本发明专利技术公开一种修改插入标记闪烁时间的处理方法、装置及电子设备,能够解决现有技术不能防止恶意软件修改插入标记闪烁时间导致系统安全不能得到有效保护的问题。所述方法包括:检测软件进程调用禁止关机功能函数的行为;当检测到有软件进程调用禁止关机功能函数的行为时获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;判断第一功能索引号与修改插入标记闪烁时间功能函数对应内核的第二功能索引号是否相同;若不相同则调用禁止关机功能函数执行与第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程;若为恶意软件进程则拒绝进行修改插入标记闪烁时间操作,否则调用禁止关机功能函数执行修改插入标记闪烁时间操作。本发明专利技术适用于对插入标记闪烁时间修改操作进行处理。
【技术实现步骤摘要】
本专利技术涉及系统安全
,尤其涉及一种修改插入标记闪烁时间的处理方法、装置及电子设备。
技术介绍
在计算机系统中,提供有SetCaretBlinkTime函数,用于为插入标记设置闪烁时间,单位是毫秒,恶意软件可以采用此方法更改插入标记的闪烁时间,如果把插入标记的闪烁时间设置为1毫秒,这样用户插入标记时,用户看到的标记闪烁就会很快、很闪,严重破坏了用户系统环境。目前,为了防止插入标记闪烁时间不被修改,通常情况下是挂钩应用层的SetCaretBlinkTime函数,SetCaretBlinkTime函数对应于系统内核的函数是NtUserCallOneParam函数。NtUserCallOneParam函数是一个公共函数,很多应用层的函数对应内核的函数都是它。NtUserCallOneParam函数用一个功能索引号来区分不同的应用层函数,恶意程序可以通过调用内核的NtUserCallOneParam函数,传入相应的功能索引号,来修改插入标记闪烁时间,这样恶意程序就能够破坏计算机系统环境。因此,现有的修改插入标记闪烁时间的处理方法,不能防止恶意软件修改插入标记闪烁时间,导致系统安全不能得到有效保护。
技术实现思路
有鉴于此,本专利技术实施例提供一种修改插入标记闪烁时间的处理方法、装置及电子设备,能够防止恶意软件修改插入标记闪烁时间,从而有效保护系统安全。第一方面,本专利技术实施例提供一种修改插入标记闪烁时间的处理方法,包括:检测软件进程调用禁止关机功能函数的行为;当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;判断所述第一功能索引号与修改插入标记闪烁时间功能函数对应内核的第二功能索引号是否相同;若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程;若所述软件进程为恶意软件进程,则拒绝进行修改插入标记闪烁时间操作,否则调用禁止关机功能函数执行修改插入标记闪烁时间操作。结合第一方面,在第一方面的第一种实施方式中,所述修改插入标记闪烁时间功能函数对应内核的第二功能索引号在不同的系统下有所不同。结合第一方面,在第一方面的第二种实施方式中,所述判断所述软件进程是否为恶意软件进程包括:获取所述软件进程的特征信息;在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;若能查询到所述软件进程的特征信息,则判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。结合第一方面的第二种实施方式,在第一方面的第三种实施方式中,在所述检测软件进程调用禁止关机功能函数的行为之前,所述方法还包括:建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。第二方面,本专利技术实施例提供一种修改插入标记闪烁时间的处理装置,包括:检测单元,用于检测软件进程调用禁止关机功能函数的行为;获取单元,用于当所述检测单元检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;第一判断单元,用于判断所述第一功能索引号与修改插入标记闪烁时间功能函数对应内核的第二功能索引号是否相同;第一处理单元,用于当所述第一判断单元的判断结果为不相同时,调用禁止关机功能函数执行与所述第一功能索引号相对应的操作;第二判断单元,用于当所述第一判断单元的判断结果为相同时,判断所述软件进程是否为恶意软件进程;第二处理单元,用于当所述第二判断单元判定所述软件进程为恶意软件进程时,拒绝进行修改插入标记闪烁时间操作;第三处理单元,用于当所述第二判断单元判定所述软件进程不是恶意软件进程时,调用禁止关机功能函数执行修改插入标记闪烁时间操作。结合第二方面,在第二方面的第一种实施方式中,所述修改插入标记闪烁时间功能函数对应内核的第二功能索引号在不同的系统下有所不同。结合第二方面,在第二方面的第二种实施方式中,所述第二判断单元包括:获取子单元,用于获取所述软件进程的特征信息;查询子单元,用于在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;判断子单元,用于当所述查询子单元能查询到所述软件进程的特征信息时,判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述装置还包括:建立单元,用于在所述检测单元检测软件进程调用禁止关机功能函数的行为之前,建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一所述的修改插入标记闪烁时间的处理方法。本专利技术实施例提供的一种修改插入标记闪烁时间的处理方法、装置及电子设备,当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号,判断所述第一功能索引号与修改插入标记闪烁时间功能函数对应内核的第二功能索引号是否相同,若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程,若是则拒绝进行修改插入标记闪烁时间操作,否则调用禁止关机功能函数执行修改插入标记闪烁时间操作。与现有技术相比,本专利技术能够通过挂钩禁止关机功能函数的方式,在禁止关机功能函数执行之前对恶意软件进程通过内核的方式修改插入标记闪烁时间的行为进行拦截,防止恶意软件修改插入标记闪烁时间,从而有效保护系统安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术修改插入标记闪烁时间的处理方法实施例一的流程图;图2为本专利技术修改插入标记闪烁时间的处理方法实施例二的流程图;图3为本专利技术修改插入标记闪烁时间的处理装置实施例一的结构示意图;图4为本专利技术修改插入标记闪烁时间的处理装置实施例二的结构示意图;图5为本专利技术电子设备实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。在下述本专利技术各实施例中,NtUserCallOneParam函数为禁止关机功能函数,SetCaretBlinkTime函数为修改插入标记闪烁时间功能函数。图1为本专利技术修改插入标记闪烁时间的处理方法实施例一的流程图,如图1所示,本实施例的方法可以包括:步骤S11、检测软件进程调用NtUserCallOneParam函数的行为。本实施例中,NtUserCallOneParam函数为内核层的一个公共函数,很多本文档来自技高网...
【技术保护点】
一种修改插入标记闪烁时间的处理方法,其特征在于,包括:检测软件进程调用禁止关机功能函数的行为;当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;判断所述第一功能索引号与修改插入标记闪烁时间功能函数对应内核的第二功能索引号是否相同;若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程;若所述软件进程为恶意软件进程,则拒绝进行修改插入标记闪烁时间操作,否则调用禁止关机功能函数执行修改插入标记闪烁时间操作。
【技术特征摘要】
1.一种修改插入标记闪烁时间的处理方法,其特征在于,包括:检测软件进程调用禁止关机功能函数的行为;当检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;判断所述第一功能索引号与修改插入标记闪烁时间功能函数对应内核的第二功能索引号是否相同;若不相同,则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作,否则判断所述软件进程是否为恶意软件进程;若所述软件进程为恶意软件进程,则拒绝进行修改插入标记闪烁时间操作,否则调用禁止关机功能函数执行修改插入标记闪烁时间操作。2.根据权利要求1所述的修改插入标记闪烁时间的处理方法,其特征在于,所述修改插入标记闪烁时间功能函数对应内核的第二功能索引号在不同的系统下有所不同。3.根据权利要求1所述的修改插入标记闪烁时间的处理方法,其特征在于,所述判断所述软件进程是否为恶意软件进程包括:获取所述软件进程的特征信息;在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息;若能查询到所述软件进程的特征信息,则判定所述软件进程为恶意软件进程,否则判定所述软件进程不是恶意软件进程。4.根据权利要求3所述的修改插入标记闪烁时间的处理方法,其特征在于,在所述检测软件进程调用禁止关机功能函数的行为之前,所述方法还包括:建立特征库,将获取到的恶意软件进程的特征信息存储在所述特征库中。5.一种修改插入标记闪烁时间的处理装置,其特征在于,包括:检测单元,用于检测软件进程调用禁止关机功能函数的行为;获取单元,用于当所述检测单元检测到有软件进程调用禁止关机功能函数的行为时,获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号;第一判断单元,用于判断所述第一功能索引号与修改插入标记闪烁时间功能函数对应内核的第二功能索引号是否相同;...
【专利技术属性】
技术研发人员:杨峰,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。