[发明专利]恶意程序检测方法及装置

说明书

本发明公开了一种恶意程序检测方法及装置，所述方法包括：监听模拟鼠标点击操作和进程创建操作；在监听到模拟鼠标点击操作时，判断模拟鼠标点击操作是否为通过IAccessible接口发起的远程过程调用；若模拟鼠标点击操作为通过所述IAccessible接口发起的远程过程调用，则解析所述模拟鼠标点击操作点击的未知程序的文件名和远程过程调用发起端的线程ID；判断所述未知程序的文件名是否为目标进程的进程路径的子串；若所述未知程序的文件名为所述目标进程的进程路径的子串，则根据所述目标进程的进程ID、所述目标进程的进程路径以及所述线程ID分析所述未知程序是否为恶意程序。本发明提供的恶意程序检测方法及装置，能够检测出通过MSAA技术模拟鼠标点击启动的恶意程序。

技术领域

本发明涉及数据安全技术领域，具体涉及一种恶意程序检测方法及装置。

背景技术

随着计算机在世界范围内的广泛使用，恶意程序导致的防护方法和软件故障亦在持续扩展。由于恶意程序具有感染性、复制性以及破坏性，其已成为困扰计算机使用的一个重大问题。恶意程序是指任何故意创建用来执行未经授权并通常是有害行为的软件程序，其被秘密植入用户系统中，以盗取用户机密信息，最终破坏用户操作系统或者导致其他危害出现。陷门、逻辑炸弹、特洛伊木马、蠕虫、细菌、病毒等，都可以称之为恶意程序。

恶意程序对计算机设备以及用户造成的危害是巨大的，因而如何对恶意程序进行检测就显得尤为重要。随着恶意程序呈现爆发式的增长，特征库的生成与更新又通常滞后于恶意程序的产生，传统通过特征库匹配对恶意程序进行检测的方式越来越力不从心，于是出现了主动防御机制。主动防御机制是基于程序行为进行自主分析的实时防护技术，不以恶意程序的特征作为判断依据，而是从恶意程序的定义出发，直接将程序行为作为判断依据，解决了传统安全软件无法防御未知恶意程序的弊端，从技术上实现了恶意程序的主动防御。

然而，对于通过MSAA(Microsoft Active Accessibility)技术模拟鼠标点击启动恶意程序的操作，恶意程序被启动后产生的进程链信息与用户主动运行正常程序产生的进城链信息完全相同，主动防御机制会将恶意程序的启动误认为是用户的自主行为。

发明内容

本发明所要解决的是主动防御机制无法检测出通过MSAA技术模拟鼠标点击启动恶意程序的问题。

本发明通过下述技术方案实现：

一种恶意程序检测方法，包括：

监听模拟鼠标点击操作和进程创建操作；

在监听到所述模拟鼠标点击操作时，判断所述模拟鼠标点击操作是否为通过IAccessible接口发起的远程过程调用；

若所述模拟鼠标点击操作为通过所述IAccessible接口发起的远程过程调用，则解析所述模拟鼠标点击操作点击的未知程序的文件名和远程过程调用发起端的线程ID；

判断所述未知程序的文件名是否为目标进程的进程路径的子串，所述目标进程为在所述模拟鼠标点击操作之后监听到的所述进程创建操作创建的进程；

若所述未知程序的文件名为所述目标进程的进程路径的子串，则根据所述目标进程的进程ID、所述目标进程的进程路径以及所述线程ID分析所述未知程序是否为恶意程序。

可选的，所述监听模拟鼠标点击操作包括：

对程序管理器进程中实现模拟鼠标点击可执行程序原文件的函数挂接钩子；和/或

对程序管理器进程中实现模拟鼠标点击可执行程序快捷方式的函数挂接钩子。

可选的，所述监听进程创建操作包括：

对程序管理器进程中实现进程创建的函数挂接钩子。