方面实施例的终端设备,包括:本发明第二方面实施例所述的防止修改剪贴板数据的装置。
本发明实施例的终端设备,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该终端设备在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
为了实现上述目的,本发明第四方面实施例的终端设备,包括:以下一个或多个组件:处理器,存储器,电源电路,多媒体组件,音频组件,输入/输出(I/O)的接口,传感器组件,以及通信组件;其中,电路板安置在壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为终端设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
监测操作系统内核提供的剪贴板数据变更函数是否被调用,如果被调用,运行与所述剪贴板数据变更函数对应的钩子函数;
检测调用所述剪贴板数据变更函数的进程的合法性;
如果所述进程非法,则拒绝所述进程调用所述剪贴板数据变更函数。
根据本发明实施例的终端设备,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该终端设备在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明一个实施例的防止修改剪贴板数据的方法的流程图;
图2是根据本发明另一个实施例的防止修改剪贴板数据的方法的流程图;
图3是根据本发明一个实施例的防止修改剪贴板数据的装置的结构示意图;
图4是根据本发明另一个实施例的防止修改剪贴板数据的装置的结构示意图;
图5是根据本发明一个实施例的终端设备的结构示意图;以及
图6是根据本发明另一个实施例的终端设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的防止修改剪贴板数据的方法、装置和终端设备。
图1是根据本发明一个实施例的防止修改剪贴板数据的方法的流程图。如图1所示,该防止修改剪贴板数据的方法包括:
S110,监测操作系统内核提供的剪贴板数据变更函数是否被调用,如果被调用,运行与剪贴板数据变更函数对应的钩子函数。
S120,检测调用剪贴板数据变更函数的进程的合法性。
S130,如果进程非法,则拒绝所述进程调用剪贴板数据变更函数。
通常,操作系统内核会提供剪贴板数据变更函数,通过该函数将剪切板上的数据变更为当前剪切的数据,从而便于操作系统的相关进程获取剪贴板上的剪切数据。比如,短信进程通过调用剪贴板数据变更函数,将剪贴板的数据变更为剪切的文本信息A,从而微信进程可在剪贴板上获取文本信息A。
其中,剪贴板数据变更函数用以变更剪贴板数据,在本发明的实施例中,该函数可包括:剪贴板数据修改函数、或者,剪贴板数据清空函数。并且,根据具体应用场景的不同,操作系统内核提供的剪贴板数据变更函数不同。
比如,当操作系统提供的剪贴板数据变更函数是SetClipboardData和EmptyClipboard函数时,相关进程可通过调用SetClipboardData和EmptyClipboard函数对应的内核函数NtUserSetClipboardData和NtUserEmptyClipboard函数,修改剪切板上数据。
然而,在某些应用场景下,有些执行恶意任务的恶意进程,比如病毒、蠕虫和特洛伊木马进程等,可用过调用操作系统内核提供的剪贴板数据变更函数,篡改剪贴板数据,破坏用户的使用,对操作系统的安全带来破坏。
因此,为了防止恶意进程通过调用剪贴板数据变更函数,对操作系统的安全进行破坏,在允许调用剪贴板数据变更函数之前,需要判断调用剪贴板数据变更函数的进程是否合法,从而根据判断结果决定是否允许调用剪贴板数据变更函数。
本发明实施例的防止修改剪贴板数据的方法,将钩子函数与操作系统进行挂接,通过钩子函数监视操作系统内核中,剪贴板数据变更函数的调用事件,每当监测到剪贴板数据变更函数被调用时,在操作系统响应该调用事件之前,通过钩子函数捕获调用该剪贴板数据变更函数的进程,并判断该进程是否合法。
具体地,在钩子函数捕获调用剪贴板数据变更函数的进程后,检测该当前进程的合法性,如果检测获知当前进程合法,允许当前进程调用剪贴板数据变更函数,以满足相关应用程序的正常运行。
其中,需要说明的是,根据具体应用场景的不同,预设的钩子函数可采取多种方式检测调用剪贴板数据变更函数的当前进程的合法性。
第一种示例,可以通过在操作系统本地对应设置包含相关合法或者非法进程相关特征的特征库,并通过特征库检测调用剪贴板数据变更函数的当前进程的合法性。
第二种示例,可以在远程服务器上设置包含相关合法或者非法进程相关特征的特征库,并在钩子函数中设置一与该远程服务器进行信息交互的相关函数,从而钩子函数中的相关函数,将调用剪贴板数据变更函数的当前进程的相关信息发送至远程服务器,以供远程服务器根据特征库检测调用剪贴板数据变更函数的当前进程的合法性。
第三种示例,预先存储可靠、可信的进程绑定安全标识,从而钩子函数捕获调用剪贴板数据变更函数的当前进程后,检测当前进程是否具有上述安全标识以检测当前进程的合法性。
综上所述,本发明实施例的防止修改剪贴板数据的方法,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该方法在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
图2是根据本发明另一个实施例的防止修改剪贴板数据的方法的流程图。如图2所示,该防止修改剪贴板数据的方法包括:
S210,在具有网络安全应用的防御驱动中设置与剪贴板数据变更函数对应的钩子函数。
应当理解的是,根据应用场景的不同,与剪贴板数据变更函数对应的钩子函数可以被设置于操作系统的多个位置,本发明实施例的防止修改剪贴板数据的方法中,将钩子函数设置于具有网络安全应用的防御驱动中,有利于操作系统中相关安全资源的整合。
S220,监测操作系统内核提供的剪贴板数据变更函数是否被调用,如果被调用,运行与剪贴板数据变更函数对应的钩子函数。
S230,获取调用剪贴板数据变更函数的操作进程路径确定当前进程。
具体地,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行预设的与剪贴板数据变更函数对应的钩子函数,以确定当前调用剪贴板数据变更函数的进程。
S240,将特征库中预存的非法进程与当前进程进行匹配。
S250,如果非法进程与当前进程匹配成功,则确定当前进程非法,拒绝所述进程调用剪贴板数据变更函数。
S260,如果非法进程与当前进程匹配不成功,则确定当前进程合法,允许所述进程调用剪贴板数据变更函数。
具体地,本实施例根据预设的特征库检测调用剪贴板数据变更函数的进程的合法性。如果检测调用剪贴板数据变更函数的进程非法,则表明调用该剪贴板数据变更函数的进程可能是恶意进程,从而拒绝该进程调用剪贴板数据变更函数。如果检测调用剪贴板数据变更函数的进程合法,则允许当前进程调用剪贴板数据变更函数。
需要说明的是,特征库中的具体内容可以根据应用需要进行设置,例如包括合法进程的白名单,和/或,包括非法进程的黑名单。举例说明如下:
第一种示例,特征库中可包括白名单,白名单中包含的进程信息对应的进程是合法进程,允许该进程调用剪贴板数据变更函数不会导致对操作系统的安全造成破坏。
在本示例中,确定调用剪贴板数据变更函数的当前进程,根据该进程的进程信息查询特征库,如果查询获取该进程信息,与白名单中的进程信息匹配,则认为该进程是合法进程,因此允许该进程调用剪贴板数据变更函数。如果查询获取该进程信息,与白名单中的进程信息不匹配,则认为该进程是非法进程,因此拒绝该进程调用剪贴板数据变更函数。
第二种示例,特征库中包含黑名单,黑名单包含的进程信息对应的进程是非法进程,例如可能是恶意程序对应的进程,如果允许该进程调用剪贴板数据变更函数会造成对操作系统安全的破坏。
在本示例中,确定调用剪贴板数据变更函数的当前进程,根据该当前进程的进程信息查询特征库,如果该进程的进程信息与黑名单包含的进程信息匹配,则认为该进程是非法进程,因此拒绝该进程调用剪贴板数据变更函数。如果该进程的进程信息与黑名单包含的进程信息不匹配,则认为该进程是合法进程,因此允许该进程调用剪贴板数据变更函数。
第三种示例,特征库中可包含黑名单和白名单,白名单中包含的进程信息对应的进程是合法进程,黑名单中包含的进程信息对应的进程是非法进程。
在本示例中,确定调用剪贴板数据变更函数的当前进程,根据该进程的进程信息查询特征库,如果查询获取该进程信息,与白名单的进程信息匹配,则认为该进程是合法进程,因此允许该进程调用剪贴板数据变更函数;如果该进程的进程信息与黑名单包含的进程信息匹配,则认为该进程是非法进程,因此拒绝该进程调用剪贴板数据变更函数。
综上所述,本发明实施例的防止修改剪贴板数据的方法,将与剪贴板数据变更函数对应的钩子函数设置于具有网络安全应用的防御驱动中,并通过获取调用剪贴板数据变更函数的操作路径确定当前进程,进而通过特征库判断调用剪贴板数据变更函数进程的合法性,只有在该进程合法时,才允许该进程对全剪贴板数据变更函数的调用。进一步防止了恶意进程对剪贴板数据的篡改,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了一种防止修改剪贴板数据的装置。图3是根据本发明一个实施例的防止修改剪贴板数据的装置的结构示意图。如图3所示,该防止修改剪贴板数据的装置包括:
监测模块310,用于监测操作系统内核提供的剪贴板数据变更函数是否被调用。
