專利名稱:一種防御網(wǎng)購木馬的方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域信息過濾領(lǐng)域,具體涉及ー種防御網(wǎng)購木馬的方法及其裝置。
背景技術(shù):
電子商務(wù)是ー種經(jīng)由電子設(shè)備進(jìn)行貿(mào)易的手段,它加速了信息的傳遞和覆蓋。它提供了在世界范圍內(nèi)推銷、銷售產(chǎn)品及服務(wù)的機(jī)會(huì)。由于互聯(lián)網(wǎng)延伸到大多數(shù)潛在消費(fèi)者的巨大潛力,以及它在散布有關(guān)產(chǎn)品和服務(wù)的消息的有效性,人們正嘗試著通過適當(dāng)?shù)木W(wǎng)站實(shí)施交易以利用該新的平臺(tái)。隨著網(wǎng)絡(luò)技術(shù)和電子商務(wù)的發(fā)展,通過網(wǎng)絡(luò)購買自己喜歡的商品(俗稱網(wǎng)購)已經(jīng)成為廣大網(wǎng)民的日常行為,包括淘寶、ebay在內(nèi)的各種網(wǎng)購網(wǎng)站提供了各種各樣的商品通過網(wǎng)絡(luò)進(jìn)行交易。由此,網(wǎng)購木馬應(yīng)運(yùn)而生。網(wǎng)購木馬是新出現(xiàn)的ー種欺詐木馬。據(jù)金山網(wǎng)絡(luò)安全中心新統(tǒng)計(jì)數(shù)據(jù)顯示,2010年網(wǎng)購木馬增長迅速,目前變種數(shù)量已經(jīng)超過萬個(gè),2011年前2個(gè)月,平均每月增加新變種近3000個(gè),而受此欺詐的網(wǎng)購用戶也與日俱增。與釣魚網(wǎng)站相比,網(wǎng)購木馬隱藏更深,讓用戶無法察覺和判斷,一旦感染造成危害的可能性非常高。網(wǎng)購木馬偽裝成買家,與賣家進(jìn)行溝通,伺機(jī)通過聊天工具發(fā)送所謂的商品圖等壓縮文件給賣家,賣家,點(diǎn)擊后,即感染木馬,騙子再通過木馬盜取賣家的賬戶密碼,獲取店鋪的管理權(quán)限。接下來,騙子就可以冒充賣家對真正的買家實(shí)施詐騙了。給買家和賣家都造成無法預(yù)估的損失,嚴(yán)重地影響了在線金融服務(wù)、電子商務(wù)的發(fā)展。由此可見,如何防御網(wǎng)購木馬,已成為業(yè)界亟待解決的問題。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中的缺點(diǎn)與不足,提供ー種防御網(wǎng)購木馬的方法。本發(fā)明是采用以下的技術(shù)方案實(shí)現(xiàn)的ー種防御網(wǎng)購木馬的方法,包括如下步驟步驟Sll :當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件,在加載模塊之前,獲取進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名;步驟S12 :以進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名為索引,在本地特征庫中查找加載模塊的特征信息;步驟S13 :選擇是否檢測加載模塊的特征信息,若是,則進(jìn)入步驟S14,若否,則進(jìn)入步驟S16 ;步驟S14 :提取加載模塊的特征信息;步驟S15 :將提取的加載模塊的特征信息與本地特征庫的特征信息進(jìn)行比對,判斷其是否為疑似木馬,若是,關(guān)閉其運(yùn)行,若否,則進(jìn)入步驟S18 ;步驟S16:判斷是否檢測可執(zhí)行文件所依賴的文件,若是,則進(jìn)入步驟S17,若否,則允許其運(yùn)行;步驟S17 :獲得可執(zhí)行文件所依賴的文件的全路徑,井根據(jù)該全路徑查找可執(zhí)行文件所依賴文件的是否存在,若存在,則允許其運(yùn)行,若不存在,則進(jìn)入步驟S18。步驟S18:查詢加載模塊的安全屬性,若為黑,則關(guān)閉其運(yùn)行,若為白,則允許其運(yùn)行。進(jìn)一歩,本發(fā)明還提供了ー種防御網(wǎng)購木馬的裝置。ー種防御網(wǎng)購木馬的裝置,其包括文件名獲取模塊、特征信息查找模塊、特征信息檢測選擇模塊、加載模塊特征提取模塊、特征信息比對模塊、依賴文件檢測選擇模塊、依賴文件查找模塊、安全屬性查詢模塊、本地特征庫、配置文件庫和安全屬性數(shù)據(jù)庫;當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件,在加載模塊之前,該文件名獲取模塊獲取進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名;該特征信息查找模塊以進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名為索引,在本地特征庫中查找加載模塊的特征信息;該特征信息檢測選擇模塊選擇是否檢測加載模塊的特征信息,若是,則發(fā)送指令至加載模塊特征提取模塊,若否,則發(fā)送指令至依賴文件查找模塊;該加載模塊特征提取模塊提取加載模塊的特征信息;該特征信息比對模塊將提取的加載模塊的特征信息與本地特征庫的特征信息進(jìn)行比對,判斷其是否為疑似木馬,若是,則發(fā)送指令至安全屬性查詢模塊,若否,則發(fā)送指令至依賴文件檢測選擇模塊;該依賴文件檢測選擇模塊判斷是否檢測可執(zhí)行文件所依賴的文件,若是,則發(fā)送指令至依賴文件查找模塊,若否,則允許其運(yùn)行;依賴文件查找模塊;該依賴文件查找模塊獲得可執(zhí)行文件所依賴的文件全路徑,井根據(jù)該全路徑查找可執(zhí)行文件所依賴文件的是否存在,若存在,則允許其運(yùn)行,若不存在,則發(fā)送指令至安全屬性查詢模塊。該安全屬性查詢模塊查找安全屬性數(shù)據(jù)庫獲得加載模塊的安全屬性,若為黑,則關(guān)閉其運(yùn)行,若為白,則允許其運(yùn)行。相對于現(xiàn)有技術(shù),本發(fā)明的防御網(wǎng)購木馬的方法及其裝置通過查找判斷可執(zhí)行文件的加載模塊的特征信息及安全和路徑信息,來判斷是否為網(wǎng)購木馬,從而保證了用戶的網(wǎng)購及賬戶安全。為了能更清晰的理解本發(fā)明,以下將結(jié)合
闡述本發(fā)明的具體實(shí)施方式
。
圖1是本發(fā)明防御網(wǎng)購木馬的方法的流程圖。圖2是本發(fā)明防御網(wǎng)購木馬的裝置的模塊示意圖。
具體實(shí)施例方式請參閱圖1,其是本發(fā)明防御網(wǎng)購木馬的方法的流程圖。該防御網(wǎng)購木馬的方法包括如下步驟步驟Sll :當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件,在加載模塊之前,獲取進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名。木馬通常隱藏在exe、pif、scr等安全的可執(zhí)行文件中,當(dāng)點(diǎn)擊運(yùn)行時(shí),可執(zhí)行文件必須加載特定的模塊,而病毒模塊以這些安全的特定模塊命名,從而使可執(zhí)行文件加載了病毒模塊,從而運(yùn)行了木馬程序。因此,首先要獲得進(jìn)程的原始文件名和加載模塊的文件名,并以此為對象研究其是否為木馬。其中,該進(jìn)程的原始文件名和加載模塊的文件名是通過調(diào)用系統(tǒng)函數(shù),從可執(zhí)行文件獲取。該加載模塊的文件名通常是以dll為后綴的動(dòng)態(tài)鏈接庫文件名。步驟S12 :以進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名為索引,在本地特征庫中查找加載模塊的特征信息。該本地特征庫記載有當(dāng)前所有可執(zhí)行文件對應(yīng)的加載模塊的特征信息,包括文件的大小、數(shù)字簽名信息和版本信息(即公司名簽名信息)。步驟S13 :選擇是否檢測加載模塊的特征信息,若是,則進(jìn)入步驟S14,若否,則進(jìn)入步驟S16。加載模塊的特征信息可根據(jù)不同的可執(zhí)行文件或加載模塊選擇是否執(zhí)行檢測。步驟S14 :提取加載模塊的特征信息。其中,加載模塊的特征信息包括文件大小、數(shù)字簽名和版本信息。其中,該文件大小、數(shù)字簽名和版本信息是通過調(diào)用windows系統(tǒng)的API接ロ來獲得的。步驟S15 :將提取的加載模塊的特征信息與本地特征庫的特征信息進(jìn)行比對,判斷其是否為木馬,若是,進(jìn)入步驟S18,若否,則進(jìn)入步驟S16具體匹配吋,是通過以下順序進(jìn)行匹配步驟S151 :首先判斷文件的大小是否在閾值范圍內(nèi),若是,則是正常的文件,若否,則進(jìn)行下一步驟的判斷。步驟S152 :判斷是數(shù)字簽名是否匹配,若是,則為正常安全文件,若否,則為木馬。步驟S153 :判斷是版本信息是否匹配,若是,則為正常安全文件,若否,則為木馬。步驟S16 :判斷是否檢測可執(zhí)行文件所依賴的文件,若是,則進(jìn)入步驟S17,若否,則允許其運(yùn)行。其中,該可執(zhí)行文件正常安裝時(shí)所依賴的文件是除加載模塊外的其他文件,如數(shù)據(jù)文件,圖片文件等。具體地,該本地特征庫的特征信息中還記載有對該可執(zhí)行文件和加載模塊進(jìn)ー步檢測的指令信息,包括是否需要查詢可執(zhí)行文件所依賴的文件路徑和加載模塊的安全屬性。步驟S17 :獲得可執(zhí)行文件所依賴的文件的全路徑,井根據(jù)該全路徑查找可執(zhí)行文件所依賴文件的是否存在,若存在,則為白,允許其運(yùn)行,若不存在,則進(jìn)入步驟S18。具體地,該步驟S17包括如下步驟步驟S171 :以進(jìn)程的原始文件名和加載模塊的文件名為索引,在配置文件庫中查找該可執(zhí)行文件正常安裝時(shí)要依賴文件及其相對路徑信息。該配置文件庫收集記載有所有安全的可執(zhí)行文件在正常安裝時(shí)必定存在的要依賴的文件及其相對路徑信息。步驟S172 :根據(jù)當(dāng)前運(yùn)行的可執(zhí)行文件的全路徑和配置文件庫中查找的要依賴文件的相對路徑,獲得要依賴文件的全路徑。步驟S173 :根據(jù)獲得的要依賴文件的全路徑查找對應(yīng)的文件是否存在,若存在,則為白,允許其運(yùn)行,若不存在,則初步判斷為黑,進(jìn)入步驟S18做進(jìn)ー步的判斷。以下舉例說明當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件1. exe,在可執(zhí)行文件1. exe加載加載模塊1. dll之前,以進(jìn)程的原始文件名1. exe和加載模塊的文件名1. dll為索弓丨,在配置文件庫中查找對應(yīng)的可執(zhí)行文件正常安裝時(shí)必定存在的要依賴的文件有兩個(gè),其相對路徑分別為1\3\3. exe和2\2\5. exe。且當(dāng)前運(yùn)行的可執(zhí)行程序1. exe的全路徑為D:\Demo\l.exe,則將1\3\3. exe和2\2\5. exe分別與D:\Demo\l. exe拼接成要依賴文件的全路徑D: \Demo\l\3\3. exe 和 D: \Demo\2\2\5. exe,根據(jù)拼接的新路徑 D: \Demo\l\3\3. exe 和D:\Demo\2\2\5. exe查找對應(yīng)的兩個(gè)文件是否存在,若存在,則允許可執(zhí)行文件的運(yùn)行,若不存在,則攔截其運(yùn)行。步驟S18 :查詢加載模塊的安全屬性。加載模塊的安全屬性是通過查找設(shè)置在云端的安全屬性數(shù)據(jù)庫獲得的。該安全屬性數(shù)據(jù)庫收集記載有所有加載模塊的安全屬性,包括黑、白兩種屬性,黑為病毒可執(zhí)行文件,白為安全可執(zhí)行文件。若為黑,則判斷為木馬,關(guān)閉其運(yùn)行,若為白,則允許其運(yùn)行。其中,上述的可執(zhí)行文件正常安裝時(shí)的要依賴的文件為ー個(gè)或多個(gè),可以根據(jù)可執(zhí)行文件的特點(diǎn)設(shè)置其中的ー個(gè)或幾個(gè)進(jìn)行全路徑查找,只有當(dāng)所有的設(shè)定的要依賴文件的全路徑查找對應(yīng)的文件存在,才允許其運(yùn)行。
請參閱圖2,其是本發(fā)明的防御網(wǎng)購木馬的裝置的模塊示意圖。包括文件名獲取模塊21、特征信息查找模塊22、特征信息檢測選擇模塊23、加載模塊特征提取模塊24、特征信息比對模塊25、依賴文件檢測選擇模塊26、依賴文件查找模塊27、安全屬性查詢模塊28、本地特征庫31、配置文件庫32和安全屬性數(shù)據(jù)庫33。當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件,在加載模塊之前,該文件名獲取模塊21獲得進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名。其中,文件名獲取模塊21通過調(diào)用系統(tǒng)函數(shù)獲得該進(jìn)程的原始文件名和加載模塊的文件名,從可執(zhí)行文件獲取。該加載模塊的文件名通常是以dll為后綴的動(dòng)態(tài)鏈接庫文件名。該特征信息查找模塊22以進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名為索引,在本地特征庫31中查找加載模塊的特征信息。其中,該本地特征庫31記載有當(dāng)前所有可執(zhí)行文件對應(yīng)的加載模塊的特征信息,包括文件的大小、數(shù)字簽名信息和版本信
o該特征信息檢測選擇模塊23選擇是否檢測加載模塊的特征信息,若是,則發(fā)送指令至加載模塊特征提取模塊24,若否,則發(fā)送指令至依賴文件檢測選擇模塊26。加載模塊的特征信息可根據(jù)不同的可執(zhí)行文件或加載模塊選擇是否執(zhí)行檢測。該加載模塊特征提取模塊24提取加載模塊的特征信息。其中,加載模塊的特征信息包括文件大小、數(shù)字簽名和版本信息。其中,該文件大小、數(shù)字簽名和版本信息是通過調(diào)用windows系統(tǒng)的API接ロ來獲得的。該特征信息比對模塊25將提取的加載模塊的特征信息與本地特征庫的特征信息進(jìn)行比對,判斷其是否為疑似木馬,若是,則發(fā)送指令至安全屬性查詢模塊28,若否,則發(fā)送指令至依賴文件檢測選擇模塊26。具體匹配吋,該特征信息比對模塊25是通過以下子模塊執(zhí)行匹配文件大小判斷子模塊,其首先判斷文件的大小是否在閾值范圍內(nèi),若是,則是正常的文件,若否,則發(fā)送指令至數(shù)字簽名判斷子模塊或版本信息判斷子模塊進(jìn)行下一歩的判斷。數(shù)字簽名判斷子模塊,其判斷數(shù)字簽名是否匹配,若是,則為正常安全文件,若否,則為木馬。
版本信息判斷子模塊,判斷版本信息是否匹配,若是,則為正常安全文件,若否,則為木馬。在本發(fā)明的變形實(shí)施例中,可僅設(shè)置ー個(gè)數(shù)字簽名判斷子模塊或版本信息判斷子模塊。依賴文件檢測選擇模塊26判斷是否檢測可執(zhí)行文件所依賴的文件,若是,則發(fā)送指令至依賴文件查找模塊27,若否,則允許其運(yùn)行。其中,該可執(zhí)行文件正常安裝時(shí)所依賴的文件是除加載模塊外的其他文件,如數(shù)據(jù)文件,圖片文件等。該本地特征庫31的特征信息中還記載有對該可執(zhí)行文件和加載模塊進(jìn)ー步檢測的指令信息,包括是否需要查詢可執(zhí)行文件所依賴的文件路徑和加載模塊的安全屬性。依賴文件檢測選擇模塊26從該本地特征庫31中提取判斷信息,若需要,則發(fā)送指令至依賴文件查找模塊27進(jìn)行查詢,若不需要,則結(jié)束。該依賴文件查找模塊27獲得可執(zhí)行文件所依賴的文件全路徑,井根據(jù)該全路徑查找可執(zhí)行文件所依賴文件的是否存在,若存在,則為白,允許其運(yùn)行,若不存在,則為黒,發(fā)送指令至安全屬性查詢模塊28。具體地,該依賴文件查找模塊27包括文件信息捜索子模塊、文件全路徑獲得模塊和查找模塊。該文件信息捜索子模塊以進(jìn)程的原始文件名和加載模塊的文件名為索引,在配置文件庫32中查找該可執(zhí)行文件正常安裝時(shí)要依賴文件及其相對路徑信息。其中,該配置文件庫32收集記載有所有安全的可執(zhí)行文件在正常安裝時(shí)必定存在的要依賴的文件及其相對路徑信息。該文件全路徑獲得模塊根據(jù)當(dāng)前運(yùn)行的可執(zhí)行文件的全路徑和配置文件庫中要依賴文件的相對路徑,獲得要依賴文件的全路徑。該查找模塊根據(jù)獲得的要依賴文件的全路徑查找對應(yīng)的文件是否存在,若存在,則為白,允許其運(yùn)行,若不存在,則發(fā)送指令至安全屬性查詢模塊28。該安全屬性查詢模塊28查詢加載模塊的安全屬性。加載模塊的安全屬性是通過查找設(shè)置在云端的安全屬性數(shù)據(jù)庫33獲得的。該安全屬性數(shù)據(jù)庫33收集記載有所有加載模塊的安全屬性,包括黑、白兩種屬性,黑為病毒可執(zhí)行文件,白為安全可執(zhí)行文件。若為黒,則判斷為木馬,關(guān)閉其運(yùn)行,若為白,則允許其運(yùn)行。其中,上述的可執(zhí)行文件正常安裝時(shí)的要依賴的文件為ー個(gè)或多個(gè),可以根據(jù)可執(zhí)行文件的特點(diǎn)設(shè)置其中的ー個(gè)或幾個(gè)進(jìn)行全路徑查找,只有當(dāng)所有的設(shè)定的要依賴文件的全路徑查找對應(yīng)的文件存在,才允許其運(yùn)行。相對于現(xiàn)有技術(shù),本發(fā)明的防御網(wǎng)購木馬的方法及其裝置通過查找判斷可執(zhí)行文件的加載模塊的特征信息及安全和路徑信息,來判斷是否為網(wǎng)購木馬,從而保證了用戶的網(wǎng)購及賬戶安全。本發(fā)明并不局限于上述實(shí)施方式,如果對本發(fā)明的各種改動(dòng)或變形不脫離本發(fā)明的精神和范圍,倘若這些改動(dòng)和變形屬于本發(fā)明的權(quán)利要求和等同技術(shù)范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變形。
權(quán)利要求
1.一種防御網(wǎng)購木馬的方法,包括如下步驟 步驟Sll :當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件,在加載模塊之前,獲取進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名; 步驟S12:以進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名為索引,在本地特征庫中查找加載模塊的特征信息; 步驟S13 :選擇是否檢測加載模塊的特征信息,若是,則進(jìn)入步驟S14,若否,則進(jìn)入步驟 S16 ; 步驟S14 :提取加載模塊的特征信息; 步驟S15 :將提取的加載模塊的特征信息與本地特征庫的特征信息進(jìn)行比對,判斷其是否為木馬,若是,則進(jìn)入步驟S18,若否,則進(jìn)入步驟S16 ; 步驟S16 :判斷是否檢測可執(zhí)行文件所依賴的文件,若是,則進(jìn)入步驟S17,若否,則允許其運(yùn)行; 步驟S17 :獲得可執(zhí)行文件所依賴的文件的全路徑,并根據(jù)該全路徑查找可執(zhí)行文件所依賴文件的是否存在,若存在,則允許其運(yùn)行,若不存在,則進(jìn)入步驟S18。
步驟S18 :查詢加載模塊的安全屬性,若為黑,則關(guān)閉其運(yùn)行,若為白,則允許其運(yùn)行。
2.根據(jù)權(quán)利要求1所述的防御網(wǎng)購木馬的方法,其特征在于該步驟S15包括子步驟 步驟S151 :判斷文件的大小是否在閾值范圍內(nèi),若是,則是正常的文件,若否,則進(jìn)行下一步驟的判斷; 步驟S152 :判斷是數(shù)字簽名是否匹配,若是,則為正常安全文件,若否,則為木馬;和/或 步驟S153:判斷是版本信息是否匹配,若是,則為正常安全文件,若否,則為木馬。
3.根據(jù)權(quán)利要求1或2所述的防御網(wǎng)購木馬的方法,其特征在于該步驟S17包括子步驟 步驟S171 :以進(jìn)程的原始文件名和加載模塊的文件名為索引,在配置文件庫中查找該可執(zhí)行文件正常安裝時(shí)要依賴文件及其相對路徑信息; 步驟S172 :根據(jù)當(dāng)前運(yùn)行的可執(zhí)行文件的全路徑和配置文件庫中查找的要依賴文件的相對路徑,獲得要依賴文件的全路徑; 步驟S173 :根據(jù)獲得的要依賴文件的全路徑查找對應(yīng)的文件是否存在,若存在,則允許其運(yùn)行,若不存在,則進(jìn)入步驟S18。
4.一種防御網(wǎng)購木馬的裝置,其特征在于包括文件名獲取模塊、特征信息查找模塊、特征信息檢測選擇模塊、加載模塊特征提取模塊、特征信息比對模塊、依賴文件檢測選擇模塊、依賴文件查找模塊、安全屬性查詢模塊、本地特征庫、配置文件庫和安全屬性數(shù)據(jù)庫;當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件,在加載模塊之前,該文件名獲取模塊獲取進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名;該特征信息查找模塊以進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名為索引,在本地特征庫中查找加載模塊的特征信息;該特征信息檢測選擇模塊選擇是否檢測加載模塊的特征信息,若是,則發(fā)送指令至加載模塊特征提取模塊,若否,則發(fā)送指令至依賴文件檢測選擇模塊;該加載模塊特征提取模塊提取加載模塊的特征信息;該特征信息比對模塊將提取的加載模塊的特征信息與本地特征庫的特征信息進(jìn)行比對,判斷其是否為木馬,若是,則發(fā)送指令至安全屬性查詢模塊,若否,則發(fā)送指令至依賴文件檢測選擇模塊;該依賴文件檢測選擇模塊判斷是否檢測可執(zhí)行文件所依賴的文件,若是,則發(fā)送指令至依賴文件查找模塊,若否,則允許其運(yùn)行;依賴文件查找模塊;該依賴文件查找模塊獲得可執(zhí)行文件所依賴的文件全路徑,并根據(jù)該全路徑查找可執(zhí)行文件所依賴文件的是否存在,若存在,則允許其運(yùn)行,若不存在,則發(fā)送指令至安全屬性查詢模塊;該安全屬性查詢模塊查找安全屬性數(shù)據(jù)庫獲得加載模塊的安全屬性,若為黑,則關(guān)閉其運(yùn)行,若為白,則允許其運(yùn)行。
5.根據(jù)權(quán)利要求4所述的防御網(wǎng)購木馬的裝置,其特征在于該特征信息比對模塊包括文件大小判斷子模塊、數(shù)字簽名判斷子模塊和/或版本信息判斷子模塊;其首先判斷文件的大小是否在閾值范圍內(nèi),若是,則是正常的文件,若否,則發(fā)送指令至數(shù)字簽名判斷子模塊或版本信息判斷子模塊進(jìn)行下一步的判斷;該數(shù)字簽名判斷子模塊判斷數(shù)字簽名是否匹配,若是,則為正常安全文件,若否,則為木馬;版本信息判斷子模塊判斷版本信息是否匹配,若是,則為正常安全文件,若否,則為木馬。
6.根據(jù)權(quán)利要求4或5所述的防御網(wǎng)購木馬的裝置,其特征在于該依賴文件查找模塊包括文件信息搜索子模塊、文件全路徑獲得模塊和查找模塊;該文件信息搜索子模塊以進(jìn)程的原始文件名和加載模塊的文件名為索引,在配置文件庫中查找該可執(zhí)行文件正常安裝時(shí)要依賴文件及其相對路徑信息;該文件全路徑獲得模塊根據(jù)當(dāng)前運(yùn)行的可執(zhí)行文件的全路徑和配置文件庫中要依賴文件的相對路徑,獲得要依賴文件的全路徑;該查找模塊根據(jù)獲得的要依賴文件的全路徑查找對應(yīng)的文件是否存在,若存在,則允許其運(yùn)行,若不存在,則關(guān)閉其運(yùn)行。
全文摘要
一種防御網(wǎng)購木馬的方法,其包括步驟1當(dāng)用戶點(diǎn)擊運(yùn)行可執(zhí)行文件,在加載模塊之前,獲取進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名;步驟2以進(jìn)程中可執(zhí)行文件的原始文件名和加載模塊的文件名為索引,在本地特征庫中查找加載模塊的特征信息;步驟3選擇是否檢測加載模塊的特征信息,若是,進(jìn)入步驟4,若否,進(jìn)入步驟6;步驟4提取加載模塊的特征信息;步驟5將提取的加載模塊的特征信息與本地特征庫的特征信息進(jìn)行比對,判斷其是否為木馬,若是,關(guān)閉,若否,進(jìn)入步驟6;步驟6獲得可執(zhí)行文件所依賴的文件的全路徑,并根據(jù)該全路徑查找可執(zhí)行文件所依賴文件的是否存在,若存在,則允許其運(yùn)行,若不存在,則關(guān)閉其運(yùn)行。
文檔編號(hào)G06F21/56GK103020516SQ201310017118
公開日2013年4月3日 申請日期2013年1月17日 優(yōu)先權(quán)日2013年1月17日
發(fā)明者朱顯章, 陳志強(qiáng), 付志遠(yuǎn), 陳勇 申請人:珠海市君天電子科技有限公司