CN111783081A - 一种恶意进程处理方法、终端设备及存储介质 - Google Patents
一种恶意进程处理方法、终端设备及存储介质 Download PDFInfo
- Publication number
- CN111783081A CN111783081A CN202010512074.9A CN202010512074A CN111783081A CN 111783081 A CN111783081 A CN 111783081A CN 202010512074 A CN202010512074 A CN 202010512074A CN 111783081 A CN111783081 A CN 111783081A
- Authority
- CN
- China
- Prior art keywords
- malicious process
- malicious
- prompt information
- prompt
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Telephone Function (AREA)
Abstract
本申请公开了一种恶意进程处理方法、终端设备及存储介质,该方法包括:检测到恶意进程时,生成恶意进程提示信息;基于所述终端设备的运行状态,输出所述恶意进程提示信息;执行针对所述恶意进程的处理操作。这样,终端设备在执行针对所述恶意进程的处理操作之前,先输出恶意进程提示信息,以告知用户终端当前出现了恶意进程的攻击需要执行一些处理操作,再执行恶意进程对应的处理操作,能够在终端执行系统修复操作时及时向用户告知缘由,实现高效的人机交互。
Description
技术领域
本申请涉及计算机技术,尤其涉及一种恶意进程处理方法、终端设备及存储介质。
背景技术
随着网络环境的日趋复杂,终端面临着越来越多不确定性因素的安全威胁。利用终端现有的安全机制在检测到恶意进程后,会自动重启,来阻止恶意进程操作。这里就存在一种风险,终端在正常运行应用时并不知道该应用属于恶意应用,在“拦截后重启”的安全机制下,会使终端强制重启,以此达到恢复系统的目的。但这种安全机制会影响终端运行的连续性,可能造成用户信息丢失等问题,降低终端品质。
发明内容
为解决上述技术问题,本申请实施例期望提供一种恶意进程处理方法、终端设备及存储介质。
本申请的技术方案是这样实现的:
第一方面,提供了一种恶意进程处理方法,应用于终端设备,所述方法包括:检测到恶意进程时,生成恶意进程提示信息;基于所述终端设备的运行状态,输出所述恶意进程提示信息;执行针对所述恶意进程的处理操作。
第二方面,提供了一种终端设备,所述终端设备包括:
检测单元,用于检测到恶意进程时,生成恶意进程提示信息;
输出单元,用于基于所述终端设备的运行状态,输出所述恶意进程提示信息;
处理单元,用于执行针对所述恶意进程的处理操作。
第三方面,又提供了一种终端设备,包括:处理器和配置为存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器配置为运行所述计算机程序时,执行前述方法的步骤。
第四方面,还提供了一种计算机存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现前述方法的步骤。
本申请实施例中提供了一种恶意进程处理方法、终端设备及存储介质,该方法包括:检测到恶意进程时,生成恶意进程提示信息;基于所述终端设备的运行状态,输出所述恶意进程提示信息;执行针对所述恶意进程的处理操作。这样,终端设备在执行针对所述恶意进程的处理操作之前,先输出恶意进程提示信息,以告知用户终端当前出现了恶意进程的攻击需要执行一些处理操作,再执行恶意进程对应的处理操作,能够在终端执行系统修复操作时及时向用户告知缘由,实现高效的人机交互。
附图说明
图1为本申请实施例中恶意进程处理方法的第一流程示意图;
图2为本申请实施例中恶意进程处理方法的第二流程示意图;
图3为本申请实施例中恶意进程处理方法的第三流程示意图;
图4为本申请实施例中第一用户交互示意图;
图5为本申请实施例中第二用户交互示意图;
图6为本申请实施例中终端设备的第一组成结构示意图;
图7为本申请实施例中终端设备的第二组成结构示意图。
具体实施方式
为了能够更加详尽地了解本申请实施例的特点与技术内容,下面结合附图对本申请实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请实施例。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
