选地,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。因此,对于文档打开前没有启动,文档打开后请求启动的应用程序不允许启动运行,及时进行阻断。
[0019]优选地,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者shellcode。因此,如果文档存在漏洞或者shellcode等,不会因为文档被打开而感染系统。
[0020]更优选地,所述基本信息包括:名称、hash值或者调用关系。
[0021]本发明还提供了一种防御文档溢出的装置实施例,如图2所示,包括:
快照生成模块201,用于针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;
系统监控模块202,用于监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库205进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;
文档监控模块203,用于监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;
快照恢复模块204,用于当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照;
可信应用程序库205,用于存储可信应用程序的基本信息。
[0022]优选地,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。
[0023]优选地,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者
Shellcode0
[0024]更优选地,所述基本信息包括:名称、hash值或者调用关系。
[0025]如上所述,所给实施例通过在文档打开前生成系统快照,文档关闭后恢复快照的手段来保护文档和防御系统感染;当发现文档打开操作后,则监控系统操作和文档的行为操作,发现存在有操作企图启动某些应用程序,则判断所述应用程序是否在可信应用程序库中,若存在则允许启动运行,否则阻断其运行;若发现文档自身有可疑行为,则阻断其执行。
[0026]综上,传统的文档漏洞或者恶意代码检测方法,是判断文档是否存在漏洞或者恶意代码,若存在则进行查杀;而发明所提供的实施例允许用户放心打开并浏览系统内的文档,不会感染任何已知或者未知的威胁,不仅对用户的安全意识本身没有过高要求,而且能够有效防御APT攻击和钓鱼攻击等,适用于企业或者内部对文档安全有特殊要求的部门。
[0027]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种防御文档溢出的方法,其特征在于,包括: 针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成; 监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行; 监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控; 当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。2.如权利要求1所述的方法,其特征在于,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。3.如权利要求1所述的方法,其特征在于,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者shel Icode。4.如权利要求1或2所述的方法,其特征在于,所述基本信息包括:名称、hash值或者调用关系。5.一种防御文档溢出的装置,其特征在于,包括: 快照生成模块,用于针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成; 系统监控模块,用于监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行; 文档监控模块,用于监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控; 快照恢复模块,用于当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照; 可信应用程序库,用于存储可信应用程序的基本信息。6.如权利要求5所述的装置,其特征在于,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。7.如权利要求5所述的装置,其特征在于,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者shelIcode。8.如权利要求5或6所述的装置,其特征在于,所述基本信息包括:名称、hash值或者调用关系。
【专利摘要】本发明公开了一种防御文档溢出的方法及装置,包括:针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。本发明所述技术方案能够有效防御恶意代码通过文档感染系统的行为。
【IPC分类】G06F21/55
【公开号】CN105653939
【申请号】
【发明人】刘佳男, 李柏松
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年6月8日
【申请日】2015年7月13日