專(zhuān)利名稱(chēng):一種針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,特別涉及一種針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫 方法��。
背景技術(shù):
目前�,針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件通過(guò)釋放文件、寫(xiě)入注冊(cè)表的方式�,使自身被網(wǎng) 絡(luò)瀏覽器加載。惡意插件被加載后可以彈出廣告�、竊取用戶(hù)隱私數(shù)據(jù)�����、盜取用戶(hù)密碼?���,F(xiàn)有 技術(shù)通過(guò)對(duì)已知插件的分析進(jìn)行特征提取,實(shí)現(xiàn)對(duì)插件及其衍生物的檢測(cè)和清理����,能夠較 為徹底的清除瀏覽器惡意插件及其衍生物�����。但無(wú)法預(yù)防惡意插件重新安裝�,特別是隨其他 軟件捆綁進(jìn)入系統(tǒng)�����。于是出現(xiàn)反復(fù)清理��,反復(fù)檢測(cè)出惡意插件的現(xiàn)象���。
發(fā)明內(nèi)容
針對(duì)以上不足�,本發(fā)明要解決的技術(shù)問(wèn)題是提供一種針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件 的免疫方法����,該方法能夠有效阻止已知惡意插件安裝。為了解決上述技術(shù)問(wèn)題����,本發(fā)明提供一種針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方 法,包括分析已知惡意插件,確定免疫位置���;對(duì)免疫位置實(shí)施訪(fǎng)問(wèn)限制�,禁止訪(fǎng)問(wèn)免疫位置�����;允許訪(fǎng)問(wèn)非免疫位置�����。進(jìn)一步的�,步驟b中,所述實(shí)施訪(fǎng)問(wèn)限制的方式包括但不限于bl�、通過(guò)對(duì)注冊(cè)表訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置,阻止對(duì)免疫位置鍵值的訪(fǎng)問(wèn)�;b2、通過(guò)對(duì)NTFS文件系統(tǒng)中的文件訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置����,阻止對(duì)免疫位置文件的訪(fǎng) 問(wèn)����;b3、通過(guò)對(duì)FAT文件系統(tǒng)中的文件內(nèi)部數(shù)據(jù)結(jié)構(gòu)進(jìn)行修改,阻止對(duì)免疫位置文件 的訪(fǎng)問(wèn)�;b4、通過(guò)驅(qū)動(dòng)程序阻止對(duì)免疫位置的訪(fǎng)問(wèn)���;b5�����、通過(guò)硬件設(shè)備組織對(duì)免疫位置的訪(fǎng)問(wèn)����。本發(fā)明提供的方法可以實(shí)現(xiàn)對(duì)已知惡意插件的免疫和預(yù)防��,能夠有效阻止瀏覽器 惡意插件被安裝到系統(tǒng)����。對(duì)于已經(jīng)被惡意插件感染的計(jì)算機(jī),可以使用傳統(tǒng)的方式清除惡 意插件后進(jìn)行免疫����,達(dá)到杜絕反復(fù)清理和反復(fù)檢測(cè)出惡意插件的目的。
圖1為本發(fā)明所述的針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法的具體實(shí)施圖�����。
具體實(shí)施例方式下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說(shuō)明。
本發(fā)明的針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法如圖1所示�,包括如下步驟分析已知惡意插件,確定免疫位置����;對(duì)免疫位置實(shí)施訪(fǎng)問(wèn)限制,禁止訪(fǎng)問(wèn)免疫位置����;允許訪(fǎng)問(wèn)非免疫位置。上述步驟B中����,所述實(shí)施訪(fǎng)問(wèn)限制的方式包括但不限于通過(guò)對(duì)注冊(cè)表訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置,阻止對(duì)免疫位置鍵值的訪(fǎng)問(wèn)��;通過(guò)對(duì)NTFS文件系統(tǒng)中的文件訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置�,阻止對(duì)免疫位置文件的訪(fǎng)問(wèn);通過(guò)對(duì)FAT文件系統(tǒng)中的文件內(nèi)部數(shù)據(jù)結(jié)構(gòu)進(jìn)行修改�,阻止對(duì)免疫位置文件的訪(fǎng) 問(wèn);通過(guò)驅(qū)動(dòng)程序阻止對(duì)免疫位置的訪(fǎng)問(wèn)����;通過(guò)硬件設(shè)備組織對(duì)免疫位置的訪(fǎng)問(wèn)。下面用本發(fā)明的三個(gè)應(yīng)用實(shí)例進(jìn)一步加以說(shuō)明��。以利用注冊(cè)表訪(fǎng)問(wèn)權(quán)限控制ACUsystem access-control list)實(shí)施免疫為例假設(shè)經(jīng)人工分析插件的CLSID 為0958BFE2-0B32-DB04-80FC-3F165E4F5062��,免 疫位置為HKEY_CLASSES_R00T\CLSID\{0958BFE2-0B32-DB04-80FC-3F165E4F5062}�����。本應(yīng) 用實(shí)施例的具體步驟如下建立注冊(cè)表鍵HKEY_CLASSES_R00T\CLSID\ {0958BFE2-0B32-DB04-80FC-3F165E4F 5062}���;實(shí)施訪(fǎng)問(wèn)限制使用API (例如AtlGetDaCl)獲取當(dāng)前注冊(cè)表鍵值的訪(fǎng)問(wèn)控制列表�����;使用API (例如AtlSetDaCl)將步驟A中建立的鍵權(quán)限設(shè)置為所有用戶(hù)(包括管 理員帳戶(hù)�、系統(tǒng)帳戶(hù))只讀��、寫(xiě)拒絕�、無(wú)特殊權(quán)限。禁止訪(fǎng)問(wèn)免疫位置��,則實(shí)現(xiàn)免疫成功���。以注冊(cè)表監(jiān)視方式(旁路注冊(cè)表監(jiān)控)實(shí)施免疫為例假設(shè)經(jīng)人工分析插件的CLSID 為0958BFE2-0B32-DB04-80FC-3F165E4F5062��,免 疫位置為HKEY_CLASSES_R00T\CLSID\ {0958BFE2-0B32-DB04-80FC-3F165E4F5062}�����。本應(yīng)用實(shí)施例的具體步驟如下使用API (例如RegNotifyChangeKeyValue 函數(shù))對(duì) HKEY_CLASSES_R00T\CLSID 的子鍵創(chuàng)建進(jìn)行監(jiān)視���;當(dāng)發(fā)生子鍵創(chuàng)建時(shí)��,檢測(cè)鍵是否為{0958BFE2-0B32-DB04-80FC-3F165E4F5062}�;禁止訪(fǎng)問(wèn)免疫位置���,則實(shí)現(xiàn)免疫成功�����。以利用文件訪(fǎng)問(wèn)權(quán)限控制ACL(system access-control list)實(shí)施免疫為例假設(shè)經(jīng)人工分析插件的CLSID 為0958BFE2-0B32-DB04-80FC-3F165E4F506�,免疫 位置為C:\Programe files\Coolbar\a.dll��。本應(yīng)用實(shí)施例的具體步驟如下建立文件夾 C APrograme files\Coolbar\ 禾口 C :\Programe files\Coolbar\a. dll ��;實(shí)施訪(fǎng)問(wèn)限制使用API (例如AtlGetDaCl)獲取步驟A中建立的文件和文件夾的訪(fǎng)問(wèn)控制列
4表����;使用API (例如AtlGetDaCl)將步驟A中建立的文件和文件夾權(quán)限設(shè)置為所有用 戶(hù)(包括管理員帳戶(hù)、系統(tǒng)帳戶(hù))只讀�����、寫(xiě)拒絕、無(wú)特殊權(quán)限�����。禁止訪(fǎng)問(wèn)免疫位置�,則實(shí)現(xiàn)免疫成功�。當(dāng)然,本發(fā)明還可有其他多種實(shí)施例��,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下���,熟 悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形�����,但這些相應(yīng)的改變和變 形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�。
權(quán)利要求
一種針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法��,其特征在于�����,包括a、分析已知惡意插件����,確定免疫位置;b���、對(duì)免疫位置實(shí)施訪(fǎng)問(wèn)限制���,禁止訪(fǎng)問(wèn)免疫位置;c�����、允許訪(fǎng)問(wèn)非免疫位置���。
2.如權(quán)利要求1所述的針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法�,其特征在于步驟b 中���,所述實(shí)施訪(fǎng)問(wèn)限制的方式包括但不限于bl����、通過(guò)對(duì)注冊(cè)表訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置,阻止對(duì)免疫位置鍵值的訪(fǎng)問(wèn)�����;b2��、通過(guò)對(duì)NTFS文件系統(tǒng)中的文件訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置�,阻止對(duì)免疫位置文件的訪(fǎng)問(wèn);b3�、通過(guò)對(duì)FAT文件系統(tǒng)中的文件內(nèi)部數(shù)據(jù)結(jié)構(gòu)進(jìn)行修改�,阻止對(duì)免疫位置文件的訪(fǎng)問(wèn);b4�、通過(guò)驅(qū)動(dòng)程序阻止對(duì)免疫位置的訪(fǎng)問(wèn); b5���、通過(guò)硬件設(shè)備組織對(duì)免疫位置的訪(fǎng)問(wèn)���。
全文摘要
本發(fā)明公開(kāi)了一種針對(duì)網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法;方法包括分析已知惡意插件����,提取免疫位置;對(duì)免疫位置實(shí)施訪(fǎng)問(wèn)限制�����,禁止訪(fǎng)問(wèn)免疫位置;允許訪(fǎng)問(wèn)非免疫位置�。本發(fā)明提供的方法可以實(shí)現(xiàn)對(duì)已知惡意插件的免疫和預(yù)防,能夠有效阻止瀏覽器惡意插件被安裝到系統(tǒng)��。
文檔編號(hào)G06F21/22GK101894243SQ20101020818
公開(kāi)日2010年11月24日 申請(qǐng)日期2010年6月24日 優(yōu)先權(quán)日2010年6月24日
發(fā)明者關(guān)墨辰 申請(qǐng)人:北京安天電子設(shè)備有限公司