[发明专利]主动防御恶意程序的方法和装置

权利要求书

1.一种主动防御恶意程序的方法，该方法包括：

在待保护的设备创建进程时，根据与该创建的进程相关的进程文件判断该创建的进程是否具有危险性，如果是，则拦截创建的进程加载该进程的动态链接库DLL文件的操作，并将该DLL文件记录到内存的进程信息中；

在待保护的设备启动进程后，当进程执行的操作为危险操作时，检测记录的该进程的DLL文件是否安全，如果不安全，则阻止待保护的设备执行该进程的操作。

2.根据权利要求1所述的方法，其中，

所述根据与该创建的进程相关的进程文件判断该创建的进程是否具有危险性具体包括：

查询该创建的进程所在进程链中各个进程的进程文件的来源，根据所述各个进程的进程文件的来源判断该创建的进程是否具有危险性；

所述创建的进程所在进程链为进程树中从该创建的进程到根进程的进程链。

3.根据权利要求2所述的方法，其中，

所述根据所述各个进程的进程文件的来源判断该创建的进程是否具有危险性具体包括：

判断所述各个进程的进程文件中是否存在来自网络下载的文件，如果存在，则该创建的进程具有危险性。

4.根据权利要求2所述的方法，其中，

所述根据所述各个进程的进程文件的来源判断该创建的进程是否具有危险性具体包括：

判断所述各个进程的进程文件中是否存在来自压缩包的文件，如果存在，则该创建的进程具有危险性。

5.根据权利要求4所述的方法，其中，

所述判断所述各个进程的进程文件中是否存在来自压缩包的文件具体包括：

对于所述各个进程链中每个进程进行判定，如果该进程的父进程为解压缩应用，并且该解压缩应用直接执行压缩包中的可执行文件或者该解压缩应用解压缩的压缩包中包含该进程的进程文件，则判定该进程的进程文件为来自压缩包的文件。

6.根据权利要求1所述的方法，其中，

所述根据与该创建的进程相关的进程文件判断该创建的进程的操作是否具有危险性具体包括：

判断创建的进程的进程文件是否满足预设的匹配条件，如果满足，则创建的进程具有危险性。

7.根据权利要求1至6任一项所述的方法，其中，

所述检测记录的该进程的DLL文件是否安全，如果不安全，则阻止待保护的设备执行该进程的操作具体包括：

使用本地安全引擎和/或云安全引擎对该进程的DLL文件进行检测，如果DLL文件为病毒文件，则阻止待保护的设备执行该进程。

8.根据权利要求7所述的方法，其中，

所述使用本地安全引擎和/或云安全引擎对该进程的DLL文件进行检测后还包括：

如果该进程的可执行文件和DLL文件都为安全文件，则确定该进程安全。

9.根据权利要求8所述的方法，其中，

所述使用本地安全引擎和/或云安全引擎对该进程的DLL文件进行检测后还包括：

如果该进程的DLL文件的危险等级高于该进程的可执行文件的危险等级，则修改该进程的可执行文件的危险等级为所述DLL文件的危险等级，并呈现危险提示。

10.根据权利要求1至9任一项所述的方法，其中，

所述检测记录的该进程的DLL文件是否安全后还包括：

如果该进程的DLL文件为安全文件，则删除该DLL文件的记录，并在该DLL文件没有发生变化的情况下，不进行拦截创建的进程加载该DLL文件的操作。

11.根据权利要求1至10任一项所述的方法，其中，

所述危险操作至少包括下列操作中的一种：

写入注册表进行自动加载；

修改注册表；

修改系统文件；

修改指定的应用文件；

执行进程间注入；

结束进程；

修改浏览器中网页内容；以及

记录键盘操作。