CN111783082A - 进程的追溯方法、装置、终端和计算机可读存储介质 - Google Patents
进程的追溯方法、装置、终端和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111783082A CN111783082A CN202010514513.XA CN202010514513A CN111783082A CN 111783082 A CN111783082 A CN 111783082A CN 202010514513 A CN202010514513 A CN 202010514513A CN 111783082 A CN111783082 A CN 111783082A
- Authority
- CN
- China
- Prior art keywords
- parent
- identity information
- identifier
- name
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 821
- 230000008569 process Effects 0.000 title claims abstract description 767
- 239000010410 layer Substances 0.000 claims description 85
- 230000006870 function Effects 0.000 claims description 37
- 230000015654 memory Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 10
- 239000012792 core layer Substances 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 101150108030 ppiD gene Proteins 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
Abstract
本申请实施例公开了一种进程的追溯方法、装置、终端及计算机可读存储介质,所述方法包括:若在内核层中检测到第一进程发生提权,则通过内核层获取第一进程的身份信息和第一进程的父进程的身份信息;通过内核层上报第一进程的身份信息和父进程的身份信息至用户层。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种进程的追溯方法、装置、终端和计算机可读存储介质。
背景技术
目前,如果在内核层中检测到恶意进程,则需要将恶意进程的进程组的标识符(Threadgroup Identity,TGID)由内核层上报至用户层,使工程师通过TGID可以对恶意进程进行追查和确认。而对于具有多进程的进程组,或者恶意进程是被其他进程调用的恶意进程时,通过TGID只能确定恶意进程所属的进程组,源头单一。
发明内容
本申请实施例提供一种进程的追溯方法、装置、终端和计算机可读存储介质,实现了对恶意进程的有效追溯。
本申请的技术方案是这样实现的:
本申请实施例提供了一种进程的追溯方法,所述方法包括:
若在内核层中检测到第一进程发生提权,则通过所述内核层获取所述第一进程的身份信息和所述第一进程的父进程的身份信息;通过所述内核层上报所述第一进程的身份信息和所述父进程的身份信息至用户层。
本申请实施例提供了一种进程的追溯装置,包括:
获取模块,用于若在内核层中检测到第一进程发生提权,则通过所述内核层获取所述第一进程的身份信息和所述第一进程的父进程的身份信息;上报模块,用于通过所述内核层上报所述第一进程的身份信息和所述父进程的身份信息至用户层。
本申请实施例提供了一种终端,所述终端包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序时,执行上述进程的追溯方法。
本申请实施例提供了一种计算机可读存储介质,存储有计算机程序,用于被处理器执行时,实现上述进程的追溯方法。
本申请实施例提供的技术方案带来的有益效果至少包括:
本申请实施例所提供的一种进程的追溯方法、终端和计算机可读存储介质,终端若在内核层中检测到第一进程发生提权,则通过内核层获取第一进程的身份信息和第一进程的父进程的身份信息;通过内核层上报第一进程的身份信息和父进程的身份信息至用户层,以便在后续数据分析过程中准确的确定恶意进程及其来源,实现了对恶意进程的有效追溯。
附图说明
图1为本申请实施例提供的进程的追溯方法的一个可选的流程示意图;
图2为本申请实施例提供的用户层和内核层之间系统调用的场景示意图;
图3为本申请实施例提供的进程的追溯方法的一个可选的流程示意图;
图4为本申请实施例提供的进程的追溯方法的一个可选的流程示意图;
图5为本申请实施例提供的进程的追溯方法的一个可选的流程示意图;
图6为本申请实施例提供的进程的追溯方法的一个可选的流程示意图;
图7为本申请实施例提供的进程的追溯方法的一个可选的流程示意图;
图8为本申请实施例提供的进程的追溯装置的一个可选的结构组成示意图;
图9为本申请实施例提供的终端的一个可选的结构组成示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。以下实施例用于说明本申请,但不用来限制本申请的范围。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
需要指出,本申请实施例所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请实施例所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
随着社会的进步和技术的发展,人们越来越多地使用移动终端来以无线的方式接入因特网络来获取信息,包括信息浏览和文件下载等。但是,随着网络信息的广泛普及,网络安全问题也日益严峻,尤其是许多可执行文件,现在的病毒和木马不仅盗取密码帐号让系统变慢,还感染可执行文件删除ghost的备份。
由于终端本身硬件资源的限制,在接入网络获得信息或者增加某些附加功能的过程中尤其需要下载许多可执行文件,而所下载的可执行文件的安全性问题就更为严重,如今有越来越多的终端病毒或恶意程序捆绑、或伪装成正规终端应用软件诱骗用户下载安装,如近期利用“手机护士”、“手机管家”之名大肆传播的“手机兽医”病毒,造成了大量用户中招,造成用户通过手机等移动终端中安装的部分软件出现自动发短信、无法卸载、盗取用户通讯录等恶意情况,使用户在执行此类可执行文件的过程中存在极大的安全隐患,随着安全事件越来越频繁地爆发,终端安全问题已经逐渐成为产业乃至社会关注的焦点。
本申请实施例提供一种可执行文件恶意执行的检测方法,应用于终端。终端包括但不限于手机、笔记本电脑、平板电脑和掌上上网设备、多媒体设备、流媒体设备、移动互联网设备、可穿戴设备或其他类型的终端设备。该方法所实现的功能可以通过终端中的处理器调用程序代码来实现,当然程序代码可以保存在计算机可读存储介质中,可见,该终端至少包括处理器和存储器。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提供一种进程的追溯方法,图1为本申请实施例提供的进程的追溯方法的一个可选的流程示意图,如图1所示,该方法可以通过S101-S102实现,将结合各步骤进行说明。
S101、若在内核层中检测到第一进程发生提权,则通过内核层获取第一进程的身份信息和第一进程的父进程的身份信息;
在本申请实施例中,终端的应用程序只在用户层运行,受到权限的限制;
图2为本申请实施例提供的用户层和内核层之间系统调用的场景示意图,如图2所示,当应用程序需要执行内核代码时,需要执行系统调用,把应用程序的请求传给内核层,调用相应的内核函数才能执行内核代码。
示例性地,用户的应用程序通常安装在基于系统内核的操作系统,例如,基于linux系统内核的操作系统,如Android系统、Tizen系统、Kubuntu系统、Ubuntu系统、Kylin系统等,对此,本申请实施例不作限制。
在本申请实施例中,由于内核层和用户层不同的权限限制,在内核层中,恶意进程通常会进行进程的提权,以进行恶意行为。因此,当终端在检测到第一进程发生提权后,可以确定第一进程为恶意进程。
示例性地,终端可以为手机,手机的系统为release版本,那么,一旦在手机内核层发现有进程发生提权,则可以直接确定该第一进程为恶意进程。
需要说明的是,终端可以在系统调用前获取内核进程的权限,在系统调用后再次获取内核进程的权限,如果确定第一进程的权限在系统调用后发生改变,则可以确定第一进程发生提权。
在本申请的一些实施例中,恶意进程一般会将权限提升为根(root)级别,即系统的最高权限,从而方便的进行恶意行为。因此,如果第一进程在系统调用前不是root权限,在系统调用后变成root权限,则表明第一进程发生了提权,第一进程为恶意进程。
在本申请实施例中,进程的权限是否发生改变可以根据进程携带的发起这个进程的用户的身份信息来确定。其中,用户的身份信息可以包括:实际用户标识(real user ID,UID)、有效用户标识(effective user ID,EUID)和文件系统用户标识(file set user ID,FSUID),还可以包括GUID、设置用户标识(set user ID,SUID)等,本申请实施例不作限制。
在本申请实施例中,UID表示进程的执行者,一般情况下是用户登陆系统的用户标识;并且,子进程继承父进程的UID,也就是说,子进程与父进程的UID相同。例如,用户以1000登陆系统,则终端后续运行的所有进程的UID均为1000;EUID表示进程执行时对文件的访问权限。EUID可以与UID相同,也可以与UID不同;FSUID表示用于进程文件访问的用户权限;GUID和SUID均表示对文件的访问权限,其中,SUID表示进程在执行阶段被设置的对文件的访问权限;GUID表示进程在执行阶段,其所属进程组被设置的对文件的访问权限,通过SUID和GUID可以使没有root权限的用户临时具有root权限,从而执行一些只有root用户可以执行的进程,如passed。
需要说明的是,终端可以根据用户身份信息中是否存在预设值来确定进程是否有ROOT权限,若任意一个用户身份信息存在预设值时,则可以确定该进程具有root权限;若所有用户身份信息不存在预设值,则表示该进程不具有root权限。其中,当用户身份信息为UID、EUID和FSUID时,预设值为0;当用户身份信息为GUID和SUID时,预设值为S。
示例性地,如果进程在系统调用前UID的取值不是0,在系统调用后UID取值为0,则表明该进程在系统调用后发生提权;如果进程在系统调用前的UID取值已经为0,则无需检测在系统调用后第一进程的权限是否发生提权。
在本申请实施例中,终端在确定第一进程发生提权后,将通过内核层杀死第一进程,以终止恶意行为。
这里,终端通过内核层杀死第一进程的方式可以是调用内核层的函数来进行的,例如,第一进程可以调用do_exit函数杀死第一进程,或者通过其他进程调用kthread_stop函数杀死第一进程,还可以通过kill命令杀死第一进程,对于杀死第一进程的方式,本申请实施例不作限制。
需要说明的是,终端可以通过内核层杀死第一进程所在进程组的方式,杀死第一进程,避免第一进程被杀死后,内核层感知到第一进程组中第一进程缺失,而再次生成第一进程,使第一进程再次进行恶意行为。
在本申请实施例中,第一进程发生提权,可以是被其他进程调用而发生的提权,因此,终端在检测到第一进程发生提权后,为了对调用第一进程,使第一进程成为恶意进程的父进程进行追溯,需要通过内核层获取第一进程的身份信息以及第一进程的父进程的身份信息。
其中,进程的身份信息是用于识别该进程的信息;进程的身份信息可以包括进程的进程标识(process ID,PID)和/或进程名。
这里,针对一个用户,进程具有唯一的身份信息。例如,每个进程具有唯一的进程标识和进程名称;并且,每个进程的进程标识和进程名称是一一对应的,因此,终端可以通过进程的身份信息确定唯一的进程。
在本申请实施例中,终端通过内核层可以获取第一进程的进程标识作为第一进程的身份信息,也可以获取第一进程的进程名作为第一进程的身份信息,还可以获取第一进程的进程标识和进程名作为第一进程的身份信息,对此,本申请实施例不作限制。
在本申请实施例中,终端通过内核层可以获取父进程的进程标识作为父进程的身份信息,也可以获取父进程的进程名作为父进程的身份信息,还可以获取父进程的进程标识和进程名作为父进程的身份信息,对此,本申请实施例不作限制。
在本申请实施例中,第一进程为当前进程,终端可以通过获取当前进程的身份信息来获取第一进程的身份信息以及第一进程的父进程的身份信息。
在本申请的一些实施例中,终端可以通过变量方法获取当前进程的PID,例如:current->pid;也可以通过函数方法获取当前进程PID,例如:sys_getpid;还可以通过当前进程的结构体等其他方式来获取当前进程的PID;对于获取当前进程的PID的方式,本申请实施例不作限制。
在本申请的一些实施例中,终端可以通过当前进程的PID来获取当前进程的进程名,还可以通过当前进程的结构体等其他方式来获取当前进程的进程名;对于获取当前进程的PID的方式,本申请实施例不作限制。
在本申请的一些实施例中,终端可以通过当前进程的PID获取当前进程的父进程的进程标识(parent process ID,PPID),也可以通过当前进程结构体等其他方式来获取PPID,对于获取PPID的方式,本申请实施例不作限制。
在本申请的一些实施例中,终端可以通过PPID来获取父进程的进程名,还可以通过父进程的进程结构体等其他方式来获取父进程的进程名;对于获取PPID的方式,本申请实施例不作限制。
S102、通过内核层上报第一进程的身份信息和父进程的身份信息至用户层。
在本申请实施例中,终端通过内核层获取第一进程的身份信息和第一进程的父进程的身份信息后,需要将第一进程的身份信息和父进程的身份信息上报至用户层,以便准确的确定恶意进程以及调用恶意进程的父进程,进而准确地捕获恶意进程。
这里,终端可以通过调用发送(send)函数将第一进程的身份信息和父进程的身份信息上报给用户层。
可以理解的是,终端在内核层中检测到第一进程发生提权,则通过内核层获取第一进程的身份信息和第一进程的父进程的身份信息;通过内核层上报第一进程的身份信息和父进程的身份信息至用户层,以便在后续数据分析过程中准确的确定恶意进程及其来源,实现对恶意进程的有效追溯。
图3为本申请实施例提供的进程的追溯方法的一个可选的流程示意图,如图3所示,S101可以通过S301-S303实现,将结合各步骤进行说明。
S301、通过内核层获取第一进程的进程结构体;
在本申请实施例中,终端在内核层中通过进程结构体对进程进行管理。进程结构体包含多个变量,如进程的标识、名称、类型、创建时间、进程所在地址等,通过对这些变量赋值可以创建进程。
在本申请实施例中,第一进程为当前进程,终端通过获取当前进程的进程结构体来获取第一进程的进程结构体。
在本申请实施例中,获取第一进程的进程结构体之后,可以通过第一进程的进程结构体获取第一进程的身份信息以及父进程的身份信息。
S302、从第一进程的进程结构体中,获取第一进程的身份信息;
在本申请实施例中,由于第一进程的进程结构体中包括第一进程的相关信息,如进程标识和进程名等;因此,终端获取第一进程的进程结构体后,可以从第一进程的进程结构体中获取第一进程的进程标识和/或进程名。
在本申请实施例中,终端可以通过内核层调用进程标识获取函数,从第一进程的进程结构体中,获取第一进程的进程标识。
在本申请实施例中,进程标识获取函数可以为task_pid_nr(),也可以为task_pid_nr_ns(),对此,本申请实施例不作限制。
示例性地,第一进程为当前进程,则task_pid_nr(current)可以获取当前进程的进程标识,从而获取第一进程的进程标识;其中,current表示当前进程的进程结构体。
在本申请实施例中,终端可以基于第一进程的进程结构体,获取第一进程的进程名。
其中,终端可以为通过打印第一进程的进程结构体中的comm变量获取第一进程的进程名;这里,comm为保存进程名的字符数组;也可以通过进程名获取函数,从第一进程的进程结构体中,获取第一进程的进程名;对于获取第一进程的进程名的方式,本申请实施例不作限制。
在本申请的一些实施例中,进程名获取函数可以为get_task_comm(),通过get_task_comm()获取comm变量。
示例性地,第一进程为当前进程,则通过get_task_comm(comm,current)获取当前进程的comm变量,由此,获取第一进程的进程名。
需要说明的是,若终端将第一进程的进程标识作为第一进程的身份信息,则可以从第一进程的结构体中只获取第一进程的进程标识;若终端将第一进程的进程名作为第一进程的身份信息,则可以从第一进程的结构体中只获取第一进程的进程名;若终端将第一进程的进程标识和第一进程的进程名作为第一进程的身份信息,则需要从第一进程的结构体中获取第一进程的进程标识和第一进程的进程名。
S303、基于第一进程的进程结构体,获取父进程的身份信息。
在本申请实施例中,终端在获取第一进程的进程结构体后,可以通过第一进程的进程结构体获取父进程的进程标识和/或进程名。
需要说明的是,获取任意进程的身份信息中进程标识和进程名中的任意一个,就可以基于获取到的一个身份信息获取另外一个身份信息。
示例性地,终端获取进程的进程标识后,可以根据进程标识来获取该进程的进程名;或者,获取进程的进程名后,可以根据进程名的进程名来获取该进程的进程标识。
在本申请实施例中,内核中的进程在不同的用户处被分配的进程名或进程标识可能不同,终端可以获取第一进程的进程标识和进程名作为第一进程的身份信息,并获取父进程的进程标识和进程名作为父进程的身份信息,将第一进程的进程标识和进程名以及父进程的进程标识和进程名一起上报,从而提高捕获恶意进程的准确率。
示例性地,第一进程的进程名为A,第一进程的父进程名为B,在用户1处,第一进程的进程标识为01,父进程的进程标识为11,在用户2处,第一进程的进程标识为00,父进程的标识为10;终端在用户1处确认第一进程为恶意进程后,将第一进程的进程名A、第一进程的进程标识01、父进程的进程名B和父进程的进程标识10一并上报,这样,即使第一进程和父进程在用户1和用户2的进程标识不同,终端仍然可以通过进程名捕获恶意进程,也就是说,终端可以在用户2处捕获B进程调用A进程作为恶意进程。
图4为本申请实施例提供的进程的追溯方法的一个可选的流程示意图,如图4所示,S303可以通过S401-S402实现,将结合各步骤进行说明。
S401、基于第一进程的进程结构体,获取父进程的进程标识;
在本申请实施例中,终端通过内核层获取第一进程的进程结构体后,可以先获取父进程的进程标识,再根据父进程的进程标识获取父进程的进程名。
在本申请的一些实施例中,终端通过内核层中的父进程标识获取函数,调用得到第一进程的进程结构体对应的第一进程的父进程的进程标识。
在本申请的一些实施例中,父进程标识获取函数可以为task_ppid_nr(),也可以为task_ppid_nr_ns()等其他接口函数,对此,本申请实施例不作限制。
示例性地,第一进程为当前进程current,则可以通过task_ppid_nr(current)获取第一进程的父进程的进程标识。
S402、基于父进程的进程标识,获取父进程的进程名;其中,父进程的进程标识和/或父进程的进程名作为父进程的身份信息。
在本申请实施例中,终端获取父进程的进程标识后,可以根据父进程的进程标识获取父进程的进程名。
需要说明的是,终端基于第一进程的进程结构体,获取父进程的进程标识后,可以将父进程内的进程标识作为父进程的身份信息,此时,终端可以不执行S402。
图5为本申请实施例提供的进程的追溯方法的一个可选的流程示意图,如图5所示,S402可以通过S501-S502实现,将结合各步骤进行说明。
S501、通过父进程的进程标识,获取父进程的进程结构体;
在本申请实施例中,终端通过内核层获取父进程的进程标识后,可以先通过父进程的进程标识获取父进程的进程结构体,在从父进程的进程结构体中获取父进程的进程名。
在本申请的一些实施例中,终端在内核层中调用进程结构体获取函数,通过父进程的进程标识,获取所述父进程的进程结构体。
这里,进程结构体获取函数可以为find_get_pid()。
示例性地,终端在获取第一进程的父进程的进程标识ppid后,可以通过find_get_pid(ppid)获取父进程的进程结构体。
终端在获取父进程的进程结构体后,可以从父进程的进程结构体中,获取父进程的相关信息。
S502、调用进程名获取函数,从父进程的进程结构体中,得到父进程的进程名。
可以理解的是,终端基于第一进程的进程结构体,通过内核层中的接口函数调用父进程的进程结构体,来获取父进程的进程名,也就是说,终端通过在内核层中结构体之间的相互组合调用来获取父进程的进程名,快速便捷的获取了第一进程的父进程的身份信息,提高了父进程的身份信息的获取效率,实现了对恶意进程的有效追溯。
在本申请实施例中,终端在获取进程结构体后,可以调用进程名获取函数,从进程结构体中得到该进程的进程名的过程,在S302中已做阐述,在此不再赘述。
图6为本申请实施例提供的进程的追溯方法的一个可选的流程示意图,如图6所示,该方法可以通过S601-S607实现,将结合各步骤进行说明。
S601、终端在内核层中检测到第一进程发生提权,则通过内核层获取第一进程的进程结构体;
在本申请实施例中,终端在内核层中检测到第一进程发生提权,可以获取第一进程的进程结构体,通过第一进程的进程结构体杀死第一进程;同时,基于第一进程的进程结构体获取第一进程的身份信息和父进程的身份信息进行上报。这里,身份信息包括进程标识和进程名。
S602、终端通过内核层调用进程标识获取函数,从第一进程的进程结构体中获取第一进程的进程标识;
S603、终端通过内核层调用进程名获取函数,从第一进程的进程结构体中获取第一进程的进程名;
S604、终端通过内核层中的父进程标识获取函数,调用得到第一进程的进程结构体对应的第一进程的父进程的进程标识;
S605、终端通过内核层调用进程结构体获取函数,通过父进程的进程标识,获取父进程的进程结构体;
S606、终端通过内核层调用进程名获取函数,从父进程的进程结构体中获取父进程的进程名;
S607、终端通过内核层上报第一进程的进程标识和进程名以及父进程的进程标识和进程名至用户层。
在本申请实施例中,终端在内核层中检测到第一进程发生提权,可以确定第一进程为恶意进程;则可以通过第一进程的进程结构体杀死第一进程,并获取第一进程的进程标识和进程名;之后,终端还通过第一进程的进程结构体获取了第一进程的父进程的进程标识,再通过父进程标识获取父进程的进程结构体,通过结构体之间的相互组合调用,方便快速的获取父进程的进程名,最后,通过内核层将第一进程的进程标识和进程名以及父进程的进程标识和进程名至用户层,从而实现对恶意进程的有效追溯。
图7为本申请实施例提供的进程的追溯方法的一个可选的流程示意图,如图7所示,示例性的,以UID的取值为例说明终端通过用户身份信息确定第一进程是否发生提权,则该方法可以通过S701-S710实现,将结合各步骤进行说明。
S701、终端在系统调用前,通过内核层检测到第一进程的UID不为0;
S702、终端在系统调用后检测到第一进程的UID为0,则确定第一进程发生提权;
S703、终端通过内核层获取第一进程的进程结构体;
需要说明的是,当第一进程为当前进程时,第一进程的进程结构体在内核层中表示为current。
S704、终端通过do_exit_group(current)杀死第一进程所属进程组;
S705、终端通过task_pid(current)获取第一进程的进程标识pid;
S706、终端通过get_task_comm(comm,current)获取第一进程的进程名;
S707、终端通过调用task_ppid_nr(current)获取父进程的进程标识ppid;
S708、终端通过find_get_pid(ppid)获取父进程的进程结构体parent_task;
S709、终端通过get_task_comm(comm,parent_struct)获取父进程的进程名;
S710、终端通过内核层上报第一进程的进程标识pid、第一进程的进程名、父进程的进程标识ppid和父进程的进程名至用户层。
需要说明的是,在S703之后,终端在内核层可以先执行S705-S706,再执行S707-S709;也可以先执行S707-S709,再执行S705-S706;还可以同时执行S705-S706和S707-S709,对此,本申请实施例不作限制。
在本申请实施例中,终端通过内核层确定第一进程在系统调用前后的UID的变换,在第一进程的UID变为0确认第一进程发生提权,由此确定第一进程为恶意进程,通过第一进程的进程结构体杀死第一进程;并且,通过第一进程的进程结构体,调用内核中的函数获取第一进程的进程标识和进程名;还通过第一进程的进程结构体得到父进程的进程结构体,基于父进程的进程结构体得到父进程的进程名,从而方便快速的获取父进程的进程名;最后,通过内核层将第一进程的进程标识和进程名以及父进程的进程标识和进程名至用户层,实现了对恶意进程的有效追溯。
基于上述实施例,本申请实施例提供一种进程的追溯装置,图8为本申请实施例提供的进程的追溯装置的一个可选的结构组成示意图,如图8所示,该装置8包括:
获取模块81,用于若在内核层中检测到第一进程发生提权,则通过所述内核层获取所述第一进程的身份信息和所述第一进程的父进程的身份信息;
上报模块82,用于通过所述内核层上报所述第一进程的身份信息和所述父进程的身份信息至用户层。
在本申请的一些实施例中,获取模块81,具体用于通过所述内核层获取所述第一进程的进程结构体;从所述第一进程的进程结构体中,获取所述第一进程的身份信息;基于所述第一进程的进程结构体,获取所述父进程的身份信息。
在本申请的一些实施例中,所述身份信息包括进程标识和/或进程名。
在本申请的一些实施例中,获取模块81,具体用于调用进程标识获取函数,从所述第一进程的进程结构体中,获取所述第一进程的进程标识;调用进程名获取函数,从所述第一进程的进程结构体中,获取所述第一进程的进程名。
在本申请的一些实施例中,获取模块81,具体用于基于所述第一进程的进程结构体,获取所述父进程的进程标识;基于所述父进程的进程标识,获取所述父进程的进程名;其中,所述父进程的进程标识和/或所述父进程的进程名作为所述父进程的身份信息。
在本申请的一些实施例中,获取模块81,具体用于通过父进程标识获取函数,调用得到所述第一进程的进程结构体对应的第一进程的父进程的进程标识。
在本申请的一些实施例中,获取模块81,具体用于通过所述父进程的进程标识,获取所述父进程的进程结构体;调用进程名获取函数,从所述父进程的进程结构体中,得到所述父进程的进程名。
在本申请的一些实施例中,获取模块81,具体用于调用进程结构体获取函数,通过所述父进程的进程标识,获取所述父进程的进程结构体。
本申请实施例提供一种终端,图9为本申请实施例提供的终端的一个可选的结构组成示意图,如图9所示,该终端9包括:处理器901和存储器902,存储器902存储有可在处理器901上运行的计算机程序,处理器901执行所述计算机程序被执行时,实现本申请实施例的任意一种进程的追溯方法的步骤。
存储器902配置为存储由处理器901计算机程序和应用,还可以缓存待处理器901以及终端中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random Access Memory,RAM)实现。
处理器901执行程序时实现上述任一项的进程的追溯方法的步骤。处理器901通常控制终端9的总体操作。
上述处理器可以为特定用途集成电路(Application Specific IntegratedCircuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(Programmable LogicDevice,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。可以理解地,实现上述处理器功能的电子器件还可以为其它,本申请实施例不作限制。
上述计算机存储介质/存储器可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种终端,如移动电话、计算机、平板设备、个人数字助理等。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本申请实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得设备自动测试线执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种进程的追溯方法,其特征在于,包括:
若在内核层中检测到第一进程发生提权,则通过所述内核层获取所述第一进程的身份信息和所述第一进程的父进程的身份信息;
通过所述内核层上报所述第一进程的身份信息和所述父进程的身份信息至用户层。
2.根据权利要求1所述的方法,其特征在于,所述通过所述内核层获取所述第一进程的身份信息和所述第一进程的父进程的身份信息,包括:
通过所述内核层获取所述第一进程的进程结构体;
从所述第一进程的进程结构体中,获取所述第一进程的身份信息;
基于所述第一进程的进程结构体,获取所述父进程的身份信息。
3.根据权利要求2所述的方法,其特征在于,身份信息包括:进程标识和/或进程名。
4.根据权利要求3所述的方法,其特征在于,所述从所述第一进程的进程结构体中,获取所述第一进程的身份信息,包括:
调用进程标识获取函数,从所述第一进程的进程结构体中,获取所述第一进程的进程标识;和/或,
调用进程名获取函数,从所述第一进程的进程结构体中,获取所述第一进程的进程名。
5.根据权利要求3所述的方法,其特征在于,所述基于所述第一进程的进程结构体,获取所述父进程的身份信息,包括:
基于所述第一进程的进程结构体,获取所述父进程的进程标识;
基于所述父进程的进程标识,获取所述父进程的进程名;其中,所述父进程的进程标识和/或所述父进程的进程名作为所述父进程的身份信息。
6.根据权利要求5所述的方法,其特征在于,所述基于所述第一进程的进程结构体,获取所述父进程的进程标识,还包括:
通过父进程标识获取函数,调用得到所述第一进程的进程结构体对应的第一进程的父进程的进程标识。
7.根据权利要求5所述的方法,其特征在于,所述基于所述父进程的进程标识,获取所述父进程的进程名,包括:
通过所述父进程的进程标识,获取所述父进程的进程结构体;
调用进程名获取函数,从所述父进程的进程结构体中,得到所述父进程的进程名。
8.根据权利要求7所述的方法,其特征在于,所述基于所述父进程的进程标识,获取所述父进程的进程结构体,包括:
调用进程结构体获取函数,通过所述父进程的进程标识,获取所述父进程的进程结构体。
9.一种进程的追溯装置,其特征在于,包括:
获取模块,用于若在内核层中检测到第一进程发生提权,则通过所述内核层获取所述第一进程的身份信息和所述第一进程的父进程的身份信息;
上报模块,用于通过所述内核层上报所述第一进程的身份信息和所述父进程的身份信息至用户层。
10.一种终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序时,执行权利要求1至8任一项所述方法。
11.一种计算机可读存储介质,其特征在于,存储有计算机程序,用于被处理器执行时,实现权利要求1至8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010514513.XA CN111783082A (zh) | 2020-06-08 | 2020-06-08 | 进程的追溯方法、装置、终端和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010514513.XA CN111783082A (zh) | 2020-06-08 | 2020-06-08 | 进程的追溯方法、装置、终端和计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111783082A true CN111783082A (zh) | 2020-10-16 |
Family
ID=72753457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010514513.XA Pending CN111783082A (zh) | 2020-06-08 | 2020-06-08 | 进程的追溯方法、装置、终端和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111783082A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112989323A (zh) * | 2021-02-03 | 2021-06-18 | 成都欧珀通信科技有限公司 | 进程检测方法、装置、终端及存储介质 |
CN113407940A (zh) * | 2021-06-21 | 2021-09-17 | 成都欧珀通信科技有限公司 | 脚本检测方法、装置、存储介质以及计算机设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674465A (zh) * | 2009-10-28 | 2010-03-17 | 广东威创视讯科技股份有限公司 | 一种视频多任务监控处理方法及系统 |
CN104318156A (zh) * | 2014-10-22 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种进程访问安全方法及系统 |
CN108647516A (zh) * | 2018-05-07 | 2018-10-12 | 北京顶象技术有限公司 | 一种防御漏洞非法提权方法及装置 |
CN109409087A (zh) * | 2017-08-18 | 2019-03-01 | 阿里巴巴集团控股有限公司 | 防提权检测方法及设备 |
CN109831420A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 内核进程权限的确定方法及装置 |
CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
-
2020
- 2020-06-08 CN CN202010514513.XA patent/CN111783082A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674465A (zh) * | 2009-10-28 | 2010-03-17 | 广东威创视讯科技股份有限公司 | 一种视频多任务监控处理方法及系统 |
CN104318156A (zh) * | 2014-10-22 | 2015-01-28 | 上海斐讯数据通信技术有限公司 | 一种进程访问安全方法及系统 |
CN109409087A (zh) * | 2017-08-18 | 2019-03-01 | 阿里巴巴集团控股有限公司 | 防提权检测方法及设备 |
CN109831420A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 内核进程权限的确定方法及装置 |
CN108647516A (zh) * | 2018-05-07 | 2018-10-12 | 北京顶象技术有限公司 | 一种防御漏洞非法提权方法及装置 |
CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112989323A (zh) * | 2021-02-03 | 2021-06-18 | 成都欧珀通信科技有限公司 | 进程检测方法、装置、终端及存储介质 |
CN112989323B (zh) * | 2021-02-03 | 2024-02-13 | 成都欧珀通信科技有限公司 | 进程检测方法、装置、终端及存储介质 |
CN113407940A (zh) * | 2021-06-21 | 2021-09-17 | 成都欧珀通信科技有限公司 | 脚本检测方法、装置、存储介质以及计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109711168B (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
EP2852913B1 (en) | Method and apparatus for determining malicious program | |
WO2015096695A1 (zh) | 一种应用程序的安装控制方法、系统及装置 | |
KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
GB2485622A (en) | Server detecting malware in user device. | |
CN111783082A (zh) | 进程的追溯方法、装置、终端和计算机可读存储介质 | |
CN115374481B (zh) | 数据脱敏处理的方法、装置、存储介质及电子设备 | |
CN111125713B (zh) | 一种水平越权漏洞的检测方法、装置及电子设备 | |
WO2019037521A1 (zh) | 安全检测的方法、装置、系统以及服务器 | |
CN105095758A (zh) | 锁屏应用程序处理方法、装置以及移动终端 | |
CN109145589B (zh) | 应用程序获取方法及装置 | |
CN107070878B (zh) | 一种用于对受监控应用进行病毒隔离的系统及方法 | |
CN111783087A (zh) | 可执行文件恶意执行的检测方法及装置、终端、存储介质 | |
CN105791221B (zh) | 规则下发方法及装置 | |
CN116560691A (zh) | 一种数据处理方法、装置、计算机设备以及可读存储介质 | |
JP5828457B2 (ja) | Api実行制御装置およびプログラム | |
CN113836529A (zh) | 进程检测方法、装置、存储介质以及计算机设备 | |
CN109800580B (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
CN111479273B (zh) | 一种网络接入安全性的检测方法、装置、设备及存储介质 | |
CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
CN106203087B (zh) | 注入防护方法、系统、终端以及存储介质 | |
CN111950040A (zh) | 终端设备的环境感知方法、装置、计算机设备及存储介质 | |
CN111782416B (zh) | 数据上报方法、装置、系统、终端及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |