CN106096410B - 一种进程控制方法及用户终端 - Google Patents
一种进程控制方法及用户终端 Download PDFInfo
- Publication number
- CN106096410B CN106096410B CN201610390382.2A CN201610390382A CN106096410B CN 106096410 B CN106096410 B CN 106096410B CN 201610390382 A CN201610390382 A CN 201610390382A CN 106096410 B CN106096410 B CN 106096410B
- Authority
- CN
- China
- Prior art keywords
- target
- progress information
- window
- target process
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本发明实施例公开了一种进程控制方法及用户终端,包括:当检测到目标函数被调用时,获取第一目标进程的进程信息,目标函数为用于修改剪贴板监听链所监听的窗口的函数,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程;获取第二目标进程的进程信息,第二目标进程为将目标窗口从剪贴板监听链中移除的进程;检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配;若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,禁止第二目标进程将目标窗口从剪贴板监听链中移除。由此可见,实施该发明实施例能够避免第二目标进程的恶意破坏,以确保窗口所属进程(第一目标进程)的正常操作,提高用户终端的安全性。
Description
技术领域
本发明涉及安全技术领域,尤其涉及一种进程控制方法及用户终端。
背景技术
进程是计算机中程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。而剪贴板是内存中的一块区域,是Windows内置的一个非常有用的工具,通过小小的剪贴板,架起了一座彩桥,使得在各种应用程序之间,传递和共享信息成为可能。在实际应用中发现,操作系统会给剪贴板提供监听链机制,也即,操作系统会对与剪贴板相关的窗口进行实时监听,以使窗口可以接收到剪贴板更新的消息。然而,非法用户可以使用恶意进程将窗口从操作系统的剪贴板监听链中移除,导致在用户复制或者剪切时,该窗口不能接收到剪贴板更新的消息,以至于该窗口的所属进程实施获取剪贴板数据失败,破坏了窗口所属进程的正常操作。
发明内容
本发明实施例提供了一种进程控制方法及用户终端,能够确保窗口所属进程的正常操作。
第一方面,本发明实施例公开了一种进程控制方法,包括:
当检测到目标函数被调用时,获取第一目标进程的进程信息,所述目标函数为用于修改剪贴板监听链所监听的窗口的函数,所述第一目标进程为将被从所述剪贴板监听链中移除的窗口的所属进程;
获取第二目标进程的进程信息,所述第二目标进程为将所述目标窗口从所述剪贴板监听链中移除的进程;
检测所述第一目标进程的进程信息与所述第二目标进程的进程信息是否匹配;
若检测所述第一目标进程的进程信息与所述第二目标进程的进程信息不匹配,禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除。
结合第一方面的实现方式,在第一方面的第一种可能的实现方式中,还可以包括以下步骤:
检测所述第二目标进程是否为恶意进程;
若检测所述第二目标进程为所述恶意进程,则执行所述禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除的步骤。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述第二目标进程的进程信息为进程路径,所述获取第二目标进程的进程信息,包括:
获取所述第二目标进程的进程句柄参数;
根据所述句柄参数从预设的映射表中获取与所述句柄参数匹配的进程路径,其中,所述映射表用于描述进程路径与句柄关系的对应关系。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述检测所述第二目标进程是否为恶意进程,包括:
检测所述第二目标进程的进程路径是否属于预设的恶意进程路径集合;
若检测所述第二目标进程的进程路径属于所述预设的恶意进程路径集合,则确定所述第二目标进程为所述恶意进程;若检测所述第二目标进程的进程路径不属于所述预设的恶意进程路径集合,则确定所述第二目标进程不为所述恶意进程。
结合第一方面的实现方式、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式以及第一方面的第三种可能的实现方式中的任意一种实现方式,在第一方面的第四种可能的实现方式中,还可以包括以下步骤:
若检测所述第一目标进程的进程信息与所述第二目标进程的进程信息匹配,则不对所述第二目标进程进行控制。
第二方面,本发明实施例还公开了一种用户终端,包括:
获取模块,用于当检测到目标函数被调用时,获取第一目标进程的进程信息,所述目标函数为用于修改剪贴板监听链所监听的窗口的函数,所述第一目标进程为将被从所述剪贴板监听链中移除的窗口的所属进程;
所述获取模块,用于获取第二目标进程的进程信息,所述第二目标进程为将所述目标窗口从所述剪贴板监听链中移除的进程;
检测模块,用于检测所述第一目标进程的进程信息与所述第二目标进程的进程信息是否匹配;
控制模块,用于若所述检测模块检测所述第一目标进程的进程信息与所述第二目标进程的进程信息不匹配,则控制所述用户终端禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除。
结合第二方面的用户终端,在第二方面的第一种可能的用户终端中,所述检测模块,还用于检测所述第二目标进程是否为恶意进程;
所述控制模块控制所述用户终端禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除的具体实施方式为若所述检测模块检测所述第二目标进程为所述恶意进程,控制所述用户终端禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除。
结合第二方面的第一种可能的用户终端,在第二方面的第二种可能的用户终端中,所述第二目标进程的进程信息为进程路径,所述获取模块包括:
第一获取单元,用于获取所述第二目标进程的进程句柄参数;
第二获取单元,用于根据所述句柄参数从预设的映射表中获取与所述句柄参数匹配的进程路径,其中,所述映射表用于描述进程路径与句柄关系的对应关系。
结合第二方面的第二种可能的用户终端,在第二方面的第三种可能的用户终端中,所述检测模块包括:
检测单元,用于检测所述第二目标进程的进程路径是否属于预设的恶意进程路径集合;
确定单元,用于若所述检测单元检测所述第二目标进程的进程路径属于所述预设的恶意进程路径集合,则确定所述第二目标进程为所述恶意进程;若所述检测单元检测所述第二目标进程的进程路径不属于所述预设的恶意进程路径集合,则确定所述第二目标进程不为所述恶意进程。
结合第二方面的用户终端、第二方面的第一种可能的用户终端、第二方面的第二种可能的用户终端以及第二方面的第三种可能的用户终端中的任意一种用户终端,在第二方面的第四种可能的用户终端中,所述控制模块,还用于若所述检测模块检测所述第一目标进程的进程信息与所述第二目标进程的进程信息匹配,则不对所述第二目标进程进行控制。
本发明实施例中,当检测到目标函数被调用时,获取第一目标进程的进程信息,目标函数为用于修改剪贴板监听链所监听的窗口的函数,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程;获取第二目标进程的进程信息,第二目标进程为将目标窗口从剪贴板监听链中移除的进程;检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配;若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,禁止第二目标进程将目标窗口从剪贴板监听链中移除。在本发明实施例中,当检测到目标函数被调用时,则说明有窗口将被从剪贴板监听链中移除,则用户终端可以检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配,若检测第一目标进程的进程信息与第二目标进程的进程信息匹配,则说明是第一目标进程自身控制窗口移除剪贴板监听链,则说明是正常的移除行为,若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,则说明目标窗口是被迫从剪贴板监听链移除,则可以禁止第二目标进程将目标窗口从剪贴板监听链中移除,避免第二目标进程的恶意破坏,以确保窗口所属进程(第一目标进程)的正常操作,提高用户终端的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种进程控制方法的流程示意图;
图2是本发明实施例公开的另一种进程控制方法的流程示意图;
图3是本发明实施例公开的一种用户终端的结构示意图;
图4是本发明实施例公开的另一种用户终端的结构示意图;
图5是本发明实施例公开的又一种用户终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种进程控制方法及用户终端,在本发明实施例中,当检测到目标函数被调用时,则说明有窗口将被从剪贴板监听链中移除,则用户终端可以检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配,若检测第一目标进程的进程信息与第二目标进程的进程信息匹配,则说明是第一目标进程自身控制窗口移除剪贴板监听链,且说明是正常的移除行为,若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,则说明目标窗口是被迫从剪贴板监听链移除,则可以禁止第二目标进程将目标窗口从剪贴板监听链中移除,避免第二目标进程的恶意破坏,以确保窗口所属进程(第一目标进程)的正常操作,提高用户终端的安全性。以下分别进行详细描述。
请参阅图1,图1是本发明实施例公开的一种进程控制方法的流程示意图。其中,图1所示的方法可以适用于智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)等用户终端中。如图1所示,该进程控制方法可以包括以下步骤:
101、当检测到目标函数被调用时,获取第一目标进程的进程信息。
本发明实施例中,目标函数为用于修改剪贴板监听链所监听的窗口的函数,也即,当目标函数被调用时,也就意味着当前可能正在修改剪贴板监听链所监听的窗口。举例来说,通常情况下是Hook应用层的ChangeClipboardChain函数,ChangeClipboardChain函数对应于系统内核的函数是NtUserChangeClipboardChain函数,恶意程序可以通过调用内核的NtUserChangeClipboardChain函数来阻止正常窗口对系统剪贴板的监听。也即,NtUserChangeClipboardChain函数也即为上述目标函数。
