[发明专利]应用程序的防护方法及装置

说明书

技术领域

本发明涉及安全防护技术领域，尤其涉及一种应用程序的防护方法及装置。

背景技术

在Windows操作系统中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL(Dynamic Link Library)文件，放置于系统中。当执行某一个应用程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共用，这样的DLL文件被称为共享DLL文件。

在一个应用程序的自保护生效前，恶意软件可以通过DLL注入文件的方式，把一个DLL文件注入到应用程序的进程中，这样恶意软件就可以在应用程序的进程空间内为所欲为，破应用程序的功能，比如结束应用程序的进程。

发明内容

有鉴于此，本发明实施例提供一种应用程序的防护方法及装置，能够有效避免应用程序被恶意DLL文件所破坏。

第一方面，本发明实施例提供一种应用程序的防护方法，包括：

对DLL文件的加载函数的调用进行监视；

判断调用所述加载函数的进程是否是要防护的应用程序的进程；

若所述进程是要防护的应用程序的进程，则判断所述进程当前要加载的DLL文件是否是恶意的DLL文件；

若所述要加载的DLL文件是恶意的DLL文件，则返回拒绝加载消息。

结合第一方面，在第一方面的第一种可实施方式中，所述要防护的应用程序为安全防护类应用程序；所述对DLL文件的加载函数的调用进行监视，包括：

在windows操作系统开机过程中，通过钩子函数对DLL文件的加载函数的调用进行监视；其中，所述钩子函数包含在所述安全防护类应用程序的防御驱动中。

结合第一方面的第一种可实施方式中，在第一方面的第二种可实施方式中，所述判断调用所述加载函数的进程是否是要防护的应用程序的进程，包括：通过所述钩子函数获取所述进程的路径信息，根据所述进程的路径信息，判断所述进程是否是要防护的应用程序目录下的进程。

结合第一方面的第二种可实施方式中，在第一方面的第三种可实施方式中，所述若所述进程是要防护的应用程序的进程，则判断所述进程当前要加载的DLL文件是否是恶意的DLL文件，包括：

若所述进程是要防护的应用程序的进程，则通过所述钩子函数获取所述进程当前要加载的DLL文件的路径信息；

所述钩子函数根据获取的所述DLL文件的路径信息，在拦截规则库中进行匹配查询，判断所述要加载的DLL文件是否是恶意的DLL文件；其中，所述拦截规则库中保存有恶意的DLL文件的路径信息。

结合第一方面的第三种可实施方式中，在第一方面的第四种可实施方式中，所述调用所述加载函数，通过所述加载函数完成对所述DLL文件的加载，包括：

所述钩子函数根据预先保存的所述加载函数的原始入口地址，调用所述加载函数，通过所述加载函数完成对所述DLL文件的加载。

第二方面，本发明实施例提供一种应用程序的防护装置，包括：监视模块，用于对DLL文件的加载函数的调用进行监视；第一判断模块，用于判断调用所述加载函数的进程是否是要防护的应用程序的进程；第二判断模块，用于若所述进程是要防护的应用程序的进程，则判断所述进程当前要加载的DLL文件是否是恶意的DLL文件；拒绝加载模块，用于若所述要加载的DLL文件是恶意的DLL文件，则返回拒绝加载消息。

结合第二方面，在第二方面的第一种可实施方式中，所述要防护的应用程序为安全防护类应用程序；所述安全防护类应用程序包括防御驱动模块，所述监视模块设于所述安全防护类应用程序的防御驱动模块中；所述监视模块，用于在windows操作系统开机过程中，对DLL文件的加载函数的调用进行监视。

结合第二方面的第一种可实施方式，在第二方面的第二种可实施方式中，所述第一判断模块，包括：第一获取子模块，用于获取所述进程的路径信息；第一判断子模块，用于根据所述进程的路径信息，判断所述进程是否是要防护的应用程序目录下的进程；第一通知子模块，用于若所述进程是要防护的应用程序的进程，则通知所述第二判断模块。