CN109522711A - 一种检测防御方法、装置、设备及可读存储介质 - Google Patents
一种检测防御方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN109522711A CN109522711A CN201811229278.0A CN201811229278A CN109522711A CN 109522711 A CN109522711 A CN 109522711A CN 201811229278 A CN201811229278 A CN 201811229278A CN 109522711 A CN109522711 A CN 109522711A
- Authority
- CN
- China
- Prior art keywords
- program
- target
- signature
- modified
- target program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004048 modification Effects 0.000 claims abstract description 61
- 238000012986 modification Methods 0.000 claims abstract description 58
- 238000009434 installation Methods 0.000 claims abstract description 10
- 238000004590 computer program Methods 0.000 claims description 12
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 10
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000001681 protective effect Effects 0.000 abstract description 16
- 230000000694 effects Effects 0.000 abstract description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种检测防御方法,包括:当检测到目标程序被修改时,获取目标程序的目标签名;判断预设的签名数据库中是否存在目标签名,签名数据库中预先存储了被保护程序的签名;若是,则禁止目标程序被修改。该方法在检测到目标程序被修改时,判断预设的签名数据库中是否存在目标程序的目标签名;若存在,说明目标程序为被保护程序,其不允许进行任何修改,包括正常修改和恶意修改,因此则禁止目标程序被修改,从而自动实现目标程序不被修改的目的,有效保障了计算机中被保护程序的安全,减少了用户操作。相应地,本发明公开的一种检测防御装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本发明涉及软件安全检测技术领域,更具体地说,涉及一种检测防御方法、装置、设备及可读存储介质。
背景技术
在现有技术中,为了保障计算机中各程序的安全运行,人们一般通过安全防护软件实现对木马和病毒的防御,以避免病毒修改计算机中的程序。其中,安全软件一般依照程序的hash值或其他特征值判别程序是否有恶意行为,此种判别方法可能存在误判或被蓄意更改特征值的情况,从而无法有效地保障计算机的安全。并且,安全防护软件需要用户手动做修改配置操作,配置哪些程序允许被正常修改和哪些程序自始至终都不允许修改,这样就增加了用户操作,不利于用户使用。
因此,如何有效保障计算机中程序的安全,减少用户操作,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种检测防御方法、装置、设备及可读存储介质,以实现有效保障计算机中程序的安全,减少用户操作。
为实现上述目的,本发明实施例提供了如下技术方案:
一种检测防御方法,包括:
当检测到目标程序被修改时,获取所述目标程序的目标签名;
判断预设的签名数据库中是否存在所述目标签名,所述签名数据库中预先存储了被保护程序的签名;
若是,则禁止所述目标程序被修改。
其中,当所述签名数据库中不存在所述目标签名时,还包括:
按照预设的安全软件中的配置执行相应的操作。
其中,当所述签名数据库中存在所述目标签名时,还包括:
将预设的提示消息进行可视化展示,并获取用户输入的指令;
判断所述指令是否为允许修改指令;
当所述选择指令为允许修改指令时,允许所述目标程序被修改;
当所述选择指令为禁止修改指令时,执行所述禁止所述目标程序被修改的步骤。
其中,所述禁止所述目标程序被修改之后,还包括:
将当前修改操作的修改信息记录至预设的目标文件,并将所述当前修改操作的修改信息进行可视化展示。
其中,还包括:
根据所述目标文件分析所述目标程序被修改的修改特征,并基于所述修改特征创建所述目标程序的防御策略。
一种检测防御装置,包括:
获取模块,用于当检测到目标程序被修改时,获取所述目标程序的目标签名;
判断模块,用于判断预设的签名数据库中是否存在所述目标签名,所述签名数据库中预先存储了用户要求保护的程序的签名;
禁止模块,用于当所述签名数据库中存在所述目标签名时,禁止所述目标程序被修改。
其中,还包括:
执行模块,用于当所述签名数据库中不存在所述目标签名时,按照预设的安全软件中的配置执行相应的操作。