本发明实施例中,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程。举例来说,将被从剪贴板监听链中移除的窗口为窗口A,窗口A的所属进程为进程A,也即,进程A为上述目标进程。
本发明实施例中,第一目标进程是用户终端中程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是用户终端的操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器;程序是指令、数据及其组织形式的描述,进程是程序的实体。
其中,第一目标进程的进程信息可以包括但不限于进程名称、进程编号、进程句柄数、进程路径以及线程数中的一种或多种。
其中,进程句柄数是WINDOWS用来标识被应用程序所建立或使用的对象的唯一整数,WINDOWS使用各种各样的句柄标识诸如应用程序实例、窗口、控制以及位图等等。WINDOWS句柄有点像C语言中的文件句柄。句柄是一个标识符,是拿来标识对象或者项目的,它就像我们的姓名一样,每个人都会有一个,不同的人的姓名不一样,但是,也可能有一个名字和你一样的人,而句柄则是唯一的。从数据类型上来看它只是一个32位的无符号整数(16位机是16位)。应用程序几乎总是通过调用一个WINDOWS函数来获得一个句柄,之后其他的WINDOWS函数就可以使用该句柄,以引用相应的对象。
具体地,当NtUserChangeClipboardChain函数检测到被调用时,则系统会首先调用HOOK函数,以获取第一目标进程的进程信息。
102、获取第二目标进程的进程信息。
本发明实施例中,第二目标进程为将目标窗口从剪贴板监听链中移除的进程。举例来说,目标窗口为窗口A,将窗口A从剪贴板监听链中移除的进程为进程A,则进程A为上述的第二目标进程。
本发明实施例中,第二目标进程的进程信息可以包括但不限于进程名称、进程编号、进程句柄数、进程路径以及线程数中的一种或多种。
103、检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配。
本发明实施例中,在获取第一目标进程的进程信息以及第二目标进程的进程信息之后,则可以检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配。其中,检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配可以包括检测第一目标进程的进程信息与第二目标进程的进程信息是否一致。具体地,若检测到第一目标进程的进程信息与第二目标进程的进程信息匹配,则说明是目标窗口所属进程(第一目标进程)将目标窗口从剪贴板监听链中移除,而不是恶意进程的攻击行为,则不需要对第二目标进程进行控制;若检测到第一目标进程的进程信息与第二目标进程的进程信息不匹配,则可能第二目标进程为恶意进程,目前正在对系统有攻击破坏行为。
104、若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,禁止第二目标进程将目标窗口从剪贴板监听链中移除。
本发明实施例中,若检测到第一目标进程的进程信息与第二目标进程的进程信息不匹配,则可能第二目标进程为恶意进程,目前正在对系统有攻击破坏行为,则可以禁止第二目标进程将目标窗口从剪贴板监听链中移除。
在图1中,详细描述了当检测到目标函数被调用时,获取第一目标进程的进程信息,目标函数为用于修改剪贴板监听链所监听的窗口的函数,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程;获取第二目标进程的进程信息,第二目标进程为将目标窗口从剪贴板监听链中移除的进程;检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配;若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,禁止第二目标进程将目标窗口从剪贴板监听链中移除。在本发明实施例中,当检测到目标函数被调用时,则说明有窗口将被从剪贴板监听链中移除,则用户终端可以检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配,若检测第一目标进程的进程信息与第二目标进程的进程信息匹配,则说明是第一目标进程自身控制窗口移除剪贴板监听链,则说明是正常的移除行为,若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,则说明目标窗口是被迫从剪贴板监听链移除,则可以禁止第二目标进程将目标窗口从剪贴板监听链中移除,避免第二目标进程的恶意破坏,以确保窗口所属进程(第一目标进程)的正常操作,提高用户终端的安全性。
请参阅图2,图2是本发明实施例公开的另一种进程控制方法的流程示意图。如图2所示,该进程控制方法可以包括以下步骤:
201、当检测到目标函数被调用时,获取第一目标进程的进程信息。
本发明实施例中,目标函数为用于修改剪贴板监听链所监听的窗口的函数,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程。
本发明实施例中,第一目标进程的进程信息可以包括但不限于进程名称、进程编号、进程句柄数、进程路径以及线程数中的一种或多种。
202、获取第二目标进程的进程信息。
本发明实施例中,第二目标进程为将目标窗口从所述剪贴板监听链中移除的进程。
本发明实施例中,第二目标进程的进程信息可以包括但不限于进程名称、进程编号、进程句柄数、进程路径以及线程数中的一种或多种。
本发明实施例中,当第二目标进程的进程信息为进程路径时,则上述获取第二目标进程的进程信息的具体实施方式为获取第二目标进程的进程句柄参数;并根据句柄参数从预设的映射表中获取与句柄参数匹配的进程路径,其中,映射表用于描述进程路径与句柄关系的对应关系。
具体地,预设的映射表用于描述进程路径与句柄关系的对应关系,也即,根据目标进程的句柄参数可以在预设的映射表中查找到第二目标进程的进程路径。
其中,该预设的映射表可以是用户根据需要进行设定,也可以是用户终端根据用户的历史设定记录进行设定,还可以是用户终端系统默认的,本发明实施例不作限定。
其中,句柄参数是WINDOWS用来标识被应用程序所建立或使用的对象的唯一整数,WINDOWS使用各种各样的句柄标识诸如应用程序实例、窗口、控制以及位图等等。WINDOWS句柄有点像C语言中的文件句柄。句柄是一个标识符,是拿来标识对象或者项目的,它就像我们的姓名一样,每个人都会有一个,不同的人的姓名不一样,但是,也可能有一个名字和你一样的人,而句柄则是唯一的。从数据类型上来看它只是一个32位的无符号整数(16位机是16位)。应用程序几乎总是通过调用一个WINDOWS函数来获得一个句柄,之后其他的WINDOWS函数就可以使用该句柄,以引用相应的对象。
203、检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配。
本发明实施例中,在获取第一目标进程的进程信息以及第二目标进程的进程信息之后,则可以检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配。其中,检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配可以包括检测第一目标进程的进程信息与第二目标进程的进程信息是否一致。具体地,若检测到第一目标进程的进程信息与第二目标进程的进程信息匹配,则说明是目标窗口所属进程(第一目标进程)将目标窗口从剪贴板监听链中移除,而不是恶意进程的攻击行为,则不需要对第二目标进程进行控制。
204、若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,检测第二目标进程是否为恶意进程。
本发明实施例中,若检测到第一目标进程的进程信息与第二目标进程的进程信息不匹配,则第二目标进程可能为恶意进程,目前正在对系统有攻击破坏行为,为了进一步确定第二目标进程的进程性质(恶意进程或者非恶意进程),则可以检测第二目标进程是否为恶意进程。
进一步,用户终端检测第二目标进程是否为恶意进程的具体实施方式为检测第二目标进程的进程路径是否属于预设的恶意进程路径集合;若检测第二目标进程的进程路径属于预设的恶意进程路径集合,则确定第二目标进程为恶意进程;若检测第二目标进程的进程路径不属于预设的恶意进程路径集合,则确定第二目标进程不为恶意进程。
本发明实施例中,可以在用户终端中预先设置一个恶意进程路径集合,其中,该恶意进程路径集合可以是用户根据需要设置,并可以实时更新,也可以是用户终端根据用户的历史设定记录进行设定,还可以是用户终端中系统默认的,本发明实施不作限定。
本发明实施例中,在获取第二目标进程的进程路径之后,则可以检测第二目标进程的进程路径是否属于预设恶意进程路径集合,若检测第二目标进程的进程路径属于预设恶意进程路径集合,则说明第二目标进程为恶意进程,若检测第二目标进程的进程路径不属于预设恶意进程路径集合,则说明第二目标进程不为恶意进程。举例来说,若预设恶意进程路径集合为{aedf.exe,3828.exe,aedx.exe,aedg.exe},第二目标进程的进程路径为aedf.exe,则说明第二目标进程的进程路径属于预设恶意进程路径集合,则说明第二目标进程为恶意进程。
205、若检测第二目标进程为恶意进程,禁止第二目标进程将目标窗口从剪贴板监听链中移除。
本发明实施例中,若检测第二目标进程为恶意进程,则第二目标进程将目标窗口从剪贴板监听链中移除是一个非法攻击行为,则用户终端可以禁止第二目标进程将目标窗口从剪贴板监听链中移除,以保证第一目标进程的正常操作,提高用户终端系统的安全性。
在图2中,详细描述了如何确定第二目标进程是否为恶意进程的方式,且在检测到第二目标进程为恶意进程时,用户终端可以禁止第二目标进程将目标窗口从剪贴板监听链中移除,以保证第一目标进程的正常操作,提高用户终端系统的安全性。
请参阅图3,图3是本发明实施例公开的一种用户终端的结构示意图,用于执行上述进程控制方法。其中,图3所示的用户终端可以包括但不限于智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)等用户终端。如图3所示,该用户终端可以包括:
获取模块301,用于当检测到目标函数被调用时,获取第一目标进程的进程信息,目标函数为用于修改剪贴板监听链所监听的窗口的函数,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程。
本发明实施例中,目标函数为用于修改剪贴板监听链所监听的窗口的函数,也即,当目标函数被调用时,也就意味着当前可能正在修改剪贴板监听链所监听的窗口。举例来说,通常情况下是Hook应用层的ChangeClipboardChain函数,ChangeClipboardChain函数对应于系统内核的函数是NtUserChangeClipboardChain函数,恶意程序可以通过调用内核的NtUserChangeClipboardChain函数来阻止正常窗口对系统剪贴板的监听。也即,NtUserChangeClipboardChain函数也即为上述目标函数。
本发明实施例中,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程。举例来说,将被从剪贴板监听链中移除的窗口为窗口A,窗口A的所属进程为进程A,也即,进程A为上述目标进程。
本发明实施例中,第一目标进程是用户终端中程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是用户终端的操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器;程序是指令、数据及其组织形式的描述,进程是程序的实体。
其中,第一目标进程的进程信息可以包括但不限于进程名称、进程编号、进程句柄数、进程路径以及线程数中的一种或多种。
其中,进程句柄数是WINDOWS用来标识被应用程序所建立或使用的对象的唯一整数,WINDOWS使用各种各样的句柄标识诸如应用程序实例、窗口、控制以及位图等等。WINDOWS句柄有点像C语言中的文件句柄。句柄是一个标识符,是拿来标识对象或者项目的,它就像我们的姓名一样,每个人都会有一个,不同的人的姓名不一样,但是,也可能有一个名字和你一样的人,而句柄则是唯一的。从数据类型上来看它只是一个32位的无符号整数(16位机是16位)。应用程序几乎总是通过调用一个WINDOWS函数来获得一个句柄,之后其他的WINDOWS函数就可以使用该句柄,以引用相应的对象。
具体地,当NtUserChangeClipboardChain函数检测到被调用时,则系统会首先调用HOOK函数,以获取模块301获取第一目标进程的进程信息。
获取模块301,用于获取第二目标进程的进程信息,第二目标进程为将目标窗口从剪贴板监听链中移除的进程。
本发明实施例中,第二目标进程为将目标窗口从剪贴板监听链中移除的进程。举例来说,目标窗口为窗口A,将窗口A从剪贴板监听链中移除的进程为进程A,则进程A为上述的第二目标进程。
本发明实施例中,第二目标进程的进程信息可以包括但不限于进程名称、进程编号、进程句柄数、进程路径以及线程数中的一种或多种。
检测模块302,用于检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配。
本发明实施例中,在获取模块301获取第一目标进程的进程信息以及第二目标进程的进程信息之后,则检测模块302可以检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配。其中,检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配可以包括检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息是否一致。具体地,若检测模块302检测到第一目标进程的进程信息与第二目标进程的进程信息匹配,则说明是目标窗口所属进程(第一目标进程)将目标窗口从剪贴板监听链中移除,而不是恶意进程的攻击行为,则不需要对第二目标进程进行控制;若检测模块302检测到第一目标进程的进程信息与第二目标进程的进程信息不匹配,则可能第二目标进程为恶意进程,目前正在对系统有攻击破坏行为。
控制模块303,用于若检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,则控制用户终端禁止第二目标进程将目标窗口从剪贴板监听链中移除。
本发明实施例中,若检测模块302检测到第一目标进程的进程信息与第二目标进程的进程信息不匹配,则可能第二目标进程为恶意进程,目前正在对系统有攻击破坏行为,则控制模块303可以控制用户终端禁止第二目标进程将目标窗口从剪贴板监听链中移除。
在图3中,详细描述了当检测到目标函数被调用时,获取模块301获取第一目标进程的进程信息,目标函数为用于修改剪贴板监听链所监听的窗口的函数,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程;获取模块301获取第二目标进程的进程信息,第二目标进程为将目标窗口从剪贴板监听链中移除的进程;检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配;若检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,禁止第二目标进程将目标窗口从剪贴板监听链中移除。在本发明实施例中,当检测模块302检测到目标函数被调用时,则说明有窗口将被从剪贴板监听链中移除,则检测模块302可以检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配,若检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息匹配,则说明是第一目标进程自身控制窗口移除剪贴板监听链,则说明是正常的移除行为,若检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,则说明目标窗口是被迫从剪贴板监听链移除,则控制模块303可以控制用户终端可以禁止第二目标进程将目标窗口从剪贴板监听链中移除,避免第二目标进程的恶意破坏,以确保窗口所属进程(第一目标进程)的正常操作,提高用户终端的安全性。
请参阅图4,图4是本发明实施例公开的另一种用户终端的结构示意图,用于执行上述进程控制方法。其中,图4是在图3的基础上进一步细化得到,除包括图3所示的所有模块以外,还可以将各模块细化包括单元,具体地,可参阅以下详细描述。
当第二目标进程的进程信息为进程路径,获取模块301可以进一步细化包括:第一获取单元3010以及第二获取单元3011,其中,
第一获取单元3010,用于获取第二目标进程的进程句柄参数。
第二获取单元3011,用于根据句柄参数从预设的映射表中获取与句柄参数匹配的进程路径,其中,映射表用于描述进程路径与句柄关系的对应关系。
进一步,检测模块302可以进一步细化包括:检测单元3020以及确定单元3021,其中,
检测单元3020,用于检测第二目标进程的进程路径是否属于预设的恶意进程路径集合。
确定单元3021,用于若检测单元3020检测第二目标进程的进程路径属于预设的恶意进程路径集合,则确定第二目标进程为恶意进程;若检测单元3020检测第二目标进程的进程路径不属于预设的恶意进程路径集合,则确定第二目标进程不为恶意进程。
本发明实施例中,检测模块302还用于检测第二目标进程是否为恶意进程。
控制模块303控制用户终端禁止第二目标进程将目标窗口从剪贴板监听链中移除的具体实施方式为若检测模块302检测第二目标进程为恶意进程,控制用户终端禁止第二目标进程将目标窗口从剪贴板监听链中移除。
本发明实施例中,控制模块303还用于若检测模块302检测第一目标进程的进程信息与第二目标进程的进程信息匹配,则不对第二目标进程进行控制。
通过实施图4所示的实施方式,当确定第二目标进程为恶意进程时,能够禁止第二目标进程将目标窗口从剪贴板监听链中移除,从而能够避免第二目标进程的恶意破坏,以确保窗口所属进程(第一目标进程)的正常操作,提高用户终端的安全性。
请参阅图5,图5是本发明实施例公开的又一种用户终端的结构示意图,用于执行上述进程控制方法。其中,如图5所示,该用户终端可以包括:壳体501、处理器502,存储器503,显示屏504,电路板505和电源电路506等组件。其中,电路板505安置在壳体501围成的空间内部,处理器502和存储器503设置在电路板505上,显示屏504外嵌于壳体501上且连接电路板505。本领域技术人员可以理解,图5中示出的用户终端的结构并不构成对本发明实施例的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器502为用户终端的控制中心,利用各种接口和线路连接整个用户终端的各个部分,通过运行或执行存储在存储器503内的程序和/或模块,以及调用存储在存储器503内的数据,以执行用户终端的各种功能和处理数据。处理器502可以由集成电路(Integrated Circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器502可以仅包括中央处理器(Central Processing Unit,简称CPU),也可以是CPU、数字信号处理器(digital signalprocessor,简称DSP)、图形处理器(Graphic Processing Unit,简称GPU)及各种控制芯片的组合。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
显示屏504可以包括触控面板、触摸屏等,可以用于输出提醒消息、图片等信息,也可以接收用户触发的各项触控操作。
电源电路506,用于为用户终端的各个电路或器件供电。
存储器503可用于存储软件程序以及模块,处理器502通过调用存储在存储器503中的软件程序以及模块,从而执行用户终端的各项功能应用以及实现数据处理。存储器503主要包括程序存储区和数据存储区,其中,程序存储区可存储操作系统、至少一个功能所需的应用程序等;数据存储区可存储根据用户终端的使用所创建的数据等。在本发明实施例中,操作系统可以是Android系统、iOS系统或Windows操作系统等等。
在图5所示的用户终端中,处理器502调用存储在存储器503中的应用程序,用于执行以下操作:
当检测到目标函数被调用时,获取第一目标进程的进程信息,目标函数为用于修改剪贴板监听链所监听的窗口的函数,第一目标进程为将被从剪贴板监听链中移除的窗口的所属进程;
获取第二目标进程的进程信息,第二目标进程为将目标窗口从剪贴板监听链中移除的进程;
检测第一目标进程的进程信息与第二目标进程的进程信息是否匹配;
若检测第一目标进程的进程信息与第二目标进程的进程信息不匹配,禁止第二目标进程将目标窗口从剪贴板监听链中移除。
本发明实施例中,处理器502调用存储在存储器503中的应用程序,还可以用于执行以下步骤:
检测第二目标进程是否为恶意进程;
若检测第二目标进程为恶意进程,则执行禁止第二目标进程将目标窗口从剪贴板监听链中移除的步骤。
本发明实施例中,第二目标进程的进程信息为进程路径,处理器502调用存储在存储器503中的应用程序,执行步骤获取第二目标进程的进程信息,包括:
获取第二目标进程的进程句柄参数;
根据句柄参数从预设的映射表中获取与句柄参数匹配的进程路径,其中,映射表用于描述进程路径与句柄关系的对应关系。
本发明实施例中,处理器502调用存储在存储器503中的应用程序,执行步骤检测第二目标进程是否为恶意进程,包括:
检测第二目标进程的进程路径是否属于预设的恶意进程路径集合;
若检测第二目标进程的进程路径属于预设的恶意进程路径集合,则确定第二目标进程为恶意进程;若检测第二目标进程的进程路径不属于预设的恶意进程路径集合,则确定第二目标进程不为恶意进程。
本发明实施例中,处理器502调用存储在存储器503中的应用程序,还可以用于执行以下步骤:
若检测第一目标进程的进程信息与第二目标进程的进程信息匹配,则不对第二目标进程进行控制。
具体的,本发明实施例中介绍的用户终端可以实施本发明结合图1、图2介绍的进程控制方法实施例中的部分或全部流程。
本发明所有实施例中的模块或子模块,可以通过通用集成电路,例如CPU(CentralProcessing Unit,中央处理器),或通过ASIC(Application Specific IntegratedCircuit,专用集成电路)来实现。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例用户终端中的单元可以根据实际需要进行合并、划分和删减。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,简称RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种进程控制方法,其特征在于,包括:
当检测到目标函数被调用时,获取第一目标进程的进程信息,所述目标函数为用于修改剪贴板监听链所监听的窗口的函数,所述第一目标进程为将被从所述剪贴板监听链中移除的窗口的所属进程;
获取第二目标进程的进程信息,所述第二目标进程为将目标窗口从所述剪贴板监听链中移除的进程;
检测所述第一目标进程的进程信息与所述第二目标进程的进程信息是否匹配;
若检测所述第一目标进程的进程信息与所述第二目标进程的进程信息不匹配,则禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述第二目标进程是否为恶意进程;
若检测所述第二目标进程为所述恶意进程,则执行所述禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除的步骤。
3.根据权利要求2所述的方法,其特征在于,所述第二目标进程的进程信息为进程路径,所述获取第二目标进程的进程信息,包括:
获取所述第二目标进程的进程句柄参数;
根据所述句柄参数从预设的映射表中获取与所述句柄参数匹配的进程路径,其中,所述映射表用于描述进程路径与句柄关系的对应关系。
4.根据权利要求3所述的方法,其特征在于,所述检测所述第二目标进程是否为恶意进程,包括:
检测所述第二目标进程的进程路径是否属于预设的恶意进程路径集合;
若检测所述第二目标进程的进程路径属于所述预设的恶意进程路径集合,则确定所述第二目标进程为所述恶意进程;若检测所述第二目标进程的进程路径不属于所述预设的恶意进程路径集合,则确定所述第二目标进程不为所述恶意进程。
5.根据权利要求1~4中任意一项所述的方法,其特征在于,所述方法还包括:
若检测所述第一目标进程的进程信息与所述第二目标进程的进程信息匹配,则不对所述第二目标进程进行控制。
6.一种用户终端,其特征在于,包括:
获取模块,用于当检测到目标函数被调用时,获取第一目标进程的进程信息,所述目标函数为用于修改剪贴板监听链所监听的窗口的函数,所述第一目标进程为将被从所述剪贴板监听链中移除的窗口的所属进程;
所述获取模块,用于获取第二目标进程的进程信息,所述第二目标进程为将目标窗口从所述剪贴板监听链中移除的进程;
检测模块,用于检测所述第一目标进程的进程信息与所述第二目标进程的进程信息是否匹配;
控制模块,用于若所述检测模块检测所述第一目标进程的进程信息与所述第二目标进程的进程信息不匹配,则控制所述用户终端禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除。
7.根据权利要求6所述的用户终端,其特征在于,
所述检测模块,还用于检测所述第二目标进程是否为恶意进程;
所述控制模块控制所述用户终端禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除的具体实施方式为若所述检测模块检测所述第二目标进程为所述恶意进程,控制所述用户终端禁止所述第二目标进程将所述目标窗口从所述剪贴板监听链中移除。
8.根据权利要求7所述的用户终端,其特征在于,所述第二目标进程的进程信息为进程路径,所述获取模块包括:
第一获取单元,用于获取所述第二目标进程的进程句柄参数;
第二获取单元,用于根据所述句柄参数从预设的映射表中获取与所述句柄参数匹配的进程路径,其中,所述映射表用于描述进程路径与句柄关系的对应关系。
9.根据权利要求8所述的用户终端,其特征在于,所述检测模块包括:
检测单元,用于检测所述第二目标进程的进程路径是否属于预设的恶意进程路径集合;
确定单元,用于若所述检测单元检测所述第二目标进程的进程路径属于所述预设的恶意进程路径集合,则确定所述第二目标进程为所述恶意进程;若所述检测单元检测所述第二目标进程的进程路径不属于所述预设的恶意进程路径集合,则确定所述第二目标进程不为所述恶意进程。
10.根据权利要求6~9中任意一项所述的用户终端,其特征在于,
所述控制模块,还用于若所述检测模块检测所述第一目标进程的进程信息与所述第二目标进程的进程信息匹配,则不对所述第二目标进程进行控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610390382.2A CN106096410B (zh) | 2016-06-02 | 2016-06-02 | 一种进程控制方法及用户终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610390382.2A CN106096410B (zh) | 2016-06-02 | 2016-06-02 | 一种进程控制方法及用户终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106096410A CN106096410A (zh) | 2016-11-09 |
| CN106096410B true CN106096410B (zh) | 2019-04-05 |
Family
ID=57448643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610390382.2A Active CN106096410B (zh) | 2016-06-02 | 2016-06-02 | 一种进程控制方法及用户终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106096410B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109918907B (zh) * | 2019-01-30 | 2021-05-25 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101101621A (zh) * | 2007-07-10 | 2008-01-09 | 北京鼎信高科信息技术有限公司 | 一种通过Windows系统服务监控Windows系统剪贴板的方法 |
| CN103309794A (zh) * | 2013-04-16 | 2013-09-18 | 北京航空航天大学 | 一种基于数据采集与关键字挖掘的自动日志生成系统及方法 |
| CN103425501A (zh) * | 2012-05-14 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 一种安装应用程序的方法、客户端、服务器端及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030171876A1 (en) * | 2002-03-05 | 2003-09-11 | Victor Markowitz | System and method for managing gene expression data |
-
2016
- 2016-06-02 CN CN201610390382.2A patent/CN106096410B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101101621A (zh) * | 2007-07-10 | 2008-01-09 | 北京鼎信高科信息技术有限公司 | 一种通过Windows系统服务监控Windows系统剪贴板的方法 |
| CN103425501A (zh) * | 2012-05-14 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 一种安装应用程序的方法、客户端、服务器端及系统 |
| CN103309794A (zh) * | 2013-04-16 | 2013-09-18 | 北京航空航天大学 | 一种基于数据采集与关键字挖掘的自动日志生成系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于文件保护的防泄密系统研究;刘思超等;《技术研究》;20131130(第11期);全文 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106096410A (zh) | 2016-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106096391B (zh) | 一种进程控制方法及用户终端 | |
| CN106445292B (zh) | 应用程序的分身管理方法及系统 | |
| CN105683981B (zh) | 一种安全交互方法和设备 | |
| CN109726067A (zh) | 一种进程监控方法以及客户端设备 | |
| CN106200891A (zh) | 显示用户界面的方法、装置及系统 | |
| CN110018765A (zh) | 页面显示方法、装置、终端及存储介质 | |
| CN103699835B (zh) | 一种面向Android系统资源的访问控制方法 | |
| CN108605226A (zh) | 一种来电提醒的方法、终端设备和图形用户界面 | |
| CN105556534B (zh) | 用于在发生拒绝时建议响应指南的电子设备和方法 | |
| CN108205619A (zh) | 一种基于安卓系统的多用户管理方法及其装置 | |
| CN106209918A (zh) | 一种网络安全性管理的方法及终端 | |
| CN113766487A (zh) | 云手机信息获取方法、装置、设备和介质 | |
| CN106096410B (zh) | 一种进程控制方法及用户终端 | |
| CN109542546A (zh) | 一种应用进程窗口及界面的投屏方法及装置 | |
| CN110929260A (zh) | 一种恶意软件检测的方法、装置、服务器及可读存储介质 | |
| CN108776633B (zh) | 监控进程运行的方法、终端设备及计算机可读存储介质 | |
| CN108229146A (zh) | 一种基于安卓虚拟容器的安全装置、方法及安全装置的构建方法 | |
| CN105447384B (zh) | 一种反监控的方法、系统及移动终端 | |
| CN112463266A (zh) | 执行策略生成方法、装置、电子设备以及存储介质 | |
| CN107292614A (zh) | 支付类应用程序管理方法、装置及移动终端 | |
| CN106909374A (zh) | 一种智能终端关机状态下实现闹钟的方法及智能终端 | |
| CN107122315A (zh) | 一种访问控制方法及终端 | |
| CN111901318A (zh) | 一种命令注入攻击检测的方法、系统及设备 | |
| CN106055935A (zh) | 一种进程控制方法、装置及电子设备 | |
| CN115600261A (zh) | 一种数据安全防护方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20181204 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |