CN106156610A - 一种进程路径获取方法、装置和电子设备 - Google Patents

一种进程路径获取方法、装置和电子设备 Download PDF

Info

Publication number
CN106156610A
CN106156610A CN201610499986.0A CN201610499986A CN106156610A CN 106156610 A CN106156610 A CN 106156610A CN 201610499986 A CN201610499986 A CN 201610499986A CN 106156610 A CN106156610 A CN 106156610A
Authority
CN
China
Prior art keywords
carrying
data
pid
acquisition
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610499986.0A
Other languages
English (en)
Other versions
CN106156610B (zh
Inventor
李文靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201610499986.0A priority Critical patent/CN106156610B/zh
Publication of CN106156610A publication Critical patent/CN106156610A/zh
Application granted granted Critical
Publication of CN106156610B publication Critical patent/CN106156610B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提出一种进程路径获取方法、装置和电子设备,其中,该方法包括:获取电子设备中正在执行的操作对应的进程标识;根据所述进程标识,获取正在执行的操作对应的进程环境块数据;根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。通过本申请提供的进程路径获取方法、装置和电子设备,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。

Description

一种进程路径获取方法、装置和电子设备
技术领域
本申请涉及安全防护技术领域,尤其涉及一种进程路径获取方法、装置和电子设备。
背景技术
随着互联网技术发展,木马、病毒等恶意程序技术层出不穷。目前,安全程序主要是通过查杀恶意程序的进程,来预防恶意程序攻击电子设备,从而保护电子设备及用户信息的安全。
通常,通过调用系统的内核函数ZwQueryInformationProcess,即可通过系统中的进程句柄表,获取系统中进程路径信息,从而根据恶意程序的进程路径信息,即可查杀恶意程序。但是,若恶意程序抹掉了该进程句柄表中的恶意程序句柄信息,那么安全程序就无法获得恶意程序的进程路径,进而也就失去了对恶意程序的防御能力,从而使恶意程序可以对系统进行攻击。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种进程路径获取方法,该方法保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
本申请的第二个目的在于提出一种进程路径获取装置。
本申请的第三个目的在于提出一种电子设备。
本申请的第四个目的在于提出一种存储介质。
本申请的第五个目的在于提出一种应用程序。
为达上述目的,本申请第一方面实施例提出了一种进程路径获取方法,包括:获取正在执行的操作对应的进程标识;
根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
在第一方面的一种可能的实现形式中,所述根据所述进程标识,获取正在执行的操作对应的进程环境块数据,包括:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
在第一方面的另一种可能的实现形式中,所述附加到正在执行的操作对应的进程空间,包括:
与所述正在执行的操作对应的进程空间进行绑定;
所述根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息之后,还包括:
解除与所述正在执行的操作对应的进程空间的绑定。
在第一方面的又一种可能的实现形式中,所述获取正在执行的操作对应的进程标识,包括:
通过调用获取当前进程标识的内核函数,获取正在执行的操作对应的进程标识。
在第一方面的再一种可能的实现形式中,所述根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息,包括:
通过查询所述进程环境块数据中预设的字段信息,确定所述正在执行的操作对应的进程路径信息。
本申请实施例的进程路径获取方法,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为达上述目的,本申请第二方面实施例提出了一种进程路径获取装置,包括:第一获取模块,用于获取正在执行的操作对应的进程标识;第二获取模块,用于根据所述进程标识,获取正在执行的操作对应的进程环境块数据;确定模块,用于根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
在第二方面的一种可能的实现形式中,所述第二获取模块,具体用于:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
在第二方面的另一种可能的实现形式中,所述第二获取模块,具体用于:
与所述正在执行的操作对应的进程空间进行绑定;
该进程路径获取装置,还包括:
解除模块,用于解除与所述正在执行的操作对应的进程空间的绑定。
在第二方面的又一种可能的实现形式中,所述第一获取模块,具体用于:
通过调用获取当前进程标识的内核函数,获取正在执行的操作对应的进程标识。
在第二方面的再一种可能的实现形式中,所述确定模块,具体用于:
通过查询所述进程环境块数据中预设的字段信息,确定所述正在执行的操作对应的进程路径信息。
本申请实施例的进程路径获取装置,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为达上述目的,本申请第三方面实施例提出了一种电子设备,包括以下一个或多个组件:电路板、壳体、处理器,存储器,电源电路,显示屏,音频组件,输入/输出(I/O)的接口,传感器组件、以及通信组件;其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述电子设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
获取正在执行的操作对应的进程标识;
根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
本申请实施例的电子设备,首先获取电子设备正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为达上述目的,本申请第四方面实施例提出了一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
为达上述目的,本发明第五方面实施例提出了一种应用程序,其中,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本申请一个实施例的进程路径获取方法的流程图;
图2是本申请另一个实施例的进程路径获取方法的流程图;
图3是本申请一个实施例的进程路径获取装置的结构示意图;
图4是本申请另一个实施例的进程路径获取装置的结构示意图;
图5是本申请一个实施例的电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的进程路径获取方法、装置及电子设备。
图1是本申请一个实施例的进程路径获取方法的流程图。
如图1所示,该进程路径获取方法包括:
步骤101,获取电子设备中正在执行的操作对应的进程标识。
具体的,本实施例提供的进程路径获取方法的执行主体为本申请提供的进程路径获取装置。该装置可以被配置在具有操作系统、且可以安装其他程序或者应用的电子设备中,比如手机、计算机等等。
具体而言,进程路径获取装置可以实时监控电子设备中各个应用或者程序的运行情况,并在监测到任意一个应用或者程序在执行操作时,即可获取正在执行的操作对应的进程标识。
举例来说,若监测到电子设备中A进程在执行删除B文件的操作,则可以获取正在执行的操作者A的进程标识。
需要说明的是,进程路径获取装置可以通过监测,获取电子设备中所有应用或者程序执行的操作;或者,也可以仅监测异常或者非法操作,比如,进程路径获取装置在获取正在执行的操作对应的进程标识前,可以判断正在执行的操作是否是文件删除操作、进程创建操作、进程结束操作或模块加载操作等等,若是上述操作,再获取该操作对应的进程标识。
具体的,进程路径获取装置,可以通过调用获取当前进程标识的内核函数PsGetCurrentProcessId的方式,来获取正在执行的操作对应的进程标识。
步骤102,根据所述进程标识,获取所述正在执行的操作对应的进程环境块数据。
步骤103,根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
通常,由于应用或者程序在运行时,就会有对应的进程环境块(ProcessEnvironment Block,简称PEB)数据,且PEB中保存有应用或者程序进程所有的数据结构,因此,本申请实施例中,不使用系统中的获取进程路径的公共函数,而是通过获取当前操作对应的PEB数据,来获取正在执行的操作对应的进程路径信息,从而保证了可以可靠获取到恶意程序的进程路径信息,进而实现对恶意程序的防御和查杀。
具体的,由于正在执行的操作的PEB数据需要在该操作的进程空间中获取,因此上述步骤102,具体包括:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
具体的,可以根据当前操作对应的进程标识,通过调用系统内核函数PsLookupProcessByProcessId,来获取正在执行的操作对应的进程结构块数据(EPROCESS),进而再根据进程结构块数据,通过调用内核函数KeStackAttachProcess,附加到正在执行的操作对应的进程空间,即与所述正在执行的操作对应的进程空间进行绑定,然后再根据进程结构块数据,通过调用内核函数PsGetProcessPeb,获取正在执行的操作对应的PEB。
在PEB结构中,有一个Peb->ProcessParameters字段的结构指针,其结构类型为RTL_USER_PROCESS_PARAMETERS,其中有个ImagePathName就是进程的路径信息。进程路径获取装置,在获得到正在执行的操作对应的PEB后,即可通过查询所述进程环境块数据中预设的字段信息(ImagePathName),来确定所述正在执行的操作对应的进程路径信息。比如,获取的进程路径样式可以如:C:\windows\system32\reg.exe。
本申请实施例的进程路径获取方法,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
图2是本申请另一个实施例的进程路径获取方法的流程图。
如图2所示,在上述步骤103之后,该进程路径获取方法还包括:
步骤201,解除与所述正在执行的操作对应的进程空间的绑定。
具体的,进程路径获取装置,在与正在执行的操作对应的进程空间进行绑定后,才能获取到当前操作对应的进程路径,之后,即可解除与正在执行的操作对应的进程空间的绑定,从而返回系统进程空间,进而再根据正在执行的操作对应的进程路径,判断正在执行的操作是否非法,进而对正在执行的操作进程处理。
其中,进程路径获取装置,可以通过调用内核函数KeUnstackDetachProcess,来解除与正在执行的操作对应的进程空间的绑定。
本申请实施例的进程路径获取方法,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息,之后,再解除与正在执行的操作对应的进程空间的绑定。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为了实现上述实施例,本申请还提出一种进程路径获取装置。
图3是本申请一个实施例的进程路径获取装置的结构示意图。
如图3所示,该进程路径获取装置包括:
第一获取模块31,用于获取电子设备中正在执行的操作对应的进程标识;
第二获取模块32,用于根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
确定模块33,用于根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
具体的,本实施例提供的进程路径获取装置,用于执行上述实施例提供的进程路径获取方法。
其中,所述第一获取模块31,具体用于:
通过调用获取当前进程标识的内核函数PsGetCurrentProcessId,获取正在执行的操作对应的进程标识。
其中,所述第二获取模块32,具体用于:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
进一步地,进程环境块数据中包括当前操作的多个进程数据,其中,有一个Peb->ProcessParameters字段的结构指针,其结构类型为RTL_USER_PROCESS_PARAMETERS,其中有个ImagePathName就是进程的路径信息。因此,上述确定模块33,具体用于:
通过查询所述进程环境块数据中预设的字段信息,确定所述正在执行的操作对应的进程路径信息。
需要说明的是,前述对进程路径获取方法实施例的解释说明也适用于该实施例的进程路径获取装置,此处不再赘述。
本申请实施例的进程路径获取装置,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
图4是本申请另一个实施例的进程路径获取装置的结构示意图,如图4所示,基于图3所示实施例,该进程路径获取装置,还包括:
解除模块41,用于解除与所述正在执行的操作对应的进程空间的绑定。
具体的,进程路径获取装置,在与正在执行的操作对应的进程空间进行绑定后,才能获取到当前操作对应的进程路径,然后,即可解除与正在执行的操作对应的进程空间的绑定,从而返回系统进程空间,进而再根据正在执行的操作对应的进程路径,判断正在执行的操作是否非法,进而对正在执行的操作进程处理。
其中,进程路径获取装置,可以通过调用内核函数KeUnstackDetachProcess,来解除与正在执行的操作对应的进程空间的绑定。
需要说明的是,前述对进程路径获取方法实施例的解释说明也适用于该实施例的进程路径获取装置,此处不再赘述。
本申请实施例的进程路径获取装置,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息,之后,再解除与正在执行的操作对应的进程空间的绑定。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
图5是本申请一个实施例的电子设备的结构示意图。
如图5所示,该电子设备包括:以下一个或多个组件:电路板1、壳体2、处理器3,存储器4,电源电路5,显示屏6,音频组件7,输入/输出(I/O)的接口8,传感器组件9、以及通信组件10;其中,所述电路板1安置在所述壳体2围成的空间内部,所述处理器3和所述存储器4设置在所述电路板1上;所述电源电路5,用于为所述电子设备的各个电路或器件供电;所述存储器4用于存储可执行程序代码;所述处理器3通过读取所述存储器4中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
获取电子设备中正在执行的操作对应的进程标识;
根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
需要说明的是,前述对进程路径获取方法实施例的解释说明也适用于该实施例的电子设备,此处不再赘述。
本申请实施例的电子设备,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
基于上述实施例提供的进程路径获取方法,本申请实施例再提供一种存储介质,比如可以是只读存储器,磁盘或光盘等。
其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
进一步地,本申请实施例还提供一种应用程序,其中,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
具体的,本申请实施例中的应用程序,可以采用任意语言实现,只要能实现本申请实施例提供的进程路径获取方法即可。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种进程路径获取方法,其特征在于,包括以下步骤:
获取电子设备中正在执行的操作对应的进程标识;
根据所述进程标识,获取所述正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
2.如权利要求1所述的方法,其特征在于,所述根据所述进程标识,获取所述正在执行的操作对应的进程环境块数据,包括:
根据所述进程标识,获取所述正在执行的操作对应的进程结构块数据;
在附加到所述正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
3.如权利要求2所述的方法,其特征在于,所述附加到所述正在执行的操作对应的进程空间,包括:
与所述正在执行的操作对应的进程空间进行绑定;
所述根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息之后,还包括:
解除与所述正在执行的操作对应的进程空间的绑定。
4.如权利要求1所述的方法,其特征在于,所述获取所述正在执行的操作对应的进程标识,包括:
通过调用获取当前进程标识的内核函数,获取所述正在执行的操作对应的进程标识。
5.如权利要求1-4任一所述的方法,其特征在于,所述根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息,包括:
通过查询所述进程环境块数据中预设的字段信息,确定所述正在执行的操作对应的进程路径信息。
6.一种进程路径获取装置,其特征在于,包括:
第一获取模块,用于获取电子设备中正在执行的操作对应的进程标识;
第二获取模块,用于根据所述进程标识,获取所述正在执行的操作对应的进程环境块数据;
确定模块,用于根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
7.如权利要求6所述的装置,其特征在于,所述第二获取模块,具体用于:
根据所述进程标识,获取所述正在执行的操作对应的进程结构块数据;
在附加到所述正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
8.如权利要求7所述的装置,其特征在于,所述第二获取模块,具体用于:
与所述正在执行的操作对应的进程空间进行绑定;
所述装置,还包括:
解除模块,用于解除与所述正在执行的操作对应的进程空间的绑定。
9.如权利要求6所述的装置,其特征在于,所述第一获取模块,具体用于:
通过调用获取当前进程标识的内核函数,获取所述正在执行的操作对应的进程标识。
10.一种电子设备,其特征在于,包括以下一个或多个组件:电路板、壳体、处理器,存储器,电源电路,显示屏,音频组件,输入/输出(I/O)的接口,传感器组件、以及通信组件;其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述电子设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
获取正在执行的操作对应的进程标识;
根据所述进程标识,获取所述正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
CN201610499986.0A 2016-06-29 2016-06-29 一种进程路径获取方法、装置和电子设备 Active CN106156610B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610499986.0A CN106156610B (zh) 2016-06-29 2016-06-29 一种进程路径获取方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610499986.0A CN106156610B (zh) 2016-06-29 2016-06-29 一种进程路径获取方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN106156610A true CN106156610A (zh) 2016-11-23
CN106156610B CN106156610B (zh) 2019-02-12

Family

ID=57350370

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610499986.0A Active CN106156610B (zh) 2016-06-29 2016-06-29 一种进程路径获取方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN106156610B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110717183A (zh) * 2019-12-09 2020-01-21 深信服科技股份有限公司 病毒查杀方法、装置、设备及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101782954A (zh) * 2009-01-20 2010-07-21 联想(北京)有限公司 一种计算机及异常进程的检测方法
US20100293615A1 (en) * 2007-10-15 2010-11-18 Beijing Rising International Software Co., Ltd. Method and apparatus for detecting the malicious behavior of computer program
CN102147845A (zh) * 2011-04-18 2011-08-10 北京思创银联科技股份有限公司 进程监控方法
CN102156830A (zh) * 2011-03-15 2011-08-17 北京思创银联科技股份有限公司 逻辑设备名到盘符的映射方法
CN102542182A (zh) * 2010-12-15 2012-07-04 苏州凌霄科技有限公司 基于Windows平台的强制访问控制装置及控制方法
CN102945343A (zh) * 2012-09-25 2013-02-27 北京奇虎科技有限公司 一种用于枚举系统进程的方法及装置
CN102982283A (zh) * 2012-11-27 2013-03-20 蓝盾信息安全技术股份有限公司 一种杀死受保护的恶意计算机进程的系统及方法
CN103218575A (zh) * 2013-04-17 2013-07-24 武汉元昊科技有限公司 一种主机文件安全监控方法
CN104714831A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种检测虚拟机中的寄生进程的方法和装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100293615A1 (en) * 2007-10-15 2010-11-18 Beijing Rising International Software Co., Ltd. Method and apparatus for detecting the malicious behavior of computer program
CN101782954A (zh) * 2009-01-20 2010-07-21 联想(北京)有限公司 一种计算机及异常进程的检测方法
CN102542182A (zh) * 2010-12-15 2012-07-04 苏州凌霄科技有限公司 基于Windows平台的强制访问控制装置及控制方法
CN102156830A (zh) * 2011-03-15 2011-08-17 北京思创银联科技股份有限公司 逻辑设备名到盘符的映射方法
CN102147845A (zh) * 2011-04-18 2011-08-10 北京思创银联科技股份有限公司 进程监控方法
CN102945343A (zh) * 2012-09-25 2013-02-27 北京奇虎科技有限公司 一种用于枚举系统进程的方法及装置
CN102982283A (zh) * 2012-11-27 2013-03-20 蓝盾信息安全技术股份有限公司 一种杀死受保护的恶意计算机进程的系统及方法
CN103218575A (zh) * 2013-04-17 2013-07-24 武汉元昊科技有限公司 一种主机文件安全监控方法
CN104714831A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种检测虚拟机中的寄生进程的方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李建军: ""Windows系统Rootkit检测技术的研究"", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110717183A (zh) * 2019-12-09 2020-01-21 深信服科技股份有限公司 病毒查杀方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN106156610B (zh) 2019-02-12

Similar Documents

Publication Publication Date Title
Wang et al. Jekyll on {iOS}: When Benign Apps Become Evil
Zhang et al. Efficient, context-aware privacy leakage confinement for android applications without firmware modding
Ntantogian et al. Evaluating the privacy of Android mobile applications under forensic analysis
US20130246038A1 (en) Emulator updating system and method
CN106845223B (zh) 用于检测恶意代码的方法和装置
CN104462971B (zh) 根据应用程序声明特征识别恶意应用程序的方法和装置
KR20140077186A (ko) 보안화될 애플리케이션과 초기 구성 파일을 포함한 초기 패키지 파일로부터, 애플리케이션을 보안화하기 위한 패키지 파일을 생성하는 방법, 및 관련 컴퓨터 프로그램 제품과 컴퓨팅 디바이스
CN109800571B (zh) 事件处理方法和装置、以及存储介质和电子装置
US20180232518A1 (en) Protecting computer code against rop attacks
CN104598287B (zh) 恶意程序的检测方法、装置和客户端
CN109190411A (zh) 一种操作系统的主动安全防护方法、系统及终端设备
CN104915594B (zh) 应用程序运行方法及装置
Bouffard et al. Reversing the operating system of a Java based smart card
CN108959860B (zh) 一种检测Android系统是否被破解和破解记录获取方法
CN106156610A (zh) 一种进程路径获取方法、装置和电子设备
CN107368738A (zh) 一种智能设备的防Root方法及装置
CN106203114A (zh) 一种应用程序的防护方法、装置及电子设备
KR101880689B1 (ko) 악성코드 진단장치 및 방법
CN106529290B (zh) 一种恶意软件防护方法、装置以及电子设备
CN115396140A (zh) 应用访问控制方法、装置、存储介质及计算机设备
CN108874462A (zh) 一种浏览器行为获取方法、装置、存储介质及电子设备
CN103632086B (zh) 修复基本输入输出系统bios恶意程序的方法和装置
CN105574409A (zh) 一种注入代码提取方法及装置
CN112395536A (zh) 网站的攻击防御方法及装置、存储介质、电子装置
WO2023047689A1 (ja) 脅威分析方法および脅威分析システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20181211

Address after: 519030 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Applicant after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing

Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant