专利名称:一种防止登录信息被盗取的方法及装置的制作方法
技术领域:
本申请涉及网络安全技术,特别是涉及一种防止登录信息被盗取的方法及装置。
背景技术:
计算机上的许多业务都需要通过输入登录信息进行登录,然后连接互联网才能进行相关的操作。但是若用户的登录信息被黑客等非法人员获知,就有可能以该用户的名义发布或进行一些非法活动,因此如何防止登录信息被盗取也越来越引起人们的重视。非法人员通过在计算机中植入恶意软件来盗取登录信息,例如盗取登录信息的木马。其中恶意软件通常都是采取欺骗的方法获取登录信息的,其中可以将需要登录信息进行登陆的客户端和网页看作目标进程。例如,恶意软件在真实的登录信息输入窗口上方覆盖一层透明窗口,让用户在启动目标进程输入登录信息时以为是将登录信息输入了真实的登录信息输入窗口中,实际上却是输入到了恶意软件所创建的透明窗口中,从而使得非法人员获取了该用户的账号和密码。又如,恶意软件首先将包含登录信息输入窗口的真实主窗口移到用户看不到的位置,然后在原本真实主窗口的位置创建一个虚假主窗口。用户启动目标进程后,看到的就是虚假主窗口,因此也就将登录信息输入了虚假登录信息输入窗口中,从而使得非法人员获取了该用户的登录信息。恶意软件获取登录信息后再将其输入到真实的登录信息输入窗口中,使得用户可以正常的登陆,而不知道登录信息已经被盗取的事件。通常杀毒软件所采取的方法是在恶意软件进入系统时进行特征查杀,但该方法必须获得恶意软件的特征才能进行查杀。但是恶意软件针对相同的获取方法,可以使用不同的特征,因此一旦非法人员知道了杀毒软件查杀的特征,对恶意软件进行修改就可以避免该恶意软件被查杀的问题。恶意软件的特征可以是千变万化的,因此上述的方法在恶意软件的特征发生变化时,无法及时的对变化后的恶意软件进行查杀。
发明内容
本申请提供了一种防止登录信息被盗取的方法及装置,以解决现有技术在恶意软件的特征发生变化时,无法及时的对变化后的恶意软件进行查杀的问题。为了解决上述问题,本申请公开了一种防止登录信息被盗取的方法,包括通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录;在完成登录之前,监控线程检测目标进程的状态;若检测到目标进程的状态出现异常,则执行清理恶意软件的操作。优选的,所述监控线程检测目标进程的状态,包括监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包括以下至 少一项主窗口的大小、主窗口的透明度和主窗口的坐标。优选的,所述的方法还包括在登录信息输入窗口内获取至少一个基准点;通过调用系统接口检测所述基准点上是否存在其他窗口 ;若登录信息输入窗口上覆盖有其他窗口,则目标进程的状态出现异常。优选的,若主窗口的大小小于大小范围,则目标进程的状态出现异常。优选的,若主窗口的透明度为完全透明,则目标进程的状态出现异常。优选的,若主窗口的坐标超过位置范围,则目标进程的状态出现异常。优选的,所述检测到目标进程的状态出现异常后,所述的方法包括查询造成目标进程的状态异常的进程是否为白进程;若否,则警告所述目标进程出现异常。优选的,所述警告所述目标进程出现异常之后,还包括询问是否需要清理恶意软件;若确认清理,则执行清理恶意软件的操作;否则,继续检测目标进程的状态。相应的,本申请还公开了一种防止登录信息被盗取的装置,包括创建模块,用于通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录;检测模块,用于在完成登录之前,监控线程检测目标进程的状态;清理模块,用于若检测到目标进程的状态出现异常,则执行清理恶意软件的操作。优选的,所述检测模块,包括获取状态子模块,用于监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包括以下至少一项主窗口的大小、主窗口的透明度和主窗口的坐标。优选的,所述检测模块,还包括获取基准点子模块,用于在登录信息输入窗口内获取至少一个基准点;检测窗口子模块,用于通过调用系统接口检测所述基准点上是否存在其他窗口 ;窗口判断子模块,用于若登录信息输入窗口上覆盖有其他窗口,则目标进程的状态出现异常。优选的,所述检测模块,还包括大小判断子模块,用于若主窗口的大小小于大小范围,则目标进程的状态出现异
