终端中应用程序的启动控制方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别涉及一种终端中应用程序的启动控制方法和装置。
【背景技术】
[0002]目前,操作系统为了避免受到不可信任的应用程序的侵扰,提供了一种利用组策略来对应用程序进行启动控制的方法,上述组策略中的软件限制策略可以通过软件的数字签名证书来标识允许在操作系统中运行的应用程序,其中软件的数字签名证书的相关信息记录在注册表中,例如,如果注册表中的REG_DW0RD类型的AuthenticodeEnabled注册表值不为0,则表示开启通过数字证书阻止应用程序的进程启动的策略,从而可以阻止相应的应用程序启动,来保证操作系统不受到不可信任的应用程序的侵扰。
[0003]但是,上述利用组策略来对应用程序进行启动控制的方法存在以下问题:这种方法很容易被恶意软件利用,即恶意软件会通过将合法或正常的应用程序的数字签名证书添加到软件限制策略中,造成相应的应用程序在启动时,会被操作系统阻止,从而造成启动的失败,例如,恶意软件通过将操作系统中具有防御、杀毒功能的应用程序A的数字签名证书信息添加到软件限制策略中,就会造成A的启动失败,这样使得应用程序A的防御、杀毒功能失效,导致操作系统容易受到恶意软件的攻击,从而使得整个操作系统的安全性能受到很大的威胁。
【发明内容】
[0004]本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
[0005]为此,本发明的第一个目的在于提出一种终端中应用程序的启动控制方法。该方法根据预设白名单对阻止进程启动策略对应的数字签名证书信息进行更新,保证了可受信任应用程序的正常启动,避免恶意软件对应用程序启动时的恶意阻止,提升了系统的安全性能。
[0006]本发明的第二个目的在于提出一种终端中应用程序的启动控制装置。
[0007]为了实现上述目的,本发明第一方面实施例的终端中应用程序的启动控制方法,包括:接收针对所述应用程序的启动指令,并判断所述终端中通过数字签名证书阻止进程启动的策略是否开启;如果判断所述通过数字签名证书阻止进程启动的策略已开启,则从所述终端的第一预设注册表地址中读取数字签名证书信息;以及根据预设的白名单库对读取的所述数字签名证书信息进行更新,以使所述终端的操作系统根据更新后的所述数字签名证书信息启动所述应用程序。
[0008]本发明实施例的终端中应用程序的启动控制方法,在接收针对应用程序的启动指令时,可判断终端中通过数字签名证书阻止进程启动的策略是否开启,如果已开启,则从终端的第一预设注册表地址中读取数字签名证书信息,并根据预设的白名单库对读取的数字签名证书信息进行更新,即根据预设的白名单库对阻止进程启动策略对应的数字签名证书信息进行更新,以使终端的操作系统根据更新后的数字签名证书信息启动应用程序,使得当正常或合法的应用程序的数字签名证书信息被写入到上述策略时,能够实时地检测到并删除相关记录,保证了可受信任应用程序的正常启动,避免恶意软件对应用程序启动时的恶意阻止,提升了系统的安全性能。
[0009]为了实现上述目的,本发明第二方面实施例的终端中应用程序的启动控制装置,包括:接收模块,用于接收针对所述应用程序的启动指令;判断模块,用于判断所述终端中通过数字签名证书阻止进程启动的策略是否开启;读取模块,用于在所述判断模块判断所述通过数字签名证书阻止进程启动的策略已开启时,从所述终端的第一预设注册表地址中读取数字签名证书信息;以及更新模块,用于根据预设的白名单库对读取的所述数字签名证书信息进行更新,以使所述终端的操作系统根据更新后的所述数字签名证书信息启动所述应用程序。
[0010]本发明实施例的终端中应用程序的启动控制装置,在接收模块接收到针对应用程序的启动指令时,可由判断模块判断终端中通过数字签名证书阻止进程启动的策略是否开启,如果已开启,则通过读取模块从终端的第一预设注册表地址中读取数字签名证书信息,并通过更新模块根据预设的白名单库对读取的数字签名证书信息进行更新,即根据预设的白名单库对阻止进程启动策略对应的数字签名证书信息进行更新,以使终端的操作系统根据更新后的数字签名证书信息启动应用程序,使得当正常或合法的应用程序的数字签名证书信息被写入到上述策略时,能够实时地检测到并删除相关记录,保证了可受信任应用程序的正常启动,避免恶意软件对应用程序启动时的恶意阻止,提升了系统的安全性會K。
[0011]本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
【附图说明】
[0012]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
[0013]图1是根据本发明一个实施例的终端中应用程序的启动控制方法的流程图;
[0014]图2是根据本发明一个实施例的终端中应用程序的启动控制装置的结构示意图;以及
[0015]图3是根据本发明一个具体实施例的终端中应用程序的启动控制装置的结构示意图。
【具体实施方式】
[0016]下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
[0017]下面参考附图描述根据本发明实施例的终端中应用程序的启动控制方法和装置。
[0018]可以理解,以操作系统为Microsoft Windows为例,Microsoft Windows操作系统提供软件限制策略的设计初衷是为了保护系统免受不可信任的应用程序的侵扰,但是有的恶意软件却利用了这策略,将正常软件或应用程序的数字签名证书加到该软件限制策略中,这样,使得这类数字签名证书的进程在启动时,就会被系统阻止启动。特别是像具有系统安全防护功能的软件或应用程序,如果恶意软件将这类软件或应用程序的数字签名证书信息添加到软件限制策略中,则这类软件或应用程序的相关防护进程在启动时,就会被系统阻止启动,这样使得这类软件或应用程序的防护功能不会生效,从而恶意程序就可以危害系统,使得系统处于危险之中。
[0019]为此,为了保障正常或合法的应用程序能够在操作系统上正常运行,并避免恶意软件对应用程序启动时的恶意阻止,本发明提出了一种终端中应用程序的启动控制方法。
[0020]图1是根据本发明一个实施例的终端中应用程序的启动控制方法的流程图。需要说明的是,在本发明的实施例中,终端可以是移动终端、或PC机(Personal Computer,个人计算机),该移动终端可以是手机、平板电脑、个人数字助理等具有各种操作系统的硬件设备。其中,为了方便对本发明的描述,下面将以操作系统为Microsoft Windows为例进行说明,可以理解,操作系统为Microsoft Windows只是示例,并不是对该操作系统的具体限定。
[0021]如图1所示,该终端中应用程序的启动控制方法包括:
[0022]S110,接收针对应用程序的启动指令,并判断终端中通过数字签名证书阻止进程启动的策略是否开启。
[0023]可以理解,数字签名证书(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。其中,一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。
[0024]还可以理解,进程是终端中的应用程序关于某数据集合上的一次运行活动,是终端中的操作系统进行资源分配和调度的基本单位,是操作系统结构的基础,如果某个应用程序的进程被执行,则代表该应用程序被执行。
[0025]另外,上述策略可以指的是操作系统中的软件限制策略,通过标识并指定允许哪些应用程序可以运行。可以理解,在Microsoft Windows操作系统中,提供了一种策略叫做组策略,组策略包括一种策略叫做软件限制策略,使用软件限制策略通过软件的数字签名证书来标识并指定允许哪些应用程序运行,而数字签名证书的相关信息记录在注册表中,其中注册表是Microsoft Windows操作系统中的一个重要数据库,用于存储系统和应用程序的设置信息。
[0026]具体而言,在本发明的一个实施例中,可接收用户或终端的操作系统针对应用程序输入的启动指令,比如用户单击、双击应用程序等具体的启动操作,或是直接运行应用程序的脚本,在接收到该启动指令时,可通过以下步骤来判断终端中通过数字签名证书阻止进程启动的策略是否开启:首先,读取操作系统中HKEY_LOCAL_MACHINE\S0ftware\Policies\Microsoft\Windows\safer\codeidentifiers 注册表项下 AuthenticodeEnabled注册表键的值,如果该AuthenticodeEnabled注册表键的值为0,则判断终端中通过数字签名证书阻止进程启动的策略未开启;如果该AuthenticodeEnabled注册表键的值不为0,则判断终端中通过数字签名证书阻止进程启动的策略已开启。
[0027]举例而言,用户单击移动终端上应用程序A的图标希望启动应用程序A,此时移动终端的操作系统就会读取应用程序A在操作系统中的HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ffindows\safer\codeidentifiers 注册表项下、类型为 REG_DTORD 的AuthenticodeEnabled注册表键的值,当该值不为0,如为I时,则表示终端中已开启通过数字签名证书阻止进程启动的策略,则应用程序A会被操作系统阻止启动。为了保证应用程序A能够正常启动,需继续执行步骤S120。
[0028]S120,如果判断通过数字签名证书阻止进