CN110232276A - 一种程序运行的拦截方法、终端设备以及计算机存储介质 - Google Patents
一种程序运行的拦截方法、终端设备以及计算机存储介质 Download PDFInfo
- Publication number
- CN110232276A CN110232276A CN201910477870.0A CN201910477870A CN110232276A CN 110232276 A CN110232276 A CN 110232276A CN 201910477870 A CN201910477870 A CN 201910477870A CN 110232276 A CN110232276 A CN 110232276A
- Authority
- CN
- China
- Prior art keywords
- target program
- kernel module
- program
- path
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种程序运行的拦截方法、终端设备以及计算机存储介质,该方法包括:获取目标程序的路径;判断路径是否在预设的第一白名单中;若是,对目标程序进行设定运算,以得到特征值;判断特征值是否在预设的第二白名单中,以得到判断结果;根据判断结果确定是否对目标程序进行拦截。通过上述方式,能够防止病毒攻击或者恶意使用者的恶意攻击,使产品在安全使用上处于可控状态。
Description
技术领域
本申请涉及系统安全技术领域,特别是涉及一种程序运行的拦截方法、终端设备以及计算机存储介质。
背景技术
随着计算机技术的不断发展,系统的安全性也受到越来越多的挑战。在程序运行的过程中,病毒以及恶意程序可能会通过篡改程序,来实现入侵,从而给系统安全带来威胁。
在相关技术中,一般通常依靠杀毒软件来进行拦截。这种方式可以满足一般的需求,但是不适用于企业等特定场所或者一些特定的终端设备。
发明内容
为解决上述问题,本申请提供了一种程序运行的拦截方法、终端设备以及计算机存储介质,能够防止病毒攻击或者恶意使用者的恶意攻击,使产品在安全使用上处于可控状态。
本申请采用的一个技术方案是:提供一种程序运行的拦截方法,该方法包括:获取目标程序的路径;判断路径是否在预设的第一白名单中;若是,对目标程序进行设定运算,以得到特征值;判断特征值是否在预设的第二白名单中,以得到判断结果;根据判断结果确定是否对目标程序进行拦截。
其中,目标程序为内核模块;根据判断结果确定是否对目标程序进行拦截的步骤,包括:根据判断结果确定内核模块的内存长度;获取内核模块的文件长度;判断内存长度与文件长度是否相同;若不相同,对内核模块进行拦截。
其中,根据判断结果确定内核模块的内存长度的步骤,包括:若特征值在第二白名单中,获取内核模块的内存长度;若特征值不在第二白名单中,确定内核模块的内存长度为0。
其中,获取内核模块的内存长度的步骤,包括:采用do_execve函数获取内核模块的内存长度;获取内核模块的文件长度的步骤,包括:采用init_module函数获取内核模块的文件长度。
其中,若路径不在第一白名单中,确定内核模块的内存长度为0。
其中,目标程序为内核模块;获取目标程序的路径的步骤,包括:通过当前进程任务指针current获取当前进程控制块结构体;根据当前进程控制块结构体中的fs指针获取目录信息结构体fs_struct;从目录信息结构体fs_struct中获取pwd字段和pwdmnt字段;将pwd字段和pwdmnt字段合成目标程序的路径。
其中,目标程序为内核模块;获取目标程序的路径的步骤,包括:获取insmod命令所带的参数;判断参数是否等于2;若是,则采用argv[1]参数获取目标程序的路径。
其中,目标程序为应用程序或脚本;根据判断结果确定是否对目标程序进行拦截的步骤,包括:若特征值是不在第二白名单中,对目标程序进行拦截。
其中,该方法还包括:若路径不在第一白名单中,对目标程序进行拦截。
本申请采用的一个技术方案是:提供一种终端设备,该终端设备包括处理器和存储器,存储器用于存储程序数据,处理器用于执行程序数据以实现如上述的方法。
本申请采用的一个技术方案是:提供一种计算机存储介质,该计算机存储介质存储有程序数据,程序数据在被处理器执行时,用以实现如上述的方法。
本申请提供的程序运行的拦截方法包括:获取目标程序的路径;判断路径是否在预设的第一白名单中;若是,对目标程序进行设定运算,以得到特征值;判断特征值是否在预设的第二白名单中,以得到判断结果;根据判断结果确定是否对目标程序进行拦截。通过上述方式,本实施例的拦截方法专门针对嵌入式设备开发,满足嵌入式特点需求;弥补了杀软的不足;能防止病毒也能防止恶意使用者的恶意攻击,使销售给用户的产品在安全使用上处于可控状态。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是本申请实施例提供的程序运行的拦截方法的流程示意图;
图2是本申请实施例提供的应用程序的拦截方法的流程示意图;
图3是本申请实施例提供的脚本的拦截方法的流程示意图;
图4是本申请实施例提供的内核模块的拦截方法的流程示意图;
图5是本申请实施例提供的终端设备的结构示意图;
图6是本申请实施例提供的计算机存储介质的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
参阅图1,图1是本申请实施例提供的程序运行的拦截方法的流程示意图,该方法包括:
步骤11:获取目标程序的路径。
在本实施例中,目标程序可以是应用程序、脚本和内核模块。
应用程序(application)是用户选择安装的程序的总称,通常包括驱动程序的进程,看图软件、解压缩软件等通用软件的进程。也可以顾名思义地说:应用程序就是为使用者提供与电脑沟通所开发出来的程序软件。
脚本(Script)是一种批处理文件的延伸,是一种纯文本保存的程序,一般来说的计算机脚本程序是确定的一系列控制计算机进行运算操作动作的组合,在其中可以实现一定的逻辑分支等。
内核模块是Linux内核向外部提供的一个插口,其全称为动态可加载内核模块(Loadable Kernel Module,LKM),我们简称为模块。Linux内核之所以提供模块机制,是因为它本身是一个单内核(monolithic kernel)。单内核的最大优点是效率高,因为所有的内容都集成在一起,但其缺点是可扩展性和可维护性相对较差,模块机制就是为了弥补这一缺陷。
可选地,在Windows系统中,系统提供一组API实现对程序运行时相关目录的获取和设置。用户可以使用GetCurrentDirectory和SetCurrentDirectory获取程序的当前目录,获取模块的路径使用GetModuleFileName,如果以NULL参数调用GetModuleFileName,将会返回当前模块的路径。如果在程序主模块(exe)中获取当前模块路径,便可以从当前模块的路径中提取出程序运行时所在的路径。
可选地,在Android系统中,可以通过获取当前程序路径、当前程序的安装包路径或程序默认数据库路径。具体地,可以采用以下函数来进行获取。
获取当前程序路径:getApplicationContext(),getFilesDir(),getAbsolutePath()。
获取该程序的安装包路径:String path=getApplicationContext(),getPackageResourcePath()。
获取程序默认数据库路径:getApplicationContext(),getDatabasePath(s),getAbsolutePath()。
步骤12:判断路径是否在预设的第一白名单中。
其中,第一白名单中用于保存用户允许运行的程序的路径。
若在第一白名单中,则执行步骤13。
步骤13:对目标程序进行设定运算,以得到特征值。
可选地,这里可以采用哈希运算。哈希运算是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
具体地,可以通过计算程序文件长度或者文件内容的哈希值。
步骤14:判断特征值是否在预设的第二白名单中,以得到判断结果。
其中,第二白名单中用于保存用户允许运行的程序的特征值。
可选地,上述第一白名单和第二白名单的建立可以采用下的结构:
struct_WHITE_LIST
{
char pname[256]; //文件路全径名
int len; //文件路径名长度
unsigned int flen; //文件的长度
unsigned char fmd5[16]; //文件内容的HASH值
};
步骤15:根据判断结果确定是否对目标程序进行拦截。
根据判断结果、以及程序的类型,可以对程序进行不同策略的拦截方式,下面通过三种不同的方式来进行介绍。
参阅图2,图2是本申请实施例提供的应用程序的拦截方法的流程示意图,该方法包括:
步骤21:获取应用程序的路径。
步骤22:判断路径是否在预设的第一白名单中。
若在第一白名单中,则执行步骤23,若不在第一白名单中,则执行步骤26。
步骤23:计算应用程序映像的哈希值。
步骤24:判断哈希值是否在预设的第二白名单中。
若在第二白名单中,则执行步骤25,若不在第二白名单中,则执行步骤26。
步骤25:执行应用程序。
步骤26:拦截应用程序。
在本实施例中,若路径没有在第一白名单中,或哈希值不在第二白名单中,均可以对应用程序进行拦截。换句话说,只有路径在第一白名单中,以及哈希值在第二白名单中,这两个条件同时满足,才允许应用程序运行。
参阅图3,图3是本申请实施例提供的脚本的拦截方法的流程示意图,该方法包括:
步骤31:获取脚本的路径。
步骤32:判断路径是否在预设的第一白名单中。
若在第一白名单中,则执行步骤33,若不在第一白名单中,则执行步骤36。
步骤33:计算脚本的哈希值。
步骤34:判断哈希值是否在预设的第二白名单中。
若在第二白名单中,则执行步骤35,若不在第二白名单中,则执行步骤36。
步骤35:执行脚本。
步骤36:拦截脚本。
在本实施例中,若路径没有在第一白名单中,或哈希值不在第二白名单中,均可以对脚本进行拦截。换句话说,只有路径在第一白名单中,以及哈希值在第二白名单中,这两个条件同时满足,才允许脚本运行。
参阅图4,图4是本申请实施例提供的内核模块的拦截方法的流程示意图,该方法包括:
步骤401:获取内核模块的路径。
可选地,在一实施例中,可以通过以下的方式来获取内核模块的路径:通过当前进程任务指针current获取当前进程控制块结构体;根据当前进程控制块结构体中的fs指针获取目录信息结构体fs_struct;从目录信息结构体fs_struct中获取pwd字段和pwdmnt字段;将pwd字段和pwdmnt字段合成目标程序的路径。
可选地,在另一实施例中,可以通过以下的方式来获取内核模块的路径:获取insmod命令所带的参数;判断参数是否等于2;若是,则采用argv[1]参数获取目标程序的路径。
步骤402:判断路径是否在预设的第一白名单中。
若在第一白名单中,则执行步骤403,若不在第一白名单中,则执行步骤406。
步骤403:计算内核模块的哈希值。
步骤404:判断哈希值是否在预设的第二白名单中。
步骤405:获取内核模块的内存长度。
可选地,可以采用do_execve函数获取内核模块的内存长度。
步骤406:确定内核模块的内存长度为0。
步骤407:获取内核模块的文件长度。
可选地,采用init_module函数获取内核模块的文件长度。
步骤408:判断内存长度与文件长度是否相同。
若相同,则执行步骤409,若不相同,则执行步骤410。
步骤409:运行内核模块。
步骤410:拦截内核模块。
具体地,内核模块的加载有两种方式。一种是通过命令insmod或者该命令中使用的类似函数完成加载。这种方式在内核中的流程图是先经过函数do_execve,再经过系统函数init_module。另一种方式是调用mmap+init_module。
以第一种为例,通过命令insmod加载的内核模块,先经过函数do_execve,进行路径和哈希值的判断,在标记内核模块的内存长度和文件长度时,调用函数init_module。
可选地,在另一实施例中,在函数do_execve检查完后,可以再在函数init_module中进行一次模块的哈希验证。
另外,在上述的实施例中,在对目标程序拦截后,可以生成相应的拦截日志。日志的生成可以包括从程序获取当前时间、从程序进行文件操作。
可选地,应用上述实施例中提供了三种不同程序的拦截方式,因此,在具体操作过程中,可以先判断程序的类型,然后根据不同类型的程序进行不同方式的拦截。
区别于现有技术,本实施例提供的程序运行的拦截方法包括:获取目标程序的路径;判断路径是否在预设的第一白名单中;若是,对目标程序进行设定运算,以得到特征值;判断特征值是否在预设的第二白名单中,以得到判断结果;根据判断结果确定是否对目标程序进行拦截。通过上述方式,本实施例的拦截方法专门针对嵌入式设备开发,满足嵌入式特点需求;弥补了杀软的不足;能防止病毒也能防止恶意使用者的恶意攻击,使销售给用户的产品在安全使用上处于可控状态。
参阅图5,图5是本申请实施例提供的终端设备的结构示意图,该终端设备50包括处理器51和存储器52,存储器52用于存储程序数据,处理器51用于执行程序数据以实现如下的方法:
获取目标程序的路径;判断路径是否在预设的第一白名单中;若是,对目标程序进行设定运算,以得到特征值;判断特征值是否在预设的第二白名单中,以得到判断结果;根据判断结果确定是否对目标程序进行拦截。
可选地,处理器51用于执行程序数据以实现如下的方法:根据判断结果确定内核模块的内存长度;获取内核模块的文件长度;判断内存长度与文件长度是否相同;若不相同,对内核模块进行拦截。
可选地,处理器51用于执行程序数据以实现如下的方法:若特征值在第二白名单中,获取内核模块的内存长度;若特征值不在第二白名单中,确定内核模块的内存长度为0。
可选地,处理器51用于执行程序数据以实现如下的方法:采用do_execve函数获取内核模块的内存长度;采用init_module函数获取内核模块的文件长度。
可选地,处理器51用于执行程序数据以实现如下的方法:若路径不在第一白名单中,确定内核模块的内存长度为0。
可选地,处理器51用于执行程序数据以实现如下的方法:通过当前进程任务指针current获取当前进程控制块结构体;根据当前进程控制块结构体中的fs指针获取目录信息结构体fs_struct;从目录信息结构体fs_struct中获取pwd字段和pwdmnt字段;将pwd字段和pwdmnt字段合成目标程序的路径。
可选地,处理器51用于执行程序数据以实现如下的方法:获取insmod命令所带的参数;判断参数是否等于2;若是,则采用argv[1]参数获取目标程序的路径。
可选地,处理器51用于执行程序数据以实现如下的方法:若特征值是不在第二白名单中,对目标程序进行拦截;若路径不在第一白名单中,对目标程序进行拦截。
参阅图6,图6是本申请实施例提供的计算机存储介质的结构示意图,该计算机存储介质60存储有程序数据61,程序数据61在被处理器执行时,用以实现如下的方法:
获取目标程序的路径;判断路径是否在预设的第一白名单中;若是,对目标程序进行设定运算,以得到特征值;判断特征值是否在预设的第二白名单中,以得到判断结果;根据判断结果确定是否对目标程序进行拦截。
在本申请所提供的几个实施方式中,应该理解到,所揭露的方法以及设备,可以通过其它的方式实现。例如,以上所描述的设备实施方式仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
另外,在本申请各个实施方式中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述其他实施方式中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是根据本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (11)
1.一种程序运行的拦截方法,其特征在于,包括:
获取目标程序的路径;
判断所述路径是否在预设的第一白名单中;
若是,对目标程序进行设定运算,以得到特征值;
判断所述特征值是否在预设的第二白名单中,以得到判断结果;
根据所述判断结果确定是否对所述目标程序进行拦截。
2.根据权利要求1所述的方法,其特征在于,
所述目标程序为内核模块;
所述根据所述判断结果确定是否对所述目标程序进行拦截的步骤,包括:
根据所述判断结果确定所述内核模块的内存长度;
获取所述内核模块的文件长度;
判断所述内存长度与所述文件长度是否相同;
若不相同,对所述内核模块进行拦截。
3.根据权利要求2所述的方法,其特征在于,
所述根据所述判断结果确定所述内核模块的内存长度的步骤,包括:
若所述特征值在所述第二白名单中,获取所述内核模块的内存长度;
若所述特征值不在所述第二白名单中,确定所述内核模块的内存长度为0。
4.根据权利要求3所述的方法,其特征在于,
所述获取所述内核模块的内存长度的步骤,包括:
采用do_execve函数获取所述内核模块的内存长度;
所述获取所述内核模块的文件长度的步骤,包括:
采用init_module函数获取所述内核模块的文件长度。
5.根据权利要求2所述的方法,其特征在于,
若所述路径不在所述第一白名单中,确定所述内核模块的内存长度为0。
6.根据权利要求1所述的方法,其特征在于,
所述目标程序为内核模块;
所述获取目标程序的路径的步骤,包括:
通过当前进程任务指针current获取当前进程控制块结构体;
根据所述当前进程控制块结构体中的fs指针获取目录信息结构体fs_struct;
从所述目录信息结构体fs_struct中获取pwd字段和pwdmnt字段;
将所述pwd字段和所述pwdmnt字段合成所述目标程序的路径。
7.根据权利要求1所述的方法,其特征在于,
所述目标程序为内核模块;
所述获取目标程序的路径的步骤,包括:
获取insmod命令所带的参数;
判断所述参数是否等于2;
若是,则采用argv[1]参数获取所述目标程序的路径。
8.根据权利要求1所述的方法,其特征在于,
所述目标程序为应用程序或脚本;
所述根据所述判断结果确定是否对所述目标程序进行拦截的步骤,包括:
若所述特征值是不在所述第二白名单中,对所述目标程序进行拦截。
9.根据权利要求8所述的方法,其特征在于,
所述方法还包括:
若所述路径不在所述第一白名单中,对所述目标程序进行拦截。
10.一种终端设备,其特征在于,所述终端设备包括处理器和存储器,所述存储器用于存储程序数据,所述处理器用于执行所述程序数据以实现如权利要求1-9任一项所述的方法。
11.一种计算机存储介质,其特征在于,所述计算机存储介质存储有程序数据,所述程序数据在被处理器执行时,用以实现如权利要求1-9任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910477870.0A CN110232276A (zh) | 2019-06-03 | 2019-06-03 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910477870.0A CN110232276A (zh) | 2019-06-03 | 2019-06-03 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110232276A true CN110232276A (zh) | 2019-09-13 |
Family
ID=67858414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910477870.0A Pending CN110232276A (zh) | 2019-06-03 | 2019-06-03 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110232276A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111428234A (zh) * | 2020-03-27 | 2020-07-17 | 深圳融安网络科技有限公司 | 应用程序的进程拦截方法、终端及存储介质 |
CN112769731A (zh) * | 2019-10-21 | 2021-05-07 | 腾讯科技(深圳)有限公司 | 一种进程控制方法、装置、服务器及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
KR101752386B1 (ko) * | 2016-04-28 | 2017-07-11 | 주식회사 위드네트웍스 | 콘텐츠 프로그램 자동인식을 이용한 악성프로그램 차단 장치 및 차단 방법 |
CN108898012A (zh) * | 2018-05-23 | 2018-11-27 | 华为技术有限公司 | 检测非法程序的方法和装置 |
CN109815695A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 进程安全的检测方法、装置及设备 |
-
2019
- 2019-06-03 CN CN201910477870.0A patent/CN110232276A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
KR101752386B1 (ko) * | 2016-04-28 | 2017-07-11 | 주식회사 위드네트웍스 | 콘텐츠 프로그램 자동인식을 이용한 악성프로그램 차단 장치 및 차단 방법 |
CN108898012A (zh) * | 2018-05-23 | 2018-11-27 | 华为技术有限公司 | 检测非法程序的方法和装置 |
CN109815695A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 进程安全的检测方法、装置及设备 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769731A (zh) * | 2019-10-21 | 2021-05-07 | 腾讯科技(深圳)有限公司 | 一种进程控制方法、装置、服务器及存储介质 |
CN111428234A (zh) * | 2020-03-27 | 2020-07-17 | 深圳融安网络科技有限公司 | 应用程序的进程拦截方法、终端及存储介质 |
CN111428234B (zh) * | 2020-03-27 | 2023-07-04 | 深圳融安网络科技有限公司 | 应用程序的进程拦截方法、终端及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11762986B2 (en) | System for securing software containers with embedded agent | |
US8099472B2 (en) | System and method for a mobile cross-platform software system | |
US8661541B2 (en) | Detecting user-mode rootkits | |
KR102323290B1 (ko) | 알려진 및/또는 알려지지 않은 사이버 보안 위협들의 모폴로지들을 분석함으로써 데이터 이상들을 검출하기 위한 시스템 및 방법 | |
US9183377B1 (en) | Unauthorized account monitoring system and method | |
US10997283B2 (en) | System for securing software containers with encryption and embedded agent | |
CN108229107B (zh) | 一种Android平台应用程序的脱壳方法及容器 | |
KR20050054818A (ko) | 보안관련 프로그래밍 인터페이스 | |
EP3451221B1 (en) | Binary suppression and modification for software upgrades | |
US11593473B2 (en) | Stack pivot exploit detection and mitigation | |
CN110232276A (zh) | 一种程序运行的拦截方法、终端设备以及计算机存储介质 | |
CN113886835A (zh) | 容器逃逸的防护方法、装置、计算机设备和存储介质 | |
EP3531324A1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
US20080028462A1 (en) | System and method for loading and analyzing files | |
Rosenberg et al. | Bypassing system calls–based intrusion detection systems | |
US20220108001A1 (en) | System for detecting and preventing unauthorized software activity | |
US7620983B1 (en) | Behavior profiling | |
US7426718B2 (en) | Overriding constructors to provide notification in order to detect foreign code | |
US20240061933A1 (en) | Systems and methods for causing nonpredictable environment states for exploit prevention and malicious code neutralization for javascript-enabled applications | |
EP1236114A1 (en) | Method and system for intercepting an application program interface | |
US8578495B2 (en) | System and method for analyzing packed files | |
CN110647747B (zh) | 一种基于多维相似度的虚假移动应用检测方法 | |
US11263307B2 (en) | Systems and methods for detecting and mitigating code injection attacks | |
US20220138311A1 (en) | Systems and methods for detecting and mitigating code injection attacks | |
CN113761537A (zh) | 一种防范容器逃逸的方法、系统、设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190913 |