堂
巾o透明度判断子模块,用于若主窗口的透明度为完全透明,则目标进程的状态出现异常。位置判断子模块,用于若主窗口的坐标超过位置范围,则目标进程的状态出现异
堂
巾o优选的,所述清理模块,包括白进程判断子模块,用于查询造成目标进程的状态异常的进程是否为白进程;
异常警告子模块,用于警告所述目标进程出现异常。优选的,所述清理模块,还包括询问子模块,用于询问是否需要清理恶意软件;
清理子模块,用于执行清理恶意软件的操作。与现有技术相比,本申请包括以下优点首先,恶意软件通常都是采取欺骗的方法获取登录信息的,无论何种欺骗手法都会导致目标进程的状态出现异常,本申请以此为出发点,通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录,在用户完成登录之前,监控线程定时检测目标进程的状态,若检测到目标进程状态出现异常,则执行清理恶意软件的操作。本申请以恶意软件盗取用户登录信息的方法为依据,针对恶意软件使用不同的特征但相同的获取方法来非法获取用户登录信息的特点,从根本上起到防御的作用,防止了登录信息被盗取的问题。并且每次启动目标进程都进行检测,可以更加完善的保证用户登录信息的安全。其次,监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包含多种,如窗口的大小、窗口的透明度和窗口的坐标等,还包括检测登录信息输入窗口上是否覆盖其他窗口。因此根据目标进程的不同状态的特征,可以检测到多种不同的欺骗盗取用户登录信息,从而更加全面的保证用户的账号和密码的安全。再次,本申请在检测到目标进程的状态出现异常时,会进行异常报警,在得到用户确认后才进行恶意软件的查杀,减少了误报的问题。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是本申请所述第一种盗取登录信息示意图;图2是本申请所述第二种盗取登录信息示意图;图3是本申请实施例所述一种防止登录信息被盗取的方法流程图;图4是本申请优选实施例所述一种防止登录信息被盗取的方法流程图;图5是本申请实施例所述一种防止登录信息被盗取的装置结构图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。计算机上的许多业务都需要通过输入登录信息进行登录,然后连接互联网才能进行相关的操作,例如客户端(如即时通讯软件、),和某些网页(如社交网站、购物网站等)。非法人员通过在计算机中植入恶意软件来盗取登录信息,例如盗取登录信息的木马。其中恶意软件通常都是采取欺骗的方法获取登录信息的。其中,将通过输入登录信息进行登录的进程称为目标进程;将目标进程创建的窗口称为主窗口,所述主窗口中包含目标进程的标识(如即时通讯软件、某些交友网站或团购网站等)、登录信息输入窗口等。其中,所述恶意软件可以指故意在计算机系统上执行恶意任务的病毒、蠕虫和木马等。本申请所述的恶意软件包括意图盗取用户登录信息的程序。 下面以客户端为例,论述几种恶意软件盗取登录信息的方法。参照图1,给出了本申请所述第一种盗取登录信息示意图。图I中a表不客户端A的主窗口,b表不真实的登录信息输入窗口,c表不虚假的登录信息输入窗口。恶意软件在真实的登录信息输入窗口上方覆盖一层虚假的登录信息输入窗口,其中,所述虚假的登录信息输入窗口是透明的窗口,因此就可以让用户在启动目标进程输入登录信息时,以为是将登录信息输入了真实的登录信息输入窗口中,实际上却是输入到了恶意软件所创建的透明窗口中,从而使得非法人员获取了该用户的账号和密码。参照图2,给出了本申请所述第二种盗取登录信息示意图。图2中a表不真实主窗口,S1表不真实的登录信息输入窗口,b表不虚假主窗口,b:表示虚假的登录信息输入窗口。第二种盗取登录信息的方法中,恶意软件首先将包含登录信息输入窗口的真实主窗口移到用户看不到的位置,然后在原本真实主窗口的位置创建一个虚假主窗口。用户启动目标进程后,看到的就是虚假主窗口,因此也就将登录信息输入了虚假登录信息输入窗口中,从而使得非法人员获取了该用户的登录信息。当然,实际处理中,还包括其他盗取登录信息的方法,例如恶意软件将真实主窗口修改成透明的,然后在上面覆盖一层虚假主窗口来盗取用户的登录信息。