欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

識別訪問網絡的模塊的方法及裝置的制作方法

文檔序號:7965438閱讀:158來源:國知局
專利名稱:識別訪問網絡的模塊的方法及裝置的制作方法
技術領域
本發(fā)明涉及一種用于識別訪問網絡的進程的方法,特別涉及一種能夠具體識別出進程中訪問網絡的模塊的方法和裝置,以及采用這種裝置的計算機系統(tǒng)。
背景技術
隨著網絡技術的發(fā)展,安全問題逐步成為人們關注的焦點。目前,不僅形形色色的病毒威脅著用戶計算機系統(tǒng)的安全,那些能夠通過訪問網絡盜取用戶信息、復制用戶文件,甚至破壞用戶計算機系統(tǒng)的“木馬”程序更讓廣大計算機用戶感到防不勝防。
這種攻擊性極強的“木馬”程序實質上是一種按客戶/服務模式運行的遠程控制工具,它可以在用戶的計算機中自動裝載服務端程序,并根據遠程控制端(客戶端)程序的請求在用戶不知情的情況下自動運行相應的程序,例如在用戶的計算機上上傳、下載文件,偷窺用戶的私人文件,竊取各種密碼及口令信息等等。
“木馬”程序之所以難以防范是因為它通常采用極其狡猾的手段來隱蔽自己,使普通用戶在中了“木馬”后難以發(fā)覺。例如,“木馬”程序可以通過修改文件屬性、文件名或修改端口等方法藏匿起來。此外例如JavaScript、VBScript、ActiveX、XLM等等也都可以成為“木馬”程序的傳播介質。現(xiàn)今,針對“木馬”程序的這些常規(guī)的隱身手段,現(xiàn)有的殺毒軟件采用了相應的應對方法,從而可在一定程度上清除“木馬”程序。
然而,隨著病毒技術的更新,除了這些常用的隱身技術外,近期又出現(xiàn)了一種更新、更隱蔽的“木馬”程序加載方法。這種新的“木馬”程序通過鉤子或者遠程線程注入等方式將其自身的模塊注入到某一正常程序的內存模塊組中,變成該程序的內存模塊的組成部分。甚至,有些“木馬”程序還用自身的模塊替換正常程序的模塊,從而實現(xiàn)加載。
這種新的“木馬”隱身技術使得“木馬”程序在加載后不增加任何新的文件,不需要打開新的端口,不啟動新的進程。也就是說,在正常運行時“木馬”程序幾乎沒有任何表征癥狀,因而使用常規(guī)的查尋“木馬”程序的方法根本監(jiān)測不到它。但是,一旦“木馬”程序的控制端向服務端發(fā)出特定的信息后,隱藏的程序就立即開始運行,從而侵襲用戶的計算機系統(tǒng)。
因此,目前需要提出一種新的防范“木馬”侵襲的方法,以確保能夠及時發(fā)現(xiàn)“木馬”程序,特別是能夠發(fā)現(xiàn)采用這種新的隱身技術的“木馬”程序,從而避免其破壞或者控制用戶的計算機系統(tǒng)。

發(fā)明內容
本發(fā)明的一個目的在于提供一種能夠智能地識別出訪問網絡的模塊是否為“木馬”程序注入模塊的方法,從而為用戶及時發(fā)現(xiàn)“木馬”程序提供可能。
為了實現(xiàn)上述目的,本發(fā)明提出了一種識別訪問網絡的模塊的方法,該方法包括以下步驟攔截一個進程中的一個線程訪問網絡的動作;通過根據所攔截的所述線程的堆棧信息追溯所述堆棧,獲取壓入所述堆棧的指令地址;根據所述指令地址,搜索與所述訪問網絡的動作相關的模塊;根據搜索出的所述模塊的特征,判斷所述模塊是否可信。
此外,本發(fā)明還提出了用于實現(xiàn)上述方法的裝置,以及包括該裝置的計算機系統(tǒng)。
本發(fā)明提出的方法能夠查找出訪問網絡的動作是由哪些模塊順序調用而啟動的,并且可以識別出這些參與該訪問網絡動作的模塊是可信的正常程序的模塊還是“木馬”程序的注入模塊,從而為及時發(fā)現(xiàn)并阻止“木馬”程序侵襲創(chuàng)造了可能。
通過以下結合附圖的說明及權利要求書的內容,并且隨著對本發(fā)明的更全面了解,本發(fā)明的上述及其它目的和效果將變得更加清楚和易于理解。


以下將結合附圖和具體實施例對本發(fā)明進行詳細描述,其中圖1示出本發(fā)明實施例中用于識別訪問網絡的模塊的方法的流程圖;圖2示出根據本發(fā)明一個實施例的用于實現(xiàn)本發(fā)明提出的方法的裝置的結構框圖。
具體實施例方式
盡管“木馬”程序種類繁多且千差萬別,但所有“木馬”程序都具有一個共同的特點,那就是通過網絡向外(控制端)發(fā)送信息。鑒于這一特點,本發(fā)明提出在應用程序訪問網絡的時候,攔截訪問網絡的動作,以獲得所攔截的線程的堆棧;然后通過追溯堆棧搜索出該訪問網絡的動作是由哪些模塊發(fā)出的;最后根據這些模塊的特征,判斷出這些模塊是可信的程序模塊還是“木馬”的注入模塊。這樣,按照本發(fā)明提出的方法,可在“木馬”程序通過網絡向外發(fā)送信息之前,發(fā)現(xiàn)“木馬”程序并阻止其侵害行為。
下面將結合附圖詳細描述本發(fā)明提出的上述思想的具體實施過程。
圖1是根據本發(fā)明實施例的用于識別訪問網絡的模塊的方法流程圖。如圖1所示,本發(fā)明提出的方法可包括攔截訪問網絡動作,追溯堆棧并搜索訪問網絡的模塊,以及識別搜索出的模塊三大部分。以下將逐一詳細描述這三個部分的具體操作。
攔截訪問網絡的動作如圖1所示,當一個應用程序的進程要進行某些網絡訪問活動的時候,該進程中的某一線程會發(fā)出訪問網絡的動作(步驟S110)。根據不同的協(xié)議,該訪問網絡的動作可以有多種可能,例如,按照傳輸控制協(xié)議(TCP),該動作為開始監(jiān)聽來自對方TCP端口的連接請求,即開始Listen;而按照用戶數據報協(xié)議(UDP),該動作則為開始創(chuàng)建地址對象等。
當線程發(fā)出該訪問網絡的動作時,防火墻軟件可以攔截到這些事件(步驟S120)。隨后,根據所攔截到的事件找到發(fā)出該訪問網絡動作的線程,并由此獲得該線程的堆棧信息,如基址指針寄存器(EBP)的值等(步驟S130)。
當然,還可以采用其他方式獲得堆棧信息,例如在驅動中直接查找堆棧的位置等。這些方法對于本領域技術人員而言是顯而易見的,因而此處略去具體描述。
追溯堆棧由于每次函數調用時都會將當前的寄存器EBP和EIP(指令指針,用于指向內存中待執(zhí)行的指令地址)的值壓入堆棧,因而總可以由每次調用時壓入堆棧的當前調用所使用的堆棧區(qū)的基地址(EBP),追溯整個堆棧,從而獲得每次調用時壓入堆棧的指令地址——EIP(步驟S210)。
繼而,在步驟S220中,將追溯堆棧過程中獲得的每次調用的EIP值與進程中每個模塊的開始地址和結束地址進行比較。如果該EIP值在某個模塊的地址范圍內,則表示找到了與該訪問網絡的動作相關的模塊。否則,表示沒有找到相應的模塊且不必再繼續(xù)尋找。如果在步驟S220中找到了對應的模塊,則將搜索到的這個模塊加入到與該訪問網絡的動作相關的模塊鏈表中(步驟S230)。隨后,繼續(xù)讀取堆棧(步驟S240)以得到前一次調用時的EBP和EIP(步驟S210),并重復執(zhí)行步驟S220至S240,從而找到當前線程中調用的所有模塊。
在所有與該訪問網絡動作相關的模塊均已找到后,結束追溯堆棧。此時,流程轉至步驟S310,繼續(xù)判斷搜索出的模塊鏈表中的每個模塊是可信的程序模塊,還是“木馬”程序注入的模塊。
模塊識別如圖1所示,在追溯堆棧而找到參與這次訪問網絡動作的所有模塊之后,根據模塊的特征,識別模塊鏈表中的模塊是否可信。在本發(fā)明中,模塊的特征識別可以根據模塊的不同屬性采用多種方式來實現(xiàn),以下示例性地給出模塊識別的方法,但本發(fā)明并不限于此。
例如,可根據模塊的標識信息,如公司名稱或公司簽名(數字簽名)來識別模塊是否可信。
通常,可信的模塊一般都在模塊中包含有公司名稱。如果某個模塊沒有公司名稱標識,那么該模塊就可被認定為一個不可信的模塊,換言之,其可能為“木馬”程序注入的模塊。
如果模塊有公司簽名(如數字簽名),則可以根據該模塊的簽名和該應用程序的簽名是不是為同一個公司的簽名來判斷該模塊是否可信。例如,對于微軟的系統(tǒng)模塊,一般會有微軟公司的簽名,這是公知的。如果模塊中的公司簽名和應用程序的公司簽名不同,而這個模塊又沒有微軟的簽名,那么這個模塊就很可能是一個不可信的模塊。
另外,為了使用戶使用方便,本發(fā)明提出的方法還可包括建立一個具備自學習功能的知識庫。當按照本發(fā)明而設計的程序在某一系統(tǒng)中第一次運行時,該知識庫可自動學習系統(tǒng)中正常的模塊,并將該模塊以及該模塊的標識信息,如公司簽名等記錄到知識庫中,供以后的查詢使用。當然,也可在運行前預裝一個已知的知識庫,該知識庫包含了已知的可信模塊,以及已知公司的簽名等,例如包含微軟認證的程序模塊等,以便于用戶使用。用戶在運行按照本發(fā)明設計的程序時,程序的自學習功能可逐步向知識庫中加入可信的模塊信息。當具有這樣一個知識庫后,在識別模塊是否可信的步驟中,將搜索出的模塊的標識信息(如模塊名稱或公司簽名)與知識庫中的可信模塊的信息進行比較,從而識別出該模塊是否可信。
此外,針對采用替換正常模塊的方式進行注入的“木馬”程序,本發(fā)明還提出在所述知識庫的自學習過程中計算可信模塊的特征值,例如計算可信模塊的一段特征代碼或行為特征(如循環(huán)次數等)等。這樣,在下一次檢測到該可信模塊時,可將檢測到的模塊的特征值與知識庫中的該模塊的特征值進行比較,如果比較結果表示這兩個模塊的特征值不同,則此模塊為不可信的模塊,否則表示該模塊可信。采用這種方法可以防止可信的模塊被“木馬”程序模塊替換。
按照以上方法可識別出訪問網絡的模塊是否可信。根據識別的結果,允許可信模塊訪問網絡(步驟S320),而對于不可信的模塊,只要每檢測到一個不可信模塊,就向用戶發(fā)出警告(步驟S410)。具體警告方式如下在應用程序訪問網絡的時候,防火墻提示用戶;同時,將參與網絡訪問的模塊列舉出來,對于不可信的模塊,使用紅色引起用戶注意,以防止“木馬”程序通過網絡向外傳播信息。如果用戶允許某個不可信模塊訪問網絡,則將該模塊信息記入知識庫中。這樣,采用本發(fā)明提出的方法,用戶就有可能在“木馬”程序實施侵襲前及時發(fā)現(xiàn)并阻止其運行。
以上結合附圖描述了本發(fā)明提出的識別訪問網絡的模塊的方法。本發(fā)明所提出的方法可以由軟件來實現(xiàn),也可以根據需要由硬件來實現(xiàn),或者由軟硬件相結合的方式來實現(xiàn)。
下面將結合附圖2簡要描述一種用于識別訪問網絡的模塊的裝置的結構。如圖2所示,本發(fā)明提出的識別訪問網絡的模塊的裝置100包括攔截單元110,追溯單元120和識別單元130,其中追溯單元120具體包括堆?;厮輪卧?21、指令地址獲取單元123以及搜索單元125。
在圖2中,攔截單元110用于攔截一個進程中的一個線程訪問網絡的動作,并獲得所攔截的線程的堆棧信息。在追溯單元120中,堆?;厮輪卧?21根據每次調用時壓入堆棧的當前調用所使用的堆棧區(qū)的基地址追溯堆棧。指令獲取單元123用于獲得每次調用時壓入所述堆棧的EIP。繼而,搜索單元125將獲得的每次調用壓入堆棧的EIP與所述進程中所有模塊的起始和終止地址進行比較,以搜索出對應的模塊。最后,識別單元130根據搜索出的所述模塊的特征,判斷所述模塊是否可信。
圖2僅僅示出了本發(fā)明提出的識別訪問網絡的模塊的裝置的一種可能結構。然而,本領域技術人員應該理解,本發(fā)明提出的用于實現(xiàn)本發(fā)明方法的具體結構并不限于此,還可以采用多種其他結構來實現(xiàn)。
有益效果以上結合附圖詳細描述了本發(fā)明。本發(fā)明提出的識別訪問網絡的模塊的方法,通過追溯堆棧而搜索到參與網絡訪問的所有模塊,從而能夠將訪問網絡的動作定位到模塊級。繼而,該方法通過對搜索出的所有模塊的可信性的判別,識別出這些訪問網絡的模塊是正常程序還是“木馬”程序。因而,本發(fā)明提出的方法可以攔截通過模塊注入方式隱身的“木馬”程序。
另外,由于本發(fā)明提出的方法首先是攔截訪問網絡的動作并獲得參與網絡訪問的所有模塊,然后根據參與網絡訪問的模塊特征識別其是否可信,因而可以幫助用戶發(fā)現(xiàn)新的、未知的“木馬”程序。
此外,本發(fā)明提出的方法還包括建立具有自學習功能的知識庫,從而能夠自動更新可信模塊的信息,便于用戶使用。
再者,本發(fā)明提出的方法還計算知識庫中可信模塊的特征值,包括特征代碼或行為特征,因而能夠根據模塊的特征值識別原可信模塊是否被“木馬”程序的模塊所替代。
因此,采用本發(fā)明提出的方法,用戶能夠及時發(fā)現(xiàn)注入正常進程的已知或未知“木馬”程序的模塊,為用戶使用計算機系統(tǒng)增加了一道安全屏障。
本領域技術人員應當理解,對上述本發(fā)明所公開的用于識別訪問網絡的模塊的方法和裝置,還可以在不脫離本發(fā)明內容的基礎上做出各種改進。因此,本發(fā)明的保護范圍應當由所附的權利要求書的內容確定。
權利要求
1.一種用于識別訪問網絡的模塊的方法,包括a)攔截一個進程中的一個線程訪問網絡的動作,以獲得所攔截的線程的堆棧信息;b)根據所述線程的堆棧信息追溯所述堆棧,以根據壓入所述堆棧的指令地址,搜索與所述訪問網絡的動作相關的模塊;c)根據搜索出的所述模塊的特征,判斷所述模塊是否可信。
2.如權利要求1所述的方法,其中所述步驟b還包括將壓入所述堆棧的所述指令地址與所述進程中所有模塊的起始和終止地址進行比較,若所述指令地址落入所述進程中某個模塊的地址范圍,則該模塊為搜索出的與所述訪問網絡的動作相關的所述模塊;否則表示已經搜索出所有與所述訪問網絡的動作相關的所述模塊。
3.如權利要求1或2中所述的方法,其中所述步驟c包括所述模塊的特征包括所述模塊的標識特征。
4.如權利要求3所述的方法,其中所述模塊的標識特征包括所述模塊的公司名稱,或所述模塊的公司簽名。
5.如權利要求3所述的方法,其中所述步驟c包括若搜索出的所述模塊的標識特征不存在,或者所述標識特征不是公知的標識特征且所述模塊的標識特征與所述進程執(zhí)行的應用程序的標識特征不同,則判斷所述模塊不可信。
6.如權利要求3所述的方法,其中所述步驟c還包括建立一個包含可信模塊及其標識特征的知識庫;且根據該知識庫中的可信模塊的標識特征和搜索出的所述模塊的標識特征,判斷搜索出的所述模塊是否可信。
7.如權利要求6所述的方法,其中所述知識庫是通過自學功能建立的。
8.如權利要求6所述的方法,其中所述知識庫還包括可信模塊的特征值,并根據搜索出的所述模塊的特征值與所述可信模塊的特征值,判斷搜索出的所述模塊是否可信,其中該特征值用于標識可信模塊本身的屬性。
9.如權利要求6或8所述的方法,其中在用戶許可所述不可信模塊訪問網絡后,將所述不可信模塊特征作為可信模塊特征記錄在知識庫中。
10.一種用于識別訪問網絡的模塊的裝置,包括攔截單元,用于攔截一個進程中的一個線程訪問網絡的動作,并獲得所攔截的線程的堆棧信息;追溯單元,用于根據所述攔截單元獲得的所述線程的堆棧信息追溯所述堆棧,以根據壓入所述堆棧的指令地址,搜索與所述訪問網絡的動作相關的模塊;識別單元,用于根據搜索出的所述模塊的特征,判斷所述模塊是否可信。
11.如權利要求10所述的裝置,其中所述追溯單元包括堆棧回溯單元,用于基于每次調用壓入堆棧的當前調用所使用的堆棧區(qū)的基地址追溯所述堆棧;指令地址獲取單元,用于基于所述堆棧回溯單元獲得的堆棧區(qū)的基地址,獲得每次調用時壓入所述堆棧的所述指令地址。
12.如權利要求11所述的裝置,其中所述追溯單元還包括搜索單元,用于將所述指令地址與所述進程中所有模塊的起始和終止地址進行比較,若所述指令地址落入所述進程中某個模塊的地址范圍,則該模塊為搜索出的與所述訪問網絡的動作相關的所述模塊。
13.如權利要求10-12中任一所述的裝置,其中所述追溯單元還包括一個包含可信模塊及其標識特征的知識庫;且所述識別單元,根據該知識庫中的可信模塊的標識特征和搜索出的所述模塊的標識特征,判斷搜索出的所述模塊是否可信。
14.如權利要求13所述的裝置,其中所述知識庫還包括可信模塊的特征值,其中該特征值用于標識可信模塊本身的屬性,且所述識別單元根據搜索出的所述模塊的特征值與所述可信模塊的特征值,判斷搜索出的所述模塊是否可信。
15.一種計算機系統(tǒng),包括如權利要求10-14中任一所述的用于識別訪問網絡的模塊的裝置。
全文摘要
本發(fā)明提出一種通過追溯堆棧來智能地確定進程中訪問網絡時所調用的模塊序列的方法。該方法包括,當應用程序訪問網絡的時候,攔截訪問網絡的動作,以獲得所攔截的線程的堆棧信息;根據該堆棧信息,追溯該堆棧,以根據壓入堆棧的指令地址查找出訪問網絡的動作是由哪些模塊調用序列發(fā)出的,從而確定是哪些模塊要訪問網絡;然后根據模塊的特征自動識別出不可信的模塊,以向用戶發(fā)出警告。
文檔編號H04L9/00GK1980237SQ20061010597
公開日2007年6月13日 申請日期2006年7月21日 優(yōu)先權日2005年12月9日
發(fā)明者羅學軍 申請人:北京瑞星國際軟件有限公司
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
衢州市| 木兰县| 盐城市| 华蓥市| 四川省| 镇平县| 安西县| 平乐县| 定陶县| 广德县| 张家界市| 固安县| 康定县| 峨眉山市| 都昌县| 南华县| 黑山县| 新沂市| 松滋市| 个旧市| 玛纳斯县| 宁海县| 招远市| 连城县| 扎鲁特旗| 普定县| 富川| 清流县| 陇西县| 塔河县| 丹巴县| 泰和县| 汝南县| 威宁| 常熟市| 红桥区| 怀宁县| 兴隆县| 吐鲁番市| 大英县| 政和县|