一種攔截驅(qū)動(dòng)加載的方法及終端的制作方法
【專利摘要】本發(fā)明實(shí)施例公開了一種攔截驅(qū)動(dòng)加載的方法����,包括:監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息�;當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí),對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)�����,判斷所述應(yīng)用程序是否為惡意程序;當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)��,對(duì)所述消息進(jìn)行攔截�����。本發(fā)明實(shí)施例還公開了一種終端�����。采用本發(fā)明�,降低終端攔截驅(qū)動(dòng)加載的處理壓力,節(jié)省終端的運(yùn)行資源�,并提高終端的攔截準(zhǔn)確性,從而提升終端的自身安全����。
【專利說明】
一種攔截驅(qū)動(dòng)加載的方法及終端
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及電子技術(shù)領(lǐng)域,尤其涉及一種攔截驅(qū)動(dòng)加載的方法及終端����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)發(fā)展,病毒�����,木馬等惡意軟件技術(shù)層出不窮。惡意程序可利用特殊惡意代碼進(jìn)行惡意行為攻擊服務(wù)系統(tǒng)�����。目前許多惡意程序多是在用戶未知的情況下可進(jìn)行加載驅(qū)動(dòng)行為���,并當(dāng)惡意程序加載驅(qū)動(dòng)成功時(shí),惡意程序可以刪除掉任意安全應(yīng)用程序����,這給終端帶來了重大的安全隱患。
[0003]為了避免惡意程序進(jìn)行惡意加載驅(qū)動(dòng)行為�����,目前終端可在進(jìn)行加載驅(qū)動(dòng)文件時(shí)���,對(duì)獲取到的加載驅(qū)動(dòng)文件以及相關(guān)文件進(jìn)行掃描�,并綜合判斷是否需進(jìn)行攔截加載驅(qū)動(dòng)���,并當(dāng)確定需進(jìn)行攔截時(shí)����,終端將中斷加載驅(qū)動(dòng)文件。但是��,由于終端已準(zhǔn)備進(jìn)行加載驅(qū)動(dòng)文件���,若當(dāng)終端確定進(jìn)行攔截加載驅(qū)動(dòng)時(shí)��,這使得終端將浪費(fèi)資源在加載驅(qū)動(dòng)文件的前期準(zhǔn)備工作上����,從而浪費(fèi)了終端的運(yùn)行資源��,使得終端的處理壓力過重�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例所要解決的技術(shù)問題在于,提供一種攔截驅(qū)動(dòng)加載的方法及終端�。可降低終端攔截驅(qū)動(dòng)加載的處理壓力�,節(jié)省終端的運(yùn)行資源。
[0005]為了解決上述技術(shù)問題�,本發(fā)明實(shí)施例提供了一種攔截驅(qū)動(dòng)加載的方法,包括:
[0006]監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息�,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息;
[0007]當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)����,對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)��,判斷所述應(yīng)用程序是否為惡意程序�;
[0008]當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)�,對(duì)所述消息進(jìn)行攔截,以對(duì)所述應(yīng)用程序通過所述消息進(jìn)行加載驅(qū)動(dòng)的行為進(jìn)行攔截��。
[0009]其中��,所述判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息包括:
[0010]檢測(cè)所述消息是否攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符���;
[0011]當(dāng)確定所述消息攜帶所述加載驅(qū)動(dòng)標(biāo)識(shí)符�,確定所述消息為用于指示加載驅(qū)動(dòng)的消息。
[0012]其中�,所述對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)���,判斷所述應(yīng)用程序是否為惡意程序之前包括:
[0013]當(dāng)確定所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)�,根據(jù)所述消息確定所述應(yīng)用程序所要加載的驅(qū)動(dòng)文件����;
[0014]對(duì)所述驅(qū)動(dòng)文件進(jìn)行安全檢測(cè)����,判斷所述驅(qū)動(dòng)文件是否為危險(xiǎn)文件���;
[0015]當(dāng)確定所述驅(qū)動(dòng)文件不是危險(xiǎn)文件時(shí),執(zhí)行所述對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)���,判斷所述應(yīng)用程序是否為惡意程序步驟����;
[0016]當(dāng)確定所述驅(qū)動(dòng)文件是危險(xiǎn)文件時(shí)���,對(duì)所述消息進(jìn)行攔截����。
[0017]其中�,所述消息攜帶所述驅(qū)動(dòng)文件的存儲(chǔ)路徑;
[0018]所述根據(jù)所述消息確定所述應(yīng)用程序所要加載的驅(qū)動(dòng)文件包括:
[0019]根據(jù)所述驅(qū)動(dòng)文件的存儲(chǔ)路徑確定所述驅(qū)動(dòng)文件����。
[0020]其中,所述對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)��,判斷所述應(yīng)用程序是否為惡意程序之前包括:
[0021 ]獲取所述消息的發(fā)送進(jìn)程路徑�����;
[0022]根據(jù)所述消息的發(fā)送進(jìn)程路徑確定所述應(yīng)用程序。
[0023 ]相應(yīng)地�,本發(fā)明實(shí)施例還提供了一種終端,所述終端包括:
