[发明专利]一种拦截网页攻击的方法、装置和客户端设备

权利要求书

1.一种拦截网页攻击的方法，包括：

获取浏览器执行进程的程序；

检测所述浏览器执行进程的程序是否为命令行程序；

当所述浏览器执行进程的程序为命令行程序时，获取所述命令行程序运行的命令行参数；

对所述命令行程序的命令行参数进行分析，检测所述命令行程序是否存在恶意命令行参数；

当所述命令行程序存在恶意命令行参数时，阻止所述进程的执行。

2.根据权利要求1所述的方法，所述获取浏览器执行进程的程序，包括：

获取浏览器执行进程的应用程序接口，通过所述应用程序接口获取浏览器执行进程的程序。

3.根据权利要求1所述的方法，所述检测所述浏览器执行进程的程序是否为命令行程序，包括：

获取所述浏览器执行进程的程序名称；

判断所述浏览器执行进程的程序名称是否为预设的命令行程序的程序名称，若是，则判定所述浏览器执行进程的程序为命令行程序。

4.根据权利要求3所述的方法，所述获取所述浏览器执行进程的程序名称，包括：

监控与所述浏览器执行进程相关的CreateProcessInternalW函数；

通过获取所述CreateProcessInternalW函数所执行的lpApplicationName参数，获取所述浏览器执行进程的程序名称。

5.根据权利要求3所述的方法，所述预设的命令行程序为以下任意一种：

脚本语言解释器Wscript.exe、动态链接库注册程序Regsvr32.exe、系统命令行解释程序cmd.exe、文件执行程序rundll32.exe dll、脚本语言解释器cscript.exe、文件执行程序mshta.exe hta和定时执行程序at.exe。

6.根据权利要求5所述的方法，

所述预设的命令行程序包括存在递归调用的命令行程序和不存在递归调用的命令行程序两类；

所述存在递归调用的命令行程序包括：系统命令行解释程序cmd.exe和定时执行程序at.exe；

所述不存在递归调用的命令行程序包括：脚本语言解释器Wscript.exe、动态链接库注册程序Regsvr32.exe、文件执行程序rundll32.exe dll、脚本语言解释器cscript.exe和文件执行程序mshta.exe hta。

7.根据权利要求1或6所述的方法，当所述命令行程序为不存在递归调用的命令行程序时，所述获取所述命令行程序运行的命令行参数，包括：

通过CommandLineToArgvW函数获取命令行程序运行的命令行参数。

8.根据权利要求1或6所述的方法，当所述命令行程序为不存在递归调用的命令行程序时，所述对所述命令行程序的命令行参数进行分析，检测所述命令行程序是否存在恶意命令行参数，包括：

遍历所述命令行程序的命令行参数，利用GetLongPathNameW函数检测所述命令行参数，获取执行所述命令行程序的文件路径；

如果获取到完整的文件路径，则确定所述命令行程序存在恶意命令行参数。

9.根据权利要求1或6所述的方法，当所述命令行程序为存在递归调用的命令行程序时，所述获取所述命令行程序运行的命令行参数，包括：

根据所述命令行程序中的分隔字符获取命令行程序运行的命令行参数。

10.根据权利要求9所述的方法，所述分隔字符包括：空格字符、引号字符、“&”字符和“|”字符。

11.根据权利要求1或6所述的方法，当所述命令行程序为存在递归调用的命令行程序时，所述对所述命令行程序的命令行参数进行分析，检测所述命令行程序是否存在恶意命令行参数，包括：

遍历所述命令行程序的命令行参数，利用GetLongPathNameW函数检测所述命令行参数，获取执行所述命令行程序的文件路径；

如果获取到完整的文件路径，则确定所述命令行程序存在恶意命令行参数；

如果不能获取到完整的文件路径，则判断所述命令行参数中是否包括用于标识该命令行程序的字符，若是，则确定所述命令行程序存在恶意命令行参数。