CN106156622A - 服务进程注册方法、装置和终端设备 - Google Patents
服务进程注册方法、装置和终端设备 Download PDFInfo
- Publication number
- CN106156622A CN106156622A CN201610517350.4A CN201610517350A CN106156622A CN 106156622 A CN106156622 A CN 106156622A CN 201610517350 A CN201610517350 A CN 201610517350A CN 106156622 A CN106156622 A CN 106156622A
- Authority
- CN
- China
- Prior art keywords
- service processes
- current process
- function
- registration function
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 519
- 238000012544 monitoring process Methods 0.000 claims abstract description 25
- 238000001514 detection method Methods 0.000 claims description 56
- 238000012545 processing Methods 0.000 claims description 8
- 230000000875 corresponding effect Effects 0.000 description 42
- 230000002596 correlated effect Effects 0.000 description 2
- 238000005314 correlation function Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000000507 anthelmentic effect Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000001835 viscera Anatomy 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/38—Concurrent instruction execution, e.g. pipeline or look ahead
- G06F9/3836—Instruction issuing, e.g. dynamic instruction scheduling or out of order instruction execution
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提出了一种服务进程注册方法、装置和终端设备,其中,方法包括:监测操作系统内核提供的服务进程注册函数是否被调用;如果监测到当前进程调用服务进程注册函数,运行预设的与服务进程注册函数对应的钩子函数;检测当前进程的合法性;如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。该方法避免了恶意进程注册为服务进程,保护了操作系统的安全。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种服务进程注册方法、装置和终端设备。
背景技术
通常操作系统会提供服务进程注册函数,该函数可以把普通权限的进程注册为服务进程,其中,服务进程的权限比较高,可以读写访问操作系统的磁盘等。
然而,有些恶意进程会使用该服务进程注册函数,注册为服务进程以侵入操作系统中,破坏操作系统的安全。
发明内容
本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
为此,本发明的第一个目的在于提出一种服务进程注册方法,该方法避免了恶意进程注册为服务进程,保护了操作系统的安全。
本发明的第二个目的在于提出一种服务进程注册装置。
本发明的第三个目的在于提出一种终端设备。
本发明的第四个目的在于提出另一种终端设备。
为了实现上述目的,本发明第一方面实施例提出了一种服务进程注册方法,包括以下步骤:监测操作系统内核提供的服务进程注册函数是否被调用;如果监测到当前进程调用所述服务进程注册函数,运行预设的与所述服务进程注册函数对应的钩子函数;检测当前进程的合法性;如果检测获知当前进程合法,则允许当前进程调用所述服务进程注册函数,将目标进程注册为服务进程。
本发明实施例的服务进程注册方法,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
另外,本发明实施例的服务进程注册方法还具有如下附加的技术特征:
在本发明的一个实施例中,还包括:如果检测获知当前进程非法,则拒绝当前进程调用所述服务进程注册函数。
在本发明的一个实施例中,在所述监测操作系统内核提供的服务进程注册函数是否被调用之前,还包括:在具有网络安全应用的防御驱动中设置与所述服务进程注册函数对应的钩子函数。
在本发明的一个实施例中,所述检测当前进程的合法性,包括:根据预设的特征库检测当前进程的合法性。
在本发明的一个实施例中,所述特征库包括:合法进程的白名单,和/或,非法进程的黑名单。
为了实现上述目的,本发明第二方面实施例提出了一种服务进程注册装置,包括:监测模块,用于监测操作系统内核提供的服务进程注册函数是否被调用;运行模块,用于在监测到当前进程调用所述服务进程注册函数时,运行预设的与所述服务进程注册函数对应的钩子函数;检测模块,用于检测当前进程的合法性;处理模块,用于在检测到当前进程合法时,允许当前进程调用所述服务进程注册函数,将目标进程注册为服务进程。
本发明实施例的服务进程注册装置,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
在本发明的一个实施例中,所述处理模块还用于:如果检测获知当前进程非法,则拒绝当前进程调用所述服务进程注册函数。
在本发明的一个实施例中,还包括:设置模块,用于在具有网络安全应用的防御驱动中设置与所述服务进程注册函数对应的钩子函数。
在本发明的一个实施例中,所述检测模块用于:根据预设的特征库检测当前进程的合法性。
在本发明的一个实施例中,所述特征库包括:合法进程的白名单,和/或,非法进程的黑名单。
为了实现上述目的,本发明第三方面实施例提出了一种终端设备,包括本发明第二方面实施例所述的服务进程注册装置。
本发明实施例的终端设备,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
为了实现上述目的,本发明第四方面实施例提出了另一种终端设备,包括以下一个或多个组件:处理器,存储器,电源电路,多媒体组件,音频组件,输入/输出(I/O)的接口,传感器组件,以及通信组件;其中,电路板安置在壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为终端设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
监测操作系统内核提供的服务进程注册函数是否被调用;
如果监测到当前进程调用所述服务进程注册函数,运行预设的与所述服务进程注册函数对应的钩子函数;
检测当前进程的合法性;
如果检测获知当前进程合法,则允许当前进程调用所述服务进程注册函数,将目标进程注册为服务进程。
本发明实施例的终端设备,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明一个实施例的服务进程注册方法的流程图;
图2是根据本发明一个具体实施例的服务进程注册方法的流程图;
图3是根据本发明一个实施例的服务进程注册装置的结构示意图;
图4是根据本发明一个具体实施例的服务进程注册装置的结构示意图;
图5是根据本发明一个实施例的终端设备的结构示意图;以及
图6是根据本发明一个具体实施例的终端设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的服务进程注册方法、装置和终端设备。
图1是根据本发明一个实施例的服务进程注册方法的流程图。
如图1所示,该服务进程注册方法包括:
S110,监测操作系统内核提供的服务进程注册函数是否被调用。
S120,如果监测到当前进程调用服务进程注册函数,运行预设的与服务进程注册函数对应的钩子函数。
通常,操作系统的内核会提供服务进程注册函数,通过该服务进程注册函数可以使得具有普通权限的进程,注册为服务进程,其中该服务进程具有系统权限,可以读写、访问操作系统的磁盘等。其中,根据具体应用场景的不同,操作系统内核提供的服务进程注册函数不同。
举例而言,当操作系统提供的服务进程注册函数是RegisterServicesProcess时,进程A可以通过调用RegisterServicesProcess函数对应的内核函数NtUserRegisterServicesProcess函数来注册服务进程,从而进程A拥有系统权限。
然而,有些执行恶意任务的恶意进程,比如病毒、蠕虫和特洛伊木马进程等,可用过调用操作系统内核提供的服务进程注册函数,注册为服务进程以获取较高的权限,从而导致该恶意进程可以侵入操作系统,造成对操作系统的破坏。
因此,为了防止恶意进程通过调用服务进程注册函数注册为服务进程,在允许进程使用服务进程注册函数之前,需要先判断调用服务进程注册函数进程的合法性,从而根据判断结果确定,是否允许该进程使用该服务进程注册函数注册为服务进程。
其中,应当理解的是,钩子函数可采用多种方式确定调用服务进程控制函数的当前进程,比如可通过获取调用服务进程注册函数的操作进程路径确定当前进程。
为了实现在允许当前进程使用服务进程注册函数之前,判断当前进程的合法性,本发明实施例预先在系统设置与服务进程注册函数对应的钩子函数。
进而,监测操作系统内核提供的服务进程注册函数是否被调用,每当监测到服务进程注册函数被调用时,则运行预设的与该服务进程注册函数对应的钩子函数。
即在操作系统响应该服务进程注册函数的调用事件之前,通过与该服务进程注册函数对应的钩子函数以判断调用该服务进程注册函数进程是否合法。
S130,检测当前进程的合法性。
S140,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。
具体地,在钩子函数捕获调用服务进程注册函数的当前进程后,检测该当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。
其中,需要说明的是,根据具体应用场景的不同,预设的钩子函数可采取多种方式检测调用服务进程注册函数的当前进程的合法性。
第一种示例,可以通过在操作系统本地设置包含相关合法或者非法进程相关特征的特征库,并通过特征库检测调用服务进程注册函数的当前进程的合法性。
第二种示例,可以在远程服务器上设置包含相关合法或者非法进程相关特征的特征库,并在钩子函数中设置一与该远程服务器进行信息交互的相关函数,从而钩子函数中的相关函数,将调用服务进程注册函数的当前进程的相关信息发送至远程服务器,以供远程服务器根据特征库检测调用服务进程注册函数的当前进程的合法性。
第三种示例,预先存储可靠、可信的进程绑定安全标识,从而钩子函数捕获调用服务进程注册函数的当前进程后,检测当前进程是否具有上述安全标识以检测当前进程的合法性。
综上所述,本发明实施例的服务进程注册方法,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
为了更加清楚的描述如何检测当前进程的合法性,下面结合附图2进行举例说明,在该示例中,通过设置包含相关进程特征的特征库,并通过特征库检测调用服务进程注册函数的当前进程的合法性,说明如下:
图2是根据本发明一个具体实施例的服务进程注册方法的流程图,如图2所示,该服务进程注册方法包括:
在步骤S210中,在具有网络安全应用的防御驱动中设置与服务进程注册函数对应的钩子函数。
应当理解的是,根据应用场景的不同,与服务进程注册函数对应的钩子函数可以被设置于操作系统的多个位置。本发明实施例的服务进程注册方法中,为了将操作系统中相关安全防御的资源的整合,将与服务进程注册函数对应的钩子函数设置于具有网络安全应用的防御驱动中。
S220,监测操作系统内核提供的服务进程注册函数是否被调用。
S230,如果监测到当前进程调用服务进程注册函数,运行预设的与服务进程注册函数对应的钩子函数。
需要说明的是,步骤S220-S230的描述与上述步骤S110-S120相对应,因此对的步骤S220-S230的描述参考上述步骤S110-S120的描述,在此不再赘述。
S240,根据预设的特征库检测当前进程的合法性。
S250,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。
S260,如果检测获知当前进程非法,则拒绝当前进程调用服务进程注册函数。
具体地,本实施例根据预设的特征库检测调用服务进程注册函数的进程的合法性。如果检测调用服务进程调用函数的进程非法,则表明调用该服务进程注册函数的进程可能是恶意进程,从而拒绝该进程调用服务进程注册函数。如果检测调用服务进程注册函数的进程合法,则允许当前进程调用服务进程注册函数。
需要说明的是,特征库中的具体内容可以根据应用需要进行设置,例如包括合法进程的白名单,和/或,包括非法进程的黑名单。举例说明如下:
第一种示例,特征库中可包括白名单,白名单中包含的进程信息对应的进程是合法进程,允许该进程调用服务进程注册函数不会导致操作系统的安全会受到破坏。
在本示例中,确定调用服务进程注册函数的当前进程,根据该进程的进程信息查询特征库,如果查询获取该进程信息,与白名单中的进程信息匹配,则认为该进程是合法进程,因此允许该进程调用服务进程注册函数。如果查询获取该进程信息,与白名单中的进程信息不匹配,则认为该进程是非法进程,因此拒绝该进程调用服务进程注册函数。
第二种示例,特征库中包含黑名单,黑名单包含的进程信息对应的进程是非法进程,例如可能是恶意程序对应的进程,如果允许该进程调用服务进程注册函数,则会使得恶意进程获取较高的权限,可读写操作系统的磁盘等,从而造成对操作系统安全的破坏。
在本示例中,确定调用服务进程注册函数的当前进程,根据该当前进程的进程信息查询特征库,如果该进程的进程信息与黑名单包含的进程信息匹配,则认为该进程是非法进程,因此拒绝该进程调用服务进程注册函数。如果该进程的进程信息与黑名单包含的进程信息不匹配,则认为该进程是合法进程,因此允许该进程调用服务进程注册函数。
第三种示例,特征库中可包含黑名单和白名单,白名单中包含的进程信息对应的进程是合法进程,黑名单中包含的进程信息对应的进程是非法进程。
在本示例中,确定调用服务进程注册函数的当前进程,根据该进程的进程信息查询特征库,如果查询获取该进程信息,与白名单的进程信息匹配,则认为该进程是合法进程,因此允许该进程调用服务进程注册函数;如果该进程的进程信息与黑名单包含的进程信息匹配,则认为该进程是非法进程,因此拒绝该进程调用服务进程注册函数。
综上所述,本发明实施例的服务进程注册方法,将与服务进程注册函数对应的钩子函数设置于具有网络安全应用的防御驱动中,并通过特征库判断调用服务进程注册函数进程的合法性,只有在该进程合法时,才允许该进程对服务进程注册函数的调用,由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了一种服务进程注册装置,图3是根据本发明一个实施例的服务进程注册装置的结构示意图,如图3所示,该服务进程注册装置包括:
监测模块110,用于监测操作系统内核提供的服务进程注册函数是否被调用。
运行模块120,用于在监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数。
检测模块130,用于检测当前进程的合法性。
处理模块140,用于在检测到当前进程合法时,允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。
具体地,为了实现在允许调用进程使用服务进程注册函数之前,判断调用进程的合法性,本发明实施例预先在系统设置与服务进程注册函数对应的钩子函数。
进而,监测模块110监测操作系统内核提供的服务进程注册函数是否被调用,每当监测模块110监测到服务进程注册函数被调用时,运行模块120则运行预设的与该服务进程注册函数对应的钩子函数。
即在操作系统响应该服务进程注册函数的调用事件之前,通过与该服务进程注册函数对应的钩子函数以判断调用该服务进程注册函数进程是否合法。
进一步地,在钩子函数捕获调用服务进程注册函数的进程后,检测模块130检测该进程的合法性,如果检测模块130检测获知当前进程合法,处理模块140则允许当前进程调用服务进程注册函数将目标进程注册为服务进程,以满足相关应用程序的正常运行。
综上所述,本发明实施例的服务进程注册装置,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
为了更加清楚的描述如何检测当前进程的合法性,下面结合附图4进行举例说明,在该示例中,通过设置模块设置包含相关进程特征的特征库,并通过特征库检测调用服务进程注册函数的当前进程的合法性,说明如下:
图4是根据本发明一个具体实施例的服务进程注册装置的结构示意图,如图4所示,在如图3所示的基础上,该服务进程注册装置还包括:
设置模块150,用于在具有网络安全应用的防御驱动中设置与服务进程注册函数对应的钩子函数。
应当理解的是,根据应用场景的不同,与服务进程注册函数对应的钩子函数可以被设置于操作系统的多个位置。本发明实施例的服务进程注册装置中,为了将操作系统中相关安全防御的资源的整合,设置模块150将与服务进程注册函数对应的钩子函数设置于具有网络安全应用的防御驱动中。
进一步地,在监测模块110监测到操作系统内核提供的服务进程注册函数被调用时,运行模块120运行预设的与服务进程注册函数对应的钩子函数获取当前进程。
进而检测模块130根据预设的特征库检测调用服务进程注册函数的进程的合法性。如果检测模块130检测调用服务进程注册函数的进程非法,则表明调用该服务进程注册函数的进程可能是恶意进程,从而处理模块140拒绝该进程调用服务进程注册函数。如果检测模块130检测调用服务进程注册函数的进程合法,则处理模块140允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。
需要说明的是,特征库中的具体内容可以根据应用需要进行设置,例如包括合法进程的白名单,和/或,包括非法进程的黑名单。
应当理解的是,本方实施例描述的服务进程注册装置与上述结合图1-图2描述的服务进程注册方法对应,本发明的服务进程注册装置的实施例中未披露的细节,在此不再赘述。
综上所述,本发明实施例的服务进程注册装置,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了一种终端设备,图5是根据本发明一个实施例的终端设备的结构示意图。
如图5所示,本发明实施例的终端设备包括服务进程注册装置1000。
其中,需要说明的是,本发明实施例中的服务进程注册装置1000与上述实施例中参考图3-图4描述的服务进程注册装置对应,在此不再赘述。
综上所述,本发明实施例的终端设备,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
为了实现上述实施例,本发明还提出了另一种终端设备。
图6是根据本发明一个具体实施例的终端设备的结构示意图。如图6所示,终端设备2000可以是移动电话等。
参见图6,终端设备2000可以包括以下一个或多个组件:处理器2001,存储器2002,电源电路2003,多媒体组件2004,音频组件2005,输入/输出(I/O)的接口2006,传感器组件2007,以及通信组件2008。
电源电路2003,用于为终端设备的各个电路或器件供电;存储器2002用于存储可执行程序代码;处理器2001通过读取存储器2002中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
监测操作系统内核提供的服务进程注册函数是否被调用。
如果监测到当前进程调用服务进程注册函数,运行预设的与服务进程注册函数对应的钩子函数。
检测当前进程的合法性。
如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。
综上所述,本发明实施例的终端设备,在监测操作系统内核提供的服务进程注册函数被调用时,如果监测到当前进程调用服务进程注册函数时,运行预设的与服务进程注册函数对应的钩子函数,以捕获当前进程并检测当前进程的合法性,如果检测获知当前进程合法,则允许当前进程调用服务进程注册函数,将目标进程注册为服务进程。由此,避免了恶意进程注册为服务进程,保护了操作系统的安全。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种服务进程注册方法,其特征在于,包括以下步骤:
监测操作系统内核提供的服务进程注册函数是否被调用;
如果监测到当前进程调用所述服务进程注册函数,运行预设的与所述服务进程注册函数对应的钩子函数;
检测当前进程的合法性;
如果检测获知当前进程合法,则允许当前进程调用所述服务进程注册函数,将目标进程注册为服务进程。
2.如权利要求1所述的方法,其特征在于,还包括:
如果检测获知当前进程非法,则拒绝当前进程调用所述服务进程注册函数。
3.如权利要求1所述的方法,其特征在于,在所述监测操作系统内核提供的服务进程注册函数是否被调用之前,还包括:
在具有网络安全应用的防御驱动中设置与所述服务进程注册函数对应的钩子函数。
4.如权利要求3所述的方法,其特征在于,所述检测当前进程的合法性,包括:
根据预设的特征库检测当前进程的合法性。
5.如权利要求4所述的方法,其特征在于,所述特征库包括:
合法进程的白名单,和/或,非法进程的黑名单。
6.一种服务进程注册装置,其特征在于,包括:
监测模块,用于监测操作系统内核提供的服务进程注册函数是否被调用;
运行模块,用于在监测到当前进程调用所述服务进程注册函数时,运行预设的与所述服务进程注册函数对应的钩子函数;
检测模块,用于检测当前进程的合法性;
处理模块,用于在检测到当前进程合法时,允许当前进程调用所述服务进程注册函数,将目标进程注册为服务进程。
7.如权利要求6所述的装置,其特征在于,所述处理模块还用于:
如果检测获知当前进程非法,则拒绝当前进程调用所述服务进程注册函数。
8.如权利要求6所述的装置,其特征在于,还包括:
设置模块,用于在具有网络安全应用的防御驱动中设置与所述服务进程注册函数对应的钩子函数。
9.如权利要求8所述的装置,其特征在于,所述检测模块用于:根据预设的特征库检测当前进程的合法性。
10.如权利要求9所述的装置,其特征在于,所述特征库包括:
合法进程的白名单,和/或,非法进程的黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610517350.4A CN106156622A (zh) | 2016-07-04 | 2016-07-04 | 服务进程注册方法、装置和终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610517350.4A CN106156622A (zh) | 2016-07-04 | 2016-07-04 | 服务进程注册方法、装置和终端设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106156622A true CN106156622A (zh) | 2016-11-23 |
Family
ID=58062789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610517350.4A Pending CN106156622A (zh) | 2016-07-04 | 2016-07-04 | 服务进程注册方法、装置和终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106156622A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111324437A (zh) * | 2020-02-17 | 2020-06-23 | 青岛海信传媒网络技术有限公司 | 操作系统的内核函数调用方法及计算机设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794645A (zh) * | 2005-08-24 | 2006-06-28 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法与系统 |
| CN102222194A (zh) * | 2011-07-14 | 2011-10-19 | 哈尔滨工业大学 | Linux主机计算环境安全保护的模块及方法 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
| CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
| JP2013114359A (ja) * | 2011-11-25 | 2013-06-10 | Hitachi Ltd | 計算機システム、および、監視方法 |
| CN103605930A (zh) * | 2013-11-27 | 2014-02-26 | 湖北民族学院 | 一种基于hook和过滤驱动的双重文件防泄密方法及系统 |
| KR20140036714A (ko) * | 2012-09-18 | 2014-03-26 | 이선희 | 단위 파일별 행위 분석 시스템 |
-
2016
- 2016-07-04 CN CN201610517350.4A patent/CN106156622A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794645A (zh) * | 2005-08-24 | 2006-06-28 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法与系统 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
| CN102222194A (zh) * | 2011-07-14 | 2011-10-19 | 哈尔滨工业大学 | Linux主机计算环境安全保护的模块及方法 |
| JP2013114359A (ja) * | 2011-11-25 | 2013-06-10 | Hitachi Ltd | 計算機システム、および、監視方法 |
| CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
| KR20140036714A (ko) * | 2012-09-18 | 2014-03-26 | 이선희 | 단위 파일별 행위 분석 시스템 |
| CN103605930A (zh) * | 2013-11-27 | 2014-02-26 | 湖北民族学院 | 一种基于hook和过滤驱动的双重文件防泄密方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111324437A (zh) * | 2020-02-17 | 2020-06-23 | 青岛海信传媒网络技术有限公司 | 操作系统的内核函数调用方法及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109753806B (zh) | 服务器防护方法及装置 | |
| EP2562673B1 (en) | Apparatus and method for securing mobile terminal | |
| WO2015124018A1 (zh) | 基于智能终端设备的应用程序访问方法与装置 | |
| CN101754213B (zh) | 保证应用安全的智能卡、终端设备、鉴权服务器及其方法 | |
| CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
| KR101799366B1 (ko) | 다이나믹 보안모듈 서버장치 및 그 구동방법 | |
| CN102413221A (zh) | 一种保护隐私信息的方法及移动终端 | |
| CN106203111A (zh) | 防止修改剪贴板数据的方法、装置和终端设备 | |
| CN104427089A (zh) | 移动终端及移动终端权限管理方法 | |
| CN111783092B (zh) | 面向安卓应用程序间通信机制的恶意攻击检测方法及系统 | |
| Schmidt et al. | Malicious software for smartphones | |
| CN107992745A (zh) | 一种基于安卓平台的界面劫持应对方法 | |
| CN106203189A (zh) | 设备数据获取方法、装置和终端设备 | |
| CN113553599A (zh) | 工控主机软件加固方法及系统 | |
| CN106156622A (zh) | 服务进程注册方法、装置和终端设备 | |
| CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
| CN106203119B (zh) | 隐藏光标的处理方法、装置及电子设备 | |
| CN106203079A (zh) | 光标处理方法、装置和终端设备 | |
| CN106169046A (zh) | 防止消息钩子注入的方法、装置和终端设备 | |
| CN106127041A (zh) | 防止剪贴板数据被监听的方法、装置及终端设备 | |
| CN111639339A (zh) | 进程监控方法、装置、电子设备及存储介质 | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| CN107818260B (zh) | 保障系统安全的方法及装置 | |
| CN109271787A (zh) | 一种操作系统安全主动防御方法及操作系统 | |
| CN115378686A (zh) | 一种工控网络的沙盒应用方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20181205 Address after: 519030 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161123 |
|
| RJ01 | Rejection of invention patent application after publication |