其中,剪贴板数据变更函数用以变更剪贴板数据,在本发明的实施例中,该函数可包括:剪贴板数据修改函数、或者,剪贴板数据清空函数。
运行模块320,用于在剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数;
检测模块330,用于检测调用剪贴板数据变更函数的进程的合法性。
处理模块340,用于在检测模块检测出进程非法时,拒绝所述进程调用剪贴板数据变更函数。
本发明实施例的防止修改剪贴板数据的装置,将钩子函数与操作系统进行挂接,通过钩子函数监视操作系统内核中,剪贴板数据变更函数的调用事件,每当监测模块310监测到剪贴板数据变更函数被调用时,运行模块320运行钩子函数,检测模块330在操作系统响应该调用事件之前,通过钩子函数捕获调用该剪贴板数据变更函数的进程,并判断该进程是否合法。
具体地,在本发明的一个实施例中,检测模块330可检测调用剪贴板数据变更函数的进程的合法性。从而,如果检测模块330检测调用剪贴板数据变更函数的进程非法,则表明调用该剪贴板数据变更函数的进程可能是恶意进程,从而处理模块340拒绝该进程调用剪贴板数据变更函数。
其中,需要说明的是,根据具体应用场景的不同,检测模块330可采取多种方式检测调用剪贴板数据变更函数的当前进程的合法性。
第一种示例,可以通过在操作系统本地对应设置包含相关合法或者非法进程相关特征的特征库,检测模块330通过特征库检测调用剪贴板数据变更函数的当前进程的合法性。
第二种示例,可以在远程服务器上设置包含相关合法或者非法进程相关特征的特征库,并在钩子函数中设置一与该远程服务器进行信息交互的相关函数,从而检测模块330钩子函数中的相关函数,将调用剪贴板数据变更函数的当前进程的相关信息发送至远程服务器,以供远程服务器根据特征库检测调用剪贴板数据变更函数的当前进程的合法性。
第三种示例,预先存储可靠、可信的进程绑定安全标识,从而钩子函数捕获调用剪贴板数据变更函数的当前进程后,检测模块330检测当前进程是否具有上述安全标识以检测当前进程的合法性。
综上所述,本发明实施例的防止修改剪贴板数据的装置,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该装置在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
图4是根据本发明一个具体实施例的防止修改剪贴板数据的装置的结构示意图。如图4所示,在如图3所示的基础上,该防止修改剪贴板数据的装置还包括:
设置模块350,用于在具有网络安全应用的防御驱动中设置与剪贴板数据变更函数对应的钩子函数。
应当理解的是,根据应用场景的不同,与剪贴板数据变更函数对应的钩子函数可以被设置于操作系统的多个位置,本发明实施例的防止修改剪贴板数据的装置中,设置模块350将钩子函数设置于具有网络安全应用的防御驱动中,有利于操作系统中相关安全资源的整合。
且如图4所示,在本实施例中,检测模块330,包括:
获取单元331,用于获取调用剪贴板数据变更函数的操作进程路径确定当前进程。
匹配单元332,用于将特征库中预存的非法进程与当前进程进行匹配。
第一确定单元333,用于在非法进程与当前进程匹配成功时,确定当前进程非法。
第二确定单元334,用于在非法进程与当前进程匹配不成功时,确定当前进程合法。
其中,应当理解的是,钩子函数可采用多种方式确定调用剪贴板数据变更函数的进程,在本发明的实施例中,通过获取单元331获取调用剪贴板数据变更函数的操作进程路径确定当前进程。
在本发明的实施例中,特征库中存储有非法进程的相关信息,从而在确定调用剪贴板数据变更函数的进程后,通过匹配单元332将非法进程与当前进程匹配,以判断该进程是否是合法进程。
如果非法进程与当前进程匹配成功,第一确定单元333则确定当前进程非法,为了保护操作系统的安全,防止恶意进程对剪贴板数据的篡改,拒绝进程调用剪贴板数据变更函数。
如果非法进程与当前进程匹配不成功,第二确定单元334则确定当前进程合法,从而为了满足用户的剪切需求,允许进程调用剪贴板数据变更函数。
基于以上分析,需要说明的是,特征库中的具体内容可以根据应用需要进行设置,例如包括合法进程的白名单,和/或,包括非法进程的黑名单。举例说明如下:
第一种示例,特征库中可包括白名单,白名单中包含的进程信息对应的进程是合法进程,允许该进程调用剪贴板数据变更函数不会导致对操作系统的安全进行破坏。
在本示例中,获取单元331确定调用剪贴板数据变更函数的当前进程,根据该进程的进程信息查询特征库,如果匹配单元332查询获取该进程信息,与白名单中的进程信息匹配,第一确定单元333则认为该进程是合法进程,因此处理模块340允许该进程调用剪贴板数据变更函数。如果匹配单元332查询获取该进程信息,与白名单中的进程信息不匹配,第二确定单元334则认为该进程是非法进程,因此处理模块340拒绝该进程调用剪贴板数据变更函数。
第二种示例,特征库中包含黑名单,黑名单包含的进程信息对应的进程是非法进程,例如可能是恶意程序对应的进程,如果允许该进程调用剪贴板数据变更函数会造成对操作系统安全的破坏。
在本示例中,获取单元331确定调用剪贴板数据变更函数的当前进程,根据该当前进程的进程信息查询特征库,匹配单元332如果该进程的进程信息与黑名单包含的进程信息匹配,第一确定单元333则认为该进程是非法进程,因此处理模块340拒绝该进程调用剪贴板数据变更函数。如果匹配单元332获取到该进程的进程信息与黑名单包含的进程信息不匹配,第二确定单元334则认为该进程是合法进程,因此处理模块340允许该进程调用剪贴板数据变更函数。
第三种示例,特征库中可包含黑名单和白名单,白名单中包含的进程信息对应的进程是合法进程,黑名单中包含的进程信息对应的进程是非法进程。
在本示例中,获取单元331确定调用剪贴板数据变更函数的当前进程,根据该进程的进程信息查询特征库,如果匹配单元332查询获取该进程信息,与白名单的进程信息匹配,第一确定单元333则认为该进程是合法进程,因此处理模块340允许该进程调用剪贴板数据变更函数;如果匹配单元332获取该进程的进程信息与黑名单包含的进程信息匹配,则第二确定单元334认为该进程是非法进程,因此处理模块340拒绝该进程调用剪贴板数据变更函数。
需要说明的是,本发明实施例的防止修改剪贴板数据的装置与上述结合图1和图2描述的防止修改剪贴板数据的方法实施例相对应,本发明实施例的防止修改剪贴板数据的装置实施例未披露的细节,参照上述对防止修改剪贴板数据的方法实施例的描述。
综上所述,本发明实施例的防止修改剪贴板数据的装置,将与剪贴板数据变更函数对应的钩子函数设置于具有网络安全应用的防御驱动中,并通过获取调用剪贴板数据变更函数的操作路径确定当前进程,进而通过特征库判断调用剪贴板数据变更函数进程的合法性,只有在该进程合法时,才允许该进程对剪贴板数据变更函数的调用。进一步保护了操作系统的安全。
为了实现上述实施例,本发明还提出了一种终端设备。
图5是根据本发明一个实施例的终端设备的结构示意图,如图5所示,该终端设备包括防止修改剪贴板数据的装置500。
需要说明的是,上述防止修改剪贴板数据的装置500的描述可参考上述结合图3和图4对防止修改剪贴板数据的装置的描述,在此不再赘述。
综上所述,本发明实施例的终端设备,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该终端设备在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了另外一种终端设备。
图6是根据本发明另一个实施例的终端设备的结构示意图,如图6所示,终端设备1000可以是移动电话等。
参见图6,终端设备1000可以包括以下一个或多个组件:处理器1001,存储器1002,电源电路1003,多媒体组件1004,音频组件1005,输入/输出(I/O)的接口1006,传感器组件1007,以及通信组件1008。
电源电路1003,用于为终端设备的各个电路或器件供电;存储器1002用于存储可执行程序代码;处理器1001通过读取存储器1002中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
监测操作系统内核提供的剪贴板数据变更函数是否被调用,如果被调用,运行与剪贴板数据变更函数对应的钩子函数;
检测调用剪贴板数据变更函数的进程的合法性;
如果进程非法,则拒绝所述进程调用剪贴板数据变更函数。
需要说明的是,上述对终端设备1000的描述可参考上述结合图1和图2对防止修改剪贴板数据的方法的描述,在此不再赘述。
综上所述,本发明实施例的终端设备,在监测到操作系统内核提供的剪贴板数据变更函数被调用时,运行与剪贴板数据变更函数对应的钩子函数,并检测调用剪贴板数据变更函数的进程的合法性,当进程非法时,拒绝该进程调用剪贴板数据变更函数。该终端设备在调用剪贴板数据变更函数之前,检测调用剪贴板数据变更函数的合法性,当该进程非法时拒绝其对剪贴板数据变更函数的调用,防止恶意进程对剪贴板数据进程篡改、破坏用户的操作,保护了操作系统的安全。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种防止修改剪贴板数据的方法,其特征在于,包括以下步骤:
监测操作系统内核提供的剪贴板数据变更函数是否被调用,如果被调用,运行与所述剪贴板数据变更函数对应的钩子函数;
检测调用所述剪贴板数据变更函数的进程的合法性;
如果所述进程非法,则拒绝所述进程调用所述剪贴板数据变更函数。
2.如权利要求1所述的方法,其特征在于,所述剪贴板数据变更函数,包括:
