CN105608375A - 一种进程信息获取方法及装置 - Google Patents
一种进程信息获取方法及装置 Download PDFInfo
- Publication number
- CN105608375A CN105608375A CN201510954371.8A CN201510954371A CN105608375A CN 105608375 A CN105608375 A CN 105608375A CN 201510954371 A CN201510954371 A CN 201510954371A CN 105608375 A CN105608375 A CN 105608375A
- Authority
- CN
- China
- Prior art keywords
- subprocess
- information
- node
- parent
- data table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种进程信息获取方法,包括:当检测到程序正在执行任务项时,获取任务项的进程标识;根据任务项的进程标识,从预先建立的进程数据表中查找与任务项的进程标识相同的标识信息所对应的目标子进程;确定目标子进程所属的进程数据表中的节点;当确定目标子进程属于进程数据表中的目标节点时,获取目标节点中的子进程的进程信息以及目标节点中的父进程的进程信息,进而从进程数据表中的其他节点中获取目标节点中的父进程的上一级进程的进程信息。采用本发明实施例,在某一进程退出的情况下,也可以从预先创建的进程数据表中获取到进程链上的全部进程的进程信息,进而根据获取到进程链信息精确鉴定程序整个运行行为。
Description
技术领域
本发明涉及系统安全技术领域,尤其涉及一种进程信息获取方法及装置。
背景技术
在程序执行过程中,需要通过windowsAPI(ApplicationProgramInterface,应用程序接口)函数获取进程链信息,如:CreateToolhelp32Snapshot,Process32First,Process32Next,OpenProcess,NtQueryInformationProcess等API函数,通过这些API函数可以枚举进程的进程信息,这些进程的进程信息串起来构成一条进程链,该进程链包括子进程、父进程、父父进程、父父父进程以及更上一级的进程等等。但是,这些API函数均只能获取正在运行的进程信息,如果某一进程退出,就无法获取该进程的父进程信息,进而无法根据父进程的进程信息获取进程链上的更上一级的进程信息,比如当父进程退出后,就只能获取到子进程的进程信息,而无法获取到该子进程的父进程、父父进程、父父父进程以及更上一级的进程的进程信息,导致无法最后根据获取到的进程链上的全部进程的进程信息鉴定程序的运行行为。
发明内容
本发明实施例提供一种进程信息获取方法及装置。在某一进程退出的情况下,也可以从预先创建的进程数据表中获取到进程链上的全部进程的进程信息,进而根据获取到进程链信息精确鉴定程序整个运行行为。
本发明第一方面提供了一种进程信息获取方法,包括:
当检测到程序正在执行任务项时,获取所述任务项的进程标识;
根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息;
确定所述目标子进程所属的所述进程数据表中的节点;
当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
其中,所述从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上级进程的进程信息包括:
获取所述目标节点中的父进程的标识信息;
根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;
获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
其中,所述当检测到程序正在执行任务项时,获取所述任务项的进程标识之前,还包括;
通过预设的内核回调函数创建父进程以及子进程,并将所述父进程以及所述子进程作为所述进程数据表中的一个节点,其中,所述子进程与所述父进程存在继承关系。
其中,所述进程信息还包括进程名称以及进程路径信息。
相应地,本发明第二方面提供了一种进程信息获取装置,包括:
标识获取模块,用于当检测到程序正在执行任务项时,获取所述任务项的进程标识;
信息查找模块,用于根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息;
节点确定模块,用于确定所述目标子进程所属的所述进程数据表中的节点
信息获取模块,用于当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
其中,所述信息获取模块还用于:
获取所述目标节点中的父进程的标识信息;
根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;
获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
其中,所述装置还包括:
链表建立模块,用于通过预设的内核回调函数创建父进程以及子进程,并将所述父进程以及所述子进程作为所述进程数据表中的一个节点,其中,所述子进程与所述父进程存在继承关系。
其中,所述进程信息还包括进程名称以及进程路径信息。
实施本发明实施例,首先当检测到程序正在执行任务项时,获取任务项的进程标识;然后根据任务项的进程标识,从预先建立的进程数据表中查找与任务项的进程标识相同的标识信息所对应的目标子进程;其次确定目标子进程所属的进程数据表中的节点;最后当确定目标子进程属于进程数据表中的目标节点时,获取目标节点中的子进程的进程信息以及目标节点中的父进程的进程信息,进而从进程数据表中的其他节点中获取目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定程序的运行行为。从而在某一进程退出的情况下,也可以从预先创建的进程数据表获取到进程链上的全部进程的进程信息,进而根据获取到进程链信息精确鉴定程序整个运行行为。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提出的一种进程信息获取方法的第一实施例流程图;
图2是本发明实施例提供的一种进程数据表的结构示意图;
图3是本发明提出的一种进程信息获取方法的第二实施例流程图;
图4是本发明实施例提出的一种进程信息获取装置的结构示意图;
图5是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1是本发明提出的一种进程信息获取方法的第一实施例流程图。如图所示,本发明实施例中的方法包括:
S101,当检测到程序正在执行任务项时,获取所述任务项的进程标识。
具体实现中,所述任务项包括创建桌面图标,创建文件或写注册表等等。例如,在杀毒软件中注册表监控系统中,如果检测到有进程在写注册表的启动项,则可以获取该正在写启动项的进程的进程标识。其中,进程标识可以为进程PID(portIdentifier)。
S102,根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息。
具体实现中,可以使用所述任务项的进程标识作为索引并依据该索引查找进程数据表。首先查找进程数据表中的每个节点中的子进程的标识信息,然后若进程数据表中的某个节点中的子进程的标识信息与该索引相同,则将该子进程确定为目标子进程。如图2所示,图2是一种进程数据表的结构示意图。该进程数据表包括n个节点,每个节点包括一对父子进程,每个节点都是从进程的内核回调函数里获取到的进程信息,其中,所述进程信息还包括进程名称以及进程路径信息。需要说明的是,进程数据表中的每个节点并没有继承关系,也没有先后创建的顺序,只是表示系统在不同时期所创建的父进程的进程信息以及子进程的进程信息,最后所有节点组合成一个进程数据表。
S103,确定所述目标子进程所属的所述进程数据表中的节点。
S104,当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
例如:若查找到的节点3的子进程的标识信息与索引相同,由于标识信息的唯一性,此时可以确定正在写启动项的进程的进程信息为节点3的子进程的进程信息,而节点3中又保存有与该子进程存在继承关系的父进程的进程信息,因此又可以获取到该父进程的进程信息。
进一步的,可以获取所述目标节点中的父进程的标识信息;根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
例如:在获取到节点3中的父子的进程信息之后,为了获取父父进程、父父父进程,或者更上一级进程信息,可以将节点3中的父进程的标识信息作为索引,查找预先建立的进程数据表,如果查找到节点1中的子进程的标识信息与该索引相同,那么节点1的子进程是节点3中父进程的父进程,进而结合节点3中的父子进程以及节点1中的父子进程构成了一条进程链:节点1中的父进程(父父父进程)-节点1中的子进程(父父进程)-节点3中的父进程-(父进程)节点3中的子进程(子进程),最后可以获取到整个进程链的进程信息。
在本发明实施例中,首先当检测到程序正在执行任务项时,获取任务项的进程标识;然后根据任务项的进程标识,从预先建立的进程数据表中查找与任务项的进程标识相同的标识信息所对应的目标子进程;其次确定目标子进程所属的进程数据表中的节点;最后当确定目标子进程属于进程数据表中的目标节点时,获取目标节点中的子进程的进程信息以及目标节点中的父进程的进程信息,进而从进程数据表中的其他节点中获取目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定程序的运行行为。从而在某一进程退出的情况下,也可以从预先创建的进程数据表获取到进程链上的全部进程的进程信息,进而根据获取到进程链信息精确鉴定程序整个运行行为。
请参考图3,图3是本发明提出的一种进程信息获取方法的第二实施例流程图。如图所示,本发明实施例中的方法包括:
S301,通过预设的内核回调函数创建父进程以及子进程,并将所述父进程以及所述子进程作为所述进程数据表中的一个节点,其中,所述子进程与所述父进程存在继承关系。
例如:杀毒软件系统中可以调用内核函数PspCreateProcessNotifyRoutine实现进程创建回调,在回调函数中的参数包括操作者PID和目标PID,即父进程的标识信息和子进程的标识信息,意为操作者创建了目标,即父进程创建了子进程。将每一对存在继承关系的父子进程保存为进程数据表中的一个节点,如果父父进程创建父进程,父进程又创建子进程,那么可以将父父进程和父进程保存为一个节点,将父进程和子进程保存为另外一个节点,进而最后构建一个进程数据表。
S302,当检测到程序正在执行任务项时,获取所述任务项的进程标识。
具体实现中,所述任务项包括创建桌面图标,创建文件或写注册表等等。例如,在杀毒软件中注册表监控系统中,如果检测到有进程在写注册表的启动项,则可以获取该正在写启动项的进程的进程标识。其中,进程标识可以为进程PID(portIdentifier)。
S303,根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息。
具体实现中,可以使用所述任务项的进程标识作为索引并依据该索引查找进程数据表。首先查找进程数据表中的每个节点的子进程的标识信息,然后若进程数据表中的某个节点中的子进程的标识信息与该索引相同,则将该子进程确定为目标子进程。如图2所示,图2是一种进程数据表的结构示意图。该进程数据表包括n个节点,每个节点包括一对父子进程,每个节点都是从进程的内核回调函数里获取到的进程信息,其中,所述进程信息包括进程名称、进程路径信息以及标识信息中的至少一种。需要说明的是,进程数据表中的每个节点并没有继承关系,也没有先后创建的顺序,只是表示系统在不同时期所创建的父进程的进程信息以及子进程的进程信息,最后所有节点组合成一个进程数据表。
S304,确定所述目标子进程所属的所述进程数据表中的节点。
S305,当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
例如:若查找到的节点3的子进程的标识信息和索引相同,由于标识信息的唯一性,此时可以确定正在写启动项的进程的进程信息为节点3的子进程的进程信息,而节点3中又保存有与该子进程存在继承关系的父进程的进程信息,因此又可以获取到该父进程的进程信息。
进一步的,可以获取所述目标节点中的父进程的标识信息;根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
例如:在获取到节点3中的父子的进程信息之后,为了获取父父进程、父父父进程,或者更上一级进程信息,可以将节点3中的父进程的标识信息作为索引,查找预先建立的进程数据表,如果查找到节点1中的子进程的标识信息与该索引相同,那么节点1的子进程是节点3中父进程的父进程,进而结合节点3中的父子进程以及节点1中的父子进程构成了一条进程链:节点1中的父进程(父父父进程)-节点1中的子进程(父父进程)-节点3中的父进程-(父进程)节点3中的子进程(子进程),最后可以获取到整个进程链的进程信息。
在本发明实施例中,首先当检测到程序正在执行任务项时,获取任务项的进程标识;然后根据任务项的进程标识,从预先建立的进程数据表中查找与任务项的进程标识相同的标识信息所对应的目标子进程;其次确定目标子进程所属的进程数据表中的节点;最后当确定目标子进程属于进程数据表中的目标节点时,获取目标节点中的子进程的进程信息以及目标节点中的父进程的进程信息,进而从进程数据表中的其他节点中获取目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定程序的运行行为。从而在某一进程退出的情况下,也可以从预先创建的进程数据表获取到进程链上的全部进程的进程信息,进而根据获取到进程链信息精确鉴定程序整个运行行为。
请参考图4,图4是本发明实施例提出的一种进程信息获取装置的结构示意图。如图所示,本发明实施例中的装置包括:
标识获取模块401,用于当检测到程序正在执行任务项时,获取所述任务项的进程标识。
具体实现中,所述任务项包括创建桌面图标,创建文件或写注册表等等。例如,在杀毒软件中注册表监控系统中,如果检测到有进程在写注册表的启动项,则可以获取该正在写启动项的进程的进程标识。其中,进程标识可以为进程PID(portIdentifier)。
信息查找模块402,用于根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息。
具体实现中,可以使用所述任务项的进程标识作为索引并依据该索引查找进程数据表。首先查找进程数据表中的每个节点的子进程的标识信息,然后若进程数据表中的某个节点中的子进程的标识信息与该索引相同,则将该子进程确定为目标子进程。如图2所示,图2是一种进程数据表的结构示意图。该进程数据表包括n个节点,每个节点包括一对父子进程,每个节点都是从进程的内核回调函数里获取到的进程信息,其中,所述进程信息包括进程名称、进程路径信息以及标识信息中的至少一种。需要说明的是,进程数据表中的每个节点并没有继承关系,也没有先后创建的顺序,只是表示系统在不同时期所创建的父进程的进程信息以及子进程的进程信息,最后所有节点组合成一个进程数据表。
节点确定模块403,用于确定所述目标子进程所属的所述进程数据表中的节点。
信息获取模块404,用于当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
例如:若查找到的节点3的子进程的标识信息和索引相同,由于标识信息的唯一性,此时可以确定正在写启动项的进程的进程信息为节点3的子进程的进程信息,而节点3中又保存有与该子进程存在继承关系的父进程的进程信息,因此又可以获取到该父进程的进程信息。
进一步的,可以获取所述目标节点中的父进程的标识信息;根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
例如:在获取到节点3中的父子的进程信息之后,为了获取父父进程、父父父进程,或者更上一级进程信息,可以将节点3中的父进程的标识信息作为索引,查找预先建立的进程数据表,如果查找到节点1中的子进程的标识信息与该索引相同,那么节点1的子进程是节点3中父进程的父进程,进而结合节点3中的父子进程以及节点1中的父子进程构成了一条进程链:节点1中的父进程(父父父进程)-节点1中的子进程(父父进程)-节点3中的父进程-(父进程)节点3中的子进程(子进程),最后可以获取到整个进程链的进程信息。
可选的,如图4所示,本发明实施例中的装置还可以包括:
链表建立模块405,用于通过预设的内核回调函数创建父进程以及子进程,并将所述父进程以及所述子进程作为所述进程数据表中的一个节点,其中,所述子进程与所述父进程存在继承关系。
例如:杀毒软件系统中可以调用内核函数PspCreateProcessNotifyRoutine实现进程创建回调,在回调函数中的参数包括操作者PID和目标PID,即父进程的标识信息和子进程的标识信息,意为操作者创建了目标,即父进程创建了子进程。将每一对存在继承关系的父子进程保存为进程数据表中的一个节点,如果父父进程创建父进程,父进程又创建子进程,那么可以将父父进程和父进程保存为一个节点,将父进程和子进程保存为另外一个节点,进而最后构建一个进程数据表。
在本发明实施例中,首先当检测到程序正在执行任务项时,获取任务项的进程标识;然后根据任务项的进程标识,从预先建立的进程数据表中查找与任务项的进程标识相同的标识信息所对应的目标子进程;其次确定目标子进程所属的进程数据表中的节点;最后当确定目标子进程属于进程数据表中的目标节点时,获取目标节点中的子进程的进程信息以及目标节点中的父进程的进程信息,进而从进程数据表中的其他节点中获取目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定程序的运行行为。从而在某一进程退出的情况下,也可以从预先创建的进程数据表获取到进程链上的全部进程的进程信息,进而根据获取到进程链信息精确鉴定程序整个运行行为。
请参考图5,图5是本发明实施例提出的一种电子设备的结构示意图。如图所示,该电子设备可以包括:至少一个处理器501,例如CPU,至少一个接收器503,至少一个存储器504,至少一个发送器505,至少一个通信总线502。其中,通信总线502用于实现这些组件之间的连接通信。其中,本发明实施例中电子设备的接收器503和发送器505可以是有线发送端口,也可以为无线设备,例如包括天线装置,用于与其他节点设备进行信令或数据的通信。存储器504可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器504可选的还可以是至少一个位于远离前述处理器501的存储装置。存储器504中存储一组程序代码,且处理器501用于调用存储器中存储的程序代码,用于执行以下操作:
当检测到程序正在执行任务项时,获取所述任务项的进程标识;
根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息;
确定所述目标子进程所属的所述进程数据表中的节点;
当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
其中,处理器501还用于执行如下操作步骤:
获取所述目标节点中的父进程的标识信息;
根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;
获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
其中,处理器501还用于执行如下操作步骤:
通过预设的内核回调函数创建父进程以及子进程,并将所述父进程以及所述子进程作为所述进程数据表中的一个节点,其中,所述子进程与所述父进程存在继承关系。
其中,所述进程信息还包括进程名称以及进程路径信息。
需要说明的是,对于前述的各个方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某一些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(英文:Read-OnlyMemory,简称:ROM)、随机存取器(英文:RandomAccessMemory,简称:RAM)、磁盘或光盘等。
以上对本发明实施例所提供的内容下载方法及相关设备、系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种进程信息获取方法,其特征在于,所述方法包括:
当检测到程序正在执行任务项时,获取所述任务项的进程标识;
根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息;
确定所述目标子进程所属的所述进程数据表中的节点;
当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
2.如权利要求1所述的方法,其特征在于,所述从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息包括:
获取所述目标节点中的父进程的标识信息;
根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;
获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
3.如权利要求1所述的方法,其特征在于,所述当检测到程序正在执行任务项时,获取所述任务项的进程标识之前,还包括;
通过预设的内核回调函数创建父进程以及子进程,并将所述父进程以及所述子进程作为所述进程数据表中的一个节点,其中,所述子进程与所述父进程存在继承关系。
4.如权利要求1-3任意一项所述的方法,其特征在于,所述进程信息还包括进程名称以及进程路径信息。
5.一种进程信息获取装置,其特征在于,所述装置包括:
标识获取模块,用于当检测到程序正在执行任务项时,获取所述任务项的进程标识;
信息查找模块,用于根据所述任务项的进程标识,从预先建立的进程数据表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程,所述进程数据表包括多个节点,所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信息,所述进程信息包括标识信息;
节点确定模块,用于确定所述目标子进程所属的所述进程数据表中的节点;
信息获取模块,用于当确定所述目标子进程属于所述进程数据表中的目标节点时,获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息,进而从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程的进程信息,以根据获取到的全部进程的进程信息判定所述程序的运行行为。
6.如权利要求5所述的装置,其特征在于,所述信息获取模块还用于:
获取所述目标节点中的父进程的标识信息;
根据所述目标节点中的父进程的标识信息,从所述进程数据表中查找与所述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进程;
获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的进程信息,其中,所述其他节点中的子进程为所述目标节点中的父进程的上一级进程。
7.如权利要求5所述的装置,其特征在于,所述装置还包括:
链表建立模块,用于通过预设的内核回调函数创建父进程以及子进程,并将所述父进程以及所述子进程作为所述进程数据表中的一个节点,其中,所述子进程与所述父进程存在继承关系。
8.如权利要求5-7任意一项所述的装置,其特征在于,所述进程信息还包括进程名称以及进程路径信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510954371.8A CN105608375A (zh) | 2015-12-17 | 2015-12-17 | 一种进程信息获取方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510954371.8A CN105608375A (zh) | 2015-12-17 | 2015-12-17 | 一种进程信息获取方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105608375A true CN105608375A (zh) | 2016-05-25 |
Family
ID=55988303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510954371.8A Pending CN105608375A (zh) | 2015-12-17 | 2015-12-17 | 一种进程信息获取方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105608375A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105844156A (zh) * | 2016-03-22 | 2016-08-10 | 北京金山安全软件有限公司 | 一种进程信息获取方法、装置及电子设备 |
| CN108197041A (zh) * | 2017-12-28 | 2018-06-22 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN111786964A (zh) * | 2020-06-12 | 2020-10-16 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
| CN112182579A (zh) * | 2020-08-28 | 2021-01-05 | 杭州数梦工场科技有限公司 | 进程名单生成方法及装置、异常进程检测方法及装置 |
| CN112395611A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 进程链的处理方法、装置及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN104272267A (zh) * | 2012-05-02 | 2015-01-07 | 提姆斯通公司 | 用于监视计算装置中的资源的方法和计算装置 |
-
2015
- 2015-12-17 CN CN201510954371.8A patent/CN105608375A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN104272267A (zh) * | 2012-05-02 | 2015-01-07 | 提姆斯通公司 | 用于监视计算装置中的资源的方法和计算装置 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105844156A (zh) * | 2016-03-22 | 2016-08-10 | 北京金山安全软件有限公司 | 一种进程信息获取方法、装置及电子设备 |
| CN108197041A (zh) * | 2017-12-28 | 2018-06-22 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN112395611A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 进程链的处理方法、装置及设备 |
| CN112395611B (zh) * | 2019-08-15 | 2024-01-30 | 奇安信安全技术(珠海)有限公司 | 进程链的处理方法、装置及设备 |
| CN111786964A (zh) * | 2020-06-12 | 2020-10-16 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
| CN111786964B (zh) * | 2020-06-12 | 2022-09-30 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
| CN112182579A (zh) * | 2020-08-28 | 2021-01-05 | 杭州数梦工场科技有限公司 | 进程名单生成方法及装置、异常进程检测方法及装置 |
| CN112182579B (zh) * | 2020-08-28 | 2024-05-28 | 杭州数梦工场科技有限公司 | 进程名单生成方法及装置、异常进程检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105608375A (zh) | 一种进程信息获取方法及装置 | |
| US10489591B2 (en) | Detection system and method thereof | |
| AU2019253844B2 (en) | Interactive design and support of a reference architecture | |
| US20120233163A1 (en) | Detecting application similarity | |
| US9977702B2 (en) | Event processing networks | |
| CN107729452B (zh) | 网页加载方法、装置、电子设备及计算机可读存储介质 | |
| CN106202244A (zh) | 网页消息返回方法和网页消息返回系统 | |
| US11402825B2 (en) | Information processing device, control method thereof, and control program | |
| CN111796860A (zh) | 微前端方案实现方法及装置 | |
| CN104573497B (zh) | 一种启动项的处理方法和装置 | |
| US20170169215A1 (en) | Identification of mislabeled samples via phantom nodes in label propagation | |
| US11295258B2 (en) | Cross domain integration in product lifecycle management | |
| CN112540805B (zh) | 集成项目打包方法、装置、设备、存储介质以及程序产品 | |
| CN116501365B (zh) | 基于算法平台的资源调用方法、装置及设备 | |
| EP3975112A1 (en) | Object detection device, object detection method, program, and recording medium | |
| US20160210317A1 (en) | Classifying entities by behavior | |
| CN106294530A (zh) | 规则匹配的方法和系统 | |
| CN115629951B (zh) | 一种任务全链路追踪方法、第一节点、链路系统及介质 | |
| CN114090516A (zh) | 推理应用中模型文件的管理方法及装置 | |
| CN109582347B (zh) | 一种获取前端代码的方法及装置 | |
| CN110288317A (zh) | 一种工作流的撤销方法、装置、电子设备及介质 | |
| US20190037017A1 (en) | Information processing device, information processing method, information processing program and information processing system | |
| CN115098362A (zh) | 页面测试方法、装置、电子设备以及存储介质 | |
| CN105573469B (zh) | 传感器控制方法及装置 | |
| CN114919904A (zh) | 调度方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20181130 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160525 |
|
| RJ01 | Rejection of invention patent application after publication |