程序的特征码。
[0224]另一种使用文件防御规则在程序生成文件时进行文件防御的方式是:主动防御系统在程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否在目标白名单中;若生成的文件在目标白名单中,且生成的文件的来源在来源白名单中,则将生成的文件放行。
[0225]其中,当主动防御系统判断生成的文件的文件路径与文件防御规则中的目标路径匹配时,获取生成的文件,先判断生成的文件是否符合预置的临界文件规则,其中,临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件;若符合,则判断生成的文件的来源是否在来源白名单中;若是,则将生成的文件放行;若否,则进行报警提示。临界文件规则可以由本领域技术人员根据实际情况适当设置,如根据文件等级判断生成的文件是否为灰名单文件等,其中,灰名单文件可以是危险级别大于白名单文件,但又小于可疑文件的文件。但不限于此,也可以将灰名单文件和可疑文件等均囊括入临界文件中。在HKFi Ie Defend,文件防御体系)规则中放过了白来源(即来源白名单中的文件来源)的文件,可以有效减少误报。如果该文件的来源是白的,则可以直接放过,运行其写注
ΠΓΤ-中册衣寺。
[0226]需要说明的是,本方案中的服务器可以是部署于主动防御系统所在设备之外的后台服务器,如后台云服务器,但不限于此,在硬件条件许可的情况下,该服务器也可以与主动防御系统合并设置,即主动防御系统与服务器设置在一台机器上。?0227] 优选的,当程序写注册表时,主动防御系统会启动RD(Registry Defend,注册表防御体系KRD提供了对常见的系统敏感注册表项进行监视,如启动项、服务驱动项、系统策略项、浏览器设置或网络设置(包括NameServer)项的添加修改。当有程序进行修改表项的操作时,目前默认都被RD视为敏感行为而拦截挂起,这种拦截挂起造成了现有主动防御系统的漏报或者误报。当程序写注册表项时,若主动防御系统确定程序写入的注册表目标项不存在,不会进行拦截挂起,而是将待写入的目标路径加入FD规则,等待后续的FD。例如,注册表中不存在程序写入的注册表目标项,如程序写入的目标路径不是系统中当前已经存在的现有路径而是新路径,则主动防御系统不会进行拦截挂起,而是将待写入的目标路径加入FD规则,等待后续的FD。
[0228]优选的,文件防御体系(FD),用于监视系统敏感目录的文件(如HOSTS)操作,如修改删除系统目录里的任何文件或创建新文件等,也可用来发现被驱动木马隐藏的文件本体。实现文件防御体系的要点同样也是拦截系统底层函数如NtOpenFile等,HIPS默认对系统敏感目录进行监控保护,一旦发现异常读写,则把相关操作挂起,并根据一定的匹配模式决定放行、阻止或则弹框提示用户。如果程序写入的注册表目标项,如写入的目标路径不存在时,主动防御系统不会拦截,因为拦截容易造成误报,但是不拦截又有可能会产生漏报。而根据本发明的安全防御方案,当程序写入的注册表目标项不存在时,主动防御系统不会报警,但会将该目标项中的目标路径加入文件防御规则,在生成文件时进行文件防御。通过本实施例,对RD中取决于目标的规则,如果目标不存在,那么使用H)防护规则,在文件生成的时候拦截,解决了现有的安全防御方法无法对注册表和/或文件的改动进行精确地防御,以致漏报和误报的情况时有发生的问题,达到RD和FD联合防御,减少漏报和误报的效果。
[0229]通过上述方式,实现了 AD、RD及FD规则的联防;RD规则、H)规则和AD规则,是通过TRAY下发给驱动的,其中TRAY规定了每个规则如何根据不同的行为定义拦截,例如,当木马写入文件到一个文件路径下,替换该路径本身的文件(文件名不变),此时,主动防御系统的服务TRAY还未运行起来,而此时木马却运行起来,则主动防御系统无法进行拦截防护。而通过将开机启动程序的路径加入FD规则中,则很好地解决了这一问题。
[0230]综上,本发明不仅可通过上述方案检测出原配置文件中的恶意程序,并对所述恶意程序进行防御处理,以维护用户所使用的终端设备的安全性,且本发明可对原配置文件中的恶意程序进行标记,然后当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作,该过程可使用户实时知晓主软件的安装进程及拦截进程,且用户还可根据需要参与拦截进程中,以提高用户的参与感,使用户的感觉性更强。[0231 ]另外,用户可根据需求选择全自动模式、半自动模式或提示模式的所述主软件安装控制模式,无论用户选择前述何种控制模式,皆可使用户实时了解主软件安装进程及恶意程序的拦截进程。其中,当识别到用户选择全自动模式时,服务器会将所述标记的恶意程序进行拦截,并将主软件安装的实时操纵指令和/或当前进程信息提示给用户,以便用户实时了解主软件安装进程及恶意程序的拦截进程;当识别到用户选择半自动模式时,服务器将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整,同时控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序,该过程不仅可提高用户对恶意程序的注意度,使用户实时了解主软件安装进程及恶意程序的拦截进程,还可便于用户对安装进程及恶意程序的拦截进程实时干预,提高用户的参与度,使用户的感觉性更强。
