[发明专利]可执行程序的监控方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种可执行程序的监控方法和装置。

背景技术

近年来，病毒和恶意代码的制造者开始通过利用正规软件中存在的一种漏洞来躲避现有安全软件的检测。具体原理如下：一个软件一般由可执行程序主体(exe文件)和依赖文件(dll文件)组成，exe文件会在启动后动态加载dll文件，并且执行dll中导出的功能函数。由于安全意识的缺乏以及一些先天技术上的缺陷，程序设计者一般不会验证所加载的dll是否被篡改或者替换。病毒和恶意代码的制造者可将该软件的exe文件的名字改成如：游戏加速器、修改器、小工具等具有迷惑性的名字，然后和加入病毒或恶意代码的dll文件一起打包，通过网站或者即时通讯工具发布给目标用户，引诱目标用户去使用该exe文件。由于该exe文件为正规软件的文件，一般都有安全软件认可的数字签名证书，因此可以轻松地绕过现有的黑白名单和动态防御系统。

为了防御这种攻击方式，安全软件需要收集样本，然后通过增加静态扫描特征或者黑名单的方式来进行检测。

但是，在实现本发明的过程中发明人发现现有技术至少存在以下问题：上述方法主要依赖于获取的恶意代码特征，因此存在滞后性，无法及时地对恶意代码进行检测和拦截。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的在于提出一种可执行程序的监控方法。该方法能够及时地对不可信程序进行查杀和拦截，有效地保障了用户信息的安全。

本发明的第二个目的在于提出一种可执行程序的监控装置。

为了实现上述目的，本发明第一方面实施例的可执行程序的监控方法，包括：确定待监控的可执行程序；获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件；以及根据所述文件与所述特征信息的匹配结果确定所述待监控的可执行程序是否为不可信程序，并在所述待监控的可执行程序为不可信程序时，对所述待监控的可执行程序进行拦截处理。

本发明实施例的可执行程序的监控方法，通过获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件，并根据两者的匹配结果确定待监控的可执行程序是否为不可信程序，以及在所述待监控的可执行程序为不可信程序时，对所述待监控的可执行程序进行拦截处理，分别通过特征数据库中的特征信息和病毒库中的特征对待监控的可执行程序进行确定，摆脱了对恶意代码特征的依赖，能够及时地对不可信程序进行查杀和拦截，有效地保障了用户信息的安全。

为了实现上述目的，本发明第二方面实施例的可执行程序的监控装置，包括：确定模块，用于确定待监控的可执行程序；获取模块，用于获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件；以及处理模块，用于根据所述文件与所述特征信息的匹配结果确定所述待监控的可执行程序是否为不可信程序，并在所述待监控的可执行程序为不可信程序时，对所述待监控的可执行程序进行拦截处理。

本发明实施例的可执行程序的监控装置，通过获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件，并根据两者的匹配结果确定待监控的可执行程序是否为不可信程序，以及在所述待监控的可执行程序为不可信程序时，对所述待监控的可执行程序进行拦截处理，分别通过特征数据库中的特征信息和病毒库中的特征对待监控的可执行程序进行确定，摆脱了对恶意代码特征的依赖，能够及时地对不可信程序进行查杀和拦截，有效地保障了用户信息的安全。

附图说明

图1是根据本发明一个实施例的可执行程序的监控方法的流程图。

图2是根据本发明一个具体实施例的可执行程序的监控方法的流程图。

图3是根据本发明一个实施例的可执行程序的监控装置的结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的可执行程序的监控方法和装置。

图1是根据本发明一个实施例的可执行程序的监控方法的流程图。

如图1所示，可执行程序的监控方法包括：

S101，确定待监控的可执行程序。