需要指出,本申请实施例所涉及的术语“第一、第二、第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一、第二、第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请实施例所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本申请实施例提供了一种恶意进程处理方法,应用于终端设备,所述终端设备包括但不限于手机、笔记本电脑、平板电脑和掌上上网设备、多媒体设备、流媒体设备、移动互联网设备、可穿戴设备或其他类型的终端设备。该方法所实现的功能可以通过终端中的处理器调用程序代码来实现,当然程序代码可以保存在计算机存储介质中,可见,该终端设备至少包括处理器和存储介质。
如图1所示,恶意进程处理方法具体可以包括:
步骤101:检测到恶意进程时,生成恶意进程提示信息;
这里,恶意进程指示威胁终端安全的进程,比如,恶意进程进行Root提权事件,进行重挂载分区等,终端在对恶意进程进行拦截后,需要生成恶意进程提示信息,以提醒存在恶意进程的威胁。
恶意进程指的是带有攻击意图的进程。若检测出当前进程为恶意进程时,系统需对该恶意进程进行拦截,进而获取该恶意进程数据,便于研发人员对其恶意进程进行追溯、分析,最终捕获该恶意进程。
在一些实施例中,在内核空间检测当前进程是否为恶意进程,若检测当前进程非恶意进程,内核空间不需向用户空间上报进程数据;若检测当前进程为恶意进程时,内核空间向用户空间上报恶意进程数据,进而用户空间获取上报的恶意进程数据,便于研发人员基于恶意进程数据去追溯恶意进程。
具体的,该步骤具体可以包括:在内核空间检测到恶意进程时,获取恶意进程数据;将恶意进程数据上报给用户空间;用户空间根据接收到的恶意进程数据生成恶意进程提示信息。
在一些实施例中,该方法还包括:在内核空间检测当前进程恶意进程时,对恶意进程进行查杀操作。也就是说,当内核空间检测到恶意进程时,直接对恶意进程进行查杀操作,再获取恶意进程数据上报到用户空间,使用户空间根据获得的恶意进程数据生成恶意进程提示信息并输出,再执行其他恶意进程对应的处理操作。
例如,恶意进程数据包括进程的用户标识(User Identification,UID)、有效用户编码(Effectives User ID,EUID)、用户文件系统权限标识(File System UserIdentification,FSUID)、进程号(process ID,PID),PPID(父进程号),父进程号(parentprocess ID,PPID)等。内核空间将整理的数据,通过Netlink通讯机制(Netlink是linux提供的用于内核空间和用户空间之间的双向通信方式)上报。
在一些实施例中,内核空间检测当前进程是否为恶意进程的方法可以包括:调用所述当前进程时,获取所述当前进程的第一权限参数;调用所述当前进程后,获取所述当前进程的第二权限参数;若所述第二权限参数相对于所述第一权限参数发生变化,则所述当前进程属于恶意进程。
实际应用中,权限参数(包括第一权限参数和第二权限参数)至少包括:进程的UID、EUID、FSUID。
当系统调用当前进程执行前,找到task_struct(进程机构体),获取task_struct中保存的当前进程的基本信息,并从中提取出UID、EUID、FSUID;当调用当前进程完成后,再次找到task_struct,并再次获取UID、EUID、FSUID;当调用当前进程完成后的至少一个权限参数相对于开始调用时的权限参数发生变化,则认为当前进程属于恶意进程。
在一些实施例中,若所述第二权限参数表示的权限范围大于所述第一权限参数表示的权限范围,则所述当前进程属于恶意进程。
示例性的,系统开始调用当前进程时,获取的恶意进程数据中的权限参数UID、EUID、FSUID=2000(具备shell权限);调用当前进程完成后,再次获取权限参数UID、EUID、FSUID,当权限参数中至少一个等于0,此时表示当前进程已经成为ROOT权限,即拥有最大权限范围,可对系统中的任何文件执行增、删、改、查的操作,确定当前进程为恶意进程。
若当前进程本申请具有ROOT权限,则跳过检测。
步骤102:基于所述终端设备的运行状态,输出所述恶意进程提示信息;
需要说明的是,终端设备在输出提示信息时,需要结合当前的运行状态来确定输出时机,有些运行状态不适合立即输出提示信息,比如锁屏状态、通话状态、视频输出状态等,有些状态适合立即输出提示信息,比如解锁状态、非通话状态等。基于终端设备的运行状态输出提示信息能够提高信息推送的精准性,避免不合时宜的向用户推送提示信息,降低用户体验。
