[发明专利]一种针对网络浏览器的恶意插件的免疫方法

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种针对网络浏览器的恶意插件的免疫方法。

背景技术

目前，针对网络浏览器的恶意插件通过释放文件、写入注册表的方式，使自身被网络浏览器加载。恶意插件被加载后可以弹出广告、窃取用户隐私数据、盗取用户密码。现有技术通过对已知插件的分析进行特征提取，实现对插件及其衍生物的检测和清理，能够较为彻底的清除浏览器恶意插件及其衍生物。但无法预防恶意插件重新安装，特别是随其他软件捆绑进入系统。于是出现反复清理，反复检测出恶意插件的现象。

发明内容

针对以上不足，本发明要解决的技术问题是提供一种针对网络浏览器的恶意插件的免疫方法，该方法能够有效阻止已知恶意插件安装。

为了解决上述技术问题，本发明提供一种针对网络浏览器的恶意插件的免疫方法，包括：

分析已知恶意插件，确定免疫位置；

对免疫位置实施访问限制，禁止访问免疫位置；

允许访问非免疫位置。

进一步的，步骤b中，所述实施访问限制的方式包括但不限于：

b1、通过对注册表访问权限进行设置，阻止对免疫位置键值的访问；

b2、通过对NTFS文件系统中的文件访问权限进行设置，阻止对免疫位置文件的访问；

b3、通过对FAT文件系统中的文件内部数据结构进行修改，阻止对免疫位置文件的访问；

b4、通过驱动程序阻止对免疫位置的访问；

b5、通过硬件设备组织对免疫位置的访问。

本发明提供的方法可以实现对已知恶意插件的免疫和预防，能够有效阻止浏览器恶意插件被安装到系统。对于已经被恶意插件感染的计算机，可以使用传统的方式清除恶意插件后进行免疫，达到杜绝反复清理和反复检测出恶意插件的目的。

附图说明

图1为本发明所述的针对网络浏览器的恶意插件的免疫方法的具体实施图。

具体实施方式

下面将结合附图及实施例对本发明的技术方案进行更详细的说明。

本发明的针对网络浏览器的恶意插件的免疫方法如图1所示，包括如下步骤：

分析已知恶意插件，确定免疫位置；

对免疫位置实施访问限制，禁止访问免疫位置；

允许访问非免疫位置。

上述步骤B中，所述实施访问限制的方式包括但不限于：

通过对注册表访问权限进行设置，阻止对免疫位置键值的访问；

通过对NTFS文件系统中的文件访问权限进行设置，阻止对免疫位置文件的访问；

通过对FAT文件系统中的文件内部数据结构进行修改，阻止对免疫位置文件的访问；

通过驱动程序阻止对免疫位置的访问；

通过硬件设备组织对免疫位置的访问。

下面用本发明的三个应用实例进一步加以说明。

以利用注册表访问权限控制ACL(system access-control list)实施免疫为例：

假设经人工分析插件的CLSID为：0958BFE2-0B32-DB04-80FC-3F165E4F5062，免疫位置为：HKEY_CLASSES_ROOT/CLSID/{0958BFE2-0B32-DB04-80FC-3F165E4F5062}。本应用实施例的具体步骤如下：

建立注册表键HKEY_CLASSES_ROOT/CLSID/{0958BFE2-0B32-DB04-80FC-3F165E4F5062}；

实施访问限制：

使用API(例如：AtlGetDacl)获取当前注册表键值的访问控制列表；

使用API(例如：AtlSetDacl)将步骤A中建立的键权限设置为所有用户(包括管理员帐户、系统帐户)只读、写拒绝、无特殊权限。

禁止访问免疫位置，则实现免疫成功。

以注册表监视方式(旁路注册表监控)实施免疫为例：

假设经人工分析插件的CLSID为：0958BFE2-0B32-DB04-80FC-3F165E4F5062，免疫位置为：HKEY_CLASSES_ROOT/CLSID/{0958BFE2-0B32-DB04-80FC-3F165E4F5062}。

本应用实施例的具体步骤如下：

使用API(例如：RegNotifyChangeKeyValue函数)对HKEY_CLASSES_ROOT/CLSID的子键创建进行监视；

当发生子键创建时，检测键是否为{0958BFE2-0B32-DB04-80FC-3F165E4F5062}；

禁止访问免疫位置，则实现免疫成功。