1.一種防止用戶界面特權隔離被攻擊的方法,其特征在于,包括以下步驟:
監測操作系統內核提供的用戶界面特權隔離函數是否被調用;
如果監測到當前進程調用所述用戶界面特權隔離函數修改目標窗口的用戶界面特權
隔離消息過濾器中的過濾信息,運行預設的與所述用戶界面特權隔離函數對應的鉤子函
數;
檢測所述目標窗口所屬進程是否為所述當前進程;
如果檢測獲知所述目標窗口所屬進程是所述當前進程,則允許所述當前進程調用所述
用戶界面特權隔離函數修改所述目標窗口的用戶界面特權隔離消息過濾器中的過濾信息。
2.如權利要求1所述的方法,其特征在于,還包括:
如果檢測獲知所述目標窗口所屬進程不是所述當前進程,則檢測所述當前進程的合法
性;
如果所述當前進程非法,則拒絕所述當前進程調用所述用戶界面特權隔離函數修改目
標窗口的用戶界面特權隔離消息過濾器中的過濾信息。
3.如權利要求2所述的方法,其特征在于,還包括:
如果所述當前進程合法,則允許所述當前進程調用所述用戶界面特權隔離函數修改目
標窗口的用戶界面特權隔離消息過濾器中的過濾信息。
4.如權利要求1所述的方法,其特征在于,在所述監測操作系統內核提供的用戶界面特
權隔離函數是否被調用之前,還包括:
在具有網絡安全應用的防御驅動中設置與所述用戶界面特權隔離函數對應的鉤子函
數。
5.如權利要求2所述的方法,其特征在于,檢測所述當前進程的合法性,包括:
根據預設的特征庫檢測所述當前進程的合法性。
6.如權利要求5所述的方法,其特征在于,所述特征庫包括:
包括合法進程的白名單,和/或,包括非法進程的黑名單。
7.一種防止用戶界面特權隔離被攻擊的裝置,其特征在于,包括:
監測模塊,用于監測操作系統內核提供的用戶界面特權隔離函數是否被調用;
運行模塊,用于如果監測到當前進程調用所述用戶界面特權隔離函數修改目標窗口的
用戶界面特權隔離消息過濾器中的過濾信息,運行預設的與所述用戶界面特權隔離函數對
應的鉤子函數;
第一檢測模塊,用于檢測所述目標窗口所屬進程是否為所述當前進程;
第一處理模塊,用于在檢測獲知所述目標窗口所屬進程是所述當前進程時,允許所述
當前進程調用所述用戶界面特權隔離函數修改所述目標窗口的用戶界面特權隔離消息過
濾器中的過濾信息。
8.如權利要求7所述的裝置,其特征在于,還包括:
第二檢測模塊,用于在檢測獲知所述目標窗口所屬進程不是所述當前進程時,根據所
述鉤子函數中的特征庫檢測所述當前進程的合法性;
第二處理模塊,用于在所述當前進程非法時,拒絕所述當前進程調用所述用戶界面特
權隔離函數修改目標窗口的用戶界面特權隔離消息過濾器中的過濾信息。
9.如權利要求8所述的裝置,其特征在于,包括:
所述第二處理模塊還用于在所述當前進程合法時,允許所述當前進程調用所述用戶界
面特權隔離函數修改目標窗口的用戶界面特權隔離消息過濾器中的過濾信息。
10.如權利要求7所述的裝置,其特征在于,還包括:
設置模塊,用于在具有網絡安全應用的防御驅動中設置與所述用戶界面特權隔離函數
對應的鉤子函數。
11.如權利要求8所述的裝置,其特征在于,所述第二檢測模塊具體用于:
根據預設的特征庫檢測當前進程的合法性。
12.如權利要求11所述的裝置,其特征在于,所述特征庫包括:
包括合法進程的白名單,和/或,包括非法進程的黑名單。
13.一種終端設備,其特征在于,包括:
如權利要求7-12任一項所述的防止用戶界面特權隔離被攻擊的裝置。
14.一種終端設備,其特征在于,包括:以下一個或多個組件:處理器,存儲器,電源電
路,多媒體組件,音頻組件,輸入/輸出(I/O)的接口,傳感器組件,以及通信組件;其中,電路
板安置在殼體圍成的空間內部,所述處理器和所述存儲器設置在所述電路板上;所述電源
電路,用于為終端設備的各個電路或器件供電;所述存儲器用于存儲可執行程序代碼;所述
處理器通過讀取所述存儲器中存儲的可執行程序代碼來運行與所述可執行程序代碼對應
的程序,以用于執行以下步驟:
監測操作系統內核提供的用戶界面特權隔離函數是否被調用;
如果監測到當前進程調用所述用戶界面特權隔離函數修改目標窗口的用戶界面特權
隔離消息過濾器中的過濾信息,運行預設的與所述用戶界面特權隔離函數對應的鉤子函
數;
檢測所述目標窗口所屬進程是否為所述當前進程;
如果檢測獲知所述目標窗口所屬進程是所述當前進程,則允許所述當前進程調用所述
用戶界面特權隔離函數修改所述目標窗口的用戶界面特權隔離消息過濾器中的過濾信息。
展開
