[发明专利]一种拦截网页攻击的方法、装置和客户端设备

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种拦截网页攻击的方法、装置和客户端设备。

背景技术

网页木马攻击是当前最流行的漏洞攻击方式之一，网页木马攻击的过程一般是：攻击者通过javascript操作浏览器的堆内存，将恶意代码shellcode写入浏览器的堆内存地址，通过缓冲区溢出漏洞改变程序的执行流程，使得浏览器堆内存中的shellcode得以执行。

目前，各种安全软件针对网页木马的拦截技术一般分为如下三类：

1、针对网页木马的恶意脚本代码内容进行拦截。

2、针对溢出型网页木马shellcode所调用的API函数进行拦截。

3、针对网页木马所执行文件的特征进行黑白名单判定，从而进行拦截。

其中，在第三类拦截技术中，黑名单拦截的过程一般是安全软件针对网页木马所执行的文件，进行病毒库特征码匹配，如果符合病毒库特征码则阻止并提示执行行为；白名单拦截的过程一般是安全软件针对网页木马所所执行的文件，进行白名单特征匹配，如果不符合白名单特征，则拦截阻止程序运行。

但是，上述黑白名单的拦截技术并不能完全地对网页木马进行拦截。例如，系统程序属于可信的白名单程序，但是网页木马可以通过运行接受命令行参数的系统程序(即运行命令行程序)绕过黑白名单的拦截，最后成功执行恶意程序。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的拦截网页攻击的方法和相应的装置及客户端设备。

依据本发明的一个方面，提供了一种拦截网页攻击的方法，包括：

获取浏览器执行进程的程序；

检测所述浏览器执行进程的程序是否为命令行程序；

当所述浏览器执行进程的程序为命令行程序时，获取所述命令行程序运行的命令行参数；

对所述命令行程序的命令行参数进行分析，检测所述命令行程序是否存在恶意命令行参数；

当所述命令行程序存在恶意命令行参数时，阻止所述进程的执行。

本发明实施例中，获取浏览器执行进程的程序，包括：

获取浏览器执行进程的应用程序接口，通过所述应用程序接口获取浏览器执行进程的程序。

本发明实施例中，检测所述浏览器执行进程的程序是否为命令行程序，包括：

获取所述浏览器执行进程的程序名称；

判断所述浏览器执行进程的程序名称是否为预设的命令行程序的程序名称，若是，则判定所述浏览器执行进程的程序为命令行程序。

本发明实施例中，获取所述浏览器执行进程的程序名称，包括：

监控与所述浏览器执行进程相关的CreateProcessInternalW函数；

通过获取所述CreateProcessInternalW函数所执行的lpApplicationName参数，获取所述浏览器执行进程的程序名称。

本发明实施例中，预设的命令行程序为以下任意一种：

脚本语言解释器Wscript.exe、动态链接库注册程序Regsvr32.exe、系统命令行解释程序cmd.exe、文件执行程序rundll32.exe dll、脚本语言解释器cscript.exe、文件执行程序mshta.exe hta和定时执行程序at.exe。

本发明实施例中，预设的命令行程序包括存在递归调用的命令行程序和不存在递归调用的命令行程序两类；

存在递归调用的命令行程序包括：系统命令行解释程序cmd.exe和定时执行程序at.exe；

不存在递归调用的命令行程序包括：脚本语言解释器Wscript.exe、动态链接库注册程序Regsvr32.exe、文件执行程序rundll32.exe dll、脚本语言解释器cscript.exe和文件执行程序mshta.exe hta。

本发明实施例中，当命令行程序为不存在递归调用的命令行程序时，获取所述命令行程序运行的命令行参数，包括：

通过CommandLineToArgvW函数获取命令行程序运行的命令行参数。

本发明实施例中，当命令行程序为不存在递归调用的命令行程序时，对所述命令行程序的命令行参数进行分析，检测所述命令行程序是否存在恶意命令行参数，包括：

遍历所述命令行程序的命令行参数，利用GetLongPathNameW函数检测所述命令行参数，获取执行所述命令行程序的文件路径；