其中,还包括:
交互模块,用于当所述签名数据库中存在所述目标签名时,将预设的提示消息进行可视化展示,并获取用户输入的指令;判断所述指令是否为允许修改指令;当所述选择指令为允许修改指令时,允许所述目标程序被修改;当所述选择指令为禁止修改指令时,禁止所述目标程序被修改。
一种检测防御设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任意一项所述的检测防御方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的检测防御方法的步骤。
通过以上方案可知,本发明实施例提供的一种检测防御方法,包括:当检测到目标程序被修改时,获取所述目标程序的目标签名;判断预设的签名数据库中是否存在所述目标签名,所述签名数据库中预先存储了被保护程序的签名;若是,则禁止所述目标程序被修改。
可见,所述方法在检测到目标程序被修改时,获取目标程序的目标签名,并判断预设的签名数据库中是否存在目标签名;若存在,说明目标程序为被保护程序,其不允许进行任何修改,包括正常修改和恶意修改,因此则禁止所述目标程序被修改,自动实现目标程序不被修改的目的,从而有效保障计算机中被保护程序的安全,减少了用户操作。
相应地,本发明实施例提供的一种检测防御装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种检测防御方法流程图;
图2为本发明实施例公开的另一种检测防御方法流程图;
图3为本发明实施例公开的一种检测防御装置示意图;
图4为本发明实施例公开的一种检测防御设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种检测防御方法、装置、设备及可读存储介质,以实现有效保障计算机中程序的安全,减少用户操作。
参见图1,本发明实施例提供的一种检测防御方法,包括:
S101、当检测到目标程序被修改时,获取目标程序的目标签名;
S102、判断预设的签名数据库中是否存在目标签名,签名数据库中预先存储了被保护程序的签名;若是,则执行S103;若否,则执行S104;
S103、禁止目标程序被修改。
S104、按照预设的安全软件中的配置执行相应的操作。
在本实施例中,预设有存储被保护程序签名的签名数据库。当计算机中的程序被修改时,获取被修改程序(即目标程序)的签名;当被修改程序的签名存储于所述签名数据库时,表明当前被修改程序是用户特殊标记的程序,不允许被修改,那么禁止当前被修改程序被修改;当被修改程序的签名不存储于所述签名数据库时,表明当前被修改程序为普通程序,那么可以按照计算机中的安全软件中的配置执行相应的操作。
需要说明的是,程序的签名为本领域内的权威验证机构未程序颁发的唯一标识,该标识与程序本身一一对应,且不可篡改,从而可避免验证过程被恶意篡改,提高验证的可靠性。
其中,按照预设的安全软件中的配置执行相应的操作,包括:检测当前修改操作为正常修改操作还是恶意修改操作;若是正常修改操作,则允许目标程序被修改;若是恶意修改操作,则拒绝目标程序被修改,并记录当前修改操作的相关信息,以便识别修改操作的目的。
可见,本实施例提供了一种检测防御方法,所述方法在检测到目标程序被修改时,获取目标程序的目标签名,并判断预设的签名数据库中是否存在目标签名;若存在,说明目标程序为被保护程序,其不允许进行任何修改,包括正常修改和恶意修改,因此则禁止所述目标程序被修改,自动实现目标程序不被修改的目的,从而有效保障计算机中被保护程序的安全,减少了用户操作。
本发明实施例公开了另一种检测防御方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。
参见图2,本发明实施例提供的另一种检测防御方法,包括:
S201、当检测到目标程序被修改时,获取目标程序的目标签名;
S202、判断预设的签名数据库中是否存在目标签名,签名数据库中预先存储了被保护程序的签名;若是,则执行S203;若否,则执行S207;
S203、将预设的提示消息进行可视化展示,并获取用户输入的指令,并执行S204;
S204、判断该指令是否为允许修改指令;若是,则执行S205;若否,则执行S206;
S205、允许目标程序被修改;
S206、禁止目标程序被修改;
S207、按照预设的安全软件中的配置执行相应的操作。
在本实施例中,当用户主动修改被保护程序时,用户可以基于预设的人机交互页面输入指令,以便完成被保护程序的修改。具体的,当预设的签名数据库中存在目标签名时,将预设的提示消息进行可视化展示,并获取用户输入的指令;并判断该指令是否为允许修改指令;若是,则允许目标程序被修改;若否,禁止目标程序被修改。
可见,本实施例提供了另一种检测防御方法,所述方法在检测到目标程序被修改时,获取目标程序的目标签名,并判断预设的签名数据库中是否存在目标签名;若存在,说明目标程序为被保护程序,其不允许进行任何修改,包括正常修改和恶意修改,因此则禁止所述目标程序被修改,自动实现目标程序不被修改的目的,从而有效保障计算机中被保护程序的安全,减少了用户操作。
基于上述任意实施例,需要说明的是,所述禁止所述目标程序被修改之后,还包括:将当前修改操作的修改信息记录至预设的目标文件,并将所述当前修改操作的修改信息进行可视化展示。其中,根据所述目标文件分析所述目标程序被修改的修改特征,并基于所述修改特征创建所述目标程序的防御策略。
具体的,记录修改操作的修改信息,并分析一段时间内的历史修改信息,即目标文件中记录的信息,得到目标程序的被修改特征。其中,被修改特征即为目标程序的运行信息,例如:运行对象、运行时间等。当分析得到被修改特征为运行对象时,则检测目标程序的运行对象,或为该运行对象建立相应的保护锁,以防御目标程序不被修改。
基于上述任意实施例,需要说明的是,本发明提出的签名验证可以识别所有符合国际标准的签名或证书,从而识别出被要求特殊保护的程序。不具有签名或证书的程序可通过安全软件进行防护,能够同时检测正常修改操作和恶意修改操作,从而有效保障了计算机的安全。
具体实施过程如下:(1)建立签名数据库:将系统中需要保护的、具有数字签名的程序搜集在一起,建立签名数据库;(2)用户自主配置哪些被保护程序在检测到修改时进行报告,并禁止被修改。
需要说明的是,为了保障计算机的操作系统正常运行,有关操作系统的程序的签名可以不存入签名数据库。
下面对本发明实施例提供的一种检测防御装置进行介绍,下文描述的一种检测防御装置与上文描述的一种检测防御方法可以相互参照。
参见图3,本发明实施例提供的一种检测防御装置,包括:
获取模块301,用于当检测到目标程序被修改时,获取所述目标程序的目标签名;
判断模块302,用于判断预设的签名数据库中是否存在所述目标签名,所述签名数据库中预先存储了用户要求保护的程序的签名;
禁止模块303,用于当所述签名数据库中存在所述目标签名时,禁止所述目标程序被修改。
其中,还包括:
执行模块,用于当所述签名数据库中不存在所述目标签名时,按照预设的安全软件中的配置执行相应的操作。
其中,还包括:
交互模块,用于当所述签名数据库中存在所述目标签名时,将预设的提示消息进行可视化展示,并获取用户输入的指令;判断所述指令是否为允许修改指令;当所述选择指令为允许修改指令时,允许所述目标程序被修改;当所述选择指令为禁止修改指令时,禁止所述目标程序被修改。
其中,还包括:
展示模块,用于将当前修改操作的修改信息记录至预设的目标文件,并将所述当前修改操作的修改信息进行可视化展示。
其中,还包括:
创建模块,用于根据所述目标文件分析所述目标程序被修改的修改特征,并基于所述修改特征创建所述目标程序的防御策略。
可见,本实施例提供了一种检测防御装置,包括:获取模块、判断模块以及禁止模块。当检测到目标程序被修改时,首先由获取模块获取目标程序的目标签名;然后判断模块判断预设的签名数据库中是否存在目标签名,签名数据库中预先存储了用户要求保护的程序的签名;当签名数据库中存在目标签名时,禁止模块禁止目标程序被修改。如此各个模块之间分工合作,各司其职,自动实现目标程序不被修改的目的,从而有效保障计算机中被保护程序的安全,减少了用户操作。
下面对本发明实施例提供的一种检测防御设备进行介绍,下文描述的一种检测防御设备与上文描述的一种检测防御方法及装置可以相互参照。
参见图4,本发明实施例提供的一种检测防御设备,包括:
存储器401,用于存储计算机程序;
处理器402,用于执行所述计算机程序时实现上述任意实施例所述的检测防御方法的步骤。
下面对本发明实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种检测防御方法、装置及设备可以相互参照。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意实施例所述的检测防御方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种检测防御方法,其特征在于,包括:
当检测到目标程序被修改时,获取所述目标程序的目标签名;
判断预设的签名数据库中是否存在所述目标签名,所述签名数据库中预先存储了被保护程序的签名;
若是,则禁止所述目标程序被修改。
2.根据权利要求1所述的检测防御方法,其特征在于,当所述签名数据库中不存在所述目标签名时,还包括:
按照预设的安全软件中的配置执行相应的操作。
3.根据权利要求2所述的检测防御方法,其特征在于,当所述签名数据库中存在所述目标签名时,还包括:
将预设的提示消息进行可视化展示,并获取用户输入的指令;
判断所述指令是否为允许修改指令;
当所述选择指令为允许修改指令时,允许所述目标程序被修改;
当所述选择指令为禁止修改指令时,执行所述禁止所述目标程序被修改的步骤。
4.根据权利要求1所述的检测防御方法,其特征在于,所述禁止所述目标程序被修改之后,还包括:
将当前修改操作的修改信息记录至预设的目标文件,并将所述当前修改操作的修改信息进行可视化展示。
5.根据权利要求4所述的检测防御方法,其特征在于,还包括:
根据所述目标文件分析所述目标程序被修改的修改特征,并基于所述修改特征创建所述目标程序的防御策略。
6.一种检测防御装置,其特征在于,包括:
获取模块,用于当检测到目标程序被修改时,获取所述目标程序的目标签名;
判断模块,用于判断预设的签名数据库中是否存在所述目标签名,所述签名数据库中预先存储了用户要求保护的程序的签名;
禁止模块,用于当所述签名数据库中存在所述目标签名时,禁止所述目标程序被修改。
7.根据权利要求6所述的检测防御装置,其特征在于,还包括:
执行模块,用于当所述签名数据库中不存在所述目标签名时,按照预设的安全软件中的配置执行相应的操作。
8.根据权利要求7所述的检测防御装置,其特征在于,还包括:
交互模块,用于当所述签名数据库中存在所述目标签名时,将预设的提示消息进行可视化展示,并获取用户输入的指令;判断所述指令是否为允许修改指令;当所述选择指令为允许修改指令时,允许所述目标程序被修改;当所述选择指令为禁止修改指令时,禁止所述目标程序被修改。
9.一种检测防御设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-5任意一项所述的检测防御方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-5任意一项所述的检测防御方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811229278.0A CN109522711A (zh) | 2018-10-22 | 2018-10-22 | 一种检测防御方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811229278.0A CN109522711A (zh) | 2018-10-22 | 2018-10-22 | 一种检测防御方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109522711A true CN109522711A (zh) | 2019-03-26 |
Family
ID=65772216
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811229278.0A Withdrawn CN109522711A (zh) | 2018-10-22 | 2018-10-22 | 一种检测防御方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109522711A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110096877A (zh) * | 2019-04-24 | 2019-08-06 | 厦门网宿有限公司 | 一种文件处理方法及装置 |
-
2018
- 2018-10-22 CN CN201811229278.0A patent/CN109522711A/zh not_active Withdrawn
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110096877A (zh) * | 2019-04-24 | 2019-08-06 | 厦门网宿有限公司 | 一种文件处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103593608B (zh) | 用于检测由虚拟机所执行的恶意代码的系统和方法 | |
CA2735600C (en) | System and method for detection of malware | |
CN103164643B (zh) | 一种通过硬件进行反调试的方法和装置 | |
CN102222194A (zh) | Linux主机计算环境安全保护的模块及方法 | |
CN103368904A (zh) | 移动终端、可疑行为检测及判定系统和方法 | |
CN107103238A (zh) | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 | |
CN107908958B (zh) | SELinux安全标识符防篡改检测方法及系统 | |
US8024798B2 (en) | Method and apparatus for protecting against buffer overrun attacks | |
CN105930739A (zh) | 一种防止文件被删除的方法及终端 | |
CN104252594A (zh) | 病毒检测方法和装置 | |
JP2006330864A (ja) | サーバ計算機システムの制御方法 | |
CN111767537A (zh) | 基于ios操作系统的应用程序的篡改校验方法及相关设备 | |
CN105550573B (zh) | 拦截捆绑软件的方法和装置 | |
CN107122664B (zh) | 安全防护方法及装置 | |
CN106951779A (zh) | 一种基于用户选择与设备行为分析的usb安全防护系统 | |
CN114417326A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
CN109522711A (zh) | 一种检测防御方法、装置、设备及可读存储介质 | |
CN102222189A (zh) | 一种保护操作系统的方法 | |
CN104636661A (zh) | 一种分析Android应用程序的方法和系统 | |
EP3800570B1 (en) | Methods and systems for genetic malware analysis and classification using code reuse patterns | |
US8549631B2 (en) | Internet site security system and method thereto | |
CN103679035A (zh) | 安全性检测方法与装置 | |
CN102110204A (zh) | 用以检验一计算装置的一可执行文件的可移除装置及方法 | |
CN105389521B (zh) | 一种对计算机系统中文件进行安全保护的方法 | |
CN103136474A (zh) | 检测文件的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190326 |