WO2014071867A1

WO2014071867A1 - 程序处理方法和系统，用于程序处理的客户端和服务器

Info

Publication number: WO2014071867A1
Application number: PCT/CN2013/086777
Authority: WO
Inventors: 张晓霖; 郑文彬
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2012-11-09
Filing date: 2013-11-08
Publication date: 2014-05-15
Also published as: CN103001947A; CN103001947B

Abstract

一种程序处理方法和系统，以及，一种用于程序处理的客户端和服务器，以解决恶意程序利用可信的白名单中的程序加载恶意DLL文件而导致主动防御无法正常拦截恶意程序的问题。其中，所述程序处理方法包括：当检测到待执行程序创建进程时，获取所述待执行程序的特征信息；将所述待执行程序的特征信息上传至服务器，由服务器将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的DLL文件。本申请实施例能够更加有效地拦截恶意程序。

Description

程序处理方法和系统，用于程序处理的客户端和服务器技术领域

本申请涉及计算机及网络安全的技术领域，特别是涉及一种程序处理方法、一种程序处理系统，一种用于程序处理的客户端，一种用于程序处理的服务器，一种计算机程序及一种计算机可读介质。背景技术

恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、 Word和 Excel宏病毒、引导区病毒、脚本病毒（batch, windows shell, java 等）、木马、犯罪软件、间谍软件和广告软件等等，都是一些可以称之为恶意程序的例子。

现今全球恶意程序数量呈几何级增长，为了适应恶意程序的更新速度，以快速地识别和查杀恶意程序，目前普遍利用主动防御技术查杀恶意程序。主动防御技术是基于程序的行为进行自主分析判断的实时防护技术，其从最原始的定义出发，直接将程序的行为作为判断恶意程序的依据，进而衍生出通过在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒等方式来判别、拦截恶意程序的行为，从而在一定程度上达到保护客户端设备的目的。

但是，为了尽可能减小对程序性能的影响，主动防御技术只对程序的 exe文件进行检测，而不检查程序加载的动态链接库（ Dynamic Link Library, DLL ) 文件。因此，一些恶意程序就利用这一点，通过 DLL劫持技术将该恶意程序的 DLL文件与可信任的白名单中的程序（例如操作系统自带的程序）打包在一起，当用户选择执行该白名单中的程序时，其中的恶意程序的 DLL文件就会被加载，从而使主动防御技术不能成功拦截该恶意程序。发明内容

鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的程序处理方法和相应的程序处理系统，一种用于程序处理的客户端和相应的服务器，一种计算机程序，以及一种计算机可读介质。依据本申请的一个方面，提供了一种程序处理方法，包括：

当检测到待执行程序创建进程时，获取所述待执行程序的特征信息；将所述待执行程序的特征信息上传至服务器，所述服务器用于将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；

接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件。

依据本申请的另一个方面，提供了一种程序处理方法，包括：接收客户端上传的待执行程序的特征信息，所述待执行程序的特征信息为客户端在检测到待执行程序创建进程时获得；

将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；

将所述匹配结果发送给所述客户端，所述客户端用于依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件。

依据本申请的另一个方面，提供了一种程序处理系统，包括客户端和服务器，其中，

客户端包括：

特征信息获取模块，配置为在检测到待执行程序创建进程时，获取所述待执行程序的特征信息；

特征信息上传模块，配置为将所述待执行程序的特征信息上传至服务器；

所述服务器包括：

匹配模块，配置为将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；

所述客户端还包括：确定模块，配置为接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件。

依据本申请的另一个方面，提供了一种用于程序处理的客户端，所述客户端与服务器通信，所述服务器用于将所述客户端上传的待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果，所述客户端包括：

确定模块，配置为接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件。

依据本申请的另一个方面，提供了一种用于程序处理的服务器，所述服务器与客户端通信，所述客户端用于依据所述服务器返回的匹配结果确定所述待执行程序是否存在被劫持的 DLL文件，所述服务器包括：

特征信息接收模块，用于接收客户端上传的待执行程序的特征信息，所述待执行程序的特征信息为客户端在检测到待执行程序创建进程时获付；

匹配结果发送模块，配置为将所述匹配结果发送给所述客户端。

根据本申请的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在终端设备上运行时，导致所述终端设备执行根据权利要求 1〜16中的任一项所述的程序处理方法。

根据本申请的再一个方面，提供了一种计算机可读介质，其中存储了如权利要求 30所述的计算机程序。

本申请的有益效果为：

根据本申请的程序处理方法和系统可以在检测到待执行程序创建进程时，通过服务器预先设置的云端鉴别条件检查所述待执行程序是否存在被劫持的 DLL文件，如果待执行程序存在被劫持的 DLL文件，则通过服务器对所述被劫持的 DLL文件进行查杀，然后依据服务器查杀结果对所述待执行程序执行相应的操作。由此解决了恶意程序利用可信的白名单中的程序加载恶意 DLL文件而导致主动防御无法正常拦截恶意程序的问题，取得了更加有效地拦截恶意程序的有益效果。

其次，本申请的云端鉴别条件保存在服务器中，当满足升级条件时，可以立刻全网升级，升级速度较快，不需要客户端升级文件即可生效，对于突发的恶意程序有很好的拦截效果，从而避免用户的损失。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅设置为示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图 1示意性示出了根据本申请一个实施例的程序处理方法的流程图；图 2示意性示出了根据本申请一个实施例的程序处理方法的流程图；图 3示意性示出了根据本申请一个实施例的程序处理方法的流程图；图 4示意性示出了根据本申请实施例所述的云端鉴别条件的示意图；图 5 示意性示出了根据本申请一个实施例的程序处理系统的结构框图；

图 6 示意性示出了根据本申请一个实施例的程序处理系统的结构框图；

图 7示意性示出了根据本申请一个实施例的用于程序处理的客户端的结构框图；图 8示意性示出了根据本申请一个实施例的用于程序处理的服务器的结构框图；

图 9示意性地示出了用于执行根据本申请的程序处理方法的终端设备的框图；

图 10示意性地示出了用于保持或者携带实现根据本申请的程序处理方法的程序代码的存储单元。具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本申请可以应用于计算机系统 /服务器，其可与众多其它通用或专用计算系统环境或配置一起操作。配置为与计算机系统 /服务器一起使用的众所周知的计算系统、环境和 /或配置的例子包括但不限于：个人计算机系统、服务器计算机系统、痩客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境，等等。

