CN106127050A - 一种防止***光标被恶意修改的方法、装置及电子设备 - Google Patents
一种防止***光标被恶意修改的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN106127050A CN106127050A CN201610497062.7A CN201610497062A CN106127050A CN 106127050 A CN106127050 A CN 106127050A CN 201610497062 A CN201610497062 A CN 201610497062A CN 106127050 A CN106127050 A CN 106127050A
- Authority
- CN
- China
- Prior art keywords
- cursor
- function
- described process
- system default
- eigenvalue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明的实施例公开一种防止***光标被恶意修改的方法、装置及电子设备,涉及计算机安全技术领域,能够有效地阻止恶意程序修改***光标,提高***安全性能。所述方法包括:监听进程对操作***中修改***默认光标函数进行调用的事件;根据监听到的所述事件,获取所述进程的进程路径;根据所述进程路径判断所述进程是否为恶意程序进程;若所述进程是恶意程序进程,则拒绝所述进程修改***默认光标。本发明适用于阻止恶意程序修改***光标,提高***安全性能。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种防止***光标被恶意修改的方法、装置及电子设备。
背景技术
Window***中,***默认提供如标准箭头、小沙漏、交叉十字线光标等光标样式,其中每一种光标对应一个光标标识,***提供了SetSystemCursor函数,用于修改指定***光标标识对应的光标样式。恶意程序可以采用调用SetSystemCursor函数的方法修改***提供的默认光标样式,比如将***默认光标修改为透明样式,这样就会导致用户看不见鼠标移动的光标。
目前,为保护***默认光标样式不被修改,通常使用的防御方法是挂钩应用层的SetSystemCursor函数,这样,钩子函数就会对调用SetSystemCursor函数的事件进行监视,从而及时获知恶意程序进程想要修改***默认光标,以及时阻止该调用事件。但是,发明人发现SetSystemCursor函数对应于***内核的函数是NtUserSetSystemCursor函数,如果恶意程序调用NtUserSetSystemCursor函数来修改***默认光标,由于此方法比较隐蔽,目前的安全防御软件还没有对这种恶意调用采取防护措施,这样恶意软件就能通过此方式修改***默认光标,破坏***的默认光标样式,并导致用户无法正常识别光标。
发明内容
有鉴于此,本发明实施例提供一种防止***光标被恶意修改的方法、装置及电子设备,能有效的阻止恶意程序修改***光标,提高***安全性能。
第一方面,本发明实施例提供一种防止***光标被恶意修改的方法,包括:
监听进程对操作***中修改***默认光标函数进行调用的事件;
根据监听到的所述事件,获取所述进程的进程路径;
根据所述进程路径判断所述进程是否为恶意程序进程;
若所述进程是恶意程序进程,则拒绝所述进程修改***默认光标。
结合第一方面,在第一方面的第一种实施方式中,所述***为Windows操作***;所述修改***默认光标函数为操作***内核层的NtUserSetSystemCursor函数;
在监听进程对操作***中修改***默认光标函数进行调用的事件之前,所述方法还包括:预先设置挂钩操作***中修改***默认光标函数的钩子函数;
监听进程对操作***中修改***默认光标函数进行调用的事件,包括:通过所述钩子函数监听进程对操作***中修改***默认光标函数进行调用的事件。
结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述拒绝所述进程修改***默认光标,包括:
通过所述钩子函数向所述进程返回拒绝消息;或者
所述钩子函数拒绝调用NtUserSetSystemCursor函数,以拒绝修改***默认光标。
结合第一方面,在第一方面的第三种实施方式中,所述根据所述进程路径判断所述进程是否为恶意程序进程之后,还包括:
若所述进程不是恶意程序进程,则调用修改***默认光标函数,同意所述进程修改***默认光标。
结合第一方面,在第一方面的第四种实施方式中,所述根据所述进程路径判断所述进程是否为恶意程序进程,包括:
根据预先设置的特征值算法,获取所述进程路径对应文件的特征值;
判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;
若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意程序进程;
其中,所述预先设置的特征库中记录有已知恶意程序进程路径对应文件的特征值。
结合第一方面的第四种实施方式,在第一方面的第五种实施方式中,所述判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值之前,还包括:
统计已知恶意程序进程路径;
根据预先设置的特征值算法,获取所述已知恶意程序进程路径对应文件的特征值;
将已知恶意程序进程路径对应文件的特征值存储在特征库中。
结合第一方面的第四种或第五种实施方式,在第一方面的第六种实现方式中,所述预先设置的特征值算法为:
求取进程路径的计算消息摘要算法值或哈希值作为进程路径对应文件的特征值,或者
从进程路径中获取文件版本号作为进程路径对应文件的特征值。
第二方面,本发明实施例提供一种防止***光标被恶意修改的装置,包括:
监听模块,用于监听进程对操作***中修改***默认光标函数进行调用的事件;
获取模块,用于根据所述监听模块监听到的事件,获取所述进程的进程路径;
判断模块,用于根据所述获取模块获取到的所述进程路径,判断所述进程是否是恶意程序进程;
阻止模块,用于在所述判断模块判断出所述进程是恶意程序进程时,拒绝所述进程修改***默认光标。
结合第二方面,在第二方面的第一种实施方式中,所述操作***为Windows操作***时,所述监听模块中预先设置有挂钩操作***内核层的NtUserSetSystemCursor函数的钩子函数,所述监听模块通过所述钩子函数监听进程对操作***中修改***默认光标函数进行调用的事件。
结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述阻止模块通过所述钩子函数向所述进程返回拒绝消息或拒绝调用NtUserSetSystemCursor函数,以拒绝修改***默认光标。
结合第二方面,在第二方面的第三种实施方式中,所述阻止模块,还用于在所述判断模块判断出所述进程不是恶意程序进程时,调用修改***默认光标函数,同意所述进程修改***默认光标。
结合第二方面,在第二方面的第四种实施方式中,所述判断模块包括:
特征值计算子模块,用于根据预先设置的特征值算法,获取所述获取模块获取到的进程路径对应文件的特征值;
匹配子模块,用于判断预先设置的特征库中,是否记录有所述特征值计算子模块获取到的进程路径对应文件的特征值,若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意程序进程;其中,所述预先设置的特征库中记录有已知恶意程序进程路径对应文件的特征值。
结合第二方面的第四种实施方式,在第二方面的第五种实施方式中,还包括:
特征库生成模块,用于预先统计已知恶意程序进程路径,并根据预先设置的特征值算法,获取所述已知恶意程序进程路径对应文件的特征值并存储在特征库中。
结合第二方面的第四种或第五种实施方式,在第二方面的第六种实施方式中,所述特征值计算子模块具体用于求取所述获取模块获取到的进程路径的计算消息摘要算法值或哈希值作为进程路径对应文件的特征值,或者从所述获取模块获取到的进程路径中获取文件版本号作为进程路径对应文件的特征值。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的防止***光标被恶意修改的方法。
本发明实施例提供的一种防止***光标被恶意修改的方法、装置及电子设备,通过监听进程对操作***中修改***默认光标函数进行调用的事件,当监听到有进程调用修改***默认光标函数时,获取所述进程路径,并根据所述进程路径判断所述进程是否为恶意程序进程,若所述进程是恶意程序进程,则拒绝所述进程修改***默认光标。由此能有效地阻止恶意程序修改***光标,提高***安全性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明防止***光标被恶意修改的方法实施例一的流程图;
图2为本发明防止***光标被恶意修改的方法实施例二的流程图;
图3为本发明防止***光标被恶意修改的装置实施例一的结构示意图;
图4为本发明防止***光标被恶意修改的装置实施例三的结构示意图;
图5为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例一种防止***光标被恶意修改的方法、装置及电子设备进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明防止***光标被恶意修改的方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、监听进程对操作***中修改***默认光标函数进行调用的事件。
本实施例中,恶意程序需调用操作***提供的修改***默认光标函数才能实现修改***默认光标。故可以通过对所述修改***默认光标函数进行监视,可及时截获恶意程序要修改***默认光标的消息。在截获到该消息后,可拒绝恶意程序进程修改***默认光标,从而有效地阻止恶意程序修改***默认光标,提高***安全性能。
步骤102、根据监听到的所述事件,获取所述进程的进程路径。
本实施例中,例如根据进程的标识符PID,调用***中的获取进程路径的函数,就能获取到进程路径。
步骤103、根据所述进程路径判断所述进程是否为恶意程序进程;是则执行步骤104。
本实施例中,由于恶意程序进程路径比较固定,故可以根据当前进程的路径信息,判断进程是否为恶意程序进程。
本实施例中,作为一可选方式,可根据预先设置的特征值算法获取所述进程路径对应文件的特征值;然后判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意程序进程。其中,特征库是预先设置的,特征库的生成过程为:统计已知恶意进程路径;根据预先设置的特征值算法,获取所述已知恶意程序进程路径对应文件的特征值存储在特征库中。
优选地,预先设置的特征值算法为:求取进程路径的计算消息摘要算法(MD5)值或哈希(HASH)值作为进程路径对应文件的特征值,或者从进程路径中获取文件版本号作为进程路径对应文件的特征值。
步骤104、拒绝所述进程修改***默认光标。
本实施例中,如果当前进程为恶意程序进程,则拒绝所述进程修改***默认光标,从而有效地阻止恶意程序修改***默认光标。
本实施例,通过对恶意程序调用操作***中修改***默认光标函数的监控,能有效地阻止恶意程序修改***默认光标,达到提高***安全性能的目的。
本实施例提供的防止***光标被恶意修改的方法,通过监听进程对操作***中修改***默认光标函数进行调用的事件,当监听到有进程调用修改***默认光标函数时,获取所述进程路径,并根据所述进程路径判断所述进程是否为恶意程序进程,若所述进程是恶意程序进程,则拒绝所述进程修改***默认光标。由此能有效地阻止恶意程序修改***光标,提高***安全性能。
图2为本发明防止***光标被恶意修改的方法实施例二的流程图,本实施例用于Windows操作***;所述修改***默认光标函数为操作***内核层的NtUserSetSystemCursor函数。本发明实施例适用于金山毒霸或金山卫士等安全防护类应用程序对操作***的***默认光标进行保护。如图2所示,本实施例的方法包括如下步骤:
步骤201、监听进程对操作***中NtUserSetSystemCursor函数进行调用的事件。
本实施例中,通过预先设置的钩子(Hook)函数监听进程对操作***中NtUserSetSystemCursor函数进行调用的事件。钩子函数实际上是一个处理消息的程序段,通过***调用,把它挂入***。每当特定的消息发出,在没有到达目的窗口前,钩子函数就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
本实施例中,钩子函数在本步骤执行之前预先建立在安全防护类应用程序如金山毒霸的防御驱动中,该钩子函数挂钩操作***中的NtUserSetSystemCursor函数。安全防护类应用程序的防御驱动在Windows操作***开机后即开始运行。
本实施例中,将NtUserSetSystemCursor函数的原始入口地址修改为本实施例中的钩子函数的入口地址。恶意进程在调用NtUserSetSystemCursor函数时,由于NtUserSetSystemCursor函数的原始入口地址已被修改为本实施例的钩子函数的入口地址,则调用NtUserSetSystemCursor函数时,会跳至本实施例的钩子函数的执行,由此实现对NtUserSetSystemCursor函数的监视。为了实现对NtUserSetSystemCursor函数的回调,在将NtUserSetSystemCursor函数的原始入口地址修改为本实施例中的钩子函数的入口地址之前,需要对NtUserSetSystemCursor函数的原始入口地址进行保存。
步骤202、钩子函数监听到进程调用NtUserSetSystemCursor函数的事件时,获取所述进程的进程路径。
本实施例中,恶意进程对NtUserSetSystemCursor函数的调用,是通过向Windows操作***发出调用NtUserSetSystemCursor函数的消息,该消息会直接被钩子函数截获。钩子函数截获到该消息,即视为监听到NtUserSetSystemCursor函数被进程调用的事件,然后根据进程的标识符PID,调用***中的获取进程路径的函数,如:GetModuleFileNameEx、GetProcessImageFileName函数等,就能获取到进程路径。
步骤203、根据所述进程路径判断所述进程是否为恶意程序进程;是则执行步骤204,否则执行步骤205。
本实施例中,步骤203的过程和上述方法实施例的步骤103类似,此处不再赘述。
步骤204、拒绝所述进程修改***默认光标。
本实施例中,通过所述钩子函数向所述进程返回拒绝消息;或者所述钩子函数拒绝调用NtUserSetSystemCursor函数,以拒绝所述进程修改***默认光标。
步骤205、钩子函数调用NtUserSetSystemCursor函数,同意所述进程修改***默认光标。
本实施例中,当所述进程不是恶意程序进程时,可以调用操作***内核函数NtUserSetSystemCursor,同意所述进程修改***默认光标。
本实施例提供的防止***光标被恶意修改的方法,能有效的阻止恶意程序对***默认光标的修改,达到提高***安全性的目的。
下面采用一个具体的实施例,对图1~图2中任一个所示方法实施例的技术方案进行详细说明。
在用户电脑环境中,存在一个恶意软件A。在金山毒霸的防御驱动中Hook了修改***默认光标的NtUserSetSystemCursor函数,当恶意软件A的进程通知其驱动程序调用NtUserSetSystemCursor函数修改***默认光标时,防御驱动就会对此行为进行拦截,并返回拒绝,使得恶意软件修改***默认光标失败,从而更好地保护用户***不被破坏。
图3为本发明防止***光标被恶意修改的装置实施例一的结构示意图,如图3所示,本实施例的装置可以包括:监听模块11,用于监听进程对操作***中修改***默认光标函数进行调用的事件;获取模块12,用于根据监听模块11监听到的事件,获取所述进程的进程路径;判断模块13,用于根据获取模块12获取到的所述进程路径,判断所述进程是否是恶意程序进程;阻止模块14,用于在判断模块13判断出所述进程是恶意程序进程时,拒绝所述进程修改***默认光标。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明防止***光标被恶意修改的装置实施例二中,当防止***光标被恶意修改的装置用于Windows操作***中时,监听模块11中预先设置有挂钩操作***内核层的NtUserSetSystemCursor函数的钩子函数,监听模块11通过所述钩子函数监听进程对操作***中NtUserSetSystemCursor函数进行调用的事件。阻止模块14通过所述钩子函数向所述进程返回拒绝消息或拒绝调用NtUserSetSystemCursor函数,以拒绝修改***默认光标;阻止模块14还用于在判断模块13判断出所述进程不是恶意程序进程时,调用修改***默认光标NtUserSetSystemCursor函数,同意所述进程修改***默认光标。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本发明防止***光标被恶意修改的装置实施例三的结构示意图,如图4所示,本实施例的装置在图3所示装置结构的基础上,进一步地,判断模块13包括:
特征值计算子模块131,用于根据预先设置的特征值算法,获取获取模块12获取到的进程路径对应文件的特征值;匹配子模块132,用于判断预先设置的特征库中,是否记录有特征值计算子模块131获取到的进程路径对应文件的特征值,若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意程序进程;其中,所述预先设置的特征库中记录有已知恶意程序进程路径对应文件的特征值。
优选地,在实施例三中,特征值计算子模块131,具体用于求取获取模块12获取到的进程路径的计算消息摘要算法(MD5)值或哈希(HASH)值作为进程路径对应文件的特征值,或者从获取模块12获取到的进程路径中获取文件版本号作为进程路径对应文件的特征值。
优选地,实施例三所示的防止***光标被恶意修改的装置还包括特征库生成模块(图4未示出),用于预先统计已知恶意程序进程路径,并根据预先设置的特征值算法,获取所述已知恶意程序进程路径对应文件的特征值并存储在特征库中。
本实施例的装置,可以用于执行图1或图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本发明实施例还提供一种电子设备。图5为本发明电子设备一个实施例的结构示意图,可以实现本发明图1或图2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体21、处理器22、存储器23、电路板24和电源电路25,其中,电路板24安置在壳体21围成的空间内部,处理器22和存储器23设置在电路板24上;电源电路25,用于为上述电子设备的各个电路或器件供电;存储器23用于存储可执行程序代码;处理器22通过读取存储器23中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的防止***默认光标被恶意修改的方法。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种防止***光标被恶意修改的方法,其特征在于,包括:
监听进程对操作***中修改***默认光标函数进行调用的事件;
根据监听到的所述事件,获取所述进程的进程路径;
根据所述进程路径判断所述进程是否为恶意程序进程;
若所述进程是恶意程序进程,则拒绝所述进程修改***默认光标。
2.如权利要求1所述的防止***光标被恶意修改的方法,其特征在于,所述***为Windows操作***;所述修改***默认光标函数为操作***内核层的NtUserSetSystemCursor函数;
在监听进程对操作***中修改***默认光标函数进行调用的事件之前,所述方法还包括:预先设置挂钩操作***中修改***默认光标函数的钩子函数;
所述监听进程对操作***中修改***默认光标函数进行调用的事件,包括:通过所述钩子函数监听进程对操作***中修改***默认光标函数进行调用的事件。
3.如权利要求2所述的防止***光标被恶意修改的方法,其特征在于,所述拒绝所述进程修改***默认光标,包括:
通过所述钩子函数向所述进程返回拒绝消息;或者
所述钩子函数拒绝调用NtUserSetSystemCursor函数,以拒绝修改***默认光标。
4.如权利要求1所述的防止***光标被恶意修改的方法,其特征在于,所述根据所述进程路径判断所述进程是否为恶意程序进程之后,还包括:
若所述进程不是恶意程序进程,则调用修改***默认光标函数,同意所述进程修改***默认光标。
5.如权利要求1所述的防止***光标被恶意修改的方法,其特征在于,所述根据所述进程路径判断所述进程是否为恶意程序进程,包括:
根据预先设置的特征值算法,获取所述进程路径对应文件的特征值;
判断预先设置的特征库中,是否记录有所述进程路径对应文件的特征值;
若预先设置的特征库中记录有所述进程路径对应文件的特征值,则确定所述进程为恶意程序进程;若预先设置的特征库中没有记录所述进程路径对应文件的特征值,则确定所述进程不是恶意程序进程;
其中,所述预先设置的特征库中记录有已知恶意程序进程路径对应文件的特征值。
6.一种防止***光标被恶意修改的装置,其特征在于,包括:
监听模块,用于监听进程对操作***中修改***默认光标函数进行调用的事件;
获取模块,用于根据所述监听模块监听到的事件,获取所述进程的进程路径;
判断模块,用于根据所述获取模块获取到的所述进程路径,判断所述进程是否是恶意程序进程;
阻止模块,用于在所述判断模块判断出所述进程是恶意程序进程时,拒绝所述进程修改***默认光标。
7.如权利要求6所述的防止***光标被恶意修改的装置,其特征在于,所述操作***为Windows操作***时,所述监听模块中预先设置有挂钩操作***内核层的NtUserSetSystemCursor函数的钩子函数,所述监听模块通过所述钩子函数监听进程对操作***中修改***默认光标函数进行调用的事件。
8.根据权利要求7所述的防止***光标被恶意修改的装置,其特征在于,所述阻止模块通过所述钩子函数向所述进程返回拒绝消息或拒绝调用NtUserSetSystemCursor函数,以拒绝修改***默认光标。
9.根据权利要求6所述的防止***光标被恶意修改的装置,其特征在于,所述阻止模块,还用于在所述判断模块判断出所述进程不是恶意程序进程时,调用修改***默认光标函数,同意所述进程修改***默认光标。
10.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-5任一项所述的防止***光标被恶意修改的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610497062.7A CN106127050A (zh) | 2016-06-29 | 2016-06-29 | 一种防止***光标被恶意修改的方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610497062.7A CN106127050A (zh) | 2016-06-29 | 2016-06-29 | 一种防止***光标被恶意修改的方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106127050A true CN106127050A (zh) | 2016-11-16 |
Family
ID=57284281
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610497062.7A Pending CN106127050A (zh) | 2016-06-29 | 2016-06-29 | 一种防止***光标被恶意修改的方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106127050A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108037972A (zh) * | 2017-12-14 | 2018-05-15 | 威创集团股份有限公司 | 一种完全隐藏光标的方法及装置 |
CN109783316A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | ***安全日志篡改行为的识别方法及装置、存储介质、计算机设备 |
CN111914251A (zh) * | 2020-07-03 | 2020-11-10 | 上海理想信息产业(集团)有限公司 | 一种基于混合控制技术的智能终端安全保护方法及*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101414339A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 保护进程内存及确保驱动程序加载的安全性的方法 |
CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和*** |
US20150007326A1 (en) * | 2012-06-26 | 2015-01-01 | Lynuxworks, Inc. | Systems and Methods Involving Features of Hardware Virtualization Such as Separation Kernel Hypervisors, Hypervisors, Hypervisor Guest Context, Hypervisor Contest, Rootkit Detection/Prevention, and/or Other Features |
-
2016
- 2016-06-29 CN CN201610497062.7A patent/CN106127050A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101414339A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 保护进程内存及确保驱动程序加载的安全性的方法 |
CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
US20150007326A1 (en) * | 2012-06-26 | 2015-01-01 | Lynuxworks, Inc. | Systems and Methods Involving Features of Hardware Virtualization Such as Separation Kernel Hypervisors, Hypervisors, Hypervisor Guest Context, Hypervisor Contest, Rootkit Detection/Prevention, and/or Other Features |
CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和*** |
Non-Patent Citations (1)
Title |
---|
数学主义: "sandboxie的工作原理", 《HTTPS://BBS.KAFAN.CN/THREAD-1638740-1-1.HTML》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108037972A (zh) * | 2017-12-14 | 2018-05-15 | 威创集团股份有限公司 | 一种完全隐藏光标的方法及装置 |
CN108037972B (zh) * | 2017-12-14 | 2021-06-08 | 威创集团股份有限公司 | 一种完全隐藏光标的方法及装置 |
CN109783316A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | ***安全日志篡改行为的识别方法及装置、存储介质、计算机设备 |
CN109783316B (zh) * | 2018-12-29 | 2022-07-05 | 奇安信安全技术(珠海)有限公司 | ***安全日志篡改行为的识别方法及装置、存储介质、计算机设备 |
CN111914251A (zh) * | 2020-07-03 | 2020-11-10 | 上海理想信息产业(集团)有限公司 | 一种基于混合控制技术的智能终端安全保护方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104125216A (zh) | 一种提升可信执行环境安全性的方法、***及终端 | |
CN106201468A (zh) | 一种截屏的处理方法、装置及电子设备 | |
CN108270786A (zh) | 应用程序的权限管理方法、装置、存储介质及智能终端 | |
CN103577750A (zh) | 隐私权限管理方法和装置 | |
US11916936B2 (en) | Techniques for incentivized intrusion detection system | |
CN105868625A (zh) | 一种拦截文件被重启删除的方法及装置 | |
Shezan et al. | Read between the lines: An empirical measurement of sensitive applications of voice personal assistant systems | |
CN108984234B (zh) | 一种移动终端与摄像装置的调用提示方法 | |
CN103975336A (zh) | 对值中的标签进行编码以俘获信息流 | |
CN104735657A (zh) | 安全终端验证方法、无线接入点绑定方法、装置及*** | |
CN106127031A (zh) | 一种保护进程的方法、装置及电子设备 | |
CN105844146A (zh) | 一种保护驱动程序的方法、装置及电子设备 | |
CN106127050A (zh) | 一种防止***光标被恶意修改的方法、装置及电子设备 | |
CN103763112A (zh) | 一种用户身份保护方法和装置 | |
CN106203077A (zh) | 一种复制信息的处理方法、装置及电子设备 | |
CN106534093A (zh) | 一种终端数据的处理方法、装置及*** | |
CN106529312A (zh) | 一种移动终端的权限控制方法、装置及移动终端 | |
CN106203092A (zh) | 一种拦截恶意程序关机的方法、装置及电子设备 | |
CN106203107A (zh) | 一种防止***菜单被恶意修改的方法、装置及电子设备 | |
CN106529332A (zh) | 一种移动终端的权限控制方法、装置及移动终端 | |
CN106022117A (zh) | 防止***环境变量修改的方法、装置及电子设备 | |
CN106127034A (zh) | 一种防止***被恶意关闭的方法、装置及电子设备 | |
CN114528598A (zh) | 文件***的文件完整性的确定方法、装置及电子设备 | |
CN106022120A (zh) | 文件监控处理方法、装置及电子设备 | |
CN106127051A (zh) | 一种防止鼠标被恶意捕获的方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20190110 Address after: 519031 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, No. 33 Xiaoying West Road, Haidian District, Beijing Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161116 |