CN105303111B - 一种用户终端中恶意进程的识别方法、装置及用户终端 - Google Patents
一种用户终端中恶意进程的识别方法、装置及用户终端 Download PDFInfo
- Publication number
- CN105303111B CN105303111B CN201510676074.1A CN201510676074A CN105303111B CN 105303111 B CN105303111 B CN 105303111B CN 201510676074 A CN201510676074 A CN 201510676074A CN 105303111 B CN105303111 B CN 105303111B
- Authority
- CN
- China
- Prior art keywords
- subprocess
- starting
- operation process
- malicious
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种用户终端中恶意进程的识别方法、装置及用户终端。该方法包括:确定系统内第一运行进程中启动的第一子进程为恶意进程;获取所述第一运行进程在启动所述第一子进程时的启动特征;若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。采用本发明实施例,可在采集恶意样本之前识别出恶意进程,能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
Description
技术领域
本发明涉及软件技术领域,尤其涉及一种用户终端中恶意进程的识别方法、装置及用户终端。
背景技术
目前,随着互联网的发展,提供给用户的软件产品越来越多样化。例如,当用户终端在下载某一软件时,该软件中可能包括进行推广的恶意软件等,恶意软件可指未经用户允许安装执行,会对用户及系统运行产生影响和危害的软件,包括病毒、蠕虫、木马、后门程序、密码盗窃程序及其他有以上所列恶意软件功能的软件。同时,上述恶意软件的更新频率高,变化形式多样,不容易被识别。当前在识别恶意软件的运行进程时,需要首先收集恶意进程样本,即从各种媒介提取到的怀疑是恶意进程的可执行文件或可能包含恶意软件的压缩文件等,识别样本中的文件信息,从而判别该样本是否为恶意进程。然而,当恶意软件在被识别出时,已被进行广泛传播,导致通过收集样本的方式识别恶意软件或其运行进程并对其进行清理存在一定的滞后性。
发明内容
本发明实施例提供了一种用户终端中恶意进程的识别方法、装置及用户终端。采用本发明实施例,可在采集恶意样本之前识别出恶意进程,能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
本发明实施例在第一方面提供了一种用户终端中恶意进程的识别方法,该方法可包括:
确定系统内第一运行进程中启动的第一子进程为恶意进程;
获取所述第一运行进程在启动所述第一子进程时的启动特征;
若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
作为可选的实施例,在所述确定系统内第一运行进程中启动的第一子进程为恶意进程之前,所述方法还包括:
监测所述系统内第一运行进程的执行链条;
记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息。
作为可选的实施例,所述确定系统内第一运行进程中启动的第一子进程为恶意进程,包括:
从所述第一次运行进程的关键行为中获取所述第一运行进程对用户的提示信息;
判断所述提示信息是否提示开启所述第一子进程;
若判断的结果为否,则确定所述第一子进程为恶意进程。
作为可选的实施例,所述确定系统内第一运行进程中启动的第一子进程为恶意进程,包括:
从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;
向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;
当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程。
作为可选的实施例,所述获取所述第一运行进程在启动所述第一子进程时的启动特征,包括:
从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式;
从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数;
将所述结算参数作为所述启动特征。
作为可选的实施例,在所述若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程之前,所述方法还包括:
监测所述第二运行进程的执行链条;
当监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时,判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数;
若判断的结果为是,则识别所述第二子进程为恶意进程。
本发明实施例的第二方面提供了一种用户终端中恶意进程的识别装置,该装置可包括:
确定模块,用于确定系统内第一运行进程中启动的第一子进程为恶意进程;
获取模块,用于获取所述第一运行进程在启动所述第一子进程时的启动特征;
识别模块,用于若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
作为可选的实施例,所述装置还包括:
监测模块,用于在所述确定模块确定系统内第一运行进程中启动的第一子进程为恶意进程之前,监测所述系统内第一运行进程的执行链条;
记录模块,用于记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息。
作为可选的实施例,所述确定模块包括:
