[发明专利]一种网页木马实时监测方法及其装置

权利要求书

1.一种网页木马实时监测方法，其特征在于：包括如下监测过程：

注入需要监测的浏览器进程；

查看进程空间的内存占用情况，并记录当前内存占用情况；

监测浏览器打开新页面的行为；

当打开新的页面时首先检查内存增量，如果内存增量超过规定的门限则挂起进程，并搜索新增内存是否有可疑特征，如果有则告警并记录当前页面信息。

2.根据权利要求1所述的网页木马实时监测方法，其特征在于：所述的监测过程中，在内存增量超过规定的门限而挂起进程后，经搜索新增内存中未存在可疑特征时，提示用户是否继续，是则停止监测，否则记录当前页面信息。

3.根据权利要求2所述的网页木马实时监测方法，其特征在于：所述的监测过程由运行程序来实现，该程序包括主程序模块和监测模块；主程序模块启动后首先打开需要监测的浏览器进程；然后将监测模块注入到浏览器进程中由该监测模块对该浏览器进程进行监测；监测模块对浏览器进程的内存占用情况进行记录，并对浏览器进程中是否打开新页面的行为进行监测；当监测模块检测到浏览器打开新页面的行为时，对浏览器进程中的内存增量进行监测；如果内存增量超过规定的门限则挂起进程，并搜索新增内存中是否有可疑特征；如果有则告警并记录当前页面信息，否则提示用户是否继续。

4.一种网页木马实时监测方法，其特征在于：包括如下步骤：

a.主程序模块打开需要监测的浏览器进程；

b.由主程序模块将监测模块注入到浏览器进程中；

c.由监测模块记录浏览器进程的内存使用情况；

d.监测模块监测浏览器进程中打开新页面的行为；

e.监测模块对浏览器进程中是否打开新的页面进行判断；当判断为有打开时，继续下一步骤，否则，返回步骤d；

f.监测模块检测一定时间段的内存增量；

g.监测模块对该时间段的内存增量是否在规定的门限之内进行判断；当判断为是时，返回步骤f，否则，继续下一步骤；

h.由主程序模块挂起进程；

i.监测模块检测新增内存中是否包含有已知特征，当判断为有时，继续下一步骤，否则，提示用户是否继续；

j.由监测模块进行内存分配非法的报警；

k.由主程序模块保存页面信息；

l.监测模块停止监测；

m.主程序模块结束浏览器进程。

5.根据权利要求4所述的网页木马实时监测方法，其特征在于：所述的步骤i中的提示用户是否继续，包括：

i1.由监测模块进行内存分配异常的报警；

i2.由监测模块提示用户是否继续，当判断为是时，停止监测；否则，转至步骤k。

6.一种网页木马实时监测装置，其特征在于：包括：

一浏览器进程控制装置，用来打开或挂起需要监测的浏览器进程；

一浏览器进程信息采集装置，用来采集浏览器进程信息；

一第一判断装置，用来对浏览器进程中的信息进行判断，判断一定时间段内的内存增量信息是否在门限之内；

一第二判断装置，用来对浏览器进程中的信息进行判断，判断新增内存中是否包含有已知特征；

一第一处理装置，用来产生内存分配非法的报警信号，并保存页面信息，停止监测，结束浏览器进程；

一第二处理装置，用来产生内存分配异常的报警信号，并提示用户是否继续，在用户选择继续时停止监测，否则，保存页面信息，停止监测，结束浏览器进程；

浏览器进程控制装置的输出接至浏览器进程信息采集装置的输入，浏览器进程控制装置打开浏览器进程启动浏览器进程信息采集装置采集浏览器进程信息；浏览器进程信息采集装置的输出接至第一判断装置的输入，浏览器进程信息采集装置向第一判断装置输出浏览器进程信息，由第一判断装置对浏览器进程信息中的内存增量信息进行判断；第一判断装置的输出接至浏览器进程控制装置的输入，第一判断装置在判断出一定时间段内的内存增量信息超过门限之后，向浏览器进程控制装置输出挂起浏览器进程的信号；第一判断装置的输出接至第二判断装置的输入，第一判断装置将来自浏览器进程信息采集装置的浏览器进程信息输出给二判断装置，由第二判断装置对浏览器进程信息中的新增内存中是否包含有已知特征进行判断；第二判断装置的输出接至第一处理装置的输入，第二判断装置在判断出新增内存中包含有已知特征之后，向第一处理装置输出信号，由第一处理装置进行处理，第一处理装置产生内存分配非法的报警信号，并保存页面信息，停止监测，结束浏览器进程；第二判断装置的输出接至第二处理装置的输入，第二判断装置在判断出新增内存中不包含有已知特征之后，向第二处理装置输出信号，由第二处理装置进行处理，第二处理装置产生内存分配异常的报警信号，并提示用户是否继续，在用户选择继续时停止监测，否则，保存页面信息，停止监测，结束浏览器进程。