CN106228066A - 进程地址空间防止恶意修改方法、装置以及终端 - Google Patents

进程地址空间防止恶意修改方法、装置以及终端 Download PDF

Info

Publication number
CN106228066A
CN106228066A CN201610551880.0A CN201610551880A CN106228066A CN 106228066 A CN106228066 A CN 106228066A CN 201610551880 A CN201610551880 A CN 201610551880A CN 106228066 A CN106228066 A CN 106228066A
Authority
CN
China
Prior art keywords
address space
amendment
request
operator
process address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610551880.0A
Other languages
English (en)
Other versions
CN106228066B (zh
Inventor
李文靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201610551880.0A priority Critical patent/CN106228066B/zh
Publication of CN106228066A publication Critical patent/CN106228066A/zh
Application granted granted Critical
Publication of CN106228066B publication Critical patent/CN106228066B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种进程地址空间防止恶意修改方法、装置以及终端。所述方法包括:通过钩子函数接收修改进程地址空间的请求,并根据所述修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识,其中,所述目标进程为所述进程地址空间所属的进程;根据所述操作者的身份标识和所述目标进程的标识,判断所述修改进程地址空间的请求是否满足拒绝条件;在满足所述拒绝条件的情况下,拒绝所述修改进程地址空间的请求。上述方法能够解决恶意程序随意修改目标进程的地址空间的问题。

