[发明专利]一种防御网购木马的方法及其装置

说明书

技术领域

本发明涉及通信领域信息过滤领域，具体涉及一种防御网购木马的方法及其装置。

背景技术

电子商务是一种经由电子设备进行贸易的手段，它加速了信息的传递和覆盖。它提供了在世界范围内推销、销售产品及服务的机会。由于互联网延伸到大多数潜在消费者的巨大潜力，以及它在散布有关产品和服务的消息的有效性，人们正尝试着通过适当的网站实施交易以利用该新的平台。随着网络技术和电子商务的发展，通过网络购买自己喜欢的商品（俗称网购）已经成为广大网民的日常行为，包括淘宝、ebay在内的各种网购网站提供了各种各样的商品通过网络进行交易。由此，网购木马应运而生。

网购木马是新出现的一种欺诈木马。据金山网络安全中心新统计数据显示，2010年网购木马增长迅速，目前变种数量已经超过万个，2011年前2个月，平均每月增加新变种近3000个，而受此欺诈的网购用户也与日俱增。与钓鱼网站相比，网购木马隐藏更深，让用户无法察觉和判断，一旦感染造成危害的可能性非常高。网购木马伪装成买家，与卖家进行沟通，伺机通过聊天工具发送所谓的商品图等压缩文件给卖家，卖家，点击后，即感染木马，骗子再通过木马盗取卖家的账户密码，获取店铺的管理权限。接下来，骗子就可以冒充卖家对真正的买家实施诈骗了。给买家和卖家都造成无法预估的损失，严重地影响了在线金融服务、电子商务的发展。

由此可见，如何防御网购木马，已成为业界亟待解决的问题。

发明内容

本发明的目的在于克服现有技术中的缺点与不足，提供一种防御网购木马的方法。

本发明是采用以下的技术方案实现的：一种防御网购木马的方法，包括如下步骤：

步骤S11：当用户点击运行可执行文件，在加载模块之前，获取进程中可执行文件的原始文件名和加载模块的文件名；

步骤S12：以进程中可执行文件的原始文件名和加载模块的文件名为索引，在本地特征库中查找加载模块的特征信息；

步骤S13：选择是否检测加载模块的特征信息，若是，则进入步骤S14，若否，则进入步骤S16；

步骤S14：提取加载模块的特征信息；

步骤S15：将提取的加载模块的特征信息与本地特征库的特征信息进行比对，判断其是否为疑似木马，若是，关闭其运行，若否，则进入步骤S18；

步骤S16：判断是否检测可执行文件所依赖的文件，若是，则进入步骤S17，若否，则允许其运行；

步骤S17：获得可执行文件所依赖的文件的全路径，并根据该全路径查找可执行文件所依赖文件的是否存在，若存在，则允许其运行，若不存在，则进入步骤S18。

步骤S18：查询加载模块的安全属性，若为黑，则关闭其运行，若为白，则允许其运行。

进一步，本发明还提供了一种防御网购木马的装置。

一种防御网购木马的装置，其包括文件名获取模块、特征信息查找模块、特征信息检测选择模块、加载模块特征提取模块、特征信息比对模块、依赖文件检测选择模块、依赖文件查找模块、安全属性查询模块、本地特征库、配置文件库和安全属性数据库；当用户点击运行可执行文件，在加载模块之前，该文件名获取模块获取进程中可执行文件的原始文件名和加载模块的文件名；该特征信息查找模块以进程中可执行文件的原始文件名和加载模块的文件名为索引，在本地特征库中查找加载模块的特征信息；该特征信息检测选择模块选择是否检测加载模块的特征信息，若是，则发送指令至加载模块特征提取模块，若否，则发送指令至依赖文件查找模块；该加载模块特征提取模块提取加载模块的特征信息；该特征信息比对模块将提取的加载模块的特征信息与本地特征库的特征信息进行比对，判断其是否为疑似木马，若是，则发送指令至安全属性查询模块，若否，则发送指令至依赖文件检测选择模块；该依赖文件检测选择模块判断是否检测可执行文件所依赖的文件，若是，则发送指令至依赖文件查找模块，若否，则允许其运行；依赖文件查找模块；该依赖文件查找模块获得可执行文件所依赖的文件全路径，并根据该全路径查找可执行文件所依赖文件的是否存在，若存在，则允许其运行，若不存在，则发送指令至安全属性查询模块。该安全属性查询模块查找安全属性数据库获得加载模块的安全属性，若为黑，则关闭其运行，若为白，则允许其运行。

相对于现有技术，本发明的防御网购木马的方法及其装置通过查找判断可执行文件的加载模块的特征信息及安全和路径信息，来判断是否为网购木马，从而保证了用户的网购及账户安全。

为了能更清晰的理解本发明，以下将结合附图说明阐述本发明的具体实施方式。

附图说明