又如,恶意软件将真实主窗口缩的极小,可能会让用户看不到,然后在原本真实主窗口的位置创建一个虚假主窗口来盗取用户的登录信息。通常杀毒软件所采取的方法是在恶意软件进入系统时进行特征查杀,但该方法必须获得恶意软件的特征才能进行查杀。但是恶意软件针对相同的获取方法,可以使用不同的特征,因此一旦非法人员知道了杀毒软件查杀的特征,对恶意软件进行修改就可以避免被查杀的问题。恶意软件的特征可以是千变万化的,因此上述的方法在恶意软件的特征发生变化时无法及时的对变化后的恶意软件进行查杀。本申请从恶意软件盗取用户登录信息的本源着手,侦测到盗取用户登录信息的方法。针对恶意软件使用不同的特征但相同的获取方法来非法获取用户登录信息的特点,从恶意软件盗取用户登录信息的方法出发,可以从根本上起到防御的作用,防止了登录信息被盗取的问题。并且每次启动目标进程都进行检测,可以更加完善的保证用户登录信息的安全。参照图3,给出了本申请实施例所述一种防止登录信息被盗取的方法流程图。步骤11,通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录;目标进程的启动会触发监控线程的创建,因此当用户点击需要登录信息进行登录的目标进程时,通过注册系统回调接口可以得知所述目标进程创建的消息,进而会触发创建监控线程。 其中,所述目标进程可以包括需要通过登录信息登录的客户端和网页。所述登录信息可以包括登陆账号和登录密码。步骤12,在完成登录之前,监控线程检测目标进程的状态;从目标进程启动到目标进程完成登录的时间段,也是恶意软件盗取用户登录信息的时间段,因此在用户完成登录之前,监控线程可以定时检测目标进程的状态,监控目标进程在用户完成登录之前状态是否正常。例如,设置监控进程每隔I秒检测一次目标进程的状态,若当前时刻监控线程检测目标进程是正常的。若I秒用户仍然未完成登录,则监控线程会重新检测目标进程是否正常。步骤13,若检测到目标进程的状态出现异常,则执行清理恶意软件的操作。如果监控线程在对目标进程进行监控时,检测到目标进程的状态出现异常,就可以执行清理恶意软件的操作,以防止用户的登录信息被盗取。综上所述,恶意软件通常都是采取欺骗的方法获取登录信息的,无论何种欺骗手法都会导致目标进程的状态出现异常,本申请以此为出发点,通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录,在用户完成登录之前,监控线程定时检测目标进程的状态,若检测到目标进程状态出现异常,则执行清理恶意软件的操作。本申请以恶意软件盗取用户登录信息的方法为依据,针对恶意软件使用不同的特征但相同的获取方法来非法获取用户登录信息的特点,从根本上起到防御的作用,防止了登录信息被盗取的问题。并且每次启动目标进程都进行检测,可以更加完善的保证用户登录信息的安全。参照图4,给出了本申请优选实施例所述一种防止登录信息被盗取的方法流程图。步骤201,通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录;例如,目标进程A启动时,触发创建了监控线程A',其中所述目标进程可以通过输入登录信息完成登录。步骤202,在用户完成登录之前,监控线程通过调用系统接口定时检测目标进程的状态;从目标进程启动到目标进程完成登录的时间段,也是恶意软件盗取用户登录信息的时间段,因此在用户完成登录之前,监控线程会调用系统接口,定时检测目标进程的状态,监控目标进程在用户完成登录之前状态是否正常。通常目标进程在运行时,目标进程创建主窗口,主窗口内可以显示该目标进程的标识,例如即时通讯软件的客户端主窗口中会显示其标识为即时通讯软件,社交网站的主窗口中会显示其标识(如,某些交友网站或团购网站、新浪微博等)。主窗口可以创建子窗口,如登录信息输入窗口,可以输入登录信息,所述登录信息通过验证后用户就可以使用所述目标进程。本申请监控线程可以获取目标进程的状态包括以下至少一项主窗口的大小、主窗口的透明度和主窗口的坐标。当然还可以获取目标进程的其他状态,此处不一一列举,不应理解为是对本申请的限制。例如,上述监控线程A'通过调用系统接口获取目标进程A的状态,包括主窗口的大小为aXb,主窗口的透明度b和主窗口的坐标(xl, yl)、(x2, y2)、(x3, y3)和(x4, y4)。步骤203,在登录信息输入窗口内获取至少一个基准点;目标进程的主窗口中包含登录信息输入窗口,因此本申请中监控线程可以在登录信息输入窗口内获取至少一个基准点,以所述基准点表征登录信息输入窗口的位置。
例如,上述监控线程A'在登录信息输入窗口中任取一个基准点(xO,yO)。又如,登录信息输入窗口通常是一个四边形,四边形包含四个顶点,因此也可以获取登录信息输入窗口的四个顶点坐标。步骤204,通过调用系统接口检测所述基准点上是否存在其他窗口 ;上述获取到登录信息输入窗口内的基准点后,监控线程可以调用系统接口检测所述基准点上是否还覆盖有其他窗口,即检测在基准点对应坐标位置上存在几个窗口,若只存在一个窗口,则该窗口为目标进程的主窗口,若存在多余一个窗口,则说明目标进程的主窗口上方覆盖有其他窗口。例如,上述监控线程A'可以通过调用系统接口检测所述基准点上是否存在其他窗口。又如,上述获取登录信息输入窗口的四个顶点坐标,通过所述顶点坐标标识登录信息输入窗口的位置,判断在登录信息输入窗口上是否覆盖有其他窗口。上述步骤中获取到了目标进程的状态,然后可以对目标进程状态是否异常进行判断。步骤205,判断主窗口的大小是否小于大小范围;若是,则执行步骤209 ;若否,则执行步骤206。本申请预先设置了目标进程的主窗口的大小范围,其中,所述大小范围为登录信息输入窗口的最小显示范围。例如,登录信息输入窗口的最小显示范围为IcmX Icm,则所述主窗口的大小范围为IcmX lcm。监控线程可以将获取的目标进程的主窗口的大小与所述大小范围进行比较,若目标进程的主窗口的大小小于所述大小范围,则可能无法正常输入登录信息,因此可能存在登录信息被盗取的风险,因此要执行步骤209,否则,执行步骤206。例如,恶意软件盗取登录信息的一种方法是将真实主窗口缩的极小,用户可能会看不到,然后在原本真实主窗口的位置创建一个虚假主窗口来盗取用户的登录信息。此时若主窗口的大小小于所述大小范围,就可能存在登录信息被盗取的风险。例如,预置的大小范围为[alXbl,a2Xb2],若上述监控线程A'判断主窗口的大小aXb < [alXbl,a2Xb2],则可能存在登录信息被盗取的风险,后续执行步骤209。若上述监控线程A'判断主窗口的大小aXb G [alXbl,a2Xb2],则继续判断目标进程的其他状态,后续执行步骤206。步骤206,判断主窗口的透明度是否为完全透明;若是,则执行步骤209 ;若否,则执行步骤207。监控线程可以检测所述主窗口的透明度,例如设置完全透明的透明度为0,否则,透明度为为1,其中,所述完全透明可以指主窗口在系统桌面上但用户看不到。若所述主窗口的透明度为0,后续执行步骤209,若所述主窗口的透明度为1,后续执行步骤207。
例如,恶意软件盗取用户登录信息的一种方式是将真实主窗口修改成透明的,然后在上面覆盖一层虚假主窗口来盗取用户的登录信息。此若主窗口的透明度为完全透明,则可能存在登录信息被盗取的风险。例如,若上述监控线程A'检测到获取的主窗口的透明度b = 0,则可能存在登录信息被盗取的风险,后续执行步骤209,若上述监控线程A'检测到获取的主窗口的透明度b = 1,则继续判断目标进程的其他状态,后续执行步骤207。步骤207,判断主窗口的坐标是否超过位置范围;若是,则执行步骤209 ;若否,则执行步骤208。本申请预先设置了目标进程主窗口的位置范围,其中,所述位置范围为系统桌面的坐标范围。监控线程可以将获取的主窗口的坐标与所述位置范围进行比较,若主窗口的坐标超过所述位置范围,则可能存在登录信息被盗取的风险,因此要执行步骤209,否则,执行步骤206。例如,主窗口通常是四边形,四边形包含四个顶点,若主窗口中的任意两个顶点坐标在系统桌面坐标外,则可以认为主窗口的坐标超过所述位置范围。具体实施中,所述主窗口的坐标超过位置范围时,并不限定超过为大于或小于,而是根据具体坐标而定。例如以系统桌面的左下角的顶点坐标为原点坐标(0,0),系统桌面四个顶点的坐标分别为(0,0)、(16,0)、(0,9)和(16,9),则所述位置范围中横坐标的范围为0 16,纵坐标的范围为0 9。若主窗口中的四个顶点坐标分别为(_2,0) (3,0) (-2,3) (3,3),主窗口的横坐标的范围为-2 3,纵坐标的范围为0 3,其中,左下角和左上角的两个顶点坐标在系统桌面夕卜,可以认为主窗口的坐标超过位置范围。若主窗口中的四个顶点坐标分别为(15,8) (20,8) (15,11) (20,11),主窗口的横坐标的范围为15 20,纵坐标的范围为8 11,其中,左上角、右下角和右上角的三个顶点坐标在系统桌面外,可以认为主窗口的坐标超过位置范围。例如,恶意软件盗取用户登录信息的一种方式是将包含登录信息输入窗口的真实主窗口移到用户看不到的位置,如系统桌面外,然后在原本真实主窗口的位置创建一个虚假主窗口。此时可以设置所述位置范围为系统桌面所在的范围,若主窗口的坐标超过位置范围,则可能存在登录信息被盗取的风险。步骤208,判断登录信息输入窗口上是否覆盖有其他窗口 ;若是,则执行步骤209 ;若否,则执行步骤202。监控线程通过上述的步骤中可以检测到登录信息输入窗口上是否覆盖有其他窗口,若是,则可能存在登录信息被盗取的风险,后续执行步骤209,若否,则通过上步骤205到步骤208的判断过程,执行步骤202,继续定时监控目标进程的状态。例如,恶意软件盗取用户登录信息的一种方式是在真实的登录信息输入窗口上方覆盖一层虚假的登录信息输入窗口,其中,所述虚假的登录信息输入窗口是透明的窗口,因此就可以让用户在启动目标进程输入登录信息时,以为是将登录信息输入了真实的登录信息输入窗口中,实际上却是输入到了恶意软件所创建的透明窗口中,从而使得非法人员获取了该用户的账号和密码。因此,若登录信息输入窗口上是否覆盖有其他窗口,则能存在登录信息被盗取的风险。
此时,通过在登录信息输入窗口上覆盖其他窗口来获取登录信息时,所述其他窗口即为虚假的登录信息输入窗口,其中虚假的登录信息输入窗口将登录信息输入到真实的登录信息输入窗口的方式有两种一种是通过调用某些系统接口输入登录信息;一种是通过父子窗口进行传递。其中通过父子窗口进行传递时,会将虚假的登录信息输入窗口设置为父窗口,真实的登录信息输入窗口设置为子窗口,在父窗口输入登录信息时,可以在子窗口中进行输入并登录,因此用户不会察觉到登录信息被盗取的事件。上述步骤205到步骤208都是判断目标进程是否出现异常的步骤,此处仅用于举 例论述防止登录信息被盗取的方法,在实际处理中,不限定步骤205、步骤206、步骤207和步骤208中所述目标进程异常判断方法的处理顺序。步骤209,在后台查询造成目标进程的状态异常的进程是否为白进程;若是,则执行步骤202 ;若否,则执行步骤210 ;因此,若检测到目标进程的状态异常,则可以在后台查询造成目标进程的状态异常的进程是否为白进程。其中,所述白进程可以是由已知无危险性的正常软件产生的进程。例如,若覆盖在目标进程的登录信息输入窗口上的窗口为系统提示窗口,则所述系统提示窗口为白进程,不存在登录信息被盗取的危险,后续执行步骤202,继续定时监控目标进程的状态。如若覆盖在目标进程的登录信息输入窗口上的窗口,是由恶意软件进程创建的父窗口,所述恶意软件进程不是白进程,存在登录信息被盗取的危险,则执行步骤210。步骤210,警告所述目标进程出现异常,询问是否需要清理恶意软件; 若是,则执行步骤211,若否,则执行步骤202。若上述检测到造成目标进程的状态异常的进程不是白进程,则此时会警告用户所述目标进程存在异常,当然可以同时告知用所述目标进程出现何种异常,如,目标进程的主窗口是透明的,登录信息输入窗口上覆盖有其他窗口,目标进程的主窗口被移到了系统桌面以外,或,目标进程的主窗口大小过小等,并且询问用户是否需要清理恶意软件。若用户确认到导致目标进程的状态异常的进程不是恶意软件造成的,例如登录信息输入窗口上覆盖的其他窗口是用户所设置的,则不存在登录信息被盗取的危险,不需要清理恶意软件,后续执行步骤202,继续定时监控目标进程的状态。若用户确认需要清理恶意软件,则后续执行步骤211。步骤211,清理恶意软件。可以根据用户的确认,执行清理恶意软件的操作,其中,查询到了导致目标进程异常的恶意软件对应的进程,清理恶意软件可以看作是结束所述恶意软件对应的进程,同时清除相关的文件与启动项。例如,若是查询到导致目标进程异常的是意图盗取登录信息的木马进程,就可以清理木马进程、相关的文件与启动项。综上所述,监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包含多种,如窗口的大小、窗口的透明度和窗口的坐标等,还包括检测登录信息输入窗口上是否覆盖其他窗口。因此根据目标进程的不同状态的特征,可以检测到多种不同的欺骗盗取用户登录信息,从而更加全面的保证用户的账号和密码的安全。
其次,本申请在检测到目标进程的状态出现异常时,会进行异常报警,在得到用户确认后才进行恶意软件的查杀,减少了误报的问题。参照图5,给出了本申请实施例所述一种防止登录信息被盗取的装置结构图。相应的,本申请还提供了一种防止登录信息被盗取的装置,包括创建模块11、检测模块12和清理恶意软件模块13,其中,创建模块11,用于通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录;检测模块12,用于在完成登录之前,监控线程检测目标进程的状态;清理模块13,用于若检测到目标进程的状态出现异常,则执行清理恶意软件的操作。所述检测模块12,包括获取状态子模块121,用于监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包括以下至少一项主窗口的大小、主窗口的透明度和主窗口的坐标;获取基准点子模块122,用于在登录信息输入窗口内至少获取一个基准点;检测窗口子模块123,用于通过调用系统接口检测所述基准点上是否存在其他窗
n ;窗口判断子模块124,用于若登录信息输入窗口上覆盖有其他窗口,则目标进程的状态出现异常。大小判断子模块125,用于若主窗口的大小小于大小范围,则目标进程的状态出现异常。透明度判断子模块126,用于若主窗口的透明度为完全透明,则目标进程的状态出现异常。位置判断子模块127,用于若主窗口的坐标超过位置范围,则目标进程的状态出现异常。所述清理模块13,包括白进程判断子模块131,用于查询造成目标进程的状态异常的进程是否为白进程;若是,则返回检测模块12,若否,则进入异常警告子模块132。异常警告子模块132,用于警告所述目标进程出现异常;询问子模块133,用于询问是否需要清理恶意软件;若需要清理,则进入恶意软件清理子模块134,否则返回检测模块12。清理子模块134,用于执行清理恶意软件的操作。综上所述,恶意软件通常都是采取欺骗的方法获取登录信息的,无论何种欺骗手 法都会导致目标进程的状态出现异常,本申请以此为出发点,通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录,在用户完成登录之前,监控线程定时检测目标进程的状态,若检测到目标进程状态出现异常,则执行清理恶意软件的操作。本申请以恶意软件盗取用户登录信息的方法为依据,针对恶意软件使用不同的特征但相同的获取方法来非法获取用户登录信息的特点,从根本上起到防御的作用,防止了登录信息被盗取的问题。并且每次启动目标进程都进行检测,可以更加完善的保证用户登录信息的安全。其次,监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包含多种,如窗口的大小、窗口的透明度和窗口的坐标等,还包括检测登录信息输入窗口上是否覆盖其他窗口。因此根据目标进程的不同状态的特征,可以检测到多种不同的欺骗盗取用户登录信息,从而更加全面的保证用户的账号和密码的安全。再次,本申请在检测到目标进程的状态出现异常时,会进行异常报警,在得到用户确认后才进行恶意软件的查杀,减少了误报的问题。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或
者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,
并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。以上对本申请所提供的一种防止登录信息被盗取的方法及装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理 解为对本申请的限制。
权利要求
1.一种防止登录信息被盗取的方法,其特征在于,包括 通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录; 在完成登录之前,监控线程检测目标进程的状态; 若检测到目标进程的状态出现异常,则执行清理恶意软件的操作。
2.根据权利要求I所述的方法,其特征在于,所述监控线程检测目标进程的状态,包括 监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包括以下至少一项 主窗口的大小、主窗口的透明度和主窗口的坐标。
3.根据权利要求2所述的方法,其特征在于,还包括 在登录信息输入窗口内获取至少一个基准点; 通过调用系统接口检测所述基准点上是否存在其他窗口; 若登录信息输入窗口上覆盖有其他窗口,则目标进程的状态出现异常。
4.根据权利要求2所述的方法,其特征在于,还包括 若主窗口的大小小于大小范围,则目标进程的状态出现异常。
5.根据权利要求2所述的方法,其特征在于,还包括 若主窗口的透明度为完全透明,则目标进程的状态出现异常。
6.根据权利要求2所述的方法,其特征在于,还包括 若主窗口的坐标超过位置范围,则目标进程的状态出现异常。
7.根据权利要求3至6任一所述的方法,其特征在于,所述检测到目标进程的状态出现异常后,所述的方法包括 查询造成目标进程的状态异常的进程是否为白进程; 若否,则警告所述目标进程出现异常。
8.根据权利要求7所述的方法,其特征在于,所述警告所述目标进程出现异常之后,还包括 询问是否需要清理恶意软件; 若确认清理,则执行清理恶意软件的操作; 否则,继续检测目标进程的状态。
9.一种防止登录信息被盗取的装置,其特征在于,包括 创建模块,用于通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录; 检测模块,用于在完成登录之前,监控线程检测目标进程的状态; 清理模块,用于若检测到目标进程的状态出现异常,则执行清理恶意软件的操作。
10.根据权利要求9所述的装置,其特征在于,所述检测模块,包括 获取状态子模块,用于监控线程通过调用系统接口定时检测目标进程的状态,其中获取的目标进程的状态包括以下至少一项主窗口的大小、主窗口的透明度和主窗口的坐标。
11.根据权利要求10所述的装置,其特征在于,所述检测模块,还包括 获取基准点子模块,用于在登录信息输入窗口内获取至少一个基准点;检测窗口子模块,用于通过调用系统接口检测所述基准点上是否存在其他窗口 ; 窗口判断子模块,用于若登录信息输入窗口上覆盖有其他窗口,则目标进程的状态出现异常。
12.根据权利要求10所述的装置,其特征在于,所述检测模块,还包括 大小判断子模块,用于若主窗口的大小小于大小范围,则目标进程的状态出现异常。
透明度判断子模块,用于若主窗口的透明度为完全透明,则目标进程的状态出现异常。
位置判断子模块,用于若主窗口的坐标超过位置范围,则目标进程的状态出现异常。
13.根据权利要求11至12任一所述的装置,其特征在于,所述清理模块,包括 白进程判断子模块,用于查询造成目标进程的状态异常的进程是否为白进程; 异常警告子模块,用于警告所述目标进程出现异常。
14.根据权利要求13所述的装置,其特征在于,所述清理模块,还包括 询问子模块,用于询问是否需要清理恶意软件; 清理子模块,用于执行清理恶意软件的操作。
全文摘要
本申请提供了一种防止登录信息被盗取的方法及装置,以解决现有技术在恶意软件的特征发生变化时,无法及时的对变化后的恶意软件进行查杀的问题。所述的方法包括通过启动目标进程触发并创建监控线程,其中所述目标进程用于输入登录信息完成登录;在完成登录之前,监控线程检测目标进程的状态;若检测到目标进程的状态出现异常,则执行清理恶意软件的操作。本申请以恶意软件盗取用户登录信息的方法为依据,针对恶意软件使用不同的特征但相同的获取方法来非法获取用户登录信息的特点,从根本上起到防御的作用,防止了登录信息被盗取的问题。并且每次启动目标进程都进行检测,可以更加完善的保证用户登录信息的安全。
文档编号G06F21/00GK102629308SQ20121006196
公开日2012年8月8日 申请日期2012年3月9日 优先权日2012年3月9日
发明者路健华, 郑文彬 申请人:奇智软件(北京)有限公司