CN106203119B - 隐藏光标的处理方法、装置及电子设备 - Google Patents
隐藏光标的处理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN106203119B CN106203119B CN201610552390.2A CN201610552390A CN106203119B CN 106203119 B CN106203119 B CN 106203119B CN 201610552390 A CN201610552390 A CN 201610552390A CN 106203119 B CN106203119 B CN 106203119B
- Authority
- CN
- China
- Prior art keywords
- software process
- function
- cursor
- shut
- hiding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种隐藏光标的处理方法、装置及电子设备,能够解决现有技术不能防止恶意软件隐藏光标导致系统安全不能得到有效保护的问题。所述方法包括:检测软件进程调用禁止关机功能函数的行为;当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同;若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程;若所述软件进程为恶意软件进程,则拒绝进行隐藏光标操作,否则调用禁止关机功能函数执行隐藏光标操作。本发明适用于对隐藏光标的操作进行处理。
Description
技术领域
本发明涉及系统安全技术领域,尤其涉及一种隐藏光标的处理方法、装置及电子设备。
背景技术
在计算机系统中,提供有ShowCursor函数,用于显示或隐藏光标。而恶意程序可以采用此方法隐藏光标,导致用户看不到当前光标的位置,不能正常使用鼠标操作,严重破坏了用户系统环境。
目前,为了防止光标不被隐藏,通常情况下是挂钩应用层的ShowCursor函数,ShowCursor函数对应于系统内核的函数是NtUserCallOneParam函数。NtUserCallOneParam函数是一个公共函数,很多应用层的函数对应内核的函数都是它。NtUserCallOneParam函数用一个功能索引号来区分不同的应用层函数,恶意程序可以通过调用内核的NtUserCallOneParam函数,传入相应的功能索引号,来隐藏光标,这样恶意程序就能够破坏计算机系统环境。
因此,现有的隐藏光标的处理方法,不能防止恶意软件隐藏光标,导致系统安全不能得到有效保护。
发明内容
有鉴于此,本发明实施例提供一种隐藏光标的处理方法、装置及电子设备,能够防止恶意软件隐藏光标,从而有效保护系统安全。
第一方面,本发明实施例提供一种隐藏光标的处理方法,包括:
检测软件进程调用禁止关机功能函数的行为;
当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;
判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同;
若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程;
若所述软件进程为恶意软件进程,则拒绝进行隐藏光标操作,否则调用禁止关机功能函数执行隐藏光标操作。
结合第一方面,在第一方面的第一种实施方式中,所述隐藏光标功能函数对应内核的第二功能索引号在不同的系统下有所不同。
结合第一方面,在第一方面的第二种实施方式中,所述判断所述软件进程是否为恶意软件进程包括:
获取所述软件进程的特征信息;
在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;
若能查询到所述软件进程的特征信息,则判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。
结合第一方面的第二种实施方式,在第一方面的第三种实施方式中,在所述检测软件进程调用禁止关机功能函数的行为之前,所述方法还包括:
建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。
第二方面,本发明实施例提供一种隐藏光标的处理装置,包括:
检测单元,用于检测软件进程调用禁止关机功能函数的行为;
获取单元,用于当所述检测单元检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;
第一判断单元,用于判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同;
第一处理单元,用于当所述第一判断单元的判断结果为不相同时,调用禁止关机功能函数执行与所述第一功能索引号相对应的操作;
第二判断单元,用于当所述第一判断单元的判断结果为相同时,判断所述软件进程是否为恶意软件进程;
第二处理单元,用于当所述第二判断单元判定所述软件进程为恶意软件进程时,拒绝进行隐藏光标操作;
第三处理单元,用于当所述第二判断单元判定所述软件进程不是恶意软件进程时,调用禁止关机功能函数执行隐藏光标操作。
结合第二方面,在第二方面的第一种实施方式中,所述隐藏光标功能函数对应内核的第二功能索引号在不同的系统下有所不同。
结合第二方面,在第二方面的第二种实施方式中,所述第二判断单元包括:
获取子单元,用于获取所述软件进程的特征信息;
查询子单元,用于在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;
判断子单元,用于当所述查询子单元能查询到所述软件进程的特征信息时,判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。
结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述装置还包括:
建立单元,用于在所述检测单元检测软件进程调用禁止关机功能函数的行为之前,建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一所述的隐藏光标的处理方法。
本发明实施例提供的一种隐藏光标的处理方法、装置及电子设备,当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号,判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同,若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程,若是则拒绝进行隐藏光标操作,否则调用禁止关机功能函数执行隐藏光标操作。与现有技术相比,本发明能够通过挂钩禁止关机功能函数的方式,在禁止关机功能函数执行之前对恶意软件进程通过内核的方式隐藏光标的行为进行拦截,防止恶意软件隐藏光标,从而有效保护系统安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明隐藏光标的处理方法实施例一的流程图;
图2为本发明隐藏光标的处理方法实施例二的流程图;
图3为本发明隐藏光标的处理装置实施例一的结构示意图;
图4为本发明隐藏光标的处理装置实施例二的结构示意图;
图5为本发明电子设备实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在下述本发明各实施例中,NtUserCallOneParam函数为禁止关机功能函数,ShowCursor函数为隐藏光标功能函数。
图1为本发明隐藏光标的处理方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤S11、检测软件进程调用NtUserCallOneParam函数的行为。
本实施例中,NtUserCallOneParam函数为内核层的一个公共函数,很多应用层的函数对应内核的函数都是该NtUserCallOneParam函数。
步骤S12、当检测到有软件进程调用NtUserCallOneParam函数的行为时,获取所述软件进程调用NtUserCallOneParam函数时所传入的第一功能索引号。
本实施例中,软件进程在调用NtUserCallOneParam函数时,会向内核层传入第一功能索引号。
具体地,上述操作可以通过钩子函数来实现,该钩子函数与NtUserCallOneParam函数进行挂钩,当检测到有软件进程调用NtUserCallOneParam函数时,在执行NtUserCallOneParam函数之前,该钩子函数获取软件进程传入内核层的第一功能索引号。
步骤S13、判断所述第一功能索引号与ShowCursor函数对应内核的第二功能索引号是否相同,若不相同,则执行步骤S14,否则执行步骤S15。
本实施例中,所述ShowCursor函数为应用层函数,对应内核的第二功能索引号在不同的系统下有所不同。具体地,所述ShowCursor函数对应内核的第二功能索引号在XP系统下为64,在Win7系统下为67,在Win8系统下为69,在Win8.1系统下为71,在Win10系统下为73。
具体地,步骤S13的过程可以通过步骤S12中的钩子函数来实现。
步骤S14、调用NtUserCallOneParam函数执行与所述第一功能索引号相对应的操作。
本实施例中,若所述第一功能索引号与ShowCursor函数对应内核的第二功能索引号不相同,表明所述软件进程对应的操作不是隐藏光标,则可以执行所述软件进程。
步骤S15、判断所述软件进程是否为恶意软件进程,若所述软件进程为恶意软件进程,则执行步骤S16,否则执行步骤S17。
本实施例中,恶意软件指在系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来对系统实施控制。
具体地,步骤S17的过程可以通过步骤S12中的钩子函数来实现。
步骤S16、拒绝进行隐藏光标操作。
本实施例中,若所述软件进程为恶意软件进程,则执行隐藏光标操作可能会对系统安全造成破坏,因此需要对本次隐藏光标操作进行拦截,结束本次操作。
具体地,步骤S17的过程可以通过步骤S12中的钩子函数来实现。
步骤S17、调用NtUserCallOneParam函数执行隐藏光标操作。
本实施例中,若所述软件进程不是恶意软件进程,则表明该软件进程对应的隐藏光标操作是正常操作,可以允许本次隐藏光标操作进行。
具体地,步骤S17的过程可以通过步骤S12中的钩子函数来实现。
本实施例,当检测到有软件进程调用NtUserCallOneParam函数的行为时,获取所述软件进程调用NtUserCallOneParam函数时所传入的第一功能索引号,判断所述第一功能索引号与ShowCursor函数对应内核的第二功能索引号是否相同,若不相同,则调用NtUserCallOneParam函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程,若是则拒绝进行隐藏光标操作,否则调用NtUserCallOneParam函数执行隐藏光标操作。与现有技术相比,本发明能够通过挂钩NtUserCallOneParam函数的方式,在NtUserCallOneParam函数执行之前对恶意软件进程通过内核的方式隐藏光标的行为进行拦截,防止恶意软件隐藏光标,从而有效保护系统安全。
图2为本发明隐藏光标的处理方法实施例二的流程图,如图2所示,本实施例的方法可以包括:
步骤S21、建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。
本实施例中,可以根据系统中安全软件监测到的恶意软件进程建立特征库,将已监测到的恶意软件进程的特征信息存储在所述特征库中,或者,用户可以手动添加恶意软件进程的特征信息至所述特征库中。其中,软件进程的特征信息可以为特征码,每个软件进程具有唯一的特征码。