步骤103:执行针对所述恶意进程的处理操作。
实际应用中,不同类型的恶意进程对应不同的处理操作,也就对应不同的提示信息。示例性的,恶意进程为系统进程时,系统进程会被拦截机制杀死,系统进程被杀可能会严重影响系统的功能及稳定性,必须对终端进行重启操作,以修复系统;恶意进程为第三方应用进程时,第三方应用进程被杀,只会影响第三方应用的功能,不会影响系统本身,可以建议用户卸载第三方应用,并重启系统。因此,不同类型的恶意进程的提示信息根据其恶意进程处理操作的不同会存在一些差别。
实际应用中,步骤101至步骤103的执行主体可以为终端设备的处理器。
采用上述技术方案,终端设备在执行针对所述恶意进程的处理操作之前,先输出恶意进程提示信息,以告知用户终端当前出现了恶意进程的攻击需要执行一些处理操作,再执行恶意进程对应的处理操作,能够在终端执行系统修复操作时及时向用户告知缘由,实现高效的人机交互。
在本申请上述实施例的基础上,对恶意进程提示信息的输出方法进行进一步的举例说明,如图2所示,该恶意进程处理方法具体包括:
步骤201:检测到恶意进程时,生成恶意进程提示信息;
具体的,该步骤具体可以包括:在内核空间检测到恶意进程时,获取恶意进程数据;将恶意进程数据上报给用户空间;用户空间根据接收到的恶意进程数据生成恶意进程提示信息。
恶意进程数据中包含指示恶意进行类型的信息,不同类型的恶意进程对应不同的处理操作,也就对应不同的提示信息。
步骤202:获取终端设备的运行状态;
需要说明的是,终端设备在输出提示信息时,需要结合当前的运行状态来确定输出时机,有些运行状态不适合立即输出提示信息,比如锁屏状态、通话状态、视频输出状态等,有些状态适合立即输出提示信息,比如解锁状态、非通话状态等。基于终端设备的运行状态输出提示信息能够提高信息推送的精准性,避免不合时宜的向用户推送提示信息,降低用户体验。
步骤203:基于所述终端设备的运行状态,确定与所述运行状态匹配的提示策略;
在一些实施例中,所述终端设备处于预设状态时,确定所述提示策略为直接输出所述恶意进程提示信息;所述终端不处于预设状态时,确定所述提示策略为所述终端设备切换到所述预设状态时输出所述恶意进程提示信息。
也就是说,当检测到终端处于预设状态时,确定终端可以立即输出提示信息,当检测到终端不处于预设状态时,确定需要等到终端状态切换到预设状态时才能输出提示信息。
示例性的,预设状态为终端设备处于解锁状态且处于非通话状态,或者为终端设备处于解锁状态、非通话状态且非视频播放状态。
本申请实施例根据终端当前运行状态,确定提示信息的提示策略,能够保证终端通话或视频播放等对连续性要求较高的功能连续运行不被打断,也能够输出提示信息及时提醒用户存在恶意进程的威胁。
步骤204:基于所述提示策略,输出所述恶意进程提示信息;
具体的,当提示策略为直接输出所述恶意进程提示信息,则立即输出提示信息;当提示策略为终端设备切换到所述预设状态时输出所述恶意进程提示信息,则监控终端设备运行状态,当切换到预设状态时立即输出提示信息。
在一些实施例中,提示信息可以为语音信息、图像信息或文字信息,提示信息输出单元可以为麦克风、显示屏。
示例性的,终端设备运行状态的检测方法具体可以包括以下:
S1、检测手机是否处于锁屏状态;
S11、如果处于锁屏状态,说明是用户没有使用在手机,不适宜立刻进行信息提示操作,因此仅记录恶意进程的UID,并注册监听设备的锁屏状态,等待用户解锁后再进行信息提示;
S12、如果不处于锁屏状态,执行S2;
S2、不处于锁屏状态,则需要进一步检测手机是否处于通话状态;
S21、如果处于通话状态,说明是用户正在进行通话,不适宜进行信息提示操作,因此也仅记录恶意进程的UID,并注册监听设备的通话状态,等待用户通话结束后(即进入非通话状态)再进行信息提示;
S22、如果不处于通话状态,输出提示信息。
步骤205:执行针对所述恶意进程的处理操作。
实际应用中,不同类型的恶意进程对应不同的处理操作,也就对应不同的提示信息。示例性的,恶意进程为系统进程时,系统进程会被拦截机制杀死,系统进程被杀可能会严重影响系统的功能及稳定性,必须对终端进行重启操作,以修复系统;恶意进程为第三方应用进程时,第三方应用进程被杀,只会影响第三方应用的功能,不会影响系统本身,可以建议用户卸载第三方应用,并重启系统。因此,不同类型的恶意进程的提示信息根据其恶意进程处理操作的不同会存在一些差别。
采用上述技术方案,终端设备在执行针对所述恶意进程的处理操作之前,先输出恶意进程提示信息,以告知用户终端当前出现了恶意进程的攻击需要执行一些处理操作,再执行恶意进程对应的处理操作,能够在终端执行系统修复操作时及时向用户告知缘由,避免了在用户不知情的情况下强制重启手机,导致用户编辑的数据丢失,影响用户体验。
在本申请上述实施例的基础上,对恶意进程提示信息的生成方法进行进一步的举例说明,如图3所示,该恶意进程处理方法具体包括:
步骤301:检测到恶意进程时,获取恶意进程的用户标识;
这里,恶意进程的用户标识UID表征进行ROOT提权的恶意进程类型,不同类型的恶意进程对应不同的处理操作,也就对应不同的提示信息。
实际应用中,当内核空间检测到恶意进程时,将调用do_exit_group(),发送强制自杀指令给恶意进程,杀死进程组;并将恶意进程数据(包括UID)保存,来对父进程进行追溯。
内核空间将恶意进程的数据上报给用户空间,用户空间从恶意进程的数据中获取恶意进程的用户标识,记录恶意进程的用户标识,并生成对应的提示信息。
步骤302:基于所述恶意进程的用户标识,生成所述恶意进程的提示信息;
具体的,所述恶意进程的用户标识表征所述恶意进程为系统进程时,生成与系统进程处理操作对应的第一提示信息;所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,生成与第三方应用进程处理操作对应的第二提示信息。
示例性的,所述系统进程处理操作包括:在预设时间到达时自动控制系统重启;所述第三方应用进程处理操作包括:基于用户的操作指令卸载第三方应用,和/或控制系统重启。
在一些实施例中,所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,生成与第三方应用进程处理操作对应的第二提示信息,包括:基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;基于所述恶意进程包名追溯到目标第三方应用;基于所述目标第三方应用和所述第三方应用进程处理操作,生成所述第二提示信息。
也就是说,在内核空间上报了恶意进程UID之后,基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名,利用恶意进程包名可直接追溯到存在恶意进程的目标第三方应用。这里,通过进程的用户标识和包名的对应关系可提高恶意进程追溯效率,在确定了目标第三方应用之后,将目标第三方应用展示给用户,提示用户卸载目标第三方应用,并执行第三方应用进程处理操作。
需要说明的是,每一个进程的用户标识对应一个进程包名,可以预先保存进程的用户标识和包名对应关系,比如,预先存储进程的用户标识和包名对应关系,根据对应关系就可查找到恶意进程的用户标识对应的恶意进程包名。
示例性的,获取恶意进程的UID,如果UID小于10000,说明进行ROOT提权的进程是系统进程,提权的系统进程会被拦截机制杀死,系统进程被杀可能会严重影响系统的功能及稳定性。因此需要提示用户有恶意进程提权事件发生,并且提醒用户手机会在特定时间后执行重启操作,比如,1分钟后执行重启操作,用户可在这段时间进行数据保存,防止数据丢失。
如果UID大于或者等于10000,说明进行ROOT提权的进程是后安装的第三方应用进程,第三方应用进程被杀,只会影响第三方应用的功能,不会影响系统本身。因此提示用户有恶意进程提权事件发生,提示用户需将第三方应用卸载,为确保系统的稳定性和安全,建议用户执行重启操作,不会进行强制重启。
实际应用中提示信息的具体内容是接近用户语言习惯的用语,且易于被用户理解的用语,而非晦涩难懂的专业术语,具体提示内容根据恶意进程类型灵活设定,本申请实施例不做具体限定。
步骤303:获取终端设备的运行状态;
需要说明的是,终端设备在输出提示信息时,需要结合当前的运行状态来确定输出时机,有些运行状态不适合立即输出提示信息,比如锁屏状态、通话状态、视频输出状态等。
步骤304:基于所述终端设备的运行状态,确定与所述运行状态匹配的提示策略;
在一些实施例中,所述终端设备处于预设状态时,确定所述提示策略为直接输出所述恶意进程提示信息;所述终端不处于预设状态时,确定所述提示策略为所述终端设备切换到所述预设状态时输出所述恶意进程提示信息。
也就是说,当检测到终端处于预设状态时,确定终端可以立即输出提示信息,当检测到终端不处于预设状态时,确定需要等到终端状态切换到预设状态时才能输出提示信息。
示例性的,预设状态为终端设备处于解锁状态且处于非通话状态,或者为终端设备处于解锁状态且处于非视频播放状态。
本申请实施例根据终端当前运行状态,确定提示信息的提示策略,能够保证终端通话或视频播放等对连续性要求较高的功能连续运行不被打断,也能够使提示信息及时输出提醒用户存在恶意进程的威胁。
步骤305:基于所述提示策略,输出所述恶意进程提示信息;
具体的,当提示策略为直接输出所述恶意进程提示信息,则立即输出提示信息;当提示策略为终端设备切换到所述预设状态时输出所述恶意进程提示信息,则监控终端设备运行状态,当切换到预设状态时立即输出提示信息。
在一些实施例中,提示信息可以为语音信息、图像信息或文字信息,提示信息输出单元可以为麦克风、显示屏。
这里,提示信息以文字信息为例进行举例说明。
图4为本申请实施例中第一用户交互示意图,如图4所示,恶意进程为系统进程时,第一提示信息为“检测到系统存在安全隐患,需要重启手机”,用户可执行的操作包括“立即重启”和“稍后重启”,其中,“稍后重启”可以进一步设置重启时间,比如默认时间后重启,固定时间段重启,自定义重启时间等。
图5为本申请实施例中第二用户交互示意图,如图5所示,恶意进程为第三方应用进程时,第二提示信息为“检测到应用A存在安全隐患,建议卸载应用A并重启手机”,用户可执行的操作包括“立即执行”和“忽略”。也就是说,用户通过点击“立即执行”指示终端立即执行卸载和重启操作,或者用户获悉到提示信息后,通过点击“忽略”忽略该建议,或者稍后自行处理,系统不会强制重启手机。
步骤306:执行针对所述恶意进程的处理操作。
具体的,所述恶意进程的用户标识表征所述恶意进程为系统进程时,执行所述系统进程处理操作;所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,执行所述第三方应用进程处理操作。
示例性的,所述系统进程处理操作包括:在预设时间到达时自动控制系统重启;所述第三方应用进程处理操作包括:基于用户的操作指令卸载第三方应用,和/或控制系统重启。
也就是说,针对系统进程在对恶意进行查杀操作及提醒用户之后,还需要对系统进行重启,以达到恢复系统的目的。针对第三方应用由于不会影响系统本身,在对第三方应用进程进行查杀操作,可以提醒卸载第三方应用并对系统重启,用户根据提示信息可以选择卸载第三方应用并重启也可以忽略该提示。
采用上述技术方案,终端设备根据恶意进程类型输出不同的提示信息,并执行不同的处理操作,能够在终端执行系统修复操作时及时向用户告知缘由,避免了在用户不知情的情况下强制重启手机,导致用户编辑的数据丢失,对恶意进程进行分类处理也能提高处理效率。
为实现本申请实施例的方法,基于同一发明构思本申请实施例还提供了一种终端设备,如图6所示,该终端设备包括:
检测单元601,用于检测到恶意进程时,生成恶意进程提示信息;
输出单元602,用于基于所述终端设备的运行状态,输出所述恶意进程提示信息;
处理单元603,用于执行针对所述恶意进程的处理操作。
在一些实施例中,输出单元602,具体用于获取所述终端设备的运行状态;基于所述终端设备的运行状态,确定与所述运行状态匹配的提示策略;基于所述提示策略,输出所述恶意进程提示信息。
在一些实施例中,输出单元602,具体用于所述终端设备处于预设状态时,确定所述提示策略为直接输出所述恶意进程提示信息;所述终端不处于预设状态时,确定所述提示策略为所述终端设备切换到所述预设状态时输出所述恶意进程提示信息。
在一些实施例中,所述预设状态为所述终端设备处于解锁状态且处于非通话状态。
在一些实施例中,检测单元601,具体用于检测到恶意进程时,获取恶意进程的用户标识;基于所述恶意进程的用户标识,生成所述恶意进程的提示信息。
在一些实施例中,检测单元601,具体用于所述恶意进程的用户标识表征所述恶意进程为系统进程时,生成与系统进程处理操作对应的第一提示信息;所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,生成与第三方应用进程处理操作对应的第二提示信息。
在一些实施例中,检测单元601,具体用于基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;基于所述恶意进程包名追溯到目标第三方应用;基于所述目标第三方应用和所述第三方应用进程处理操作,生成所述第二提示信息。
在一些实施例中,处理单元603,具体用于所述恶意进程的用户标识表征所述恶意进程为系统进程时,执行所述系统进程处理操作;所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,执行所述第三方应用进程处理操作。
在一些实施例中,所述系统进程处理操作包括:在预设时间到达时自动控制系统重启;所述第三方应用进程处理操作包括:基于用户的操作指令卸载第三方应用,和/或控制系统重启。
上述终端设备在执行针对所述恶意进程的处理操作之前,先输出恶意进程提示信息,以告知用户终端当前出现了恶意进程的攻击需要执行一些处理操作,再执行恶意进程对应的处理操作,能够在终端执行系统修复操作时及时向用户告知缘由,实现高效的人机交互。
基于上述终端设备中各单元的硬件实现,本申请实施例还提供了另一种终端设备,如图7所示,该终端设备包括:处理器701和配置为存储能够在处理器上运行的计算机程序的存储器702;
其中,处理器701配置为运行计算机程序时,执行前述实施例中的方法步骤。
当然,实际应用时,如图7所示,该终端设备中的各个组件通过总线系统703耦合在一起。可理解,总线系统703用于实现这些组件之间的连接通信。总线系统703除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图7中将各种总线都标为总线系统703。
在实际应用中,上述处理器可以为特定用途集成电路(ASIC,ApplicationSpecific Integrated Circuit)、数字信号处理装置(DSPD,Digital Signal ProcessingDevice)、可编程逻辑装置(PLD,Programmable Logic Device)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
上述存储器可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatile memory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向处理器提供指令和数据。
在示例性实施例中,本申请实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器,计算机程序可由终端设备的处理器执行,以完成前述方法的步骤。
本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和设备,可以通过其它的方式实现。以上所描述的实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (12)
1.一种恶意进程处理方法,应用于终端设备,其特征在于,所述方法包括:
检测到恶意进程时,生成恶意进程提示信息;
基于所述终端设备的运行状态,输出所述恶意进程提示信息;
执行针对所述恶意进程的处理操作。
2.根据权利要求1所述的方法,其特征在于,所述基于所述终端设备的运行状态,输出所述恶意进程提示信息,包括:
获取所述终端设备的运行状态;
基于所述终端设备的运行状态,确定与所述运行状态匹配的提示策略;
基于所述提示策略,输出所述恶意进程提示信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述终端设备的运行状态,确定与所述运行状态匹配的提示策略,包括:
所述终端设备处于预设状态时,确定所述提示策略为直接输出所述恶意进程提示信息;
所述终端不处于预设状态时,确定所述提示策略为所述终端设备切换到所述预设状态时输出所述恶意进程提示信息。
4.根据权利要求3所述的方法,其特征在于,所述预设状态为所述终端设备处于解锁状态且处于非通话状态。
5.根据权利要求1所述的方法,其特征在于,所述检测到恶意进程时,生成恶意进程提示信息,包括:
检测到恶意进程时,获取恶意进程的用户标识;
基于所述恶意进程的用户标识,生成所述恶意进程的提示信息。
6.根据权利要求5所述的方法,其特征在于,所述基于所述恶意进程的用户标识,生成所述恶意进程的提示信息,包括:
所述恶意进程的用户标识表征所述恶意进程为系统进程时,生成与系统进程处理操作对应的第一提示信息;
所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,生成与第三方应用进程处理操作对应的第二提示信息。
7.根据权利要求6所述的方法,其特征在于,所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,生成与第三方应用进程处理操作对应的第二提示信息,包括:
基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;
基于所述恶意进程包名追溯到目标第三方应用;
基于所述目标第三方应用和所述第三方应用进程处理操作,生成所述第二提示信息。
8.根据权利要求6所述的方法,其特征在于,所述执行针对所述恶意进程的处理操作,包括:
所述恶意进程的用户标识表征所述恶意进程为系统进程时,执行所述系统进程处理操作;
所述恶意进程的用户标识表征所述恶意进程为第三方应用进程时,执行所述第三方应用进程处理操作。
9.根据权利要求6至8任一项所述的方法,其特征在于,所述系统进程处理操作包括:在预设时间到达时自动控制系统重启;
所述第三方应用进程处理操作包括:基于用户的操作指令卸载第三方应用,和/或控制系统重启。
10.一种终端设备,其特征在于,所述终端设备包括:
检测单元,用于检测到恶意进程时,生成恶意进程提示信息;
输出单元,用于基于所述终端设备的运行状态,输出所述恶意进程提示信息;
处理单元,用于执行针对所述恶意进程的处理操作。
11.一种终端设备,所述终端设备包括:处理器和配置为存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器配置为运行所述计算机程序时,执行权利要求1至9任一项所述方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至9任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010512074.9A CN111783081A (zh) | 2020-06-08 | 2020-06-08 | 一种恶意进程处理方法、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010512074.9A CN111783081A (zh) | 2020-06-08 | 2020-06-08 | 一种恶意进程处理方法、终端设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111783081A true CN111783081A (zh) | 2020-10-16 |
Family
ID=72754108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010512074.9A Pending CN111783081A (zh) | 2020-06-08 | 2020-06-08 | 一种恶意进程处理方法、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111783081A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113407940A (zh) * | 2021-06-21 | 2021-09-17 | 成都欧珀通信科技有限公司 | 脚本检测方法、装置、存储介质以及计算机设备 |
| CN114792008A (zh) * | 2022-06-24 | 2022-07-26 | 珠海市魅族科技有限公司 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106875154A (zh) * | 2017-01-16 | 2017-06-20 | 深圳市邦华电子有限公司 | 一种提醒任务触发方法、装置和一种智能终端 |
| CN108399087A (zh) * | 2018-03-22 | 2018-08-14 | 北京金山安全软件有限公司 | 一种进程关闭的方法、装置及电子设备 |
| CN108595954A (zh) * | 2018-04-10 | 2018-09-28 | 江南大学 | 一种基于运行时验证的恶意行为监测方法 |
| CN110447215A (zh) * | 2017-11-10 | 2019-11-12 | 华为技术有限公司 | 应用软件恶意行为的动态告警方法和终端 |
-
2020
- 2020-06-08 CN CN202010512074.9A patent/CN111783081A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106875154A (zh) * | 2017-01-16 | 2017-06-20 | 深圳市邦华电子有限公司 | 一种提醒任务触发方法、装置和一种智能终端 |
| CN110447215A (zh) * | 2017-11-10 | 2019-11-12 | 华为技术有限公司 | 应用软件恶意行为的动态告警方法和终端 |
| CN108399087A (zh) * | 2018-03-22 | 2018-08-14 | 北京金山安全软件有限公司 | 一种进程关闭的方法、装置及电子设备 |
| CN108595954A (zh) * | 2018-04-10 | 2018-09-28 | 江南大学 | 一种基于运行时验证的恶意行为监测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113407940A (zh) * | 2021-06-21 | 2021-09-17 | 成都欧珀通信科技有限公司 | 脚本检测方法、装置、存储介质以及计算机设备 |
| CN114792008A (zh) * | 2022-06-24 | 2022-07-26 | 珠海市魅族科技有限公司 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200412747A1 (en) | System and Method for Cyber Security Threat Detection | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| US9838417B1 (en) | Intelligent context aware user interaction for malware detection | |
| US10671726B1 (en) | System and method for malware analysis using thread-level event monitoring | |
| US10963558B2 (en) | Malware detection method and malware detection apparatus | |
| US10148689B2 (en) | Method and apparatus for monitoring malicious link injection into website source code | |
| EP2843979B1 (en) | Method and apparatus for preventing sound recording during the call | |
| CN106709325B (zh) | 一种监控程序的方法及装置 | |
| CN106951335B (zh) | 一种进程守护方法和移动终端 | |
| US10409635B2 (en) | Switching method, switching system and terminal for system and/or application program | |
| US20150101055A1 (en) | Method, system and terminal device for scanning virus | |
| CN102880817A (zh) | 计算机软件产品运行保护方法 | |
| CN104123162A (zh) | 控制应用程序自启的方法及装置 | |
| CN111783081A (zh) | 一种恶意进程处理方法、终端设备及存储介质 | |
| CN111651754A (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| US20140283044A1 (en) | Method and Device For Preventing Application in an Operating System From Being Uninstalled | |
| CN109388622A (zh) | 一种日志信息处理方法、装置、设备及可读存储介质 | |
| CN107479874B (zh) | 一种基于Windows平台的DLL注入方法及系统 | |
| CN107871079A (zh) | 一种可疑进程检测方法、装置、设备及存储介质 | |
| CN107729167B (zh) | 应用异常处理方法和装置 | |
| EP3831031B1 (en) | Listen mode for application operation whitelisting mechanisms | |
| CN106127034B (zh) | 一种防止系统被恶意关闭的方法、装置及电子设备 | |
| CN114979109A (zh) | 行为轨迹检测方法、装置、计算机设备和存储介质 | |
| CN113986190A (zh) | 应用的处理方法、装置和电子设备 | |
| CN109960928B (zh) | 可疑文件的处理方法和处理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |