[发明专利]一种监控脚本执行的方法和装置

说明书

技术领域

本发明涉及一种用于监控脚本执行的方法和装置，尤其涉及一种通过 监控脚本执行而防止网页挂马的方法和装置。

背景技术

随着计算机的普及，以及互联网技术的发展，人们越来越多地依赖于 网络进行信息交互。然而，随之而来的是，网络也成为计算机病毒传播的 一个便利途径。

比如，近期越来越多的用户计算机受到了恶意木马的侵袭。这些恶意 木马大部分是通过网页挂马的方式来传播的。具体而言，黑客往往利用网 站漏洞，将恶意代码强行嵌入所攻击的Web网页代码中，从而形成网页挂马。 一旦用户访问被挂马的Web网页，用户计算机的操作系统就会在后台按照这 段恶意代码的指令进行一系列的破坏行为，诸如跳转到指定的网络服务器 下载木马、病毒等等，从而导致用户计算机受到感染。

网页挂马是将恶意代码嵌入在Web网页中，因而其隐蔽性很强，难以识 别。再者，由于挂接在Web网页中的恶意代码是利用脚本语言编写的，其很 容易生成不同的衍生变种，因而难以利用特征码扫描方法来加以识别。另 外，现今的脚本恶意代码往往以加密形式嵌入在Web网页中，而且只有自解 密后才能暴露出真正的恶意代码。这就又给网页挂马的监控与检测设置了 一个困难。此外，随着越来越多的应用程序支持脚本程序，木马也可能以 与上述类似的方式挂接在这些非Web网页的应用程序上。这就使得木马病毒 的检测更加困难。

为此，需要提出一种能够及时、准确地检测出恶意脚本代码的方法， 以防止用户的计算机系统受到网页挂马病毒的侵袭。

发明内容

本发明的一个目的在于提供一种通过监控脚本执行来检测恶意病毒的 方法和装置。

本发明的另一个目的在于提供一种监控脚本执行的方法和装置，利用 该方法和装置能够检测出脚本执行时是否进行了解密操作，并对解密后的 脚本内容进行病毒扫描。

本发明的又一个目的在于提供一种监控脚本执行的方法和装置，利用 该方法和装置能够检测出脚本代码是否包含了脚本挂马代码，并且发现木 马下载的地址。

根据本发明一个方面，本发明提出一种监控脚本执行的方法。该方法包 括：获得脚本宿主返回给脚本引擎的一个返回结果；判断所述返回结果是 否是一个特定接口对象，其中通过所述特定接口对象所述脚本引擎可访问 所述脚本宿主公开的属性、方法或事件通知；如果判断结果为是，则通过 封装所述特定接口对象，创建一个私有接口对象，并将所述私有接口对象 返回给所述脚本引擎；其中，所述私有接口对象具有与所述特定接口对象 相同的函数形式，并且封装有用于监控所述私有接口对象的操作的监控功 能；接收所述脚本引擎对所述私有接口对象的函数调用；利用所述私有接 口对象的所述监控功能，根据所述函数调用的信息，确定所述正在执行的 脚本是否属于恶意程序。

根据本发明的另一个方面，本发明一种监控脚本执行的装置。该装置包 括：获取模块，用于获得脚本宿主返回给脚本引擎的一个返回结果；第一 判断模块，用于判断所述返回结果是否是一个特定接口对象，其中通过所 述特定接口对象所述脚本引擎可访问所述脚本宿主公开的属性、方法或事 件通知；创建模块，如果判断结果为是，则通过封装所述特定接口对象， 创建一个私有接口对象，并将所述私有接口对象返回给所述脚本引擎；其 中，所述私有接口对象具有与所述特定接口对象相同的函数形式，并且封 装有用于监控所述私有接口对象的操作的监控功能；接收模块，接收所述 脚本引擎对所述私有接口对象的函数调用；确定模块，利用所述私有接口 对象的所述监控功能，根据所述函数调用的信息，确定所述正在执行的脚 本是否属于恶意程序。

通过参考以下结合附图的说明以及权利要求书中的内容，并且随着对 本发明的更全面的理解，本发明的其他目的及效果将变得更加清楚和易于 理解。

附图简述

下面将参考附图以例示方式更详细地解释本发明，其中：

图1示出了现有Windows操作系统中脚本执行的基本过程；

图2示出了根据本发明一个实施例的脚本监控的总体架构；

图3示出了根据本发明一个实施例的脚本监控方法的基本流程图；

图4示出了根据本发明一个实施例的行为查毒的基本流程图。

在所有附图中，相同的参考数字指示相似或对应的特征或功能。

具体实施方式