專利名稱:一種針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫 方法。
背景技術(shù):
目前,針對網(wǎng)絡(luò)瀏覽器的惡意插件通過釋放文件、寫入注冊表的方式,使自身被網(wǎng) 絡(luò)瀏覽器加載。惡意插件被加載后可以彈出廣告、竊取用戶隱私數(shù)據(jù)、盜取用戶密碼。現(xiàn)有 技術(shù)通過對已知插件的分析進行特征提取,實現(xiàn)對插件及其衍生物的檢測和清理,能夠較 為徹底的清除瀏覽器惡意插件及其衍生物。但無法預(yù)防惡意插件重新安裝,特別是隨其他 軟件捆綁進入系統(tǒng)。于是出現(xiàn)反復(fù)清理,反復(fù)檢測出惡意插件的現(xiàn)象。
發(fā)明內(nèi)容
針對以上不足,本發(fā)明要解決的技術(shù)問題是提供一種針對網(wǎng)絡(luò)瀏覽器的惡意插件 的免疫方法,該方法能夠有效阻止已知惡意插件安裝。為了解決上述技術(shù)問題,本發(fā)明提供一種針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方 法,包括分析已知惡意插件,確定免疫位置;對免疫位置實施訪問限制,禁止訪問免疫位置;允許訪問非免疫位置。進一步的,步驟b中,所述實施訪問限制的方式包括但不限于bl、通過對注冊表訪問權(quán)限進行設(shè)置,阻止對免疫位置鍵值的訪問;b2、通過對NTFS文件系統(tǒng)中的文件訪問權(quán)限進行設(shè)置,阻止對免疫位置文件的訪 問;b3、通過對FAT文件系統(tǒng)中的文件內(nèi)部數(shù)據(jù)結(jié)構(gòu)進行修改,阻止對免疫位置文件 的訪問;b4、通過驅(qū)動程序阻止對免疫位置的訪問;b5、通過硬件設(shè)備組織對免疫位置的訪問。本發(fā)明提供的方法可以實現(xiàn)對已知惡意插件的免疫和預(yù)防,能夠有效阻止瀏覽器 惡意插件被安裝到系統(tǒng)。對于已經(jīng)被惡意插件感染的計算機,可以使用傳統(tǒng)的方式清除惡 意插件后進行免疫,達到杜絕反復(fù)清理和反復(fù)檢測出惡意插件的目的。
圖1為本發(fā)明所述的針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法的具體實施圖。
具體實施例方式下面將結(jié)合附圖及實施例對本發(fā)明的技術(shù)方案進行更詳細的說明。
本發(fā)明的針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法如圖1所示,包括如下步驟分析已知惡意插件,確定免疫位置;對免疫位置實施訪問限制,禁止訪問免疫位置;允許訪問非免疫位置。上述步驟B中,所述實施訪問限制的方式包括但不限于通過對注冊表訪問權(quán)限進行設(shè)置,阻止對免疫位置鍵值的訪問;通過對NTFS文件系統(tǒng)中的文件訪問權(quán)限進行設(shè)置,阻止對免疫位置文件的訪問;通過對FAT文件系統(tǒng)中的文件內(nèi)部數(shù)據(jù)結(jié)構(gòu)進行修改,阻止對免疫位置文件的訪 問;通過驅(qū)動程序阻止對免疫位置的訪問;通過硬件設(shè)備組織對免疫位置的訪問。下面用本發(fā)明的三個應(yīng)用實例進一步加以說明。以利用注冊表訪問權(quán)限控制ACUsystem access-control list)實施免疫為例假設(shè)經(jīng)人工分析插件的CLSID 為0958BFE2-0B32-DB04-80FC-3F165E4F5062,免 疫位置為HKEY_CLASSES_R00T\CLSID\{0958BFE2-0B32-DB04-80FC-3F165E4F5062}。本應(yīng) 用實施例的具體步驟如下建立注冊表鍵HKEY_CLASSES_R00T\CLSID\ {0958BFE2-0B32-DB04-80FC-3F165E4F 5062};實施訪問限制使用API (例如AtlGetDaCl)獲取當前注冊表鍵值的訪問控制列表;使用API (例如AtlSetDaCl)將步驟A中建立的鍵權(quán)限設(shè)置為所有用戶(包括管 理員帳戶、系統(tǒng)帳戶)只讀、寫拒絕、無特殊權(quán)限。禁止訪問免疫位置,則實現(xiàn)免疫成功。以注冊表監(jiān)視方式(旁路注冊表監(jiān)控)實施免疫為例假設(shè)經(jīng)人工分析插件的CLSID 為0958BFE2-0B32-DB04-80FC-3F165E4F5062,免 疫位置為HKEY_CLASSES_R00T\CLSID\ {0958BFE2-0B32-DB04-80FC-3F165E4F5062}。本應(yīng)用實施例的具體步驟如下使用API (例如RegNotifyChangeKeyValue 函數(shù))對 HKEY_CLASSES_R00T\CLSID 的子鍵創(chuàng)建進行監(jiān)視;當發(fā)生子鍵創(chuàng)建時,檢測鍵是否為{0958BFE2-0B32-DB04-80FC-3F165E4F5062};禁止訪問免疫位置,則實現(xiàn)免疫成功。以利用文件訪問權(quán)限控制ACL(system access-control list)實施免疫為例假設(shè)經(jīng)人工分析插件的CLSID 為0958BFE2-0B32-DB04-80FC-3F165E4F506,免疫 位置為C:\Programe files\Coolbar\a.dll。本應(yīng)用實施例的具體步驟如下建立文件夾 C APrograme files\Coolbar\ 禾口 C :\Programe files\Coolbar\a. dll ;實施訪問限制使用API (例如AtlGetDaCl)獲取步驟A中建立的文件和文件夾的訪問控制列
4表;使用API (例如AtlGetDaCl)將步驟A中建立的文件和文件夾權(quán)限設(shè)置為所有用 戶(包括管理員帳戶、系統(tǒng)帳戶)只讀、寫拒絕、無特殊權(quán)限。禁止訪問免疫位置,則實現(xiàn)免疫成功。當然,本發(fā)明還可有其他多種實施例,在不背離本發(fā)明精神及其實質(zhì)的情況下,熟 悉本領(lǐng)域的技術(shù)人員當可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變 形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護范圍。
權(quán)利要求
一種針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法,其特征在于,包括a、分析已知惡意插件,確定免疫位置;b、對免疫位置實施訪問限制,禁止訪問免疫位置;c、允許訪問非免疫位置。
2.如權(quán)利要求1所述的針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法,其特征在于步驟b 中,所述實施訪問限制的方式包括但不限于bl、通過對注冊表訪問權(quán)限進行設(shè)置,阻止對免疫位置鍵值的訪問;b2、通過對NTFS文件系統(tǒng)中的文件訪問權(quán)限進行設(shè)置,阻止對免疫位置文件的訪問;b3、通過對FAT文件系統(tǒng)中的文件內(nèi)部數(shù)據(jù)結(jié)構(gòu)進行修改,阻止對免疫位置文件的訪問;b4、通過驅(qū)動程序阻止對免疫位置的訪問; b5、通過硬件設(shè)備組織對免疫位置的訪問。
全文摘要
本發(fā)明公開了一種針對網(wǎng)絡(luò)瀏覽器的惡意插件的免疫方法;方法包括分析已知惡意插件,提取免疫位置;對免疫位置實施訪問限制,禁止訪問免疫位置;允許訪問非免疫位置。本發(fā)明提供的方法可以實現(xiàn)對已知惡意插件的免疫和預(yù)防,能夠有效阻止瀏覽器惡意插件被安裝到系統(tǒng)。
文檔編號G06F21/22GK101894243SQ20101020818
公開日2010年11月24日 申請日期2010年6月24日 優(yōu)先權(quán)日2010年6月24日
發(fā)明者關(guān)墨辰 申請人:北京安天電子設(shè)備有限公司