[发明专利]一种防御PowerShell恶意代码执行的方法及系统有效
| 申请号: | 201611238998.4 | 申请日: | 2016-12-28 |
| 公开(公告)号: | CN106650447A | 公开(公告)日: | 2017-05-10 |
| 发明(设计)人: | 高喜宝;李柏松 | 申请(专利权)人: | 北京安天电子设备有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100080 北京市海淀*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 防御 powershell 恶意代码 执行 方法 系统 | ||
1.一种防御PowerShell恶意代码执行的方法,其特征在于,包括:
获取系统内与PowerShell.exe相关的进程链;
将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;
将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;
若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。
2.如权利要求1所述的方法,其特征在于,所述获取系统内与PowerShell.exe相关的进程链,具体为:
利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
3.如权利要求1或2所述的方法,其特征在于,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
4.如权利要求1或2所述的方法,其特征在于,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
5.一种防御PowerShell恶意代码执行的系统,其特征在于,包括:
进程链获取模块,用于获取系统内与PowerShell.exe相关的进程链;
白名单匹配模块,用于将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;
黑名单匹配模块,用于将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;
弹窗提示模块,用于若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。
6.如权利要求5所述的系统,其特征在于,所述进程链获取模块,具体用于:
利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
7.如权利要求5或6所述的系统,其特征在于,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
8.如权利要求5或6所述的系统,其特征在于,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天电子设备有限公司,未经北京安天电子设备有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611238998.4/1.html,转载请声明来源钻瓜专利网。
- 上一篇:床靠背(8866)
- 下一篇:一种可执行文件的控制方法和装置
