专利名称:一种针对网络浏览器的恶意插件的免疫方法
技术领域:
本发明涉及网络安全技术领域,特别涉及一种针对网络浏览器的恶意插件的免疫 方法。
背景技术:
目前,针对网络浏览器的恶意插件通过释放文件、写入注册表的方式,使自身被网 络浏览器加载。恶意插件被加载后可以弹出广告、窃取用户隐私数据、盗取用户密码。现有 技术通过对已知插件的分析进行特征提取,实现对插件及其衍生物的检测和清理,能够较 为彻底的清除浏览器恶意插件及其衍生物。但无法预防恶意插件重新安装,特别是随其他 软件捆绑进入系统。于是出现反复清理,反复检测出恶意插件的现象。
发明内容
针对以上不足,本发明要解决的技术问题是提供一种针对网络浏览器的恶意插件 的免疫方法,该方法能够有效阻止已知恶意插件安装。为了解决上述技术问题,本发明提供一种针对网络浏览器的恶意插件的免疫方 法,包括分析已知恶意插件,确定免疫位置;对免疫位置实施访问限制,禁止访问免疫位置;允许访问非免疫位置。进一步的,步骤b中,所述实施访问限制的方式包括但不限于bl、通过对注册表访问权限进行设置,阻止对免疫位置键值的访问;b2、通过对NTFS文件系统中的文件访问权限进行设置,阻止对免疫位置文件的访 问;b3、通过对FAT文件系统中的文件内部数据结构进行修改,阻止对免疫位置文件 的访问;b4、通过驱动程序阻止对免疫位置的访问;b5、通过硬件设备组织对免疫位置的访问。本发明提供的方法可以实现对已知恶意插件的免疫和预防,能够有效阻止浏览器 恶意插件被安装到系统。对于已经被恶意插件感染的计算机,可以使用传统的方式清除恶 意插件后进行免疫,达到杜绝反复清理和反复检测出恶意插件的目的。
图1为本发明所述的针对网络浏览器的恶意插件的免疫方法的具体实施图。
具体实施例方式下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
本发明的针对网络浏览器的恶意插件的免疫方法如图1所示,包括如下步骤分析已知恶意插件,确定免疫位置;对免疫位置实施访问限制,禁止访问免疫位置;允许访问非免疫位置。上述步骤B中,所述实施访问限制的方式包括但不限于通过对注册表访问权限进行设置,阻止对免疫位置键值的访问;通过对NTFS文件系统中的文件访问权限进行设置,阻止对免疫位置文件的访问;通过对FAT文件系统中的文件内部数据结构进行修改,阻止对免疫位置文件的访 问;通过驱动程序阻止对免疫位置的访问;通过硬件设备组织对免疫位置的访问。下面用本发明的三个应用实例进一步加以说明。以利用注册表访问权限控制ACUsystem access-control list)实施免疫为例假设经人工分析插件的CLSID 为0958BFE2-0B32-DB04-80FC-3F165E4F5062,免 疫位置为HKEY_CLASSES_R00T\CLSID\{0958BFE2-0B32-DB04-80FC-3F165E4F5062}。本应 用实施例的具体步骤如下建立注册表键HKEY_CLASSES_R00T\CLSID\ {0958BFE2-0B32-DB04-80FC-3F165E4F 5062};实施访问限制使用API (例如AtlGetDaCl)获取当前注册表键值的访问控制列表;使用API (例如AtlSetDaCl)将步骤A中建立的键权限设置为所有用户(包括管 理员帐户、系统帐户)只读、写拒绝、无特殊权限。禁止访问免疫位置,则实现免疫成功。以注册表监视方式(旁路注册表监控)实施免疫为例假设经人工分析插件的CLSID 为0958BFE2-0B32-DB04-80FC-3F165E4F5062,免 疫位置为HKEY_CLASSES_R00T\CLSID\ {0958BFE2-0B32-DB04-80FC-3F165E4F5062}。本应用实施例的具体步骤如下使用API (例如RegNotifyChangeKeyValue 函数)对 HKEY_CLASSES_R00T\CLSID 的子键创建进行监视;当发生子键创建时,检测键是否为{0958BFE2-0B32-DB04-80FC-3F165E4F5062};禁止访问免疫位置,则实现免疫成功。以利用文件访问权限控制ACL(system access-control list)实施免疫为例假设经人工分析插件的CLSID 为0958BFE2-0B32-DB04-80FC-3F165E4F506,免疫 位置为C:\Programe files\Coolbar\a.dll。本应用实施例的具体步骤如下建立文件夹 C APrograme files\Coolbar\ 禾口 C :\Programe files\Coolbar\a. dll ;实施访问限制使用API (例如AtlGetDaCl)获取步骤A中建立的文件和文件夹的访问控制列
4表;使用API (例如AtlGetDaCl)将步骤A中建立的文件和文件夹权限设置为所有用 户(包括管理员帐户、系统帐户)只读、写拒绝、无特殊权限。禁止访问免疫位置,则实现免疫成功。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟 悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变 形都应属于本发明所附的权利要求的保护范围。
权利要求
一种针对网络浏览器的恶意插件的免疫方法,其特征在于,包括a、分析已知恶意插件,确定免疫位置;b、对免疫位置实施访问限制,禁止访问免疫位置;c、允许访问非免疫位置。
2.如权利要求1所述的针对网络浏览器的恶意插件的免疫方法,其特征在于步骤b 中,所述实施访问限制的方式包括但不限于bl、通过对注册表访问权限进行设置,阻止对免疫位置键值的访问;b2、通过对NTFS文件系统中的文件访问权限进行设置,阻止对免疫位置文件的访问;b3、通过对FAT文件系统中的文件内部数据结构进行修改,阻止对免疫位置文件的访问;b4、通过驱动程序阻止对免疫位置的访问; b5、通过硬件设备组织对免疫位置的访问。
全文摘要
本发明公开了一种针对网络浏览器的恶意插件的免疫方法;方法包括分析已知恶意插件,提取免疫位置;对免疫位置实施访问限制,禁止访问免疫位置;允许访问非免疫位置。本发明提供的方法可以实现对已知恶意插件的免疫和预防,能够有效阻止浏览器恶意插件被安装到系统。
文档编号G06F21/22GK101894243SQ20101020818
公开日2010年11月24日 申请日期2010年6月24日 优先权日2010年6月24日
发明者关墨辰 申请人:北京安天电子设备有限公司