计算机系统 /服务器可以在由计算机系统执行的计算机系统可执行指令（诸如程序模块）的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统 /服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。实施例一：

参照图 1 , 示出了根据本申请一个实施例的程序处理方法的流程图，该方法具体可以包括：

步骤 S101 , 当检测到待执行程序创建进程时，获取所述待执行程序的特征信息。

步骤 S102, 将所述待执行程序的特征信息上传至服务器，由服务器将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果。

步骤 S103 , 接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件。详细介绍。

通过上述步骤 S101-步骤 S103可以利用服务器中的云端鉴别条件检测待执行程序是否存在被劫持的 DLL文件，后续可以通过检测结果对待执行程序进行处理。如果检测到待执行程序存在被劫持的 DLL文件，则后续可以通过服务器对被劫持的 DLL文件进行查杀，然后依据服务器查杀结果对所述待执行程序执行相应的操作。由此解决了恶意程序利用可信的白名单中的程序加载恶意 DLL 文件而导致主动防御无法正常拦截恶意程序的问题，能够更加有效地拦截恶意程序。实施例二：

参照图 2, 示出了根据本申请一个实施例的程序处理方法的流程图。为了适应恶意程序的更新速度，以快速地识别和查杀恶意程序，目前普遍利用主动防御技术查杀恶意程序。主动防御技术是基于程序的行为进行自主分析判断的实时防护技术，通过在系统的关键位置设置拦截点对系统的关键位置进行保护。当有程序执行修改这些关键位置的行为（例如写入注册表、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件等行为）时，就会对该程序进行拦截，拦截后需要判断此次修改行为是否为恶意的，通常对行为的判断是通过判断执行此次修改行为的程序是否安全来实现的，如果程序是恶意的，则说明该修改行为是恶意的，因此需要拦截该程序的执行。

一般来说，主动防御技术通过对程序的文件进行检查，以检测程序的安全性。但是在检查程序文件时，需要计算文件的哈希值，还需要访问网络，这些都是比较耗费时间的操作，并且一般的程序会加载几十个甚至上百个 DLL文件，即使使用緩存技术进行优化，还是会明显延长程序的启动时间。因此，为了尽可能减小对程序性能的影响，主动防御技术只对程序的 EXE文件进行检测，而不检查程序加载的 DLL文件。因此，一些恶意程序就利用这一点，通过 DLL劫持技术将该恶意程序的 DLL文件与可信任的白名单中的程序（例如操作系统自带的程序）打包在一起，当用户选择执行该白名单中的程序时，其中的恶意程序的 DLL文件就会被加载，从而使主动防御技术不能成功拦截该恶意程序。

为了防止恶意程序利用可信任的白名单中的程序突破主动防御而成功执行，本申请实施例提出了一种程序处理方法，具体的，该程序处理方法包括以下步骤：

步骤 S201 , 当检测到待执行程序创建进程时，通过服务器预先设置的云端鉴别条件检查所述待执行程序是否存在被劫持的 DLL文件。

需要说明的是，该步骤 S201为检查所述待执行程序是否存在被劫持的 DLL文件的过程，相对于上述实施例一来说，该步骤 S201可以包括上述实施例一中的步骤 S101-步骤 S103。

步骤 S202,若存在，则通过服务器对所述被劫持的 DLL文件进行查杀。步骤 S203 , 依据服务器查杀结果对所述待执行程序执行相应的操作。通过上述步骤 S201-步骤 S203可以在待执行程序存在被劫持的 DLL文件时，进一步通过服务器对这些被劫持的 DLL文件进行查杀，然后依据服务器查杀结果对所述待执行程序执行相应的操作。对于具体的处理过程，将在下面的实施例中详细介绍。文件进行检查，能够解决恶意程序利用可信任的白名单中的程序加载恶意 DLL文件而导致主动防御无法正常拦截恶意程序的问题，取得了更加有效实施例三：

下面，对于具体的程序处理方法进行详细描述。

参照图 3 , 示出了根据本申请一个实施例的程序处理方法的流程图，所述方法包括：

步骤 S301 , 当检测到待执行程序创建进程时，通过服务器预先设置的云端鉴别条件检查所述待执行程序是否存在被劫持的 DLL文件。

本申请实施例主要是在待执行程序创建进程时，增加对 DLL文件的查询过程，需要检查待执行程序是否存在被劫持的 DLL文件，如果存在，则说明该待执行程序有可能被恶意程序利用，因此要进一步检查这些被劫持的 DLL文件是否安全。

在本实施例中，通过服务器预先设置的云端鉴别条件检查所述待执行程序是否存在被劫持的 DLL文件。

云端鉴别条件存储在服务器中，在云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL文件信息，本实施例就是要将待执行程序的一些特征信息与云端鉴别条件进行匹配，然后再依据匹配结果进行判断。对于具体的匹配过程，是在服务器中执行的。

具体的，该步骤 S301可以包括以下子步骤：

子步骤 al , 获取所述待执行程序的特征信息。

其中，待执行程序的特征信息可以包括以下信息中的至少一种：待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。

当然，所述待执行程序的特征信息还可以包括其他信息，本实施例对此并不加以限制。

子步骤 a2, 将所述待执行程序的特征信息上传至服务器。

由于本实施例需要通过预先设置的云端鉴别条件检查所述待执行程序是否存在被劫持的 DLL文件，云端鉴别条件存储在服务器中，因此在获取到待执行程序的特征信息之后，首先需要将这些特征信息上传至服务器，由服务器将待执行程序的特征信息与云端鉴别条件进行匹配。

子步骤 a3 , 通过服务器将所述待执行程序的特征信息与所述云端鉴别条件进行匹配，获得所述待执行程序需要检查的 DLL文件信息，将所述需要检查的 DLL文件信息作为匹配结果；

下面，具体介绍一下与云端鉴别条件进行匹配的过程。

由上述描述可知，在云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL文件信息，在本申请实施例中，可以将待执行程序的特征信息与特定程序匹配条件进行匹配，从而获得需要检查的 DLL文件信息。

由于特定程序匹配条件需要与待执行程序的特征信息进行匹配，因此，在所述特定程序匹配条件中也可以包括一些与程序的特征信息相对应的信息，通过这些信息即可找到与待执行程序的特征信息相匹配的特定程序匹配条件。

在本实施例中，所述特定程序匹配条件可以包括以下信息中的至少一种：

文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及进程的命令行信息、进程路径信息和父进程路径信息。当然，所述特定程序匹配条件还可以包括其他信息，本实施例对此并不加以限制。

具体的，通过服务器针对特定程序匹配条件的处理过程可以包括：

( i )将所述待执行程序的特征信息与所述特定程序匹配条件进行匹配；

( ii ) 获取满足相匹配的特定程序匹配条件后需要检查的特定 DLL文件信息；

( iii )将所述特定 DLL文件信息作为所述待执行程序需要检查的 DLL 文件信息。

具体的，可以通过以下实例进行说明。如图 4所示，是本申请实施例所述的云端鉴别条件的示意图。从图中可以看出，在该云端鉴别条件中包括条件和返回值两个部分，其中条件一列中包含了多个表达式，这些表达式即为本申请实施例所述的特定程序匹配条件，返回值一列包含了多个字符串，这些字符串中指定了满足对应的特定程序匹配条件后需要检查的特定 DLL文件信息。

在条件一列的表达式中可以包括产品名称信息（hi.GEN )、文件大小信息（hi.DSI )、内部名称信息（hi.ITN )、原始文件名信息（hi.ORN )、进程路径信息 ( hi.DST )、父进程路径信息 ( hi.SRC )、进程命令行信息 ( hi.CLE ) 等信息（图 3是云端鉴别条件的部分截图，其中有些信息在图 3 中没有显示），这些信息适于与待执行程序的特征信息进行匹配。

在返回值一列的字符串中 "DLL:" 后指定了满足对应的特定程序匹配条件后需要检查的特定 DLL文件信息，在本实施例中，所述 DLL文件信息可以为 DLL文件的名称。另外，在返回值一列的字符串中，可以指定多个需要检查的特定 DLL文件信息，每个 DLL文件信息之间以逗号相隔。

例如，获取到当前待执行程序的特征信息为产品名称信息 "金山重装高手"，然后将该产品名称信息与云端鉴别条件进行匹配，经过判断，特定程序匹配条件中的 "（hi.GEN:like, 金山重装高手）"是与产品名称信息 "金山重装高手" 相匹配的条件，因此，可以从该条件对应的返回值 "( return— extinfo: <hips>DLL： kdump. dll,irrlicht. dll</hips> )" 中获取需要检查的 DLL文件名称为 "kdump.dll" 和 "irrlicht.dll"。

需要说明的是，本实施例所述的云端鉴别条件还可以包括其他的信息，例如是否生效、条件序号、应用比例等，本领域技术人员根据实际情况进行相应处理即可，本实施例对此并不加以限制。

子步骤 a4,接收服务器下发的所述待执行程序需要检查的 DLL文件信息。

服务器依据云端鉴别条件获取到所述待执行程序需要检查的 DLL文件信息之后，需要将所述需要检查的 DLL文件信息下发至客户端，然后客户端进一步对这些需要检查的 DLL文件信息进行判断，以确定出所述待执行程序被劫持的 DLL文件。

子步骤 a5 , 判断指定目录下是否存在所述需要检查的 DLL文件信息，若存在，则确定所述待执行程序存在被劫持的 DLL文件。

一般来说， DLL文件会存储在系统目录中，如果在程序执行时需要调用某些 DLL文件，则将这些 DLL文件存储在指定目录下，因此存储在指定目录下的 DLL文件即为该程序所调用的 DLL文件。在本实施例中，所述指定目录可以为当前目录或者指定的相对目录。

所以，客户端在接收到服务器下发的待执行程序需要检查的 DLL文件信息之后，还需要进一步判断指定目录下是否存在所述需要检查的 DLL文件信息。如果指定目录下存在所述需要检查的 DLL文件信息，说明所述待执行程序存在被劫持的 DLL文件，并且所述被劫持的 DLL文件即为指定目录下存在的 DLL文件，需要对这些被劫持的 DLL文件进行查杀；如果指定目录下不存在所述需要检查的 DLL文件信息，说明这些 DLL文件不会被待执行程序加载，因此不需要对其进行查杀。

例如，仍然以上述举例进行说明，如果服务器下发给客户端的待执行程序需要检查的 DLL文件信息为 DLL文件名称" kdump.dll"和" irrlicht.dll" , 则判断指定目录下是否存在这些 DLL文件名称。

例如，判断出指定目录下存在其中的一个 DLL 文件名称为 "kdump.dll" , 则将 DLL文件 "kdump.dll" 作为待执行程序被劫持的 DLL 文件。

需要说明的是，对应于上述实施例一，本实施例中的子步骤 al为上述实施例一中的步骤 S101的具体过程，子步骤 a2-子步骤 a3为上述实施例一中的步骤 S102的具体过程，子步骤 a4-子步骤 a5为上述实施例一中的步骤 S103的具体过程，本实施例在此不再详细论述。

步骤 S302, 获取所述待执行程序对应的 EXE文件。

步骤 S303 , 若指定目录下存在所述需要检查的 DLL文件信息，则将所述待执行程序对应的 EXE文件的信息和所述被劫持的 DLL文件的信息上传至服务器。其中，上传的文件的信息可以包括文件的哈希值、文件路径等信息，本申请实施例对此并不加以限制。

由于现有的主动防御只对程序的 EXE文件进行检查，而不检查程序的 DLL文件，如果恶意程序利用可信的白名单中的程序加载恶意 DLL文件，则恶意程序就能绕过主动防御的拦截而成功执行。

因此，本申请实施例提出不仅对程序的 EXE文件进行检查，对程序的 DLL文件也进行检查，但是并不是对所有的 DLL文件进行检查，而是通过与云端鉴别条件匹配，确定出程序中被劫持的 DLL文件，然后对这些被劫持的 DLL文件进行查杀。

具体的，对文件进行查杀的过程由服务器执行，因此，如果在步骤 S201 中判断出待执行程序中存在被劫持的 DLL 文件，并且确定出了被劫持的 DLL文件，则将所述待执行程序对应的 EXE文件的信息和所述被劫持的 DLL文件的信息均上传至服务器，通过服务器对这些文件进行查杀；如果判断出待执行程序中不存在被劫持的 DLL文件，则说明该待执行程序没有被恶意程序利用，此时只需要将待执行程序对应的 EXE文件的信息上传至服务器即可。

例如，在步骤 S301 中判断出待执行程序被劫持的 DLL 文件为 "kdump.dll" , 则将 DLL文件 "kdump.dll"的信息和产品名称信息为 "金山重装高手" 的待执行程序对应的 EXE文件的信息上传至服务器。

步骤 S304, 通过服务器对所述被劫持的 DLL文件进行查杀。

服务器在接收到客户端上传的待执行程序对应的 EXE文件的信息和所述被劫持的 DLL文件的信息之后，即依据所述文件信息对相应的文件进行查杀。

该步骤 S304具体可以包括：

子步骤 bl ,通过服务器获取所述 EXE文件的等级和所述被劫持的 DLL 文件的等级。

在本实施例中，所述等级包括安全等级、未知等级、可疑 /高度可疑等级、以及恶意等级。对于等级的设置，可以设置等级为 10-29 时为安全等级（该等级的文件为白文件），等级为 30-49时为未知等级（该等级的文件为灰文件），等级为 50-69时为可疑 /高度可疑等级（该等级的文件为可疑文件），等级大于或等于 70时为恶意等级（该等级的文件为恶意文件）。当然，还可以设置所述等级为其他形式，本申请对此并不加以限制。

子步骤 b2, 依据所述 EXE文件的等级和所述被劫持的 DLL文件的等级对所述被劫持的 DLL文件进行查杀。

具体的，可以通过用于查杀可移植执行体（Portable Execute, PE ) 类型文件的云查杀引擎，或者人工智能引擎（ Qihoo Virtual Machine, QVM ) 对所述 EXE文件和被劫持的 DLL文件进行查杀。其中， PE类型文件通常指 Windows操作系统上的程序文件，常见的 PE类型文件包括 EXE、 DLL、 OCX, SYS , COM等类型文件。

杀毒引擎可以根据对文件等级的识别结果，按照杀毒引擎中保存的黑名单，和 /或白名单对相应文件进行查杀。

对于具体的查杀过程，本领域技术人员根据实际经验进行相应处理即可，本实施例在此不再详细论述。

步骤 S305 , 依据服务器查杀结果对所述待执行程序执行相应的操作。服务器在获取到 EXE文件和被劫持的 DLL文件的等级之后，将获取到的等级下发给客户端，客户端依据服务器查杀结果对所述待执行程序执行相应的操作。

具体的，该步骤 S305可以包括以下子步骤：

子步骤 cl , 当所述 EXE文件的等级和所述被劫持的 DLL文件的等级中至少一个为恶意等级时，拦截所述待执行程序的执行。

在本实施例中，所述被劫持的 DLL文件为一个或多个，如果获取到的 EXE文件的等级和被劫持的 DLL文件的等级中存在恶意等级，则说明该待执行程序是有风险的，此时需要拦截所述待执行程序的执行。

子步骤 c2, 当所述 EXE文件的等级和所述被劫持的 DLL文件的等级均为安全等级时，允许所述待执行程序的执行。

子步骤 c3 , 当所述 EXE文件的等级和所述被劫持的 DLL文件的等级中没有恶意等级，并且至少一个被劫持的 DLL 文件的等级高于所述 EXE 文件的等级时，获取其中最高的等级，将所述 EXE文件的等级修改为所述最高的等级，允许所述待执行程序的执行，并拦截待执行程序执行后发起的可疑操作。

如果 EXE文件的等级和被劫持的 DLL文件的等级不满足上述子步骤 cl和子步骤 c2中的两种情况，则将 EXE文件的等级修改为所述最高的等级，并且可以允许所述待执行程序的执行，此时由于待执行程序的 EXE文件可能也存在风险，因此当待执行程序执行后发起可疑操作时，可以对这些可疑的操作进行拦截。

例如，在步骤 S301 中确定出待执行程序被劫持的 DLL 文件为 "kdump.dll" , 通过服务器获取到待执行程序的 EXE文件的等级为安全等级， "kdump.dll" 的等级为可疑 /高度可疑等级，其中最高的文件等级为可疑 /高度可疑等级，此时，即将所述 EXE文件的等级修改为可疑 /高度可疑等级。

并且，由于 EXE文件的等级被修改了，因此后续当该待执行程序执行某些可疑的操作时，即可通过 EXE文件的等级判断该程序是否安全，如果 EXE文件是可疑的，则可以对这些可疑操作进行拦截。

其中，可疑的操作可以为以下任意一种：文件操作、注册表操作、进程操作和网络操作。

例如，对于文件操作可以为对 windows操作系统相关的文件，或者一些装载量比较大的应用软件（如 qq、阿里旺旺等），或者桌面的快捷方式等的操作；

对于注册表的操作可以是程序写入注册表自动加载，以及破坏注册表等；

对于进程操作可以是进程之间相互注入（一个进程在另一个进程中插入并执行一些代码）、进程远线程操作、结束进程（例如有些恶意程序结束掉 QQ进程，重新登录会截取到密码，或者进程后续的一些操作）等；对于网络操作可以是安装驱动或服务、全局钩子注入，记录键盘操作、修改浏览器中网页内容等。

当然，还可以包括其他一些操作，本申请实施例对此并不加以限制。需要说明的是，本实施例主要是针对恶意程序利用可信任的白名单中的程序加载恶意 DLL文件的情况进行处理，因此， EXE文件的等级应为安全等级，如果有 DLL文件的等级高于该 EXE文件的等级，则修改 EXE文件的等级。

步骤 S306, 服务器定期检测所述云端鉴别条件是否满足升级条件，若满足，则服务器获取新的鉴别条件，并通过重新加载所述新的鉴别条件完成所述云端鉴别条件的升级更新。

本实施例中的云端鉴别条件是需要定期升级更新的。具体的，可以在服务器中配置升级条件，服务器定期检测所述云端鉴别条件是否满足升级条件，当满足时，服务器直接获取新的云端鉴别条件，并用新的云端鉴别条件替换原有的云端鉴别条件，从而对原有的云端鉴别条件进行升级更新。

其中，升级条件可以根据本地鉴别条件的文件版本来判断，比如有更新的版本时则升级，也可以指定当本地版本满足某个条件时升级为一个指定版本 , 本申请实施例对此并不加以限制。

例如，如果发现了新的被利用的程序（QQ游戏），但是云端鉴别条件中不存在该程序，则可以在云端鉴别条件中增加一个特定程序匹配条件，其中包括该程序的特征信息 ( "QQ游戏" )以及满足该特定程序匹配条件后需要检查的 DLL文件信息。

当然，还可以釆用其他的方式对云端鉴别条件进行升级更新，本实施例对此并不加以限制。

由于云端鉴别条件保存在服务器中，因此当满足升级条件时，不需要客户端升级文件即可生效，因此可以立刻全网升级，升级速度较快，对于突发的恶意程序有很好的拦截效果，从而避免用户的损失。

最后，需要说明的是，本申请实施例主要是针对恶意程序利用可信任的白名单中的程序加载恶意 DLL文件的情况进行处理。如果待执行程序是可信任的白名单中的程序，此时主动防御技术只检查程序的 EXE文件，将会判断该程序是安全的，从而允许其执行，但是如果恶意程序利用该白名单中的程序加载恶意 DLL文件，则该恶意程序也会成功执行。

因此，对于这种情况，本申请实施例通过在检测到待执行程序创建进程时，通过服务器预先设置的云端鉴别条件检查所述待执行程序是否存在被劫持的 DLL文件，如果待执行程序存在被劫持的 DLL文件，则通过服务器对所述被劫持的 DLL文件进行查杀，然后依据服务器查杀结果对所述待执行程序执行相应的操作。由此解决了恶意程序利用可信的白名单中的程序加载恶意 DLL文件而导致主动防御无法正常拦截恶意程序的问题，取得了更加有效地拦截恶意程序的有益效果。需要说明的是，对于前述的方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以釆用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请所必需的。实施例四：

参照图 5 , 示出了根据本申请一个实施例的程序处理系统的结构框图，所述系统包括客户端 501和服务器 502。

其中，客户端包括：特征信息获取模块 5011、特征信息上传模块 5012 和确定模块 5013 , 所述服务器包括：匹配模块 5021。

特征信息获取模块 5011 , 配置为当检测到待执行程序创建进程时，获取所述待执行程序的特征信息；

特征信息上传模块 5012, 配置为将所述待执行程序的特征信息上传至服务器；

匹配模块 5021 , 配置为将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；

确定模块 5013 , 配置为接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件。

通过上述各个模块可以利用服务器中的云端鉴别条件检测待执行程序是否存在被劫持的 DLL 文件，如果检测到待执行程序存在被劫持的 DLL 文件，则后续可以通过服务器对被劫持的 DLL文件进行查杀，然后依据服务器查杀结果对所述待执行程序执行相应的操作。从而能够解决恶意程序利用可信的白名单中的程序加载恶意 DLL文件而导致主动防御无法正常拦截恶意程序的问题，更加有效地拦截恶意程序。实施例五：

参照图 6, 示出了根据本申请一个实施例的程序处理系统的结构框图，所述系统包括客户端 601和服务器 602。

其中，客户端 601包括：检查模块 6011、 EXE文件获取模块 6012、上传模块 6013和处理模块 6014; 服务器 602包括： DLL文件信息获取模块 6021、查杀模块 6022和升级模块 6023。

检查模块 6011 , 配置为当检测到待执行程序创建进程时，通过服务器预先设置的云端鉴别条件检查所述待执行程序是否存在被劫持的 DLL 文件；

需要说明的是，上述检查模块主要是配置为检查所述待执行程序是否存在被劫持的 DLL文件，相对于上述实施例四来说，该检查模块的功能可以对应于上述实施例四中的特征信息获取模块 5011、特征信息上传模块 5012、匹配模块 5021和确定模块 5013几个模块实现的功能。

其中，所述待执行程序为白名单中的程序，所述云端鉴别条件存储服务器中。

所述检查模块 6011包括：

特征信息获取模块，配置为获取所述待执行程序的特征信息；其中，所述待执行程序的特征信息可以包括以下信息中的至少一种：待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。特征信息上传模块，配置为将所述待执行程序的特征信息上传至服务器。

所述服务器 602包括：

DLL文件信息获取模块 6021 , 配置为通过将所述待执行程序的特征信息与所述云端鉴别条件进行匹配，获得所述待执行程序需要检查的 DLL文件信息，将所述需要检查的 DLL文件信息作为匹配结果；

其中，所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL文件信息。

所述 DLL文件信息获取模块包括：

匹配操作模块，配置为将所述待执行程序的特征信息与所述特定程序匹配条件进行匹配；

所述特定程序匹配条件可以包括以下信息中的至少一种：

文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及进程的命令行信息、进程路径信息和父进程路径信息。

特定 DLL文件信息获取模块，配置为获取满足相匹配的特定程序匹配条件后需要检查的特定 DLL文件信息；

确定操作模块，配置为将所述特定 DLL文件信息作为所述待执行程序需要检查的 DLL文件信息。

所述检查模块 6011还包括：

接收模块，配置为接收服务器下发的所述待执行程序需要检查的 DLL 文件信息；

判断模块，配置为判断指定目录下是否存在所述需要检查的 DLL文件信息，若存在，则确定所述待执行程序存在被劫持的 DLL文件；其中，所述被劫持的 DLL文件为指定目录下存在的 DLL文件，所述指定目录为当前目录或者指定的相对目录。

需要说明的是，对应于上述实施例四，本实施例中的特征信息获取模块可以为上述实施例四中的特征信息获取模块中包括的模块，特征信息上传模块可以为上述实施例四中的特征信息上传模块中包括的模块， DLL文件信息获取模块可以为上述实施例四中的匹配模块中包括的模块，接收模块和判断模块可以为上述实施例四中的确定模块中包括的模块，本实施例在 J¾不再详细论述。

所述客户端 601还包括：

文件获取模块 6012, 配置为在服务器的查杀模块对所述被劫持的 DLL 文件进行查杀之前，获取所述待执行程序对应的 EXE文件；

文件信息上传模块 6013 ,配置为将所述待执行程序对应的 EXE文件的信息和所述被劫持的 DLL文件的信息上传至服务器；

所述服务器 602还包括：

查杀模块 6022, 配置为当客户端的确定模块的检查结果为存在时，对所述被劫持的 DLL文件进行查杀；

所述查杀模块 6022包括：

等级查询模块，配置为查询所述 EXE文件的等级和所述被劫持的 DLL 文件的等级，所述等级包括安全等级、未知等级、可疑 /高度可疑等级、以及恶意等级；

查杀处理模块，配置为依据所述 EXE文件的等级和所述被劫持的 DLL 文件的等级对所述被劫持的 DLL文件进行查杀。

所述客户端还包括：

处理模块 6014, 配置为依据服务器查杀结果对所述待执行程序执行相应的操作；

其中，所述被劫持的 DLL文件为一个或多个，所述处理模块 6014包括：

程序拦截模块，配置为当所述 EXE 文件的等级和所述被劫持的 DLL 文件的等级中至少一个为恶意等级时，拦截所述待执行程序的执行；

执行模块，配置为当所述 EXE文件的等级和所述被劫持的 DLL文件的等级均为安全等级时，允许所述待执行程序的执行；可疑操作拦截模块，配置为当所述 EXE 文件的等级和所述被劫持的 DLL文件的等级中没有恶意等级，并且至少一个被劫持的 DLL文件的等级高于所述 EXE文件的等级时，获取其中最高的等级，将所述 EXE文件的等级修改为所述最高的等级，允许所述待执行程序的执行，并拦截待执行程序执行后发起的可疑操作。

其中，所述可疑操作可以为以下任意一种：文件操作、注册表操作、进程操作和网络操作，当然，所述可疑操作还可以为其他的一些操作，本申请实施例对此并不加以限制。

所述服务器 602还包括：

升级模块 6023 ,配置为定期检测所述云端鉴别条件是否满足升级条件，若满足，则获取新的鉴别条件，并通过重新加载所述新的鉴别条件完成所述云端鉴别条件的升级更新；

其中，所述升级条件在服务器中进行配置。

本申请实施例的程序处理系统可以依据云端鉴别条件检查待执行程序是否存在被劫持的 DLL文件，并且对待执行程序被劫持的 DLL文件进行查杀，然后依据服务器查杀结果对待执行程序执行相应的操作。由此解决了恶意程序利用可信的白名单中的程序加载恶意 DLL文件而导致主动防御无法正常拦截恶意程序的问题，取得了更加有效地拦截恶意程序的有益效果。

其次，本申请实施例的云端鉴别条件保存在服务器中，当满足升级条件时，不需要客户端升级文件即可生效，因此可以立刻全网升级，升级速度较快，对于突发的恶意程序有很好的拦截效果，从而避免用户的损失。

对于上述程序处理系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见图 1、图 2和图 3所示方法实施例的部分说明即可。实施例六：

参照图 7,示出了根据本申请一个实施例的用于程序处理的客户端的结构框图，在本申请实施例中，所述客户端与服务器通信，所述服务器用于将所述客户端上传的待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果，所述客户端可以包括如下模块：

特征信息获取模块 701 , 配置为在检测到待执行程序创建进程时，获取所述待执行程序的特征信息；

特征信息上传模块 702,配置为将所述待执行程序的特征信息上传至服务器；

确定模块 703 , 配置为接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件。

在具体实现中，所述客户端还可以包括如下模块：

DLL文件信息上传模块，配置为在存在被劫持的 DLL文件时，将所述被劫持的 DLL文件的信息上传至服务器，在这种情况下，所述服务器还用于对所述被劫持的 DLL文件进行查杀并返回查杀结果；

所述客户端还可以包括：

处理模块，配置为依据所述服务器返回的查杀结果对所述待执行程序执行相应的操作。

在本申请的一种优选实施例中，所述匹配结果可以为所述待执行程序需要检查的 DLL文件信息；在这种情况下，所述确定模块 703具体可以包括如下模块：

判断模块，配置为判断指定目录下是否存在所述待执行程序需要检查的 DLL文件信息，若存在，则确定所述待执行程序存在被劫持的 DLL文件；其中，所述被劫持的 DLL文件为指定目录下存在的 DLL文件，所述指定目录为当前目录或者指定的相对目录。

作为本申请具体应用的一种示例，所述云端鉴别条件中可以包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL文件信息。

具体而言，所述特定程序匹配条件可以包括以下信息中的至少一种：文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及进程的命令行信息、进程路径信息和父进程路径信息；

所述待执行程序的特征信息可以包括以下信息中的至少一种：待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。

在本申请的一种优选实施例中，所述客户端还可以包括如下模块：

EXE文件获取模块，配置为在将所述被劫持的 DLL文件上传至服务器之前，获取所述待执行程序对应的 EXE文件；

EXE文件信息上传模块，配置为将所述待执行程序对应的 EXE文件的信息上传至服务器。

在具体实现中，所述被劫持的 DLL文件可以为一个或多个；在这种情况下，所述处理模块包括：

程序拦截模块，配置为在所述 EXE 文件的等级和所述被劫持的 DLL 文件的等级中至少一个为恶意等级时，拦截所述待执行程序的执行；

执行模块，配置为在所述 EXE文件的等级和所述被劫持的 DLL文件的等级均为安全等级时，允许所述待执行程序的执行；

可疑操作拦截模块，配置为在所述 EXE 文件的等级和所述被劫持的 DLL文件的等级中没有恶意等级，并且至少一个被劫持的 DLL文件的等级高于所述 EXE文件的等级时，获取其中最高的等级，将所述 EXE文件的等级修改为所述最高的等级，允许所述待执行程序的执行，并拦截待执行程序执行后发起的可疑操作。

作为本申请具体应用的一种示例，所述可疑操作可以为以下任意一种：文件操作、注册表操作、进程操作和网络操作。

作为本申请的一种优选实施例，所述待执行程序可以为白名单中的程序。

对于上述用于程序处理的客户端的实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见图 1、图 2和图 3所示方法实施例的部分说明即可。实施例七：

参照图 8,示出了根据本申请一个实施例的用于程序处理的服务器的结构框图，在本申请实施例中，所述服务器与客户端通信，所述客户端用于依据所述服务器返回的匹配结果确定所述待执行程序是否存在被劫持的 DLL文件，所述服务器可以包括：

特征信息接收模块 801 , 用于接收客户端上传的待执行程序的特征信息，所述待执行程序的特征信息为客户端在检测到待执行程序创建进程时获得；

匹配模块 802,配置为将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；

匹配结果发送模块 803 , 配置为将所述匹配结果发送给所述客户端。作为本申请的另一优选实施例，所述服务器还可以包括如下模块：升级模块，配置为定期检测所述云端鉴别条件是否满足升级条件，若满足，则获取新的鉴别条件，并通过重新加载所述新的鉴别条件完成所述云端鉴别条件的升级更新；其中，所述升级条件在服务器中进行配置。

在具体实现中，所述云端鉴别条件可以存储在服务器中。

作为本申请具体应用的一种示例，所述云端鉴别条件中可以包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL文件信息；

所述匹配模块 802可以包括如下模块：

确定操作模块，配置为将所述特定 DLL文件信息作为所述待执行程序需要检查的 DLL文件信息。在本申请的一种优选实施例中，所述服务器还可以包括：

DLL文件信息接收模块，用于接收客户端上传的被劫持的 DLL文件的信息；

查杀模块，配置为在对所述被劫持的 DLL文件进行查杀并返回查杀结果；所述客户端还用于依据所述服务器返回的查杀结果对所述待执行程序执行相应的操作。

在具体实现中，所述服务器还可以包括如下模块：

EXE文件信息接收模块，配置为在对所述被劫持的 DLL文件进行查杀并返回查杀结果之前，接收客户端上传的待执行程序对应的 EXE文件的信息。

作为本申请实施例具体应用的一种示例，所述服务器的查杀模块可以包括如下模块：

等级查询模块，配置为获取所述 EXE文件的等级和所述被劫持的 DLL 文件的等级，所述等级包括安全等级、未知等级、可疑 /高度可疑等级、以及恶意等级；

查杀处理模块，配置为依据所述 EXE文件的等级和所述被劫持的 DLL 文件的等级对所述被劫持的 DLL文件进行查杀；

结果返回模块，配置为返回查杀结果。

对于上述用于程序处理的服务器的实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见图 1、图 2和图 3所示方法实施例的部分说明即可。

本说明书中的各个实施例均釆用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域技术人员易于想到的是：上述各个实施例的任意组合应用都是可行的，故上述各个实施例之间的任意组合都是本申请的实施方案，但是由于篇幅限制，本说明书在此就不——详述了。本申请的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP ) 来实现根据本申请实施例的浏览器设备中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本申请的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图 9示意性地示出了用于执行根据本申请的程序处理方法的终端设备的框图。该终端设备传统上包括处理器 410和以存储器 420形式的计算机程序产品或者计算机可读介质。存储器 420 可以是诸如闪存、 EEPROM (电可擦除可编程只读存储器）、 EPROM、硬盘或者 ROM之类的电子存储器。存储器 420具有用于执行上述方法中的任何方法步骤的程序代码 431 的存储空间 430。例如，用于程序代码的存储空间 430可以包括分别用于实现上面的方法中的各种步骤的各个程序代码 431。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘（CD )、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图 10所述的便携式或者固定存储单元。该存储单元可以具有与图 9的终端设备中的存储器 420类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码 43 Γ , 即可以由例如诸如 410之类的处理器读取的代码，这些代码当由终端设备运行时，导致该终端设备执行上面所描述的方法中的各个步骤。

本文中所称的 "一个实施例"、 "实施例"或者"一个或者多个实施例"意味着，结合实施例描述的特定特征、结构或者特性包括在本申请的至少一个实施例中。此外，请注意，这里"在一个实施例中"的词语例子不一定全指同一个实施例。在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本申请的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词"包含"不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词 "一"或"一个"不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本申请的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本申请的范围，对本申请所做的公开是说明性的，而非限制性的，本申请的范围由所附权利要求书限定。

Claims

1、一种程序处理方法，包括步骤：

当检测到待执行程序创建进程时，获取所述待执行程序的特征信息；将所述待执行程序的特征信息上传至服务器，所述服务器用于将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；权

2、根据权利要求 1所述的方法，还包括步骤：

若存在，则将所述被劫持的 DLL文件的信息上传至服务器，所述服务器还用于对所述被劫持的 DLL文件进行查杀并返回查杀结果；

依据所述服务器返回的查杀结果对所述待执行程序执行相应的操作。

书

3、根据权利要求 1所述的方法，所述匹配结果为所述待执行程序需要检查的 DLL文件信息；

所述依据所述匹配结果确定所述待执行程序是否存在被劫持的 DLL文件的步骤包括：

判断指定目录下是否存在所述待执行程序需要检查的 DLL文件信息，若存在，则确定所述待执行程序存在被劫持的 DLL文件；其中，所述被劫持的 DLL文件为指定目录下存在的 DLL文件，所述指定目录为当前目录或者指定的相对目录。

4、根据权利要求 3所述的方法，所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL文件信息。

5、根据权利要求 4所述的方法，所述特定程序匹配条件包括以下信息中的至少一种：

文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及进程的命令行信息、进程路径信息和父进程路径信息；

所述待执行程序的特征信息包括以下信息中的至少一种：

待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。

6、根据权利要求 2所述的方法，在将所述被劫持的 DLL文件上传至服务器之前，还包括步骤：

获取所述待执行程序对应的 EXE文件；

将所述待执行程序对应的 EXE文件的信息上传至服务器。

7、根据权利要求 6所述的方法，所述被劫持的 DLL文件为一个或多个；

所述依据所述服务器返回的查杀结果对所述待执行程序执行相应的操作的步骤包括：

当所述 EXE文件的等级和所述被劫持的 DLL文件的等级中至少一个为恶意等级时，拦截所述待执行程序的执行；

当所述 EXE文件的等级和所述被劫持的 DLL文件的等级均为安全等级时，允许所述待执行程序的执行；

当所述 EXE文件的等级和所述被劫持的 DLL文件的等级中没有恶意等级，并且至少一个被劫持的 DLL文件的等级高于所述 EXE文件的等级时，获取其中最高的等级，将所述 EXE文件的等级修改为所述最高的等级，允许所述待执行程序的执行，并拦截待执行程序执行后发起的可疑操作。

8、根据权利要求 7所述的方法，所述可疑操作为以下任意一种：文件操作、注册表操作、进程操作和网络操作。

9、根据权利要求 1所述的方法，所述待执行程序为白名单中的程序。

10、一种程序处理方法，包括步骤：

接收客户端上传的待执行程序的特征信息，所述待执行程序的特征信息为客户端在检测到待执行程序创建进程时获得；

11、根据权利要求 10所述的方法，还包括步骤：

定期检测所述云端鉴别条件是否满足升级条件，若满足，则获取新的鉴别条件，并通过重新加载所述新的鉴别条件完成所述云端鉴别条件的升级更新；

其中，所述升级条件在服务器中进行配置。

12、根据权利要求 10或 11所述的方法，所述云端鉴别条件存储在服务器中。

13、根据权利要求 10或 11所述的方法，所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL文件信息；

所述将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果的步骤包括：

将所述待执行程序的特征信息与所述特定程序匹配条件进行匹配；获取满足相匹配的特定程序匹配条件后需要检查的特定 DLL 文件信息；

将所述特定 DLL文件信息作为所述待执行程序需要检查的 DLL文件信息。

14、根据权利要求 10或 11所述的方法，还包括步骤：

接收客户端上传的被劫持的 DLL文件的信息；

对所述被劫持的 DLL文件进行查杀并返回查杀结果；所述客户端还用于依据所述服务器返回的查杀结果对所述待执行程序执行相应的操作。

15、根据权利要求 14所述的方法，在对所述被劫持的 DLL文件进行查杀并返回查杀结果之前，还包括步骤：

接收客户端上传的待执行程序对应的 EXE文件的信息。

16、根据权利要求 15所述的方法，所述对所述被劫持的 DLL文件进行查杀并返回查杀结果的步骤包括：

查询所述 EXE文件的等级和所述被劫持的 DLL文件的等级，所述等级包括安全等级、未知等级、可疑 /高度可疑等级、以及恶意等级；依据所述 EXE文件的等级和所述被劫持的 DLL文件的等级对所述被劫持的 DLL文件进行查杀；

返回查杀结果。

17、一种程序处理系统，包括客户端和服务器，其中，

客户端包括：

所述服务器包括：

所述客户端还包括：

18、根据权利要求 17所述的系统，所述服务器还包括：

查杀模块，配置为在客户端的确定模块的检查结果为存在时，对所述被劫持的 DLL文件进行查杀并返回查杀结果；

所述客户端还包括：

19、根据权利要求 17所述的系统，所述匹配结果为所述待执行程序需要检查的 DLL文件信息；

所述确定模块包括：

20、根据权利要求 19所述的系统，所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定 DLL 文件信息。

21、根据权利要求 20所述的系统，所述匹配模块包括：

22、根据权利要求 21所述的系统，所述特定程序匹配条件包括以下信息中的至少一种：

所述待执行程序的特征信息包括以下信息中的至少一种：

23、根据权利要求 18所述的系统，所述客户端还包括：

文件获取模块，配置为在服务器的查杀模块对所述被劫持的 DLL文件进行查杀之前，获取所述待执行程序对应的 EXE文件；

文件信息上传模块，配置为将所述待执行程序对应的 EXE文件的信息和所述被劫持的 DLL文件的信息上传至服务器；

所述服务器的查杀模块包括：

24、根据权利要求 23所述的系统，所述被劫持的 DLL文件为一个或多个，

所述处理模块包括：

25、根据权利要求 24所述的系统，所述可疑操作为以下任意一种：文件操作、注册表操作、进程操作和网络操作。

26、根据权利要求 17所述的系统，所述待执行程序为白名单中的程序。

27、根据权利要求 17所述的系统，所述服务器还包括：

升级模块，配置为定期检测所述云端鉴别条件是否满足升级条件，若满足，则获取新的鉴别条件，并通过重新加载所述新的鉴别条件完成所述云端鉴别条件的升级更新；

其中，所述升级条件在服务器中进行配置。

28、一种用于程序处理的客户端，所述客户端与服务器通信，所述服务器用于将所述客户端上传的待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果，所述客户端包括：特征信息获取模块，配置为在检测到待执行程序创建进程时，获取所述待执行程序的特征信息；

29、一种用于程序处理的服务器，所述服务器与客户端通信，所述客户端用于依据所述服务器返回的匹配结果确定所述待执行程序是否存在被劫持的 DLL文件，所述服务器包括：

30、一种计算机程序，包括计算机可读代码，当所述计算机可读代码在终端设备上运行时，导致所述终端设备执行根据权利要求 1〜16中的任一项所述的程序处理方法。

31、一种计算机可读介质，其中存储了如权利要求 30所述的计算机程序。