[发明专利]一种监控脚本执行的方法和装置

权利要求书

1.一种监控脚本执行的方法，包括：

A：获得脚本宿主返回给脚本引擎的一个返回结果；

B：判断所述返回结果是否是一个特定接口对象，其中通过所述特定接 口对象所述脚本引擎可访问所述脚本宿主公开的属性、方法或事件通知；

C：如果判断结果为是，则通过封装所述特定接口对象，创建一个私有 接口对象，并将所述私有接口对象返回给所述脚本引擎；其中，所述私有 接口对象具有与所述特定接口对象相同的函数形式，并且封装有用于监控 所述私有接口对象的操作的监控功能；

D：接收所述脚本引擎对所述私有接口对象的函数调用；

E：利用所述私有接口对象的所述监控功能，根据所述函数调用的信息， 确定所述正在执行的脚本是否属于恶意程序，

其中，所述方法还包括：如果确定出所述正在执行的脚本属于恶意程序， 则终止所述脚本的执行；如果确定出所述正在执行的脚本不属于恶意程序， 则调用封装在所述私有接口对象中的所述特定接口对象的相应函数，并等 待返回结果，

其中，所述方法还包括：H：如果所述等待的返回结果不是另一个特定 接口对象，则根据所述相应函数的输入参数和所述等待的返回结果，判断 所述脚本是否是恶意程序，

其中，所述步骤H包括：判断所述输入参数和所述等待的返回结果是否 均为字符串；如果所述等待的返回结果的字符串长度小于所述输入参数的 字符串长度，且所述等待的返回结果的字符串长度大于预定值，则判断出 所述脚本执行了解密操作，

其中，在判断出所述脚本执行了解密操作之后，所述步骤H还包括：获 得所述输入参数和所述等待的返回结果的代码长度；根据所述输入参数的 代码长度，按照解密方法，计算出理论上的解密代码长度；如果所述理论 解密代码长度短于所述等待的返回结果的代码长度，则判断所述等待的返 回结果是否包含二进制代码；如果所述等待的返回结果包含二进制代码， 而所述等待的返回结果的声明类型为字符串，则确定所述等待的返回结果 包含了脚本挂马代码。

2.如权利要求1所述的方法，其中，所述确定所述正在执行的脚本是否属于 恶意程序的步骤包括：

根据所述函数调用的名称和参数，确定行为类型，进行行为检查，以判 断该接口调用行为是否属于恶意行为；

如果判断结果为恶意行为，则确定所述正在执行的脚本属于恶意程序。

3.如权利要求1所述的方法，其中，所述步骤H还包括：

如果判断出所述脚本执行了解密操作，则对解密后的字符串进行病毒扫 描，以确定所述脚本是否为恶意程序。

4.如权利要求1所述的方法，其中，还包括：

搜索所述等待的返回结果，以判断是否包含URL地址；

如果没有找到URL地址，在所述脚本执行上下文的变量中查找是否包含 有URL地址。

5.如权利要求1所述的方法，其中，所述步骤H包括：

搜索所述等待的返回结果，以判断所述等待的返回结果是否包含二进制 代码；

如果所述等待的返回结果包含二进制代码，则搜索所述等待的返回结果 并判断所述等待的返回结果是否包含URL下载地址；

如果判断出包含URL下载地址，则确定所述等待的返回结果包含脚本挂 马代码。

6.如权利要求5所述的方法，还包括：

如果判断出所述等待的返回结果包含脚本挂马代码，则确定所述脚本为 恶意程序，以及

如果所述等待的返回结果包含URL下载地址，则向安全软件上报所述 URL下载地址和与所述脚本相关的网页地址。

7.如权利要求1所述的方法，其中，所述特定接口对象为IDispatch对象。

8.如权利要求1所述的方法，其中，所述函数调用为对IDispatch对象的 Invoke函数的调用。