[0232]相应的,依据计算机软件的功能模块化思维,本发明还提供了一种恶意程序的处理系统,也即一种恶意程序的处理方法的拦截程序服务器。请参见附图8,以下具体揭示本系统包括的模块及各模块实现的具体功能。该系统包括:
[0233]读取模块11,用于读取主软件安装包中的原配置文件。
[0234]具体的,当主软件安装包下载完成,准备安装时,所述读取模块11即会对该主软件安装包中的原配置文件进行读取检测。
[0235]标记模块12,用于对原配置文件中的恶意程序进行标记。
[0236]具体的,首先根据云端鉴别条件库,对原配置文件中的恶意程序进行精确匹配抓取,其精确匹配抓取方式包括如下过程:将原配置文件中的安装进程的描述信息与云端鉴别条件库中保存的黑名单进行匹配比对,若匹配成功,则对该安装进程文件标记为恶意程序。所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行?目息O
[0237]其中,所述云端鉴别条件库保存的对应执行拦截策略的行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认的进程无关的安装操作的描述信息。
[0238]所述云端鉴别条件库中保存的对应执行拦截策略的安装进程的描述信息,包括以下一种或者多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的安装进程的描述信息、已执行拦截的安装进程的描述信息、预先收集的默认拦截的安装进程的描述信息、预先收集的默认拦截的下载进程访问的网络地址。
[0239]提示模块13,用于当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作。
[0240]具体的,请参见附图9,所述提示模块13包括:
[0241]检测子模块131,用于实时检测客户端中进行主软件安装的当前进程。
[0242]选择提示子模块132,用于提示用户选择主软件安装的控制模式。
[0243]具体的,所述主软件安装的控制模式包括全自动模式、半自动模式及提示模式。
[0244]识别子模块133,用于对用户所选择的主软件安装的控制模式进行识别。
[0245]具体的,根据用户触发相应的标识指令按钮来识别,并将识别结果反馈至下一级进程控制端,以便下一级进程控制端根据标识指令按钮预设的执行。
[0246]操作执行子模块134,用于根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制。
[0247]具体的,所述安装信息提示包括安装进程信息提示及恶意程序的拦截信息提示;所述安装进程控制包括主软件安装进程控制及恶意程序的拦截进程控制。
[0248]请参见附图9及附图10,在本发明的一个实施例中,当所述识别子模块133识别到用户选择全自动模式时,所述操作执行子模块134包括:
[0249]第一拦截单元103,用于将所述标记的恶意程序进行拦截。
[0250]具体的,该过程是拦截程序服务器直接将标记的恶意程序进行选定执行拦截的。
[0251]控制单元101,用于根据预设的软件安装方式,实时控制所述主软件的安装进程按照所述预设的软件安装方式进行。
[0252]第一提示单元105,用于将主软件安装的实时操控指令和/或当前进程信息提示给用户。
[0253]具体的,所述主软件安装的实时操控指令和/或当前进程信息都是按预设的软件安装方式执行的;所述进程信息提示是随主软件安装的实时进程而实时触发提示给用户的,在进程信息提示的过程中,需根据所述主软件安装的进程,实时调用预设的用于进程信息提示的脚本。例如,所述当前进程信息可为“正在选定恶意程序”、“正在拦截恶意程序”等。
[0254]需要说明的是,所述第一拦截单元103、控制单元101及第一提示单元105同步协同工作。
[0255]请参见附图9及附图11,在本发明的又一个实施例中,当所述识别子模块133识别到用户选择半自动模式时,所述操作执行子模块134包括:
[0256]选定提示单元102,用于将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整。
[0257]具体的,所述选定信息提示是随主软件安装的实时进程而实时触发提示给用户的,在选定信息提示的过程中,需根据所述主软件安装的进程,实时调用预设的用于选定信息提示的脚本。其中,例如,所述选定信息可为“正在选定恶意程序”、“恶意程序已全选定”等。
[0258]禁用控制单元104,用于控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序。
[0259