进一步地,还可以根据安全软件的实时监测情况对所述特征库进行更新。
步骤S22、检测软件进程调用NtUserCallOneParam函数的行为。
本实施例中,检测软件进程调用NtUserCallOneParam函数的行为的过程和上述方法实施例的步骤S11类似,此处不再赘述。
步骤S23、当检测到有软件进程调用NtUserCallOneParam函数的行为时,获取所述软件进程调用NtUserCallOneParam函数时所传入的第一功能索引号。
本实施例中,获取所述软件进程调用NtUserCallOneParam函数时所传入的第一功能索引号的过程和上述方法实施例的步骤S12类似,此处不再赘述。
步骤S24、判断所述第一功能索引号与ShowCursor函数对应内核的第二功能索引号是否相同,若不相同,则执行步骤S25,否则执行步骤S26和步骤S27。
本实施例中,判断所述第一功能索引号与ShowCursor函数对应内核的第二功能索引号是否相同的过程和上述方法实施例的步骤S13类似,此处不再赘述。
步骤S25、调用NtUserCallOneParam函数执行与所述第一功能索引号相对应的操作。
本实施例中,调用NtUserCallOneParam函数执行与所述第一功能索引号相对应的操作的过程和上述方法实施例的步骤S14类似,此处不再赘述。
步骤S26、获取所述软件进程的特征信息。
本实施例中,所述软件进程的特征信息可以为特征码,每个软件进程具有唯一的特征码。
具体地,步骤S26的过程可以通过步骤S12中的钩子函数来实现。
步骤S27、在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息,若能查询到所述软件进程的特征信息,则判定所述软件进程为恶意软件进程,执行步骤S28,否则判定所述软件进程不是恶意软件进程,执行步骤S29。
本实施例中,恶意软件指在系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来对系统实施控制。
具体地,步骤S27的过程可以通过步骤S12中的钩子函数来实现。
步骤S28、拒绝进行隐藏光标操作。
本实施例中,拒绝进行隐藏光标操作的过程和上述方法实施例的步骤S16类似,此处不再赘述。
步骤S29、调用NtUserCallOneParam函数执行隐藏光标操作。
本实施例中,调用NtUserCallOneParam函数执行隐藏光标操作的过程和上述方法实施例的步骤S17类似,此处不再赘述。
本实施例,当检测到有软件进程调用NtUserCallOneParam函数的行为时,获取所述软件进程调用NtUserCallOneParam函数时所传入的第一功能索引号,判断所述第一功能索引号与ShowCursor函数对应内核的第二功能索引号是否相同,若不相同,则调用NtUserCallOneParam函数执行与所述第一功能索引号相对应的操作,否则在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息以判断所述软件进程是否为恶意软件进程,若是则拒绝进行隐藏光标操作,否则调用NtUserCallOneParam函数执行隐藏光标操作。与现有技术相比,本发明能够通过挂钩NtUserCallOneParam函数的方式,在NtUserCallOneParam函数执行之前对恶意软件进程通过内核的方式隐藏光标的行为进行拦截,防止恶意软件隐藏光标,从而有效保护系统安全。
图3为本发明隐藏光标的处理装置实施例一的结构示意图,如图3所示,本实施例的装置可以包括:检测单元11、获取单元12、第一判断单元13、第一处理单元14、第二判断单元15、第二处理单元16、第三处理单元17,其中,检测单元11,用于检测软件进程调用NtUserCallOneParam函数的行为;获取单元12,用于当所述检测单元11检测到有软件进程调用NtUserCallOneParam函数的行为时,获取所述软件进程调用NtUserCallOneParam函数时所传入的第一功能索引号;第一判断单元13,用于判断所述第一功能索引号与ShowCursor函数对应内核的第二功能索引号是否相同;第一处理单元14,用于当所述第一判断单元13的判断结果为不相同时,调用NtUserCallOneParam函数执行与所述第一功能索引号相对应的操作;第二判断单元15,用于当所述第一判断单元13的判断结果为相同时,判断所述软件进程是否为恶意软件进程;第二处理单元16,用于当所述第二判断单元15判定所述软件进程为恶意软件进程时,拒绝进行隐藏光标操作;第三处理单元17,用于当所述第二判断单元15判定所述软件进程不是恶意软件进程时,调用NtUserCallOneParam函数执行隐藏光标操作。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,所述ShowCursor函数对应内核的第二功能索引号在不同的系统下有所不同。
进一步地,所述ShowCursor函数对应内核的第二功能索引号在XP系统下为64,在Win7系统下为67,在Win8系统下为69,在Win8.1系统下为71,在Win10系统下为73。
图4为本发明隐藏光标的处理装置实施例二的结构示意图,如图4所示,本实施例的装置在图3所示装置结构的基础上,进一步地,所述第二判断单元15包括:
获取子单元151,用于获取所述软件进程的特征信息;
查询子单元152,用于在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;
判断子单元153,用于当所述查询子单元152能查询到所述软件进程的特征信息时,判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。
进一步地,所述装置还包括:
建立单元18,用于在所述检测单元11检测软件进程调用NtUserCallOneParam函数的行为之前,建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。