信息获取单元,用于从所述第一次运行进程的关键行为中获取所述第一运行进程对用户的提示信息;
信息判断单元,用于判断所述提示信息是否提示开启所述第一子进程;
确定单元,用于当所述判断单元判断的结果为否,则确定所述第一子进程为恶意进程。
作为可选的实施例,所述确定模块包括:
标识获取单元,用于从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;
发送单元,用于向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;
确定单元,用于当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程。
作为可选的实施例,所述获取模块包括:
方式获取单元,用于从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式;
参数获取单元,用于从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数;
定义单元,用于将所述结算参数作为所述启动特征。
作为可选的实施例,所述监测模块还用于监测所述第二运行进程的执行链条;
所述装置还包括:
参数判断模块,用于当所述监测模块监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时,判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数;
其中,所述识别模块还用于当所述参数判断模块判断的结果为是时,识别所述第二子进程为恶意进程。
本发明实施例第三方面提供了一种用户终端,包括用户接口、存储器及处理器,其中,所述存储器用于存储一组程序代码,所述处理器调用所述存储器存储的程序代码以用于执行以下操作:
确定系统内第一运行进程中启动的第一子进程为恶意进程;
获取所述第一运行进程在启动所述第一子进程时的启动特征;
若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
本发明实施例中,通过确定系统内第一运行进程中启动的第一子进程为恶意进程,则可获取第一运行进程在启动第一子进程时的启动特征,并可根据该启动特征匹配其他进程启动子进程的启动方式,若匹配成功,即发现第二运行进程中启动第二子进程时包含启动特征,则可识别第二子进程与第一子进程同为一种恶意进程。从而可在收集第二子进程的样本之前 ,对第二子进程进行识别。能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明中的一种用户终端中恶意进程的识别方法的一实施例的流程图;
图2是本发明中的一种用户终端中恶意进程的识别方法的另一实施例的流程图;
图3是本发明中的一种用户终端中恶意进程的识别装置的一实施例的结构示意图;
图4是本发明中的一种用户终端中恶意进程的识别装置的另一实施例的结构示意图;
图5是本发明中的一种用户终端的一实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面参考附图对本发明的实施例进行描述。其中,本发明实施例中所描述的用户终端可包括手机、平板电脑、笔记本电脑等能够运行应用程序并能够识别恶意进程并对其进行处理的所有终端,其中识别装置可被配置在用户终端中,也可独立被配置于用户终端之外,可通过网络控制用户终端。
参见图1,是本发明中的一种用户终端中恶意进程的识别方法的一实施例的流程图。其中,本发明实施例所述方法可由用户终端对应实现。该方法可包括以下步骤。
步骤S101,确定系统内第一运行进程中启动的第一子进程为恶意进程。
在一个实施例中,可通过确定系统内第一运行进程中启动的第一子进程为恶意进程,以获取其中的启动特征,从而可识别其他运行进程中的恶意进程。具体的,可通过多种方式确定第一子进程为恶意进程。举例说明,用户终端可监测第一运行进程的执行链条。其中,第一运行进程的执行链条包括该运行进程具体开启了多少个子进程,并且可记录开启子进程的方式,以及开启的子进程的进程信息,如进程标识等,同时也可记录第一运行进程在运行过程中的关键行为,其中包括上述的开启子进程,也可包括向用户显示的提示信息,可根据记录的提示信息,解析开启的子进程是否为恶意进程,如提示信息中是否提示用户开启某一子进程,是否提示对该子进程的进程描述,或是否为用户选择需要开启的某一子进程,若不满足上述任一条件,则可判断该子进程为恶意子进程,即未经用户允许或未准确告知用户。又举例说明,用户终端还可在监测到第一运行进程在开启子进程时,获取该子进程的进程标识或进程描述,并且向服务器发送查询请求,查询请求中可携带子进程的进程标识或进程描述,以在服务器存储的恶意进程库中查询是否存在该子进程的进程标识或进程描述,若存在,则服务器可反馈确认响应,表明在恶意进程库中存在该子进程的进程标识或进程描述,若服务器反馈否认响应,则表明不存在。可选的,也可根据上述方式同时判断子进程是否为恶意进程,即向服务器查询不存在后,还可通过监测进程关键行为来进一步判断子进程是否为恶意进程,在此,本发明不做限定。
步骤S102,获取所述第一运行进程在启动所述第一子进程时的启动特征。
在一个实施例中,当确定第一运行进程启动的第一子进程为恶意进程后,则可获取第一运行进程在启动第一子进程时所携带的启动特征。其中,该启动特征可在开启其他子进程时,即可判断该子进程是否为恶意进程,避免了恶意进程运行时损坏系统或进行恶意传播。启动特征通常为固定参数,即启动特征具备稳定性,通常恶意进程或更换版本的恶意进程通常具备固定相同的启动特征,如对其进行开启的运行进程的结算参数等,从而当获取到启动特征时,在监测其他运行进程启动子进程的过程中,即可根据该固定的启动特征,对其他运行进程启动的子进程进行识别。可选的,若记录了第一运行进程开启第一子进程的启动方式,则可从启动方式中获取启动特征。
步骤S103,若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
在一个实施例中,当获取到该固定的启动特征后,可将该启动特征匹配当前运行进程所开启的子进程,或监测其他运行进程中启动子进程的启动方式中是否包含该启动特征,若存在该启动特征,如第二运行进程启动第二子进程时包含该启动特征,则表明新启动的子进程,即第二子进程与第一子进程为相同的恶意进程,或与第一子进程对应的应用程序版本不同。从而可对识别出的第二子进程进行拦截,或强制结束第二子进程,以避免对系统造成更严重的危害。
本发明实施例中,通过确定系统内第一运行进程中启动的第一子进程为恶意进程,则可获取第一运行进程在启动第一子进程时的启动特征,并可根据该启动特征匹配其他进程启动子进程的启动方式,若匹配成功,即发现第二运行进程中启动第二子进程时包含启动特征,则可识别第二子进程与第一子进程同为一种恶意进程。从而可在收集第二子进程的样本之前 ,对第二子进程进行识别。能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
参见图2,是本发明中的一种用户终端中恶意进程的识别方法的另一实施例的流程图。其中,本发明实施例所述方法可由用户终端对应实现。该方法可包括以下步骤。
步骤S201,监测系统内第一运行进程的执行链条。
在一个实施例中,用户终端可监测系统内第一运行进程的执行链条。其中,执行链条可为树状结构,包括第一运行进程具体开启了几个子进程,并且子进程开启其下一级子进程等。通过检测系统内第一运行进程的执行链条,可获知具体开启了几个子进程,以及子进程的进程特征等。
步骤S202,记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息。
在一个实施例中,监测第一运行进程的执行链条时,可记录下列至少一种信息:在执行链条中第一运行进程启动子进程的启动方式,第一运行进程的关键行为,启动子进程的进程信息等。其中,第一运行进程启动子进程的启动方式包括启动参数等启动特征,也可包括具体的启动行为,如安装启动,查询启动等;第一运行进程的关键行为包括与用户的交互过程,如向用户提示信息,以及获取用户的输入操作等;启动的子进程的进程信息可包括进程标识、进程特征、进程描述等。通过记录第一运行进程启动子进程的启动方式,可解析出其中的启动特征,从而可根据该启动特征匹配其他运行进程是否存在恶意进程;通过第一运行进程的关键行为或启动子进程的进程信息可判断第一运行进程所启动的子进程是否为恶意进程。具体判断过程可参考以下步骤。
步骤S203,从所述第一次运行进程的关键行为中获取所述第一运行进程对用户的提示信息。
在一个实施例中,通过从所述第一运行进程的关键行为中获取所述第一运行进程对用户的提示信息,可判断该提示信息中是否提示开启第一子进程。其中,提示信息可包括对第一子进程的进程描述、进程特征、进程标识等,以及子进程的安装环境,如在对第一运行进程进行卸载时对子进程进行安装等。使用户通过提示信息,可知晓子进程对应的应用程序的具体情况。
步骤S204,判断所述提示信息是否提示开启所述第一子进程。
在一个实施例中,可通过判断提示信息中是否提示用户开启第一子进程,若未提示,即执行了开启第一子进程的行为,则可判断第一子进程为恶意进程;进一步的,若提示用户开启第一子进程,但对第一子进程未进行清晰描述,则也可判断第一子进程为恶意进程;进一步的,也可通过列表选择的形式提供一个或多个进程对应的应用程序给用户进行选择,若用户未选择开启第一子进程,然而监测到第一运行进程执行了开启第一子进程的行为,则也可判断第一子进程为恶意进程。
步骤S205,若判断的结果为否,则确定所述第一子进程为恶意进程。
在一个实施例中,通过上述方式进行判断,若判断出在用户不知晓或不允许的情况下开启了第一子进程,则可确定第一子进程为恶意进程。
本发明实施例中,步骤S203~步骤S205还可由以下步骤进行代替,即可通过以下方式确认第一子进程为恶意进程。
从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;
向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;
当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程。
在一个实施例中,可从记录的第一运行进程启动的所有子进程的进程信息中提取第一子进程的进程信息,其中,进程信息可包括进程标识、进程特征等,可从提取的第一子进程的进程信息中获取第一子进程的进程标识。并可将包含该进程标识的查询请求发送至服务器,以使服务器根据该查询请求对存储的恶意进程库进行查询,查询恶意进程库中是否存在第一进程的进程标识,若查询到对应的进程标识,则可反馈确认响应,表明存在,若未查询到对应的进程标识,则可反馈否认响应,表明不存在。当用户终端接收到服务器反馈的确认响应后,则可确认第一子进程为恶意进程。
步骤S206,从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式。
在一个实施例中,当确认第一子进程为恶意进程后,可进一步解析第一子进程中的恶意特征。具体的,可从记录的第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式。该启动方式中可具体包括第一子进程对第一运行进程的结算参数,即第一子进程在通过第一运行进程进行推广时,可在启动方式内附加结算参数,以统计第一运行进程的推广次数。
步骤S207,从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数。
在一个实施例中,当获取到第一运行进程在启动第一子进程的启动方式后,可从启动方式中获取第一子进程针对第一运行进程的结算参数,即第一运行进程在开启第一子进程时携带该结算参数,通常该结算参数固定,并且不会随进程版本的变化而变化,因此可将该结算参数作为启动特征,与其他运行进程的开启子进程的过程进行匹配。
步骤S208,将所述结算参数作为所述启动特征。
步骤S209,监测所述第二运行进程的执行链条。
在一个实施例中,当解析出上述启动特征,如结算参数后,即可监测其他运行进程,在本发明实施例中,可监测第二运行进程的执行链条,以判断是否存在与第一子进程性质相同的恶意进程。
步骤S210,当监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时,判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数。
在一个实施例中,当在监测第二运行进程的执行链条的过程中,监测到第二运行进程启动第二子进程时,可判断第二运行进程启动第二子进程的启动方式中是否包括启动特征,如结算参数等,若判断出包含该启动特征,则可无需对第二子进程收集样本进行判断,即可表明该第二子进程为与第一子进程性质相同的恶意进程,其中,该第二子进程有可能与第一子进程版本相同,也可能与第一子进程版本不同。
步骤S211,若判断出在第二运行进程中启动第二子进程时包含所述结算参数,则识别所述第二子进程为恶意进程。
在一个实施例中,可对识别出的第二子进程进行拦截,或强制结束第二子进程,以避免对系统造成更严重的危害。
本发明实施例中,通过确定系统内第一运行进程中启动的第一子进程为恶意进程,则可获取第一运行进程在启动第一子进程时的启动特征,并可根据该启动特征匹配其他进程启动子进程的启动方式,若匹配成功,即发现第二运行进程中启动第二子进程时包含启动特征,则可识别第二子进程与第一子进程同为一种恶意进程。从而可在收集第二子进程的样本之前 ,对第二子进程进行识别。能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
参见图3,是本发明中的一种用户终端中恶意进程的识别装置的一实施例的结构示意图。该装置可包括确定模块301、获取模块302、识别模块303。
其中,确定模块301,用于确定系统内第一运行进程中启动的第一子进程为恶意进程。
在一个实施例中,该装置可通过确定模块301确定系统内第一运行进程中启动的第一子进程为恶意进程,以获取其中的启动特征,从而可识别其他运行进程中的恶意进程。具体的,可通过多种方式确定第一子进程为恶意进程。举例说明,该装置可监测第一运行进程的执行链条。其中,第一运行进程的执行链条包括该运行进程具体开启了多少个子进程,并且可记录开启子进程的方式,以及开启的子进程的进程信息,如进程标识等,同时也可记录第一运行进程在运行过程中的关键行为,其中包括上述的开启子进程,也可包括向用户显示的提示信息,可根据记录的提示信息,解析开启的子进程是否为恶意进程,如提示信息中是否提示用户开启某一子进程,是否提示对该子进程的进程描述,或是否为用户选择需要开启的某一子进程,若不满足上述任一条件,则可判断该子进程为恶意子进程,即未经用户允许或未准确告知用户。又举例说明,该装置还可在监测到第一运行进程在开启子进程时,获取该子进程的进程标识或进程描述,并且向服务器发送查询请求,查询请求中可携带子进程的进程标识或进程描述,以在服务器存储的恶意进程库中查询是否存在该子进程的进程标识或进程描述,若存在,则服务器可反馈确认响应,表明在恶意进程库中存在该子进程的进程标识或进程描述,若服务器反馈否认响应,则表明不存在。可选的,也可根据上述方式同时判断子进程是否为恶意进程,即向服务器查询不存在后,还可通过监测进程关键行为来进一步判断子进程是否为恶意进程,在此,本发明不做限定。
获取模块302,用于获取所述第一运行进程在启动所述第一子进程时的启动特征。
在一个实施例中,当确定模块301确定第一运行进程启动的第一子进程为恶意进程后,则获取模块302可获取第一运行进程在启动第一子进程时所携带的启动特征。其中,该启动特征可在开启其他子进程时,即可判断该子进程是否为恶意进程,避免了恶意进程运行时损坏系统或进行恶意传播。启动特征通常为固定参数,即启动特征具备稳定性,通常恶意进程或更换版本的恶意进程通常具备固定相同的启动特征,如对其进行开启的运行进程的结算参数等,从而当获取到启动特征时,在监测其他运行进程启动子进程的过程中,即可根据该固定的启动特征,对其他运行进程启动的子进程进行识别。可选的,若记录了第一运行进程开启第一子进程的启动方式,则可从启动方式中获取启动特征。
识别模块303,用于若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
在一个实施例中,当获取模块302获取到该固定的启动特征后,识别模块 303可将该启动特征匹配当前运行进程所开启的子进程,或监测其他运行进程中启动子进程的启动方式中是否包含该启动特征,若存在该启动特征,如第二运行进程启动第二子进程时包含该启动特征,则表明新启动的子进程,即第二子进程与第一子进程为相同的恶意进程,或与第一子进程对应的应用程序版本不同。从而可对识别出的第二子进程进行拦截,或强制结束第二子进程,以避免对系统造成更严重的危害。
本发明实施例中,通过确定系统内第一运行进程中启动的第一子进程为恶意进程,则可获取第一运行进程在启动第一子进程时的启动特征,并可根据该启动特征匹配其他进程启动子进程的启动方式,若匹配成功,即发现第二运行进程中启动第二子进程时包含启动特征,则可识别第二子进程与第一子进程同为一种恶意进程。从而可在收集第二子进程的样本之前 ,对第二子进程进行识别。能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
参见图4,是本发明中的一种用户终端中恶意进程的识别装置的另一实施例的结构示意图。该装置可包括:监测模块401、记录模块402、确定模块403、获取模块404、参考判断模块405、识别模块406。
其中,监测模块401,用于监测所述系统内第一运行进程的执行链条。
在一个实施例中,该装置可通过监测模块401监测系统内第一运行进程的执行链条。其中,执行链条可为树状结构,包括第一运行进程具体开启了几个子进程,并且子进程开启其下一级子进程等。通过检测系统内第一运行进程的执行链条,可获知具体开启了几个子进程,以及子进程的进程特征等。
记录模块402,用于记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息。
在一个实施例中,监测模块401监测第一运行进程的执行链条时,记录模块402可记录下列至少一种信息:在执行链条中第一运行进程启动子进程的启动方式,第一运行进程的关键行为,启动子进程的进程信息等。其中,第一运行进程启动子进程的启动方式包括启动参数等启动特征,也可包括具体的启动行为,如安装启动,查询启动等;第一运行进程的关键行为包括与用户的交互过程,如向用户提示信息,以及获取用户的输入操作等;启动的子进程的进程信息可包括进程标识、进程特征、进程描述等。通过记录第一运行进程启动子进程的启动方式,可解析出其中的启动特征,从而可根据该启动特征匹配其他运行进程是否存在恶意进程;通过第一运行进程的关键行为或启动子进程的进程信息可判断第一运行进程所启动的子进程是否为恶意进程。
确定模块403,用于确定系统内第一运行进程中启动的第一子进程为恶意进程。
本发明实施例中,确定模块403可包括以下单元:
信息获取单元4031,用于从所述第一次运行进程的关键行为中获取所述第一运行进程对用户的提示信息。
在一个实施例中,信息获取单元4031通过从所述第一运行进程的关键行为中获取所述第一运行进程对用户的提示信息,可判断该提示信息中是否提示开启第一子进程。其中,提示信息可包括对第一子进程的进程描述、进程特征、进程标识等,以及子进程的安装环境,如在对第一运行进程进行卸载时对子进程进行安装等。使用户通过提示信息,可知晓子进程对应的应用程序的具体情况。
信息判断单元4032,用于判断所述提示信息是否提示开启所述第一子进程。
在一个实施例中,信息判断单元4032可通过判断提示信息中是否提示用户开启第一子进程,若未提示,即执行了开启第一子进程的行为,则可判断第一子进程为恶意进程;进一步的,若提示用户开启第一子进程,但对第一子进程未进行清晰描述,则也可判断第一子进程为恶意进程;进一步的,也可通过列表选择的形式提供一个或多个进程对应的应用程序给用户进行选择,若用户未选择开启第一子进程,然而监测到第一运行进程执行了开启第一子进程的行为,则也可判断第一子进程为恶意进程。
确定单元4033,用于当所述判断单元判断的结果为否,则确定所述第一子进程为恶意进程。
在一个实施例中,通过信息判断单元4032进行判断,若判断出在用户不知晓或不允许的情况下开启了第一子进程,则确定单元4033可确定第一子进程为恶意进程。
本发明实施例中,确定模块403还可包括以下单元:
标识获取单元,用于从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;
发送单元,用于向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;
确定单元,用于当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程。
在一个实施例中,可从记录的第一运行进程启动的所有子进程的进程信息中提取第一子进程的进程信息,其中,进程信息可包括进程标识、进程特征等,标识获取单元可从提取的第一子进程的进程信息中获取第一子进程的进程标识。并发送单元可将包含该进程标识的查询请求发送至服务器,以使服务器根据该查询请求对存储的恶意进程库进行查询,查询恶意进程库中是否存在第一进程的进程标识,若查询到对应的进程标识,则可反馈确认响应,表明存在,若未查询到对应的进程标识,则可反馈否认响应,表明不存在。当该装置接收到服务器反馈的确认响应后,则确定单元可确认第一子进程为恶意进程。
获取模块404,用于获取所述第一运行进程在启动所述第一子进程时的启动特征。
本发明实施例中,获取模块404可包括以下单元:
方式获取单元4041,用于从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式。
在一个实施例中,当确定单元4033确认第一子进程为恶意进程后,可进一步解析第一子进程中的恶意特征。具体的,方式获取单元4041可从记录的第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式。该启动方式中可具体包括第一子进程对第一运行进程的结算参数,即第一子进程在通过第一运行进程进行推广时,可在启动方式内附加结算参数,以统计第一运行进程的推广次数。
参数获取单元4042,用于从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数。
在一个实施例中,当方式获取单元4041获取到第一运行进程在启动第一子进程的启动方式后,参数获取单元4042可从启动方式中获取第一子进程针对第一运行进程的结算参数,即第一运行进程在开启第一子进程时携带该结算参数,通常该结算参数固定,并且不会随进程版本的变化而变化,因此可将该结算参数作为启动特征,与其他运行进程的开启子进程的过程进行匹配。
定义单元4043,用于将所述结算参数作为所述启动特征。
监测模块401,还用于监测所述第二运行进程的执行链条。
在一个实施例中,当解析出上述启动特征,如结算参数后,即监测模块401 可监测其他运行进程,在本发明实施例中,可监测第二运行进程的执行链条,以判断是否存在与第一子进程性质相同的恶意进程。
参数判断模块405,用于当所述监测模块405监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时,判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数。
在一个实施例中,当监测模块401在监测第二运行进程的执行链条的过程中,监测到第二运行进程启动第二子进程时,参数判断模块405可判断第二运行进程启动第二子进程的启动方式中是否包括启动特征,如结算参数等,若判断出包含该启动特征,则可无需对第二子进程收集样本进行判断,即可表明该第二子进程为与第一子进程性质相同的恶意进程,其中,该第二子进程有可能与第一子进程版本相同,也可能与第一子进程版本不同。
识别模块406,用于当所述参数判断模块405判断的结果为是时,识别所述第二子进程为恶意进程。
在一个实施例中,识别模块406可对识别出的第二子进程进行拦截,或强制结束第二子进程,以避免对系统造成更严重的危害。
本发明实施例中,通过确定系统内第一运行进程中启动的第一子进程为恶意进程,则可获取第一运行进程在启动第一子进程时的启动特征,并可根据该启动特征匹配其他进程启动子进程的启动方式,若匹配成功,即发现第二运行进程中启动第二子进程时包含启动特征,则可识别第二子进程与第一子进程同为一种恶意进程。从而可在收集第二子进程的样本之前 ,对第二子进程进行识别。能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
参见图5,是本发明中的一种用户终端的一实施例的结构示意图。该用户终端可以包括:至少一个处理器501,如CPU,至少一个用户接口503,存储器 504以及至少一个通信总线502。其中,通信总线502用于实现这些组件之间的连接通信,用户接口503可以包括显示屏(Display)及键盘(Keyboard),可选的,用户接口503还可以包括标准的有线接口及无线接口,存储器504可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),如至少一个磁盘存储器,可选的,存储器504还可以是至少一个位于远离前述处理器 501的存储装置。其中,存储器504中存储一组程序代码,且处理器501调用存储器504中存储的程序代码,用于执行以下操作:
确定系统内第一运行进程中启动的第一子进程为恶意进程;
获取所述第一运行进程在启动所述第一子进程时的启动特征;
若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
作为可选的实施例,处理器501在确定系统内第一运行进程中启动的第一子进程为恶意进程之前,调用存储器504中的程序代码还用于执行以下操作:
监测所述系统内第一运行进程的执行链条;
记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息。
作为可选的实施例,处理器501确定系统内第一运行进程中启动的第一子进程为恶意进程的具体方式为:
从所述第一次运行进程的关键行为中获取所述第一运行进程对用户的提示信息;
判断所述提示信息是否提示开启所述第一子进程;
若判断的结果为否,则确定所述第一子进程为恶意进程。
作为可选的实施例,处理器501确定系统内第一运行进程中启动的第一子进程为恶意进程的具体方式为:
从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;
向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;
当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程。
作为可选的实施例,处理器501获取所述第一运行进程在启动所述第一子进程时的启动特征的具体方式为:
从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式;
从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数;
将所述结算参数作为所述启动特征。
作为可选的实施例,处理器501在识别所述第二子进程为恶意进程之前,调用存储器504存储的程序代码还用于执行以下操作:
监测所述第二运行进程的执行链条;
当监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时,判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数;
若判断的结果为是,则识别所述第二子进程为恶意进程。
本发明实施例中,通过确定系统内第一运行进程中启动的第一子进程为恶意进程,则可获取第一运行进程在启动第一子进程时的启动特征,并可根据该启动特征匹配其他进程启动子进程的启动方式,若匹配成功,即发现第二运行进程中启动第二子进程时包含启动特征,则可识别第二子进程与第一子进程同为一种恶意进程。从而可在收集第二子进程的样本之前 ,对第二子进程进行识别。能够及时识别恶意进程,从而可及时对其进行拦截,提升了拦截效率。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例终端或设备中的单元或子单元可以根据实际需要进行合并、划分和删减。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备 (可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述的实施方式,并不构成对该技术方案保护范围的限定。任何在上述实施方式的精神和原则之内所作的修改、等同替换和改进等,均应包含在该技术方案的保护范围之内。
Claims (9)
1.一种用户终端中恶意进程的识别方法,其特征在于,包括:
用户终端监测系统内第一运行进程的执行链条;
用户终端记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息;
用户终端确定系统内第一运行进程中启动的第一子进程为恶意进程,包括:所述用户终端从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;所述用户终端向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;所述用户终端当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程;
所述用户终端获取所述第一运行进程在启动所述第一子进程时的启动特征;
若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
2.如权利要求1所述方法,其特征在于,所述用户终端确定系统内第一运行进程中启动的第一子进程为恶意进程,包括:
所述用户终端从所述第一运行进程的关键行为中获取所述第一运行进程对用户的提示信息;
所述用户终端判断所述提示信息是否提示开启所述第一子进程;
若判断的结果为否,则确定所述第一子进程为恶意进程。
3.如权利要求1或2所述方法,其特征在于,所述用户终端获取所述第一运行进程在启动所述第一子进程时的启动特征,包括:
所述用户终端从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式;
所述用户终端从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数;
所述用户终端将所述结算参数作为所述启动特征。
4.如权利要求3所述方法,其特征在于,在所述若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程之前,所述方法还包括:
所述用户终端监测所述第二运行进程的执行链条;
当监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时,判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数;
若判断的结果为是,则识别所述第二子进程为恶意进程。
5.一种用户终端中恶意进程的识别装置,其特征在于,包括:
监测模块,用于在确定模块确定系统内第一运行进程中启动的第一子进程为恶意进程之前,监测所述系统内第一运行进程的执行链条;
记录模块,用于记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息;
确定模块,用于确定系统内第一运行进程中启动的第一子进程为恶意进程;所述确定模块包括:标识获取单元,用于从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;发送单元,用于向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;确定单元,用于当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程;
获取模块,用于获取所述第一运行进程在启动所述第一子进程时的启动特征;
识别模块,用于若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
6.如权利要求5所述装置,其特征在于,所述确定模块包括:
信息获取单元,用于从所述第一运行进程的关键行为中获取所述第一运行进程对用户的提示信息;
信息判断单元,用于判断所述提示信息是否提示开启所述第一子进程;
确定单元,用于当所述判断单元判断的结果为否,则确定所述第一子进程为恶意进程。
7.如权利要求5或6所述装置,其特征在于,所述获取模块包括:
方式获取单元,用于从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式;
参数获取单元,用于从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数;
定义单元,用于将所述结算参数作为所述启动特征。
8.如权利要求7所述装置,其特征在于,
所述监测模块还用于监测所述第二运行进程的执行链条;
所述装置还包括:
参数判断模块,用于当所述监测模块监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时,判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数;
其中,所述识别模块还用于当所述参数判断模块判断的结果为是时,识别所述第二子进程为恶意进程。
9.一种用户终端,其特征在于,包括用户接口、存储器及处理器,其中,所述存储器用于存储一组程序代码,且所述处理器调用所述存储器存储的程序代码以用于执行以下操作:
监测系统内第一运行进程的执行链条;
记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式,所述第一运行进程的关键行为,和/或,所述启动的子进程的进程信息;
确定系统内第一运行进程中启动的第一子进程为恶意进程,包括:所述用户终端从所述启动的子进程的进程信息中获取所述第一子进程的进程标识;所述用户终端向服务器发送查询请求,其中,所述查询请求中包括所述第一子进程的进程标识;所述用户终端当接收到所述服务器针对所述查询请求反馈的确认响应后,则确定所述第一子进程为恶意进程;
获取所述第一运行进程在启动所述第一子进程时的启动特征;
若在第二运行进程中启动第二子进程时包含所述启动特征,则识别所述第二子进程为恶意进程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510676074.1A CN105303111B (zh) | 2015-10-16 | 2015-10-16 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510676074.1A CN105303111B (zh) | 2015-10-16 | 2015-10-16 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105303111A CN105303111A (zh) | 2016-02-03 |
| CN105303111B true CN105303111B (zh) | 2019-02-15 |
Family
ID=55200366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510676074.1A Active CN105303111B (zh) | 2015-10-16 | 2015-10-16 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105303111B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106650436B (zh) * | 2016-12-29 | 2019-09-27 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN114792008A (zh) * | 2022-06-24 | 2022-07-26 | 珠海市魅族科技有限公司 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542196A (zh) * | 2011-11-23 | 2012-07-04 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN103927484A (zh) * | 2014-04-21 | 2014-07-16 | 西安电子科技大学宁波信息技术研究院 | 基于Qemu模拟器的恶意程序行为捕获方法 |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
-
2015
- 2015-10-16 CN CN201510676074.1A patent/CN105303111B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542196A (zh) * | 2011-11-23 | 2012-07-04 | 北京安天电子设备有限公司 | 一种恶意代码发现和预防方法 |
| CN103927484A (zh) * | 2014-04-21 | 2014-07-16 | 西安电子科技大学宁波信息技术研究院 | 基于Qemu模拟器的恶意程序行为捕获方法 |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105303111A (zh) | 2016-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3236381B1 (en) | Virus processing method, apparatus, system and device, and computer storage medium | |
| US20090182794A1 (en) | Error management apparatus | |
| CN111818068B (zh) | 微场景案例的编排验证方法、装置、介质及计算机设备 | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| KR101589649B1 (ko) | 대량의 악성 코드 분석 시스템 및 방법 | |
| CN102375951A (zh) | 网页安全检测方法和系统 | |
| CN102254113A (zh) | 一种检测和拦截移动终端恶意代码的方法及系统 | |
| CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
| CN102469096B (zh) | 一种浏览器网银安全加载方法 | |
| CN102831021A (zh) | 插件拦截或清理的方法及装置 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CN102830991B (zh) | 一种用于实现文件收集、软件包自动安装的方法及装置 | |
| CN102571812A (zh) | 一种网络威胁的跟踪识别方法及装置 | |
| CN105303111B (zh) | 一种用户终端中恶意进程的识别方法、装置及用户终端 | |
| TWI553502B (zh) | 用於應用程式層之防火牆裝置的保護方法與其電腦系統 | |
| CN102957673A (zh) | 一种信息的处理方法、设备和系统 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN106802790B (zh) | 基于云平台的应用用户使用信息管理的方法、设备及系统 | |
| CN105243324A (zh) | 一种用户终端中恶意软件的识别方法、装置及用户终端 | |
| CN111177715A (zh) | 一种移动App漏洞检测方法及装置 | |
| CN103268439A (zh) | 在移动终端外部执行的检测移动终端安全性的方法及设备 | |
| US20180004626A1 (en) | Non-transitory computer-readable storage medium, evaluation method, and evaluation device | |
| CN103139169A (zh) | 基于网络行为的病毒检测系统和方法 | |
| RU2747464C2 (ru) | Способ обнаружения вредоносных файлов на основании фрагментов файлов | |
| CN103902897A (zh) | 计算机病毒的判别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20181203 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd. Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |