窗口防护方法、装置、设备及存储介质制造方法及图纸

本发明专利技术属于计算机技术领域，公开了一种窗口防护方法、装置、设备及存储介质。本发明专利技术通过接收进程防护指令，获取进程防护指令对应的目标进程；在目标进程为窗口进程时，监控对象索引函数；若监控到对象索引函数被调用，则获取调用对象索引函数的调用进程及目标调用参数；当目标调用参数与目标进程的进程句柄一致时，移除调用进程对目标进程的句柄复制权限。由于移除调用进程对目标进程的句柄复制权限可以有效的避免调用进程获取目标进程的可操控窗口对象，避免恶意进程对窗口内容的修改，且仅需根据进程防护指令确定受保护的目标进程即可，无需为了发现潜在风险而进行全局扫描，也无需设置全局白名单，延迟率低，可满足用户对时效性的要求。时效性的要求。时效性的要求。

【技术实现步骤摘要】
窗口防护方法、装置、设备及存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种窗口防护方法、装置、设备及存储介质。

技术介绍

[0002]现如今，在线交易已经极其普及，通过浏览器网页窗口即可完成在线交易，大部分用户均会采用在线交易方式，而恶意程序针对在线交易进攻的案例也屡见不鲜，恶意程序会修改窗口中的交易信息等或在交易网口中加载恶意虚假信息，用户若不注意则容易造成经济损失。因此，对浏览器的网页窗口进行防护也是重中之重。
[0003]而现如今对浏览器的网页窗口防护一般采用的是开启网购模式，网购模式会对系统进行全局扫描以发现系统中可能存在的恶意程序，网购模式一般采用的是非白即黑的模式进行运行，只要系统中存在未被判定为安全的程序即被认定存在安全风险，但是由于白名单需要主动上报的特性，导致白名单的添加和利用存在延迟性，部分未被记录的程序需要用户主动添加至白名单，且全局扫描缓慢，用户体验较差，且用户若对时效性要求较高，甚至会给用户带来损失。
[0004]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

[0005]本专利技术的主要目的在于提供一种窗口防护方法、装置、设备及存储介质，旨在解决现有技术窗口防护存在延迟性的技术问题。
[0006]为实现上述目的，本专利技术提供了一种窗口防护方法，所述方法包括以下步骤:
[0007]接收进程防护指令，获取所述进程防护指令对应的目标进程；
[0008]在所述目标进程为窗口进程时，监控对象索引函数；
[0009]若监控到所述对象索引函数被调用，则获取调用所述对象索引函数的调用进程及目标调用参数；
[0010]当所述目标调用参数与所述目标进程的进程句柄一致时，移除所述调用进程对所述目标进程的句柄复制权限。
[0011]可选的，所述接收进程防护指令，获取所述进程防护指令对应的目标进程的步骤，包括：
[0012]接收进程防护指令，提取所述进程防护指令中的进程列表标识；
[0013]根据所述进程列表标识在预设存储空间中查找对应的受保护进程列表；
[0014]根据所述受保护进程列表确定目标进程。
[0015]可选的，所述在所述目标进程为窗口进程时，监控对象索引函数的步骤之前，还包括：
[0016]获取所述目标进程的进程信息；
[0017]根据所述进程信息在预设窗口进程表中查找对应的进程信息；
[0018]在根据所述进程信息在所述预设窗口进程表中查找到对应的进程信息时，判定所述目标进程为窗口进程。
[0019]可选的，所述根据所述进程信息在预设窗口进程表中查找对应的进程信息的步骤之后，还包括：
[0020]在根据所述进程信息在所述预设窗口进程表中未查找到对应的进程信息时，通过预设窗口查找接口查找所述目标进程对应的窗口信息；
[0021]在所述目标进程存在对应的窗口信息时，判定所述目标进程为窗口进程。
[0022]可选的，所述在所述目标进程为窗口进程时，监控对象索引函数的步骤之后，还包括：
[0023]若未监控到所述对象索引函数被调用，则对所述目标进程进行进程注入防护。
[0024]可选的，所述若未监控到所述对象索引函数被调用，则对所述目标进程进行进程注入防护的步骤，包括：
[0025]若未监控到所述对象索引函数被调用，则监控对进程开启接口的调用操作；
[0026]在监控到所述进程开启接口被调用时，获取所述进程开启接口被调用时的待开启进程及调用所述进程开启接口的接口调用进程；
[0027]当所述待开启进程为所述目标进程时，移除所述接口调用进程对所述待开启进程的进程操作权限。
[0028]可选的，所述若未监控到所述对象索引函数被调用，则对所述目标进程进行进程注入防护的步骤，包括：
[0029]若未监控到所述对象索引函数被调用，则监控对线程开启接口的调用操作；
[0030]在监控到所述线程开启接口被调用时，获取所述线程开启接口被调用时的待开启线程及调用所述线程开启接口的接口调用进程；
[0031]当所述待开启线程归属的进程为所述目标进程时，移除所述接口调用进程对所述待开启线程的线程操作权限。
[0032]可选的，所述若未监控到所述对象索引函数被调用，则对所述目标进程进行进程注入防护的步骤，包括：
[0033]若未监控到所述对象索引函数被调用，则监控系统注册表中的动态库注入配置及动态库注入列表；
[0034]当监控到修改进程对所述动态库注入配置及所述动态库注入列表进行修改时，在预设进程黑名单中查找所述修改进程；
[0035]当在所述预设进程黑名单中查找到所述修改进程时，拦截所述修改进程对所述动态库注入配置及所述动态库注入列表的修改。
[0036]可选的，所述若未监控到所述对象索引函数被调用，则对所述目标进程进行进程注入防护的步骤，包括：
[0037]若未监控到所述对象索引函数被调用，则对所述目标进程的动态库加载操作进行监控；
[0038]在监控到所述目标进程进行动态库加载操作时，获取对应的待加载动态库；
[0039]在预设动态库黑名单中查找到所述待加载动态库时，阻断所述目标进程的动态库
加载操作。
[0040]可选的，所述对所述目标进程的动态库加载操作进行监控的步骤，包括：
[0041]获取所述目标进程的进程环境信息块；
[0042]对所述进程环境信息块进行特征码比对，以定位所述目标进程的动态库加载代码；
[0043]对所述动态库加载代码进行拦截，以监控所述目标进程的动态库加载操作。
[0044]可选的，所述当所述目标调用参数与所述目标进程的进程句柄一致时，移除所述调用进程对所述目标进程的句柄复制权限的步骤，包括：
[0045]当所述目标调用参数与所述目标进程的进程句柄一致时，确定所述调用进程是否满足预设权限移除条件；
[0046]在所述调用进程满足预设权限移除条件时，移除所述调用进程对所述目标进程的句柄复制权限。
[0047]可选的，所述在所述调用进程满足预设权限移除条件时，移除所述调用进程对所述目标进程的句柄复制权限的步骤之前，还包括：
[0048]获取所述调用进程的进程类型；
[0049]在所述进程类型为非系统进程、所述调用进程并非受保护进程且所述调用进程的进程句柄与所述目标进程的进程句柄不一致时，判定所述调用进程满足预设权限移除条件。
[0050]此外，为实现上述目的，本专利技术还提出一种窗口防护装置，所述窗口防护装置包括以下模块：
[0051]指令接收模块，用于接收进程防护指令，获取所述进程防护指令对应的目标进程；
[0052]函数监控模块，用于在所述目标进程为窗口进程时，监控对象索引函数；
[0053]数据获取模块，用于若监控到所述对象索引函数被调用，则获取调用所述对象索引函数的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种窗口防护方法，其特征在于，所述窗口防护方法包括以下步骤：接收进程防护指令，获取所述进程防护指令对应的目标进程；在所述目标进程为窗口进程时，监控对象索引函数；若监控到所述对象索引函数被调用，则获取调用所述对象索引函数的调用进程及目标调用参数；当所述目标调用参数与所述目标进程的进程句柄一致时，移除所述调用进程对所述目标进程的句柄复制权限。2.如权利要求1所述的窗口防护方法，其特征在于，所述接收进程防护指令，获取所述进程防护指令对应的目标进程的步骤，包括：接收进程防护指令，提取所述进程防护指令中的进程列表标识；根据所述进程列表标识在预设存储空间中查找对应的受保护进程列表；根据所述受保护进程列表确定目标进程。3.如权利要求1所述的窗口防护方法，其特征在于，所述在所述目标进程为窗口进程时，监控对象索引函数的步骤之前，还包括：获取所述目标进程的进程信息；根据所述进程信息在预设窗口进程表中查找对应的进程信息；在根据所述进程信息在所述预设窗口进程表中查找到对应的进程信息时，判定所述目标进程为窗口进程。4.如权利要求3所述的窗口防护方法，其特征在于，所述根据所述进程信息在预设窗口进程表中查找对应的进程信息的步骤之后，还包括：在根据所述进程信息在所述预设窗口进程表中未查找到对应的进程信息时，通过预设窗口查找接口查找所述目标进程对应的窗口信息；在所述目标进程存在对应的窗口信息时，判定所述目标进程为窗口进程。5.如权利要求1所述的窗口防护方法，其特征在于，所述在所述目标进程为窗口进程时，监控对象索引函数的步骤之后，还包括：若未监控到所述对象索引函数被调用，则对所述目标进程进行进程注入防护。6.如权利要求5所述的窗口防护方法，其特征在于，所述若未监控到所述对象索引函数被调用，则对所述目标进程进行进程注入防护的步骤，包括：若未监控到...

【专利技术属性】
技术研发人员：郑劲松，魏狄龙，曹经纬，
申请(专利权)人：三六零数字安全科技集团有限公司，
类型：发明
国别省市：