[发明专利]一种木马程序的检测方法和装置

说明书

本申请提供一种木马程序的检测方法和装置，该方法包括：客户端监控到在信息汇聚平台上发生指定事件；所述客户端将所述指定事件对应的程序的验证信息发送给服务端，以使服务端利用所述验证信息判断所述指定事件对应的程序是否为危险程序；所述客户端根据接收到的程序上报命令，将所述指定事件对应的程序发送给服务端，以使所述服务端检测所述程序是否为木马程序。通过本申请的技术方案，可以在木马程序刚刚侵入信息汇聚平台时，就通过技术手段定位到木马程序，缩短了发现和响应的时间，从而快速预警并定位木马程序，在木马程序大量传播前，就可以及时的对木马程序进行全网查杀，有效降低用户信息泄露造成的经济损失。

技术领域

本申请涉及互联网技术领域，尤其涉及一种木马程序的检测方法和装置。

背景技术

随着电子商务的快速发展，用户信息的价值越来越重要，很多不法分子通过盗取用户信息牟取利益。例如，黑客通过编写信息泄露类木马程序，并将其植入到卖家平台，从而盗取卖家Cookie等敏感信息，并伪装成卖家用户从电子商务平台盗取用户信息。拿到用户信息的黑客，可以利用这些用户信息有针对性的对用户进行订单欺诈、电话欺诈、信用卡欺诈等违法犯罪活动。

黑客编写的这种信息泄露类木马程序，以侵入卖家平台为手段，以盗取卖家Cookie等敏感信息，继而盗取用户信息为目的，其不具有普通木马程序的自我繁殖、感染等行为特征，而且信息泄露类木马程序不危害卖家平台的安全，不会消耗资源，不访问敏感资源，因此，不易察觉，无法采用现有的安全软件对这种泄露类木马程序进行查杀，从而给用户造成巨额经济损失，而且还会危害卖家信誉，会对电子商务平台造成不可逆转的信任危机。

目前，在信息泄露类木马程序的传播之初，无法通过技术手段定位到信息泄露类木马程序，只有在发生大量案件后，根据用户举报，人工溯源分析，才最终定位到信息泄露类木马程序。这个过程比较漫长，信息泄露类木马程序已经大量传播并运行了一段时间，已经给大量用户造成了经济损失。

发明内容

本申请提供一种木马程序的检测方法，所述方法包括以下步骤：

客户端监控到在信息汇聚平台上发生指定事件；

所述客户端将所述指定事件对应的程序的验证信息发送给服务端，以使服务端利用所述验证信息判断所述指定事件对应的程序是否为危险程序；

所述客户端根据接收到的程序上报命令，将所述指定事件对应的程序发送给服务端，以使所述服务端检测所述程序是否为木马程序。

所述客户端监控到在信息汇聚平台上发生指定事件的过程，具体包括：

所述客户端监控到所述信息汇聚平台查询用户信息时，则确定在信息汇聚平台上发生指定事件。

所述客户端监控到所述信息汇聚平台查询用户信息的过程，具体包括：

所述客户端向所述信息汇聚平台的每个进程注入动态链接库dll，所述dll用于监控本进程是否有通过电子商务平台提供的查询接口查询用户信息的行为；当通过所述dll监控到有进程通过所述查询接口查询用户信息的行为时，则监控到所述信息汇聚平台通过所述查询接口查询用户信息；

所述查询接口包括统一资源定位符URL接口或者应用程序编程接口API。

所述验证信息包括以下之一或者任意组合：签名信息、文件名、md5值、文件大小。

本申请提供一种木马程序的检测方法，所述方法包括以下步骤：

服务端接收客户端发送的验证信息，所述验证信息为客户端监控到在信息汇聚平台上发生指定事件时，发送的所述指定事件对应的程序的验证信息；

所述服务端利用所述验证信息判断所述指定事件对应的程序是否为危险程序；如果是，则所述服务端向所述客户端发送程序上报命令；