本发明专利技术的实施例公开一种截屏的处理的方法、装置及电子设备,涉及信息安全技术,能够提升操作系统的安全防护效率。所述截屏的处理的方法包括:在预先注入的钩子函数监测到调用内核截屏调用函数时,钩住所述内核截屏调用函数;获取调用所述内核截屏调用函数的应用层进程的进程路径信息,提取所述进程路径信息映射的待验证应用程序;如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同,拒绝所述待验证应用程序调用所述内核截屏调用函数。本发明专利技术适用于对操作系统环境被截屏进行安全监控。
【技术实现步骤摘要】
本专利技术涉及信息安全技术,尤其涉及一种截屏的处理的方法、装置及电子设备。
技术介绍
随着Windows操作系统内核层技术细节的逐渐公开,越来越多的木马病毒等恶意应用程序开始使用内核层驱动程序来保护自身的进程,受内核层驱动程序保护的恶意应用程序的进程,可以结束(杀死)Windows操作系统中的其它进程,从而使得恶意应用程序的进程可以根据恶意应用程序提供者的意图,对用户的进程或系统进程进行恶意攻击,可能造成计算机运行不稳定,甚至造成用户信息的泄露,给用户带来非常大的经济损失,例如,利用应用程序恶意对用户使用电子设备的操作系统环境,例如,对用户的注册应用程序或登录应用程序的进行截屏,可以获取用户信息,导致用户信息泄露。其中,进程(Process)是计算机中的应用程序关于数据集合上的一次运行活动,是Windows操作系统进行资源分配和调度的基本单位,是Windows操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是应用程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。也就是说,应用程序是指令、数据及其组织形式的描述,进程是应用程序的实体。目前,在操作系统中,截屏应用程序进程进行截屏操作通过调用截屏函数来实现。其中,截屏函数位于应用层上,包括:位块转换函数(BitBlt函数)以及位图复制函数(StretchBlt函数)。由于位块转换函数(BitBlt函数)对应于操作系统内核的函数是内核调用位块转换函数(内核NtGdiBitBlt函数),位图复制函数(StretchBlt函数)对应于操作系统内核的函数是内核调用位图复制函数(内核NtGdiStretchBlt函数),因而,在应用层进程(截屏应用程序进程)调用截屏函数对操作系统环境进行截屏时,截屏函数需要再调用内核NtGdiBitBlt函数或内核NtGdiStretchBlt函数来完成截屏操作,从而使得恶意应用程序可以通过直接调用内核NtGdiBitBlt函数或内核NtGdiStretchBlt函数来实现对操作系统环境的截屏,导致用户信息的泄露,使得操作系统的安全防护效率较低,安全性不高。
技术实现思路
有鉴于此,本专利技术实施例提供一种截屏的处理的方法、装置及电子设备,能够提升操作系统的安全防护效率,以解决现有的截屏的处理的方法中,通过直接调用内核NtGdiBitBlt函数或内核NtGdiStretchBlt函数来实现对操作系统环境的截屏,导致操作系统的安全防护效率较低的问题。第一方面,本专利技术实施例提供一种截屏的处理的方法,包括:在预先注入的钩子函数监测到调用内核截屏调用函数时,钩住所述内核截屏调用函数;获取调用所述内核截屏调用函数的应用层进程的进程路径信息,提取所述进程路径信息映射的待验证应用程序;如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同,拒绝所述待验证应用程序调用所述内核截屏调用函数。结合第一方面,在第一方面的第一种实施方式中,所述方法还包括:如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序不相同,通知所述内核截屏调用函数执行对操作系统环境的截屏操作。结合第一方面,在第一方面的第二种实施方式中,在所述如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同之后,拒绝所述待验证应用程序调用所述内核截屏调用函数之前,所述方法还包括:展示所述待验证应用程序,并提示所述待验证应用程序对操作系统环境进行截屏;接收用户选取的指令,如果所述指令为允许指令,通知所述内核截屏调用函数执行对操作系统环境的截屏操作;如果所述指令为拒绝指令,执行拒绝所述待验证应用程序调用所述内核截屏调用函数的步骤。结合第一方面、第一方面的第一种实施方式或第二种实施方式,在第一方面的第三种实施方式中,所述内核截屏调用函数包括:内核调用位块转换函数以及内核调用位图复制函数。结合第一方面、第一方面的第一种实施方式或第二种实施方式,在第一方面的第四种实施方式中,所述在预先注入的钩子函数监测到调用内核截屏调用函数时包括:在预先注入的钩子函数监测到应用层进程调用操作系统截屏函数,所述操作系统截屏函数调用所述内核截屏调用函数。第二方面,本专利技术实施例提供一种截屏的处理的装置,包括:钩住模块、应用程序获取模块以及截屏处理模块,其中,钩住模块,用于在预先注入的钩子函数监测到调用内核截屏调用函数时,钩住所述内核截屏调用函数;应用程序获取模块,用于获取调用所述内核截屏调用函数的应用层进程的进程路径信息,提取所述进程路径信息映射的待验证应用程序;截屏处理模块,如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同,拒绝所述待验证应用程序调用所述内核截屏调用函数。结合第二方面,在第二方面的第一种实施方式中,所述截屏处理模块还用于如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序不相同,通知所述内核截屏调用函数执行对操作系统环境的截屏操作。结合第二方面,在第二方面的第二种实施方式中,所述截屏处理模块包括:匹配单元、展示单元、指令接收单元、截屏通知单元以及截屏拒绝单元,其中,匹配单元,如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同,通知展示单元;展示单元,用于展示所述待验证应用程序,并提示所述待验证应用程序对操作系统环境进行截屏;指令接收单元,用于接收用户选取的指令,如果所述指令为允许指令,通知截屏通知单元;如果所述指令为拒绝指令,通知截屏拒绝单元;截屏通知单元,用于允许所述待验证应用程序调用内核截屏调用函数执行对操作系统环境的截屏操作;截屏拒绝单元,用于拒绝所述待验证应用程序调用所述内核截屏调用函数。结合第二方面、第二方面的第一种实施方式或第二种实施方式,在第二方面的第三种实施方式中,所述内核截屏调用函数包括:内核调用位块转换函数以及内核调用位图复制函数。结合第二方面、第二方面的第一种实施方式或第二种实施方式,在第二方面的第四种实施方式中,所述钩住模块包括:监测单元以及钩住单元,其中,监测单元,用于在预先注入的钩子函数监测到应用层进程调用操作系统截屏函数时,通过所述操作系统截屏函数调用所述内核截屏调用函数,通知钩住单元;钩住单元,用于钩住所述内核截屏调用函数。第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行如下操作:在预先注入的钩子函数监测到调用内核截屏调用函数时,钩住所述内核截屏调用函数;获取调用所述内核截屏调用函数的应用层进程的进程路径信息,提取所述进程路径信息映射的待验证应用程序;如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同,拒绝所述待验证应用程序调用所述内核截屏调用函数。第四方面,本专利技术实施例还提供了一种存储介质,用于存储应用程序,所述应用程序用于执行本专利技术实施例所提供的一种截屏的处理的方法。第五方面,本专利技术实施例还提供了一本文档来自技高网...
【技术保护点】
一种截屏的处理的方法,其特征在于,包括:在预先注入的钩子函数监测到调用内核截屏调用函数时,钩住所述内核截屏调用函数;获取调用所述内核截屏调用函数的应用层进程的进程路径信息,提取所述进程路径信息映射的待验证应用程序;如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同,拒绝所述待验证应用程序调用所述内核截屏调用函数。
【技术特征摘要】
1.一种截屏的处理的方法,其特征在于,包括:在预先注入的钩子函数监测到调用内核截屏调用函数时,钩住所述内核截屏调用函数;获取调用所述内核截屏调用函数的应用层进程的进程路径信息,提取所述进程路径信息映射的待验证应用程序;如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同,拒绝所述待验证应用程序调用所述内核截屏调用函数。2.根据权利要求1所述的截屏的处理的方法,其特征在于,所述方法还包括:如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序不相同,通知所述内核截屏调用函数执行对操作系统环境的截屏操作。3.根据权利要求1所述的截屏的处理的方法,其特征在于,在所述如果所述待验证应用程序与预先设置的待拦截应用程序库中的任一待拦截应用程序相同之后,拒绝所述待验证应用程序调用所述内核截屏调用函数之前,所述方法还包括:展示所述待验证应用程序,并提示所述待验证应用程序对操作系统环境进行截屏;接收用户选取的指令,如果所述指令为允许指令,通知所述内核截屏调用函数执行对操作系统环境的截屏操作;如果所述指令为拒绝指令,执行拒绝所述待验证应用程序调用所述内核截屏调用函数的步骤。4.根据权利要求1至3任一项所述的截屏的处理的方法,其特征在于,所述内核截屏调用函数包括:内核调用位块转换函数以及内核调用位图复制函数。5.根据权利要求1至3任一项所述的截屏的处理的方法,其特征在于,所述在预先注入的钩子函数监测到调用内核截屏调用函数时包括:在预先注入的钩子函数监测到应用层进程调用操作系统截屏函数时,通过所述操作系统截屏函数调用所述内核截屏调用函数。6.一种截屏的处理的装置,其特征在于,包括:钩住模块、应用程序获取模块以及截屏处理模块,其中,钩住模块,用于在预先注入的钩子函数监测到调用内核截屏调用函数时,钩住所述内核截屏调用函数;应用程序获取模块,用于获取调用所述内核截屏调用函数的应用层进程的进程路径信息,提取所述进程路径信息映射的待验证应用程序;截屏处理模块,如果所述待...
【专利技术属性】
技术研发人员:杨峰,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。