CN105631333A - 安全防护方法及装置 - Google Patents

安全防护方法及装置 Download PDF

Info

Publication number
CN105631333A
CN105631333A CN201510992713.5A CN201510992713A CN105631333A CN 105631333 A CN105631333 A CN 105631333A CN 201510992713 A CN201510992713 A CN 201510992713A CN 105631333 A CN105631333 A CN 105631333A
Authority
CN
China
Prior art keywords
application program
dll file
descriptor
file
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510992713.5A
Other languages
English (en)
Inventor
孙诚
何博
王亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201510992713.5A priority Critical patent/CN105631333A/zh
Publication of CN105631333A publication Critical patent/CN105631333A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提供了一种安全防护方法及装置,其中的安全防护装置包括:匹配单元,用于在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配;发送单元,用于在匹配成功之后,将所述应用程序加载DLL文件的描述信息发送至服务端,以使服务端返回是否进行拦截的判断结果;拦截单元,用于在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理。基于此,本发明可以对应用程序因加载DLL文件而具有的有害功能实现有效的分离,还可以在适当的设置下使得被第三方DLL文件影响正常使用的应用程序恢复正常,实现应用程序加载的DLL文件的安全管理,大大提升用户体验。

Description

安全防护方法及装置
技术领域
本发明涉及计算机技术领域,具体涉及一种安全防护方法及装置。
背景技术
现有的安全防护软件对于恶意程序的拦截通常停留在对启动进程的拦截和对进程行为的拦截。比如,在应用程序启动具有推送广告功能的进程时拦截该进程的启动;再如,在某进程下载推广应用的安装文件时对该进程的下载行为进行拦截。由此,虽然安全防护软件可以实现对风险行为的拦截,但也同时会使得应用程序的一些用户所需要的功能失效。
例如,一款浏览器本身可以正常地为用户提供网页浏览功能,但在该浏览器加载某个动态链接库(DynamicLinkLibrary,DLL)文件之后,浏览器的进程就会增加一项自动向用户推送广告的功能。在此场景下,由于浏览器的进程的推送广告行为与正常的推送消息行为并不能有效地区分开,因此安全防护软件只能采用对启动进程的拦截来阻止浏览器推送广告。但是,一旦阻止浏览器的进程的启动,进程所具有的其他功能也会失效,使得用户无法正常地使用浏览器浏览网页。
由此可见,现有的安全防护软件并不能对应用程序因加载DLL文件而所具有的有害功能进行有效地分离,使得用户只能在不能使用正常功能与使用附有恶意程序的正常功能之间进行选择。
发明内容
针对现有技术中的缺陷,本发明提供一种安全防护方法及装置,可对应用程序因加载DLL文件而具有的有害功能实现有效的分离。
第一方面,本发明提供了一种安全防护装置,包括:
匹配单元,用于在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配;
发送单元,用于在匹配成功之后,将所述应用程序加载DLL文件的描述信息发送至服务端,以使服务端返回是否进行拦截的判断结果;
拦截单元,用于在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理。
可选地,所述匹配单元包括:
第一获取模块,用于获取所述应用程序的描述信息;
第一判断模块,用于根据所述应用程序的描述信息判断该应用程序是否包含于所述触发策略中的监控程序列表内;若否,则匹配失败;
第二获取模块,用于在所述第一判断模块的判断结果为是时,获取所述DLL文件的描述信息;
第二判断模块,用于根据所述DLL文件的描述信息判断该DLL文件是否包含于所述触发策略中对应于所述应用程序的安全文件列表内;若是,则匹配失败。
可选地,所述安全防护装置还包括添加单元和/或删除单元;其中,
所述删除单元用于在所述监控程序列表内将安全级别高于第一预设级别的应用程序删除;
所述添加单元用于将安全级别低于第二预设级别的应用程序添加至所述监控程序列表内。
可选地,所述安全防护装置还包括:
获取单元,用于从服务端获取与所述监控程序列表中的应用程序对应的所述安全文件列表。
可选地,所述拦截单元包括:
发送模块,用于在接收到进行拦截的判断结果之后向用户发送提示消息,使用户选择是否对所述应用程序加载DLL文件进行拦截处理;
拦截模块,用于在用户选择进行拦截处理之后,拦截所述应用程序对所述DLL文件的加载。
第二方面,本发明还提供了一种安全防护方法,包括:
在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配;
在匹配成功之后,将所述应用程序加载DLL文件的描述信息发送至服务端,以使服务端返回是否进行拦截的判断结果;
在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理。
可选地,所述在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配,包括:
获取所述应用程序的描述信息;
根据所述应用程序的描述信息判断该应用程序是否包含于所述触发策略中的监控程序列表内;若否,则匹配失败;
若是,则获取所述DLL文件的描述信息;
根据所述DLL文件的描述信息判断该DLL文件是否包含于所述触发策略中对应于所述应用程序的安全文件列表内;若是,则匹配失败。
可选地,所述安全防护方法还包括:
在所述监控程序列表内将安全级别高于第一预设级别的应用程序删除;和/或,
将安全级别低于第二预设级别的应用程序添加至所述监控程序列表内。
可选地,所述安全防护方法还包括:
从服务端获取与所述监控程序列表中的应用程序对应的所述安全文件列表。
可选地,所述在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理,包括:
在接收到进行拦截的判断结果之后向用户发送提示消息,使用户选择是否对所述应用程序加载DLL文件进行拦截处理;
在用户选择进行拦截处理之后,拦截所述应用程序对所述DLL文件的加载。
由上述技术方案可知,本发明可以在应用程序加载DLL文件时通过预设的触发规则选择是否向服务端发送应用程序加载DLL文件的描述信息,并在服务端根据描述信息判定需要拦截后执行相应的拦截处理。由此,本发明可以有效阻止带有有害功能的DLL文件的加载,同时可以不对应用程序本来的功能造成影响,因此对于应用程序因加载DLL文件而具有的有害功能,可以实现有效的分离。
相对于现有技术,本发明基于对加载DLL文件的拦截,可以实现应用程序中有益功能和有害功能的分离;其不仅可以避免应用程序在加载DLL文件后具有有害功能,还可以在适当的设置下使得被第三方DLL文件影响正常使用的应用程序恢复正常,实现应用程序加载的DLL文件的安全管理,大大提升用户体验。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中一种安全防护方法的步骤流程示意图;
图2是本发明一个实施例中一种匹配触发策略的流程示意图;
图3是本发明一个实施例中一种安全防护装置的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中需要说明的是,术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
图1是本发明一个实施例中一种安全防护方法的步骤流程示意图。参见图1,该安全防护方法包括:
步骤101:在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配;
步骤102:在匹配成功之后,将所述应用程序加载DLL文件的描述信息发送至服务端,以使服务端返回是否进行拦截的判断结果;
步骤103:在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理。
其中可以理解的是,本发明的安全防护方法可以应用于任意一种终端设备上,例如个人计算机(如台式机、笔记本电脑、平板电脑、一体机)、智能手机、电子书、智能电视、数码相框、智能导航仪等等。
需要说明的是,上述DLL文件指的是动态链接库文件(DynamicLinkLibrary),其可以记载与各个相对独立的功能相对应的函数。而可以理解的是,DLL文件中与单个功能相对应的部分可以分离出来作为一个单独的DLL文件,因此两者在本发明实施例中可以相互等同。
还需要说明的是,上述应用程序的描述信息可以包括下述信息中的至少一种:应用程序的相关进程的命令行信息、进程路径信息和父进程路径信息;应用程序的相关文件的文件名称信息、文件描述信息、文件大小信息、文件版本信息、文件特征值信息、内部名称信息、公司名称信息、版权声明信息、产品名称信息、产品版本信息、公司名称的数字签名信息。需要说明的是,上述DLL文件的描述信息可以包括下述信息中的至少一种:DLL文件的文件名称信息、文件描述信息、文件大小信息、文件版本信息、文件特征值信息、内部名称信息、公司名称信息、版权声明信息、产品名称信息、产品版本信息、公司名称的数字签名信息。基于此,上述应用程序加载DLL文件的描述信息除了可以包括上述信息中的至少一种之外,还可以包括应用程序所在的操作***的环境信息。
可以理解的是,上述触发策略主要用于在某应用程序加载某DLL文件时是否需要将其描述信息发送至服务端以进行是否拦截的判断。由此,触发策略可以预先依照所需要的安全防护等级和由此所带来的***资源的占用可以采用白名单模式和/或黑名单模式,以实现较严格或者较宽松的安全防护,本发明对此不做限制。而上述匹配成功指的是触发策略认定需要进行是否拦截的判断的情形,反之匹配失败则指的是触发策略认定不需要进行是否拦截的判断的情形。
还可以理解的是,上述服务端主要用于根据应用程序加载DLL文件的描述信息来判断是否对据应用程序加载DLL文件进行拦截,其具体可以是单个服务器设备、服务器群组、服务器集群、云服务器设备或者其已安装软件。由此,服务端可以基于应用软件的数据库、DLL文件的数据库以及恶意代码的数据库分析应用软件与其将要加载的DLL文件的功能之间的关系、DLL文件是否包含恶意代码、拦截DLL文件加载可能造成的后果等等。从而,服务端的工作人员可以通过适当的配置来选择合适的判定规则,以实现较佳的安全防护效果。
由上述技术方案可知,本发明实施例可以在应用程序加载DLL文件时通过预设的触发规则选择是否向服务端发送应用程序加载DLL文件的描述信息,并在服务端根据描述信息判定需要拦截后执行相应的拦截处理。由此,本发明实施例可以有效阻止带有有害功能的DLL文件的加载,同时可以不对应用程序本来的功能造成影响,因此对于应用程序因加载DLL文件而具有的有害功能,可以实现有效的分离。
相对于现有技术,本发明实施例基于对加载DLL文件的拦截,可以实现应用程序中有益功能和有害功能的分离;其不仅可以避免应用程序在加载DLL文件后具有有害功能,还可以在适当的设置(主要指的是服务端对于DLL文件是否需要拦截的判断的相关设置)下使得被第三方DLL文件影响正常使用的应用程序恢复正常,实现应用程序加载的DLL文件的安全管理,大大提升用户体验。
作为上述触发策略的匹配过程的具体示例,图2是本发明一个实施例中一种匹配触发策略的流程示意图。参见图2,上述步骤101:在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配,可以具体包括:
步骤101a:获取应用程序的描述信息;
步骤101b:根据应用程序的描述信息判断该应用程序是否包含于触发策略中的监控程序列表内;若否,则匹配失败;
步骤101c:若是,则获取DLL文件的描述信息;
步骤101d:根据DLL文件的描述信息判断该DLL文件是否包含于触发策略中对应于应用程序的安全文件列表内;若是,则匹配失败。
其中需要说明的是,上述监控程序列表主要用于记载需要监控DLL文件加载情况的应用程序,其可以来自于默认设置、用户设置、服务端下发中的任意一项或多项;而上述安全文件列表则对应于特定的应用程序,主要用于记载应用程序正常运行时所需要加载的DLL文件,同样可以来自于默认设置、用户设置、服务端下发中的任意一项或多项。由此可以理解的是,监控程序列表中记载的应用程序以及安全文件列表中的DLL文件均是以一定形式来表示的(例如名称、功能、路径、出品公司等等特征信息或其组合),因此上述“是否包含于”的判断主要就是通过对比描述信息来确定是否相符的过程。可以看出,名称与名称之间的对比是最常见而通用的,而采用其他特征或者采用特征的组合则可以增加匹配的准确性,避免例如伪装文件名而绕过安全检测的情况发生。
进一步地,上述监控程序列表中的应用程序还可以来自于基于安全级别判断的添加或删除。具体来说,本发明实施例的安全防护方法,可以还包括未予图示的下述两个步骤或者其中之一:
步骤104:在所述监控程序列表内将安全级别高于第一预设级别的应用程序删除;
步骤105:将安全级别低于第二预设级别的应用程序添加至所述监控程序列表内。
需要说明的是,上述安全级别可以来自于任意一种终端对于应用程序的安全性的描述,比如安全防护软件对每一应用程序的安全级别的划分,而第一预设级别与第二预设级别可以各自为其中的一个安全级别或者两个安全级别之间的参量。基于此,可以通过周期性地执行上述步骤104和/或步骤105,以将安全级别较低的应用程序添加到监控程序列表中以降低安全风险,将安全级别较高的应用程序从监控程序列表中删除以降低***资源的占用。
然而可以理解的是,在监控程序列表中新增应用程序之后,与新的应用程序对应的安全文件列表可能没有在本地存储,因此可以使得上述安全防护方法还包括未予图示的下述步骤:
步骤106:从服务端获取与所述监控程序列表中的应用程序对应的所述安全文件列表。
由此,可以在监控程序列表中新增应用程序之后,将与该应用程序对应的安全文件列表对应地获取到本地。此外,在上述步骤106可以周期性执行,以维护和更新与每个应用程序对应的安全文件列表,进一步保障终端的安全。
需要说明的是,上述步骤104、步骤105和步骤106均是与预设的触发策略的建立、维护和更新相关的步骤,与步骤101至步骤103不需要具有必然的先后顺序。
另外,作为一种拦截处理的示例,上述步骤103:在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理,可以具体包括位于图示的下述步骤:
步骤103a:在接收到进行拦截的判断结果之后向用户发送提示消息,使用户选择是否对所述应用程序加载DLL文件进行拦截处理;
步骤103b:在用户选择进行拦截处理之后,拦截所述应用程序对所述DLL文件的加载。
由此,在对拦截所述应用程序对所述DLL文件的加载之前,可以先对用户进行提示,以避免拦截由用户主导的DLL文件的加载、影响用户的使用体验。当然,在本发明的其他实施例中,可以在用户设置中给出对于服务端返回的进行拦截的判断结果是否默认直接执行的选项,以不打扰用户的方式实现加载DLL文件的自动拦截,有利于用户体验的提升。
基于同样的发明构思,图3是本发明一个实施例中一种安全防护装置的结构框图。参见图3,该装置包括:
匹配单元31,用于在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配;
发送单元32,用于在匹配成功之后,将应用程序加载DLL文件的描述信息发送至服务端,以使服务端返回是否进行拦截的判断结果;
拦截单元33,用于在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理。
其中可以理解的是,本发明的安全防护装置可以应用于任意一种终端设备上,例如个人计算机(如台式机、笔记本电脑、平板电脑、一体机)、智能手机、电子书、智能电视、数码相框、智能导航仪等等。
需要说明的是,上述DLL文件指的是动态链接库文件(DynamicLinkLibrary),其可以记载与各个相对独立的功能相对应的函数。而可以理解的是,DLL文件中与单个功能相对应的部分可以分离出来作为一个单独的DLL文件,因此两者在本发明实施例中可以相互等同。
还需要说明的是,上述应用程序的描述信息可以包括下述信息中的至少一种:应用程序的相关进程的命令行信息、进程路径信息和父进程路径信息;应用程序的相关文件的文件名称信息、文件描述信息、文件大小信息、文件版本信息、文件特征值信息、内部名称信息、公司名称信息、版权声明信息、产品名称信息、产品版本信息、公司名称的数字签名信息。需要说明的是,上述DLL文件的描述信息可以包括下述信息中的至少一种:DLL文件的文件名称信息、文件描述信息、文件大小信息、文件版本信息、文件特征值信息、内部名称信息、公司名称信息、版权声明信息、产品名称信息、产品版本信息、公司名称的数字签名信息。基于此,上述应用程序加载DLL文件的描述信息除了可以包括上述信息中的至少一种之外,还可以包括应用程序所在的操作***的环境信息。
可以理解的是,上述触发策略主要用于在某应用程序加载某DLL文件时是否需要将其描述信息发送至服务端以进行是否拦截的判断。由此,触发策略可以预先依照所需要的安全防护等级和由此所带来的***资源的占用可以采用白名单模式和/或黑名单模式,以实现较严格或者较宽松的安全防护,本发明对此不做限制。而上述匹配成功指的是触发策略认定需要进行是否拦截的判断的情形,反之匹配失败则指的是触发策略认定不需要进行是否拦截的判断的情形。
还可以理解的是,上述服务端主要用于根据应用程序加载DLL文件的描述信息来判断是否对据应用程序加载DLL文件进行拦截,其具体可以是单个服务器设备、服务器群组、服务器集群、云服务器设备或者其已安装软件。由此,服务端可以基于应用软件的数据库、DLL文件的数据库以及恶意代码的数据库分析应用软件与其将要加载的DLL文件的功能之间的关系、DLL文件是否包含恶意代码、拦截DLL文件加载可能造成的后果等等。从而,服务端的工作人员可以通过适当的配置来选择合适的判定规则,以实现较佳的安全防护效果。
由上述技术方案可知,本发明实施例可以在应用程序加载DLL文件时通过预设的触发规则选择是否向服务端发送应用程序加载DLL文件的描述信息,并在服务端根据描述信息判定需要拦截后执行相应的拦截处理。由此,本发明实施例可以有效阻止带有有害功能的DLL文件的加载,同时可以不对应用程序本来的功能造成影响,因此对于应用程序因加载DLL文件而具有的有害功能,可以实现有效的分离。
相对于现有技术,本发明实施例基于对加载DLL文件的拦截,可以实现应用程序中有益功能和有害功能的分离;其不仅可以避免应用程序在加载DLL文件后具有有害功能,还可以在适当的设置(主要指的是服务端对于DLL文件是否需要拦截的判断的相关设置)下使得被第三方DLL文件影响正常使用的应用程序恢复正常,实现应用程序加载的DLL文件的安全管理,大大提升用户体验。
作为上述触发策略的匹配过程的具体示例,所述匹配单元31可以包括下述结构:
第一获取模块,用于获取所述应用程序的描述信息;
第一判断模块,用于根据所述应用程序的描述信息判断该应用程序是否包含于所述触发策略中的监控程序列表内;若否,则匹配失败;
第二获取模块,用于在所述第一判断模块的判断结果为是时,获取所述DLL文件的描述信息;
第二判断模块,用于根据所述DLL文件的描述信息判断该DLL文件是否包含于所述触发策略中对应于所述应用程序的安全文件列表内;若是,则匹配失败。
其中需要说明的是,上述监控程序列表主要用于记载需要监控DLL文件加载情况的应用程序,其可以来自于默认设置、用户设置、服务端下发中的任意一项或多项;而上述安全文件列表则对应于特定的应用程序,主要用于记载应用程序正常运行时所需要加载的DLL文件,同样可以来自于默认设置、用户设置、服务端下发中的任意一项或多项。由此可以理解的是,监控程序列表中记载的应用程序以及安全文件列表中的DLL文件均是以一定形式来表示的(例如名称、功能、路径、出品公司等等特征信息或其组合),因此上述“是否包含于”的判断主要就是通过对比描述信息来确定是否相符的过程。可以看出,名称与名称之间的对比是最常见而通用的,而采用其他特征或者采用特征的组合则可以增加匹配的准确性,避免例如伪装文件名而绕过安全检测的情况发生。
进一步地,上述监控程序列表中的应用程序还可以来自于基于安全级别判断的添加或删除。具体来说,本发明实施例的安全防护装置,可以还包括添加单元和/或删除单元;其中的删除单元用于在所述监控程序列表内将安全级别高于第一预设级别的应用程序删除;添加单元用于将安全级别低于第二预设级别的应用程序添加至所述监控程序列表内。需要说明的是,上述安全级别可以来自于任意一种终端对于应用程序的安全性的描述,比如安全防护软件对每一应用程序的安全级别的划分,而第一预设级别与第二预设级别可以各自为其中的一个安全级别或者两个安全级别之间的参量。基于此,该装置可以将安全级别较低的应用程序添加到监控程序列表中以降低安全风险,将安全级别较高的应用程序从监控程序列表中删除以降低***资源的占用。
然而可以理解的是,在监控程序列表中新增应用程序之后,与新的应用程序对应的安全文件列表可能没有在本地存储,因此可以使得上述安全防护装置还包括下述结构:
获取单元,用于从服务端获取与所述监控程序列表中的应用程序对应的所述安全文件列表。
由此,可以在监控程序列表中新增应用程序之后,将与该应用程序对应的安全文件列表对应地获取到本地。此外,在获取单元可以周期性获取所有应用程序对应的安全文件列表,以维护和更新与每个应用程序对应的安全文件列表,进一步保障终端的安全。
另外,作为一种拦截处理的示例,上述拦截单元33可以具体包括:
发送模块,用于在接收到进行拦截的判断结果之后向用户发送提示消息,使用户选择是否对所述应用程序加载DLL文件进行拦截处理;
拦截模块,用于在用户选择进行拦截处理之后,拦截所述应用程序对所述DLL文件的加载。
由此,在对拦截所述应用程序对所述DLL文件的加载之前,可以先对用户进行提示,以避免拦截由用户主导的DLL文件的加载、影响用户的使用体验。当然,在本发明的其他实施例中,可以在用户设置中给出对于服务端返回的进行拦截的判断结果是否默认直接执行的选项,以不打扰用户的方式实现加载DLL文件的自动拦截,有利于用户体验的提升。
本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在于该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是互相排斥之处,可以采用任何组合对本说明书(包括伴随的权利要求和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种安全防护装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种安全防护装置,其特征在于,包括:
匹配单元,用于在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配;
发送单元,用于在匹配成功之后,将所述应用程序加载DLL文件的描述信息发送至服务端,以使服务端返回是否进行拦截的判断结果;
拦截单元,用于在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理。
2.根据权利要求1所述的安全防护装置,其特征在于,所述匹配单元包括:
第一获取模块,用于获取所述应用程序的描述信息;
第一判断模块,用于根据所述应用程序的描述信息判断该应用程序是否包含于所述触发策略中的监控程序列表内;若否,则匹配失败;
第二获取模块,用于在所述第一判断模块的判断结果为是时,获取所述DLL文件的描述信息;
第二判断模块,用于根据所述DLL文件的描述信息判断该DLL文件是否包含于所述触发策略中对应于所述应用程序的安全文件列表内;若是,则匹配失败。
3.根据权利要求2所述的安全防护装置,其特征在于,所述安全防护装置还包括添加单元和/或删除单元;其中,
所述删除单元用于在所述监控程序列表内将安全级别高于第一预设级别的应用程序删除;
所述添加单元用于将安全级别低于第二预设级别的应用程序添加至所述监控程序列表内。
4.根据权利要求2所述的安全防护装置,其特征在于,所述安全防护装置还包括:
获取单元,用于从服务端获取与所述监控程序列表中的应用程序对应的所述安全文件列表。
5.根据权利要求1所述的安全防护装置,其特征在于,所述拦截单元包括:
发送模块,用于在接收到进行拦截的判断结果之后向用户发送提示消息,使用户选择是否对所述应用程序加载DLL文件进行拦截处理;
拦截模块,用于在用户选择进行拦截处理之后,拦截所述应用程序对所述DLL文件的加载。
6.一种安全防护方法,其特征在于,包括:
在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配;
在匹配成功之后,将所述应用程序加载DLL文件的描述信息发送至服务端,以使服务端返回是否进行拦截的判断结果;
在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理。
7.根据权利要求6所述的安全防护方法,其特征在于,所述在应用程序加载DLL文件之前,将该应用程序的描述信息以及该DLL文件的描述信息与预设的触发策略进行匹配,包括:
获取所述应用程序的描述信息;
根据所述应用程序的描述信息判断该应用程序是否包含于所述触发策略中的监控程序列表内;若否,则匹配失败;
若是,则获取所述DLL文件的描述信息;
根据所述DLL文件的描述信息判断该DLL文件是否包含于所述触发策略中对应于所述应用程序的安全文件列表内;若是,则匹配失败。
8.根据权利要求7所述的安全防护方法,其特征在于,所述安全防护方法还包括:
在所述监控程序列表内将安全级别高于第一预设级别的应用程序删除;和/或,
将安全级别低于第二预设级别的应用程序添加至所述监控程序列表内。
9.根据权利要求7所述的安全防护方法,其特征在于,所述安全防护方法还包括:
从服务端获取与所述监控程序列表中的应用程序对应的所述安全文件列表。
10.根据权利要求6所述的安全防护方法,其特征在于,所述在接收到进行拦截的判断结果之后,对所述应用程序加载DLL文件进行拦截处理,包括:
在接收到进行拦截的判断结果之后向用户发送提示消息,使用户选择是否对所述应用程序加载DLL文件进行拦截处理;
在用户选择进行拦截处理之后,拦截所述应用程序对所述DLL文件的加载。
CN201510992713.5A 2015-12-24 2015-12-24 安全防护方法及装置 Pending CN105631333A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510992713.5A CN105631333A (zh) 2015-12-24 2015-12-24 安全防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510992713.5A CN105631333A (zh) 2015-12-24 2015-12-24 安全防护方法及装置

Publications (1)

Publication Number Publication Date
CN105631333A true CN105631333A (zh) 2016-06-01

Family

ID=56046257

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510992713.5A Pending CN105631333A (zh) 2015-12-24 2015-12-24 安全防护方法及装置

Country Status (1)

Country Link
CN (1) CN105631333A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106446671A (zh) * 2016-08-30 2017-02-22 上海二三四五网络科技有限公司 一种拦截动态库注入的方法
CN114157505A (zh) * 2021-12-09 2022-03-08 深圳市华锴信息技术有限公司 一种网路通信拦截方法及***

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106446671A (zh) * 2016-08-30 2017-02-22 上海二三四五网络科技有限公司 一种拦截动态库注入的方法
CN114157505A (zh) * 2021-12-09 2022-03-08 深圳市华锴信息技术有限公司 一种网路通信拦截方法及***
CN114157505B (zh) * 2021-12-09 2024-04-02 深圳市华锴信息技术有限公司 一种网路通信拦截方法及***

Similar Documents

Publication Publication Date Title
US9860263B2 (en) System and method for assessing data objects on mobile communications devices
US9344431B2 (en) System and method for assessing an application based on data from multiple devices
US9294500B2 (en) System and method for creating and applying categorization-based policy to secure a mobile communications device from access to certain data objects
EP2609538B1 (en) System and method for server-coupled malware prevention
US9740852B2 (en) System and method for assessing an application to be installed on a mobile communications device
US9235704B2 (en) System and method for a scanning API
US8984628B2 (en) System and method for adverse mobile application identification
CN103001947B (zh) 一种程序处理方法和***
CN102999720B (zh) 程序鉴别方法和***
CN102982281B (zh) 程序状况检测方法和***
CN103617395A (zh) 一种基于云安全拦截广告程序的方法、装置和***
CN103279706A (zh) 拦截在移动终端中安装安卓应用程序的方法和装置
CN105631312A (zh) 恶意程序的处理方法及***
CN104156235A (zh) 一种浏览器插件和/或扩展的更新方法和装置
CN103823873B (zh) 一种浏览器设置项的读/写方法、装置和***
CN104573497A (zh) 一种启动项的处理方法和装置
CN102999721B (zh) 一种程序处理方法和***
CN105631333A (zh) 安全防护方法及装置
CN105550573A (zh) 拦截捆绑软件的方法和装置
JP5753302B1 (ja) ウェブページへのアクセスを警告するためのプログラム、方法、及びシステム
CN104573495A (zh) 一种启动项的处理方法和装置
Korban et al. APT3 adversary emulation plan
CN105678167A (zh) 安全防护方法及装置
Khullar et al. Static Method to Locate Risky Features in Android Applications

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160601

RJ01 Rejection of invention patent application after publication