本发明专利技术提出了一种防止浏览器的漏洞被利用的方法和装置。本发明专利技术提出的方法包括:监视浏览器进程下载的文件;拦截所述浏览器进程发起的进程创建动作;判断所拦截的进程创建动作是否要启动所述浏览器进程下载的所述文件;如果判断结果为是,则向用户提示浏览器的漏洞可能被利用。利用本发明专利技术提出的方法和装置可以防止浏览器的漏洞被利用来执行恶意代码。
【技术实现步骤摘要】
本专利技术涉及一种计算机防护方法和装置,本专利技术尤其涉及一种防止网页(Web)浏览器被恶意程序利用的方法和装置。
技术介绍
如今,社会及家庭网络应用的大量普及使得人们可以充分享受宽 带网络带来的便利与快捷。但与此同时,这也为各类严重威胁计算机 安全的病毒提供了方便之门,使得经由网络进行攻击的病毒大量涌 现。在众多利用网络进行攻击的病毒当中,木马病毒由于能够隐蔽地随时向远程计算机发送指定信息,甚至具备远程交互能力而成为黑客们钟爱的后门工具。然而,对于用户而言,木马病毒的危害是巨大的。 木马病毒可使用户的计算机随时暴露于黑客的控制与监视之下,黑客们可以轻而易举地远程窃取用户的信息,比如用户的账户信息、密码 等等。这严重威胁到用户使用计算机的安全性。木马病毒发展至今,已经演化出了各种各样的木马嵌入和加载模式,使得用户防不胜防。例如,其中一种称之为"挂马"的方式就是 利用漏洞侵入网站,然后在例如网页链接上嵌入木马程序代码。这样, 用户在利用浏览器浏览网页时就很可能点击挂有木马程序的链接,并 由此自动将病毒程序安装到用户计算机上。而且,这种病毒程序在自 动安装时没有任何提示,因此用户会在毫无察觉的情况下感染病毒。 对于,如网络"挂马"的这类漏洞攻击方式而言,传统的査毒和 杀毒软件以及计算机防护软件都无法彻底解决。因为传统的计算机防 护方法都是通过病毒特征扫描方式来实现的,对于利用漏洞的网络攻 击无能为力。因此,现今迫切需要一种计算机防护方法来防止Web浏览器被 漏洞利用而执行恶意代码。
技术实现思路
本专利技术的一个目的在于提出一种防止Web浏览器被漏洞利用的 方法和装置。利用本专利技术提出的方法和装置可以识别出利用浏览器自 动下载并启动恶意程序的行为,从而防止浏览器被漏洞利用而执行恶 意代码侵害用户计算机。为了实现上述目的,本专利技术提出的防止网页浏览器被漏洞利用的 方法包括监视浏览器进程下载的文件;拦截所述浏览器进程发起的 进程创建动作;判断所拦截的进程创建动作是否要启动所述浏览器进 程下载的所述文件;如果判断结果为是,则向用户提示浏览器的漏洞 可能被利用。此外,本专利技术还提出了与上述方法相对应的计算机保护 装置。根据本专利技术提出的方法,由于在浏览器进程启动进程之前判断并 提醒用户"要启动的程序为该浏览器进程下载的文件",因而能够及 时防止不可信的程序的运行,从而防止经由浏览器下载的病毒软件感 染计算机。附图说明图1示出根据本专利技术一个实施例的防止Web浏览器被漏洞利用 的方法的总体流程图2示出根据本专利技术一个实施例的监视Web浏览器下载的文件 的过程;图3示出根据本专利技术一个实施例的拦截Web浏览器进程创建动 作的处理过程。具体实施例方式以下将结合具体实施例对本专利技术提出的防止Web浏览器被漏洞利用的方法和装置进行详细地描述。为了便于理解,在以下实施例中,仅以Windows操作系统为例进行描述。但是,本领域技术人员可以 理解的是本专利技术的思想和精神还可应用于其它计算机操作系统中,并 不局限于Windows操作系统。此外,为了描述方便,以下将"Web 浏览器"简称为"浏览器",但在本专利技术中所述浏览器均指用于浏览 网页的Web浏览器。如上所述,当用户利用浏览器浏览例如被"挂马"的网页时,很 有可能无意间通过浏览器下载并安装恶意程序或病毒。为了能够有效 地防止浏览器被如此利用,首先需要分析这种漏洞利用程序通常采用 的手段。一般而言,黑客在利用漏洞攻击网络时都会编写shdlcode。 shellcode是一段用来发送到服务器以便利用特定漏洞的代码。 shdlcode可覆盖内存中原有正确的代码,并获取执行权限,从而成功 利用漏洞完成自身的功能。具体而言,漏洞利用程序通常采用以下三种方式。1) 在shellcode中实现所有功能有些漏洞利用者会在shellcode中实现所有病毒的功能。但是, 由于shellcode编写难度比较大,而且环境比较受限,所以shellcode 通常只能用来实现比较简单的功能。因此,这种方式并不多见。如果 黑客希望实现复杂的功能,则只能通过以下两种方式实现。2) 利用shellcode下载病毒程序并直接执行 漏洞利用者通常编写一段简单的shellcode代码来下载一个恶意程序,然后调用启动进程的函数,如WinExec或CreateProcess等API函数来激活该恶意程序。这种方法比较通用,漏洞利用者只需要替换 不同的恶意程序来实现不同的攻击需要即可。3) 利用shellcode下载病毒程序并间接执行 漏洞利用者通常编写一个简单的shellcode代码来下载一个恶意程序并生成一个脚本文件,通过调用其它脚本解释程序运行该脚本文、件,从而激活恶意程序。这种方法与第二种方法一样比较流行,因为 漏洞利用者只需要替换不同的恶意程序就可以实现不同的攻击需要。 通过对漏洞利用程序行为的分析不难看出,漏洞利用程序都会在 漏洞利用功能成功后,即成功下载恶意程序后,通过创建进程来直接 启动一个恶意程序,或者通过创建一个解释器来解释执行一个脚本, 从而间接启动恶意程序。所以,针对这几种类型的漏洞利用,可以通 过拦截浏览器进程的进程创建动作,并判断欲启动的程序是否为浏览 器下载的文件即可阻断漏洞利用程序执行恶意代码的行为。图1示出了在本专利技术一个实施例中的防止浏览器被漏洞利用的 总体流程图。如图1所示,根据本专利技术的上述思想,为了监视一个浏览器进程IO下载的文件,在本专利技术的一个实施例中增加了监视模块20。监视 模块20会从浏览器进程10创建之初起监视并记录其下载的文件。同 时,为了拦截该浏览器进程10的进程创建动作,还增加了拦截模块 30。这里需要指出是,在没有特殊说明的情况下,在本文中所提到的 被监视和被拦截的浏览器进程是指同一个浏览器进程,且在附图中标 识为浏览器10。在图1中,每当一个浏览器进程IO发起一个下载文件动作(步 骤SllO),监视模块20就会拦截该下载文件动作,同时记录该浏览 器进程10下载的文件的信息(步骤S120)。继而,按照如上对漏洞 利用程序的分析,在文件下载完毕后,浏览器进程10会试图创建一 个新的进程来执行恶意代码。拦截模块30的作用就是将这个进程创 建动作拦截下来(步骤S130),然后搜索监视模块20所记录的文件 信息,以判断该进程创建动作是否要启动一个由该浏览器进程10下 载的文件(步骤S140)。最后,拦截模块30根据步骤S140中的判断 结果,确定是否提示用户,以便用户选择是否拒绝进程创建(步骤 S150)。采用如图1所示的上述过程,用户可以在病毒安装或启动之前就 获得该程序行为可疑的信息,然后根据需要选择是允许、还是拒绝执 ^1该可疑程序。由此,如果所拦截的程序为病毒或木马则可及时阻止 它的运行,避免其感染计算机。以下结合图2和图3详细描述监视模块20和拦截模块30的具体 操作过程。图2示出了在浏览器被漏洞利用后,当shellcode代码试图通过 浏览器10下载文件时,监视模块20所执行的拦截和监视动作。如本 领域所公知的,文件下载动作具体可拆分为文件创建动作和文件写入 工作。为此,在监视模块20中包括一个用于拦截文件创建动作的文 件创建(CreateFile)拦截模块21, 一个用于拦截文件写入本文档来自技高网...
【技术保护点】
一种防止网页浏览器被漏洞利用的方法,包括: 监视浏览器进程下载的文件; 拦截所述浏览器进程发起的进程创建动作; 判断所拦截的进程创建动作是否要启动所述浏览器进程下载的所述文件; 如果判断结果为是,则向用户提示浏览器的漏洞可能被利用。
【技术特征摘要】
【专利技术属性】
技术研发人员:周军,
申请(专利权)人:北京瑞星国际软件有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。