技術領域

本發明涉及惡意網頁檢測技術領域，特別是涉及檢測惡意網頁的方法及裝置。

背景技術

隨著計算機應用的日益普及，包括病毒、木馬在內的惡意程序的數量也迅速增長，其中的木馬程序是一類可以通過在用戶的計算機上運行，進而竊取用戶文件、隱私、賬戶等信息，有的甚至還可以讓黑客遠程控制用戶電腦的惡意程序。相比較傳統的單純以破壞計算機設備為目的的病毒，木馬對計算機用戶的侵害行為更具有獲取利益的目的性，其竊取信息的行為常常會給用戶造成巨大的損失，因此木馬程序的危害也更大。惡意程序可以通過很多傳播途徑來侵害用戶的電腦，例如便攜的移動介質，如閃存盤，光盤等，而隨著計算機網絡技術的廣泛應用，互聯網逐漸成為惡意程序傳播的主要途徑之一，黑客或惡意程序傳播者將木馬等惡意程序文件偽裝成其他類型文件，并引誘用戶點擊和下載，而惡意程序一旦被下載到用戶計算機并成功運行，黑客或惡意程序傳播者就可以利用這些惡意程序，進行破壞用戶計算機，竊取用戶個人信息等不法行為。

利用操作系統以及應用軟件的漏洞實施攻擊，是使惡意程序在用戶計算機上成功植入和運行的最主要手段之一。漏洞是指操作系統軟件或應用軟件在邏輯設計上的缺陷或在編寫時產生的錯誤。這些缺陷或錯誤往往可以被黑客利用來植入木馬等惡意程序，侵害或控制甚至破壞用戶計算機軟硬件系統，或者竊取用戶的重要資料和信息。漏洞問題會隨著操作系統或應用軟件的發布，以及用戶的對操作系統或應用軟件的深入研究和使用逐漸暴露出來。被發現的漏洞也會被操作系統或應用軟件的提供者通過發布補丁軟件等方式修補，或在以后發布的新版系統或軟件升級中得以糾正。然而，在新版系統或應用軟件糾正了舊版本中的漏洞的同時，也有可能會引入一些新的漏洞和錯誤；同時，對漏洞的修補在時間上具有一定的滯后性；以及實際應用中，漏洞補丁或者是新版系統或軟件的安裝并不能覆蓋所有的用戶，導致了現實的情況是，舊的系統漏洞不斷消失，新的系統漏洞不斷出現，系統漏洞和利用系統漏洞入侵用戶計算機的問題也將長期存在。而隨著互聯網的發展，通過互聯網傳播的惡意程序與日俱增，當用戶點擊惡意網頁時，利用用戶計算機的漏洞進行攻擊，進而觸發惡意代碼的運行，已成為因此惡意程序傳播的主要方式之一，因此迫切需要本領域技術人員解決的技術問題就在于，提供一種檢測惡意網頁的方法，能夠有效的對利用系統漏洞攻擊用戶計算機，并向用戶計算機植入并運行惡意程序的惡意網頁進行檢測，進而保護用戶的計算機系統。

發明內容

本發明提供了檢測惡意網頁的方法及裝置，能夠有效的對利用系統漏洞攻擊用戶計算機，并向用戶計算機植入并運行惡意程序的惡意網頁進行檢測，進而保護用戶的計算機系統。

本發明提供了如下方案：

一種檢測惡意網頁的方法，包括：

對通過網頁植入惡意程序以及運行惡意程序過程中可能調用的全部應用程序編程接口API函數進行監控；

當監控到所述全部API函數中有API函數被調用時，對被調用API函數的運行狀態信息進行檢測，以便判斷對所述被調用API函數的調用是否合法；

如果存在不合法的API函數調用，則確定當前通過瀏覽器進程打開的網頁中存在惡意網頁。

可選的，所述植入惡意程序以及運行惡意程序過程中可能調用的全部應用程序編程接口API函數包括：惡意指令代碼Shellcode在植入惡意程序以及運行惡意程序過程中可能調用的全部API函數。

可選的，所述植入惡意程序以及運行惡意程序過程中可能調用的全部API函數包括：

文件操作類API函數、網絡請求下載類API函數以及執行命令類API函數。

可選的，所述當監控到所述API函數被調用時，對所述API的運行狀態信息進行檢測，以便判斷所述API函數的調用是否合法，包括：

當監控到所述API函數被調用時，檢測所述API函數的返回地址內存頁屬性，如果所述API函數的返回地址內存頁屬性為不可執行屬性，則判定所述API函數的調用不合法。

可選的，所述當監控到所述API函數被調用時，對所述API的運行狀態信息進行檢測，以便判斷所述API函數的調用是否合法，包括：

當監控到所述API函數被調用時，檢測所述API函數的返回地址是否在所屬模塊的加載范圍，如果所述API函數的返回地址不在所屬模塊的加載范圍，則判定所述API函數的調用不合法。

可選的，所述對植入惡意程序以及運行惡意程序過程中可能調用的全部API函數進行監控，包括：

對植入惡意程序以及運行惡意程序過程中可能調用的不同版本的全部API函數進行監控。