本发明专利技术的实施例公开一种防止鼠标被恶意捕获的方法、装置及电子设备,涉及计算机安全技术领域,能有效的阻止恶意程序对鼠标消息的捕获,达到保证系统正常鼠标消息传递的目的。所述方法包括:监听进程对操作系统中捕获鼠标消息函数进行调用的事件;根据监听到的事件,获取所述进程的进程路径;根据所述进程路径判断所述进程是否为恶意程序进程;若所述进程是恶意程序进程,则拒绝所述进程捕获鼠标消息。本发明专利技术适用于保证系统正常鼠标消息传递。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,尤其涉及一种防止鼠标被恶意捕获的方法、装置及电子设备。
技术介绍
Window系统中,提供了SetCapture函数,该函数在属于当前线程的指定窗口里设置鼠标捕获。一旦窗口捕获了鼠标,所有鼠标输入都针对该窗口,无论光标是否在窗口的边界内。另外,系统还提供了ReleaseCapture函数来释放鼠标的捕获,如果恶意软件使用了SetCapture函数来捕获鼠标,却没有使用ReleaseCapture函数来释放鼠标,这样其他窗口获取鼠标消息将会失败。目前,为保护鼠标消息不被恶意捕获,通常使用的方法是挂钩应用层的SetCapture函数,这样,钩子函数就会对调用SetCapture函数的事件进行监视,从而及时获知恶意程序进程想要捕获鼠标,以及时阻止该调用事件。但是,专利技术人发现Windows系统内核层还提供了NtUserSetCapture函数,如果恶意程序调用NtUserSetCapture函数来捕获鼠标消息,由于此方法比较隐蔽,目前的安全防御软件还没有对这种恶意调用采取防护措施,这样恶意软件就能通过此方式捕获鼠标消息,破坏系统的正常鼠标消息传递。
技术实现思路
有鉴于此,本专利技术实施例提供一种防止鼠标被恶意捕获的方法、装置及电子设备,能有效的阻止恶意程序对鼠标消息的捕获,达到保证系统正常鼠标消息传递的目的。第一方面,本专利技术实施例提供一种防止鼠标被恶意捕获的方法,包括:监听进程对操作系统中捕获鼠标消息函数进行调用的事件;根据监听到的事件,获取所述进程的进程路径;根据所述进程路径判断所述进程是否为恶意程序进程;若所述进程是恶意程序进程,则拒绝所述进程捕获鼠标消息。结合第一方面,在第一方面的第一种实施方式中,所述系统为Windows操作系统;所述捕获鼠标消息函数为操作系统内核层的NtUserSetCapture函数;在监听进程对操作系统中捕获鼠标消息函数进行调用的事件之前,所述方法还包括:预先设置挂钩操作系统中捕获鼠标消息函数的钩子函数;所述监听进程对操作系统中捕获鼠标消息函数进行调用的事件,包括:通过所述钩子函数监听进程对操作系统中捕获鼠标消息函数进行调用的事件。结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述拒绝所述进程捕获鼠标消息,包括:通过所述钩子函数向所述进程返回拒绝消息;或者所述钩子函数拒绝调用NtUserSetCapture函数,以拒绝捕获鼠标消息。结合第一方面,在第一方面的第三种实施方式中,所述根据所述进程路径判断所述进程是否为恶意程序进程之后,还包括:若所述进程不是恶意程序进程,则调用捕获鼠标消息函数,同意所述进程捕获鼠标消息。结合第一方面,在第一方面的第四种实施方式中,所述根据所述进程路径判断所述进程是否为恶意程序进程,包括:根据预先设置的特征值算法,获取所述进程路径对应文件的特征值;判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意程序进程;其中,所述预先设置的特征库中记录有已知恶意程序进程路径对应文件的特征值。结合第一方面的第四种实施方式,在第一方面的第五种实施方式中,所述判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值之前,还包括:统计已知恶意程序进程路径;根据预先设置的特征值算法,获取所述已知恶意程序进程路径对应文件的特征值;将已知恶意程序进程路径对应文件的特征值存储在特征库中。结合第一方面的第四种或第五种实施方式,在第一方面的第六种实现方式中,所述预先设置的特征值算法为:求取进程路径的计算消息摘要算法值或哈希值作为进程路径对应文件的特征值,或者从进程路径中获取文件版本号作为进程路径对应文件的特征值。第二方面,本专利技术实施例提供一种防止鼠标被恶意捕获的装置,包括:监听模块,用于监听进程对操作系统中捕获鼠标消息函数进行调用的事件;获取模块,用于根据所述监听模块监听到的事件,获取所述进程的进程路径;判断模块,用于根据所述获取模块获取到的所述进程路径,判断所述进程是否是恶意程序进程;阻止模块,用于在所述判断模块判断出所述进程是恶意程序进程时,拒绝所述进程捕获鼠标消息。结合第二方面,在第二方面的第一种实施方式中,所述操作系统为Windows操作系统时,所述监听模块中预先设置有挂钩操作系统中NtUserSetCapture函数的钩子函数,所述监听模块通过所述钩子函数监听进程对操作系统中捕获鼠标消息函数进行调用的事件。结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述阻止模块通过所述钩子函数向所述进程返回拒绝消息或拒绝调用NtUserSetCapture函数,以拒绝捕获鼠标消息。结合第二方面,在第二方面的第三种实施方式中,所述阻止模块,还用于在所述判断模块判断出所述进程不是恶意程序进程时,调用捕获鼠标消息函数,同意所述进程捕获鼠标消息。结合第二方面,在第二方面的第四种实施方式中,所述判断模块包括:特征值计算子模块,用于根据预先设置的特征值算法,获取所述获取模块获取到的进程路径对应文件的特征值;匹配子模块,用于判断预先设置的特征库中,是否记录有所述特征值计算子模块获取到的进程路径对应文件的特征值,若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意程序进程;其中,所述预先设置的特征库中记录有已知恶意程序进程路径对应文件的特征值。结合第二方面的第四种实施方式,在第二方面的第五种实施方式中,还包括:特征库生成模块,用于预先统计已知恶意程序进程路径,并根据预先设置的特征值算法,获取所述已知恶意程序进程路径对应文件的特征值并存储在特征库中。结合第二方面的第四种或第五种实施方式,在第二方面的第六种实施方式中,所述特征值计算子模块具体用于求取所述获取模块获取到的进程路径的计算消息摘要算法值或哈希值作为进程路径对应文件的特征值,或者从所述获取模块获取到的进程路径中获取文件版本号作为进程路径对应文件的特征值。第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的防止系统被恶意关闭的方法。本专利技术实施例提供的一种防止鼠标被恶意捕获的方法、装置及电子设备,通过监听进程对操作系统中捕获鼠标消息函数进行调用的事件,当监听到有进程调用捕获鼠标消息函数时,获取所述进程路径,并根据所述进程路径判断所述进程是否为恶意程序进程,若所述进程是恶意程序进程,则拒绝所述进程捕获鼠标消息。由此能够防止恶意程序采用隐蔽方式捕获鼠标消息,解决现有的恶意软件破坏系统的正常鼠标消息传递的问题。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用本文档来自技高网...
【技术保护点】
一种防止鼠标被恶意捕获的方法,其特征在于,包括:监听进程对操作系统中捕获鼠标消息函数进行调用的事件;根据监听到的事件,获取所述进程的进程路径;根据所述进程路径判断所述进程是否为恶意程序进程;若所述进程是恶意程序进程,则拒绝所述进程捕获鼠标消息。
【技术特征摘要】
1.一种防止鼠标被恶意捕获的方法,其特征在于,包括:监听进程对操作系统中捕获鼠标消息函数进行调用的事件;根据监听到的事件,获取所述进程的进程路径;根据所述进程路径判断所述进程是否为恶意程序进程;若所述进程是恶意程序进程,则拒绝所述进程捕获鼠标消息。2.如权利要求1所述的防止鼠标被恶意捕获的方法,其特征在于,所述系统为Windows操作系统;所述捕获鼠标消息函数为操作系统内核层的NtUserSetCapture函数;在监听进程对操作系统中捕获鼠标消息函数进行调用的事件之前,所述方法还包括:预先设置挂钩操作系统中捕获鼠标消息函数的钩子函数;所述监听进程对操作系统中捕获鼠标消息函数进行调用的事件,包括:通过所述钩子函数监听进程对操作系统中捕获鼠标消息函数进行调用的事件。3.如权利要求2所述的防止鼠标被恶意捕获的方法,其特征在于,所述拒绝所述进程捕获鼠标消息,包括:通过所述钩子函数向所述进程返回拒绝消息;或者所述钩子函数拒绝调用NtUserSetCapture函数,以拒绝捕获鼠标消息。4.如权利要求1所述的防止鼠标被恶意捕获的方法,其特征在于,所述根据所述进程路径判断所述进程是否为恶意程序进程之后,还包括:若所述进程不是恶意程序进程,则调用捕获鼠标消息函数,同意所述进程捕获鼠标消息。5.如权利要求1所述的防止鼠标被恶意捕获的方法,其特征在于,所述根据所述进程路径判断所述进程是否为恶意程序进程,包括:根据预先设置的特征值算法,获取所述进程路径对应文件的特征值;判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的...
【专利技术属性】
技术研发人员:杨峰,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。