[发明专利]一种程序处理方法和系统

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种程序处理方法和系统。

背景技术

恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒（batch，windows shell，java等）、木马、犯罪软件、间谍软件和广告软件等等，都是一些可以称之为恶意程序的例子。

现今全球恶意程序数量呈几何级增长，为了适应恶意程序的更新速度，以快速地识别和查杀恶意程序，目前普遍利用主动防御技术查杀恶意程序。主动防御技术是基于程序的行为进行自主分析判断的实时防护技术，其从最原始的定义出发，直接将程序的行为作为判断恶意程序的依据，进而衍生出通过在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒等方式来判别、拦截恶意程序的行为，从而在一定程度上达到保护客户端设备的目的。

但是，为了尽可能减小对程序性能的影响，主动防御技术只对程序的exe文件进行检测，而不检查程序加载的动态链接库（Dynamic Link Library，DLL）文件。因此，一些恶意程序就利用这一点，通过DLL劫持技术将该恶意程序的DLL文件与可信任的白名单中的程序（例如操作系统自带的程序）打包在一起，当用户选择执行该白名单中的程序时，其中的恶意程序的DLL文件就会被加载，从而使主动防御技术不能成功拦截该恶意程序。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的程序处理系统和相应的程序处理方法。

依据本发明的一个方面，提供了一种程序处理方法，包括：

当检测到待执行程序创建进程时，获取所述待执行程序的特征信息；

将所述待执行程序的特征信息上传至服务器，由服务器将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果；

接收所述服务器返回的匹配结果，并依据所述匹配结果确定所述待执行程序是否存在被劫持的DLL文件。

本发明实施例中，程序处理方法还包括：

若存在，则通过服务器对所述被劫持的DLL文件进行查杀；

依据服务器查杀结果对所述待执行程序执行相应的操作。

本发明实施例中，匹配结果为所述待执行程序需要检查的DLL文件信息，

所述依据所述匹配结果确定所述待执行程序是否存在被劫持的DLL文件，包括：

判断指定目录下是否存在所述需要检查的DLL文件信息，若存在，则确定所述待执行程序存在被劫持的DLL文件；其中，所述被劫持的DLL文件为指定目录下存在的DLL文件，所述指定目录为当前目录或者指定的相对目录。

本发明实施例中，云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定DLL文件信息。

本发明实施例中，由服务器将所述待执行程序的特征信息与预先设置的云端鉴别条件进行匹配，得到匹配结果，包括：

通过服务器将所述待执行程序的特征信息与所述特定程序匹配条件进行匹配；

通过服务器获取满足相匹配的特定程序匹配条件后需要检查的特定DLL文件信息；

将所述特定DLL文件信息作为所述待执行程序需要检查的DLL文件信息。

本发明实施例中，特定程序匹配条件包括以下信息中的至少一种：

文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及进程的命令行信息、进程路径信息和父进程路径信息；

待执行程序的特征信息包括以下信息中的至少一种：

待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息，以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。

本发明实施例中，在通过服务器对所述被劫持的DLL文件进行查杀之前，还包括：

获取所述待执行程序对应的EXE文件；

将所述待执行程序对应的EXE文件的信息和所述被劫持的DLL文件的信息上传至服务器；

所述通过服务器对所述被劫持的DLL文件进行查杀，包括：

通过服务器获取所述EXE文件的等级和所述被劫持的DLL文件的等级，所述等级包括安全等级、未知等级、可疑/高度可疑等级、以及恶意等级；