[发明专利]一种可疑进程检测的方法和装置

说明书

技术领域

本申请涉及信息安全的技术领域，特别是涉及一种可疑进程检测的方法和一种可疑进程检测的装置。

背景技术

计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机一旦染上病毒，通常表现为其文件被增加、删除、改变名称或属性、移动到其它目录下，病毒对计算机文件的这些操作，可能会导致正常的程序无法运行、计算机操作系统崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。

目前，上网用户比较容易感染的计算机病毒就是“木马”。木马是指利用计算机程序漏洞侵入后窃取文件的程序。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序。历史上对计算机木马的定义是，试图以有用程序的假面具欺骗用户允许其运行的一类渗透。请注意，过去的木马确实是这样，但现在它们已无需伪装自己。它们唯一的目的就是尽可能轻松地渗透并完成其恶意目标。“木马”已成为一个通用词，用来形容不属于任何特定类别的所有渗透。

木马技术发展至今，最为常见的就是网页木马，网页木马是网页恶意软件威胁的罪魁祸首，它表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。网页木马的实质是利用漏洞向用户传播木马下载器，准确地说，网页木马并不是木马程序，而应该称为网页木马“种植器”，也即一种通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。

网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马，也就是说，这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行(安装)过程就自动开始。

为了保证计算机的安全运行，现有技术中，各种安全软件提出了针对木马的检测及拦截技术，现有的安全软件进行检测和拦截的原理是，通过提取病毒特征码建立病毒库，当用户触发检测时，将用户计算机中的指定文件与病毒库中的特征码相比较，以判断是否为病毒，若是病毒，则进行隔离或删除。然而，由于病毒库并非实时更新，用户触发病毒检测也是滞后的，采用这种现有技术极易出现病毒误报和漏报和问题。例如，用户通过浏览器访问一个被挂了木马的网站(挂马网站)，浏览器进程会下载木马程序并且在用户不知情的情况下执行，由于现有的安全软件无法实时侦测到这种情况，此时将不可避免地导致木马程序在用户设备中运行，盗用其账号密码等资料，从而导致用户产生损失。尤其是对于新型病毒而言，即使用户在访问挂马网站过后触发了木马检测过程，但由于其未收录在病毒库中，木马仍无法检测出来。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：提出一种全新的可疑进程检测的机制，用以对可疑进程进行全面、有效、准确的识别，提高用户上网的安全性。

发明内容

本申请所要解决的技术问题是提供一种可疑进程检测的方法和装置，用以对可疑进程进行全面、有效、准确的识别，提高用户上网的安全性。

为了解决上述问题，本申请公开了一种可疑进程检测的方法，包括：

获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名；

若某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。

优选地，所述浏览器中各运行进程包括浏览器正在启动的进程以及浏览器中已启动的进程。

优选地，所述获取浏览器中各运行进程的第一特征数据的步骤包括：

获取浏览器中各运行进程的可执行文件的路径；

从所述路径提取相应的可执行文件；

读取所述可执行文件的内容计算哈希值；

以及，

提取所述可执行文件的数字签名。

优选地，所述数字签名采用如下方式生成：

1)对要签名的可执行文件创建hash值；

2)使用发布者的私钥来加密上述hash值；