剪贴板数据修改函数,或者,剪贴板数据清空函数。
3.如权利要求1所述的方法,其特征在于,还包括:
如果所述进程合法,则允许所述进程调用所述剪贴板数据变更函数。
4.如权利要求1所述的方法,其特征在于,在所述监测操作系统内核提供的剪贴板数据变更函数是否被调用之前,还包括:
在具有网络安全应用的防御驱动中设置与所述剪贴板数据变更函数对应的钩子函数。
5.如权利要求1所述的方法,其特征在于,所述检测调用所述剪贴板数据变更函数的进程的合法性,包括:
根据预设的特征库检测调用所述剪贴板数据变更函数的进程的合法性。
6.如权利要求5所述的方法,其特征在于,所述特征库包括:
包括合法进程的白名单,和/或,包括非法进程的黑名单。
7.如权利要求5所述的方法,其特征在于,所述根据预设的特征库检测调用所述剪贴板数据变更函数的进程的合法性,包括:
获取调用所述剪贴板数据变更函数的操作进程路径确定当前进程;
将所述特征库中预存的非法进程与当前进程进行匹配;
如果所述非法进程与当前进程匹配成功,则确定当前进程非法;
如果所述非法进程与当前进程匹配不成功,则确定当前进程合法。
8.一种防止修改剪贴板数据的装置,其特征在于,包括:
监测模块,用于监测操作系统内核提供的剪贴板数据变更函数是否被调用;
运行模块,用于在所述剪贴板数据变更函数被调用时,运行与所述剪贴板数据变更函数对应的钩子函数;
检测模块,用于检测调用所述剪贴板数据变更函数的进程的合法性;
处理模块,用于在所述检测模块检测出所述进程非法时,拒绝所述进程调用所述剪贴板数据变更函数。
9.如权利要求8所述的装置,其特征在于,所述剪贴板数据变更函数,包括:剪贴板数据修改函数,或者,剪贴板数据清空函数。
10.如权利要求8所述的装置,其特征在于,所述处理模块还用于:
在所述进程合法时,允许所述进程调用所述剪贴板数据变更函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610519420.XA CN106203111A (zh) | 2016-07-04 | 2016-07-04 | 防止修改剪贴板数据的方法、装置和终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610519420.XA CN106203111A (zh) | 2016-07-04 | 2016-07-04 | 防止修改剪贴板数据的方法、装置和终端设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106203111A true CN106203111A (zh) | 2016-12-07 |
Family
ID=57466229
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610519420.XA Pending CN106203111A (zh) | 2016-07-04 | 2016-07-04 | 防止修改剪贴板数据的方法、装置和终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106203111A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110929000A (zh) * | 2018-08-30 | 2020-03-27 | 北京国双科技有限公司 | 内容数据处理方法、装置及富文本编辑器 |
| CN111539010A (zh) * | 2020-06-16 | 2020-08-14 | 北京明朝万达科技股份有限公司 | 剪贴板控制方法、装置、电子设备及计算机可读存储介质 |
| CN111598554A (zh) * | 2020-04-30 | 2020-08-28 | 海南新软软件有限公司 | 一种数字资产地址准确性校验方法及系统 |
| CN113239350A (zh) * | 2021-06-11 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 防止剪切板被非法篡改的方法、装置和电子装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101101621A (zh) * | 2007-07-10 | 2008-01-09 | 北京鼎信高科信息技术有限公司 | 一种通过Windows系统服务监控Windows系统剪贴板的方法 |
-
2016
