[发明专利]隐藏光标的处理方法、装置及电子设备

说明书

本发明公开一种隐藏光标的处理方法、装置及电子设备，能够解决现有技术不能防止恶意软件隐藏光标导致系统安全不能得到有效保护的问题。所述方法包括：检测软件进程调用禁止关机功能函数的行为；当检测到有软件进程调用禁止关机功能函数的行为时，获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号；判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同；若不相同，则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作，否则判断所述软件进程是否为恶意软件进程；若所述软件进程为恶意软件进程，则拒绝进行隐藏光标操作，否则调用禁止关机功能函数执行隐藏光标操作。本发明适用于对隐藏光标的操作进行处理。

技术领域

本发明涉及系统安全技术领域，尤其涉及一种隐藏光标的处理方法、装置及电子设备。

背景技术

在计算机系统中，提供有ShowCursor函数，用于显示或隐藏光标。而恶意程序可以采用此方法隐藏光标，导致用户看不到当前光标的位置，不能正常使用鼠标操作，严重破坏了用户系统环境。

目前，为了防止光标不被隐藏，通常情况下是挂钩应用层的ShowCursor函数，ShowCursor函数对应于系统内核的函数是NtUserCallOneParam函数。NtUserCallOneParam函数是一个公共函数，很多应用层的函数对应内核的函数都是它。NtUserCallOneParam函数用一个功能索引号来区分不同的应用层函数，恶意程序可以通过调用内核的NtUserCallOneParam函数，传入相应的功能索引号，来隐藏光标，这样恶意程序就能够破坏计算机系统环境。

因此，现有的隐藏光标的处理方法，不能防止恶意软件隐藏光标，导致系统安全不能得到有效保护。

发明内容

有鉴于此，本发明实施例提供一种隐藏光标的处理方法、装置及电子设备，能够防止恶意软件隐藏光标，从而有效保护系统安全。

第一方面，本发明实施例提供一种隐藏光标的处理方法，包括：

检测软件进程调用禁止关机功能函数的行为；

当检测到有软件进程调用禁止关机功能函数的行为时，获取所述软件进程调用禁止关机功能函数时所传入的第一功能索引号；

判断所述第一功能索引号与隐藏光标功能函数对应内核的第二功能索引号是否相同；

若不相同，则调用禁止关机功能函数执行与所述第一功能索引号相对应的操作，否则判断所述软件进程是否为恶意软件进程；

若所述软件进程为恶意软件进程，则拒绝进行隐藏光标操作，否则调用禁止关机功能函数执行隐藏光标操作。

结合第一方面，在第一方面的第一种实施方式中，所述隐藏光标功能函数对应内核的第二功能索引号在不同的系统下有所不同。

结合第一方面，在第一方面的第二种实施方式中，所述判断所述软件进程是否为恶意软件进程包括：

获取所述软件进程的特征信息；

在存储有恶意软件进程特征信息的特征库中查询所述软件进程的特征信息；

若能查询到所述软件进程的特征信息，则判定所述软件进程为恶意软件进程，否则判定所述软件进程不是恶意软件进程。

结合第一方面的第二种实施方式，在第一方面的第三种实施方式中，在所述检测软件进程调用禁止关机功能函数的行为之前，所述方法还包括：

建立特征库，将获取到的恶意软件进程的特征信息存储在所述特征库中。

第二方面，本发明实施例提供一种隐藏光标的处理装置，包括：

检测单元，用于检测软件进程调用禁止关机功能函数的行为；