本发明专利技术实施例提供了一种信息拦截方法及装置。所述方法包括:检测是否接收到针对第一函数的调用请求,其中,第一函数为用于修改窗口位置和窗口大小的系统内核层函数;若接收到,判断生成所述调用请求的第一程序是否属于恶意程序;如果是,则拦截所述调用请求,进而拒绝改变窗口位置和窗口大小。应用本实施例,能够拦截恶意程序对客户端的窗口位置和大小的修改。
【技术实现步骤摘要】
本专利技术涉及计算机
,特别涉及一种信息拦截方法及装置。
技术介绍
终端系统运行一个客户端时,通常将该客户端的窗口显示在终端屏幕上。用户可以改变该客户端的窗口位置和大小。随着计算机技术的发展,木马、病毒等恶意程序层出不穷。一些恶意程序通常会利用系统提供的函数恶意修改客户端的窗口位置和大小,例如将客户端的窗口位置修改为终端屏幕之外,或者将窗口大小修改为0等,使客户端窗口无法正常显示在终端屏幕上,从而破坏用户的终端系统环境。现有技术中,常常无法拦截这些恶意程序对客户端的窗口位置和大小的修改。
技术实现思路
本专利技术实施例的目的在于提供了一种信息拦截方法及装置,能够拦截恶意程序对客户端的窗口位置和大小的修改。为了达到上述目的,本专利技术公开了一种信息拦截方法,所述方法包括:检测是否接收到针对第一函数的调用请求,其中,所述第一函数为用于改变窗口位置和窗口大小的系统内核层函数;若接收到,判断生成所述调用请求的第一程序是否属于恶意程序;如果是,则拦截所述调用请求,进而拒绝修改窗口位置和窗口大小。较佳的,所述方法还包括:当判断出所述第一程序不属于恶意程序时,响应所述调用请求。较佳的,所述调用请求携带目标窗口的信息;在检测到所述调用请求后,还包括:根据所述目标窗口的信息,获得所述目标窗口所属目标进程;判断所述目标进程是否与所述第一程序对应的第一进程相同;若不相同,则执行所述判断生成所述调用请求的第一程序是否属于恶意程序的步骤。较佳的,所述判断生成所述调用请求的第一程序是否属于恶意程序,包括:获得生成所述调用请求的第一程序的路径信息;根据所述路径信息,获得所述第一程序的程序文件;根据所述程序文件,生成所述第一程序的特征值;判断所述特征值是否与预先存储的恶意程序特征值匹配;若匹配,则确定所述第一程序为恶意程序。较佳的,所述特征值包括消息摘要算法值MD5值和/或哈希值。较佳的,所述检测是否接收到针对第一函数的调用请求,包括:通过设置钩子函数的方式,检测是否接收到针对第一函数的调用请求。为了达到上述目的,本专利技术公开了一种信息拦截装置,所述装置包括:检测模块,用于检测是否接收到针对第一函数的调用请求,其中,所述第一函数为用于修改窗口位置和窗口大小的系统内核层函数;第一判断模块,用于当接收到所述调用请求时,判断生成所述调用请求的第一程序是否属于恶意程序;拦截模块,用于当判断出所述第一程序属于恶意程序时,拦截所述调用请求,进而拒绝修改窗口位置和窗口大小。较佳的,所述装置还包括响应模块;所述响应模块,用于当判断出所述第一程序不属于恶意程序时,响应所述调用请求。较佳的,所述调用请求携带目标窗口的信息;所述装置还包括第二判断模块,具体用于:在检测到所述调用请求后,根据所述目标窗口的信息,获得所述目标窗口所属目标进程;判断所述目标进程是否与所述第一程序对应的第一进程相同;若不相同,则触发所述第一判断模块。较佳的,所述第一判断模块包括:第一获得子模块,用于获得生成所述调用请求的第一程序的路径信息;第二获得子模块,用于根据所述路径信息,获得所述第一程序的程序文件;生成子模块,用于根据所述程序文件,生成所述第一程序的特征值;判断子模块,用于判断所述特征值是否与预先存储的恶意程序特征值匹配;确定子模块,用于当所述特征值与预先存储的恶意程序特征值匹配时,确定所述第一程序为恶意程序。较佳的,所述检测模块具体用于:通过设置钩子函数的方式,检测是否接收到针对第一函数的调用请求。由上述技术方案可见,本专利技术实施例中,当接收到针对第一函数的调用请求时,判断生成该调用请求的第一程序是否属于恶意程序,如果是,则拦截该调用请求,进而拒绝修改窗口位置和窗口大小,其中,第一函数为用于修改窗口位置和窗口大小的系统内核层函数。也就是说,在本实施例中,根据接收到的针对用于修改窗口位置和窗口大小的系统内核层函数的调用请求,判断生成该调用请求的第一程序是否属于恶意程序,如果是,则拦截该调用请求。因此,本专利技术实施例能够拦截恶意程序对客户端的窗口位置和大小的修改。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的信息拦截方法的一种流程示意图;图2为本专利技术实施例提供的信息拦截方法的另一种流程示意图;图3为本专利技术实施例提供的信息拦截装置的一种结构示意图;图4为本专利技术实施例提供的信息拦截装置的另一种结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术实施例提供了一种信息拦截方法及装置,能够拦截恶意程序对客户端的窗口位置和大小的修改。下面通过具体实施例,对本专利技术进行详细说明。图1为本专利技术实施例提供的信息拦截方法的一种流程示意图,该方法包括如下步骤:步骤S101:检测是否接收到针对第一函数的调用请求,若接收到,则执行步骤S102。其中,所述第一函数为用于修改窗口位置和窗口大小的系统内核层函数。由于第一函数是公共可用的函数,所以非恶意程序和恶意程序都可以调用它。第一函数可以用来改变所有窗口的窗口位置和窗口大小。具体的,用于修改窗口位置和窗口大小的系统内核层函数可以是NtUserSetWindowPos等。在实际应用中,在修改窗口位置和窗口大小时,可以先调用系统应用层函数,通过系统应用层函数来调用系统内核层函数,实现对窗口位置和窗口大小的修改。例如,先调用系统应用层函数SetWindowPos,SetWindowPos再调用系统内核层函数NtUserSetWindowPos,通过对NtUserSetWindowPos的调用实现对窗口位置和窗口大小的修改。值得一提的是,上述系统内核层函数和系统应用层函数并不仅限于此,基于不同的操作系统,上述系统内核层函数和系统应用层函数可能会有所不同,本申请并不对此进行限定。需要说明的是,本实施例具体是由终端中的第一客户端执行的。在本实施例中,为了更准确地检测是否接收到上述调用请求,步骤S101的一种具体实施方式包括:通过设置钩子函数的方式,检测是否接收到针对第一函数的调用请求。其中,钩子函数Hook是Windows消息处理机制的一个平台,钩子机制允许应用程序截获处理Window消息或特定事件。另外,Hook实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当调用请求发出,在没有到达系统内核层函数之前,Hook就先捕获该调用请求,亦即Hook先得到控制权。这时Hook既可以对该调用请求进行加工处理,也可以不作处理而继续传递该调用请求,还可以强制结束即拦截该调用请求的传递。鉴于上述情况,第一客户端可以通过设置钩子函数的方式监测针对第一函数的调用请求。当监测到调用请求时,在系统内核层函数响应该调用请求之前,第一客户端先处理该调用请求。步骤S102:判断生成所述调用请求的第一程序是本文档来自技高网...
【技术保护点】
一种信息拦截方法,其特征在于,所述方法包括:检测是否接收到针对第一函数的调用请求,其中,所述第一函数为用于改变窗口位置和窗口大小的系统内核层函数;若接收到,判断生成所述调用请求的第一程序是否属于恶意程序;如果是,则拦截所述调用请求,进而拒绝修改窗口位置和窗口大小。
【技术特征摘要】
1.一种信息拦截方法,其特征在于,所述方法包括:检测是否接收到针对第一函数的调用请求,其中,所述第一函数为用于改变窗口位置和窗口大小的系统内核层函数;若接收到,判断生成所述调用请求的第一程序是否属于恶意程序;如果是,则拦截所述调用请求,进而拒绝修改窗口位置和窗口大小。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当判断出所述第一程序不属于恶意程序时,响应所述调用请求。3.根据权利要求1所述的方法,其特征在于,所述调用请求携带目标窗口的信息;在检测到所述调用请求后,还包括:根据所述目标窗口的信息,获得所述目标窗口所属目标进程;判断所述目标进程是否与所述第一程序对应的第一进程相同;若不相同,则执行所述判断生成所述调用请求的第一程序是否属于恶意程序的步骤。4.根据权利要求1-3中任一项所述的方法,其特征在于,所述判断生成所述调用请求的第一程序是否属于恶意程序,包括:获得生成所述调用请求的第一程序的路径信息;根据所述路径信息,获得所述第一程序的程序文件;根据所述程序文件,生成所述第一程序的特征值;判断所述特征值是否与预先存储的恶意程序特征值匹配;若匹配,则确定所述第一程序为恶意程序。5.根据权利要求4所述的方法,其特征在于,所述特征值包括消息摘要算法值MD5值和/或哈希值。6.根据权利要求1所述的方法,其特征在于,所述检测是否接收到针对第一函数的调用请求,包括:通过设置钩子函数的方式,检测是否接...
【专利技术属性】
技术研发人员:杨峰,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。