本申请公开了一种脚本监控方法和装置,其中,该方法包括:获取组件在运行脚本的过程中产生的监控信息,其中,该组件是操作系统中的系统组件;根据该监控信息对该脚本进行监控。通过本申请,解决了采用明文进行病毒特征匹配的方式易受到干扰而导致脚本的监控效果不佳的问题,加强了对脚本的监控。
【技术实现步骤摘要】
【专利摘要】本申请公开了一种脚本监控方法和装置,其中,该方法包括:获取组件在运行脚本的过程中产生的监控信息,其中,该组件是操作系统中的系统组件;根据该监控信息对该脚本进行监控。通过本申请,解决了采用明文进行病毒特征匹配的方式易受到干扰而导致脚本的监控效果不佳的问题,加强了对脚本的监控。【专利说明】脚本监控方法和装置
本专利技术涉及计算机安全领域,具体而言,涉及脚本监控方法和装置。
技术介绍
脚本文件,一般不需要进行编译成二进制文件,而是由操作系统中所带有的程序进行执行,例如,微软公司可视化基础程式脚本版(Microsoft Visual Basic ScriptEdit1n,简称为VBScript,也简写为VBS),该脚本是一种基于可视化基础程式语言(Visual Basic)的脚本语言。该VBS脚本是不需要编译成二进制文件则可直接由宿主(例如,操作系统中的wscript.exe)解释源代码并执行。 对于脚本文件,在相关技术中,杀毒软件一般是通过特征信息来扫描脚本文件的明文,如果匹配到了特征信息,就提示用户是病毒。然而对于加密的脚本,若直接明文匹配,是匹配不到任何东西的。有些大厂商的杀毒软件,会使用他们自行研发的脚本虚拟机动态地对加密的脚本进行解密,并使用解密之后的脚本的明文匹配病毒库里的特征。专利技术人在研究过程中发现,由于该匹配过程也是在宿主对该脚本进行实际的运行处理之前进行的,其仍然是采用明文匹配的方式,因此这种匹配的结果依赖于解密的成功程度。如果该加密的脚本中还包括了一些干扰的措施,那么该匹配结果就可能达不到预期的效果。 针对相关技术中采用明文进行病毒特征匹配的方式易受到干扰而导致脚本的监控效果不佳的问题,目前尚未提出有效的解决方案。
技术实现思路
本申请提供了一种脚本监控方法和装置,以至少解决采用明文进行病毒特征匹配的方式易受到干扰而导致脚本的监控效果不佳的问题。 根据本申请的一个方面,提供了一种脚本监控方法,包括:获取组件在运行脚本的过程中产生的监控信息,其中,所述组件是操作系统中的系统组件;根据所述监控信息对所述脚本进行监控。 优选地,获取所述组件在运行所述脚本的过程中产生的所述监控信息包括:挂钩所述组件中的编译函数或者解析函数;获取所述组件执行所述编译函数或者所述解析函数的过程中产生的所述监控信息。 优选地,在所述脚本为加密脚本的情况下,挂钩所述组件中的编译函数;其中,所述监控信息是所述编译函数对所述脚本进行解密得到的所述脚本的明文。 优选地,在挂钩所述组件中的所述解析函数的情况下,所述监控信息是所述解析函数对所述脚本进行语法分析得到的,所述监控信息包括:所述组件在执行所述脚本时调用的一个或多个所述操作系统中的系统命令。 优选地,在挂钩所述组件中的所述编译函数或者所述解析函数之前,所述方法还包括:判断所述脚本的类型;根据所述脚本的类型确定挂钩所述编译函数或者挂钩所述解析函数。 优选地,根据所述脚本的类型确定挂钩所述编译函数或者挂钩所述解析函数包括:在所述脚本的类型是微软公司可视化基础程式VBS脚本的情况下,确定挂钩所述编译函数;在所述脚本的类型是批处理脚本的情况下,确定挂钩所述编译函数。 根据本申请的另一方面,还提供了一种脚本监控装置,包括:获取模块,用于获取组件在运行脚本的过程中产生的监控信息,其中,所述组件是操作系统中的系统组件;监控模块,用于根据所述监控信息对所述脚本进行监控。 优选地,所述获取模块包括:挂钩子单元,用于挂钩所述组件中的编译函数或者解析函数;获取子单元,用于获取所述组件执行所述编译函数或者所述解析函数的过程中产生的所述监控信息。 优选地,所述挂钩子单元,用于在所述脚本为加密脚本的情况下挂钩所述组件中的编译函数;其中,所述监控信息是所述编译函数对所述脚本进行解密得到的所述脚本的明文。 优选地,在挂钩所述组件中的所述解析函数的情况下,所述监控信息是所述解析函数对所述脚本进行语法分析得到的,所述监控信息包括:所述组件在执行所述脚本时调用的一个或多个所述操作系统中的系统命令。 优选地,所述装置还包括:判断模块,用于判断所述脚本的类型;确定模块,用于根据所述脚本的类型确定挂钩所述编译函数或者挂钩所述解析函数。 优选地,所述确定模块包括:第一确定子单元,用于在所述脚本的类型是微软公司可视化基础程式VBS脚本的情况下,确定挂钩所述编译函数;第二确定子单元,用于在所述脚本的类型是批处理脚本的情况下,确定挂钩所述编译函数。 通过本申请,采用获取系统组件在运行脚本的过程中产生的监控信息,根据该监控信息对该脚本进行监控。解决了采用明文进行病毒特征匹配的方式易受到干扰而导致脚本的监控效果不佳的问题,加强了对脚本的监控。 【专利附图】【附图说明】 此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中: 图1是根据本申请实施例的脚本监控方法的流程图; 图2是根据本申请实施例的脚本监控装置的结构框图; 图3是根据本申请实施例的脚本监控装置的优选结构框图一; 图4是根据本申请实施例的脚本监控装置的优选结构框图二 ; 图5是根据本申请实施例的脚本监控装置的优选结构框图三; 图6是根据本申请优选实施例的VBS脚本监控的流程图; 图7是根据本申请优选实施例的BAT脚本监控的流程图。 【具体实施方式】 需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。 需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。 以下实施例可以应用到计算机中,例如应用到PC中。也可以应用到目前采用了智能操作系统中的移动终端中,并且并不限于此。对于计算机或移动终端的操作系统并没有特殊要求,只要支持脚本运行即可。例如,以下实施例可以应用到Windows操作系统中。 本实施例提供了一种脚本监控方法,图1是根据本申请实施例的脚本监控方法的流程图,如图1所示,包括如下的步骤: 步骤S102,获取组件在运行脚本的过程中产生的监控信息,其中,该组件是操作系统中的系统组件; 步骤S104,根据该监控信息对该脚本进行监控。 操作系统中的系统组件在运行脚本时,会对该脚本进行处理。在该处理过程中,会得到能够用来对该脚本进行监控的监控信息,由于该监控信息是系统组件在对脚本进行处理的这一动态的过程得到,与相关技术中静态比对脚本明文的方式相比,一方面,提供了一种新的脚本监控方式,另一方面,这样得到的监控信息更不易受到脚本中所采用的干扰措施的影响,从而在一定程度上能够提高监控效果。 系统组件在运行脚本中可能会调用以下至少之一:底层的命令、函数、其他关联程序。可以将这些调用信息输出并作为监控信息,或者将系统组件在执行这些命令、函数时所产生的信息作为监控信息,就能够实现对脚本的监控,相比于相关技术中监控的方式,提升了监控的效果。 获取这些监控信息的方式可能有多本文档来自技高网...
【技术保护点】
一种脚本监控方法,其特征在于包括:获取组件在运行脚本的过程中产生的监控信息,其中,所述组件是操作系统中的系统组件;根据所述监控信息对所述脚本进行监控。
【技术特征摘要】
【专利技术属性】
技术研发人员:苏海峰,白彦庚,杨景杰,邹义鹏,张楠,陈勇,
申请(专利权)人:贝壳网际北京安全技术有限公司,北京金山网络科技有限公司,北京金山安全软件有限公司,珠海市君天电子科技有限公司,可牛网络技术北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。