- 2016-07-04 CN CN201610519420.XA patent/CN106203111A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101101621A (zh) * | 2007-07-10 | 2008-01-09 | 北京鼎信高科信息技术有限公司 | 一种通过Windows系统服务监控Windows系统剪贴板的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110929000A (zh) * | 2018-08-30 | 2020-03-27 | 北京国双科技有限公司 | 内容数据处理方法、装置及富文本编辑器 |
| CN111598554A (zh) * | 2020-04-30 | 2020-08-28 | 海南新软软件有限公司 | 一种数字资产地址准确性校验方法及系统 |
| CN111598554B (zh) * | 2020-04-30 | 2023-07-07 | 北京庚金科技有限公司 | 一种数字资产地址准确性校验方法及系统 |
| CN111539010A (zh) * | 2020-06-16 | 2020-08-14 | 北京明朝万达科技股份有限公司 | 剪贴板控制方法、装置、电子设备及计算机可读存储介质 |
| CN111539010B (zh) * | 2020-06-16 | 2023-09-01 | 北京明朝万达科技股份有限公司 | 剪贴板控制方法、装置、电子设备及计算机可读存储介质 |
| CN113239350A (zh) * | 2021-06-11 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 防止剪切板被非法篡改的方法、装置和电子装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101558715B1 (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
| CN102752730B (zh) | 消息处理的方法及装置 | |
| EP2562673B1 (en) | Apparatus and method for securing mobile terminal | |
| CN103744686B (zh) | 智能终端中应用安装的控制方法和系统 | |
| CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
| CN106203111A (zh) | 防止修改剪贴板数据的方法、装置和终端设备 | |
| CN103491056A (zh) | 应用权限的控制方法及装置 | |
| CN102413221B (zh) | 一种保护隐私信息的方法及移动终端 | |
| CN103761114A (zh) | 一种浏览器侧加载扩展和/或插件的方法及装置 | |
| CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
| CN101754213A (zh) | 保证应用安全的智能卡、终端设备、鉴权服务器及其方法 | |
| CN112738138B (zh) | 云安全托管方法、装置、设备及存储介质 | |
| CN105631312A (zh) | 恶意程序的处理方法及系统 | |
| CN103065083A (zh) | 一种智能移动终端的应用程序接口监控方法及系统 | |
| CN105376387A (zh) | 一种陌生来电的处理方法、装置、系统及终端 | |
| CN102957673A (zh) | 一种信息的处理方法、设备和系统 | |
| CN102547710B (zh) | 在移动通信系统中探测病毒的方法和装置 | |
| CN108108618B (zh) | 伪造攻击的应用界面检测方法及装置 | |
| CN106127041A (zh) | 防止剪贴板数据被监听的方法、装置及终端设备 | |
| CN109711149A (zh) | 动态更新机制判定方法及应用全生命周期行为监控方法 | |
| CN103795771A (zh) | 用户终端、可靠性管理服务器及相应方法和程序 | |
| CN102841843A (zh) | 兼容判断方法及装置 | |
| CN106169046A (zh) | 防止消息钩子注入的方法、装置和终端设备 | |
| CN106203079A (zh) | 光标处理方法、装置和终端设备 | |
| CN105590052A (zh) | 一种控制浏览器插件安装的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |
|
| RJ01 | Rejection of invention patent application after publication |