CN102945343B - 一种用于枚举系统进程的方法及装置 - Google Patents
一种用于枚举系统进程的方法及装置 Download PDFInfo
- Publication number
- CN102945343B CN102945343B CN201210362570.6A CN201210362570A CN102945343B CN 102945343 B CN102945343 B CN 102945343B CN 201210362570 A CN201210362570 A CN 201210362570A CN 102945343 B CN102945343 B CN 102945343B
- Authority
- CN
- China
- Prior art keywords
- eprocess
- address
- value
- memory address
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明公开了一种用于枚举系统进程的方法,包括:获取System进程的EPROCESS结构;以Mmsystem range start地址为起始点并以EPROCESS的长度作为步长遍历Mmsystem range start至System进程的EPROCESS结构之间的内存空间,获取每一步长对应的内存地址段中的内容;所述每一内存地址段中,对于起始地址为有效地址的内存地址段,判断其中的内容是否为合法的进程;若是,则记录该进程;若否,则忽略该内存地址段;集合所获得的所有合法进程,形成系统进程集合。本发明还公开一种用于枚举系统进程的装置。本发明能够枚举出系统所有进程;有利于减少一些恶意的隐藏进程对系统的威胁。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种用于枚举系统进程的方法。本发明还涉及一种用于枚举系统进程的装置。
背景技术
Windows任务管理器可以枚举出系统当前的进程,并能够根据需要选择终止进程。为管理系统进程提供了很大的便利。
Windows任务管理器枚举系统当前进程是通过其Native API函数ZwQuerySystemInfomation来操作进程活动链表来实现的。具体的过程如下:
首先,获取当前任一进程的指针,例如可以通过PsGetCurrentProcess()来获取当前进程的PEPROCESS指针。
然后定位到记录该当前进程与其它进程链接信息的Activelist处,具体的操作方式为ActiveList=pCurrentEprocess+0x88,即当前进程指针移动一定的步长。其中0x88为winxp sp3下Activelist与pCurrentEprocess的步长,在不同win操作系统时该步长并不相同。
接着,以所定位的当前进程的Activelist遍历整个进程活动链表(Activelistlink)上每一进程的数据结构,即可获得当前的存在于进程活动链表的所有进程。
如上所述,因为windows任务管理器是基于ZwQuerySystemInformation来实现的,所以如果将进程对象从进程活动链表中移除,那么调用NtQuerySystemInfomation来枚举进程的任务管理器TaskMgr.exe中就不会看到目标进程了。同时,Windows的任务调度分配器使用的另一的数据结构,也就是说,进程是否被调度执行与进程活动链表无关,不会因为从进程活动链表删除就被CPU忽略,因此进程仍然会被执行。这很容易被一些恶意软件或者RootKit程序利用,在进程活动链表上不显示其存在,但是仍然被执行,这可能导致用户的计算机在不知不觉中被感染病毒、植入木马或者窃取了信息,对计算机造成潜在的或现实的威胁。因而有必要能够查找出这种被进程活动链表忽略而实质上又在被执行的隐藏进程。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用于枚举系统进程的方法和相应的用于枚举系统进程的装置。
依据本发明的一个方面,提供一种用于枚举系统进程的方法,包括:
获取System进程的EPROCESS结构;
以Mmsystem range start地址为起始点并以所述EPROCESS的长度作为步长遍历Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,获取每一步长对应的内存地址段中的内容;
所述每一步长对应的内存地址段中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为合法的进程;若是,则记录该进程;若否,则忽略该内存地址段;
集合所获得的所有合法进程,形成系统进程集合。
可选的,所述获取System进程EPROCESS结构包括:
在驱动加载的入口函数中调用函数PsGetCurrentProcess()获得System进程的EPROCESS结构。
可选的,所述判断该内存地址段中的内容是否为进程包括:
将内存地址段中的内容赋值给EPROCESS结构;
判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零;
判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为process;
若上述两个成员变量均为是,则内存地址段中的内容为合法的进程,否则为不合法进程。
可选的,所述判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零包括:
由被赋值的EPROCESS结构首地址偏移0x78,获得成员变量ExitTime;
提取所述成员变量ExitTime的值;
判断所述成员变量ExitTime的值是否等于零。
可选的,所述判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为Process包括:
由被赋值的EPROCESS结构首地址偏移0x8,获得成员变量_bject_type;
由所述成员变量_bject_type的首地址偏移0x40,获得成员type;
提取所述成员type的值;
判断所述成员type的值是否等于process。
可选的,所述判断该内存地址段中的内容是否为合法的进程包括:
获取当前进程的EPROCESS;
获取该当前进程的EPROCESS的进程环境块地址;
若所述进程环境块地址为零,则返回到所述获取当前进程的EPROCESS的步骤,或者通过遍历私有句柄表链或活动进程表链获得其它任一进程,获取该任一进程的EPROCESS的进程环境块地址并判断该地址是否为零;
若非零,则提取所述进程环境块地址高四位的值作为参考值;
获取所述内存地址段中由起始地址偏移1B0处的内容的高四位,作为待检值;
判断所述待检值是否与参考值相同;
若相同,则内存地址中的内容为合法的进程,否则为不合法进程。
可选的,所述获取当前进程包括:
通过PsGetCurrentProcess()获得当前的进程的EPROCESS。
可选的,所述获取该当前进程的EPROCESS的进程环境块地址包括:
由该当前进程的EPROCESS首地址偏移1B0获取其进程环境块成员变量;
提取所述进程环境块成员变量的值。
可选的,所述每一步长对应的内存地址中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为合法的进程包括:
通过MmIsAddressInPageValid()函数验证该地址的有效性。
可选的,还包括:
将获取的进程集合与Windows任务管理器的进程表比对;
找出不同于Windows任务管理器的进程表中的进程;
以所述找出的进程作为内容向用户发送或者向用户发送提示消息或报警。
根据本发明的另一方面,还提供一种用于枚举系统进程的装置,包括:
System进程获取单元,用于获取System进程的EPROCESS结构;
遍历单元,用于以Mmsystem range start地址为起始点并以所述EPROCESS的长度作为步长遍历Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,获取每一步长对应的内存地址段中的内容;
判断单元,用于所述每一步长对应的内存地址段中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为合法的进程;若是,则记录该进程;若否,则忽略该内存地址段;
集合单元,用于集合所获得的所有合法进程,形成系统进程集合。
可选的,所述判断单元,包括:
赋值单元,用于将内存地址段中的内容赋值给Eprocess结构;
第一判断单元,用于判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零;
第二判断单元,用于判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为process。
可选的,所述第一判断单元包括:
第一偏移单元,用于由被赋值的EPROCESS结构首地址偏移0x78,获得成员变量ExitTime;
第一提取单元,用于提取所述成员变量ExitTime的值;
第一执行单元,用于判断所述成员变量ExitTime的值是否等于零。
可选的,所述第二判断单元包括:
第二偏移单元,用于由被赋值的EPROCESS结构首地址偏移0x8,获得成员变量_bject_type;
第三偏移单元,用于由所述成员变量_bject_type的首地址偏移0x40,获得成员type;
第二提取单元,用于提取所述成员type的值;
第二执行单元,用于判断所述成员type的值是否等于process。
可选的,所述判断单元包括:
当前进程获取单元,用于获取当前进程的EPROCESS;
进程环境块地址获取单元,用于获取该当前进程的EPROCESS的进程环境块地址;
判断提取单元,用于若所述进程环境块地址为零,则返回到所述获取当前进程的EPROCESS的步骤,或者通过遍历私有句柄表链或活动进程表链获得其它任一进程,并获取该任一进程的EPROCESS的进程环境块地址并判断该地址是否为零;若非零,则提取所述进程环境块地址高四位的值作为参考值;
获取单元,用于获取所述内存地址段中由起始地址偏移1B0处的内容的高四位,作为待检值;
判断执行单元,判断所述待检值是否与参考值相同。
可选的,所述进程环境块地址获取单元包括:
第四偏移单元,用于由该当前进程的EPROCESS首地址偏移1B0获取其进程环境块成员变量;
第三提取单元,用于提取所述进程环境块成员变量的值。
可选的,还包括:
对比单元,用于将获取的进程集合与Windows任务管理器的进程表比对;
提取单元,用于找出不同于Windows任务管理器的进程表中的进程;
报警单元,用于以所述找出的进程作为内容向用户发送或者向用户发送提示消息或报警。
本发明的方法中,通过搜索Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,过滤出满足EPROCESS结构的数据结构,从而获得系统的当前进程表;在win系统中,所有进程的EPROCESS结构的存储空间被系统分配在Mmsystemrange start与进程System的Eprocess结构之间的内存区间上,因而遍历该内存区间,便可获得系统所有的进程;也就是说,即使有些进程从进程活动链表中删除,通过本发明的方法仍然能够枚举出该进程,使得一些恶意软件或者Rootkit无处藏身,有利于减少一些恶意的隐藏进程对系统的威胁。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明的一种用于枚举系统进程的方法的实施例的流程图;
图2为本发明的一种用于枚举系统进程的装置的一种实施例的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
请参考图1,其为本发明的一种用于枚举系统进程的方法的实施例的流程图。本实施例中,包括如下步骤:
步骤100,获取System进程的EPROCESS结构。
在Win系统中,每个进程都有一个EPROCESS结构,在这个结构中保存了该进程的所有信息,包括进程路径、进程名称、进程PID、进程创建时间、结束时间等信息。系统的所有进程都被分配在内存空间中Mmsystem range start地址至系统的System进程的Eprocess结构之间的内存空间上。在内存空间中定位system进程的EPROCESS结构的首地址,在PAE(Physical Address Extension,物理地址扩展)模式下的Mmsystem range start地址为0X80000000(十六进制)。遍历所述Mssystem range start与所述System进程的EPROCESS之间的内存区间,即可获得系统的所有进程。
不难理解,若欲遍历上述的内存区间,首先需要获取System进程的EPROCESS结构。本实施例中,通过在驱动加载的入口函数中调用函数PsGetCurrentProcess(),获得System进程的EPROCESS结构。当然,获取System进程的EPROCESS结构的方式并不局限于此,任何能够获取System进程的EPROCESS结构的方法均可应用于此,本实施例中对此并无限制。
步骤S110,以Mmsystem range start地址为起始点并以所述EPROCESS的长度作为步长遍历Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,获取每一步长对应的内存地址段中的内容。
在Win系统中,所有进程EPROCESS在内存空间中的长度都是一样的,故遍历的步长可以为任一进程EPROCESS的长度,当然,也包括所述的System进程的EPROCESS。本步骤中,遍历所述区间,获取每一步长对应的存地址段中的内容。以备下述步骤中根据其内容判断该步长对应的内存地址段中存储的是否是进程的EPROCESS。
步骤S120,所述每一步长对应的内存地址段中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为合法的进程;若是,则记录该进程;若否,则忽略该内存地址段。
如上所述,每一进程的EPROCESS中保存着该进程的所有信息,这些信息被存储在内存地址中固定空间中。按照进程的EPROCESS的长度作为步长遍历该固定的内存地址空间,对于每一步长对应的内存地址段中,根据其中存储的内容判断该内存地址段中存储是否一个合法的进程的EPROCESS,并找出所有为进程的EPROCESS。由于任何进程均在系统的内存空间中存在,故通过本方式能够获取系统所有的进程。
对于每一个步长对应的内存地址段,首先要判断该内存地址段是否为有效地址,这是由于内存中有的地址或地址区间由于某些原因会被弃用,导致该地址或地址区间无效。合法进程的EPROCESS存的内存地址区间自然应当是有效的地址区间,故在判断某内存地址段中的内容是否为EPROCESS的信息,需要先判断该内存地址段是否为有效地址区间。本实施例中,通过MmIsAddressInPageValid()函数验证该地址的有效性。
若验证某内存地址段为有效地址,则进一步分析该地址段中的内容,判断其是否是进程。其中,所述的判断某地址段中的内容是否为进程包括:a,读取该内存地址段中的内容,并将内存地址段中的内容赋值给EPROCESS结构;b,判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零;c,判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为process;若上述b和c步骤中两步判断的结果均为是,则内存地址段中的内容为进程,否则为不是进程。具体而言,读取内存地址段中的内容之后,按照正常情况下EPROCESS结构在内存地址段中各个成员变量值与地址的对应方式,将读取的内存地址段中的内容赋值给一个无变量值的EPROCESS结构;然后分析该被赋值的EPROCESS结构中的成员变量值是否满足进程EPROCESS的要求。例如,成员变量ExitTime=0,_bject_type的类型为process等等。将被赋值的EPROCESS结构首地址偏移0x78(十六进制),即可获得成员变量ExitTime,提取该成员变量ExitTime的值,即可判断其是否为零。同样的方式,由被赋值的EPROCESS结构首地址偏移0x8(十六进制),即获得成员变量_bject_type;由所述成员变量_bject_type的首地址偏移0x40(十六进制),获得其成员type;提取所述成员type的值;并判断所述成员type的值是否等于process。
若内存地址段中存放的为进程,还需要进一步判断该进程是否为合法的进程,这是由于在系统中某些进程虽然被终止,但其并未放弃所占用的内存空间,通过上述赋值并判断的方式依然能够找到该进程。但是系统已经认为该进程已经终止,故该进程为非法的进程,在进程枚举时是不予考虑的。本实施例中通过如下步骤判断进程为合法的进程:A,获取当前进程的EPROCESS;B,获取该当前进程的EPROCESS的进程环境块地址(ProcessEnvironment Block,PEB);C,若所述进程环境块地址为零,则返回到所述获取当前进程的EPROCESS的步骤,或者通过遍历私有句柄表链或活动进程表链获得其它任一进程,获取该任一进程的EPROCESS的进程环境块地址并判断该地址是否为零;若非零,则提取所述进程环境块地址高四位的值作为参考值;D,获取所述内存地址段中由起始地址偏移1B0处的内容的高四位,作为待检值;E,判断所述待检值是否与参考值相同;若相同,则内存地址中的内容为合法的进程,否则为不合法进程。具体而言,在Win系统中,每一个进程都有自己的PEB,在PEB中存放着进程的信息。PEB为进程EPROCESS的成员变量之一,其在EPROCESS中的地址也是固定的,即首地址偏移1B0(十六进制)。对于Win系统而言,不同进程的PEB的地址的高四位均相同。故若能够获取已有的任一合法进程(包括当前进程)的PEB地址,并提取其高四位作为参考值,将被赋值的EPROCESS中对应PEB的地址内容取出,并提取高四位与参考值对比,判断二者是否相同,若相同,则内存地址段中存放的是合法的进程,否则即是非法进程。以此种方式判断每一内存地址段中的内容,即可找出所有合法的进程。
其中,所述的获取当前进程的方法包括通过函数PsGetCurrentProcess()获得当前的进程的EPROCESS。获取当前进程EPROCESS之后,如上所述,由首地址偏移1B0获取其PEB成员变量;接着可提取所述PEB成员变量的值。由于系统进程System进程的PEB地址是零,比较特殊,故没有可参考性,若通过上述方式获取到当前进程恰好是System进程,则还需要获取其它合法进程作为参考,获取方式包括再次执行函数PsGetCurrentProcess()或者通过每一进程的私有句柄表链遍历获取其它进程,这里不再一一进行赘述如何获取其它合法进程的方法。
将所述内存地址区间中所有的内存地址段内容均按照上述的方式进行判断,即可找出所有合法的进程。对于不满足上述要求的内存地址段,忽略即可。
步骤130,集合所获得的所有合法进程,形成系统当前进程集合。
本发明上述实施例中,通过搜索Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,过滤出满足EPROCESS结构的数据结构,从而获得系统的当前进程表;在win系统中,所有进程的EPROCESS结构的存储空间被系统分配在Mmsystemrange start与进程System的Eprocess结构之间的内存区间上,因而遍历该内存区间,便可获得系统所有的进程;也就是说,即使有些进程从进程活动链表中删除,通过本发明的方法仍然能够枚举出该进程,使得一些恶意软件或者Rootkit无处藏身,有利于减少一些恶意的隐藏进程对系统的威胁。
通过上述实施例获得进程列集合,还可以继续执行如下的步骤:
I.将获取的进程集合与Windows任务管理器的进程表比对;II.找出不同于Windows任务管理器的进程表中的进程;III.将所述找出的进程向用户发送提示消息或发送报警。也就是说,通过将本发明的实施例获得的进程集合与前述背景技术中的方法所获得进程表进行比对,并将本发明的实施例的方法获得的进程表与背景技术中所获得的方法所不同的进程找出并提示用户或发出报警。用户可以根据该提示或报警对所找出的不同进程进一步分析,判断是否恶意进程。
以上公开了本发明的一种用于枚举系统进程的方法的实施例,与此相应的,本发明还公开了一种用于枚举系统进程的装置。请参考图2,其为本发明的一种用于枚举系统进程的装置的一种实施例的示意图。由于该装置的实施例与前述的方法的实施例基本相同,下面仅简单描述本实施例中的装置。
本实施例公开的一种用于枚举系统进程的装置,包括:System进程获取单元200,用于获取System进程的EPROCESS结构;遍历单元202,用于以Mmsystem range start地址为起始点并以所述EPROCESS的长度作为步长遍历Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,获取每一步长对应的内存地址段中的内容;判断单元204,用于所述每一步长对应的内存地址段中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为合法的进程;若是,则记录该进程;若否,则忽略该内存地址段;集合单元206,用于集合所获得的所有合法进程,形成系统当前进程集合。
可选的,所述判断单元204包括:赋值单元,用于将内存地址段中的内容赋值给Eprocess结构;第一判断单元,用于判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零;第二判断单元,用于判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为process。
可选的,所述第一判断单元包括:第一偏移单元,用于由被赋值的EPROCESS结构首地址偏移0x78,获得成员变量ExitTime;第一提取单元,用于提取所述成员变量ExitTime的值;第一执行单元,用于判断所述成员变量ExitTime的值是否等于零。
可选的,所述第二判断单元包括:第二偏移单元,用于由被赋值的EPROCESS结构首地址偏移0x8,获得成员变量_bject_type;第三偏移单元,用于由所述成员变量_bject_type的首地址偏移0x40,获得成员type;第二提取单元,用于提取所述成员type的值;第二执行单元,用于判断所述成员type的值是否等于process。
可选的,所述判断单元204包括:当前进程获取单元,用于获取当前进程的EPROCESS;进程环境块地址获取单元,用于获取该当前进程的EPROCESS的进程环境块地址;判断提取单元,用于若所述进程环境块地址为零,则返回到所述获取当前进程的EPROCESS的步骤,或者通过遍历私有句柄表链或活动进程表链获得其它任一进程,并获取该任一进程的EPROCESS的进程环境块地址并判断该地址是否为零;若非零,则提取所述进程环境块地址高四位的值作为参考值;获取单元,用于获取所述内存地址段中由起始地址偏移1B0处的内容的高四位,作为待检值;判断执行单元,判断所述待检值是否与参考值相同。
可选的,所述进程环境块地址获取单元包括:第四偏移单元,用于由该当前进程的EPROCESS首地址偏移1B0获取其进程环境块成员变量;第三提取单元,用于提取所述进程环境块成员变量的值。
可选的,所述用于枚举系统进程的装置还包括:对比单元,用于将获取的进程集合与Windows任务管理器的进程表比对;提取单元,用于找出不同于Windows任务管理器的进程表中的进程;报警单元,用于以所述找出的进程作为内容向用户发送或者向用户发送提示消息或报警。
应用本发明实施例的装置可获得与上述方法实施例相同的技术效果,这里不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的用于枚举系统进程的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (13)
1.一种用于枚举系统进程的方法,其特征在于,包括:
获取System进程的EPROCESS结构;
以Mmsystem range start地址为起始点并以所述EPROCESS的长度作为步长遍历Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,获取每一步长对应的内存地址段中的内容;
所述每一步长对应的内存地址段中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为进程;若是,则判断该内存地址段中的内容是否为合法的进程;若是,则记录该进程;若否,则忽略该内存地址段;
集合所获得的所有合法进程,形成系统进程集合;
其中,所述方法还包括:
将获取的进程集合与Windows任务管理器的进程表比对;
找出不同于Windows任务管理器的进程表中的进程;
以所述找出的进程作为内容向用户发送或者向用户发送提示消息或报警;
其中,所述判断该内存地址段中的内容是否为进程包括:
将内存地址段中的内容赋值给EPROCESS结构;
判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零;
判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为process;
若上述两个成员变量均为是,则内存地址段中的内容为进程,否则不为进程。
2.根据权利要求1所述的用于枚举系统进程的方法,其特征在于,所述获取System进程EPROCESS结构包括:
在驱动加载的入口函数中调用函数PsGetCurrentProcess()获得System进程的EPROCESS结构。
3.根据权利要求2所述的用于枚举系统进程的方法,其特征在于,所述判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零包括:
由被赋值的EPROCESS结构首地址偏移0x78,获得成员变量ExitTime;
提取所述成员变量ExitTime的值;
判断所述成员变量ExitTime的值是否等于零。
4.根据权利要求2所述的用于枚举系统进程的方法,其特征在于,所述判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为process包括:
由被赋值的EPROCESS结构首地址偏移0x8,获得成员变量_bject_type;
由所述成员变量_bject_type的首地址偏移0x40,获得成员type;
提取所述成员type的值;
判断所述成员type的值是否等于process。
5.根据权利要求2至4任一所述的用于枚举系统进程的方法,其特征在于,所述判断该内存地址段中的内容是否为合法的进程包括:
获取当前进程的EPROCESS;
获取该当前进程的EPROCESS的进程环境块地址;
若所述进程环境块地址为零,则返回到所述获取当前进程的EPROCESS的步骤,或者通过遍历私有句柄表链或活动进程表链获得其它任一进程,获取该任一进程的EPROCESS的进程环境块地址并判断该地址是否为零;
若非零,则提取所述进程环境块地址高四位的值作为参考值;
获取所述内存地址段中由起始地址偏移1B0处的内容的高四位,作为待检值;
判断所述待检值是否与参考值相同;
若相同,则内存地址段中的内容为合法的进程,否则为不合法进程。
6.根据权利要求5所述的用于枚举系统进程的方法,其特征在于,所述获取当前进程的EPROCESS包括:
通过PsGetCurrentProcess()获得当前的进程的EPROCESS。
7.根据权利要求5所述的用于枚举系统进程的方法,其特征在于,所述获取该当前进程的EPROCESS的进程环境块地址包括:
由该当前进程的EPROCESS首地址偏移1B0获取其进程环境块成员变量;
提取所述进程环境块成员变量的值。
8.根据权利要求1所述的用于枚举系统进程的方法,其特征在于,所述每一步长对应的内存地址段中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为合法的进程包括:
通过MmIsAddressInPageValid()函数验证该地址的有效性。
9.一种用于枚举系统进程的装置,其特征在于,包括:
System进程获取单元,用于获取System进程的EPROCESS结构;
遍历单元,用于以Mmsystem range start地址为起始点并以所述EPROCESS的长度作为步长遍历Mmsystem range start地址至所述System进程的EPROCESS结构之间的内存空间,获取每一步长对应的内存地址段中的内容;
判断单元,用于所述每一步长对应的内存地址段中,对于起始地址为有效地址的内存地址段,判断该内存地址段中的内容是否为进程;若是,则判断该内存地址段中的内容是否为合法的进程;若是,则记录该进程;若否,则忽略该内存地址段;
集合单元,用于集合所获得的所有合法进程,形成系统进程集合;
其中,所述装置还包括:
对比单元,用于将获取的进程集合与Windows任务管理器的进程表比对;
提取单元,用于找出不同于Windows任务管理器的进程表中的进程;
报警单元,用于以所述找出的进程作为内容向用户发送或者向用户发送提示消息或报警;
所述判断单元,包括:
赋值单元,用于将内存地址段中的内容赋值给EPROCESS结构;
第一判断单元,用于判断被赋值的EPROCESS结构的成员变量ExitTime的值是否为零;
第二判断单元,用于判断被赋值的EPROCESS结构的成员变量_bject_type的类型值是否为process;
第三判断单元,用于判断若上述两个成员变量均为是,则内存地址段中的内容为进程,否则不为进程。
10.根据权利要求9所述的用于枚举系统进程的装置,其特征在于,所述第一判断单元包括:
第一偏移单元,用于由被赋值的EPROCESS结构首地址偏移0x78,获得成员变量ExitTime;
第一提取单元,用于提取所述成员变量ExitTime的值;
第一执行单元,用于判断所述成员变量ExitTime的值是否等于零。
11.根据权利要求9所述的用于枚举系统进程的装置,其特征在于,所述第二判断单元包括:
第二偏移单元,用于由被赋值的EPROCESS结构首地址偏移0x8,获得成员变量_bject_type;
第三偏移单元,用于由所述成员变量_bject_type的首地址偏移0x40,获得成员type;
第二提取单元,用于提取所述成员type的值;
第二执行单元,用于判断所述成员type的值是否等于process。
12.根据权利要求9所述的用于枚举系统进程的装置,其特征在于,所述判断单元包括:
当前进程获取单元,用于获取当前进程的EPROCESS;
进程环境块地址获取单元,用于获取该当前进程的EPROCESS的进程环境块地址;
判断提取单元,用于若所述进程环境块地址为零,则返回到所述获取当前进程的EPROCESS的步骤,或者通过遍历私有句柄表链或活动进程表链获得其它任一进程,并获取该任一进程的EPROCESS的进程环境块地址并判断该地址是否为零;若非零,则提取所述进程环境块地址高四位的值作为参考值;
获取单元,用于获取所述内存地址段中由起始地址偏移1B0处的内容的高四位,作为待检值;
判断执行单元,判断所述待检值是否与参考值相同。
13.根据权利要求12所述的用于枚举系统进程的装置,其特征在于,所述进程环境块地址获取单元包括:
第四偏移单元,用于由该当前进程的EPROCESS首地址偏移1B0获取其进程环境块成员变量;
第三提取单元,用于提取所述进程环境块成员变量的值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210362570.6A CN102945343B (zh) | 2012-09-25 | 2012-09-25 | 一种用于枚举系统进程的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210362570.6A CN102945343B (zh) | 2012-09-25 | 2012-09-25 | 一种用于枚举系统进程的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102945343A CN102945343A (zh) | 2013-02-27 |
| CN102945343B true CN102945343B (zh) | 2017-05-17 |
Family
ID=47728284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210362570.6A Expired - Fee Related CN102945343B (zh) | 2012-09-25 | 2012-09-25 | 一种用于枚举系统进程的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102945343B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105488415B (zh) * | 2015-11-30 | 2019-09-03 | 福建天晴数码有限公司 | 扫描系统进程的方法和装置 |
| CN105786596B (zh) * | 2016-03-21 | 2018-04-13 | 山东省计算中心(国家超级计算济南中心) | 一种从64位Windows10操作系统的内存镜像文件中获取对象信息的方法 |
| CN106156610B (zh) * | 2016-06-29 | 2019-02-12 | 珠海豹趣科技有限公司 | 一种进程路径获取方法、装置和电子设备 |
| CN108197041B (zh) * | 2017-12-28 | 2021-09-28 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN111177708A (zh) * | 2019-12-30 | 2020-05-19 | 山东超越数控电子股份有限公司 | 基于tcm芯片的plc可信度量方法、系统及度量装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183418A (zh) * | 2007-12-25 | 2008-05-21 | 北京大学 | 一种Windows隐蔽性恶意软件检测方法 |
| CN101206692A (zh) * | 2006-12-20 | 2008-06-25 | 联想(北京)有限公司 | 检测进程的方法及设备 |
-
2012
- 2012-09-25 CN CN201210362570.6A patent/CN102945343B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101206692A (zh) * | 2006-12-20 | 2008-06-25 | 联想(北京)有限公司 | 检测进程的方法及设备 |
| CN101183418A (zh) * | 2007-12-25 | 2008-05-21 | 北京大学 | 一种Windows隐蔽性恶意软件检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| 内核态进程管理器Intercessor和实现细节;greatcsk;《http://www.pediy.com/kssd/pediy09/pediy09-262.htm》;20070905;第1-14页 * |
| 基于内存扫描的隐藏进程检测技术;王璟等;《计算机应用》;20090630;第29卷;第89-91页 * |
| 基于内存搜索的隐藏进程检测技术;胡和君等;《计算机应用》;20090131;第29卷(第1期);第175-177,188页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102945343A (zh) | 2013-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102945343B (zh) | 一种用于枚举系统进程的方法及装置 | |
| KR102017756B1 (ko) | 이상행위 탐지 장치 및 방법 | |
| CN103632100B (zh) | 一种网站漏洞检测方法及装置 | |
| EP3200115A1 (en) | Specification device, specification method, and specification program | |
| CN102831339B (zh) | 一种针对网页的恶意攻击进行防护的方法、装置和浏览器 | |
| CN104834837A (zh) | 一种基于语义的二进制代码反混淆方法 | |
| CN102622536A (zh) | 一种恶意代码捕获方法 | |
| CN103839007B (zh) | 一种检测异常线程的方法及系统 | |
| CN104036003B (zh) | 搜索结果整合方法和装置 | |
| CN102722672B (zh) | 一种检测运行环境真实性的方法及装置 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CN103886229A (zh) | 一种提取pe文件特征的方法及装置 | |
| Provataki et al. | Differential malware forensics | |
| Casey et al. | Inception: virtual space in memory space in real space–memory forensics of immersive virtual reality with the HTC vive | |
| US9087137B2 (en) | Detection of custom parameters in a request URL | |
| CN106600082A (zh) | 业务系统中任务的处理方法、装置及业务体系构建系统 | |
| CN109388946A (zh) | 恶意进程检测方法、装置、电子设备及存储介质 | |
| CN110023938A (zh) | 利用函数长度统计确定文件相似度的系统和方法 | |
| Buinevich et al. | Method for partial recovering source code of telecommunication devices for vulnerability search | |
| CN113961919A (zh) | 恶意软件检测方法和装置 | |
| CN103888447B (zh) | 病毒的查杀方法及装置 | |
| CN106709335B (zh) | 漏洞检测方法和装置 | |
| CN106650439A (zh) | 检测可疑应用程序的方法及装置 | |
| CN104239801B (zh) | 0day漏洞的识别方法以及装置 | |
| CN106301974A (zh) | 一种网站后门检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170517 Termination date: 20210925 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |