欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

一種信息攔截方法及裝置的制造方法

文檔序號:10725506閱讀:199來源:國知局
一種信息攔截方法及裝置的制造方法
【專利摘要】本發(fā)明實施例提供了一種信息攔截方法及裝置。所述方法包括:檢測是否接收到針對第一函數(shù)的調(diào)用請求,其中,第一函數(shù)為用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù);若接收到,判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序;如果是,則攔截所述調(diào)用請求,進而拒絕改變窗口位置和窗口大小。應(yīng)用本實施例,能夠攔截惡意程序?qū)蛻舳说拇翱谖恢煤痛笮〉男薷摹?br>【專利說明】
_種信息攔截方法及裝置
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及計算機技術(shù)領(lǐng)域,特別涉及一種信息攔截方法及裝置。
【背景技術(shù)】
[0002]終端系統(tǒng)運行一個客戶端時,通常將該客戶端的窗口顯示在終端屏幕上。用戶可以改變該客戶端的窗口位置和大小。隨著計算機技術(shù)的發(fā)展,木馬、病毒等惡意程序?qū)映霾桓F。一些惡意程序通常會利用系統(tǒng)提供的函數(shù)惡意修改客戶端的窗口位置和大小,例如將客戶端的窗口位置修改為終端屏幕之外,或者將窗口大小修改為O等,使客戶端窗口無法正常顯示在終端屏幕上,從而破壞用戶的終端系統(tǒng)環(huán)境。
[0003]現(xiàn)有技術(shù)中,常常無法攔截這些惡意程序?qū)蛻舳说拇翱谖恢煤痛笮〉男薷摹?br>
【發(fā)明內(nèi)容】

[0004]本發(fā)明實施例的目的在于提供了一種信息攔截方法及裝置,能夠攔截惡意程序?qū)蛻舳说拇翱谖恢煤痛笮〉男薷摹?br>[0005]為了達到上述目的,本發(fā)明公開了一種信息攔截方法,所述方法包括:
[0006]檢測是否接收到針對第一函數(shù)的調(diào)用請求,其中,所述第一函數(shù)為用于改變窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù);
[0007]若接收到,判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序;
[0008]如果是,則攔截所述調(diào)用請求,進而拒絕修改窗口位置和窗口大小。
[0009 ]較佳的,所述方法還包括:
[0010]當判斷出所述第一程序不屬于惡意程序時,響應(yīng)所述調(diào)用請求。
[0011 ]較佳的,所述調(diào)用請求攜帶目標窗口的信息;
[0012]在檢測到所述調(diào)用請求后,還包括:
[0013]根據(jù)所述目標窗口的信息,獲得所述目標窗口所屬目標進程;
[0014]判斷所述目標進程是否與所述第一程序?qū)?yīng)的第一進程相同;
[0015]若不相同,則執(zhí)行所述判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序的步驟。
[0016]較佳的,所述判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序,包括:
[0017]獲得生成所述調(diào)用請求的第一程序的路徑信息;
[0018]根據(jù)所述路徑信息,獲得所述第一程序的程序文件;
[0019]根據(jù)所述程序文件,生成所述第一程序的特征值;
[0020]判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配;
[0021]若匹配,則確定所述第一程序為惡意程序。
[0022]較佳的,所述特征值包括消息摘要算法值MD5值和/或哈希值。
[0023]較佳的,所述檢測是否接收到針對第一函數(shù)的調(diào)用請求,包括:
[0024]通過設(shè)置鉤子函數(shù)的方式,檢測是否接收到針對第一函數(shù)的調(diào)用請求。
[0025]為了達到上述目的,本發(fā)明公開了一種信息攔截裝置,所述裝置包括:
[0026]檢測模塊,用于檢測是否接收到針對第一函數(shù)的調(diào)用請求,其中,所述第一函數(shù)為用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù);
[0027]第一判斷模塊,用于當接收到所述調(diào)用請求時,判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序;
[0028]攔截模塊,用于當判斷出所述第一程序?qū)儆趷阂獬绦驎r,攔截所述調(diào)用請求,進而拒絕修改窗口位置和窗口大小。
[0029]較佳的,所述裝置還包括響應(yīng)模塊;
[0030]所述響應(yīng)模塊,用于當判斷出所述第一程序不屬于惡意程序時,響應(yīng)所述調(diào)用請求。
[0031 ]較佳的,所述調(diào)用請求攜帶目標窗口的信息;
[0032]所述裝置還包括第二判斷模塊,具體用于:
[0033]在檢測到所述調(diào)用請求后,根據(jù)所述目標窗口的信息,獲得所述目標窗口所屬目標進程;
[0034]判斷所述目標進程是否與所述第一程序?qū)?yīng)的第一進程相同;
[0035]若不相同,則觸發(fā)所述第一判斷模塊。
[0036]較佳的,所述第一判斷模塊包括:
[0037]第一獲得子模塊,用于獲得生成所述調(diào)用請求的第一程序的路徑信息;
[0038]第二獲得子模塊,用于根據(jù)所述路徑信息,獲得所述第一程序的程序文件;
[0039]生成子模塊,用于根據(jù)所述程序文件,生成所述第一程序的特征值;
[0040]判斷子模塊,用于判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配;
[0041]確定子模塊,用于當所述特征值與預(yù)先存儲的惡意程序特征值匹配時,確定所述第一程序為惡意程序。
[0042]較佳的,所述檢測模塊具體用于:
[0043]通過設(shè)置鉤子函數(shù)的方式,檢測是否接收到針對第一函數(shù)的調(diào)用請求。
[0044]由上述技術(shù)方案可見,本發(fā)明實施例中,當接收到針對第一函數(shù)的調(diào)用請求時,判斷生成該調(diào)用請求的第一程序是否屬于惡意程序,如果是,則攔截該調(diào)用請求,進而拒絕修改窗口位置和窗口大小,其中,第一函數(shù)為用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù)。也就是說,在本實施例中,根據(jù)接收到的針對用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù)的調(diào)用請求,判斷生成該調(diào)用請求的第一程序是否屬于惡意程序,如果是,則攔截該調(diào)用請求。因此,本發(fā)明實施例能夠攔截惡意程序?qū)蛻舳说拇翱谖恢煤痛笮〉男薷摹?br>【附圖說明】
[0045]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單的介紹。顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0046]圖1為本發(fā)明實施例提供的信息攔截方法的一種流程示意圖;
[0047]圖2為本發(fā)明實施例提供的信息攔截方法的另一種流程示意圖;
[0048]圖3為本發(fā)明實施例提供的信息攔截裝置的一種結(jié)構(gòu)示意圖;
[0049]圖4為本發(fā)明實施例提供的信息攔截裝置的另一種結(jié)構(gòu)示意圖。
【具體實施方式】
[0050]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整的描述。顯然,所描述的實施例僅僅是本發(fā)明的一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0051]本發(fā)明實施例提供了一種信息攔截方法及裝置,能夠攔截惡意程序?qū)蛻舳说拇翱谖恢煤痛笮〉男薷摹?br>[0052]下面通過具體實施例,對本發(fā)明進行詳細說明。
[0053]圖1為本發(fā)明實施例提供的信息攔截方法的一種流程示意圖,該方法包括如下步驟:
[0054]步驟SlOl:檢測是否接收到針對第一函數(shù)的調(diào)用請求,若接收到,則執(zhí)行步驟S102o
[0055]其中,所述第一函數(shù)為用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù)。由于第一函數(shù)是公共可用的函數(shù),所以非惡意程序和惡意程序都可以調(diào)用它。第一函數(shù)可以用來改變所有窗口的窗口位置和窗口大小。
[0056]具體的,用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù)可以是NtUserSetWindowPos等。在實際應(yīng)用中,在修改窗口位置和窗口大小時,可以先調(diào)用系統(tǒng)應(yīng)用層函數(shù),通過系統(tǒng)應(yīng)用層函數(shù)來調(diào)用系統(tǒng)內(nèi)核層函數(shù),實現(xiàn)對窗口位置和窗口大小的修改。例如,先調(diào)用系統(tǒng)應(yīng)用層函數(shù)SetWindowPos,SetWindowPos再調(diào)用系統(tǒng)內(nèi)核層函數(shù)NtUserSetWindowPos,通過對NtUserSetWindowPos的調(diào)用實現(xiàn)對窗口位置和窗口大小的修改。
[0057]值得一提的是,上述系統(tǒng)內(nèi)核層函數(shù)和系統(tǒng)應(yīng)用層函數(shù)并不僅限于此,基于不同的操作系統(tǒng),上述系統(tǒng)內(nèi)核層函數(shù)和系統(tǒng)應(yīng)用層函數(shù)可能會有所不同,本申請并不對此進行限定。
[0058]需要說明的是,本實施例具體是由終端中的第一客戶端執(zhí)行的。
[0059]在本實施例中,為了更準確地檢測是否接收到上述調(diào)用請求,步驟SlOl的一種【具體實施方式】包括:通過設(shè)置鉤子函數(shù)的方式,檢測是否接收到針對第一函數(shù)的調(diào)用請求。
[0000]其中,鉤子函數(shù)Hook是Windows消息處理機制的一個平臺,鉤子機制允許應(yīng)用程序截獲處理Window消息或特定事件。另外,Hook實際上是一個處理消息的程序段,通過系統(tǒng)調(diào)用,把它掛入系統(tǒng)。每當調(diào)用請求發(fā)出,在沒有到達系統(tǒng)內(nèi)核層函數(shù)之前,Hook就先捕獲該調(diào)用請求,亦即Hook先得到控制權(quán)。這時Hook既可以對該調(diào)用請求進行加工處理,也可以不作處理而繼續(xù)傳遞該調(diào)用請求,還可以強制結(jié)束即攔截該調(diào)用請求的傳遞。
[0061]鑒于上述情況,第一客戶端可以通過設(shè)置鉤子函數(shù)的方式監(jiān)測針對第一函數(shù)的調(diào)用請求。當監(jiān)測到調(diào)用請求時,在系統(tǒng)內(nèi)核層函數(shù)響應(yīng)該調(diào)用請求之前,第一客戶端先處理該調(diào)用請求。
[0062]步驟S102:判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序,如果是,則執(zhí)行步驟S103。
[0063]當判斷出所述第一程序不屬于惡意程序時,響應(yīng)所述調(diào)用請求,即放行該調(diào)用請求,繼續(xù)修改窗口位置和窗口大小。
[0064]在本實施例中,所有生成所述調(diào)用請求的程序都是本實施例的監(jiān)控對象,該程序可能是惡意程序,也可能不是惡意程序。
[0065]可以理解的是,當接收到所述調(diào)用請求時,根據(jù)所述調(diào)用請求,確定生成該調(diào)用請求的第一程序?qū)儆诂F(xiàn)有技術(shù),其具體過程此處不再贅述。其中,確定第一程序可以是確定第一程序的程序名稱和/或第一程序的程序標識等唯一標識該第一程序的信息。
[0066]在本步驟中,判斷第一程序是否屬于惡意程序可以包括多種實施方式,例如,可以根據(jù)第一程序的標識信息,將其與預(yù)先保存的惡意程序標識信息進行匹配,也可以根據(jù)第一程序的程序文件判斷其是否屬于惡意程序。當然,該判斷過程可以通過其他實施方式來實現(xiàn),本實施例對此不做具體限定。
[0067]步驟S103:攔截所述調(diào)用請求,進而拒絕修改窗口位置和窗口大小。
[0068]由上述內(nèi)容可知,在本實施例中,根據(jù)接收到的針對用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù)的調(diào)用請求,判斷生成該調(diào)用請求的第一程序是否屬于惡意程序,如果是,則攔截該調(diào)用請求。因此,應(yīng)用本發(fā)明實施例,能夠攔截惡意程序?qū)蛻舳说拇翱谖恢煤痛笮〉男薷?。并且,由于系統(tǒng)內(nèi)核層函數(shù)是惡意程序在修改窗口位置和窗口大小時必定會調(diào)用的函數(shù),因此本實施例還能夠提高攔截惡意程序?qū)π薷拇翱谖恢煤痛翱诖笮∵M行修改時的成功率。
[0069]在本發(fā)明的另一實施例中,在圖1所示實施例的基礎(chǔ)上,步驟S102,即判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序,可以包括:
[0070]步驟1:獲得生成所述調(diào)用請求的第一程序的路徑信息。
[0071]在本步驟中,獲得第一程序的路徑信息的方式存在多種,其中一種方式可以包括:獲得第一程序的進程信息,從所述進行信息中獲取第一程序的路徑信息。本實施例對獲得第一程序的路徑信息的方式不做具體限定。
[0072]步驟2:根據(jù)所述路徑信息,獲得所述第一程序的程序文件。
[0073]可以理解的是,根據(jù)路徑信息,獲得第一程序的程序文件屬于現(xiàn)有技術(shù),其具體過程此處不再贅述。
[0074]步驟3:根據(jù)所述程序文件,生成所述第一程序的特征值。
[0075]其中,所述特征值可以包括消息摘要算法值MD5值(Message-Digest Algorithm5)和/或哈希值。MD5算法可以把一個任意長度的字符串變換成一定長度的十六進制數(shù)字串。在本實施例中,MD5算法將整個程序文件當做一個字符串,通過對其進行不可逆的字符串變換操作,得到程序文件的MD5值。不同的程序文件對應(yīng)不同的MD5值。哈希算法hash可以將任意長度的二進制值映射為較短的固定長度的二進制值,該二進制值稱為哈希值。即便兩個程序文件A和B中只有一個字母不同,通過哈希算法得到的A和B的哈希值也會不同??梢岳斫獾氖?,MD5值和哈希值都可以唯一地表征該程序文件。
[0076]當然,本實施例中的特征值還可以是采用其他算法得到的,本實施例對此不做具體限定。
[0077]步驟4:判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配,若匹配,則執(zhí)行步驟5。
[0078]特征值是用于唯一確定第一程序的標識。通過將第一程序的特征值與預(yù)先存儲的惡意程序特征值相匹配,可以確定該第一程序是否為惡意程序。當從預(yù)先存儲的惡意程序特征值中匹配上該特征值時,說明第一程序為惡意程序,當沒有匹配上時,說明第一程序不是惡意程序。
[0079]步驟5:確定所述第一程序為惡意程序。
[0080]由上述內(nèi)容可見,在本實施例中,根據(jù)第一程序的程序文件生成第一程序的特征值,并與預(yù)先存儲的惡意程序特征值匹配,當匹配成功時,確定第一程序為惡意程序,這種確定過程簡單,易實施。
[0081]在本發(fā)明的另一實施例中,在圖1所示實施例的基礎(chǔ)上,所述調(diào)用請求可以攜帶目標窗口的信息。在檢測到所述調(diào)用請求后,即在步驟SlOl之后,步驟S102之前,所示方法還可以包括以下步驟,這些步驟如圖2的流程示意圖所示:
[0082]步驟S104:根據(jù)所述目標窗口的信息,獲得所述目標窗口所屬目標進程。
[0083]在本實施例中,調(diào)用請求攜帶目標窗口的信息,目標窗口的信息可以為目標窗口的窗口句柄,因此,步驟S104的【具體實施方式】可以包括:根據(jù)目標窗口的窗口句柄,獲得目標窗口所屬目標進程。
[0084]其中,獲得的目標進程,可以是目標進程的進程名稱,也可以是目標進程包含的路徑信息,只要是能夠唯一標示該目標進程的信息都是可行的。
[0085]步驟S105:判斷所述目標進程是否與所述第一程序?qū)?yīng)的第一進程相同,若不相同,則執(zhí)行步驟S102。
[0086]若目標進程與第一進程相同,說明第一程序在修改自身的窗口位置和窗口大小,進而說明第一程序不是惡意程序,則響應(yīng)所述調(diào)用請求,進而修改窗口位置和窗口大小。
[0087]其中,所述第一程序為生成所述調(diào)用請求的程序。
[0088]具體的,本步驟中,可以首先根據(jù)第一程序確定第一程序?qū)?yīng)的第一進程,然后判斷目標進程是否與第一進程相同,如果不相同,則執(zhí)行步驟S102。其中,根據(jù)第一程序確定第一程序的第一進程,可以包括:根據(jù)第一程序的程序名稱,從系統(tǒng)進程列表中確定第一進程。當然,根據(jù)第一程序確定第一進程還可以包括其他實施方式,本實施例對此不做具體限定。
[0089]在一個例子中,獲得的目標進程為d:\windows\system32\QQ.exe,如果第一進程為d: \windows\system32\sooddl.exe,貝Ij可以確定目標進程與第一進程不相同;如果第一進程為d: \windows\system32\QQ.exe,則可以確定目標進程與第一進程相同。
[0090]由上述內(nèi)容可見,本實施例中,在判斷第一程序是否屬于惡意程序之前,首先判斷目標進程與第一進程是否相同,如果相同,說明目標窗口所屬第二客戶端在修改自身窗口位置和窗口大小,即能夠確定第一程序不是惡意程序,此時不需要執(zhí)行判斷第一程序是否屬于惡意程序的步驟;如果不相同,則執(zhí)行判斷第一程序是否屬于惡意程序的步驟。也就是說,本實施例中,在判斷出目標進程與第一進程不相同時,才執(zhí)行判斷第一程序是否屬于惡意程序的步驟,因此能夠提高攔截效率。
[0091]圖3為本發(fā)明實施例提供的信息攔截裝置的一種結(jié)構(gòu)示意圖,與圖1所示方法實施例相對應(yīng),所述裝置包括檢測模塊301、第一判斷模塊302和攔截模塊303。
[0092]其中,檢測模塊301,用于檢測是否接收到針對第一函數(shù)的調(diào)用請求,其中,所述第一函數(shù)為用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù);
[0093]第一判斷模塊302,用于當接收到所述調(diào)用請求時,判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序;
[0094]攔截模塊303,用于當判斷出所述第一程序?qū)儆趷阂獬绦驎r,攔截所述調(diào)用請求,進而拒絕修改窗口位置和窗口大小。
[0095]在本發(fā)明的另一實施例中,在圖3所述實施例的基礎(chǔ)上,所述檢測模塊301具體可以用于:
[0096]通過設(shè)置鉤子函數(shù)的方式,檢測是否接收到針對第一函數(shù)的調(diào)用請求。
[0097]在本發(fā)明的另一實施例中,在圖3所述實施例的基礎(chǔ)上,所述裝置還可以包括響應(yīng)模塊(圖中未示出);
[0098]所述響應(yīng)模塊,用于當判斷出所述第一程序不屬于惡意程序時,響應(yīng)所述調(diào)用請求。
[0099]在本發(fā)明的另一實施例中,在圖3所述實施例的基礎(chǔ)上,所述第一判斷模塊具體包括:(圖中未示出)
[0100]第一獲得子模塊,用于獲得生成所述調(diào)用請求的第一程序的路徑信息;
[0101]第二獲得子模塊,用于根據(jù)所述路徑信息,獲得所述第一程序的程序文件;
[0102]生成子模塊,用于根據(jù)所述程序文件,生成所述第一程序的特征值;
[0103]判斷子模塊,用于判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配;
[0104]確定子模塊,用于當所述特征值與預(yù)先存儲的惡意程序特征值匹配時,確定所述第一程序為惡意程序。
[0105]在本發(fā)明的另一實施例中,在圖3所述實施例的基礎(chǔ)上,調(diào)用請求攜帶目標窗口的信息,所述裝置還可以包括第二判斷模塊304,該模塊可以如圖4所示。圖4所示裝置實施例與圖2所示方法實施例相對應(yīng)。
[0106]其中,第二判斷模塊304,用于在檢測到所述調(diào)用請求后,根據(jù)所述目標窗口的信息,獲得所述目標窗口所屬目標進程;判斷所述目標進程是否與所述第一程序?qū)?yīng)的第一進程相同,若不相同,則觸發(fā)第一判斷模塊302。
[0107]由于上述裝置實施例是基于方法實施例得到的,與該方法具有相同的技術(shù)效果,因此裝置實施例的技術(shù)效果在此不再贅述。
[0108]對于裝置實施例而言,由于其基本相似于方法實施例,所以描述得比較簡單,相關(guān)之處參見方法實施例的部分說明即可。
[0109]需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且,術(shù)語“包括”、“包含”或者任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
[0110]本領(lǐng)域普通技術(shù)人員可以理解,上述實施方式中的全部或部分步驟是能夠通過程序指令相關(guān)的硬件來完成的,所述的程序可以存儲于計算機可讀取存儲介質(zhì)中。這里所稱存儲介質(zhì),是指ROM/RAM、磁碟、光盤等。
[0111]以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進等,均包含在本發(fā)明的保護范圍內(nèi)。
【主權(quán)項】
1.一種信息攔截方法,其特征在于,所述方法包括: 檢測是否接收到針對第一函數(shù)的調(diào)用請求,其中,所述第一函數(shù)為用于改變窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù); 若接收到,判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序; 如果是,則攔截所述調(diào)用請求,進而拒絕修改窗口位置和窗口大小。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 當判斷出所述第一程序不屬于惡意程序時,響應(yīng)所述調(diào)用請求。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述調(diào)用請求攜帶目標窗口的信息; 在檢測到所述調(diào)用請求后,還包括: 根據(jù)所述目標窗口的信息,獲得所述目標窗口所屬目標進程; 判斷所述目標進程是否與所述第一程序?qū)?yīng)的第一進程相同; 若不相同,則執(zhí)行所述判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序的步驟。4.根據(jù)權(quán)利要求1-3中任一項所述的方法,其特征在于,所述判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序,包括: 獲得生成所述調(diào)用請求的第一程序的路徑信息; 根據(jù)所述路徑信息,獲得所述第一程序的程序文件; 根據(jù)所述程序文件,生成所述第一程序的特征值; 判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配; 若匹配,則確定所述第一程序為惡意程序。5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述特征值包括消息摘要算法值MD5值和/或哈希值。6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述檢測是否接收到針對第一函數(shù)的調(diào)用請求,包括: 通過設(shè)置鉤子函數(shù)的方式,檢測是否接收到針對第一函數(shù)的調(diào)用請求。7.一種信息攔截裝置,其特征在于,所述裝置包括: 檢測模塊,用于檢測是否接收到針對第一函數(shù)的調(diào)用請求,其中,所述第一函數(shù)為用于修改窗口位置和窗口大小的系統(tǒng)內(nèi)核層函數(shù); 第一判斷模塊,用于當接收到所述調(diào)用請求時,判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序; 攔截模塊,用于當判斷出所述第一程序?qū)儆趷阂獬绦驎r,攔截所述調(diào)用請求,進而拒絕修改窗口位置和窗口大小。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述裝置還包括響應(yīng)模塊; 所述響應(yīng)模塊,用于當判斷出所述第一程序不屬于惡意程序時,響應(yīng)所述調(diào)用請求。9.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述調(diào)用請求攜帶目標窗口的信息; 所述裝置還包括第二判斷模塊,具體用于: 在檢測到所述調(diào)用請求后,根據(jù)所述目標窗口的信息,獲得所述目標窗口所屬目標進程; 判斷所述目標進程是否與所述第一程序?qū)?yīng)的第一進程相同; 若不相同,則觸發(fā)所述第一判斷模塊。10.根據(jù)權(quán)利要求7-9中任一項所述的裝置,其特征在于,所述第一判斷模塊包括: 第一獲得子模塊,用于獲得生成所述調(diào)用請求的第一程序的路徑信息; 第二獲得子模塊,用于根據(jù)所述路徑信息,獲得所述第一程序的程序文件; 生成子模塊,用于根據(jù)所述程序文件,生成所述第一程序的特征值; 判斷子模塊,用于判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配; 確定子模塊,用于當所述特征值與預(yù)先存儲的惡意程序特征值匹配時,確定所述第一程序為惡意程序。
【文檔編號】G06F21/56GK106096402SQ201610458108
【公開日】2016年11月9日
【申請日】2016年6月22日
【發(fā)明人】楊峰
【申請人】北京金山安全軟件有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
东平县| 陆川县| 页游| 松溪县| 邓州市| 城步| 兴安县| 体育| 渝北区| 甘南县| 辉县市| 上栗县| 沈丘县| 博爱县| 罗田县| 华池县| 轮台县| 清河县| 九寨沟县| 青铜峡市| 五河县| 阆中市| 玉山县| 会宁县| 泾川县| 乐亭县| 石台县| 浠水县| 孙吴县| 陆良县| 武平县| 启东市| 景德镇市| 武汉市| 南江县| 五河县| 大石桥市| 凤庆县| 天全县| 淮滨县| 昆山市|