本发明专利技术提出了一种光标处理方法、装置和终端设备,其中,方法包括:监测操作系统内核提供的光标销毁函数是否被调用;如果监测到当前进程调用光标销毁函数销毁系统共享光标,运行预设的与光标销毁函数对应的钩子函数;检测当前进程的合法性;如果检测获知当前进程合法,则允许当前进程调用光标销毁函数。该方法避免了光标被恶意销毁,保护了操作系统的安全。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种光标处理方法、装置和终端设备。
技术介绍
通常,操作系统会为用户提供光标销毁函数,可以销毁指定的光标。然而,有些指定的光标是系统共享光标,有些恶意程序会利用该光标销毁函数,将是系统共享光标的指定光标销毁,使得其他任意应用程序不能使用光标。
技术实现思路
本专利技术的目的旨在至少在一定程度上解决上述的技术问题之一。为此,本专利技术的第一个目的在于提出一种光标处理方法,该方法避免了光标被恶意销毁,保护了操作系统的安全。本专利技术的第二个目的在于提出一种光标处理装置。本专利技术的第三个目的在于提出一种终端设备。本专利技术的第四个目的在于提出另一种终端设备。为了实现上述目的,本专利技术第一方面实施例提出了一种光标处理方法,包括:监测操作系统内核提供的光标销毁函数是否被调用;如果监测到当前进程调用所述光标销毁函数销毁系统共享光标,运行预设的与所述光标销毁函数对应的钩子函数;检测当前进程的合法性;如果检测获知当前进程合法,则允许当前进程调用所述光标销毁函数。本专利技术实施例的光标处理方法,首先监测操作系统内核提供的光标销毁函数是否被调用,接着在监测到当前进程调用光标销毁函数时,运行预设的与光标销毁函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,并在检测获知当前进程合法时,允许当前进程调用光标销毁函数。由此,避免了光标被恶意销毁,保护了操作系统的安全。另外,本专利技术实施例的光标处理方法还具有如下附加的技术特征:在本专利技术的一个实施例中,还包括:如果检测获知当前进程非法,则拒绝当前进程调用所述光标销毁函数。在本专利技术的一个实施例中,在所述监测操作系统内核提供的光标销毁函数是否被调用之前,还包括:在具有网络安全应用的防御驱动中设置与所述光标销毁函数对应的钩子函数。在本专利技术的一个实施例中,所述检测当前进程的合法性,包括:根据预设的特征库检测当前进程的合法性。在本专利技术的一个实施例中,所述特征库包括:合法进程的白名单,和/或,非法进程的黑名单。为了实现上述目的,本专利技术第二方面实施例提出了一种光标处理装置,包括:监测模块,用于监测操作系统内核提供的光标销毁函数是否被调用;运行模块,用于在监测到当前进程调用所述光标销毁函数,运行预设的与所述光标销毁函数对应的钩子函数;检测模块,用于检测当前进程的合法性;处理模块,用于在检测获知当前进程合法时,允许当前进程调用所述光标销毁函数。本专利技术实施例的光标处理装置,首先监测模块监测操作系统内核提供的光标销毁函数是否被调用,接着运行模块在监测到当前进程调用光标销毁函数时,运行预设的与光标销毁函数对应的钩子函数,以捕获当前进程并通过检测模块检测当前进程的合法性,处理模块并在检测获知当前进程合法时,允许当前进程调用光标销毁函数。由此,避免了光标被恶意销毁,保护了操作系统的安全。另外,本专利技术实施例的光标处理装置还具有如下附加的技术特征:在本专利技术的一个实施例中,所述处理模块还用于:在检测获知当前进程非法时,拒绝当前进程调用所述光标销毁函数。在本专利技术的一个实施例中,还包括:设置模块,用于在具有网络安全应用的防御驱动中设置与所述光标销毁函数对应的钩子函数。在本专利技术的一个实施例中,所述检测模块用于:根据预设的特征库检测当前进程的合法性。在本专利技术的一个实施例中,所述特征库包括:合法进程的白名单,和/或,非法进程的黑名单。为了实现上述目的,本专利技术第三方面实施例提出了一种终端设备,包括本专利技术第二方面实施例所述的光标处理装置。本专利技术实施例的终端设备,首先监测操作系统内核提供的光标销毁函数是否被调用,接着在监测到当前进程调用光标销毁函数时,运行预设的与光标销毁函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,并在检测获知当前进程合法时,允许当前进程调用光标销毁函数。由此,避免了光标被恶意销毁,保护了操作系统的安全。为了实现上述目的,本专利技术第四方面实施例提出了另一种终端设备,包括以下一个或多个组件:处理器,存储器,电源电路,多媒体组件,音频组件,输入/输出(I/O)的接口,传感器组件,以及通信组件;其中,电路板安置在壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为终端设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:监测操作系统内核提供的光标销毁函数是否被调用;如果监测到当前进程调用所述光标销毁函数销毁系统共享光标,运行预设的与所述光标销毁函数对应的钩子函数;检测当前进程的合法性;如果检测获知当前进程合法,则允许当前进程调用所述光标销毁函数。本专利技术实施例的终端设备,首先监测操作系统内核提供的光标销毁函数是否被调用,接着在监测到当前进程调用光标销毁函数时,运行预设的与光标销毁函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,并在检测获知当前进程合法时,允许当前进程调用光标销毁函数。由此,避免了光标被恶意销毁,保护了操作系统的安全。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:图1是根据本专利技术一个实施例的光标处理方法的流程图;图2是根据本专利技术另一个实施例的光标处理方法的流程图;图3是根据本专利技术一个实施例的光标处理装置的结构示意图;图4是根据本专利技术另一个实施例的光标处理装置的结构示意图;图5是根据本专利技术一个实施例的终端设备的结构示意图;以及图6是根据本专利技术另一个实施例的终端设备的结构示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本专利技术,而不能理解为对本专利技术的限制。下面参考附图描述本专利技术实施例的光标处理方法、装置和终端设备。图1是根据本专利技术一个实施例的光标处理方法的流程图。如图1所示,该光标处理方法可包括:S101,监测操作系统内核提供的光标销毁函数是否被调用。S102,如果监测到当前进程调用光标销毁函数销毁系统共享光标,运行预设的与光标销毁函数对应的钩子函数。通常,操作系统内核会为用户提供光标销毁函数,通过该光标销毁函数可以将指定的光标销毁,满足某些应用的运行需要。其中,根据具体应用场景的不同,操作系统内核提供的光标销毁函数不同。举例而言,当操作系统提供的光标销毁函数是DestroyCursor时,Word文档通过调用该DestroyCursor函数对应的内核函数NtUserDestroyCursor,将Word文档中的光标销毁,以便于用户在该文档中不能使用光标,输入文字。然而,有些执行恶意任务的恶意进程,比如病毒、蠕虫和特洛伊木马进程等,可用过调用操作系统内核提供的光标销毁函数,将是系统共享光标的指定光标销毁,从而导致其他任意应用程序不能使用光标,造成对操作系统的破坏。因此,为了避免恶意进程通过调用光标销毁函数对光标进行非法销毁,在允许调用进程使用光标销毁函数之前,需要先判断调用光标销毁函数进程的合法性,从而本文档来自技高网...
【技术保护点】
一种光标处理方法,其特征在于,包括以下步骤:监测操作系统内核提供的光标销毁函数是否被调用;如果监测到当前进程调用所述光标销毁函数销毁系统共享光标,运行预设的与所述光标销毁函数对应的钩子函数;检测当前进程的合法性;如果检测获知当前进程合法,则允许当前进程调用所述光标销毁函数。
【技术特征摘要】
1.一种光标处理方法,其特征在于,包括以下步骤:监测操作系统内核提供的光标销毁函数是否被调用;如果监测到当前进程调用所述光标销毁函数销毁系统共享光标,运行预设的与所述光标销毁函数对应的钩子函数;检测当前进程的合法性;如果检测获知当前进程合法,则允许当前进程调用所述光标销毁函数。2.如权利要求1所述的方法,其特征在于,还包括:如果检测获知当前进程非法,则拒绝当前进程调用所述光标销毁函数。3.如权利要求1所述的方法,其特征在于,在所述监测操作系统内核提供的光标销毁函数是否被调用之前,还包括:在具有网络安全应用的防御驱动中设置与所述光标销毁函数对应的钩子函数。4.如权利要求3所述的方法,其特征在于,所述检测当前进程的合法性,包括:根据预设的特征库检测当前进程的合法性。5.如权利要求4所述的方法,其特征在于,所述特征库包括:合法进程的白名单,和/或,非法进程的黑名单。6.一种光标处理装置,其特征在于,包括以下步骤:监测模块,用于监测操作系统内核提供的光标销毁函数是否被调用;运行模块,用于在监测到当前进程调用所述光标销毁函数销毁系统共享光标时,运行预设的与所述光标销毁函数对应的钩子函数;检测模块,用于检测当前进程的合法性;处理模块,用于在检测获知当前进程合法时,允许当前进程调用所述光标销毁函数。7.如权利要求6所述的装置,其特征在于,所述处...
【专利技术属性】
技术研发人员:杨峰,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。