本实施例的装置,可以用于执行图1或图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。
在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本发明实施例还提供一种电子设备,所述电子设备包含前述前述任一实施例所述的装置。
图5为本发明电子设备实施例的结构示意图,可以实现本发明图1或图2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一所述的隐藏光标的处理方法。
处理器32对上述步骤的具体执行过程以及处理器32通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1或图2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
Claims (9)
1.一种隐藏光标的处理方法,其特征在于,包括:
检测软件进程调用禁止关机功能函数的行为;
当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;
判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同;
若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程;
若所述软件进程为恶意软件进程,则拒绝进行隐藏光标操作,否则调用禁止关机功能函数执行隐藏光标操作。
2.根据权利要求1所述的隐藏光标的处理方法,其特征在于,所述隐藏光标ShowCursor函数对应内核的第二功能索引号在不同的系统下有所不同。
3.根据权利要求1所述的隐藏光标的处理方法,其特征在于,所述判断所述软件进程是否为恶意软件进程包括:
获取所述软件进程的特征信息;
在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;
若能查询到所述软件进程的特征信息,则判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。
4.根据权利要求3所述的隐藏光标的处理方法,其特征在于,在所述检测软件进程调用禁止关机功能函数的行为之前,所述方法还包括:
建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。
5.一种隐藏光标的处理装置,其特征在于,包括:
检测单元,用于检测软件进程调用禁止关机功能函数的行为;
获取单元,用于当所述检测单元检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;
第一判断单元,用于判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同;
第一处理单元,用于当所述第一判断单元的判断结果为不相同时,调用禁止关机功能函数执行与所述第一功能索引号相对应的操作;
第二判断单元,用于当所述第一判断单元的判断结果为相同时,判断所述软件进程是否为恶意软件进程;
第二处理单元,用于当所述第二判断单元判定所述软件进程为恶意软件进程时,拒绝进行隐藏光标操作;
第三处理单元,用于当所述第二判断单元判定所述软件进程不是恶意软件进程时,调用禁止关机功能函数执行隐藏光标操作。
6.根据权利要求5所述的隐藏光标的处理装置,其特征在于,所述隐藏光标功能函数对应内核的第二功能索引号在不同的系统下有所不同。
7.根据权利要求5所述的隐藏光标的处理装置,其特征在于,所述第二判断单元包括:
获取子单元,用于获取所述软件进程的特征信息;
查询子单元,用于在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;
判断子单元,用于当所述查询子单元能查询到所述软件进程的特征信息时,判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。
8.根据权利要求7所述的隐藏光标的处理装置,其特征在于,所述装置还包括:
建立单元,用于在所述检测单元检测软件进程调用禁止关机功能函数的行为之前,建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-4任一项所述的隐藏光标的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610552390.2A CN106203119B (zh) | 2016-07-13 | 2016-07-13 | 隐藏光标的处理方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610552390.2A CN106203119B (zh) | 2016-07-13 | 2016-07-13 | 隐藏光标的处理方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106203119A CN106203119A (zh) | 2016-12-07 |
| CN106203119B true CN106203119B (zh) | 2019-04-26 |
Family
ID=57476825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610552390.2A Active CN106203119B (zh) | 2016-07-13 | 2016-07-13 | 隐藏光标的处理方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106203119B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108037972B (zh) * | 2017-12-14 | 2021-06-08 | 威创集团股份有限公司 | 一种完全隐藏光标的方法及装置 |
| CN111639341B (zh) * | 2020-05-29 | 2023-09-05 | 北京金山云网络技术有限公司 | 一种恶意程序的检测方法、装置、电子设备及存储介质 |
| CN112765672A (zh) * | 2021-03-16 | 2021-05-07 | 北京安天网络安全技术有限公司 | 一种恶意代码的检测方法、装置和计算机可读介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102023843A (zh) * | 2010-11-24 | 2011-04-20 | 北京握奇数据系统有限公司 | 函数的调用方法、装置及智能卡 |
| CN103019705A (zh) * | 2012-11-28 | 2013-04-03 | 南开大学 | 基于持久存储既有计算结果来加速程序计算的方法及系统 |
-
2016
- 2016-07-13 CN CN201610552390.2A patent/CN106203119B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102023843A (zh) * | 2010-11-24 | 2011-04-20 | 北京握奇数据系统有限公司 | 函数的调用方法、装置及智能卡 |
| CN103019705A (zh) * | 2012-11-28 | 2013-04-03 | 南开大学 | 基于持久存储既有计算结果来加速程序计算的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106203119A (zh) | 2016-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | Quantitative security risk assessment of android permissions and applications | |
| CN106682495B (zh) | 安全防护方法及安全防护装置 | |
| CN106201468B (zh) | 一种截屏的处理方法、装置及电子设备 | |
| CN105049592B (zh) | 移动智能终端语音安全防护方法及系统 | |
| CN107851153A (zh) | 使用异步自测异常的计算机安全系统及方法 | |
| CN104361285B (zh) | 移动设备应用程序的安全检测方法及装置 | |
| US20160156646A1 (en) | Signal tokens indicative of malware | |
| Shezan et al. | Read between the lines: An empirical measurement of sensitive applications of voice personal assistant systems | |
| US20160094574A1 (en) | Determining malware based on signal tokens | |
| CN103605924A (zh) | 一种防止恶意程序攻击网络支付页面的方法及装置 | |
| CN106203119B (zh) | 隐藏光标的处理方法、装置及电子设备 | |
| Tuncay et al. | See no evil: phishing for permissions with false transparency | |
| CN106203092A (zh) | 一种拦截恶意程序关机的方法、装置及电子设备 | |
| CN106254626A (zh) | 一种来电显示方法及终端 | |
| Shrivastava et al. | Android application behavioural analysis for data leakage | |
| CN106127034B (zh) | 一种防止系统被恶意关闭的方法、装置及电子设备 | |
| Prince | Cybersecurity: The security and protection challenges of our digital world | |
| Zhang et al. | PhoneProtector: protecting user privacy on the android-based mobile platform | |
| Gunalakshmii et al. | Mobile keylogger detection using machine learning technique | |
| CN106203115B (zh) | 一种应用程序的防护方法、装置及电子设备 | |
| CN108520186A (zh) | 录屏方法、移动终端及计算机可读存储介质 | |
| KR101206086B1 (ko) | 발신 번호의 인증을 이용한 피싱 방지 시스템 및 그 방법 | |
| CN106022111B (zh) | 隐藏弹出式窗口的处理方法、装置及电子设备 | |
| CN106127050A (zh) | 一种防止系统光标被恶意修改的方法、装置及电子设备 | |
| CN106201032B (zh) | 修改鼠标双击间隔时间的处理方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190118 Address after: 519031 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, No. 33 Xiaoying West Road, Haidian District, Beijing Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |