[发明专利]主动防御恶意程序的方法和装置

说明书

技术领域

本发明涉及计算机网络安全领域，具体涉及一种主动防御恶意程序的方法和装置。

背景技术

恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的程序。恶意程序可以包括病毒、木马、恶意脚本、恶意插件、恶评软件或流氓软件等。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、犯罪程序、间谍程序和广告程序等，都为恶意程序的例子。

现有技术中，恶意程序防杀主要依赖于特征库模式。特征库由杀毒产品提供商收集到的恶意程序样本的特征码组成，而特征码为分析工程师从恶意程序中找到的和正当程序的不同之处，截取一段类似于“搜索关键词”的程序代码。在查杀过程中，引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配，如果发现文件程序代码被命中，则可以判定该文件程序为恶意程序。

特征库匹配是现有技术中查杀已知恶意程序的常用技术。但是现今全球恶意程序数量呈几何级增长，基于这种爆发式的增速，特征库的生成与更新相对于病毒的产生通常滞后，导致恶意程序防杀方式无法防杀不断产生的未知恶意程序。

现有技术中，随之出现了主动防御技术，其是基于程序行为自主分析判断的实时防护技术，不以特征码作为判断恶意程序的依据，而是从设置的规则出发，直接将程序的行为作为判断程序是否为恶意程序的依据，其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为，从而在一定程度上达到保护设备的目的。

在现有技术中，出于对性能的考虑，设备中的主动防御模块只检查程序的可执行文件（例如，exe文件）是否可以信任，而不检查程序加载的DLL（Dynamic Link Library，动态链接库）文件。现有技术中主动防御的上述特点被一些恶意程序所利用，恶意程序使用DLL劫持技术将木马DLL与可信任的白程序打包在一起，当白程序被执行时，木马DLL就会被加载，从而实现利用白程序突破主动防御的目的。

发明内容

鉴于上述问题，本发明提出了主动防御恶意程序的方法和装置。

依据本发明的一个方面，提供了一种主动防御恶意程序的方法，该方法包括：

在待保护的设备创建进程时，根据与该创建的进程相关的进程文件判断该创建的进程是否具有危险性，如果是，则拦截创建的进程加载该进程的动态链接库DLL文件的操作，并将该DLL文件记录到内存的进程信息中；

在待保护的设备启动进程后，当进程执行的操作为危险操作时，检测记录的该进程的DLL文件是否安全，如果不安全，则阻止待保护的设备执行该进程。

其中，所述根据与该创建的进程相关的进程文件判断该创建的进程是否具有危险性具体包括：

查询该创建的进程所在进程链中各个进程的进程文件的来源，根据所述各个进程的进程文件的来源判断该创建的进程是否具有危险性；

所述创建的进程所在进程链为进程树中从该创建的进程到根进程的进程链。

其中，所述根据所述各个进程的进程文件的来源判断该创建的进程是否具有危险性具体包括：

判断所述各个进程的进程文件中是否存在来自网络下载的文件，如果存在，则该创建的进程具有危险性。

其中，所述根据所述各个进程的进程文件的来源判断该创建的进程是否具有危险性具体包括：

判断所述各个进程的进程文件中是否存在来自压缩包的文件，如果存在，则该创建的进程具有危险性。

其中，所述判断所述各个进程的进程文件中是否存在来自压缩包的文件具体包括：

对于所述各个进程链中每个进程进行判定，如果该进程的父进程为解压缩应用，并且该解压缩应用直接执行压缩包中的可执行文件或者该解压缩应用解压缩的压缩包中包含该进程的进程文件，则判定该进程的进程文件为来自压缩包的文件。

其中，所述根据与该创建的进程相关的进程文件判断该创建的进程是否具有危险性具体包括：

判断创建的进程的进程文件是否满足预设的匹配条件，如果满足，则创建的进程具有危险性。

其中，所述检测记录的该进程的DLL文件是否安全，如果不安全，则阻止待保护的设备执行该进程具体包括：

使用本地安全引擎和/或云安全引擎对该进程的DLL文件进行检测，如果DLL文件为病毒文件，则阻止待保护的设备执行该进程。

其中，所述使用本地安全引擎和/或云安全引擎对该进程的DLL文件进行检测后还包括：

如果该进程的可执行文件和DLL文件都为安全文件，则确定该进程安全。