技術領域

本發明涉及網絡安全技術領域，具體涉及一種攔截網頁攻擊的方法、裝置和客戶端設備。

背景技術

網頁木馬攻擊是當前最流行的漏洞攻擊方式之一，網頁木馬攻擊的過程一般是：攻擊者通過javascript操作瀏覽器的堆內存，將惡意代碼shellcode寫入瀏覽器的堆內存地址，通過緩沖區溢出漏洞改變程序的執行流程，使得瀏覽器堆內存中的shellcode得以執行。

目前，各種安全軟件針對網頁木馬的攔截技術一般分為如下三類：

1、針對網頁木馬的惡意腳本代碼內容進行攔截。

2、針對溢出型網頁木馬shellcode所調用的API函數進行攔截。

3、針對網頁木馬所執行文件的特征進行黑白名單判定，從而進行攔截。

其中，在第三類攔截技術中，黑名單攔截的過程一般是安全軟件針對網頁木馬所執行的文件，進行病毒庫特征碼匹配，如果符合病毒庫特征碼則阻止并提示執行行為；白名單攔截的過程一般是安全軟件針對網頁木馬所所執行的文件，進行白名單特征匹配，如果不符合白名單特征，則攔截阻止程序運行。

但是，上述黑白名單的攔截技術并不能完全地對網頁木馬進行攔截。例如，系統程序屬于可信的白名單程序，但是網頁木馬可以通過運行接受命令行參數的系統程序(即運行命令行程序)繞過黑白名單的攔截，最后成功執行惡意程序。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的攔截網頁攻擊的方法和相應的裝置及客戶端設備。

依據本發明的一個方面，提供了一種攔截網頁攻擊的方法，包括：

獲取瀏覽器執行進程的程序；

檢測所述瀏覽器執行進程的程序是否為命令行程序；

當所述瀏覽器執行進程的程序為命令行程序時，獲取所述命令行程序運行的命令行參數；

對所述命令行程序的命令行參數進行分析，檢測所述命令行程序是否存在惡意命令行參數；

當所述命令行程序存在惡意命令行參數時，阻止所述進程的執行。

本發明實施例中，獲取瀏覽器執行進程的程序，包括：

獲取瀏覽器執行進程的應用程序接口，通過所述應用程序接口獲取瀏覽器執行進程的程序。

本發明實施例中，檢測所述瀏覽器執行進程的程序是否為命令行程序，包括：

獲取所述瀏覽器執行進程的程序名稱；

判斷所述瀏覽器執行進程的程序名稱是否為預設的命令行程序的程序名稱，若是，則判定所述瀏覽器執行進程的程序為命令行程序。

本發明實施例中，獲取所述瀏覽器執行進程的程序名稱，包括：

監控與所述瀏覽器執行進程相關的CreateProcessInternalW函數；

通過獲取所述CreateProcessInternalW函數所執行的lpApplicationName參數，獲取所述瀏覽器執行進程的程序名稱。

本發明實施例中，預設的命令行程序為以下任意一種：

腳本語言解釋器Wscript.exe、動態鏈接庫注冊程序Regsvr32.exe、系統命令行解釋程序cmd.exe、文件執行程序rundll32.exe?dll、腳本語言解釋器cscript.exe、文件執行程序mshta.exe?hta和定時執行程序at.exe。

本發明實施例中，預設的命令行程序包括存在遞歸調用的命令行程序和不存在遞歸調用的命令行程序兩類；

存在遞歸調用的命令行程序包括：系統命令行解釋程序cmd.exe和定時執行程序at.exe；

不存在遞歸調用的命令行程序包括：腳本語言解釋器Wscript.exe、動態鏈接庫注冊程序Regsvr32.exe、文件執行程序rundll32.exe?dll、腳本語言解釋器cscript.exe和文件執行程序mshta.exe?hta。

本發明實施例中，當命令行程序為不存在遞歸調用的命令行程序時，獲取所述命令行程序運行的命令行參數，包括：

通過CommandLineToArgvW函數獲取命令行程序運行的命令行參數。

本發明實施例中，當命令行程序為不存在遞歸調用的命令行程序時，對所述命令行程序的命令行參數進行分析，檢測所述命令行程序是否存在惡意命令行參數，包括：

遍歷所述命令行程序的命令行參數，利用GetLongPathNameW函數檢測所述命令行參數，獲取執行所述命令行程序的文件路徑；