程序的特征碼。
[0224]另一種使用文件防御規(guī)則在程序生成文件時(shí)進(jìn)行文件防御的方式是:主動(dòng)防御系統(tǒng)在程序生成文件時(shí)�����,獲取生成的文件的文件路徑;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑是否匹配;若匹配���,則獲取生成的文件,判斷生成的文件是否在目標(biāo)白名單中�;若生成的文件在目標(biāo)白名單中,且生成的文件的來(lái)源在來(lái)源白名單中�����,則將生成的文件放行��。
[0225]其中���,當(dāng)主動(dòng)防御系統(tǒng)判斷生成的文件的文件路徑與文件防御規(guī)則中的目標(biāo)路徑匹配時(shí)��,獲取生成的文件��,先判斷生成的文件是否符合預(yù)置的臨界文件規(guī)則��,其中�,臨界文件規(guī)則用于指示生成的文件為除白名單文件、黑名單文件和可疑文件之外的文件;若符合�,則判斷生成的文件的來(lái)源是否在來(lái)源白名單中;若是��,則將生成的文件放行;若否�����,則進(jìn)行報(bào)警提示���。臨界文件規(guī)則可以由本領(lǐng)域技術(shù)人員根據(jù)實(shí)際情況適當(dāng)設(shè)置��,如根據(jù)文件等級(jí)判斷生成的文件是否為灰名單文件等��,其中�����,灰名單文件可以是危險(xiǎn)級(jí)別大于白名單文件�,但又小于可疑文件的文件���。但不限于此���,也可以將灰名單文件和可疑文件等均囊括入臨界文件中����。在HKFi Ie Defend�����,文件防御體系)規(guī)則中放過(guò)了白來(lái)源(即來(lái)源白名單中的文件來(lái)源)的文件����,可以有效減少誤報(bào)�����。如果該文件的來(lái)源是白的��,則可以直接放過(guò)��,運(yùn)行其寫(xiě)注
ΠΓΤ-中冊(cè)衣寺��。
[0226]需要說(shuō)明的是���,本方案中的服務(wù)器可以是部署于主動(dòng)防御系統(tǒng)所在設(shè)備之外的后臺(tái)服務(wù)器��,如后臺(tái)云服務(wù)器��,但不限于此���,在硬件條件許可的情況下�����,該服務(wù)器也可以與主動(dòng)防御系統(tǒng)合并設(shè)置��,即主動(dòng)防御系統(tǒng)與服務(wù)器設(shè)置在一臺(tái)機(jī)器上��。?0227] 優(yōu)選的���,當(dāng)程序?qū)懽?cè)表時(shí),主動(dòng)防御系統(tǒng)會(huì)啟動(dòng)RD(Registry Defend�,注冊(cè)表防御體系KRD提供了對(duì)常見(jiàn)的系統(tǒng)敏感注冊(cè)表項(xiàng)進(jìn)行監(jiān)視,如啟動(dòng)項(xiàng)�����、服務(wù)驅(qū)動(dòng)項(xiàng)�����、系統(tǒng)策略項(xiàng)、瀏覽器設(shè)置或網(wǎng)絡(luò)設(shè)置(包括NameServer)項(xiàng)的添加修改�。當(dāng)有程序進(jìn)行修改表項(xiàng)的操作時(shí),目前默認(rèn)都被RD視為敏感行為而攔截掛起��,這種攔截掛起造成了現(xiàn)有主動(dòng)防御系統(tǒng)的漏報(bào)或者誤報(bào)�。當(dāng)程序?qū)懽?cè)表項(xiàng)時(shí),若主動(dòng)防御系統(tǒng)確定程序?qū)懭氲淖?cè)表目標(biāo)項(xiàng)不存在����,不會(huì)進(jìn)行攔截掛起,而是將待寫(xiě)入的目標(biāo)路徑加入FD規(guī)則����,等待后續(xù)的FD。例如��,注冊(cè)表中不存在程序?qū)懭氲淖?cè)表目標(biāo)項(xiàng)��,如程序?qū)懭氲哪繕?biāo)路徑不是系統(tǒng)中當(dāng)前已經(jīng)存在的現(xiàn)有路徑而是新路徑����,則主動(dòng)防御系統(tǒng)不會(huì)進(jìn)行攔截掛起��,而是將待寫(xiě)入的目標(biāo)路徑加入FD規(guī)則,等待后續(xù)的FD�。
[0228]優(yōu)選的,文件防御體系(FD)���,用于監(jiān)視系統(tǒng)敏感目錄的文件(如HOSTS)操作�����,如修改刪除系統(tǒng)目錄里的任何文件或創(chuàng)建新文件等���,也可用來(lái)發(fā)現(xiàn)被驅(qū)動(dòng)木馬隱藏的文件本體。實(shí)現(xiàn)文件防御體系的要點(diǎn)同樣也是攔截系統(tǒng)底層函數(shù)如NtOpenFile等���,HIPS默認(rèn)對(duì)系統(tǒng)敏感目錄進(jìn)行監(jiān)控保護(hù)����,一旦發(fā)現(xiàn)異常讀寫(xiě)����,則把相關(guān)操作掛起,并根據(jù)一定的匹配模式?jīng)Q定放行���、阻止或則彈框提示用戶����。如果程序?qū)懭氲淖?cè)表目標(biāo)項(xiàng),如寫(xiě)入的目標(biāo)路徑不存在時(shí)���,主動(dòng)防御系統(tǒng)不會(huì)攔截�����,因?yàn)閿r截容易造成誤報(bào)����,但是不攔截又有可能會(huì)產(chǎn)生漏報(bào)�����。而根據(jù)本發(fā)明的安全防御方案���,當(dāng)程序?qū)懭氲淖?cè)表目標(biāo)項(xiàng)不存在時(shí)��,主動(dòng)防御系統(tǒng)不會(huì)報(bào)警,但會(huì)將該目標(biāo)項(xiàng)中的目標(biāo)路徑加入文件防御規(guī)則��,在生成文件時(shí)進(jìn)行文件防御��。通過(guò)本實(shí)施例,對(duì)RD中取決于目標(biāo)的規(guī)則���,如果目標(biāo)不存在���,那么使用H)防護(hù)規(guī)則,在文件生成的時(shí)候攔截��,解決了現(xiàn)有的安全防御方法無(wú)法對(duì)注冊(cè)表和/或文件的改動(dòng)進(jìn)行精確地防御����,以致漏報(bào)和誤報(bào)的情況時(shí)有發(fā)生的問(wèn)題,達(dá)到RD和FD聯(lián)合防御����,減少漏報(bào)和誤報(bào)的效果。
[0229]通過(guò)上述方式�,實(shí)現(xiàn)了 AD、RD及FD規(guī)則的聯(lián)防�;RD規(guī)則、H)規(guī)則和AD規(guī)則��,是通過(guò)TRAY下發(fā)給驅(qū)動(dòng)的���,其中TRAY規(guī)定了每個(gè)規(guī)則如何根據(jù)不同的行為定義攔截���,例如��,當(dāng)木馬寫(xiě)入文件到一個(gè)文件路徑下����,替換該路徑本身的文件(文件名不變)�����,此時(shí)��,主動(dòng)防御系統(tǒng)的服務(wù)TRAY還未運(yùn)行起來(lái)����,而此時(shí)木馬卻運(yùn)行起來(lái),則主動(dòng)防御系統(tǒng)無(wú)法進(jìn)行攔截防護(hù)�����。而通過(guò)將開(kāi)機(jī)啟動(dòng)程序的路徑加入FD規(guī)則中���,則很好地解決了這一問(wèn)題�。
[0230]綜上��,本發(fā)明不僅可通過(guò)上述方案檢測(cè)出原配置文件中的惡意程序����,并對(duì)所述惡意程序進(jìn)行防御處理,以維護(hù)用戶所使用的終端設(shè)備的安全性�����,且本發(fā)明可對(duì)原配置文件中的惡意程序進(jìn)行標(biāo)記���,然后當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)��,將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶����,以便用戶知曉所述惡意程序信息�、知曉主軟件安裝進(jìn)程和/或根據(jù)提示做相應(yīng)的操作,該過(guò)程可使用戶實(shí)時(shí)知曉主軟件的安裝進(jìn)程及攔截進(jìn)程���,且用戶還可根據(jù)需要參與攔截進(jìn)程中�����,以提高用戶的參與感�����,使用戶的感覺(jué)性更強(qiáng)�。[0231 ]另外,用戶可根據(jù)需求選擇全自動(dòng)模式��、半自動(dòng)模式或提示模式的所述主軟件安裝控制模式����,無(wú)論用戶選擇前述何種控制模式,皆可使用戶實(shí)時(shí)了解主軟件安裝進(jìn)程及惡意程序的攔截進(jìn)程����。其中,當(dāng)識(shí)別到用戶選擇全自動(dòng)模式時(shí)���,服務(wù)器會(huì)將所述標(biāo)記的惡意程序進(jìn)行攔截�,并將主軟件安裝的實(shí)時(shí)操縱指令和/或當(dāng)前進(jìn)程信息提示給用戶�����,以便用戶實(shí)時(shí)了解主軟件安裝進(jìn)程及惡意程序的攔截進(jìn)程��;當(dāng)識(shí)別到用戶選擇半自動(dòng)模式時(shí),服務(wù)器將所述標(biāo)記的惡意程序進(jìn)行選定�����,并將該選定信息提示給用戶���,以便用戶對(duì)選定信息進(jìn)行確認(rèn)和/或調(diào)整,同時(shí)控制禁用下一操作指令的指令按鈕�����,并啟動(dòng)所述指令按鈕解禁的倒計(jì)時(shí)��,以便用戶在所述指令按鈕禁用期間�,手動(dòng)取消選定和/或選定所述標(biāo)記的惡意程序,該過(guò)程不僅可提高用戶對(duì)惡意程序的注意度�����,使用戶實(shí)時(shí)了解主軟件安裝進(jìn)程及惡意程序的攔截進(jìn)程���,還可便于用戶對(duì)安裝進(jìn)程及惡意程序的攔截進(jìn)程實(shí)時(shí)干預(yù)�,提高用戶的參與度����,使用戶的感覺(jué)性更強(qiáng)�。
[0232]相應(yīng)的��,依據(jù)計(jì)算機(jī)軟件的功能模塊化思維����,本發(fā)明還提供了一種惡意程序的處理系統(tǒng),也即一種惡意程序的處理方法的攔截程序服務(wù)器�����。請(qǐng)參見(jiàn)附圖8�����,以下具體揭示本系統(tǒng)包括的模塊及各模塊實(shí)現(xiàn)的具體功能���。該系統(tǒng)包括:
[0233]讀取模塊11���,用于讀取主軟件安裝包中的原配置文件。
[0234]具體的��,當(dāng)主軟件安裝包下載完成�,準(zhǔn)備安裝時(shí),所述讀取模塊11即會(huì)對(duì)該主軟件安裝包中的原配置文件進(jìn)行讀取檢測(cè)。
[0235]標(biāo)記模塊12���,用于對(duì)原配置文件中的惡意程序進(jìn)行標(biāo)記�。
[0236]具體的���,首先根據(jù)云端鑒別條件庫(kù)�����,對(duì)原配置文件中的惡意程序進(jìn)行精確匹配抓取,其精確匹配抓取方式包括如下過(guò)程:將原配置文件中的安裝進(jìn)程的描述信息與云端鑒別條件庫(kù)中保存的黑名單進(jìn)行匹配比對(duì)��,若匹配成功��,則對(duì)該安裝進(jìn)程文件標(biāo)記為惡意程序�。所述描述信息,包括以下一種或多種的組合:版本號(hào)��、安裝文件的發(fā)布公司名稱(chēng)�、產(chǎn)品名稱(chēng)、內(nèi)部名稱(chēng)���、簽名者��、簽名日期��、安裝文件大小���、安裝范圍�����、安裝文件的時(shí)間戳�����、安裝命令行?目息O
[0237]其中��,所述云端鑒別條件庫(kù)保存的對(duì)應(yīng)執(zhí)行攔截策略的行為的描述信息���,包括以下一種或多種的組合:由默認(rèn)攔截的進(jìn)程執(zhí)行的與所述默認(rèn)攔截的進(jìn)程無(wú)關(guān)的文件創(chuàng)建操作的描述信息、由默認(rèn)攔截的進(jìn)程執(zhí)行的與所述默認(rèn)攔截的進(jìn)程無(wú)關(guān)的文件寫(xiě)入操作的描述信息����、由默認(rèn)攔截的進(jìn)程執(zhí)行的與所述默認(rèn)的進(jìn)程無(wú)關(guān)的安裝操作的描述信息。
[0238]所述云端鑒別條件庫(kù)中保存的對(duì)應(yīng)執(zhí)行攔截策略的安裝進(jìn)程的描述信息����,包括以下一種或者多種的組合:由默認(rèn)攔截的進(jìn)程啟動(dòng)且與所述默認(rèn)攔截的進(jìn)程無(wú)關(guān)的安裝進(jìn)程的描述信息����、已執(zhí)行攔截的安裝進(jìn)程的描述信息��、預(yù)先收集的默認(rèn)攔截的安裝進(jìn)程的描述信息���、預(yù)先收集的默認(rèn)攔截的下載進(jìn)程訪問(wèn)的網(wǎng)絡(luò)地址��。
[0239]提示模塊13����,用于當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)�,將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶��,以便用戶知曉所述惡意程序信息��、知曉主軟件安裝進(jìn)程和/或根據(jù)提示做相應(yīng)的操作����。
[0240]具體的,請(qǐng)參見(jiàn)附圖9���,所述提示模塊13包括:
[0241]檢測(cè)子模塊131����,用于實(shí)時(shí)檢測(cè)客戶端中進(jìn)行主軟件安裝的當(dāng)前進(jìn)程。
[0242]選擇提示子模塊132����,用于提示用戶選擇主軟件安裝的控制模式。
[0243]具體的���,所述主軟件安裝的控制模式包括全自動(dòng)模式�、半自動(dòng)模式及提示模式����。
[0244]識(shí)別子模塊133,用于對(duì)用戶所選擇的主軟件安裝的控制模式進(jìn)行識(shí)別���。
[0245]具體的�����,根據(jù)用戶觸發(fā)相應(yīng)的標(biāo)識(shí)指令按鈕來(lái)識(shí)別����,并將識(shí)別結(jié)果反饋至下一級(jí)進(jìn)程控制端�����,以便下一級(jí)進(jìn)程控制端根據(jù)標(biāo)識(shí)指令按鈕預(yù)設(shè)的執(zhí)行。
[0246]操作執(zhí)行子模塊134���,用于根據(jù)用戶選擇的控制模式�����,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制���。
[0247]具體的,所述安裝信息提示包括安裝進(jìn)程信息提示及惡意程序的攔截信息提示���;所述安裝進(jìn)程控制包括主軟件安裝進(jìn)程控制及惡意程序的攔截進(jìn)程控制�����。
[0248]請(qǐng)參見(jiàn)附圖9及附圖10,在本發(fā)明的一個(gè)實(shí)施例中�,當(dāng)所述識(shí)別子模塊133識(shí)別到用戶選擇全自動(dòng)模式時(shí),所述操作執(zhí)行子模塊134包括:
[0249]第一攔截單元103�����,用于將所述標(biāo)記的惡意程序進(jìn)行攔截。
[0250]具體的�,該過(guò)程是攔截程序服務(wù)器直接將標(biāo)記的惡意程序進(jìn)行選定執(zhí)行攔截的。
[0251]控制單元101��,用于根據(jù)預(yù)設(shè)的軟件安裝方式�,實(shí)時(shí)控制所述主軟件的安裝進(jìn)程按照所述預(yù)設(shè)的軟件安裝方式進(jìn)行。
[0252]第一提示單元105�����,用于將主軟件安裝的實(shí)時(shí)操控指令和/或當(dāng)前進(jìn)程信息提示給用戶�。
[0253]具體的,所述主軟件安裝的實(shí)時(shí)操控指令和/或當(dāng)前進(jìn)程信息都是按預(yù)設(shè)的軟件安裝方式執(zhí)行的���;所述進(jìn)程信息提示是隨主軟件安裝的實(shí)時(shí)進(jìn)程而實(shí)時(shí)觸發(fā)提示給用戶的�����,在進(jìn)程信息提示的過(guò)程中��,需根據(jù)所述主軟件安裝的進(jìn)程�,實(shí)時(shí)調(diào)用預(yù)設(shè)的用于進(jìn)程信息提示的腳本����。例如��,所述當(dāng)前進(jìn)程信息可為“正在選定惡意程序”��、“正在攔截惡意程序”等���。
[0254]需要說(shuō)明的是,所述第一攔截單元103�、控制單元101及第一提示單元105同步協(xié)同工作。
[0255]請(qǐng)參見(jiàn)附圖9及附圖11���,在本發(fā)明的又一個(gè)實(shí)施例中��,當(dāng)所述識(shí)別子模塊133識(shí)別到用戶選擇半自動(dòng)模式時(shí)��,所述操作執(zhí)行子模塊134包括:
[0256]選定提示單元102���,用于將所述標(biāo)記的惡意程序進(jìn)行選定,并將該選定信息提示給用戶�����,以便用戶對(duì)選定信息進(jìn)行確認(rèn)和/或調(diào)整����。
[0257]具體的,所述選定信息提示是隨主軟件安裝的實(shí)時(shí)進(jìn)程而實(shí)時(shí)觸發(fā)提示給用戶的�,在選定信息提示的過(guò)程中,需根據(jù)所述主軟件安裝的進(jìn)程����,實(shí)時(shí)調(diào)用預(yù)設(shè)的用于選定信息提示的腳本。其中�,例如,所述選定信息可為“正在選定惡意程序”���、“惡意程序已全選定”等��。
[0258]禁用控制單元104���,用于控制禁用下一操作指令的指令按鈕,并啟動(dòng)所述指令按鈕解禁的倒計(jì)時(shí)����,以便用戶在所述指令按鈕禁用期間,手動(dòng)取消選定和/或選定所述標(biāo)記的惡意程序���。
[0259