[发明专利]即时通信客户端盗号木马程序的识别方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种即时通信客户端盗号木马程序的识别方法及装置。

背景技术

即时通信(IM)是指能够即时发送和接收互联网消息等的业务。即时通信工具的功能日益丰富，逐渐集成了电子邮件、博客、音乐、电视、游戏、搜索以及在线支付等多种功能。即时通信不再是一个单纯的聊天工具，它已经发展成集交流、资讯、娱乐、搜索、电子商务、办公协作和企业客户服务等为一体的综合化信息平台。常见的即时通信软件有腾讯QQ客户端、阿里旺旺客户端微软以及MSN Messenger客户端等等。

随着即时通信软件的广泛使用，网络上出现了越来越多的针对即时通信软件的盗号木马。以QQ软件为例，QQ作为目前主要的及时聊天工具，已经成为人们日常上网不可缺少的一部分，随着应用的极大普及，QQ也推出了很多在线的收费业务，这吸引了大量的网民的同时，也招来众多不法分子的青睐，通过盗取QQ号，推广其他网站等等很多种途径，非法获取了巨大的经济利益，同时也给QQ用户造成了极大的损失。

目前防病毒的主要方法就是杀毒软件，目前已知杀毒软件查杀病毒的方法大多是基于文件的静态信息或者二进制内容。例如，以采用特征值匹配方法识别病毒为例，特征值匹配方法具体是通过将待检测软件的部分或全部程序/代码/数据的特征数据信息与已有的特征数据信息进行比对，来判断待检测软件是否为病毒。当程序、代码、数据为已出现的病毒文件时，通过特征值匹配能够准确识别即匹配到。

目前已知的杀毒软件对于QQ盗号木马，采取的检测方法通常是根据静态特征，该方法有很大的局限性，很容易受到例如文件加密、加壳和代码混淆的干扰。虽然一些通用的加密方法可以静态直接解密，但是这种方式依然有很大的局限性，病毒作者可以很容易的修改加密方法，或者解密代码混淆，加入一些无用指令来干扰杀毒软件识别病毒。因此，亟需一种能够有效识别盗号木马的方法，提高即时通信软件的使用安全性。

发明内容

有鉴于此，本发明实施例的目的是提供一种即时通信客户端盗号木马程序的识别方法及装置，有效地识别出盗号木马程序，提高即时通信软件的使用安全性。

为解决上述技术问题，本发明实施例提供方案如下：

一种即时通信客户端盗号木马程序的识别方法，包括：

记录待检测程序调用的预定应用程序接口API函数信息和待检测程序的程序数据中的至少一种；

根据记录结果识别所述待检测程序是否为盗号木马程序。

进一步地，所述记录待检测程序调用的预定API函数信息包括：

记录待检测程序调用的预定API函数以及传入所述预定API函数的参数信息。

进一步地，所述记录待检测程序的程序数据包括：

截获所述待检测程序发送的网络数据；和/或

在所述待检测程序弹出新窗口时，获得该新窗口的图片数据。

进一步地，所述根据记录结果识别所述待检测程序是否为盗号木马程序包括：

若所述待检测程序调用了所述预定API函数，且传入所述预定API函数的参数信息包括有预定的敏感字符信息，则识别所述待检测程序为盗号木马程序；

若所述待检测程序按照预定次序，调用了多个所述预定API函数，则识别所述待检测程序为盗号木马程序；

若所述待检测程序弹出的新窗口的图片数据与预存的木马窗口图片数据匹配，则识别所述待检测程序为盗号木马程序；

若所述待检测程序弹出的新窗口的图片数据与预存的木马窗口图片数据部分匹配，且发送的网络数据中包括有预定的敏感字符信息，则识别所述待检测程序为盗号木马程序。

进一步地，所述传入所述预定API函数的参数信息包括：

挂钩盗号木马程序依赖的预定API函数；

在待检测程序调用所述预定API函数时，记录待检测程序传入所述预定API函数的参数信息。

进一步地，所述预定API函数包括以下函数中的至少一种：用于改变指定子窗口的父窗口的父窗口设置SetParent函数、用于查找即时通信客户端登录窗口的窗口查找FindWindowExA函数、用于获取查找到的即时通信客户端登录窗的进程信息的窗口进程获得GetWindowThreadProcessId函数、用于将即时通信客户端进程附加到待检测程序进程的进程附加AttachThreadInput函数、用于获得窗口输入信息的窗口消息钩子设置SetWindowsHookExA函数。