[0024]判斷單元�����,用于監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息���,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息����;
[0025]第一安全檢測(cè)單元����,用于當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)��,對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)�,判斷所述應(yīng)用程序是否為惡意程序;
[0026]攔截單元�,用于當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí),對(duì)所述消息進(jìn)行攔截���,以對(duì)所述應(yīng)用程序通過所述消息進(jìn)行加載驅(qū)動(dòng)的行為進(jìn)行攔截��。
[0027]其中����,所述第一判斷單元包括:
[0028]檢測(cè)子單元,用于檢測(cè)所述消息是否攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符���;
[0029]確定子單元���,用于當(dāng)所述檢測(cè)子單元確定所述消息攜帶所述加載驅(qū)動(dòng)標(biāo)識(shí)符,確定所述消息為用于指示加載驅(qū)動(dòng)的消息��。
[0030]其中����,所述終端還包括:
[0031]第一確定單元,用于當(dāng)所述第一判斷單元確定所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)����,根據(jù)所述消息確定所述應(yīng)用程序所要加載的驅(qū)動(dòng)文件;
[0032]第二安全檢測(cè)單元�,用于對(duì)所述驅(qū)動(dòng)文件進(jìn)行安全檢測(cè),判斷所述驅(qū)動(dòng)文件是否為危險(xiǎn)文件���;
[0033]當(dāng)所述第二安全檢測(cè)單元確定所述驅(qū)動(dòng)文件不是危險(xiǎn)文件時(shí)��,通知所述第一安全檢測(cè)單元對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)��,判斷所述應(yīng)用程序是否為惡意程序�;
[0034]當(dāng)所述第二安全檢測(cè)單元確定所述驅(qū)動(dòng)文件是危險(xiǎn)文件時(shí),通知所述攔截單元對(duì)所述消息進(jìn)行攔截�����。
[0035]其中�����,所述消息攜帶所述驅(qū)動(dòng)文件的存儲(chǔ)路徑���;
[0036]所述確定單元具體用于:
[0037]根據(jù)所述驅(qū)動(dòng)文件的存儲(chǔ)路徑確定所述驅(qū)動(dòng)文件��。
[0038]其中����,所述終端還包括:
[0039]獲取單元�,用于獲取所述消息的發(fā)送進(jìn)程路徑�����;
[0040]第二確定單元,用于根據(jù)所述消息的發(fā)送進(jìn)程路徑確定所述應(yīng)用程
[0041]實(shí)施本發(fā)明實(shí)施例���,具有如下有益效果:
[0042]在本發(fā)明實(shí)施例中�����,終端監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息�����,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息�;當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)����,對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè),判斷所述應(yīng)用程序是否為惡意程序�����;當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)����,對(duì)所述消息進(jìn)行攔截,這使得終端僅通過對(duì)消息的攔截即能實(shí)現(xiàn)對(duì)惡意程序加載驅(qū)動(dòng)的行為進(jìn)行攔截,從而簡(jiǎn)便終端的攔截操作����,降低終端攔截驅(qū)動(dòng)加載的處理壓力,節(jié)省終端的運(yùn)行資源����,并提高終端的攔截準(zhǔn)確性,從而提升終端的自身安全����。
【附圖說明】
[0043]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖���。
[0044]圖1是本發(fā)明實(shí)施例提供的一種攔截驅(qū)動(dòng)加載的方法的第一實(shí)施例流程示意圖;
[0045]圖2是本發(fā)明實(shí)施例提供的一種終端的第一實(shí)施例結(jié)構(gòu)圖�����。
【具體實(shí)施方式】
[0046]下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例�����?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍。
[0047]本發(fā)明實(shí)施例中的執(zhí)行主體可以為終端��,所描述的終端可包括:電腦���、平板電腦����、筆記本等智能終端����,上述終端僅是舉例,而非窮舉�,包含但不限于上述終端。
[0048]參見圖1�����,是本發(fā)明實(shí)施例提供的一種攔截驅(qū)動(dòng)加載的方法第一實(shí)施例流程示意圖�。本發(fā)明實(shí)施例的一種攔截驅(qū)動(dòng)加載的方法包括如下步驟:
[0049]S100�����,監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息����,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息�����。
[°°50] 在本發(fā)明實(shí)施例中����,終端上運(yùn)行的系統(tǒng)可以為Windows系統(tǒng)���,Windows系統(tǒng)下可包括支持的多個(gè)子系統(tǒng)�,如進(jìn)程管理子系統(tǒng)����,內(nèi)存管理子系統(tǒng),1管理子系統(tǒng)和服務(wù)管理子系統(tǒng)等��,其中���,進(jìn)程管理子系統(tǒng)用于管理終端的進(jìn)程�,內(nèi)存管理子系統(tǒng)用于管理終端的內(nèi)存,1管理子系統(tǒng)用于管理終端的10��,服務(wù)管理子系統(tǒng)用于管理終端的服務(wù)��。在本發(fā)明實(shí)施例中��,子系統(tǒng)可以為服務(wù)管理子系統(tǒng)�,服務(wù)管理子系統(tǒng)可統(tǒng)一管理注冊(cè)表中的服務(wù)信息數(shù)據(jù),以實(shí)現(xiàn)服務(wù)的創(chuàng)建�����、刪除以及驅(qū)動(dòng)的加載等���。其中���,當(dāng)終端的應(yīng)用程序需進(jìn)行加載驅(qū)動(dòng)時(shí),應(yīng)用程序可通過LPC(local process call��,本地過程調(diào)用)向服務(wù)管理子系統(tǒng)發(fā)送的消息���,消息為用于指示加載驅(qū)動(dòng)的消息�����,以使子系統(tǒng)響應(yīng)消息進(jìn)行加載驅(qū)動(dòng)��,其中�,消息為驅(qū)動(dòng)的相關(guān)消息。
[0051]在本發(fā)明實(shí)施例中����,終端可監(jiān)控終端中的應(yīng)用程序通過LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息��,判斷消息是否為用于指示加載驅(qū)動(dòng)的消息�����,其中��,終端可對(duì)通過LPC向子系統(tǒng)發(fā)送的消息進(jìn)行逐個(gè)檢測(cè)�����,檢測(cè)消息是否攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符�。當(dāng)檢測(cè)到消息攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符時(shí),終端可確定消息為用于指示加載驅(qū)動(dòng)的消息��。
[0052]在具體實(shí)施中,當(dāng)應(yīng)用程序需通過LPC向服務(wù)管理子系統(tǒng)發(fā)送消息時(shí)��,應(yīng)用程序調(diào)用內(nèi)核層NtRequestWaitReplyPort函數(shù)使用LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息��。因此�����,終端可預(yù)置一個(gè)鉤子函數(shù) NewNtRequestWaitRep IyPort 函數(shù)替換原始 NtRequestWaitRep IyPort函數(shù)對(duì)應(yīng)用程序通過LPC向子系統(tǒng)發(fā)送的消息進(jìn)行監(jiān)測(cè)��。具體的�����,可在系統(tǒng)的SSDT(SyStemServices Descriptor Table�����,系統(tǒng)服務(wù)描述符表)表中找到NtRequestWaitReplyPort函數(shù)�����,保存 NtRequestWaitRep IyPort 函數(shù)地址��,并定義 NewNtRequestWaitRep IyPort 函數(shù)替換原始 NtRequestWaitRep IyPort 函數(shù)地址��,實(shí)現(xiàn)了 NewNtRequestWaitRep IyPort 函數(shù)的掛鉤。當(dāng)應(yīng)用程序調(diào)用NtRequestWaitReplyPort函數(shù)使用LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息時(shí)����,則實(shí)際上應(yīng)用程序是調(diào)用NewNtRequestWaitReplyPort函數(shù)使用LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息。其中�,在鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)中,第一個(gè)參數(shù)是端口句柄���,即為發(fā)送目標(biāo)的端口句柄����。當(dāng)應(yīng)用程序調(diào)用鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)進(jìn)行發(fā)送消息時(shí)�����,終端可獲取鉤子函數(shù)的第一個(gè)參數(shù)端口句柄����,通過內(nèi)核函數(shù)ObReferenceObjectByHandle函數(shù)將端口句柄進(jìn)行轉(zhuǎn)換為發(fā)送端口的結(jié)構(gòu)指針����,并通過內(nèi)核函數(shù)ObRef erenceObjectByName函數(shù)將發(fā)送端口的結(jié)構(gòu)指針轉(zhuǎn)換為發(fā)送端口的名稱,判斷發(fā)送端口的名稱是否匹配“\\RPC ControlWntsvcs”端口�,當(dāng)判斷匹配時(shí)�����,說明應(yīng)用程序往名為ntsvcs端口發(fā)送消息����。當(dāng)終端確認(rèn)應(yīng)用程序往名為ntsvcs端口發(fā)送的消息時(shí)����,終端可根據(jù)消息控制服務(wù)管理子系統(tǒng)進(jìn)行服務(wù)管理。因此����,當(dāng)終端通過鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)判斷應(yīng)用程序往名為ntsvcs端口發(fā)送消息時(shí)�����,終端可確定該消息為服務(wù)的相關(guān)消息�,如創(chuàng)建服務(wù)消息、刪除服務(wù)消息��、打開服務(wù)消息或加載服務(wù)驅(qū)動(dòng)等等消息��。
[0053]進(jìn)一步的�����,在具體實(shí)施中��,鉤子函數(shù)NewNtRequestWaitReplyPort的第二個(gè)參數(shù)為發(fā)送的消息數(shù)據(jù)�����,消息數(shù)據(jù)上攜帶標(biāo)識(shí)符,該標(biāo)識(shí)符為int類型的標(biāo)識(shí)符����。具體的,標(biāo)識(shí)符的具體位置可在XP系統(tǒng)中的結(jié)構(gòu)指針+OxlC位置上�����,WIN7系統(tǒng)中的結(jié)構(gòu)指針+0x2C位置上。當(dāng)標(biāo)識(shí)符的標(biāo)識(shí)值為于(Instal IDevOrQueryConfig = OxlD)時(shí),則標(biāo)識(shí)符可為加載驅(qū)動(dòng)標(biāo)識(shí)符���。并當(dāng)標(biāo)識(shí)符為加載驅(qū)動(dòng)標(biāo)識(shí)符時(shí)�����,則為應(yīng)用程序通知子系統(tǒng)進(jìn)行加載驅(qū)動(dòng)�。終端可通過鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)讀取標(biāo)識(shí)符�����,判斷標(biāo)識(shí)值是否為(InstallDevOrQueryConfig = OxlD)�����,當(dāng)判斷標(biāo)識(shí)符的標(biāo)識(shí)值為(Instal IDevOrQueryConfig = OxlD)時(shí)����,確定消息攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符���,可判斷消息為用于指示加載驅(qū)動(dòng)的消息�。
[0054]SlOl��,當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí),對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)����,判斷所述應(yīng)用程序是否為惡意程序�����。
[0055]在本發(fā)明實(shí)施例中,當(dāng)終端監(jiān)控到消息為用于指示加載驅(qū)動(dòng)的消息時(shí)����,終端可根據(jù)消息確定應(yīng)用程序所要加載的驅(qū)動(dòng)文件���。其中��,消息攜帶驅(qū)動(dòng)文件的存儲(chǔ)路徑���,從而終端可根據(jù)驅(qū)動(dòng)文件的存儲(chǔ)路徑確定驅(qū)動(dòng)文件���。
[0056]在具體應(yīng)用中,鉤子函數(shù)NewNtRequestWaitReplyPort的第二個(gè)參數(shù)中的PP0RT_MESSAGE結(jié)構(gòu)類型指針+0x38(XP系統(tǒng))的位置保存一個(gè)PSC_RPC_STRINGA結(jié)構(gòu)指針�,此結(jié)構(gòu)指針保存驅(qū)動(dòng)文件的存儲(chǔ)路徑����,終端可解析此結(jié)構(gòu)指針�,獲取到驅(qū)動(dòng)文件的存儲(chǔ)路徑�����。從而終端可根據(jù)解析到的驅(qū)動(dòng)文件的存儲(chǔ)路徑確定應(yīng)用程序所要加載的驅(qū)動(dòng)文件。
[0057]在本發(fā)明實(shí)施例中�����,當(dāng)終端確定了所要加載的驅(qū)動(dòng)文件時(shí)��,終端可調(diào)用安全殺毒應(yīng)用程序?qū)︱?qū)動(dòng)文件進(jìn)行安全檢測(cè),判斷驅(qū)動(dòng)文件是否為危險(xiǎn)文件����。其中��,安全殺毒應(yīng)用程序可如毒霸應(yīng)用程序,360安全衛(wèi)士等安全應(yīng)用程序���。當(dāng)安全殺毒應(yīng)用程序判斷其為危險(xiǎn)文件或?yàn)槲粗募r(shí)���,則終端可確定驅(qū)動(dòng)文件為危險(xiǎn)文件,當(dāng)安全殺毒應(yīng)用程序判斷其為安全文件時(shí)����,終端可確定驅(qū)動(dòng)文件為安全文件。在具體實(shí)施中����,終端調(diào)用上層文件查殺系統(tǒng)進(jìn)行判斷驅(qū)動(dòng)文件的狀態(tài)���,如果狀態(tài)是灰��,紅(灰代表未知文件��,紅代表危險(xiǎn)文件)時(shí)���,且即為危險(xiǎn)文件��。當(dāng)終端判斷驅(qū)動(dòng)文件是危險(xiǎn)文件時(shí),終端可對(duì)消息進(jìn)行攔截�,如刪除消息。
[0058]在本發(fā)明實(shí)施例中�����,當(dāng)終端判斷驅(qū)動(dòng)文件不是危險(xiǎn)文件時(shí),終端可掃描發(fā)送消息的應(yīng)用程序����,對(duì)應(yīng)用程序進(jìn)行安全檢測(cè)����,判斷應(yīng)用程序是否為惡意程序����,其中�����,終端可調(diào)用安全殺毒應(yīng)用程序?qū)Πl(fā)送消息的應(yīng)用程序進(jìn)行安全檢測(cè),判斷是否為惡意程序����,其中����,安全殺毒應(yīng)用程序在具體的應(yīng)用程序中可如毒霸應(yīng)用程序���,360安全衛(wèi)士等安全應(yīng)用程序。當(dāng)安全殺毒應(yīng)用程序判斷其為危險(xiǎn)文件或?yàn)槲粗募r(shí)�,則終端可確定應(yīng)用程序?yàn)閻阂獬绦?��,?dāng)安全殺毒應(yīng)用程序判斷其安全文件時(shí)�����,終端可確定應(yīng)用程序不是惡意程序���。
[0059]在本發(fā)明實(shí)施例中,終端可獲取消息的發(fā)送進(jìn)程路徑�,通過消息的發(fā)送進(jìn)程路徑確定應(yīng)用程序��,從而終端調(diào)用安全殺毒應(yīng)用程序?qū)ζ溥M(jìn)行安全檢測(cè)��。在具體應(yīng)用中���,可以是,鉤子函數(shù) NewNtRequestWai tReplyPort調(diào)用內(nèi)核函數(shù)PsGetCurrentProcessId函數(shù)和ZwQuery Inf ormat i onProcess函數(shù)獲取當(dāng)前監(jiān)測(cè)的消息的發(fā)送進(jìn)程路徑��,根據(jù)發(fā)送進(jìn)程路徑確定應(yīng)用程序�,并調(diào)用上層文件查殺系統(tǒng)進(jìn)行判斷應(yīng)用程序的狀態(tài),如果狀態(tài)是灰���,紅(灰代表未知文件���,紅代表危險(xiǎn)文件)時(shí)����,且即為惡意程序���。
[0060]S102,當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)����,對(duì)所述消息進(jìn)行攔截�����。
[0061]在本發(fā)明實(shí)施例中,當(dāng)終端確定應(yīng)用程序?yàn)閻阂獬绦颍K端可對(duì)消息進(jìn)行攔截�����,如刪掉消息,或者鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)退出��,不執(zhí)行原始NtRequestWaitReplyPort函數(shù)�,使得惡意程序加載驅(qū)動(dòng)失敗。當(dāng)終端確定應(yīng)用程序不是惡意程序時(shí)���,鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)退出����,并調(diào)用NtRequestWai tReplyPort函數(shù)進(jìn)行處理應(yīng)用程序發(fā)送的消息���。
[0062]在本發(fā)明實(shí)施例中�����,終端監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息��,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息�;當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí),對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)��,判斷所述應(yīng)用程序是否為惡意程序�����;當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)�,對(duì)所述消息進(jìn)行攔截,這使得終端僅通過對(duì)消息的攔截即能實(shí)現(xiàn)對(duì)惡意程序加載驅(qū)動(dòng)的行為進(jìn)行攔截�����,從而簡(jiǎn)便終端的攔截操作����,降低終端攔截驅(qū)動(dòng)加載的處理壓力,節(jié)省終端的運(yùn)行資源�����,并提高終端的攔截準(zhǔn)確性�,從而提升終端的自身安全��。
[0063]參見圖2����,是本發(fā)明實(shí)施例提供的一種終端的第一實(shí)施例結(jié)構(gòu)圖�。本發(fā)明實(shí)施例中所描述的終端包括:
[0064]判斷單元100,用于監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息���,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息���。
[0065]第一安全檢測(cè)單元200,用于當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)���,對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè),判斷所述應(yīng)用程序是否為惡意程序���。
[0066]攔截單元300�����,用于當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)���,對(duì)所述消息進(jìn)行攔截�,以攔截所述應(yīng)用程序通過所述消息進(jìn)行加載驅(qū)動(dòng)���。
[0067]在本發(fā)明實(shí)施例中��,終端上運(yùn)行的系統(tǒng)可以為Windows系統(tǒng)�����,Windows系統(tǒng)下可包括支持的多個(gè)子系統(tǒng)����,如進(jìn)程管理子系統(tǒng)�����,內(nèi)存管理子系統(tǒng)����,10管理子系統(tǒng)和服務(wù)管理子系統(tǒng)等,其中�����,進(jìn)程管理子系統(tǒng)用于管理終端的進(jìn)程�����,內(nèi)存管理子系統(tǒng)用于管理終端的內(nèi)存,10管理子系統(tǒng)用于管理終端的10����,服務(wù)管理子系統(tǒng)用于管理終端的服務(wù)。在本發(fā)明實(shí)施例中�,子系統(tǒng)可以為服務(wù)管理子系統(tǒng),服務(wù)管理子系統(tǒng)可統(tǒng)一管理注冊(cè)表中的服務(wù)信息數(shù)據(jù)�,以實(shí)現(xiàn)服務(wù)的創(chuàng)建、刪除以及驅(qū)動(dòng)的加載等�����。其中�,當(dāng)終端的應(yīng)用程序需進(jìn)行加載驅(qū)動(dòng)時(shí),應(yīng)用程序可通過LPC(local process call����,本地過程調(diào)用)向服務(wù)管理子系統(tǒng)發(fā)送的消息���,消息為用于指示加載驅(qū)動(dòng)的消息��,以使子系統(tǒng)響應(yīng)消息進(jìn)行加載驅(qū)動(dòng)����,其中,消息為驅(qū)動(dòng)的相關(guān)消息�����。
[0068]在本發(fā)明實(shí)施例中���,判斷單元100可監(jiān)控終端中的應(yīng)用程序通過LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息��,判斷消息是否為用于指示加載驅(qū)動(dòng)的消息�,其中�,判斷單元100可對(duì)通過LPC向子系統(tǒng)發(fā)送的消息進(jìn)行逐個(gè)檢測(cè),檢測(cè)消息是否攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符�。當(dāng)檢測(cè)到消息攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符時(shí),判斷單元100可確定消息為用于指示加載驅(qū)動(dòng)的消息���。
[0069]在具體實(shí)施中�����,當(dāng)應(yīng)用程序需通過LPC向服務(wù)管理子系統(tǒng)發(fā)送消息時(shí)���,應(yīng)用程序調(diào)用內(nèi)核層NtRequestWai tReplyPort函數(shù)使用LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息��。因此�����,終端可預(yù)置一個(gè)鉤子函數(shù) NewNtRequestWai tReplyPort 函數(shù)替換原始 NtRequestWai tReplyPort函數(shù)對(duì)應(yīng)用程序通過LPC向子系統(tǒng)發(fā)送的消息進(jìn)行監(jiān)測(cè)��。具體的�,可在系統(tǒng)的SSDT(SyStemServices Descriptor Table�,系統(tǒng)服務(wù)描述符表)表中找到NtRequestWaitReplyPort函數(shù),保存 NtRequestWai tReplyPort 函數(shù)地址�����,并定義 NewNtRequestWai tReplyPort 函數(shù)替換原始 NtRequestWai tReplyPort 函數(shù)地址�����,實(shí)現(xiàn)了 NewNtRequestWai tReplyPort 函數(shù)的掛鉤��。當(dāng)應(yīng)用程序調(diào)用NtRequestWaitReplyPort函數(shù)使用LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息時(shí)��,則實(shí)際上應(yīng)用程序是調(diào)用NewNtRequestWai tReplyPort函數(shù)使用LPC向服務(wù)管理子系統(tǒng)發(fā)送的消息���。其中��,在鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)中���,第一個(gè)參數(shù)是端口句柄,即為發(fā)送目標(biāo)的端口句柄��。當(dāng)應(yīng)用程序調(diào)用鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)進(jìn)行發(fā)送消息時(shí)��,終端可獲取鉤子函數(shù)的第一個(gè)參數(shù)端口句柄����,通過內(nèi)核函數(shù)ObReferenceObjectByHandle函數(shù)將端口句柄進(jìn)行轉(zhuǎn)換為發(fā)送端口的結(jié)構(gòu)指針,并通過內(nèi)核函數(shù)ObReferenceObjectByName函數(shù)將發(fā)送端口的結(jié)構(gòu)指針轉(zhuǎn)換為發(fā)送端口的名稱����,判斷發(fā)送端口的名稱是否匹配“\\RPC ControlWntsvcs”端口,當(dāng)判斷匹配時(shí)���,說明應(yīng)用程序往名為ntsvcs端口發(fā)送消息���。當(dāng)終端確認(rèn)應(yīng)用程序往名為ntsvcs端口發(fā)送的消息時(shí),終端可根據(jù)消息控制服務(wù)管理子系統(tǒng)進(jìn)行服務(wù)管理����。因此�����,當(dāng)終端通過鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)判斷應(yīng)用程序往名為ntsvcs端口發(fā)送消息時(shí)���,終端可確定該消息為服務(wù)的相關(guān)消息,如創(chuàng)建服務(wù)消息�����、刪除服務(wù)消息�����、打開服務(wù)消息或加載服務(wù)驅(qū)動(dòng)等等消息��。
[0070]進(jìn)一步的�,在具體實(shí)施中,鉤子函數(shù)NewNtRequestWaitReplyPort的第二個(gè)參數(shù)為發(fā)送的消息數(shù)據(jù)����,消息數(shù)據(jù)上攜帶標(biāo)識(shí)符,該標(biāo)識(shí)符為int類型的標(biāo)識(shí)符��。具體的,標(biāo)識(shí)符的具體位置可在XP系統(tǒng)中的結(jié)構(gòu)指針+OxlC位置上�,WIN7系統(tǒng)中的結(jié)構(gòu)指針+0x2C位置上。當(dāng)標(biāo)識(shí)符的標(biāo)識(shí)值為于(Instal IDevOrQueryConfig = OxlD)時(shí)�,則標(biāo)識(shí)符可為加載驅(qū)動(dòng)標(biāo)識(shí)符���。并當(dāng)標(biāo)識(shí)符為加載驅(qū)動(dòng)標(biāo)識(shí)符時(shí)��,則為應(yīng)用程序通知子系統(tǒng)進(jìn)行加載驅(qū)動(dòng)�����。判斷單元100可通過鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)讀取標(biāo)識(shí)符�,判斷標(biāo)識(shí)值是否為(InstallDevOrQueryConfig = OxlD)�����,當(dāng)判斷標(biāo)識(shí)符的標(biāo)識(shí)值為(Instal IDevOrQueryConfig = OxlD)時(shí)���,確定消息攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符�,可判斷消息為用于指示加載驅(qū)動(dòng)的消息�。
[0071]在本發(fā)明實(shí)施例中,當(dāng)判斷單元100監(jiān)控到消息為用于指示加載驅(qū)動(dòng)的消息時(shí)���,終端可根據(jù)消息確定應(yīng)用程序所要加載的驅(qū)動(dòng)文件�。其中,消息攜帶驅(qū)動(dòng)文件的存儲(chǔ)路徑����,從而終端可根據(jù)驅(qū)動(dòng)文件的存儲(chǔ)路徑確定驅(qū)動(dòng)文件。
[0072]在具體應(yīng)用中���,鉤子函數(shù)NewNtRequestWaitReplyPort的第二個(gè)參數(shù)中的PP0RT_MESSAGE結(jié)構(gòu)類型指針+0x38(XP系統(tǒng))的位置保存一個(gè)PSC_RPC_STRINGA結(jié)構(gòu)指針����,此結(jié)構(gòu)指針保存驅(qū)動(dòng)文件的存儲(chǔ)路徑���,終端可解析此結(jié)構(gòu)指針��,獲取到驅(qū)動(dòng)文件的存儲(chǔ)路徑�����。從而終端可根據(jù)解析到的驅(qū)動(dòng)文件的存儲(chǔ)路徑確定應(yīng)用程序所要加載的驅(qū)動(dòng)文件���。
[0073]在本發(fā)明實(shí)施例中,當(dāng)終端確定了所要加載的驅(qū)動(dòng)文件時(shí)�����,終端可調(diào)用安全殺毒應(yīng)用程序?qū)︱?qū)動(dòng)文件進(jìn)行安全檢測(cè),判斷驅(qū)動(dòng)文件是否為危險(xiǎn)文件����。其中,安全殺毒應(yīng)用程序可如毒霸應(yīng)用程序��,360安全衛(wèi)士等安全應(yīng)用程序����。當(dāng)安全殺毒應(yīng)用程序判斷其為危險(xiǎn)文件或?yàn)槲粗募r(shí)���,則終端可確定驅(qū)動(dòng)文件為危險(xiǎn)文件�����,當(dāng)安全殺毒應(yīng)用程序判斷其為安全文件時(shí)�����,終端可確定驅(qū)動(dòng)文件為安全文件���。在具體實(shí)施中���,終端調(diào)用上層文件查殺系統(tǒng)進(jìn)行判斷驅(qū)動(dòng)文件的狀態(tài),如果狀態(tài)是灰�,紅(灰代表未知文件,紅代表危險(xiǎn)文件)時(shí)����,且即為危險(xiǎn)文件。當(dāng)終端判斷驅(qū)動(dòng)文件是危險(xiǎn)文件時(shí)���,終端可對(duì)消息進(jìn)行攔截���,如刪除消息。
[0074]在本發(fā)明實(shí)施例中���,當(dāng)終端判斷驅(qū)動(dòng)文件不是危險(xiǎn)文件時(shí)��,第一安全檢測(cè)單元200可掃描發(fā)送消息的應(yīng)用程序�����,對(duì)應(yīng)用程序進(jìn)行安全檢測(cè)���,判斷應(yīng)用程序是否為惡意程序���,其中,第一安全檢測(cè)單元200可調(diào)用安全殺毒應(yīng)用程序?qū)Πl(fā)送消息的應(yīng)用程序進(jìn)行安全檢測(cè)����,判斷是否為惡意程序,其中�,安全殺毒應(yīng)用程序在具體的應(yīng)用程序中可如毒霸應(yīng)用程序,360安全衛(wèi)士等安全應(yīng)用程序�����。當(dāng)安全殺毒應(yīng)用程序判斷其為危險(xiǎn)文件或?yàn)槲粗募r(shí)�����,則第一安全檢測(cè)單元200可確定應(yīng)用程序?yàn)閻阂獬绦?�,?dāng)安全殺毒應(yīng)用程序判斷其安全文件時(shí)����,第一安全檢測(cè)單元200可確定應(yīng)用程序不是惡意程序��。
[0075]在本發(fā)明實(shí)施例中�,第一安全檢測(cè)單元200可獲取消息的發(fā)送進(jìn)程路徑��,通過消息的發(fā)送進(jìn)程路徑確定應(yīng)用程序���,從而第一安全檢測(cè)單元200調(diào)用安全殺毒應(yīng)用程序?qū)ζ溥M(jìn)行安全檢測(cè)。在具體應(yīng)用中���,可以是�,鉤子函數(shù)NewNtRequestWaitReplyPort調(diào)用內(nèi)核函數(shù)PsGetCurrentProcessId函數(shù)和ZwQuery Informat1nProcess函數(shù)獲取當(dāng)前監(jiān)測(cè)的消息的發(fā)送進(jìn)程路徑����,根據(jù)發(fā)送進(jìn)程路徑確定應(yīng)用程序,并調(diào)用上層文件查殺系統(tǒng)進(jìn)行判斷應(yīng)用程序的狀態(tài)�,如果狀態(tài)是灰,紅(灰代表未知文件����,紅代表危險(xiǎn)文件)時(shí),且即為惡意程序���。
[0076]在本發(fā)明實(shí)施例中�,當(dāng)?shù)谝话踩珯z測(cè)單元200確定應(yīng)用程序?yàn)閻阂獬绦?���,攔截單元可對(duì)消息進(jìn)行攔截����,如刪掉消息�,或者攔截單元控制鉤子函數(shù)Ne wNt Re qu e s t Wa i t Re PI y Po r t函數(shù)退出,不執(zhí)行原始NtRequestWaitReplyPort函數(shù)���,使得惡意程序加載驅(qū)動(dòng)失敗�。當(dāng)?shù)谝话踩珯z測(cè)單元2 O O確定應(yīng)用程序不是惡意程序時(shí)�,終端控制鉤子函數(shù)NewNtRequestWaitReplyPort函數(shù)退出,并調(diào)用NtRequestWaitReplyPort函數(shù)進(jìn)行處理應(yīng)用程序發(fā)送的消息�。
[0077]其中,所述判斷單元包括:
[0078]檢測(cè)子單元���,用于檢測(cè)所述消息是否攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符���。
[0079]確定子單元����,用于當(dāng)所述檢測(cè)子單元確定所述消息攜帶所述加載驅(qū)動(dòng)標(biāo)識(shí)符,確定所述消息為用于指示加載驅(qū)動(dòng)的消息��。
[0080]其中���,所述終端還包括:
[0081]第一確定單元����,用于當(dāng)所述第一判斷單元確定所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí),根據(jù)所述消息確定所述應(yīng)用程序所要加載的驅(qū)動(dòng)文件����。
[0082]第二安全檢測(cè)單元,用于對(duì)所述驅(qū)動(dòng)文件進(jìn)行安全檢測(cè)�����,判斷所述驅(qū)動(dòng)文件是否為危險(xiǎn)文件�。
[0083]當(dāng)所述第二安全檢測(cè)單元確定所述驅(qū)動(dòng)文件不是危險(xiǎn)文件時(shí),通知所述第一安全檢測(cè)單元200對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)��,判斷所述應(yīng)用程序是否為惡意程序.
[0084]當(dāng)所述第二安全檢測(cè)單元確定所述驅(qū)動(dòng)文件是危險(xiǎn)文件時(shí)��,通知所述攔截單元300對(duì)所述消息進(jìn)行攔截��。
[0085]其中����,所述消息攜帶所述驅(qū)動(dòng)文件的存儲(chǔ)路徑;
[0086]所述確定單元具體用于:
[0087]根據(jù)所述驅(qū)動(dòng)文件的存儲(chǔ)路徑確定所述驅(qū)動(dòng)文件。
[0088]其中����,所述終端還包括:
[0089]獲取單元,用于獲取所述消息的發(fā)送進(jìn)程路徑�。
[0090]第二確定單元,用于根據(jù)所述消息的發(fā)送進(jìn)程路徑確定所述應(yīng)用程序�。
[0091 ]可以理解的是,本實(shí)施例的終端中的單元的各功能模塊的功能可根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn)��,其具體實(shí)現(xiàn)過程可以參照上述方法實(shí)施例的相關(guān)描述�,此處不再進(jìn)行贅述。
[0092]在本發(fā)明實(shí)施例中�����,終端監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息���,判斷所述消息是否為用于指示加載驅(qū)動(dòng)的消息��;當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)�����,對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè),判斷所述應(yīng)用程序是否為惡意程序;當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)��,對(duì)所述消息進(jìn)行攔截��,這使得終端僅通過對(duì)消息的攔截即能實(shí)現(xiàn)對(duì)惡意程序加載驅(qū)動(dòng)的行為進(jìn)行攔截��,從而簡(jiǎn)便終端的攔截操作�,降低終端攔截驅(qū)動(dòng)加載的處理壓力,節(jié)省終端的運(yùn)行資源�,并提高終端的攔截準(zhǔn)確性,從而提升終端的自身安全�。
[0093]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成����,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí)����,可包括如上述各方法的實(shí)施例的流程。其中���,所述的存儲(chǔ)介質(zhì)可為磁碟�、光盤�����、只讀存儲(chǔ)記憶體(Read-Only Memory,ROM)或隨機(jī)存儲(chǔ)記憶體(Random AccessMemory����,RAM)等。
[0094]以上所揭露的僅為本發(fā)明較佳實(shí)施例而已��,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍�����,因此依本發(fā)明權(quán)利要求所作的等同變化�,仍屬本發(fā)明所涵蓋的范圍。
【主權(quán)項(xiàng)】
1.一種攔截驅(qū)動(dòng)加載的方法��,其特征在于���,所述方法包括:監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息�,判斷所述消息是否為用于 指示加載驅(qū)動(dòng)的消息�����;當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)��,對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)�����,判 斷所述應(yīng)用程序是否為惡意程序���;當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)���,對(duì)所述消息進(jìn)行攔截,以對(duì)所述應(yīng)用程序通過所 述消息進(jìn)行加載驅(qū)動(dòng)的行為進(jìn)行攔截�����。2.如權(quán)利要求1所述的方法�����,其特征在于�����,所述判斷所述消息是否為用于指示加載驅(qū)動(dòng) 的消息包括:檢測(cè)所述消息是否攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符��;當(dāng)確定所述消息攜帶所述加載驅(qū)動(dòng)標(biāo)識(shí)符��,確定所述消息為用于指示加載驅(qū)動(dòng)的消息。3.如權(quán)利要求1所述的方法���,其特征在于��,所述對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)����,判斷所 述應(yīng)用程序是否為惡意程序之前包括:當(dāng)確定所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)���,根據(jù)所述消息確定所述應(yīng)用程序所要 加載的驅(qū)動(dòng)文件�����;對(duì)所述驅(qū)動(dòng)文件進(jìn)行安全檢測(cè)�,判斷所述驅(qū)動(dòng)文件是否為危險(xiǎn)文件��;當(dāng)確定所述驅(qū)動(dòng)文件不是危險(xiǎn)文件時(shí)��,執(zhí)行所述對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)��,判斷 所述應(yīng)用程序是否為惡意程序步驟�;當(dāng)確定所述驅(qū)動(dòng)文件是危險(xiǎn)文件時(shí),對(duì)所述消息進(jìn)行攔截�����。4.如權(quán)利要求3所述的方法,其特征在于��,所述消息攜帶所述驅(qū)動(dòng)文件的存儲(chǔ)路徑��;所述根據(jù)所述消息確定所述應(yīng)用程序所要加載的驅(qū)動(dòng)文件包括:根據(jù)所述驅(qū)動(dòng)文件的存儲(chǔ)路徑確定所述驅(qū)動(dòng)文件����。5.如權(quán)利要求1所述的方法�����,其特征在于�,所述對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè),判斷所 述應(yīng)用程序是否為惡意程序之前包括:獲取所述消息的發(fā)送進(jìn)程路徑�;根據(jù)所述消息的發(fā)送進(jìn)程路徑確定所述應(yīng)用程序。6.—種終端���,其特征在于���,所述終端包括:判斷單元,用于監(jiān)控應(yīng)用程序通過本地過程調(diào)用LPC向子系統(tǒng)發(fā)送的消息����,判斷所述消 息是否為用于指示加載驅(qū)動(dòng)的消息��;第一安全檢測(cè)單元����,用于當(dāng)監(jiān)控到所述消息為用于指示加載驅(qū)動(dòng)的消息時(shí)����,對(duì)所述應(yīng) 用程序進(jìn)行安全檢測(cè),判斷所述應(yīng)用程序是否為惡意程序�����;攔截單元��,用于當(dāng)確定所述應(yīng)用程序?yàn)閻阂獬绦驎r(shí)���,對(duì)所述消息進(jìn)行攔截�,以對(duì)所述應(yīng) 用程序通過所述消息進(jìn)行加載驅(qū)動(dòng)的行為進(jìn)行攔截�。7.如權(quán)利要求6所述的終端,其特征在于��,所述判斷單元包括:檢測(cè)子單元,用于檢測(cè)所述消息是否攜帶加載驅(qū)動(dòng)標(biāo)識(shí)符�;確定子單元,用于當(dāng)所述檢測(cè)子單元確定所述消息攜帶所述加載驅(qū)動(dòng)標(biāo)識(shí)符�,確定所 述消息為用于指示加載驅(qū)動(dòng)的消息。8.如權(quán)利要求6所述的終端��,其特征在于��,所述終端還包括:第一確定單元�,用于當(dāng)所述第一判斷單元確定所述消息為用于指示加載驅(qū)動(dòng)的消息 時(shí)�,根據(jù)所述消息確定所述應(yīng)用程序所要加載的驅(qū)動(dòng)文件;第二安全檢測(cè)單元����,用于對(duì)所述驅(qū)動(dòng)文件進(jìn)行安全檢測(cè),判斷所述驅(qū)動(dòng)文件是否為危 險(xiǎn)文件�;當(dāng)所述第二安全檢測(cè)單元確定所述驅(qū)動(dòng)文件不是危險(xiǎn)文件時(shí),通知所述第一安全檢測(cè) 單元對(duì)所述應(yīng)用程序進(jìn)行安全檢測(cè)�,判斷所述應(yīng)用程序是否為惡意程序;當(dāng)所述第二安全檢測(cè)單元確定所述驅(qū)動(dòng)文件是危險(xiǎn)文件時(shí)���,通知所述攔截單元對(duì)所述 消息進(jìn)行攔截�。9.如權(quán)利要求8所述的終端�,其特征在于,所述消息攜帶所述驅(qū)動(dòng)文件的存儲(chǔ)路徑�����;所述確定單元具體用于:根據(jù)所述驅(qū)動(dòng)文件的存儲(chǔ)路徑確定所述驅(qū)動(dòng)文件。10.如權(quán)利要求6所述的終端����,其特征在于,所述終端還包括:獲取單元���,用于獲取所述消息的發(fā)送進(jìn)程路徑����;第二確定單元�,用于根據(jù)所述消息的發(fā)送進(jìn)程路徑確定所述應(yīng)用程序。
【文檔編號(hào)】G06F21/51GK105956461SQ201610288375
【公開日】2016年9月21日
【申請(qǐng)日】2016年5月3日
【發(fā)明人】李文靖
【申請(qǐng)人】北京金山安全軟件有限公司