Description

进程地址空间防止恶意修改方法、装置以及终端
技术领域
本发明涉及终端技术,尤其涉及一种进程地址空间防止恶意修改方法、装置以及终端。
背景技术
随着互联网技术发展,病毒,木马等恶意程序技术层出不穷,个别恶意程序利用远程线程,注入动态链接库到目标进程上运行,以此来达到危险目标终端的目的。恶意程序要将动态链接库模块注入到目标进程上运行,需要在目标进程上开创一个新的内存空间,以保证注入动态链接库模块时所需的内存开销,然后,修改这块内存空间。
发明内容
本发明实施例公开了一种进程地址空间防止恶意修改方法、装置以及终端,能够解决恶意程序随意修改目标进程的地址空间的问题。
第一方面,提供了一种进程地址空间防止恶意修改方法,包括:通过钩子函数接收修改进程地址空间的请求,并根据所述修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识,其中,所述目标进程为所述进程地址空间所属的进程;根据所述操作者的身份标识和所述目标进程的标识,判断所述修改进程地址空间的请求是否满足拒绝条件;在满足所述拒绝条件的情况下,拒绝所述修改进程地址空间的请求。
结合第一方面,第一方面的第一种可能的实施方式中,根据所述修改进程地址空间的请求获取操作者的身份标识具体包括:根据所述修改进程地址空间的请求查询发出所述修改进程地址空间的请求的操作者的进程路径,并从所述操作者的进程路径中获取所述操作者的身份标识,其中,所述操作者的进程路径中包括所述操作者的身份标识。
结合第一方面,第一方面的第二种可能的实施方式中,根据所述修改进程地址空间的请求获取目标进程的标识具体为:根据所述修改进程地址空间的请求查询所述目标进程的进程地址,并从所述目标进程的进程地址中获取所述目标进程的标识,其中,所述目标进程的进程地址包括所述目标进程的标识。
结合第一方面的第一种可能的实施方式,第一方面的第三种可能的实施方式中,根据所述修改进程地址空间的请求查询所述目标进程的进程地址具体为:根据所述修改进程地址空间的请求中的所述目标进程的句柄获取所述目标进程的进程地址,其中,所述目标进程的句柄是由创建所述目标进程的函数传递给所述修改进程地址空间的请求的。
结合第一方面,第一方面的第四种可能的实施方式中,通过钩子函数接收修改进程地址空间的请求之前还包括:将系统服务描述符表中的原函数的地址用所述钩子函数的地址代替,其中,所述原函数用于修改进程地址空间。
结合第一方面,第一方面的第五种可能的实施方式中,所述满足所述拒绝条件为:根据所述操作者的身份标识判断出所述操作者的身份为恶意程序,以及,根据所述目标进程的标识判断出所述目标进程为保护进程。
第二方面,提供了一种进程地址空间防止恶意修改装置,包括接收模块、获取模块、判断模块以及拒绝模块,所述接收模块用于通过钩子函数接收修改进程地址空间的修改进程地址空间的请求;所述获取模块用于根据所述修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识,其中,所述目标进程为要求修改的进程地址空间的所属的进程;所述判断模块用于根据所述操作者的身份标识和所述目标进程的标识,判断所述修改进程地址空间的请求是否满足拒绝条件;所述拒绝模块用于在满足所述拒绝条件的情况下,拒绝所述修改进程地址空间的请求。
结合第二方面,第二方面的第一种可能的实施方式中,所述获取模块具体用于根据所述修改进程地址空间的请求查询发出所述修改进程地址空间的请求的操作者的进程路径,并从所述操作者的进程路径中获取所述操作者的身份标识,其中,所述操作者的进程路径中包括所述操作者的身份标识。
结合第二方面,第二方面的第二种可能的实施方式中,所述获取模块具体用于根据所述修改进程地址空间的请求查询所述目标进程的进程地址,并从所述目标进程的进程地址中获取所述目标进程的标识,其中,所述目标进程的进程地址包括所述目标进程的标识。
结合第二方面的第一种可能的实施方式,第二方面的第三种可能的实施方式中,所述获取模块具体用于根据所述修改进程地址空间的请求中的所述目标进程的句柄获取所述目标进程的进程地址,其中,所述目标进程的句柄是由创建所述目标进程的函数传递给所述修改进程地址空间的请求的。
结合第二方面,第二方面的第四种可能的实施方式中,所述装置还包括代替模块,所述代替模块用于将系统服务描述符表中的原函数的地址用所述钩子函数的地址代替,其中,所述原函数用于修改进程地址空间。
结合第二方面,第二方面的第五种可能的实施方式中,所述满足所述拒绝条件为:根据所述操作者的身份标识判断出所述操作者的身份为恶意程序,以及,根据所述目标进程的标识判断出所述目标进程为保护进程。
第三方面,提供了一种终端,其特征在于,包括:处理器、存储器、通信接口和总线;所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;所述存储器存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种进程地址空间防止恶意修改方法;其中,所述方法为第一方面任一项所述的方法。
第四方面,本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储了计算设备所执行的用于主题推荐的程序代码。所述程序代码包括用于执行在第一方面中任一项的方法的指令。
上述方案,能够通过钩子函数接收修改进程地址空间的请求,并判断是否符合拒绝条件,如果符合拒绝条件,则禁止修改进程地址空间,从而避免了恶意程序危害终端。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种进程地址空间防止恶意修改方法的流程图;
图2是本发明实施例公开的另一种进程地址空间防止恶意修改方法的流程图;
图3是本发明实施例公开的一种进程地址空间防止恶意修改装置的结构示意图;
图4是本发明实施例公开的另一种进程地址空间防止恶意修改装置的结构示意图;
图5是本发明实施例公开的一种终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
为了便于理解,首先对现有技术中恶意程序是如何修改保护进程的进程地址空间进行描述。
当恶意程序要求修改保护程序的进程地址空间时,恶意程序通过调用内核函数NtOpenProcess打开保护进程,内核函数NtOpenProcess在成功打开保护进程后,返回保护进程的进程句柄给恶意程序。然后,恶意程序再根据接收到的保护进程的进程句柄调用NtWriteVirtualMemory函数对保护进程的地址空间进行修改。现有的NtWriteVirtualMemory函数并不会对调用者的身份以及修改的进程地址空间进行区分,任何程序都可以调用NtWriteVirtualMemory函数对任何进程的地址空间进行修改,即使是恶意程序调用NtWriteVirtualMemory函数对保护进程的地址空间进行修改也同样可以。
参阅图1,图1是本发明实施例公开的一种进程地址空间防止恶意修改方法的流程图。本实施例的进程地址空间防止恶意修改方法从终端的角度出发进行描述。本发明实施例的进程地址空间防止恶意修改方法包括:
110:通过钩子函数接收修改进程地址空间的请求。
120:根据修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识。其中,目标进程为进程地址空间所属的进程。
130:根据操作者的身份标识和目标进程的标识,判断修改进程地址空间的请求是否满足拒绝条件。
140:在满足拒绝条件的情况下,拒绝修改进程地址空间的请求。
上述方案,能够通过钩子函数接收修改进程地址空间的请求,并判断是否符合拒绝条件,如果符合拒绝条件,则禁止修改进程地址空间,从而避免了恶意程序危害终端。
参阅图2,图2是本发明实施例公开的另一种进程地址空间防止恶意修改方法的流程图。本实施例的进程地址空间防止恶意修改方法从终端的角度出发进行描述。本发明实施例的进程地址空间防止恶意修改方法包括:
210:将系统服务描述符表中的原函数的地址用所述钩子函数的地址代替。
系统服务描述符表(System Services Descriptor Table,SSDT)是把ring3的Win32API和ring0的内核API联系起来的表。在本发明实施例中,终端将系统服务描述符表中的原函数(即,NtWriteVirtualMemory函数)的地址用钩子函数(即,NewNtWriteVirtualMemory函数)的地址代替。使得代替后,当恶意程序意图调用原函数时,实际调用到的将会是钩子函数。其中,原函数用于修改进程地址空间,钩子函数的除了用于实现原函数能够实现的修改进程地址空间的功能外,还可以实现步骤220至步骤250的功能。
220:通过钩子函数接收修改进程地址空间的请求。
恶意程序要求修改保护程序的进程地址空间时,恶意程序通过调用内核函数NtOpenProcess打开保护进程,内核函数NtOpenProcess在成功打开保护进程后,返回保护进程的进程句柄给恶意程序。然后,恶意程序再根据接收到的保护进程的进程句柄调用原函数以发出修改进程地址空间的请求。但是,由于系统服务描述符表中的原函数的地址已经被钩子函数的地址所代替,所以,恶意程序实际上调用到的将是钩子函数。于是,终端通过钩子函数接收修改进程地址空间的请求。
230:根据修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识。其中,目标进程为要求修改的进程地址空间的所属的进程。
在本发明实施例中,根据修改进程地址空间的请求获取操作者的身份标识具体为:根据修改进程地址空间的请求查询发出修改进程地址空间的请求的操作者的进程路径,并从操作者的进程路径中获取操作者的身份标识,其中,所述操作者的进程路径中包括所述操作者的身份标识。例如,钩子函数调用内核函数PsGetCurrentProcess函数和ZwQueryInformationProcess函数查询发出修改进程地址空间的请求的操作者的进程路径为C:\windows\system32\ab22.exe,并从操作者的进程路径中获取操作者的身份标识为ab22.exe。
在本发明实施例中,根据修改进程地址空间的请求获取目标进程的标识具体为:根据修改进程地址空间的请求中的目标进程的句柄获取目标进程的进程地址,根据修改进程地址空间的请求查询目标进程的进程地址,并从目标进程的进程地址中获取目标进程的标识,其中,目标进程的句柄是由创建目标进程的函数传递给修改进程地址空间的请求的,目标进程的进程地址包括目标进程的标识。例如,钩子函数根据修改进程地址空间的请求中的目标进程的句柄调用ZwQueryInformationProcess函数获取目标进程的进程地址C:\windows\system32\kxetary.exe,并从目标进程的进程地址中获取目标进程的标识kxetary.exe。
240:根据操作者的身份标识和目标进程的标识,判断修改进程地址空间的请求是否满足拒绝条件。在本发明实施例中,满足拒绝条件为:根据操作者的身份标识判断出操作者的身份为恶意程序,以及,根据目标进程的标识判断出目标进程为保护进程。如果满足,进入步骤250。
250:在满足拒绝条件的情况下,拒绝修改进程地址空间的请求。
在根据请求获取操作者的身份标识以及目标进程的标识,并根据操作者的身份标识以及目标进程的标识断出操作者的身份为恶意程序以及目标进程为保护进程时,钩子函数返回拒绝访问状态,以直接拒绝恶意程序修改保护进程的请求,避免恶意程序危害终端。
上述详细阐述了本发明实施例的方法,下面为了便于更好地实施本发明实施例的上述方案,相应地,下面还提供用于配合实施上述方案的装置。
参阅图3,图3是本发明实施例公开的一种进程地址空间防止恶意修改装置的结构示意图。本发明实施例的进程地址空间防止恶意修改装置30包括:接收模块310、获取模块320、判断模块330以及拒绝模块340。
所述接收模块310用于通过钩子函数接收修改进程地址空间的请求。
所述获取模块320用于根据所述修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识,其中,所述目标进程为所述进程地址空间所属的进程。
所述判断模块用330于根据所述操作者的身份标识和所述目标进程的标识,判断所述修改进程地址空间的请求是否满足拒绝条件。
所述拒绝模块340用于在满足所述拒绝条件的情况下,拒绝所述修改进程地址空间的请求。
可选地,所述获取模块320具体用于根据所述修改进程地址空间的请求查询发出所述修改进程地址空间的请求的操作者的进程路径,并从所述操作者的进程路径中获取所述操作者的身份标识,其中,所述操作者的进程路径中包括所述操作者的身份标识。
可选地,所述获取模块320具体用于根据所述修改进程地址空间的请求查询所述目标进程的进程地址,并从所述目标进程的进程地址中获取所述目标进程的标识,其中,所述目标进程的进程地址包括所述目标进程的标识。
可选地,所述获取模块320具体用于根据所述修改进程地址空间的请求中的所述目标进程的句柄获取所述目标进程的进程地址,其中,所述目标进程的句柄是由创建所述目标进程的函数传递给所述修改进程地址空间的请求的。
可选地,所述拒绝条件为:根据所述操作者的身份标识判断出所述操作者的身份为恶意程序,以及,根据所述目标进程的标识判断出所述目标进程为保护进程。
本发明实施例的进程地址空间防止恶意修改装置30能够实现如图1所示的进程地址空间防止恶意修改方法,具体请参阅图1以及相关实施例,此处不再重复赘述。
请参见图4,图4为本发明实施例公开的另一种进程地址空间防止恶意修改装置的结构示意图。本发明实施例的进程地址空间防止恶意修改装置40是根据图3所示的进程地址空间防止恶意修改装置30优化得到的。本实施例的进程地址空间防止恶意修改装置40和图3所示的进程地址空间防止恶意修改装置30的不同之处在于,还包括第代替模块350。
所述代替模块350用于将系统服务描述符表中的原函数的地址用所述钩子函数的地址代替,其中,所述原函数用于修改进程地址空间。
本发明实施例的进程地址空间防止恶意修改装置40能够实现如图2所示的进程地址空间防止恶意修改方法,具体请参阅图2以及相关实施例,此处不再重复赘述。
请参见图5,图5为本发明实施例公开的一种终端的结构示意图。本实施例的网站包括:至少一个处理器801、通信接口802、用户接口803和存储器804,处理器801、通信接口802、用户接口803和存储器804可通过总线或者其它方式连接,本发明实施例以通过总线805连接为例。其中,
处理器801可以是通用处理器,例如中央处理器(Central Processing Unit,CPU)。
通信接口802可以为有线接口(例如以太网接口)或无线接口(例如蜂窝网络接口或使用无线局域网接口),用于与其他终端或网站进行通信。本发明实施例中,通信接口802具体用于将目标推荐对象推荐给终端的用户。
用户接口803具体可为触控面板,包括触摸屏和触控屏,用于检测触控面板上的操作指令,用户接口803也可以是物理按键或者鼠标。用户接口803还可以为显示屏,用于输出、显示图像或数据。
存储器804可以包括易失性存储器(Volatile Memory),例如随机存取存储器(Random Access Memory,RAM);存储器也可以包括非易失性存储器(Non-VolatileMemory),例如只读存储器(Read-Only Memory,ROM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);存储器804还可以包括上述种类的存储器的组合。存储器804用于存储一组程序代码,处理器801用于调用存储器804中存储的程序代码,执行如下操作:
通过钩子函数接收修改进程地址空间的请求,并根据所述请求获取操作者的身份标识以及目标进程的标识,其中,所述目标进程为要求修改的进程地址空间的所属的进程;
判断是否满足拒绝条件:根据所述操作者的身份标识判断出所述操作者的身份为恶意程序;根据所述目标进程的标识判断出所述目标进程为保护进程;
如果同时满足,则拒绝所述请求。
可选地,根据所述修改进程地址空间的请求查询发出所述修改进程地址空间的请求的操作者的进程路径,并从所述操作者的进程路径中获取所述操作者的身份标识,其中,所述操作者的进程路径中包括所述操作者的身份标识。
可选地,根据所述修改进程地址空间的请求查询所述目标进程的进程地址,并从所述目标进程的进程地址中获取所述目标进程的标识,其中,所述目标进程的进程地址包括所述目标进程的标识。
可选地,根据所述修改进程地址空间的请求中的所述目标进程的句柄获取所述目标进程的进程地址,其中,所述目标进程的句柄是由创建所述目标进程的函数传递给所述修改进程地址空间的请求的。
可选地,将系统服务描述符表中的原函数的地址用所述钩子函数的地址代替,其中,所述原函数用于修改进程地址空间。
可选地,所述拒绝条件为:根据所述操作者的身份标识判断出所述操作者的身份为恶意程序,以及,根据所述目标进程的标识判断出所述目标进程为保护进程。
上述方案,能够通过钩子函数接收修改进程地址空间的请求,并判断是否符合拒绝条件,如果符合拒绝条件,则禁止修改进程地址空间,从而避免了恶意程序危害终端。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
以上对本发明实施例公开的一种终端防盗方法及终端进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种进程地址空间防止恶意修改方法,其特征在于,包括:
通过钩子函数接收修改进程地址空间的请求,并根据所述修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识,其中,所述目标进程为所述进程地址空间所属的进程;
根据所述操作者的身份标识和所述目标进程的标识,判断所述修改进程地址空间的请求是否满足拒绝条件;
在满足所述拒绝条件的情况下,拒绝所述修改进程地址空间的请求。
2.根据权利要求1所述的方法,其特征在于,根据所述修改进程地址空间的请求获取操作者的身份标识具体包括:
根据所述修改进程地址空间的请求查询发出所述修改进程地址空间的请求的操作者的进程路径,并从所述操作者的进程路径中获取所述操作者的身份标识,其中,所述操作者的进程路径中包括所述操作者的身份标识。
3.根据权利要求1所述的方法,其特征在于,根据所述修改进程地址空间的请求获取目标进程的标识具体为:
根据所述修改进程地址空间的请求查询所述目标进程的进程地址,并从所述目标进程的进程地址中获取所述目标进程的标识,其中,所述目标进程的进程地址包括所述目标进程的标识。
4.根据权利要求3所述的方法,其特征在于,根据所述修改进程地址空间的请求查询所述目标进程的进程地址具体为:
根据所述修改进程地址空间的请求中的所述目标进程的句柄获取所述目标进程的进程地址,其中,所述目标进程的句柄是由创建所述目标进程的函数传递给所述修改进程地址空间的请求的。
5.根据权利要求1所述的方法,其特征在于,所述满足所述拒绝条件为:根据所述操作者的身份标识判断出所述操作者的身份为恶意程序,以及,根据所述目标进程的标识判断出所述目标进程为保护进程。
6.一种进程地址空间防止恶意修改装置,其特征在于,包括接收模块、获取模块、判断模块以及拒绝模块,
所述接收模块用于通过钩子函数接收修改进程地址空间的修改进程地址空间的请求;
所述获取模块用于根据所述修改进程地址空间的请求获取操作者的身份标识以及目标进程的标识,其中,所述目标进程为要求修改的进程地址空间的所属的进程;
所述判断模块用于根据所述操作者的身份标识和所述目标进程的标识,判断所述修改进程地址空间的请求是否满足拒绝条件;
所述拒绝模块用于在满足所述拒绝条件的情况下,拒绝所述修改进程地址空间的请求。
7.根据权利要求6所述的装置,其特征在于,所述获取模块具体用于根据所述修改进程地址空间的请求查询发出所述修改进程地址空间的请求的操作者的进程路径,并从所述操作者的进程路径中获取所述操作者的身份标识,其中,所述操作者的进程路径中包括所述操作者的身份标识。
8.根据权利要求6所述的装置,其特征在于,所述获取模块具体用于根据所述修改进程地址空间的请求查询所述目标进程的进程地址,并从所述目标进程的进程地址中获取所述目标进程的标识,其中,所述目标进程的进程地址包括所述目标进程的标识。
9.根据权利要求8所述的装置,其特征在于,所述获取模块具体用于根据所述修改进程地址空间的请求中的所述目标进程的句柄获取所述目标进程的进程地址,其中,所述目标进程的句柄是由创建所述目标进程的函数传递给所述修改进程地址空间的请求的。
10.一种终端,其特征在于,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;所述存储器存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种进程地址空间防止恶意修改方法;其中,所述方法为如权利要求1至6任一项所述的方法。
CN201610551880.0A 2016-07-13 2016-07-13 进程地址空间防止恶意修改方法、装置以及终端 Active CN106228066B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610551880.0A CN106228066B (zh) 2016-07-13 2016-07-13 进程地址空间防止恶意修改方法、装置以及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610551880.0A CN106228066B (zh) 2016-07-13 2016-07-13 进程地址空间防止恶意修改方法、装置以及终端

Publications (2)

Publication Number Publication Date
CN106228066A true CN106228066A (zh) 2016-12-14
CN106228066B CN106228066B (zh) 2019-12-03

Family

ID=57520347

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610551880.0A Active CN106228066B (zh) 2016-07-13 2016-07-13 进程地址空间防止恶意修改方法、装置以及终端

Country Status (1)

Country Link
CN (1) CN106228066B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109271789A (zh) * 2018-09-27 2019-01-25 珠海市君天电子科技有限公司 恶意进程检测方法、装置、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6463059B1 (en) * 1998-12-04 2002-10-08 Koninklijke Philips Electronics N.V. Direct memory access execution engine with indirect addressing of circular queues in addition to direct memory addressing
CN1641516A (zh) * 2004-01-05 2005-07-20 华为技术有限公司 一种在视窗操作系统中保证系统安全的方法
CN103150511A (zh) * 2013-03-18 2013-06-12 珠海市君天电子科技有限公司 一种安全防护系统
CN103198255A (zh) * 2013-04-03 2013-07-10 武汉大学 一种Android软件敏感行为监控与拦截方法及系统
CN104021467A (zh) * 2014-06-12 2014-09-03 北京奇虎科技有限公司 保护移动终端支付安全的方法和装置以及移动终端
CN105184166A (zh) * 2015-10-21 2015-12-23 南京大学 基于内核的安卓程序实时行为分析方法及系统
CN105262739A (zh) * 2015-09-25 2016-01-20 上海斐讯数据通信技术有限公司 安全防御方法、终端、服务器及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6463059B1 (en) * 1998-12-04 2002-10-08 Koninklijke Philips Electronics N.V. Direct memory access execution engine with indirect addressing of circular queues in addition to direct memory addressing
CN1641516A (zh) * 2004-01-05 2005-07-20 华为技术有限公司 一种在视窗操作系统中保证系统安全的方法
CN103150511A (zh) * 2013-03-18 2013-06-12 珠海市君天电子科技有限公司 一种安全防护系统
CN103198255A (zh) * 2013-04-03 2013-07-10 武汉大学 一种Android软件敏感行为监控与拦截方法及系统
CN104021467A (zh) * 2014-06-12 2014-09-03 北京奇虎科技有限公司 保护移动终端支付安全的方法和装置以及移动终端
CN105262739A (zh) * 2015-09-25 2016-01-20 上海斐讯数据通信技术有限公司 安全防御方法、终端、服务器及系统
CN105184166A (zh) * 2015-10-21 2015-12-23 南京大学 基于内核的安卓程序实时行为分析方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109271789A (zh) * 2018-09-27 2019-01-25 珠海市君天电子科技有限公司 恶意进程检测方法、装置、电子设备及存储介质
CN109271789B (zh) * 2018-09-27 2021-09-28 珠海豹趣科技有限公司 恶意进程检测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN106228066B (zh) 2019-12-03

Similar Documents

Publication Publication Date Title
CN104462978B (zh) 一种应用程序权限管理的方法和装置
DE112015003902B4 (de) Durchsetzen von Dienstrichtlinien in eingebetteten UICC-Karten
Nadkarni et al. Practical {DIFC} Enforcement on Android
US20100299362A1 (en) Method for controlling access to data containers in a computer system
CN109299135A (zh) 基于识别模型的异常查询识别方法、识别设备及介质
CN102542182A (zh) 基于Windows平台的强制访问控制装置及控制方法
CN111641627A (zh) 用户角色权限管理方法、装置、计算机设备及存储介质
CN107908958B (zh) SELinux安全标识符防篡改检测方法及系统
CN108494796A (zh) 黑名单管理方法、装置、设备及存储介质
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
CN103842971A (zh) 用于间接接口监视和垂线探测的系统和方法
CN105051749A (zh) 基于策略的数据保护
CN110221820B (zh) spring框架泛型依赖注入方法、装置及计算机设备、存储介质
CN101408917A (zh) 应用程序行为合法性检测方法及系统
CN104732147A (zh) 一种应用程序处理方法
US9280674B2 (en) Information processing apparatus and method of controlling same
CN102508768A (zh) 应用程序监控方法及装置
CN109543457B (zh) 管控智能合约之间调用的方法及装置
CN109472656A (zh) 一种虚拟物品的展示方法、装置和存储介质
CN107566375B (zh) 访问控制方法和装置
CN103885784B (zh) 具有安全模块可插拔功能的Android平台构建方法
CN106203121A (zh) 内核地址防止恶意修改方法、装置以及终端
CN106228066A (zh) 进程地址空间防止恶意修改方法、装置以及终端
US20230315886A1 (en) Data use control method and system, electronic device and storage medium
CN106973301A (zh) 一种视频直播管理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20181129

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Applicant after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing

Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant