CN104156662A - 进程监控的方法、装置和智能终端 - Google Patents
进程监控的方法、装置和智能终端 Download PDFInfo
- Publication number
- CN104156662A CN104156662A CN201410433260.8A CN201410433260A CN104156662A CN 104156662 A CN104156662 A CN 104156662A CN 201410433260 A CN201410433260 A CN 201410433260A CN 104156662 A CN104156662 A CN 104156662A
- Authority
- CN
- China
- Prior art keywords
- subprocess
- injector
- create
- establishment
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种进程监控的方法、装置和智能终端,属于通信技术领域。所述方法包括:在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。所述装置包括:拦截模块、注入模块和监控模块。所述智能终端包括:分发平台和Hook平台。本发明可以实现对任何子进程进行监控。
Description
技术领域
本申请涉及通信技术领域,具体涉及一种进程监控的方法、装置和智能终端。
背景技术
随着通信技术的发展,手机等移动终端的功能越来越强大,不但可以通过移动终端打电话、发短信息,而且还可以通过移动终端购物、进行支付等,因此移动终端的安全性越来越重要。使用Android(安卓)系统的移动终端,一般应用程序(如即时通信应用程序、游戏应用程序等)都是通过JAVA进程创建JAVA子进程进行运行。
近年来,利用Android平台对应用程序只能从整体上授予行为权限的特点,针对Android平台的恶意应用程序大量增加,恶意应用程序在申请用户授权的行为权限上,增加多个影响用户安全性的行为权限,例如,发送短信、读取联系人、联网、录音、读取用户精确GPS位置信息等行为权限,与该恶意应用程序正常运行所需的行为权限进行绑定,并以各种诱人的名字、功能和应用吸引用户安装,同时,在移动终端的显示界面展示需要用户授权的安全相关行为权限时,将增加的影响用户安全性的行为权限置于用户不太关注的地方,从而通过用户点击显示界面的下一步控件继续进行安装,而一旦安装并运行该恶意应用程序,意味着用户授予了该恶意应用程序申请的所有行为权限,使得用户的安全面临重大风险,而该恶意应用程序通过用户的安装,实现了窃取用户隐私、恶意吸费等目的。为此,为了保证移动终端的安全性,Android系统会对JAVA子进程进行监控。
目前,监控JAVA子进程的方法是:将主动防御(安卓系统本身的防御系统)预先注入Zygote(母体)进程,JAVA进程向Zygote进程申请创建JAVA子进程,Zygote进程分裂出JAVA子进程,由于“主动防御”预先注入Zygote进程,Zygote进程分裂出JAVA子进程中自然也包含“主动防御”,所以“主动防御”可以监控JAVA子进程。
然而,现在JAVA进程也会创建Native子进程,利用现有的方法无法对Native子进程进行监控。
发明内容
本申请所要解决的技术问题在于提供一种进程监控的方法、装置和智能终端,通过创建并将监控进程注入子进程,通过监控进程对子进程的运行进行监控,可以实现对任何子进程进行监控,当恶意软件通过创建子进程实施恶意行为时,可以监测到恶意软件的恶意行为,阻止恶意软件的恶意行为、将恶意软件删除等,避免恶意软件的恶意行为对移动终端造成威胁,提高移动终端的安全性。
为了解决上述问题,本申请公开了一种进程监控的方法,所述方法包括:
在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
进一步地,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,包括:
在父进程创建子进程时,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程;
如果是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,通过账户切换SU提权方式提升所述注入器的权限;
如果不是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器。
进一步地,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程,包括:
判断所述子进程中是否包含分享S属性的函数;
如果包含所述S属性的函数,则判定是通过所述SU提权方式创建所述子进程;
如果不包含所述S属性的函数,则判定不是通过所述SU提权方式创建所述子进程。
进一步地,通过账户切换SU提权方式提升所述注入器的权限,包括:
在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动所述注入器的指令,从而将所述SU提权方式转换为启动所述注入器并提升所述注入器的权限,其中所述-C参数为特定用户执行参数。
进一步地,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,包括:
在所述父进程通过fork函数创建出所述子进程的镜像,所述父进程通过Execve函数调用所述子进程对应的路径参数时,拦截所述Execve函数的调用命令,将所述调用命令中所述子进程对应的路径参数替换为所述注入器对应的路径参数,从而创建所述注入器。
进一步地,通过所述注入器创建监控进程,包括:
通过所述注入器创建出所述监控进程的镜像;
通过所述注入器将所述Hook监控模块注入所述监控进程的镜像,创建所述监控进程。
进一步地,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建,包括:
通过所述注入器创建所述子进程的镜像;
解析拦截所述子进程的创建时所获取的Execve函数的调用命令中所述子进程对应的路径参数,使得所述注入器根据所述子进程对应的路径参数调用所述子进程对应的组件,并将所述子进程对应的组件加载进所述子进程的镜像;
将注入所述Hook监控模块的所述监控进程注入所述子进程的镜像,命令所述子进程加载分享S属性,从而完成对所述子进程的创建。
进一步地,通过所述Hook监控模块对所述子进程的运行进行监控,包括:
命令所述Hook监控模块通过所述S属性对所述子进程的运行进行监控;
当通过所述Hook监控模块监控到所述子进程通过Execve函数和/或Fork函数创建进程时,将所述子进程作为所述父进程,执行所述进程监控方法。
进一步地,所述父进程包括:JAVA类进程或Native类进程;
所述子进程包括:JAVA类子进程或Native类子进程。
为了解决上述问题,本申请还公开了一种进程监控的装置,所述装置包括:
拦截模块,用于在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
注入模块,用于通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
监控模块,用于在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
进一步地,所述拦截模块包括:
判断单元,用于在父进程创建子进程时,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程;
第一拦截单元,用于如果所述判断单元的判断结果是通过账户切换SU提权方式创建所述子进程,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,通过账户切换SU提权方式提升所述注入器的权限;
第二拦截单元,用于如果所述判断单元的判断结果不是通过账户切换SU提权方式创建所述子进程,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器。
进一步地,所述判断单元包括:
判断子单元,用于判断所述子进程中是否包含分享S属性的函数;
第一判定子单元,用于如果所述判断子单元的判断结果是包含所述S属性的函数,则判定是通过所述SU提权方式创建所述子进程;
第二判定子单元,用于如果所述判断子单元的判断结果是不包含所述S属性的函数,则判定不是通过所述SU提权方式创建所述子进程。
进一步地,所述第一拦截单元包括:
加入子单元,用于在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动所述注入器的指令,从而将所述SU提权方式转换为启动所述注入器并提升所述注入器的权限,其中所述-C参数为特定用户执行参数。
进一步地,所述拦截模块包括:
第三拦截单元,用于在所述父进程通过fork函数创建出所述子进程的镜像,所述父进程通过Execve函数调用所述子进程对应的路径参数时,拦截所述Execve函数的调用命令,将所述调用命令中所述子进程对应的路径参数替换为所述注入器对应的路径参数,从而创建所述注入器。
进一步地,所述注入模块包括:
第一创建单元,用于通过所述注入器创建出所述监控进程的镜像;
第一注入单元,用于通过所述注入器将所述Hook监控模块注入所述监控进程的镜像,创建所述监控进程。
进一步地,所述注入模块还包括:
第二创建单元,用于通过所述注入器创建所述子进程的镜像;
解析单元,用于解析拦截所述子进程的创建时所获取的Execve函数的调用命令中所述子进程对应的路径参数,使得所述注入器根据所述子进程对应的路径参数调用所述子进程对应的组件,并将所述子进程对应的组件加载进所述子进程的镜像;
第二注入单元,用于将注入所述Hook监控模块的所述监控进程注入所述子进程的镜像,命令所述子进程加载分享S属性,从而完成对所述子进程的创建。
进一步地,所述监控模块包括:
监控单元,用于命令所述Hook监控模块通过所述S属性对所述子进程的运行进行监控;
执行单元,用于当通过所述Hook监控模块监控到所述子进程通过Execve函数和/或Fork函数创建进程时,将所述子进程作为所述父进程,执行所述进程监控方法。
进一步地,所述父进程包括:JAVA类进程或Native类进程;
所述子进程包括:JAVA类子进程或Native类子进程。
为了解决上述问题,本申请还公开了一种进程监控的智能终端,所述智能终端包括:分发平台和Hook平台;
所述分发平台,用于读取预设的配置文件中的进程监控代码,将所述进程监控代码发送到所述Hook平台中;
所述Hook平台包括:加载模块,用于接收所述进程监控代码,并加载所述进程监控代码;
拦截模块,用于在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
注入模块,用于通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
监控模块,用于在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
与现有技术相比,本申请可以获得包括以下技术效果:
1)通过创建并将监控进程注入子进程,通过监控进程对子进程的运行进行监控,可以实现对任何子进程进行监控,当恶意软件通过创建子进程实施恶意行为时,可以监测到恶意软件的恶意行为,阻止恶意软件的恶意行为、将恶意软件删除等,避免恶意软件的恶意行为对移动终端造成威胁,提高移动终端的安全性。监控进程也可以将恶意行为记录下来,进行报警提示,用户也可以按照所显示的应用程序的信息和调用的信息来判断应用程序是否为恶意应用程序,并在判断为非恶意的正常应用程序的情况下选择允许该应用程序对于服务的调用,以保证该应用程序的正常执行;而在判断为恶意应用程序的情况下选择不允许该应用程序对于服务的调用,以保证系统安全,同时向该恶意应用程序返回表示调用已经成功的虚假服务结果,从而使该恶意应用程序对于根据本申请所进行的拦截一无所知。可以拦截恶意应用程序偷窥电子设备用户的隐私信息的行为,防止恶意应用程序拨打扣费电话、发送扣费短信、访问耗费网络流量的网站,防止恶意应用程序安装木马和病毒程序,防止恶意应用程序记录用户的GPS或网络定位,拦截恶意应用程序弹出骚扰广告信息等等,可以对于任何恶意应用程序对于服务的调用进行拦截,从而提高了系统的安全性。
2)当子进程是通过SU提权方式创建时,通过SU提权方式提升注入器的权限,通过监控进程对子进程的运行进行监控,当恶意软件通过创建子进程实施恶意行为时,可以监测到恶意软件的恶意行为,阻止恶意软件的恶意行为、将恶意软件删除等,避免恶意软件的恶意行为对移动终端造成威胁,提高移动终端的安全性。监控进程也可以将恶意行为记录下来,进行报警提示,用户也可以按照所显示的应用程序的信息和调用的信息来判断应用程序是否为恶意应用程序,并在判断为非恶意的正常应用程序的情况下选择允许该应用程序对于服务的调用,以保证该应用程序的正常执行;而在判断为恶意应用程序的情况下选择不允许该应用程序对于服务的调用,以保证系统安全,同时向该恶意应用程序返回表示调用已经成功的虚假服务结果,从而使该恶意应用程序对于根据本申请所进行的拦截一无所知。可以拦截恶意应用程序偷窥电子设备用户的隐私信息的行为,防止恶意应用程序拨打扣费电话、发送扣费短信、访问耗费网络流量的网站,防止恶意应用程序安装木马和病毒程序,防止恶意应用程序记录用户的GPS或网络定位,拦截恶意应用程序弹出骚扰广告信息等等,可以对于任何恶意应用程序对于服务的调用进行拦截,从而提高了系统的安全性。
当然,实施本申请的任一产品必不一定需要同时达到以上所述的所有技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例一提供的一种进程监控的方法流程图;
图2是本申请实施例二提供的一种进程监控的方法流程图;
图3是本申请实施例三提供的一种进程监控的装置结构示意图;
图4是本申请实施例四提供的一种进程监控的智能终端结构示意图。
具体实施方式
以下将配合附图及实施例来详细说明本申请的实施方式,藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
在一个典型的可以实现本实施例的设置桌面、显示桌面的配置中,该配置包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。此外,“耦接”一词在此包含任何直接及间接的电性耦接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表所述第一装置可直接电性耦接于所述第二装置,或通过其他装置或耦接手段间接地电性耦接至所述第二装置。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
实施例一
图1为本申请实施例一进程监控的方法,该方法可以基于智能终端进行实现;如图1所示,其可以具体包括:
S101:在父进程创建子进程时,拦截子进程的创建,并使用注入器替换子进程,从而创建注入器。
其中,在父进程创建子进程时,拦截子进程的创建,并使用注入器替换子进程,从而创建注入器,包括:
在父进程创建子进程时,父进程首先通过fork函数创建出子进程的镜像,之后会通过Execve函数调用子进程对应的路径参数,这样就完成了子进程的创建。而本申请要获得注入器,就需要利用父进程创建子进程的过程,转而创建注入器。所以本申请在监控到父进程创建子进程时,放过fork函数对子进程的镜像创建,而在父进程通过Execve函数调用子进程对应的路径参数时,拦截Execve函数的调用命令,将调用命令中子进程对应的路径参数替换为注入器对应的路径参数,从而创建注入器。
在本申请中,父进程可以是移动终端中的即时通信应用程序、游戏应用程序、支付应用程序等的JAVA类进程、Native类进程等各种类型的进程。子进程可以是JAVA类子进程、Native类子进程等各种类型的子进程。因此这个创建过程可以是JAVA类进程作为父进程创建Native类子进程,或者是JAVA类进程作为父进程创建JAVA类子进程,也可以是Native类进程作为父进程创建Native类子进程,或者Native类进程作为父进程创建JAVA类子进程。
S102:通过注入器创建监控进程,利用拦截子进程的创建时获取的参数继续创建子进程,并通过监控进程将预设的Hook监控模块注入子进程,从而完成对子进程的创建。
其中,通过注入器创建监控进程,包括:通过注入器创建出监控进程的镜像;通过注入器将预设的Hook监控模块注入监控进程的镜像,创建监控进程。
具体地,对于移动终端中的每个子进程创建一个监控进程,以便对移动终端中的每个子进程的运行进行监控,保证移动终端的安全性。
其中,利用拦截子进程的创建时获取的参数继续创建子进程,并通过监控进程将预设的Hook监控模块注入子进程,从而完成对子进程的创建,包括:通过注入器创建子进程的镜像;解析拦截子进程的创建时所获取的Execve函数的调用命令中子进程对应的路径参数,使得注入器根据子进程对应的路径参数调用子进程对应的组件,并将子进程对应的组件加载进子进程的镜像;将注入Hook监控模块的监控进程注入子进程的镜像,命令子进程加载S(Share,分享)属性,从而完成对子进程的创建。
S103:在完成对子进程的创建后,使监控进程退出运行,通过Hook监控模块对子进程的运行进行监控。
具体来说,命令Hook监控模块通过S属性对子进程的运行进行监控;当通过Hook监控模块监控到子进程通过Execve函数和/或Fork函数创建进程时,将子进程作为父进程,用本申请步骤S101至S103的进程监控方法继续为新创建的进程注入带有Hook监控模块的监控进程。
另外,当子进程在运行过程中出现恶意行为,例如,恶意进程通过创建子进程的方式将自身的恶意代码注入子进程,而在现有技术中是无法监控到子进程的,所以导致恶意程序屡杀不尽;或者进程本身不直接进行任何恶意行为,但是进程将恶意代码注入子进程,通过这个子进程不断弹出广告窗口、在后台进行各种消耗流量的行为、自动删除系统内的程序软件、自动将自身标识加入杀毒软件的白名单库等,而在现有技术中是无法监控到子进程的,所以导致无法知道弹出广告窗口是哪个程序触发的、无法知道流量是如何消耗掉的、无法知道系统内的程序软件如何莫名其妙的被卸载了、总也查杀不到恶意软件的存在等等。
通过本申请的Hook监控模块对子进程的运行进行监控,Hook监控模块可以将恶意行为记录下来,并进行报警等提示,以便阻止子进程。其中,恶意行为包括通过子进程操作移动终端的短信和弹窗、在后台自动联网并进行数据交换、自动卸载程序软件、申请Su、将子进程的名单放在白名单等。Hook监控模块将恶意行为记录下来,进行报警提示后,用户也可以按照所显示的应用程序的信息和调用的信息来判断应用程序是否为恶意应用程序,并在判断为非恶意的正常应用程序的情况下选择允许该应用程序对于服务的调用,以保证该应用程序的正常执行;而在判断为恶意应用程序(例如通过所显示的应用程序的信息或者调用的信息得知其为恶意应用程序)的情况下选择不允许该应用程序对于服务的调用,以保证系统安全,同时向该恶意应用程序返回表示调用已经成功的虚假服务结果,从而使该恶意应用程序对于根据本申请所进行的拦截一无所知。利用本申请的方法,可以拦截恶意应用程序偷窥电子设备用户的隐私信息(包括联系人信息、通话记录、短信、彩信、各种账户及密码等)的行为,防止恶意应用程序拨打扣费电话、发送扣费短信、访问耗费网络流量的网站,防止恶意应用程序安装木马和病毒程序,防止恶意应用程序记录用户的GPS或网络定位,拦截恶意应用程序弹出骚扰广告信息等等,可以对于任何恶意应用程序对于服务的调用进行拦截,从而提高了系统的安全性。
实施例二
图2为本申请实施例二进程监控的方法,该方法可以基于智能终端进行实现;如图2所示,其可以具体包括:
S201:在父进程创建子进程时,判断父进程是否是通过账户切换SU提权方式创建子进程,如果是,则执行S202;否则,执行S203。
其中,判断父进程是否是通过账户切换SU提权方式创建子进程,包括:
判断子进程中是否包含分享S属性的函数;
如果包含S属性的函数,则判定是通过SU提权方式创建子进程;
如果不包含S属性的函数,则判定不是通过SU提权方式创建子进程。
S202:拦截子进程的创建,并使用注入器替换子进程,从而创建注入器,通过账户切换SU提权方式提升注入器的权限,然后执行S204。
具体地,父进程是通过账户切换SU提权方式创建子进程时,父进程首先会启动运行SU提权,这时通过SU来启动注入器,此时的注入器获得最高权限(如:Root权限),如果注入器没有获得SU提权的允许,SU提权会终止通过注入器创建监控进程的操作。
其中,通过账户切换SU提权方式提升注入器的权限,包括:
在账户切换SU提权方式相应的指令中,加入以-C(Command)参数引导的用于启动注入器的指令,从而将SU提权方式转换为启动注入器并提升注入器的权限,其中-C参数为特定用户执行参数。
S203:拦截子进程的创建,并使用注入器替换子进程,从而创建注入器,然后执行S204。
在本步骤S203中,父进程并没有启动SU提权,而是直接创建子进程,这时就不需要如步骤S202中通过加入-C(Command)参数启动注入器并提升注入器的权限。后续也不会因为权限的存在而引起无法创建注入器或无法监控的问题。
如果父进程没有通过账户切换SU提权方式创建子进程,那就直接替换创建注入器。
S204:通过注入器创建监控进程,利用拦截子进程的创建时获取的参数继续创建子进程,并通过监控进程将预设的Hook监控模块注入子进程,从而完成对子进程的创建。
具体地,对于移动终端中的每个子进程创建一个监控进程,以便对移动终端中的每个子进程的运行进行监控,保证移动终端的安全性。
S205:在完成对子进程的创建后,使监控进程退出运行,通过Hook监控模块对子进程的运行进行监控。
具体地,通过本申请的Hook监控模块对子进程的运行进行监控,Hook监控模块可以将恶意行为记录下来,并进行报警等提示,以便阻止子进程。其中,恶意行为包括通过子进程操作移动终端的短信和弹窗、在后台自动联网并进行数据交换、自动卸载程序软件、申请Su、将子进程的名单放在白名单等。Hook监控模块将恶意行为记录下来,进行报警提示后,用户也可以按照所显示的应用程序的信息和调用的信息来判断应用程序是否为恶意应用程序,并在判断为非恶意的正常应用程序的情况下选择允许该应用程序对于服务的调用,以保证该应用程序的正常执行;而在判断为恶意应用程序(例如通过所显示的应用程序的信息或者调用的信息得知其为恶意应用程序)的情况下选择不允许该应用程序对于服务的调用,以保证系统安全,同时向该恶意应用程序返回表示调用已经成功的虚假服务结果,从而使该恶意应用程序对于根据本申请所进行的拦截一无所知。利用本申请的方法,可以拦截恶意应用程序偷窥电子设备用户的隐私信息(包括联系人信息、通话记录、短信、彩信、各种账户及密码等)的行为,防止恶意应用程序拨打扣费电话、发送扣费短信、访问耗费网络流量的网站,防止恶意应用程序安装木马和病毒程序,防止恶意应用程序记录用户的GPS或网络定位,拦截恶意应用程序弹出骚扰广告信息等等,可以对于任何恶意应用程序对于服务的调用进行拦截,从而提高了系统的安全性。
具体地,本申请实施例一、二进程监控的方法,可以应用在移动终端的安全卫士、杀毒软件等中,当恶意软件通过创建子进程实施恶意行为(如通过子进程操作移动终端的短信、申请Su、将子进程的名单放在白名单等)时,安全卫士、杀毒软件等通过进程监控的方法监测到恶意软件的恶意行为,则可以阻止恶意软件的恶意行为、将恶意软件删除等,避免恶意软件的恶意行为对移动终端造成威胁。
实施例三
图3为本申请实施例三进程监控的装置,该装置可以基于智能终端进行实现;如图3所示,其可以具体包括:
拦截模块301,用于在父进程创建子进程时,拦截子进程的创建,并使用注入器替换子进程,从而创建注入器;
注入模块302,用于通过注入器创建监控进程,利用拦截子进程的创建时获取的参数继续创建子进程,并通过监控进程将预设的Hook监控模块注入子进程,从而完成对子进程的创建;
监控模块303,用于在完成对子进程的创建后,使监控进程退出运行,通过Hook监控模块对子进程的运行进行监控。
进一步地,拦截模块301包括:
判断单元,用于在父进程创建子进程时,判断父进程是否是通过账户切换SU提权方式创建子进程;
第一拦截单元,用于如果判断单元的判断结果是通过账户切换SU提权方式创建子进程,则拦截子进程的创建,并使用注入器替换子进程,从而创建注入器,通过账户切换SU提权方式提升注入器的权限;
第二拦截单元,用于如果判断单元的判断结果不是通过账户切换SU提权方式创建子进程,则拦截子进程的创建,并使用注入器替换子进程,从而创建注入器。
进一步地,判断单元包括:
判断子单元,用于判断子进程中是否包含分享S属性的函数;
第一判定子单元,用于如果判断子单元的判断结果是包含S属性的函数,则判定是通过SU提权方式创建子进程;
第二判定子单元,用于如果判断子单元的判断结果是不包含S属性的函数,则判定不是通过SU提权方式创建子进程。
进一步地,第一拦截单元包括:
加入子单元,用于在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动注入器的指令,从而将SU提权方式转换为启动注入器并提升注入器的权限,其中-C参数为特定用户执行参数。
进一步地,拦截模块301包括:
第三拦截单元,用于在监控到父进程通过fork函数创建出子进程的镜像,并通过Execve函数调用子进程对应的路径参数时,拦截Execve函数的调用命令,将调用命令中子进程对应的路径参数替换为注入器对应的路径参数,从而创建注入器。
进一步地,注入模块302包括:
第一创建单元,用于通过注入器创建出监控进程的镜像;
第一注入单元,用于通过注入器将预设的Hook监控模块注入监控进程的镜像,创建监控进程。
进一步地,注入模块302还包括:
第二创建单元,用于通过注入器创建子进程的镜像;
解析单元,用于解析拦截子进程的创建时所获取的Execve函数的调用命令中子进程对应的路径参数,使得注入器根据子进程对应的路径参数调用子进程对应的组件,并将子进程对应的组件加载进子进程的镜像;
第二注入单元,用于将注入Hook监控模块的监控进程注入子进程的镜像,命令子进程加载分享S属性,从而完成对子进程的创建。
进一步地,监控模块303包括:
监控单元,用于命令Hook监控模块通过S属性对子进程的运行进行监控;
执行单元,用于当通过Hook监控模块监控到子进程通过Execve函数和/或Fork函数创建进程时,将子进程作为父进程,执行进程监控方法。
进一步地,父进程包括:JAVA类进程或Native类进程;
子进程包括:JAVA类子进程或Native类子进程。
具体地,通过本申请的Hook监控模块对子进程的运行进行监控,Hook监控模块可以将恶意行为记录下来,并进行报警等提示,以便阻止子进程。其中,恶意行为包括通过子进程操作移动终端的短信和弹窗、在后台自动联网并进行数据交换、自动卸载程序软件、申请Su、将子进程的名单放在白名单等。Hook监控模块将恶意行为记录下来,进行报警提示后,用户也可以按照所显示的应用程序的信息和调用的信息来判断应用程序是否为恶意应用程序,并在判断为非恶意的正常应用程序的情况下选择允许该应用程序对于服务的调用,以保证该应用程序的正常执行;而在判断为恶意应用程序(例如通过所显示的应用程序的信息或者调用的信息得知其为恶意应用程序)的情况下选择不允许该应用程序对于服务的调用,以保证系统安全,同时向该恶意应用程序返回表示调用已经成功的虚假服务结果,从而使该恶意应用程序对于根据本申请所进行的拦截一无所知。利用本申请的方法,可以拦截恶意应用程序偷窥电子设备用户的隐私信息(包括联系人信息、通话记录、短信、彩信、各种账户及密码等)的行为,防止恶意应用程序拨打扣费电话、发送扣费短信、访问耗费网络流量的网站,防止恶意应用程序安装木马和病毒程序,防止恶意应用程序记录用户的GPS或网络定位,拦截恶意应用程序弹出骚扰广告信息等等,可以对于任何恶意应用程序对于服务的调用进行拦截,从而提高了系统的安全性。
实施例四
图4为本申请实施例四进程监控的智能终端;如图4所示,其可以具体包括:
分发平台40和Hook平台50;
分发平台40,用于读取预设的配置文件中的进程监控代码,将进程监控代码发送到Hook平台中;
Hook平台包括50:加载模块501,用于接收进程监控代码,并加载进程监控代码;
拦截模块502,用于在父进程创建子进程时,拦截子进程的创建,并使用注入器替换子进程,从而创建注入器;
注入模块503,用于通过注入器创建监控进程,利用拦截子进程的创建时获取的参数继续创建子进程,并通过监控进程将预设的Hook监控模块注入子进程,从而完成对子进程的创建;
监控模块504,用于在完成对子进程的创建后,使监控进程退出运行,通过Hook监控模块对子进程的运行进行监控。
其中,预设的配置文件中的进程监控代码可以保存在.So文件中。
进一步地,拦截模块502包括:
判断单元,用于在父进程创建子进程时,判断父进程是否是通过账户切换SU提权方式创建子进程;
第一拦截单元,用于如果判断单元的判断结果是通过账户切换SU提权方式创建子进程,则拦截子进程的创建,并使用注入器替换子进程,从而创建注入器,通过账户切换SU提权方式提升注入器的权限;
第二拦截单元,用于如果判断单元的判断结果不是通过账户切换SU提权方式创建子进程,则拦截子进程的创建,并使用注入器替换子进程,从而创建注入器。
进一步地,判断单元包括:
判断子单元,用于判断子进程中是否包含分享S属性的函数;
第一判定子单元,用于如果判断子单元的判断结果是包含S属性的函数,则判定是通过SU提权方式创建子进程;
第二判定子单元,用于如果判断子单元的判断结果是不包含S属性的函数,则判定不是通过SU提权方式创建子进程。
进一步地,第一拦截单元包括:
加入子单元,用于在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动注入器的指令,从而将SU提权方式转换为启动注入器并提升注入器的权限,其中-C参数为特定用户执行参数。
进一步地,拦截模块502包括:
第三拦截单元,用于在监控到父进程通过fork函数创建出子进程的镜像,并通过Execve函数调用子进程对应的路径参数时,拦截Execve函数的调用命令,将调用命令中子进程对应的路径参数替换为注入器对应的路径参数,从而创建注入器。
进一步地,注入模块503包括:
第一创建单元,用于通过注入器创建出监控进程的镜像;
第一注入单元,用于通过注入器将预设的Hook监控模块注入监控进程的镜像,创建监控进程。
进一步地,注入模块503还包括:
第二创建单元,用于通过注入器创建子进程的镜像;
解析单元,用于解析拦截子进程的创建时所获取的Execve函数的调用命令中子进程对应的路径参数,使得注入器根据子进程对应的路径参数调用子进程对应的组件,并将子进程对应的组件加载进子进程的镜像;
第二注入单元,用于将注入Hook监控模块的监控进程注入子进程的镜像,命令子进程加载分享S属性,从而完成对子进程的创建。
进一步地,监控模块504包括:
监控单元,用于命令Hook监控模块通过S属性对子进程的运行进行监控;
执行单元,用于当通过Hook监控模块监控到子进程通过Execve函数和/或Fork函数创建进程时,将子进程作为父进程,执行进程监控方法。
进一步地,父进程包括:JAVA类进程或Native类进程;
子进程包括:JAVA类子进程或Native类子进程。
具体地,通过本申请的Hook监控模块对子进程的运行进行监控,Hook监控模块可以将恶意行为记录下来,并进行报警等提示,以便阻止子进程。其中,恶意行为包括通过子进程操作移动终端的短信和弹窗、在后台自动联网并进行数据交换、自动卸载程序软件、申请Su、将子进程的名单放在白名单等。Hook监控模块将恶意行为记录下来,进行报警提示后,用户也可以按照所显示的应用程序的信息和调用的信息来判断应用程序是否为恶意应用程序,并在判断为非恶意的正常应用程序的情况下选择允许该应用程序对于服务的调用,以保证该应用程序的正常执行;而在判断为恶意应用程序(例如通过所显示的应用程序的信息或者调用的信息得知其为恶意应用程序)的情况下选择不允许该应用程序对于服务的调用,以保证系统安全,同时向该恶意应用程序返回表示调用已经成功的虚假服务结果,从而使该恶意应用程序对于根据本申请所进行的拦截一无所知。利用本申请的方法,可以拦截恶意应用程序偷窥电子设备用户的隐私信息(包括联系人信息、通话记录、短信、彩信、各种账户及密码等)的行为,防止恶意应用程序拨打扣费电话、发送扣费短信、访问耗费网络流量的网站,防止恶意应用程序安装木马和病毒程序,防止恶意应用程序记录用户的GPS或网络定位,拦截恶意应用程序弹出骚扰广告信息等等,可以对于任何恶意应用程序对于服务的调用进行拦截,从而提高了系统的安全性。
上述装置、智能终端与前述的方法流程描述对应,不足之处参考上述方法流程的叙述,不再一一赘述。
需要说明的是,本申请的方法、装置和智能终端,可以用在移动终端的防火墙、杀毒等安全防御方面,保护移动终端的安全。
上述说明示出并描述了本申请的若干优选实施例,但如前所述,应当理解本申请并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围,则都应在本申请所附权利要求的保护范围内。
a1、一种进程监控的方法,其特征在于,所述方法包括:
在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
a2、如a1所述的方法,其特征在于,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,包括:
在父进程创建子进程时,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程;
如果是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,通过账户切换SU提权方式提升所述注入器的权限;
如果不是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器。
a3、如a2所述的方法,其特征在于,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程,包括:
判断所述子进程中是否包含分享S属性的函数;
如果包含所述S属性的函数,则判定是通过所述SU提权方式创建所述子进程;
如果不包含所述S属性的函数,则判定不是通过所述SU提权方式创建所述子进程。
a4、如a2所述的方法,其特征在,通过账户切换SU提权方式提升所述注入器的权限,包括:
在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动所述注入器的指令,从而将所述SU提权方式转换为启动所述注入器并提升所述注入器的权限,其中所述-C参数为特定用户执行参数。
a5、如a1所述的方法,其特征在于,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,包括:
监控到所述父进程通过fork函数创建出所述子进程的镜像,并通过Execve函数调用所述子进程对应的路径参数时,拦截所述Execve函数的调用命令,将所述调用命令中所述子进程对应的路径参数替换为所述注入器对应的路径参数,从而创建所述注入器。
a6、如a1所述的方法,其特征在于,通过所述注入器创建监控进程,包括:
通过所述注入器创建出所述监控进程的镜像;
通过所述注入器将所述Hook监控模块注入所述监控进程的镜像,创建所述监控进程。
a7、如a6所述的方法,其特征在于,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建,包括:
通过所述注入器创建所述子进程的镜像;
解析拦截所述子进程的创建时所获取的Execve函数的调用命令中所述子进程对应的路径参数,使得所述注入器根据所述子进程对应的路径参数调用所述子进程对应的组件,并将所述子进程对应的组件加载进所述子进程的镜像;
将注入所述Hook监控模块的所述监控进程注入所述子进程的镜像,命令所述子进程加载分享S属性,从而完成对所述子进程的创建。
a8、如a7所述的方法,其特征在于,通过所述Hook监控模块对所述子进程的运行进行监控,包括:
命令所述Hook监控模块通过所述S属性对所述子进程的运行进行监控;
当通过所述Hook监控模块监控到所述子进程通过Execve函数和/或Fork函数创建进程时,将所述子进程作为所述父进程,执行所述进程监控方法。
a9、如a1-a8任一所述的方法,其特征在于,
所述父进程包括:JAVA类进程或Native类进程;
所述子进程包括:JAVA类子进程或Native类子进程。
b10、一种进程监控的装置,其特征在于,所述装置包括:
拦截模块,用于在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
注入模块,用于通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
监控模块,用于在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
b11、如b10所述的装置,其特征在于,所述拦截模块包括:
判断单元,用于在父进程创建子进程时,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程;
第一拦截单元,用于如果所述判断单元的判断结果是通过账户切换SU提权方式创建所述子进程,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,通过账户切换SU提权方式提升所述注入器的权限;
第二拦截单元,用于如果所述判断单元的判断结果不是通过账户切换SU提权方式创建所述子进程,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器。
b12、如b11所述的装置,其特征在于,所述判断单元包括:
判断子单元,用于判断所述子进程中是否包含分享S属性的函数;
第一判定子单元,用于如果所述判断子单元的判断结果是包含所述S属性的函数,则判定是通过所述SU提权方式创建所述子进程;
第二判定子单元,用于如果所述判断子单元的判断结果是不包含所述S属性的函数,则判定不是通过所述SU提权方式创建所述子进程。
b13、如b11所述的装置,其特征在,所述第一拦截单元包括:
加入子单元,用于在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动所述注入器的指令,从而将所述SU提权方式转换为启动所述注入器并提升所述注入器的权限,其中所述-C参数为特定用户执行参数。
b14、如b10所述的装置,其特征在于,所述拦截模块包括:
第三拦截单元,用于在监控到所述父进程通过fork函数创建出所述子进程的镜像,并通过Execve函数调用所述子进程对应的路径参数时,拦截所述Execve函数的调用命令,将所述调用命令中所述子进程对应的路径参数替换为所述注入器对应的路径参数,从而创建所述注入器。
b15、如b10所述的装置,其特征在于,所述注入模块包括:
第一创建单元,用于通过所述注入器创建出所述监控进程的镜像;
第一注入单元,用于通过所述注入器将所述Hook监控模块注入所述监控进程的镜像,创建所述监控进程。
b16、如b15所述的装置,其特征在于,所述注入模块还包括:
第二创建单元,用于通过所述注入器创建所述子进程的镜像;
解析单元,用于解析拦截所述子进程的创建时所获取的Execve函数的调用命令中所述子进程对应的路径参数,使得所述注入器根据所述子进程对应的路径参数调用所述子进程对应的组件,并将所述子进程对应的组件加载进所述子进程的镜像;
第二注入单元,用于将注入所述Hook监控模块的所述监控进程注入所述子进程的镜像,命令所述子进程加载分享S属性,从而完成对所述子进程的创建。
b17、如b16所述的装置,其特征在于,所述监控模块包括:
监控单元,用于命令所述Hook监控模块通过所述S属性对所述子进程的运行进行监控;
执行单元,用于当通过所述Hook监控模块监控到所述子进程通过Execve函数和/或Fork函数创建进程时,将所述子进程作为所述父进程,执行所述进程监控方法。
b18、如b10-b17任一所述的装置,其特征在于,
所述父进程包括:JAVA类进程或Native类进程;
所述子进程包括:JAVA类子进程或Native类子进程。
b19、一种智能终端,其特征在于,所述智能终端包括:分发平台和Hook平台;
所述分发平台,用于读取预设的配置文件中的进程监控代码,将所述进程监控代码发送到所述Hook平台中;
所述Hook平台包括:加载模块,用于接收所述进程监控代码,并加载所述进程监控代码;
拦截模块,用于在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
注入模块,用于通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
监控模块,用于在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
Claims (10)
1.一种进程监控的方法,其特征在于,所述方法包括:
在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
2.如权利要求1所述的方法,其特征在于,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,包括:
在父进程创建子进程时,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程;
如果是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,通过账户切换SU提权方式提升所述注入器的权限;
如果不是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器。
3.如权利要求2所述的方法,其特征在于,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程,包括:
判断所述子进程中是否包含分享S属性的函数;
如果包含所述S属性的函数,则判定是通过所述SU提权方式创建所述子进程;
如果不包含所述S属性的函数,则判定不是通过所述SU提权方式创建所述子进程。
4.如权利要求2所述的方法,其特征在,通过账户切换SU提权方式提升所述注入器的权限,包括:
在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动所述注入器的指令,从而将所述SU提权方式转换为启动所述注入器并提升所述注入器的权限,其中所述-C参数为特定用户执行参数。
5.如权利要求1所述的方法,其特征在于,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,包括:
监控到所述父进程通过fork函数创建出所述子进程的镜像,并通过Execve函数调用所述子进程对应的路径参数时,拦截所述Execve函数的调用命令,将所述调用命令中所述子进程对应的路径参数替换为所述注入器对应的路径参数,从而创建所述注入器。
6.一种进程监控的装置,其特征在于,所述装置包括:
拦截模块,用于在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
注入模块,用于通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
监控模块,用于在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
7.如权利要求6所述的装置,其特征在于,所述拦截模块包括:
判断单元,用于在父进程创建子进程时,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程;
第一拦截单元,用于如果所述判断单元的判断结果是通过账户切换SU提权方式创建所述子进程,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器,通过账户切换SU提权方式提升所述注入器的权限;
第二拦截单元,用于如果所述判断单元的判断结果不是通过账户切换SU提权方式创建所述子进程,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器。
8.如权利要求7所述的装置,其特征在于,所述判断单元包括:
判断子单元,用于判断所述子进程中是否包含分享S属性的函数;
第一判定子单元,用于如果所述判断子单元的判断结果是包含所述S属性的函数,则判定是通过所述SU提权方式创建所述子进程;
第二判定子单元,用于如果所述判断子单元的判断结果是不包含所述S属性的函数,则判定不是通过所述SU提权方式创建所述子进程。
9.如权利要求7所述的装置,其特征在,所述第一拦截单元包括:
加入子单元,用于在账户切换SU提权方式相应的指令中,加入以-C参数引导的用于启动所述注入器的指令,从而将所述SU提权方式转换为启动所述注入器并提升所述注入器的权限,其中所述-C参数为特定用户执行参数。
10.一种智能终端,其特征在于,所述智能终端包括:分发平台和Hook平台;
所述分发平台,用于读取预设的配置文件中的进程监控代码,将所述进程监控代码发送到所述Hook平台中;
所述Hook平台包括:加载模块,用于接收所述进程监控代码,并加载所述进程监控代码;
拦截模块,用于在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;
注入模块,用于通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;
监控模块,用于在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410433260.8A CN104156662B (zh) | 2014-08-28 | 2014-08-28 | 进程监控的方法、装置和智能终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410433260.8A CN104156662B (zh) | 2014-08-28 | 2014-08-28 | 进程监控的方法、装置和智能终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104156662A true CN104156662A (zh) | 2014-11-19 |
| CN104156662B CN104156662B (zh) | 2017-10-27 |
Family
ID=51882159
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410433260.8A Active CN104156662B (zh) | 2014-08-28 | 2014-08-28 | 进程监控的方法、装置和智能终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104156662B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484176A (zh) * | 2014-12-16 | 2015-04-01 | 北京奇虎科技有限公司 | 一种安卓系统窗口对象获取方法和装置 |
| CN104536839A (zh) * | 2014-12-26 | 2015-04-22 | 北京奇虎科技有限公司 | 进程间进行方法调用的方法及装置 |
| CN104536750A (zh) * | 2014-12-26 | 2015-04-22 | 北京奇虎科技有限公司 | 遍历窗口对象的方法及装置 |
| CN104598809A (zh) * | 2015-02-13 | 2015-05-06 | 北京奇虎科技有限公司 | 程序的监控方法及其防御方法以及相关装置 |
| CN105068916A (zh) * | 2015-08-28 | 2015-11-18 | 福建六壬网安股份有限公司 | 一种基于内核hook的进程行为监控方法 |
| CN105117641A (zh) * | 2015-08-20 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种防止截获系统接口的系统及方法 |
| CN105184151A (zh) * | 2015-09-23 | 2015-12-23 | 北京北信源软件股份有限公司 | 32位进程和64位进程交叉注入方法及装置 |
| CN105574406A (zh) * | 2015-12-23 | 2016-05-11 | 北京奇虎科技有限公司 | 一种进程监控的方法和装置 |
| CN105636051A (zh) * | 2015-12-18 | 2016-06-01 | 北京奇虎科技有限公司 | 用于智能设备的消息拦截方法及系统 |
| CN105653979A (zh) * | 2015-12-29 | 2016-06-08 | 银江股份有限公司 | 一种基于代码注入的隐私信息保护方法 |
| CN105809026A (zh) * | 2014-12-29 | 2016-07-27 | 北京奇虎科技有限公司 | 进程的权限配置方法及装置 |
| CN106203087A (zh) * | 2015-04-29 | 2016-12-07 | 腾讯科技(深圳)有限公司 | 注入防护方法和系统 |
| CN108764481A (zh) * | 2018-05-04 | 2018-11-06 | 国家计算机网络与信息安全管理中心 | 一种基于移动终端行为的信息安全能力评测方法及系统 |
| CN108805541A (zh) * | 2018-05-24 | 2018-11-13 | 陈明栋 | 一种支付方法和系统、存储介质 |
| CN109697338A (zh) * | 2018-12-10 | 2019-04-30 | 深圳市网心科技有限公司 | 一种软件安装拦截方法及相关装置 |
| CN112131565A (zh) * | 2020-09-27 | 2020-12-25 | 浙江华途信息安全技术股份有限公司 | 一种透明加解密防破解的方法及其管理设备 |
| CN112256339A (zh) * | 2019-07-22 | 2021-01-22 | 百度在线网络技术(北京)有限公司 | 多进程管理方法、装置、电子设备和存储介质 |
| CN113220355A (zh) * | 2020-01-20 | 2021-08-06 | 精品科技股份有限公司 | 控制台程序的控制管理方法及系统 |
| CN115469943A (zh) * | 2022-09-22 | 2022-12-13 | 安芯网盾(北京)科技有限公司 | Java虚拟终端命令执行的检测方法及装置 |
| CN115906066A (zh) * | 2023-03-09 | 2023-04-04 | 天翼云科技有限公司 | 进程观测方法、装置、电子设备和可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1477509A (zh) * | 2002-08-19 | 2004-02-25 | 万达信息股份有限公司 | 一种进程自动恢复方法 |
| CN101290587A (zh) * | 2008-06-12 | 2008-10-22 | 中兴通讯股份有限公司 | 一种实现进程启动和监控的方法 |
| US20110219385A1 (en) * | 2010-03-04 | 2011-09-08 | Microsoft Corporation | Virtual environment for server applications, such as web applications |
| CN102314561A (zh) * | 2010-07-01 | 2012-01-11 | 电子科技大学 | 基于api hook的恶意代码自动分析方法和系统 |
| CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
-
2014
- 2014-08-28 CN CN201410433260.8A patent/CN104156662B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1477509A (zh) * | 2002-08-19 | 2004-02-25 | 万达信息股份有限公司 | 一种进程自动恢复方法 |
| CN101290587A (zh) * | 2008-06-12 | 2008-10-22 | 中兴通讯股份有限公司 | 一种实现进程启动和监控的方法 |
| US20110219385A1 (en) * | 2010-03-04 | 2011-09-08 | Microsoft Corporation | Virtual environment for server applications, such as web applications |
| CN102314561A (zh) * | 2010-07-01 | 2012-01-11 | 电子科技大学 | 基于api hook的恶意代码自动分析方法和系统 |
| CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484176B (zh) * | 2014-12-16 | 2018-01-19 | 北京奇虎科技有限公司 | 一种安卓系统窗口对象获取方法和装置 |
| CN104484176A (zh) * | 2014-12-16 | 2015-04-01 | 北京奇虎科技有限公司 | 一种安卓系统窗口对象获取方法和装置 |
| CN104536839A (zh) * | 2014-12-26 | 2015-04-22 | 北京奇虎科技有限公司 | 进程间进行方法调用的方法及装置 |
| CN104536750A (zh) * | 2014-12-26 | 2015-04-22 | 北京奇虎科技有限公司 | 遍历窗口对象的方法及装置 |
| CN104536839B (zh) * | 2014-12-26 | 2019-02-01 | 北京奇虎科技有限公司 | 进程间进行方法调用的方法及装置 |
| CN104536750B (zh) * | 2014-12-26 | 2018-10-30 | 北京奇虎科技有限公司 | 遍历窗口对象的方法及装置 |
| CN105809026A (zh) * | 2014-12-29 | 2016-07-27 | 北京奇虎科技有限公司 | 进程的权限配置方法及装置 |
| CN105809026B (zh) * | 2014-12-29 | 2019-02-01 | 北京奇虎科技有限公司 | 进程的权限配置方法及装置 |
| CN109684824A (zh) * | 2014-12-29 | 2019-04-26 | 北京奇虎科技有限公司 | 进程的权限配置方法及装置 |
| CN109684824B (zh) * | 2014-12-29 | 2021-09-03 | 北京奇虎科技有限公司 | 进程的权限配置方法及装置 |
| CN104598809A (zh) * | 2015-02-13 | 2015-05-06 | 北京奇虎科技有限公司 | 程序的监控方法及其防御方法以及相关装置 |
| CN104598809B (zh) * | 2015-02-13 | 2017-04-19 | 北京奇虎科技有限公司 | 程序的监控方法及其防御方法以及相关装置 |
| CN106203087A (zh) * | 2015-04-29 | 2016-12-07 | 腾讯科技(深圳)有限公司 | 注入防护方法和系统 |
| CN106203087B (zh) * | 2015-04-29 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 注入防护方法、系统、终端以及存储介质 |
| CN105117641A (zh) * | 2015-08-20 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种防止截获系统接口的系统及方法 |
| CN105117641B (zh) * | 2015-08-20 | 2018-04-27 | 上海斐讯数据通信技术有限公司 | 一种防止截获系统接口的系统及方法 |
| CN105068916B (zh) * | 2015-08-28 | 2017-12-08 | 福建六壬网安股份有限公司 | 一种基于内核hook的进程行为监控方法 |
| CN105068916A (zh) * | 2015-08-28 | 2015-11-18 | 福建六壬网安股份有限公司 | 一种基于内核hook的进程行为监控方法 |
| CN105184151B (zh) * | 2015-09-23 | 2018-04-03 | 北京北信源软件股份有限公司 | 32位进程和64位进程交叉注入方法及装置 |
| CN105184151A (zh) * | 2015-09-23 | 2015-12-23 | 北京北信源软件股份有限公司 | 32位进程和64位进程交叉注入方法及装置 |
| CN105636051A (zh) * | 2015-12-18 | 2016-06-01 | 北京奇虎科技有限公司 | 用于智能设备的消息拦截方法及系统 |
| CN105636051B (zh) * | 2015-12-18 | 2019-03-01 | 北京奇虎科技有限公司 | 用于智能设备的消息拦截方法及系统 |
| CN105574406A (zh) * | 2015-12-23 | 2016-05-11 | 北京奇虎科技有限公司 | 一种进程监控的方法和装置 |
| CN105653979A (zh) * | 2015-12-29 | 2016-06-08 | 银江股份有限公司 | 一种基于代码注入的隐私信息保护方法 |
| CN108764481A (zh) * | 2018-05-04 | 2018-11-06 | 国家计算机网络与信息安全管理中心 | 一种基于移动终端行为的信息安全能力评测方法及系统 |
| CN108805541A (zh) * | 2018-05-24 | 2018-11-13 | 陈明栋 | 一种支付方法和系统、存储介质 |
| CN109697338A (zh) * | 2018-12-10 | 2019-04-30 | 深圳市网心科技有限公司 | 一种软件安装拦截方法及相关装置 |
| CN112256339A (zh) * | 2019-07-22 | 2021-01-22 | 百度在线网络技术(北京)有限公司 | 多进程管理方法、装置、电子设备和存储介质 |
| CN112256339B (zh) * | 2019-07-22 | 2023-11-03 | 百度在线网络技术(北京)有限公司 | 多进程管理方法、装置、电子设备和存储介质 |
| CN113220355A (zh) * | 2020-01-20 | 2021-08-06 | 精品科技股份有限公司 | 控制台程序的控制管理方法及系统 |
| CN112131565A (zh) * | 2020-09-27 | 2020-12-25 | 浙江华途信息安全技术股份有限公司 | 一种透明加解密防破解的方法及其管理设备 |
| CN115469943A (zh) * | 2022-09-22 | 2022-12-13 | 安芯网盾(北京)科技有限公司 | Java虚拟终端命令执行的检测方法及装置 |
| CN115906066A (zh) * | 2023-03-09 | 2023-04-04 | 天翼云科技有限公司 | 进程观测方法、装置、电子设备和可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104156662B (zh) | 2017-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104156662A (zh) | 进程监控的方法、装置和智能终端 | |
| US9826093B2 (en) | Mobile terminal calling request message processing method, device and system | |
| CN103761472B (zh) | 基于智能终端设备的应用程序访问方法与装置 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US10136324B2 (en) | Method and apparatus for reading verification information | |
| CN103577750B (zh) | 隐私权限管理方法和装置 | |
| CN102110220A (zh) | 一种应用程序监控方法及装置 | |
| KR101206740B1 (ko) | 보안 등급에 따라 어플리케이션의 실행을 제어하는 모바일 단말기 및 이의 구현방법 | |
| EP2562673B1 (en) | Apparatus and method for securing mobile terminal | |
| CN102347941B (zh) | 一种基于开放平台的安全应用控制方法 | |
| CN103116722A (zh) | 一种通知栏消息的处理方法、装置和系统 | |
| CN104376263A (zh) | 应用程序行为拦截的方法和装置 | |
| CN105830477A (zh) | 集成操作系统的域管理 | |
| CN107196951A (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
| CN102118749A (zh) | 用于移动终端的网络访问控制装置、以及移动终端设备 | |
| CN103944737A (zh) | 用户身份认证方法、第三方认证平台、运营商认证平台 | |
| CN103646215A (zh) | 一种应用程序的安装控制方法、相关系统及装置 | |
| CN107122655B (zh) | 一种基于信任管理的移动应用安全设置推荐系统 | |
| CN103870306A (zh) | 基于智能终端设备安装应用程序的方法与装置 | |
| CN105550584A (zh) | 一种Android平台下基于RBAC的恶意程序拦截及处置方法 | |
| US10902152B2 (en) | Restricting plug-in application recipes | |
| CN111259421A (zh) | 隐私权限的防泄密处理方法、装置、电子设备及存储介质 | |
| CN105260660A (zh) | 智能终端支付环境的监控方法、装置及系统 | |
| CN104281803A (zh) | 一种系统权限管理方法和设备 | |
| CN103763370B (zh) | 一种更改移动终端工作区锁屏密码的方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220721 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right |