腳本監(jiān)控方法和裝置制造方法
【專利摘要】本申請公開了一種腳本監(jiān)控方法和裝置,其中���,該方法包括:獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息���,其中,該組件是操作系統(tǒng)中的系統(tǒng)組件��;根據(jù)該監(jiān)控信息對該腳本進行監(jiān)控�。通過本申請,解決了采用明文進行病毒特征匹配的方式易受到干擾而導致腳本的監(jiān)控效果不佳的問題�,加強了對腳本的監(jiān)控。
【專利說明】腳本監(jiān)控方法和裝置
【技術領域】
[0001]本發(fā)明涉及計算機安全領域�,具體而言,涉及腳本監(jiān)控方法和裝置���。
【背景技術】
[0002]腳本文件��,一般不需要進行編譯成二進制文件���,而是由操作系統(tǒng)中所帶有的程序進行執(zhí)行,例如����,微軟公司可視化基礎程式腳本版(Microsoft Visual Basic ScriptEdit1n,簡稱為VBScript����,也簡寫為VBS)����,該腳本是一種基于可視化基礎程式語言(Visual Basic)的腳本語言。該VBS腳本是不需要編譯成二進制文件則可直接由宿主(例如�����,操作系統(tǒng)中的wscript.exe)解釋源代碼并執(zhí)行��。
[0003]對于腳本文件��,在相關技術中�����,殺毒軟件一般是通過特征信息來掃描腳本文件的明文����,如果匹配到了特征信息��,就提示用戶是病毒。然而對于加密的腳本���,若直接明文匹配�,是匹配不到任何東西的����。有些大廠商的殺毒軟件,會使用他們自行研發(fā)的腳本虛擬機動態(tài)地對加密的腳本進行解密��,并使用解密之后的腳本的明文匹配病毒庫里的特征�����。發(fā)明人在研究過程中發(fā)現(xiàn)�,由于該匹配過程也是在宿主對該腳本進行實際的運行處理之前進行的,其仍然是采用明文匹配的方式���,因此這種匹配的結果依賴于解密的成功程度��。如果該加密的腳本中還包括了一些干擾的措施�����,那么該匹配結果就可能達不到預期的效果�。
[0004]針對相關技術中采用明文進行病毒特征匹配的方式易受到干擾而導致腳本的監(jiān)控效果不佳的問題,目前尚未提出有效的解決方案���。
【發(fā)明內(nèi)容】
[0005]本申請?zhí)峁┝艘环N腳本監(jiān)控方法和裝置�����,以至少解決采用明文進行病毒特征匹配的方式易受到干擾而導致腳本的監(jiān)控效果不佳的問題�。
[0006]根據(jù)本申請的一個方面���,提供了一種腳本監(jiān)控方法���,包括:獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息,其中���,所述組件是操作系統(tǒng)中的系統(tǒng)組件;根據(jù)所述監(jiān)控信息對所述腳本進行監(jiān)控�。
[0007]優(yōu)選地,獲取所述組件在運行所述腳本的過程中產(chǎn)生的所述監(jiān)控信息包括:掛鉤所述組件中的編譯函數(shù)或者解析函數(shù)���;獲取所述組件執(zhí)行所述編譯函數(shù)或者所述解析函數(shù)的過程中產(chǎn)生的所述監(jiān)控信息�����。
[0008]優(yōu)選地�,在所述腳本為加密腳本的情況下,掛鉤所述組件中的編譯函數(shù)��;其中�,所述監(jiān)控信息是所述編譯函數(shù)對所述腳本進行解密得到的所述腳本的明文。
[0009]優(yōu)選地����,在掛鉤所述組件中的所述解析函數(shù)的情況下,所述監(jiān)控信息是所述解析函數(shù)對所述腳本進行語法分析得到的���,所述監(jiān)控信息包括:所述組件在執(zhí)行所述腳本時調(diào)用的一個或多個所述操作系統(tǒng)中的系統(tǒng)命令���。
[0010]優(yōu)選地,在掛鉤所述組件中的所述編譯函數(shù)或者所述解析函數(shù)之前���,所述方法還包括:判斷所述腳本的類型��;根據(jù)所述腳本的類型確定掛鉤所述編譯函數(shù)或者掛鉤所述解析函數(shù)���。
[0011]優(yōu)選地,根據(jù)所述腳本的類型確定掛鉤所述編譯函數(shù)或者掛鉤所述解析函數(shù)包括:在所述腳本的類型是微軟公司可視化基礎程式VBS腳本的情況下,確定掛鉤所述編譯函數(shù)���;在所述腳本的類型是批處理腳本的情況下��,確定掛鉤所述編譯函數(shù)�����。
[0012]根據(jù)本申請的另一方面�,還提供了一種腳本監(jiān)控裝置��,包括:獲取模塊���,用于獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息�����,其中�����,所述組件是操作系統(tǒng)中的系統(tǒng)組件;監(jiān)控模塊�,用于根據(jù)所述監(jiān)控信息對所述腳本進行監(jiān)控。
[0013]優(yōu)選地,所述獲取模塊包括:掛鉤子單元�����,用于掛鉤所述組件中的編譯函數(shù)或者解析函數(shù)����;獲取子單元,用于獲取所述組件執(zhí)行所述編譯函數(shù)或者所述解析函數(shù)的過程中產(chǎn)生的所述監(jiān)控信息��。
[0014]優(yōu)選地��,所述掛鉤子單元�����,用于在所述腳本為加密腳本的情況下掛鉤所述組件中的編譯函數(shù)�����;其中�����,所述監(jiān)控信息是所述編譯函數(shù)對所述腳本進行解密得到的所述腳本的明文��。
[0015]優(yōu)選地,在掛鉤所述組件中的所述解析函數(shù)的情況下����,所述監(jiān)控信息是所述解析函數(shù)對所述腳本進行語法分析得到的,所述監(jiān)控信息包括:所述組件在執(zhí)行所述腳本時調(diào)用的一個或多個所述操作系統(tǒng)中的系統(tǒng)命令��。
[0016]優(yōu)選地�,所述裝置還包括:判斷模塊,用于判斷所述腳本的類型���;確定模塊����,用于根據(jù)所述腳本的類型確定掛鉤所述編譯函數(shù)或者掛鉤所述解析函數(shù)����。
[0017]優(yōu)選地,所述確定模塊包括:第一確定子單元��,用于在所述腳本的類型是微軟公司可視化基礎程式VBS腳本的情況下��,確定掛鉤所述編譯函數(shù)���;第二確定子單元,用于在所述腳本的類型是批處理腳本的情況下,確定掛鉤所述編譯函數(shù)�����。
[0018]通過本申請��,采用獲取系統(tǒng)組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息����,根據(jù)該監(jiān)控信息對該腳本進行監(jiān)控。解決了采用明文進行病毒特征匹配的方式易受到干擾而導致腳本的監(jiān)控效果不佳的問題����,加強了對腳本的監(jiān)控。
【專利附圖】
【附圖說明】
[0019]此處所說明的附圖用來提供對本申請的進一步理解����,構成本申請的一部分,本申請的示意性實施例及其說明用于解釋本申請��,并不構成對本申請的不當限定�����。在附圖中:
[0020]圖1是根據(jù)本申請實施例的腳本監(jiān)控方法的流程圖����;
[0021]圖2是根據(jù)本申請實施例的腳本監(jiān)控裝置的結構框圖�����;
[0022]圖3是根據(jù)本申請實施例的腳本監(jiān)控裝置的優(yōu)選結構框圖一��;
[0023]圖4是根據(jù)本申請實施例的腳本監(jiān)控裝置的優(yōu)選結構框圖二 �;
[0024]圖5是根據(jù)本申請實施例的腳本監(jiān)控裝置的優(yōu)選結構框圖三�;
[0025]圖6是根據(jù)本申請優(yōu)選實施例的VBS腳本監(jiān)控的流程圖;
[0026]圖7是根據(jù)本申請優(yōu)選實施例的BAT腳本監(jiān)控的流程圖��。
【具體實施方式】
[0027]需要說明的是����,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合�。下面將參考附圖并結合實施例來詳細說明本申請。
[0028]需要說明的是�,在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并且����,雖然在流程圖中示出了邏輯順序,但是在某些情況下�����,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0029]以下實施例可以應用到計算機中��,例如應用到PC中�。也可以應用到目前采用了智能操作系統(tǒng)中的移動終端中�����,并且并不限于此���。對于計算機或移動終端的操作系統(tǒng)并沒有特殊要求�����,只要支持腳本運行即可��。例如���,以下實施例可以應用到Windows操作系統(tǒng)中。
[0030]本實施例提供了一種腳本監(jiān)控方法���,圖1是根據(jù)本申請實施例的腳本監(jiān)控方法的流程圖���,如圖1所示����,包括如下的步驟:
[0031]步驟S102��,獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息����,其中,該組件是操作系統(tǒng)中的系統(tǒng)組件����;
[0032]步驟S104,根據(jù)該監(jiān)控信息對該腳本進行監(jiān)控�����。
[0033]操作系統(tǒng)中的系統(tǒng)組件在運行腳本時���,會對該腳本進行處理�����。在該處理過程中���,會得到能夠用來對該腳本進行監(jiān)控的監(jiān)控信息���,由于該監(jiān)控信息是系統(tǒng)組件在對腳本進行處理的這一動態(tài)的過程得到,與相關技術中靜態(tài)比對腳本明文的方式相比����,一方面��,提供了一種新的腳本監(jiān)控方式��,另一方面����,這樣得到的監(jiān)控信息更不易受到腳本中所采用的干擾措施的影響,從而在一定程度上能夠提高監(jiān)控效果����。
[0034]系統(tǒng)組件在運行腳本中可能會調(diào)用以下至少之一:底層的命令、函數(shù)���、其他關聯(lián)程序����。可以將這些調(diào)用信息輸出并作為監(jiān)控信息�,或者將系統(tǒng)組件在執(zhí)行這些命令、函數(shù)時所產(chǎn)生的信息作為監(jiān)控信息��,就能夠?qū)崿F(xiàn)對腳本的監(jiān)控�����,相比于相關技術中監(jiān)控的方式���,提升了監(jiān)控的效果�。
[0035]獲取這些監(jiān)控信息的方式可能有多種��,在本實施例中提供了一種較優(yōu)的方式:采用掛鉤系統(tǒng)組件的方式獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息��,例如����,可以掛鉤系統(tǒng)組件中的編譯函數(shù),還可以掛鉤系統(tǒng)組件中的解析函數(shù)�。此時,獲取系統(tǒng)組件執(zhí)行該編譯函數(shù)或者該解析函數(shù)的過程中產(chǎn)生的監(jiān)控信息即可�。
[0036]優(yōu)選地,系統(tǒng)組件中的編譯函數(shù)一般情況下還能夠?qū)δ_本進行解密。因此���,在腳本為加密腳本的情況下�����,可以掛鉤組件中的編譯函數(shù)����,在這種情況下產(chǎn)生的監(jiān)控信息包括編譯函數(shù)對腳本進行解密得到的腳本的明文�����。采用這種方式得到的腳本明文是在系統(tǒng)組件編譯腳本的過程中得到的�����,相比于使用腳本虛擬機解密腳本得到的明文的方式更優(yōu)����,例如���,使用腳本虛擬機對腳本進行解密時��,能夠解密的加密腳本的類型十分有限�,通過使用系統(tǒng)組件中編譯函數(shù)對腳本進行解密,能夠支持更多的加密腳本的類型���,從而提升了監(jiān)控的效果����。
[0037]對于有些腳本��,通過掛鉤的方式可以得到該腳本調(diào)用的底層API的相關信息��,通過該底層API的相關信息以對該腳本進行監(jiān)控�,但是,這種監(jiān)控方式存在如下問題:例如���,只通過底層API信息有時無法直接得出該腳本所進行的行為�。這是由于這類腳本的命令都是高層封裝的命令��,例如���,腳本中使用了 netuse命令��,該命令可以訪問局域網(wǎng)內(nèi)的某一臺機器����。但是在底層API,該命令會轉(zhuǎn)化成很多個函數(shù)���,通過這些函數(shù)還原成netuse命令很有難度�����,使得分析該腳本的過程中較難理解其腳本功能的原意�。
[0038]優(yōu)選地�,針對上述類型的腳本,可以采用掛鉤系統(tǒng)組件的解析函數(shù)的方式����,并通過對腳本進行語法分析的過程,得到用于腳本監(jiān)控的監(jiān)控信息�。該監(jiān)控信息可以包括系統(tǒng)組件在執(zhí)行該腳本時調(diào)用的一個或多個操作系統(tǒng)中的系統(tǒng)命令���。其中的系統(tǒng)命令不同于底層API��,通過語法分析得到的系統(tǒng)命令的可讀性更強����,便于對該類型腳本的分析。
[0039]例如,對于BAT腳本,通過Windows操作系統(tǒng)中的cmd.exe對BAT腳本進行語法分析之后�,將分析后的BAT腳本分割為一個或多個命令,并在這些命令派發(fā)執(zhí)行之前輸出這些命令以對BAT腳本進行監(jiān)控��。這種方式對相關技術中直接對派發(fā)執(zhí)行之后的系統(tǒng)API進行掛鉤監(jiān)控的方式或者直接對BAT腳本的明文進行監(jiān)控所帶來的問題����,例如分析難度大導致監(jiān)控效果差,提供了較優(yōu)的解決方案�。
[0040]優(yōu)選地,在對腳本運行之前可以對該腳本分別進行上述兩種方式的處理動作��,然后從輸出的用于監(jiān)控腳本的監(jiān)控信息中選擇比較好的����,以對上述腳本進行監(jiān)控。另一種比較優(yōu)的實施方式是:在掛鉤組件中的編譯函數(shù)或者解析函數(shù)之前���,判斷腳本的類型�;根據(jù)腳本的類型確定掛鉤編譯函數(shù)或者掛鉤解析函數(shù)�����。例如�����,在腳本的類型是微軟公司可視化基礎程式VBS腳本的情況下,掛鉤編譯函數(shù)����;在腳本的類型是批處理腳本的情況下,掛鉤編譯函數(shù)�。并且,該優(yōu)選實施方式中的判斷腳本的類型的功能可以由操作系統(tǒng)中的相應函數(shù)來執(zhí)行��。
[0041]本實施例還提供了一種腳本監(jiān)控裝置���,該裝置可以用于實現(xiàn)上述腳本監(jiān)控方法����。圖2是根據(jù)本申請實施例的腳本監(jiān)控裝置的結構框圖����,如圖2所示,該裝置包括:獲取模塊22和監(jiān)控模塊24�,其中����,獲取模塊22�����,用于獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息���,其中,組件是操作系統(tǒng)中的系統(tǒng)組件����;監(jiān)控模塊24,耦合至上述獲取模塊22���,用于根據(jù)監(jiān)控信息對腳本進行監(jiān)控�����。
[0042]通過上述裝置���,采用獲取模塊22獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息,其中�,組件是操作系統(tǒng)中的系統(tǒng)組件;監(jiān)控模塊24根據(jù)監(jiān)控信息對腳本進行監(jiān)控的方式���。由此�����,操作系統(tǒng)中的系統(tǒng)組件在運行腳本時���,會對該腳本進行處理���。在該處理過程中,會得到能夠用來對該腳本進行監(jiān)控的監(jiān)控信息����,由于該監(jiān)控信息是系統(tǒng)組件在對腳本進行處理的這一動態(tài)的過程得到,與相關技術中靜態(tài)比對腳本明文的方式相比�����,一方面�,提供了一種新的腳本監(jiān)控方式,另一方面����,這樣得到的監(jiān)控信息更不易受到腳本中所采用的干擾措施的影響,從而在一定程度上能夠提高監(jiān)控效果
[0043]需要說明的是:本實施例中所涉及到的模塊���、子單元可以通過軟件的方式實現(xiàn)�,也可以通過硬件的方式來實現(xiàn)���。其中所描述的模塊����、子單元也可以在處理器中�����,例如�,一種處理器,包括獲取模塊22���、監(jiān)控模塊24��。其中��,這些模塊�����、子單元的名稱在某些情況下并不構成對該模塊本身的限定�,例如����,獲取模塊22還可以描述為“用于獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息22”�����。
[0044]圖3是根據(jù)本申請實施例的腳本監(jiān)控裝置的優(yōu)選結構框圖一���,如圖3所示,較優(yōu)地��,該獲取模塊22包括:掛鉤子單元32和獲取子單元34����,其中,掛鉤子單元32�����,用于掛鉤組件中的編譯函數(shù)或者解析函數(shù)�;獲取子單元34,耦合至上述掛鉤子單元32����,用于獲取組件執(zhí)行編譯函數(shù)或者解析函數(shù)的過程中產(chǎn)生的監(jiān)控信息。
[0045]較優(yōu)地,上述掛鉤子單元32用于在腳本為加密腳本的情況下掛鉤組件中的編譯函數(shù)����;其中,監(jiān)控信息是編譯函數(shù)對腳本進行解密得到的腳本的明文����。
[0046]較優(yōu)地���,在掛鉤子單元32掛鉤組件中的解析函數(shù)的情況下��,監(jiān)控信息是解析函數(shù)對腳本進行語法分析得到的��,監(jiān)控信息包括:組件在執(zhí)行腳本時調(diào)用的一個或多個操作系統(tǒng)中的系統(tǒng)命令�。
[0047]圖4是根據(jù)本申請實施例的腳本監(jiān)控裝置的優(yōu)選結構框圖二�����,如圖4所示���,較優(yōu)地����,該腳本監(jiān)控裝置還包括:判斷模塊42和確定模塊44,其中��,判斷模塊42�,耦合至確定模塊44,用于判斷腳本的類型�;確定模塊44,耦合至獲取模塊22�����,用于根據(jù)腳本的類型確定掛鉤編譯函數(shù)或者掛鉤解析函數(shù)�。
[0048]圖5是根據(jù)本申請實施例的腳本監(jiān)控裝置的優(yōu)選結構框圖三,如圖5所示����,較優(yōu)地,上述確定模塊44包括:第一確定子單元52和第二確定子單元54���,其中���,第一確定子單元52,耦合至獲取模塊22��,用于在腳本的類型是微軟公司可視化基礎程式VBS腳本的情況下�,確定掛鉤編譯函數(shù)����;第二確定子單元54����,耦合至獲取模塊22,用于在腳本的類型是批處理腳本的情況下����,確定掛鉤編譯函數(shù)��。
[0049]需要說明的是�����,裝置實施例中描述的腳本監(jiān)控裝置對應于上述的方法實施例�����,其具體的實現(xiàn)過程在方法實施例中已經(jīng)進行過詳細說明���,在此不再贅述����。
[0050]為了使本申請的技術方案和實現(xiàn)方法更加清楚,下面將結合優(yōu)選的實施例對其實現(xiàn)過程進行詳細描述���。
[0051]優(yōu)選實施例一
[0052]在動態(tài)分析的平臺中���,VBS腳本獲得運行時,使用API掛鉤技術����,掛鉤內(nèi)存中的用于腳本解密的解密函數(shù),該函數(shù)位于vbscript.dll模塊中���。Wscript.exe在執(zhí)行VBS腳本時����,會加載vbscript.dll作為執(zhí)行引擎�。對于加密或未加密函數(shù)(即腳本中的函數(shù)),必須要經(jīng)過vbscript.dll的編譯后����,該腳本的代碼才能被機器執(zhí)行。
[0053]圖6是根據(jù)本申請優(yōu)選實施例的VBS腳本監(jiān)控的流程圖�,如圖6所示,該流程包括如下步驟:
[0054]步驟S602,定位到VBS引擎負責編譯的函數(shù),該函數(shù)位于COleScript::Compile中�。
[0055]步驟S604,在VBS腳本的正常執(zhí)行進行到這個編譯函數(shù)時,該編譯函數(shù)中的有一個字段所指向的內(nèi)容就是編譯后的腳本代碼��。
[0056]步驟S606�����,把編譯后的內(nèi)容輸出到文件中�����,形成一個解密后的VBS腳本���。
[0057]步驟S608,針對解密后的VBS腳本匹配病毒特征�,若有病毒則可報毒��。
[0058]主動防御技術就是通過掛鉤系統(tǒng)的API實現(xiàn)的���,由于系統(tǒng)的API函數(shù)比較底層���,因此可較完整的捕捉到對應進程對系統(tǒng)的進行的操作。
[0059]優(yōu)選實施例二
[0060]在本優(yōu)選實施例中����,對另一種腳本文件:批處理文件為例進行說明����。
[0061]批處理文件:是視窗系列操作系統(tǒng)(Windows)平臺下�,后綴是.bat的文件。批處理文件由系統(tǒng)進程cmd.exe解釋執(zhí)行���。
[0062]圖7是根據(jù)本申請優(yōu)選實施例的BAT腳本監(jiān)控的流程圖�����,如圖7所示���,該流程包括如下步驟:
[0063]步驟S702,cmd.exe進程對需要執(zhí)行的BAT文件(即批處理文件)進行語法分析�。
[0064]步驟S704, cmd.exe進程把每一條指令進行分割。
[0065]步驟S706,在cmd.exe進程派發(fā)執(zhí)行時,獲取執(zhí)行權,并打印出日志(log)��。
[0066]步驟S708, cmd.exe進程派發(fā)分割后的指令��。
[0067]通過上述步驟�����,可獲取到整個BAT腳本的執(zhí)行命令���,為后續(xù)的分析提供了很大的方便���。
[0068]其中��,cmd.exe對BAT進行派發(fā)執(zhí)行時,是在一個名叫stdcall Dispatch(x, x)的函數(shù)中(通過微軟的符號表可知)�����,這個函數(shù)負責對解析好的執(zhí)行進行派發(fā)執(zhí)行���。
[0069]這個函數(shù)有兩個參數(shù),第一個參數(shù)是表示指令的類型(type),第二個參數(shù)是一個結構體的指針,其中��,結構體成員addr_cmd所指向的是BAT所執(zhí)行的命令����。在具體實施中�����,對解析(Dispatch)函數(shù)進行掛鉤,在CMD正常執(zhí)行到Dispatch函數(shù)時,先進入處理函數(shù)���。在處理函數(shù)中�,將Dispatch函數(shù)的第二個參數(shù)所指向的結構體cmd_desc_t的字段addr_cmd字段所指向的統(tǒng)一碼(UNICODE)字符串寫入到文件中進行記錄。
[0070]通過本優(yōu)選實施例的技術方案��,解決了類似于BAT的腳本的進程通過API來進行監(jiān)控以及明文直接匹配不適用的問題���。
[0071]綜上所述����,根據(jù)本申請的上述實施例和優(yōu)選實施例���,提升了監(jiān)控和病毒掃描的效果O
[0072]顯然����,本領域的技術人員應該明白�����,上述的本發(fā)明的各模塊���、各子模塊或各步驟可以用通用的計算裝置來實現(xiàn)�,它們可以集中在單個的計算裝置上�,或者分布在多個計算裝置所組成的網(wǎng)絡上,可選地,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)���,從而��,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行�����,或者將它們分別制作成各個集成電路模塊�����,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)����。這樣�����,本發(fā)明不限制于任何特定的硬件和軟件結合��。
[0073]以上所述僅為本發(fā)明的優(yōu)選實施例而已�����,并不用于限制本發(fā)明���,對于本領域的技術人員來說��,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改、等同替換�、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)�����。
【權利要求】
1.一種腳本監(jiān)控方法����,其特征在于包括: 獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息,其中�,所述組件是操作系統(tǒng)中的系統(tǒng)組件; 根據(jù)所述監(jiān)控信息對所述腳本進行監(jiān)控�����。
2.根據(jù)權利要求1所述的方法,其特征在于���,獲取所述組件在運行所述腳本的過程中產(chǎn)生的所述監(jiān)控信息包括: 掛鉤所述組件中的編譯函數(shù)或者解析函數(shù)���; 獲取所述組件執(zhí)行所述編譯函數(shù)或者所述解析函數(shù)的過程中產(chǎn)生的所述監(jiān)控信息。
3.根據(jù)權利要求2所述的方法��,其特征在于���,在所述腳本為加密腳本的情況下�����,掛鉤所述組件中的編譯函數(shù)�����;其中����,所述監(jiān)控信息是所述編譯函數(shù)對所述腳本進行解密得到的所述腳本的明文���。
4.根據(jù)權利要求2所述的方法�����,其特征在于�,在掛鉤所述組件中的所述解析函數(shù)的情況下��,所述監(jiān)控信息是所述解析函數(shù)對所述腳本進行語法分析得到的���,所述監(jiān)控信息包括:所述組件在執(zhí)行所述腳本時調(diào)用的一個或多個所述操作系統(tǒng)中的系統(tǒng)命令�����。
5.根據(jù)權利要求2至4中任一項所述的方法���,其特征在于,在掛鉤所述組件中的所述編譯函數(shù)或者所述解析函數(shù)之前��,所述方法還包括: 判斷所述腳本的類型�; 根據(jù)所述腳本的類型確定掛鉤所述編譯函數(shù)或者掛鉤所述解析函數(shù)。
6.根據(jù)權利要求5所述的方法���,其特征在于�����,根據(jù)所述腳本的類型確定掛鉤所述編譯函數(shù)或者掛鉤所述解析函數(shù)包括: 在所述腳本的類型是微軟公司可視化基礎程式VBS腳本的情況下����,確定掛鉤所述編譯函數(shù); 在所述腳本的類型是批處理腳本的情況下���,確定掛鉤所述編譯函數(shù)���。
7.一種腳本監(jiān)控裝置,其特征在于包括: 獲取模塊�����,用于獲取組件在運行腳本的過程中產(chǎn)生的監(jiān)控信息��,其中�,所述組件是操作系統(tǒng)中的系統(tǒng)組件; 監(jiān)控模塊���,用于根據(jù)所述監(jiān)控信息對所述腳本進行監(jiān)控�����。
8.根據(jù)權利要求7所述的裝置���,其特征在于�,所述獲取模塊包括: 掛鉤子單元��,用于掛鉤所述組件中的編譯函數(shù)或者解析函數(shù)��; 獲取子單元�,用于獲取所述組件執(zhí)行所述編譯函數(shù)或者所述解析函數(shù)的過程中產(chǎn)生的所述監(jiān)控信息����。
9.根據(jù)權利要求8所述的裝置,其特征在于����,所述掛鉤子單元,用于在所述腳本為加密腳本的情況下掛鉤所述組件中的編譯函數(shù)�;其中,所述監(jiān)控信息是所述編譯函數(shù)對所述腳本進行解密得到的所述腳本的明文���。
10.根據(jù)權利要求8所述的裝置����,其特征在于�����,在所述掛鉤子單元掛鉤所述組件中的所述解析函數(shù)的情況下,所述監(jiān)控信息是所述解析函數(shù)對所述腳本進行語法分析得到的�����,所述監(jiān)控信息包括:所述組件在執(zhí)行所述腳本時調(diào)用的一個或多個所述操作系統(tǒng)中的系統(tǒng)命令��。
11.根據(jù)權利要求8至10中任一項所述的裝置���,其特征在于����,所述裝置還包括: 判斷模塊����,用于判斷所述腳本的類型; 確定模塊����,用于根據(jù)所述腳本的類型確定掛鉤所述編譯函數(shù)或者掛鉤所述解析函數(shù)。
12.根據(jù)權利要求11所述的裝置���,其特征在于��,所述確定模塊包括: 第一確定子單元�,用于在所述腳本的類型是微軟公司可視化基礎程式VBS腳本的情況下,確定掛鉤所述編譯函數(shù)�; 第二確定子單元,用于在所述腳本的類型是批處理腳本的情況下�����,確定掛鉤所述編譯函數(shù)���。
【文檔編號】G06F21/56GK104252593SQ201310263489
【公開日】2014年12月31日 申請日期:2013年6月27日 優(yōu)先權日:2013年6月27日
【發(fā)明者】蘇海峰, 白彥庚, 楊景杰, 鄒義鵬, 張楠, 陳勇 申請人:貝殼網(wǎng)際(北京)安全技術有限公司, 北京金山網(wǎng)絡科技有限公司, 北京金山安全軟件有限公司, 珠海市君天電子科技有限公司, 可牛網(wǎng)絡技術(北京)有限公司