技術領域

本申請涉及信息安全的技術領域，特別是涉及一種可疑進程檢測的方法和一種可疑進程檢測的裝置。

背景技術

計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機一旦染上病毒，通常表現為其文件被增加、刪除、改變名稱或屬性、移動到其它目錄下，病毒對計算機文件的這些操作，可能會導致正常的程序無法運行、計算機操作系統崩潰、計算機被遠程控制、用戶信息被盜用等一系列的問題。

目前，上網用戶比較容易感染的計算機病毒就是“木馬”。木馬是指利用計算機程序漏洞侵入后竊取文件的程序。它是一種具有隱藏性的、自發性的可被用來進行惡意行為的程序。歷史上對計算機木馬的定義是，試圖以有用程序的假面具欺騙用戶允許其運行的一類滲透。請注意，過去的木馬確實是這樣，但現在它們已無需偽裝自己。它們唯一的目的就是盡可能輕松地滲透并完成其惡意目標。“木馬”已成為一個通用詞，用來形容不屬于任何特定類別的所有滲透。

木馬技術發展至今，最為常見的就是網頁木馬，網頁木馬是網頁惡意軟件威脅的罪魁禍首，它表面上偽裝成普通的網頁文件或是將惡意的代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。網頁木馬的實質是利用漏洞向用戶傳播木馬下載器，準確地說，網頁木馬并不是木馬程序，而應該稱為網頁木馬“種植器”，也即一種通過攻擊瀏覽器或瀏覽器外掛程序(目標通常是IE瀏覽器和ActiveX程序)的漏洞，向目標用戶機器植入木馬、病毒、密碼盜取等惡意程序的手段。

網頁木馬實際上是一個HTML網頁，與其它網頁不同的是該網頁是黑客精心制作的，用戶一旦訪問了該網頁就會中木馬。為什么說是黑客精心制作的呢？因為嵌入在這個網頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網絡上的木馬并運行(安裝)這個木馬，也就是說，這個網頁能下載木馬到本地并運行(安裝)下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網頁，下載過程和運行(安裝)過程就自動開始。

為了保證計算機的安全運行，現有技術中，各種安全軟件提出了針對木馬的檢測及攔截技術，現有的安全軟件進行檢測和攔截的原理是，通過提取病毒特征碼建立病毒庫，當用戶觸發檢測時，將用戶計算機中的指定文件與病毒庫中的特征碼相比較，以判斷是否為病毒，若是病毒，則進行隔離或刪除。然而，由于病毒庫并非實時更新，用戶觸發病毒檢測也是滯后的，采用這種現有技術極易出現病毒誤報和漏報和問題。例如，用戶通過瀏覽器訪問一個被掛了木馬的網站(掛馬網站)，瀏覽器進程會下載木馬程序并且在用戶不知情的情況下執行，由于現有的安全軟件無法實時偵測到這種情況，此時將不可避免地導致木馬程序在用戶設備中運行，盜用其賬號密碼等資料，從而導致用戶產生損失。尤其是對于新型病毒而言，即使用戶在訪問掛馬網站過后觸發了木馬檢測過程，但由于其未收錄在病毒庫中，木馬仍無法檢測出來。

因此，目前需要本領域技術人員迫切解決的一個技術問題就是：提出一種全新的可疑進程檢測的機制，用以對可疑進程進行全面、有效、準確的識別，提高用戶上網的安全性。

發明內容

本申請所要解決的技術問題是提供一種可疑進程檢測的方法和裝置，用以對可疑進程進行全面、有效、準確的識別，提高用戶上網的安全性。

為了解決上述問題，本申請公開了一種可疑進程檢測的方法，包括：

獲取瀏覽器中各運行進程的第一特征數據，所述第一特征數據包括進程的可執行文件的哈希值和數字簽名；

采用所述第一特征數據在預置的第一白名單數據庫中進行匹配，所述第一白名單數據庫中包括可信的文件哈希值和可信的文件數字簽名；

若某個進程的第一特征數據不在所述預置的第一白名單數據庫中，則判定該進程為可疑進程。

優選地，所述瀏覽器中各運行進程包括瀏覽器正在啟動的進程以及瀏覽器中已啟動的進程。

優選地，所述獲取瀏覽器中各運行進程的第一特征數據的步驟包括：

獲取瀏覽器中各運行進程的可執行文件的路徑；

從所述路徑提取相應的可執行文件；

讀取所述可執行文件的內容計算哈希值；

以及，

提取所述可執行文件的數字簽名。

優選地，所述數字簽名采用如下方式生成：

1)對要簽名的可執行文件創建hash值；

2)使用發布者的私鑰來加密上述hash值；