技術領域

本發明涉及通信領域信息過濾領域，具體涉及一種防御網購木馬的方法及其裝置。

背景技術

電子商務是一種經由電子設備進行貿易的手段，它加速了信息的傳遞和覆蓋。它提供了在世界范圍內推銷、銷售產品及服務的機會。由于互聯網延伸到大多數潛在消費者的巨大潛力，以及它在散布有關產品和服務的消息的有效性，人們正嘗試著通過適當的網站實施交易以利用該新的平臺。隨著網絡技術和電子商務的發展，通過網絡購買自己喜歡的商品（俗稱網購）已經成為廣大網民的日常行為，包括淘寶、ebay在內的各種網購網站提供了各種各樣的商品通過網絡進行交易。由此，網購木馬應運而生。

網購木馬是新出現的一種欺詐木馬。據金山網絡安全中心新統計數據顯示，2010年網購木馬增長迅速，目前變種數量已經超過萬個，2011年前2個月，平均每月增加新變種近3000個，而受此欺詐的網購用戶也與日俱增。與釣魚網站相比，網購木馬隱藏更深，讓用戶無法察覺和判斷，一旦感染造成危害的可能性非常高。網購木馬偽裝成買家，與賣家進行溝通，伺機通過聊天工具發送所謂的商品圖等壓縮文件給賣家，賣家，點擊后，即感染木馬，騙子再通過木馬盜取賣家的賬戶密碼，獲取店鋪的管理權限。接下來，騙子就可以冒充賣家對真正的買家實施詐騙了。給買家和賣家都造成無法預估的損失，嚴重地影響了在線金融服務、電子商務的發展。

由此可見，如何防御網購木馬，已成為業界亟待解決的問題。

發明內容

本發明的目的在于克服現有技術中的缺點與不足，提供一種防御網購木馬的方法。

本發明是采用以下的技術方案實現的：一種防御網購木馬的方法，包括如下步驟：

步驟S11：當用戶點擊運行可執行文件，在加載模塊之前，獲取進程中可執行文件的原始文件名和加載模塊的文件名；

步驟S12：以進程中可執行文件的原始文件名和加載模塊的文件名為索引，在本地特征庫中查找加載模塊的特征信息；

步驟S13：選擇是否檢測加載模塊的特征信息，若是，則進入步驟S14，若否，則進入步驟S16；

步驟S14：提取加載模塊的特征信息；

步驟S15：將提取的加載模塊的特征信息與本地特征庫的特征信息進行比對，判斷其是否為疑似木馬，若是，關閉其運行，若否，則進入步驟S18；

步驟S16：判斷是否檢測可執行文件所依賴的文件，若是，則進入步驟S17，若否，則允許其運行；

步驟S17：獲得可執行文件所依賴的文件的全路徑，并根據該全路徑查找可執行文件所依賴文件的是否存在，若存在，則允許其運行，若不存在，則進入步驟S18。

步驟S18：查詢加載模塊的安全屬性，若為黑，則關閉其運行，若為白，則允許其運行。

進一步，本發明還提供了一種防御網購木馬的裝置。

一種防御網購木馬的裝置，其包括文件名獲取模塊、特征信息查找模塊、特征信息檢測選擇模塊、加載模塊特征提取模塊、特征信息比對模塊、依賴文件檢測選擇模塊、依賴文件查找模塊、安全屬性查詢模塊、本地特征庫、配置文件庫和安全屬性數據庫；當用戶點擊運行可執行文件，在加載模塊之前，該文件名獲取模塊獲取進程中可執行文件的原始文件名和加載模塊的文件名；該特征信息查找模塊以進程中可執行文件的原始文件名和加載模塊的文件名為索引，在本地特征庫中查找加載模塊的特征信息；該特征信息檢測選擇模塊選擇是否檢測加載模塊的特征信息，若是，則發送指令至加載模塊特征提取模塊，若否，則發送指令至依賴文件查找模塊；該加載模塊特征提取模塊提取加載模塊的特征信息；該特征信息比對模塊將提取的加載模塊的特征信息與本地特征庫的特征信息進行比對，判斷其是否為疑似木馬，若是，則發送指令至安全屬性查詢模塊，若否，則發送指令至依賴文件檢測選擇模塊；該依賴文件檢測選擇模塊判斷是否檢測可執行文件所依賴的文件，若是，則發送指令至依賴文件查找模塊，若否，則允許其運行；依賴文件查找模塊；該依賴文件查找模塊獲得可執行文件所依賴的文件全路徑，并根據該全路徑查找可執行文件所依賴文件的是否存在，若存在，則允許其運行，若不存在，則發送指令至安全屬性查詢模塊。該安全屬性查詢模塊查找安全屬性數據庫獲得加載模塊的安全屬性，若為黑，則關閉其運行，若為白，則允許其運行。

相對于現有技術，本發明的防御網購木馬的方法及其裝置通過查找判斷可執行文件的加載模塊的特征信息及安全和路徑信息，來判斷是否為網購木馬，從而保證了用戶的網購及賬戶安全。

為了能更清晰的理解本發明，以下將結合附圖說明闡述本發明的具體實施方式。

附圖說明