本发明专利技术涉及计算机病毒防御技术,特别涉及一种防止病毒动态攻击程序的装置和方法。一种防止病毒动态攻击程序的装置,其特征在于,所述装置包括:桌面管理器和桌面边界保护模块,所述桌面管理器为一受到所述桌面边界保护模块保护的桌面的列表;所述桌面边界保护模块用于监控与被保护桌面相关的操作。通过上述技术方案本发明专利技术可以阻止病毒跨桌面进行攻击操作,如向其他桌面上的程序进行Hooks、消息、伪造窗口的钓鱼攻击等,以确保此其他桌面中运行的程序难以被盗号木马等病毒动态攻击。
【技术实现步骤摘要】
本专利技术涉及计算机病毒防御技术,特别涉及一种防止病毒动态攻击程 序的装置和方法。
技术介绍
随着病毒、蠕虫、木马、后门和混合威胁的泛滥,当前针对新漏洞的攻击产生速度比以前要快得多;而且由于黑客已经不再满足于从病毒爆发 引起的网络瘫痪中获得成就感,而是希望从中获取经济利益,因此现在的 病毒更为趋向于恶意代码攻击,包括间谍软件、网络欺诈、基于邮件的攻 击和恶意Web站点等。例如在以前,病毒的类型中少数是具有控制和窃取 功能的木马程序,因此多具有明显的破坏行为;而现在最活跃的病毒大部 分是潜伏的恶意代码,在攻击行为上力求不被注意,目的是希望通过信息 窃取和远程控制获得经济利益;身份信息窃取类代码则开始借助于网络钓 鱼技术,通过窃取网上信用卡、银行帐号密码,以及用户的网游帐号等虚 拟资产等信息对用户现实世界的经济利益造成损失。这些攻击往往伪装为 合法应用程序和邮件信息,设计为欺骗用户暴露敏感信息、下载和安装恶 意程序,传统的安全软件很难加以阻挡,往往需要先进的检测和安全技术
技术实现思路
本专利技术的一个目的在于,提供一种防止病毒动态攻击程序的装置。 本专利技术该目的是通过如下技术方案实现的一种防止病毒动态攻击程序的装置,其特征在于,所述装置包括桌面管理器和桌面边界保护模块,所述桌面管理器为一受到所述桌面 边界保护模块保护的桌面的列表;所述桌面边界保护模块用于监控与被保护桌面相关的操作。所述桌面边界保护模块包括,监控和/或拦截系统中线程或进程对被保 护桌面相关操作的执行的程序授权管理模块。所述程序授权管理模块监控和/或拦截系统中线程或进程对被保护桌面相关操作的执行的行为包括以下三类行为中的一种或几种打幵被保护桌面;将线程或者进程设置到在被保护桌面上运行;将进程创建到在被保护桌面上。特别地,所述桌面边界保护模块还包括,对需要进入所述被保护桌面 的程序进行安全检测的桌面边界扫描模块。所述装置还包括,对运行在所述被保护桌面上的程序进行行为隔离的 桌面内部防护模块。本专利技术的另外一个目的在于,提供一种防止病毒动态攻击程序的方法。本专利技术该目的是通过如下技术方案实现的.-一种防止病毒动态攻击程序的方法,其特征在于,其包括如下过程创建一桌面管理器;所述桌面管理器为一受到桌面边界保护模块保护 的桌面的列表; 创建一桌面;将所述桌面加入到所述桌面管理器;利用所述桌面边界保护模块对与所述桌面相关的操作进行监控,使所述桌面受到保护。所述桌面边界保护模块包括,监控和/或拦截系统中线程或进程对被保 护桌面相关操作的执行的程序授权管理模块。所述程序授权管理模块监控和/或拦截系统中线程或进程对被保护桌面相关操作的执行的行为包括以下三类行为中的一种或几种打开被保护桌面;将线程或者进程设置到在被保护桌面上运行;将进程创建到在被保护桌面上。特别地,所述桌面边界保护模块还包括,对需要进入所述被保护桌面 的程序进行安全检测的桌面边界扫描模块。所述方法还包括,通过桌面内部防护模块对运行在所述被保护桌面上 的程序进行行为隔离。本专利技术通过在计算机操作系统中建立一桌面管理器,以及一个监控与桌 面管理器中被保护桌面相关的操作的桌面边界防护模块,来监视或拦截系 统中线程或进程对被保护桌面执行不当的操作。如在未授权的情况下修改 系统中与被保护桌面相关的底层数据结构以及将线程或者进程设置到在被保护桌面上运行;将进程创建到在被保护桌面上等;通过上述技术方案本 专利技术可以阻止病毒跨桌面进行攻击操作,如向其他桌面上的程序进行 Hooks、消息、伪造窗口的钓鱼攻击等,以确保此其他桌面中运行的程序难 以被盗号木马等病毒动态攻击。附图说明图1为本专利技术所述装置的原理示意图; 图2为本专利技术所述方法的流程图3为本专利技术中所述桌面边界扫描流程图。具体实施方式 实施例一下面结合附图l、 2具体的Windows操作系统,进一步阐述本专利技术的技 术方案。如图1, 一种防止病毒动态攻击程序的装置,所述装置包括桌面管理器和桌面边界保护模块,所述桌面管理器为一受到所述桌面边界保护模块保护的桌面的列表;所述桌面边界保护模块用于监控与被保护桌面相关的操作。所述桌面边界保护模块至少包括一用于监控和/或拦截系统中线程或进程对被保护桌面相关操作的执行的程序授权管理模块。众所周知,利用Windows操作系统的计算机,在正常启动运行的条件下,会显示出一个可视的界面,本专利技术中将该界面定义为主桌面;所述主桌面除了包括显示在该界面上的各种快捷图标、文件或文件夹等外,还包括有支撑上述可视信息的底层数据信息,如程序列表、注册表信息、操作系统底层数据结构等。如图2,本专利技术用于防止病毒动态攻击程序的方案的过程如下 在Windows操作系统中建立一桌面管理器,所述所述桌面管理器为一 受到所述桌面边界保护模块保护的桌面的列表;建立一有别于上述主桌面的受特殊保护的安全桌面-, 将所述安全桌面加入到所述桌面管理器;利用桌面边界保护模块对与所述桌面相关的操作进行监控,使所述安 全桌面受到保护。本实施例中,所述桌面边界保护模块的功能是通过其内部的用于监控 和/或拦截系统中线程或进程对被保护桌面相关操作的执行的程序授权管 理模块实现的。利用所述程序授权管理模块对系统中线程或进程访问安全 桌面相关的操作进行监控或/和拦截,隔绝来自其他桌面的所有未经授权程序对所述安全桌面的常见攻击手段,如Hooks、消息、伪造窗口的钓鱼攻击等,以确保此安全桌面中运行的程序难以受到上述病毒的动态攻击。在所 述安全桌面中维护有一个被保护的程序列表,当一个程序被加入安全桌面, 即此程序被加入了安全桌面的被保护程序列表,此列表明确了哪些程序需 要保护。当在此列表中的程序,被采用保护模式运行的时候,所启动的进程就会被设为从属于安全桌面;在这种情况下,来自所述主桌面的Hook等 攻击操作将不会影响这个进程。具体说,为了隔绝病毒程序对所述安全桌面的攻击,所述程序授权管理模块拦截了所有未经过安全检测(通过杀毒或者在线文件校验等方法进行检测)的程序在运行时切换到所述安全桌面运行的行为。即通过桌面边界防护模块防止没有经过安全检测的程序在运行时切换到所述安全桌面,避免其他程序通过在运行时切换到所述安全桌面,获得在所述安全桌面上执行代码的权限。所述程序授权管理模块监控和/或拦截系统中线程或进程对被保护桌面 相关操作的执行的行为包括以下三类行为中的一种或几种1)、试图打开 安全桌面(例如,使用OpenDeskt邻打开安全桌面的句柄);2)试图指定 一个程序在安全桌面上运行(例如,通过API SetThreadDesktop将线程设 置到安全桌面上运行);以及,3)、将一个进程或者线程设置到安全桌面去 运行(例如,在CreateProcess中将进程的启动桌面设置为安全桌面)。在 所述程序授权管理模块中也包含一已授权程序列表,该列表的内容与所述安全桌面中维护的被保护的程序列表相对应,用于判断哪些程序可以访问 所述安全桌面。即所述程序授权管理模块隔绝了非可信任程序对安全桌面 的访问,这使得未经认证或者杀毒的程序无法进入安全桌面,避免了木马 通过潜入安全桌面进行攻击的可能。目前本专利技术的产品实现中,具体包括 两种做法,可以是其中任何一种,或者是两种方法的结合做法1是拦截几个相关的系统API函数:本文档来自技高网...
【技术保护点】
一种防止病毒动态攻击程序的装置,其特征在于,所述装置包括:桌面管理器和桌面边界保护模块,所述桌面管理器为一受到所述桌面边界保护模块保护的桌面的列表;所述桌面边界保护模块用于监控与被保护桌面相关的操作。
【技术特征摘要】
1、一种防止病毒动态攻击程序的装置,其特征在于,所述装置包括桌面管理器和桌面边界保护模块,所述桌面管理器为一受到所述桌面边界保护模块保护的桌面的列表;所述桌面边界保护模块用于监控与被保护桌面相关的操作。2、 根据权利要求l所述的一种防止病毒动态攻击程序的装置,其特征在于,所述桌面边界保护模块包括,监控和/或拦截系统中线程或进程对被 保护桌面相关操作的执行的程序授权管理模块。3、 根据权利要求2所述的一种防止病毒动态攻击程序的装置,其特征 在于,所述程序授权管理模块监控和/或拦截系统中线程或进程对被保护 桌面相关操作的执行的行为包括以下三类行为中的一种或几种打开被保 护桌面;将线程或者进程设置到在被保护桌面上运行;将进程创建到在被 保护桌面上。4、 根据权利要求3所述的一种防止病毒动态攻击程序的装置,其特征 在于,所述程序授权管理模块具体通过监控和/或拦截如下API函数实现监控和/或拦截线程或进程打开被保护桌面,需要拦截CreateDesktop、 OpenDesktop 、 OpenI叩utDesktop中的一种或几种;监控和/或拦截线程 或进程被指定到被保护桌面上运行,需要拦截SetThreadDesktop;监控和/ 或拦截线程或进程被创建到被保护桌面上,需要拦截CreateProcess、 NTCreateProcess 、 zwCreateProcess中的一种或几种。5、 根据权利要求2所述的一种防止病毒动态攻击程序的装置,其特征 在于,所述程序授权管理模块中包含一已授权程序列表。6、 根据权利要求l所述的一种防止病毒动态攻击程序的装置,其特征 在于,所述桌面边界保护模块还包括,对需要进入所述被保护桌面的程序 进行安全检测的桌面边界扫描模块。7、 根据权利要求l所述的一种防止病毒动态攻击程序的装置,其特征 在于,所述装置还包括,对运行在所述被保护桌面上的程序进行行为隔离 的桌面内部防护模块。8、 一种防止病毒动态攻击程序的方法,其...
【专利技术属性】
技术研发人员:黄声声,邓鹏,
申请(专利权)人:珠海金山软件股份有限公司,
类型:发明
国别省市:44[中国|广东]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。