一种拦截恶意程序安装的方法、装置及电子设备制造方法及图纸

技术编号:15083092 阅读:53 留言:0更新日期:2017-04-07 14:01
本发明专利技术的实施例公开一种拦截恶意程序安装的方法、装置及电子设备,涉及计算机安全技术领域,能够通过阻止恶意程序创建目录和/或注册表项,解决现有技术拦截恶意程序不全面的问题。所述方法包括:监控系统中程序安装进程将要创建目录和/或注册表项的事件消息;其中,所述事件消息中包括待创建的目录路径和/或注册表项;判断预先设置的可配置文件中,是否记录有所述待创建的目录路径和/或注册表项;若所述可配置文件中记录有所述待创建的目录路径和/或注册表项,则阻止所述程序安装进程创建目录和/或注册表项。本发明专利技术适用于阻止恶意程序的安装。

【技术实现步骤摘要】

本专利技术涉及计算机安全
,尤其涉及一种拦截恶意程序安装的方法、装置及电子设备
技术介绍
随着互联网技术发展,软件数量也在海量增长,用户通过各种途径下载在计算机上安装的软件,虽然有些是正规软件,但是正规软件也有可能推广安装一些恶意程序,如果恶意程序安装在用户计算机上,后果是不可估量的,因此,需要在安装软件时识别中其中的恶意程序并阻止其安装。现有的恶意程序拦截方案,是在进程创建软件的时候做挂钩函数做恶意程序进程运行的拦截,原理是根据恶意程序的安装包名称进行拦截,但是,如果恶意程序安装包随意换个名称,就无法实现对恶意程序的安装拦截。虽然现有方案中可以配置需要拦截的恶意程序的安装包名称,但是可以配置的安装包名称也是已知的有限个固定名称,仍旧无法拦截安装包名称随机的恶意程序,因此,现有的恶意程序拦截方案会存在容易漏拦恶意程序,拦截不全面的问题。
技术实现思路
有鉴于此,本专利技术实施例提供一种拦截恶意程序安装的方法、装置及电子设备,对恶意程序的安装拦截更加全面有效。第一方面,本专利技术实施例提供一种拦截恶意程序安装的方法,包括:监控系统中程序安装进程将要创建目录和/或注册表项的事件消息;其中,所述事件消息中包括待创建的目录路径和/或注册表项;判断预先设置的可配置文件中,是否记录有所述待创建的目录路径和/或注册表项;其中,可配置文件记录有阻止创建的目录路径和/或者注册表项;若所述可配置文件中记录有所述待创建的目录路径和/或注册表项,则阻止所述程序安装进程创建目录和/或注册表项。结合第一方面,在第一方面的第一种实施方式中,所述系统为Windows操>作系统;所述监控系统中程序安装进程将要创建目录的事件消息之前,所述方法还包括:预先设置绑定所述Windows操作系统的文件系统的文件系统过滤驱动程序,所述文件系统过滤驱动程序用于驱动文件打开例程;所述监控系统中程序安装进程将要创建目录的事件消息,包括:通过所述文件系统过滤驱动程序监控所述系统中程序安装进程将要创建目录的事件消息。结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述判断预先设置的可配置文件中,是否记录有所述待创建的目录路径,包括:通过所述文件打开例程读取预先设置的可配置文件中记录的所有阻止创建的目录路径并保存在第一链表中;所述第一链表的每个节点数据为可配置文件中记录的一个阻止创建的目录路径;依次判断所述第一链表中的节点数据是否与所述待创建的目录路径相同,若所述第一链表中存在与所述待创建的目录路径相同的节点数据,则确定所述可配置文件中记录有所述待创建的目录路径,否则,则确定所述可配置文件中未记录所述待创建的目录路径。结合第一方面的第二种实施方式,在第一方面的第三种实施方式中,所述阻止所述程序安装进程创建目录,包括:所述文件系统过滤驱动程序调用IRP的完成函数IoCompleteRequest结束所述文件打开例程,并返回给Windows操作系统的文件系统。结合第一方面,在第一方面的第四种实施方式中,所述系统为Windows操作系统;所述监控系统中程序安装进程将要创建目录和/或注册表项的事件消息之前,所述方法还包括:预先设置挂钩用于设置及修改注册表键值的函数NtSetvalueKey的钩子函数;所述监控系统中程序安装进程将要创建注册表项的事件消息,包括:通过所述钩子函数监控所述系统中程序安装进程将要创建注册表项的事件消息。结合第一方面的第四种实施方式,在第一方面的第五种实施方式中,所述判断预先设置的可配置文件中,是否记录有所述待创建的注册表项,包括:通过所述钩子函数读取预先设置的可配置文件中记录的所有阻止创建的注册表项并保存在第二链表中;所述第二链表的每个节点数据为可配置文件中记录的一个阻止创建的注册表项;依次判断所述第二链表中的节点数据是否与所述待创建的注册表项相同,若所述第二链表中存在与所述待创建的注册表项相同的节点数据,则确定所述可配置文件中记录有所述待创建的注册表项,否则,则确定所述可配置文件中未记录所述待创建的注册表项。结合第一方面的第五种实施方式,在第一方面的第六种实施方式中,所述阻止所述程序安装进程创建注册表项,包括:停止执行Windows操作系统中的原始NtSetvalueKey函数。结合第一方面或第一方面的第一种实施方式或第一方面的第二种实施方式或第一方面的第三种实施方式或第一方面的第四种实施方式或第一方面的第五种实施方式或第一方面的第六种实施方式,在第一方面的第七种实施方式中,在所述监控系统中程序安装进程将要创建目录和/或注册表项的事件消息之前,还包括:统计已知恶意程序创建的目录路径和/或注册表项;根据统计到的数据编写所述可配置文件。第二方面,本专利技术实施例提供一种拦截恶意程序安装的装置,包括:监控模块,用于监控系统中程序安装进程将要创建目录和/或注册表项的事件消息并将所述事件消息发送给判断模块;其中,所述事件消息中包括待创建的目录路径和/或注册表项;判断模块,用于判断预先设置的可配置文件中,是否记录有收到的所述事件消息中的待创建的目录路径和/或注册表项,在判断出所述可配置文件中记录有所述待创建的目录路径和/或注册表项时,向拦截模块发送拦截指令;其中,可配置文件记录有阻止创建的目录路径和/或者注册表项;拦截模块,用于根据收到的拦截指令,阻止所述程序安装进程创建目录和/或注册表项。结合第二方面,在第二方面的第一种实施方式中,所述监控模块包括:目录监控子模块,用于预先设置与Windows操作系统的文件系统绑定的文件系统过滤驱动程序并存储,所述文件系统过滤驱动程序用于驱动文件打开例程;所述目录监控子模块还用于通过所述文件系统过滤驱动程序监控Windows操作系统中程序安装进程将要创建目录的事件消息,并将所述系统中程序安装进程将要创建目录的事件消息发送给所述判断模块。结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述判断模块包括:第一链表生成子模块,用于通过所述文件打开例程读取预先设置的可配置文件中记录的所有阻止创建的目录路径,生成第一链表并保存;所述第一链表的每个节点数据为可配置文件中记录的一个阻止创建的目录路径;第一判断子模块,用于在收到所述系统中程序安装进程将要创建目录的事件消息时,依次判断所述第一链表生成子模块保存的第一链表中的节点数据是否与所述事件消息中记录的待创建的目录路径相同,若所述第一链表中存在与所述待创建的目录路径相同的节点数据,则向所述拦截模块发送拦截指令。结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述拦截模块根据收到的拦截指令,通过所述目录监控子模块中设置的所述文件系统过滤驱动程序调用IRP的完成函数IoCompleteRequest结束所述文件打开例程,并返回给Windows操作系统的文件系统,以阻止所述程序安装进程创建目录。结合第二方面,在第二方面的第四种实施方式中,所述监控模块包括:注册表监控子模块,用于预先设置Windows操作系统中挂钩用于设置及修改注册表键值的函数NtSetvalueKey函数的钩子函数并存储,所述注册表监控子模块还用于通过所述钩子函数监控Windows操作系统中程序安装进程将要创建注册表项本文档来自技高网...

【技术保护点】
一种拦截恶意程序安装的方法,其特征在于,包括:监控系统中程序安装进程将要创建目录和/或注册表项的事件消息;其中,所述事件消息中包括待创建的目录路径和/或注册表项;判断预先设置的可配置文件中,是否记录有所述待创建的目录路径和/或注册表项;其中,可配置文件记录有阻止创建的目录路径和/或者注册表项;若所述可配置文件中记录有所述待创建的目录路径和/或注册表项,则阻止所述程序安装进程创建目录和/或注册表项。

【技术特征摘要】
1.一种拦截恶意程序安装的方法,其特征在于,包括:监控系统中程序安装进程将要创建目录和/或注册表项的事件消息;其中,所述事件消息中包括待创建的目录路径和/或注册表项;判断预先设置的可配置文件中,是否记录有所述待创建的目录路径和/或注册表项;其中,可配置文件记录有阻止创建的目录路径和/或者注册表项;若所述可配置文件中记录有所述待创建的目录路径和/或注册表项,则阻止所述程序安装进程创建目录和/或注册表项。2.根据权利要求1所述拦截恶意程序安装的方法,其特征在于,所述系统为Windows操作系统;所述监控系统中程序安装进程将要创建目录和/或注册表项的事件消息之前,所述方法还包括:预先设置绑定所述Windows操作系统的文件系统的文件系统过滤驱动程序,所述文件系统过滤驱动程序用于驱动文件打开例程;所述监控系统中程序安装进程将要创建目录的事件消息,包括:通过所述文件系统过滤驱动程序监控所述系统中程序安装进程将要创建目录的事件消息。3.根据权利要求2所述拦截恶意程序安装的方法,其特征在于,所述判断预先设置的可配置文件中,是否记录有所述待创建的目录路径,包括:通过所述文件打开例程读取预先设置的可配置文件中记录的所有阻止创建的目录路径并保存在第一链表中;所述第一链表的每个节点数据为可配置文件中记录的一个阻止创建的目录路径;依次判断所述第一链表中的节点数据是否与所述待创建的目录路径相同,若所述第一链表中存在与所述待创建的目录路径相同的节点数据,则确定所述可配置文件中记录有所述待创建的目录路径,否则,则确定所述可配置文件中未记录所述待创建的目录路径。4.根据权利要求3所述拦截恶意程序安装的方法,其特征在于,所述阻止所述程序安装进程创建目录,包括:所述文件系统过滤驱动程序调用IRP的完成函数IoCompleteRequest结束所述文件打开例程,并返回给Windows操作系统的文件系统。5.根据权利要求1所述拦截恶意程序安装的方法,其特征在于,所述系统为Windows操作系统;所述监控系统中程序安装进程将要创建目录和/或注册表项的事件消息之前,所述方法还包括:预先设置挂钩用于设置及修改注册表键值的函数NtSetvalueKey的钩子函数;所述监控系统中程序...

【专利技术属性】
技术研发人员:李文靖
申请(专利权)人:北京金山安全软件有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1