本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域,尤其涉及一種防止系統(tǒng)光標(biāo)被惡意修改的方法、裝置及電子設(shè)備。
背景技術(shù):
Window系統(tǒng)中,系統(tǒng)默認(rèn)提供如標(biāo)準(zhǔn)箭頭、小沙漏、交叉十字線光標(biāo)等光標(biāo)樣式,其中每一種光標(biāo)對(duì)應(yīng)一個(gè)光標(biāo)標(biāo)識(shí),系統(tǒng)提供了SetSystemCursor函數(shù),用于修改指定系統(tǒng)光標(biāo)標(biāo)識(shí)對(duì)應(yīng)的光標(biāo)樣式。惡意程序可以采用調(diào)用SetSystemCursor函數(shù)的方法修改系統(tǒng)提供的默認(rèn)光標(biāo)樣式,比如將系統(tǒng)默認(rèn)光標(biāo)修改為透明樣式,這樣就會(huì)導(dǎo)致用戶看不見(jiàn)鼠標(biāo)移動(dòng)的光標(biāo)。
目前,為保護(hù)系統(tǒng)默認(rèn)光標(biāo)樣式不被修改,通常使用的防御方法是掛鉤應(yīng)用層的SetSystemCursor函數(shù),這樣,鉤子函數(shù)就會(huì)對(duì)調(diào)用SetSystemCursor函數(shù)的事件進(jìn)行監(jiān)視,從而及時(shí)獲知惡意程序進(jìn)程想要修改系統(tǒng)默認(rèn)光標(biāo),以及時(shí)阻止該調(diào)用事件。但是,發(fā)明人發(fā)現(xiàn)SetSystemCursor函數(shù)對(duì)應(yīng)于系統(tǒng)內(nèi)核的函數(shù)是NtUserSetSystemCursor函數(shù),如果惡意程序調(diào)用NtUserSetSystemCursor函數(shù)來(lái)修改系統(tǒng)默認(rèn)光標(biāo),由于此方法比較隱蔽,目前的安全防御軟件還沒(méi)有對(duì)這種惡意調(diào)用采取防護(hù)措施,這樣惡意軟件就能通過(guò)此方式修改系統(tǒng)默認(rèn)光標(biāo),破壞系統(tǒng)的默認(rèn)光標(biāo)樣式,并導(dǎo)致用戶無(wú)法正常識(shí)別光標(biāo)。
技術(shù)實(shí)現(xiàn)要素:
有鑒于此,本發(fā)明實(shí)施例提供一種防止系統(tǒng)光標(biāo)被惡意修改的方法、裝置及電子設(shè)備,能有效的阻止惡意程序修改系統(tǒng)光標(biāo),提高系統(tǒng)安全性能。
第一方面,本發(fā)明實(shí)施例提供一種防止系統(tǒng)光標(biāo)被惡意修改的方法,包括:
監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件;
根據(jù)監(jiān)聽(tīng)到的所述事件,獲取所述進(jìn)程的進(jìn)程路徑;
根據(jù)所述進(jìn)程路徑判斷所述進(jìn)程是否為惡意程序進(jìn)程;
若所述進(jìn)程是惡意程序進(jìn)程,則拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
結(jié)合第一方面,在第一方面的第一種實(shí)施方式中,所述系統(tǒng)為Windows操作系統(tǒng);所述修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)為操作系統(tǒng)內(nèi)核層的NtUserSetSystemCursor函數(shù);
在監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件之前,所述方法還包括:預(yù)先設(shè)置掛鉤操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)的鉤子函數(shù);
監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件,包括:通過(guò)所述鉤子函數(shù)監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件。
結(jié)合第一方面的第一種實(shí)施方式,在第一方面的第二種實(shí)施方式中,所述拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo),包括:
通過(guò)所述鉤子函數(shù)向所述進(jìn)程返回拒絕消息;或者
所述鉤子函數(shù)拒絕調(diào)用NtUserSetSystemCursor函數(shù),以拒絕修改系統(tǒng)默認(rèn)光標(biāo)。
結(jié)合第一方面,在第一方面的第三種實(shí)施方式中,所述根據(jù)所述進(jìn)程路徑判斷所述進(jìn)程是否為惡意程序進(jìn)程之后,還包括:
若所述進(jìn)程不是惡意程序進(jìn)程,則調(diào)用修改系統(tǒng)默認(rèn)光標(biāo)函數(shù),同意所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
結(jié)合第一方面,在第一方面的第四種實(shí)施方式中,所述根據(jù)所述進(jìn)程路徑判斷所述進(jìn)程是否為惡意程序進(jìn)程,包括:
根據(jù)預(yù)先設(shè)置的特征值算法,獲取所述進(jìn)程路徑對(duì)應(yīng)文件的特征值;
判斷預(yù)先設(shè)置的特征庫(kù)中,是否記錄有所述進(jìn)程路徑對(duì)應(yīng)文件的特征值;
若預(yù)先設(shè)置的特征庫(kù)中記錄有所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程為惡意程序進(jìn)程;若預(yù)先設(shè)置的特征庫(kù)中沒(méi)有記錄所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程不是惡意程序進(jìn)程;
其中,所述預(yù)先設(shè)置的特征庫(kù)中記錄有已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值。
結(jié)合第一方面的第四種實(shí)施方式,在第一方面的第五種實(shí)施方式中,所述判斷預(yù)先設(shè)置的特征庫(kù)中,是否記錄有所述進(jìn)程路徑對(duì)應(yīng)文件的特征值之前,還包括:
統(tǒng)計(jì)已知惡意程序進(jìn)程路徑;
根據(jù)預(yù)先設(shè)置的特征值算法,獲取所述已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值;
將已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值存儲(chǔ)在特征庫(kù)中。
結(jié)合第一方面的第四種或第五種實(shí)施方式,在第一方面的第六種實(shí)現(xiàn)方式中,所述預(yù)先設(shè)置的特征值算法為:
求取進(jìn)程路徑的計(jì)算消息摘要算法值或哈希值作為進(jìn)程路徑對(duì)應(yīng)文件的特征值,或者
從進(jìn)程路徑中獲取文件版本號(hào)作為進(jìn)程路徑對(duì)應(yīng)文件的特征值。
第二方面,本發(fā)明實(shí)施例提供一種防止系統(tǒng)光標(biāo)被惡意修改的裝置,包括:
監(jiān)聽(tīng)模塊,用于監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件;
獲取模塊,用于根據(jù)所述監(jiān)聽(tīng)模塊監(jiān)聽(tīng)到的事件,獲取所述進(jìn)程的進(jìn)程路徑;
判斷模塊,用于根據(jù)所述獲取模塊獲取到的所述進(jìn)程路徑,判斷所述進(jìn)程是否是惡意程序進(jìn)程;
阻止模塊,用于在所述判斷模塊判斷出所述進(jìn)程是惡意程序進(jìn)程時(shí),拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
結(jié)合第二方面,在第二方面的第一種實(shí)施方式中,所述操作系統(tǒng)為Windows操作系統(tǒng)時(shí),所述監(jiān)聽(tīng)模塊中預(yù)先設(shè)置有掛鉤操作系統(tǒng)內(nèi)核層的NtUserSetSystemCursor函數(shù)的鉤子函數(shù),所述監(jiān)聽(tīng)模塊通過(guò)所述鉤子函數(shù)監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件。
結(jié)合第二方面的第一種實(shí)施方式,在第二方面的第二種實(shí)施方式中,所述阻止模塊通過(guò)所述鉤子函數(shù)向所述進(jìn)程返回拒絕消息或拒絕調(diào)用NtUserSetSystemCursor函數(shù),以拒絕修改系統(tǒng)默認(rèn)光標(biāo)。
結(jié)合第二方面,在第二方面的第三種實(shí)施方式中,所述阻止模塊,還用于在所述判斷模塊判斷出所述進(jìn)程不是惡意程序進(jìn)程時(shí),調(diào)用修改系統(tǒng)默認(rèn)光標(biāo)函數(shù),同意所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
結(jié)合第二方面,在第二方面的第四種實(shí)施方式中,所述判斷模塊包括:
特征值計(jì)算子模塊,用于根據(jù)預(yù)先設(shè)置的特征值算法,獲取所述獲取模塊獲取到的進(jìn)程路徑對(duì)應(yīng)文件的特征值;
匹配子模塊,用于判斷預(yù)先設(shè)置的特征庫(kù)中,是否記錄有所述特征值計(jì)算子模塊獲取到的進(jìn)程路徑對(duì)應(yīng)文件的特征值,若預(yù)先設(shè)置的特征庫(kù)中記錄有所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程為惡意程序進(jìn)程;若預(yù)先設(shè)置的特征庫(kù)中沒(méi)有記錄所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程不是惡意程序進(jìn)程;其中,所述預(yù)先設(shè)置的特征庫(kù)中記錄有已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值。
結(jié)合第二方面的第四種實(shí)施方式,在第二方面的第五種實(shí)施方式中,還包括:
特征庫(kù)生成模塊,用于預(yù)先統(tǒng)計(jì)已知惡意程序進(jìn)程路徑,并根據(jù)預(yù)先設(shè)置的特征值算法,獲取所述已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值并存儲(chǔ)在特征庫(kù)中。
結(jié)合第二方面的第四種或第五種實(shí)施方式,在第二方面的第六種實(shí)施方式中,所述特征值計(jì)算子模塊具體用于求取所述獲取模塊獲取到的進(jìn)程路徑的計(jì)算消息摘要算法值或哈希值作為進(jìn)程路徑對(duì)應(yīng)文件的特征值,或者從所述獲取模塊獲取到的進(jìn)程路徑中獲取文件版本號(hào)作為進(jìn)程路徑對(duì)應(yīng)文件的特征值。
第三方面,本發(fā)明實(shí)施例提供一種電子設(shè)備,所述電子設(shè)備包括:殼體、處理器、存儲(chǔ)器、電路板和電源電路,其中,電路板安置在殼體圍成的空間內(nèi)部,處理器和存儲(chǔ)器設(shè)置在電路板上;電源電路,用于為上述電子設(shè)備的各個(gè)電路或器件供電;存儲(chǔ)器用于存儲(chǔ)可執(zhí)行程序代碼;處理器通過(guò)讀取存儲(chǔ)器中存儲(chǔ)的可執(zhí)行程序代碼來(lái)運(yùn)行與可執(zhí)行程序代碼對(duì)應(yīng)的程序,用于執(zhí)行前述任一實(shí)施例所述的防止系統(tǒng)光標(biāo)被惡意修改的方法。
本發(fā)明實(shí)施例提供的一種防止系統(tǒng)光標(biāo)被惡意修改的方法、裝置及電子設(shè)備,通過(guò)監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件,當(dāng)監(jiān)聽(tīng)到有進(jìn)程調(diào)用修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)時(shí),獲取所述進(jìn)程路徑,并根據(jù)所述進(jìn)程路徑判斷所述進(jìn)程是否為惡意程序進(jìn)程,若所述進(jìn)程是惡意程序進(jìn)程,則拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。由此能有效地阻止惡意程序修改系統(tǒng)光標(biāo),提高系統(tǒng)安全性能。
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其它的附圖。
圖1為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的方法實(shí)施例一的流程圖;
圖2為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的方法實(shí)施例二的流程圖;
圖3為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的裝置實(shí)施例一的結(jié)構(gòu)示意圖;
圖4為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的裝置實(shí)施例三的結(jié)構(gòu)示意圖;
圖5為本發(fā)明電子設(shè)備一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施方式
下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例一種防止系統(tǒng)光標(biāo)被惡意修改的方法、裝置及電子設(shè)備進(jìn)行詳細(xì)描述。
應(yīng)當(dāng)明確,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
圖1為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的方法實(shí)施例一的流程圖,如圖1所示,本實(shí)施例的方法可以包括:
步驟101、監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件。
本實(shí)施例中,惡意程序需調(diào)用操作系統(tǒng)提供的修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)才能實(shí)現(xiàn)修改系統(tǒng)默認(rèn)光標(biāo)。故可以通過(guò)對(duì)所述修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行監(jiān)視,可及時(shí)截獲惡意程序要修改系統(tǒng)默認(rèn)光標(biāo)的消息。在截獲到該消息后,可拒絕惡意程序進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo),從而有效地阻止惡意程序修改系統(tǒng)默認(rèn)光標(biāo),提高系統(tǒng)安全性能。
步驟102、根據(jù)監(jiān)聽(tīng)到的所述事件,獲取所述進(jìn)程的進(jìn)程路徑。
本實(shí)施例中,例如根據(jù)進(jìn)程的標(biāo)識(shí)符PID,調(diào)用系統(tǒng)中的獲取進(jìn)程路徑的函數(shù),就能獲取到進(jìn)程路徑。
步驟103、根據(jù)所述進(jìn)程路徑判斷所述進(jìn)程是否為惡意程序進(jìn)程;是則執(zhí)行步驟104。
本實(shí)施例中,由于惡意程序進(jìn)程路徑比較固定,故可以根據(jù)當(dāng)前進(jìn)程的路徑信息,判斷進(jìn)程是否為惡意程序進(jìn)程。
本實(shí)施例中,作為一可選方式,可根據(jù)預(yù)先設(shè)置的特征值算法獲取所述進(jìn)程路徑對(duì)應(yīng)文件的特征值;然后判斷預(yù)先設(shè)置的特征庫(kù)中,是否記錄有所述進(jìn)程路徑對(duì)應(yīng)文件的特征值;若預(yù)先設(shè)置的特征庫(kù)中記錄有所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程為惡意程序進(jìn)程;若預(yù)先設(shè)置的特征庫(kù)中沒(méi)有記錄所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程不是惡意程序進(jìn)程。其中,特征庫(kù)是預(yù)先設(shè)置的,特征庫(kù)的生成過(guò)程為:統(tǒng)計(jì)已知惡意進(jìn)程路徑;根據(jù)預(yù)先設(shè)置的特征值算法,獲取所述已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值存儲(chǔ)在特征庫(kù)中。
優(yōu)選地,預(yù)先設(shè)置的特征值算法為:求取進(jìn)程路徑的計(jì)算消息摘要算法(MD5)值或哈希(HASH)值作為進(jìn)程路徑對(duì)應(yīng)文件的特征值,或者從進(jìn)程路徑中獲取文件版本號(hào)作為進(jìn)程路徑對(duì)應(yīng)文件的特征值。
步驟104、拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
本實(shí)施例中,如果當(dāng)前進(jìn)程為惡意程序進(jìn)程,則拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo),從而有效地阻止惡意程序修改系統(tǒng)默認(rèn)光標(biāo)。
本實(shí)施例,通過(guò)對(duì)惡意程序調(diào)用操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)的監(jiān)控,能有效地阻止惡意程序修改系統(tǒng)默認(rèn)光標(biāo),達(dá)到提高系統(tǒng)安全性能的目的。
本實(shí)施例提供的防止系統(tǒng)光標(biāo)被惡意修改的方法,通過(guò)監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件,當(dāng)監(jiān)聽(tīng)到有進(jìn)程調(diào)用修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)時(shí),獲取所述進(jìn)程路徑,并根據(jù)所述進(jìn)程路徑判斷所述進(jìn)程是否為惡意程序進(jìn)程,若所述進(jìn)程是惡意程序進(jìn)程,則拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。由此能有效地阻止惡意程序修改系統(tǒng)光標(biāo),提高系統(tǒng)安全性能。
圖2為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的方法實(shí)施例二的流程圖,本實(shí)施例用于Windows操作系統(tǒng);所述修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)為操作系統(tǒng)內(nèi)核層的NtUserSetSystemCursor函數(shù)。本發(fā)明實(shí)施例適用于金山毒霸或金山衛(wèi)士等安全防護(hù)類應(yīng)用程序?qū)Σ僮飨到y(tǒng)的系統(tǒng)默認(rèn)光標(biāo)進(jìn)行保護(hù)。如圖2所示,本實(shí)施例的方法包括如下步驟:
步驟201、監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中NtUserSetSystemCursor函數(shù)進(jìn)行調(diào)用的事件。
本實(shí)施例中,通過(guò)預(yù)先設(shè)置的鉤子(Hook)函數(shù)監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中NtUserSetSystemCursor函數(shù)進(jìn)行調(diào)用的事件。鉤子函數(shù)實(shí)際上是一個(gè)處理消息的程序段,通過(guò)系統(tǒng)調(diào)用,把它掛入系統(tǒng)。每當(dāng)特定的消息發(fā)出,在沒(méi)有到達(dá)目的窗口前,鉤子函數(shù)就先捕獲該消息,亦即鉤子函數(shù)先得到控制權(quán)。這時(shí)鉤子函數(shù)即可以加工處理該消息,也可以不作處理而繼續(xù)傳遞該消息,還可以強(qiáng)制結(jié)束消息的傳遞。
本實(shí)施例中,鉤子函數(shù)在本步驟執(zhí)行之前預(yù)先建立在安全防護(hù)類應(yīng)用程序如金山毒霸的防御驅(qū)動(dòng)中,該鉤子函數(shù)掛鉤操作系統(tǒng)中的NtUserSetSystemCursor函數(shù)。安全防護(hù)類應(yīng)用程序的防御驅(qū)動(dòng)在Windows操作系統(tǒng)開機(jī)后即開始運(yùn)行。
本實(shí)施例中,將NtUserSetSystemCursor函數(shù)的原始入口地址修改為本實(shí)施例中的鉤子函數(shù)的入口地址。惡意進(jìn)程在調(diào)用NtUserSetSystemCursor函數(shù)時(shí),由于NtUserSetSystemCursor函數(shù)的原始入口地址已被修改為本實(shí)施例的鉤子函數(shù)的入口地址,則調(diào)用NtUserSetSystemCursor函數(shù)時(shí),會(huì)跳至本實(shí)施例的鉤子函數(shù)的執(zhí)行,由此實(shí)現(xiàn)對(duì)NtUserSetSystemCursor函數(shù)的監(jiān)視。為了實(shí)現(xiàn)對(duì)NtUserSetSystemCursor函數(shù)的回調(diào),在將NtUserSetSystemCursor函數(shù)的原始入口地址修改為本實(shí)施例中的鉤子函數(shù)的入口地址之前,需要對(duì)NtUserSetSystemCursor函數(shù)的原始入口地址進(jìn)行保存。
步驟202、鉤子函數(shù)監(jiān)聽(tīng)到進(jìn)程調(diào)用NtUserSetSystemCursor函數(shù)的事件時(shí),獲取所述進(jìn)程的進(jìn)程路徑。
本實(shí)施例中,惡意進(jìn)程對(duì)NtUserSetSystemCursor函數(shù)的調(diào)用,是通過(guò)向Windows操作系統(tǒng)發(fā)出調(diào)用NtUserSetSystemCursor函數(shù)的消息,該消息會(huì)直接被鉤子函數(shù)截獲。鉤子函數(shù)截獲到該消息,即視為監(jiān)聽(tīng)到NtUserSetSystemCursor函數(shù)被進(jìn)程調(diào)用的事件,然后根據(jù)進(jìn)程的標(biāo)識(shí)符PID,調(diào)用系統(tǒng)中的獲取進(jìn)程路徑的函數(shù),如:GetModuleFileNameEx、GetProcessImageFileName函數(shù)等,就能獲取到進(jìn)程路徑。
步驟203、根據(jù)所述進(jìn)程路徑判斷所述進(jìn)程是否為惡意程序進(jìn)程;是則執(zhí)行步驟204,否則執(zhí)行步驟205。
本實(shí)施例中,步驟203的過(guò)程和上述方法實(shí)施例的步驟103類似,此處不再贅述。
步驟204、拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
本實(shí)施例中,通過(guò)所述鉤子函數(shù)向所述進(jìn)程返回拒絕消息;或者所述鉤子函數(shù)拒絕調(diào)用NtUserSetSystemCursor函數(shù),以拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
步驟205、鉤子函數(shù)調(diào)用NtUserSetSystemCursor函數(shù),同意所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
本實(shí)施例中,當(dāng)所述進(jìn)程不是惡意程序進(jìn)程時(shí),可以調(diào)用操作系統(tǒng)內(nèi)核函數(shù)NtUserSetSystemCursor,同意所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
本實(shí)施例提供的防止系統(tǒng)光標(biāo)被惡意修改的方法,能有效的阻止惡意程序?qū)ο到y(tǒng)默認(rèn)光標(biāo)的修改,達(dá)到提高系統(tǒng)安全性的目的。
下面采用一個(gè)具體的實(shí)施例,對(duì)圖1~圖2中任一個(gè)所示方法實(shí)施例的技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。
在用戶電腦環(huán)境中,存在一個(gè)惡意軟件A。在金山毒霸的防御驅(qū)動(dòng)中Hook了修改系統(tǒng)默認(rèn)光標(biāo)的NtUserSetSystemCursor函數(shù),當(dāng)惡意軟件A的進(jìn)程通知其驅(qū)動(dòng)程序調(diào)用NtUserSetSystemCursor函數(shù)修改系統(tǒng)默認(rèn)光標(biāo)時(shí),防御驅(qū)動(dòng)就會(huì)對(duì)此行為進(jìn)行攔截,并返回拒絕,使得惡意軟件修改系統(tǒng)默認(rèn)光標(biāo)失敗,從而更好地保護(hù)用戶系統(tǒng)不被破壞。
圖3為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的裝置實(shí)施例一的結(jié)構(gòu)示意圖,如圖3所示,本實(shí)施例的裝置可以包括:監(jiān)聽(tīng)模塊11,用于監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中修改系統(tǒng)默認(rèn)光標(biāo)函數(shù)進(jìn)行調(diào)用的事件;獲取模塊12,用于根據(jù)監(jiān)聽(tīng)模塊11監(jiān)聽(tīng)到的事件,獲取所述進(jìn)程的進(jìn)程路徑;判斷模塊13,用于根據(jù)獲取模塊12獲取到的所述進(jìn)程路徑,判斷所述進(jìn)程是否是惡意程序進(jìn)程;阻止模塊14,用于在判斷模塊13判斷出所述進(jìn)程是惡意程序進(jìn)程時(shí),拒絕所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
本實(shí)施例的裝置,可以用于執(zhí)行圖1所示方法實(shí)施例的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
在本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的裝置實(shí)施例二中,當(dāng)防止系統(tǒng)光標(biāo)被惡意修改的裝置用于Windows操作系統(tǒng)中時(shí),監(jiān)聽(tīng)模塊11中預(yù)先設(shè)置有掛鉤操作系統(tǒng)內(nèi)核層的NtUserSetSystemCursor函數(shù)的鉤子函數(shù),監(jiān)聽(tīng)模塊11通過(guò)所述鉤子函數(shù)監(jiān)聽(tīng)進(jìn)程對(duì)操作系統(tǒng)中NtUserSetSystemCursor函數(shù)進(jìn)行調(diào)用的事件。阻止模塊14通過(guò)所述鉤子函數(shù)向所述進(jìn)程返回拒絕消息或拒絕調(diào)用NtUserSetSystemCursor函數(shù),以拒絕修改系統(tǒng)默認(rèn)光標(biāo);阻止模塊14還用于在判斷模塊13判斷出所述進(jìn)程不是惡意程序進(jìn)程時(shí),調(diào)用修改系統(tǒng)默認(rèn)光標(biāo)NtUserSetSystemCursor函數(shù),同意所述進(jìn)程修改系統(tǒng)默認(rèn)光標(biāo)。
本實(shí)施例的裝置,可以用于執(zhí)行圖2所示方法實(shí)施例的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
圖4為本發(fā)明防止系統(tǒng)光標(biāo)被惡意修改的裝置實(shí)施例三的結(jié)構(gòu)示意圖,如圖4所示,本實(shí)施例的裝置在圖3所示裝置結(jié)構(gòu)的基礎(chǔ)上,進(jìn)一步地,判斷模塊13包括:
特征值計(jì)算子模塊131,用于根據(jù)預(yù)先設(shè)置的特征值算法,獲取獲取模塊12獲取到的進(jìn)程路徑對(duì)應(yīng)文件的特征值;匹配子模塊132,用于判斷預(yù)先設(shè)置的特征庫(kù)中,是否記錄有特征值計(jì)算子模塊131獲取到的進(jìn)程路徑對(duì)應(yīng)文件的特征值,若預(yù)先設(shè)置的特征庫(kù)中記錄有所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程為惡意程序進(jìn)程;若預(yù)先設(shè)置的特征庫(kù)中沒(méi)有記錄所述進(jìn)程路徑對(duì)應(yīng)文件的特征值,則確定所述進(jìn)程不是惡意程序進(jìn)程;其中,所述預(yù)先設(shè)置的特征庫(kù)中記錄有已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值。
優(yōu)選地,在實(shí)施例三中,特征值計(jì)算子模塊131,具體用于求取獲取模塊12獲取到的進(jìn)程路徑的計(jì)算消息摘要算法(MD5)值或哈希(HASH)值作為進(jìn)程路徑對(duì)應(yīng)文件的特征值,或者從獲取模塊12獲取到的進(jìn)程路徑中獲取文件版本號(hào)作為進(jìn)程路徑對(duì)應(yīng)文件的特征值。
優(yōu)選地,實(shí)施例三所示的防止系統(tǒng)光標(biāo)被惡意修改的裝置還包括特征庫(kù)生成模塊(圖4未示出),用于預(yù)先統(tǒng)計(jì)已知惡意程序進(jìn)程路徑,并根據(jù)預(yù)先設(shè)置的特征值算法,獲取所述已知惡意程序進(jìn)程路徑對(duì)應(yīng)文件的特征值并存儲(chǔ)在特征庫(kù)中。
本實(shí)施例的裝置,可以用于執(zhí)行圖1或圖2所示方法實(shí)施例的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
本發(fā)明實(shí)施例還提供一種電子設(shè)備。圖5為本發(fā)明電子設(shè)備一個(gè)實(shí)施例的結(jié)構(gòu)示意圖,可以實(shí)現(xiàn)本發(fā)明圖1或圖2所示實(shí)施例的流程,如圖5所示,上述電子設(shè)備可以包括:殼體21、處理器22、存儲(chǔ)器23、電路板24和電源電路25,其中,電路板24安置在殼體21圍成的空間內(nèi)部,處理器22和存儲(chǔ)器23設(shè)置在電路板24上;電源電路25,用于為上述電子設(shè)備的各個(gè)電路或器件供電;存儲(chǔ)器23用于存儲(chǔ)可執(zhí)行程序代碼;處理器22通過(guò)讀取存儲(chǔ)器23中存儲(chǔ)的可執(zhí)行程序代碼來(lái)運(yùn)行與可執(zhí)行程序代碼對(duì)應(yīng)的程序,用于執(zhí)行前述任一實(shí)施例所述的防止系統(tǒng)默認(rèn)光標(biāo)被惡意修改的方法。
該電子設(shè)備以多種形式存在,包括但不限于:
(1)移動(dòng)通信設(shè)備:這類設(shè)備的特點(diǎn)是具備移動(dòng)通信功能,并且以提供話音、數(shù)據(jù)通信為主要目標(biāo)。這類終端包括:智能手機(jī)(例如iPhone)、多媒體手機(jī)、功能性手機(jī),以及低端手機(jī)等。
(2)超移動(dòng)個(gè)人計(jì)算機(jī)設(shè)備:這類設(shè)備屬于個(gè)人計(jì)算機(jī)的范疇,有計(jì)算和處理功能,一般也具備移動(dòng)上網(wǎng)特性。這類終端包括:PDA、MID和UMPC設(shè)備等,例如iPad。
(3)便攜式娛樂(lè)設(shè)備:這類設(shè)備可以顯示和播放多媒體內(nèi)容。該類設(shè)備包括:音頻、視頻播放模塊(例如iPod),掌上游戲機(jī),電子書,以及智能玩具和便攜式車載導(dǎo)航設(shè)備。
(4)服務(wù)器:提供計(jì)算服務(wù)的設(shè)備,服務(wù)器的構(gòu)成包括處理器、硬盤、內(nèi)存、系統(tǒng)總線等,服務(wù)器和通用的計(jì)算機(jī)架構(gòu)類似,但是由于需要提供高可靠的服務(wù),因此在處理能力、穩(wěn)定性、可靠性、安全性、可擴(kuò)展性、可管理性等方面要求較高。
(5)其他具有數(shù)據(jù)交互功能的電子設(shè)備。
需要說(shuō)明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來(lái),而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過(guò)程、方法、物品或者設(shè)備不僅包括那些要素,而且還包括沒(méi)有明確列出的其他要素,或者是還包括為這種過(guò)程、方法、物品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下,由語(yǔ)句“包括一個(gè)......”限定的要素,并不排除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同要素。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程。其中,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤、只讀存儲(chǔ)記憶體(Read-Only Memory,ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory,RAM)等。
以上所述,僅為本發(fā)明的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。