CN111783089A - 一种追溯恶意进程的方法、装置及存储介质 - Google Patents
一种追溯恶意进程的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111783089A CN111783089A CN202010512480.5A CN202010512480A CN111783089A CN 111783089 A CN111783089 A CN 111783089A CN 202010512480 A CN202010512480 A CN 202010512480A CN 111783089 A CN111783089 A CN 111783089A
- Authority
- CN
- China
- Prior art keywords
- malicious process
- malicious
- data
- packet name
- user identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 488
- 238000001914 filtration Methods 0.000 claims abstract description 15
- 238000004590 computer program Methods 0.000 claims description 9
- 238000009933 burial Methods 0.000 claims description 3
- 238000013024 troubleshooting Methods 0.000 abstract description 6
- 238000007726 management method Methods 0.000 description 15
- 230000015654 memory Effects 0.000 description 13
- 238000012827 research and development Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000011835 investigation Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- KDYFGRWQOYBRFD-UHFFFAOYSA-N succinic acid Chemical compound OC(=O)CCC(O)=O KDYFGRWQOYBRFD-UHFFFAOYSA-N 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种追溯恶意进程的方法、装置及存储介质,所述方法包括:获取恶意进程数据;从恶意进程数据中过滤出所述恶意进程的用户标识;基于恶意进程的用户标识和包名的对应关系,确定恶意进程的用户标识对应的恶意进程包名;基于恶意进程包名对所述恶意进程进行追溯。如此,当存在至少一条恶意进程数据时,分别快速过滤出各自对应的恶意进程的用户标识,依据进程的用户标识和包名的对应关系,确定出每一条恶意进程数据对应的恶意进程包名,根据恶意进程包名可快速捕获恶意进程,从而提高了恶意进程排查的效率。
Description
技术领域
本申请涉及计算机技术,尤其涉及一种追溯恶意进程的方法、装置、设备及存储介质。
背景技术
针对一些操作系统的安全机制,普通厂商都是基于谷歌(Google)或平台厂商的现有安全机制。然而,现有安全机制中并没有拦截恶意进程的功能,也就不能进一步对恶意进程进行追溯和分析。
大型厂商拥有自主研发的安全机制,在开源的内核代码中已证实了对恶意进程进行检测后,可继续对恶意进程进行追溯以及分析。这些自主研发的安全机制是利用task_struct进程结构体,打印出进程组组长标识(Thread Group Identification,TGID)并上报到用户层。这里打印的TGID只有表示父进程时,才可追溯到被调用的子进程,也就是说,此时打印出的TGID才是有效的。然而,当存在第一进程去调用第二进程,且两个进程并非父、子进程的关系,那么即使打印出第一进程的TGID,也不能追溯到第二进程,也就是说,打印出的TGID是无效的,进而导致后期研发部门无法开展抓取恶意进程的工作。
发明内容
为解决上述技术问题,本申请期望提供一种追溯恶意进程的方法、装置及存储介质,目的在于提高恶意进程排查的效率。
本申请的技术方案是这样实现的:
第一方面,提供了一种追溯恶意进程的方法,该方法包括:
获取恶意进程数据;
从所述恶意进程数据中过滤出所述恶意进程的用户标识;
基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;
基于所述恶意进程包名对所述恶意进程进行追溯。
第二方面,提供了一种追溯恶意进程的装置,该装置包括:
获取单元,用于获取恶意进程数据;
过滤单元,用于从所述恶意进程数据中过滤出所述恶意进程的用户标识;
确定单元,用于基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;
执行单元,用于基于所述恶意进程包名对所述恶意进程进行追溯。
第三方面,提供了一种追溯恶意进程设备,包括:处理器和配置为存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器配置为运行所述计算机程序时,执行前述方法的步骤。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现前述方法的步骤。
采用上述技术方案,获取恶意进程数据;从恶意进程数据中过滤出所述恶意进程的用户标识;基于恶意进程的用户标识和包名的对应关系,确定恶意进程的用户标识对应的恶意进程包名;基于恶意进程包名对所述恶意进程进行追溯。如此,当存在至少一条恶意进程数据时,分别快速过滤出各自对应的恶意进程的用户标识,依据进程的用户标识和包名的对应关系,确定出每一条恶意进程数据对应的恶意进程包名,根据恶意进程包名可快速捕获恶意进程,从而提高了恶意进程排查的效率。
附图说明
图1为本申请实施例中追溯恶意进程的方法的第一流程示意图;
图2为本申请实施例中追溯恶意进程的方法的第二流程示意图;
图3为本申请实施例中追溯恶意进程的方法的第三流程示意图;
图4为本申请实施例中追溯恶意进程装置组成结构的示意图;
图5为本申请实施例中追溯恶意进程设备组成结构的示意图。
具体实施方式
为了能够更加详尽地了解本申请实施例的特点与技术内容,下面结合附图对本申请实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请实施例。
本申请实施例提供了一种追溯恶意进程的方法,图1为本申请实施例中追溯恶意进程的方法的第一流程示意图,如图1所示,该追溯恶意进程的方法具体可以包括:
步骤101:获取恶意进程数据;
需要说明的是,恶意进程指的是带有攻击意图的进程。若检测出当前进程为恶意进程时,系统需对该恶意进程进行拦截,进而获取该恶意进程数据,便于研发人员对其恶意进程进行追溯、分析,最终捕获该恶意进程。
在一些实施例中,该步骤具体包括:获取内核层上报的所述恶意进程数据。
实际应用中,由内核层来检测当前进程是否为恶意进程,若检测当前进程非恶意进程时,内核层不需向用户层上报进程数据;若检测当前进程为恶意进程时,内核层向用户层上报恶意进程数据,进而用户层获取上报的恶意进程数据,便于研发人员基于恶意进程数据去追溯恶意进程。
在一些实施例中,所述获取内核层上报的所述恶意进程数据之前,所述方法还包括:所述内核层判断当前进程是否属于恶意进程;所述内核层若检测到当前进程为恶意进程时,对所述恶意进程进行查杀操作;所述内核层获取所述恶意进程数据并上报。
实际应用中,在内核层检测当前进程属于恶意进程时,还会强制对恶意进程进行查杀操作;查杀操作完成后,在内核层整理该恶意进程数据,并上报给用户层。
具体的,在内核层找到进程结构体(task_struct),从task_struct中可获取到恶意进程数据。
具体的,内核层是基于Netlink套接字将恶意进程数据上报给用户层的。
在一些实施例中,所述内核层判断当前进程是否属于恶意进程,包括:调用所述当前进程时,获取所述当前进程的第一权限参数;调用所述当前进程后,获取所述当前进程的第二权限参数;若所述第二权限参数相对于所述第一权限参数发生变化,则所述当前进程属于恶意进程。
实际应用中,权限参数至少包括:进程的用户标识(User Identification,UID)、有效用户编码(Effectives User ID,EUID)、用户文件系统权限标识(File System UserIdentification,FSUID)。
具体的,当调用当前进程进入内核层时,表示开始检测当前进程,此时需找到task_struct,获取task_struct中保存的当前进程的基本信息,并从中提取出UID、EUID、FSUID;当调用当前进程完成后,再次找到task_struct,并再次获取UID、EUID、FSUID;当调用当前进程完成后的至少一个权限参数相对于开始调用时的权限参数发生变化,则认为当前进程属于恶意进程。
在一些实施例中,所述若所述第二权限参数相对于所述第一权限参数发生变化,则所述当前进程属于恶意进程,包括:若所述第二权限参数表示的权限范围大于所述第一权限参数表示的权限范围,则所述当前进程属于恶意进程。
需要说明的是,正常情况下,用户是不需要对权限进行修改的。若在内核层检测到系统调用当前进程完成后权限使用范围大于系统开始调用时的权限使用范围,则认为当前进程属于恶意进程。
示例性的,系统开始调用当前进程时,获取的恶意进程数据中的权限参数UID、EUID、FSUID,其权限参数均不等于0;调用当前进程完成后,再次获取权限参数UID、EUID、FSUID,当权限参数中至少一个等于0,此时表示已经为ROOT权限,也就是说,用户拥有最大权限使用范围,可对系统中的任何文件执行增、删、改、查的操作。
步骤102:从所述恶意进程数据中过滤出所述恶意进程的用户标识;
需要说明的是,这里的恶意进程的用户标识即为UID。
实际应用中,恶意进程数据是由一组字符串组成。其中,包含了UID的字符串。所以,获取到恶意进程数据之后,需从中找到UID的字符串,进而获取UID的字符串。
这里,恶意进程数据可以是:Line7574:[7264.374836](1)[6575:su]oppo_root_check_succ,payload:10161$$old_euid@@10161$$old_fsuid@@10161$$sys_call_number@@294$$addr_limit@@7fffffffff$$curr_uid@@10161$$curr_euid@@0$$c urr_fsuid@@0$$enforce@@1。
根据上述示例的恶意进程数据,定位到UID的字符串,进而获取到UID为10161,即10161为过滤出的恶意进程的用户标识。
步骤103:基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;
需要说明的是,每一个进程的用户标识对应一个进程包名,可以预先保存进程的用户标识和包名对应关系,比如,将进程的用户标识和包名对应关系存储于一映射关系表,或者存储于一包管理文件中,根据映射关系表或者包管理文件就可查找到恶意进程的用户标识对应的恶意进程包名。
步骤104:基于所述恶意进程包名对所述恶意进程进行追溯。
也就是说,查找到恶意进程对应的包名,就实现了对恶意进程的追溯。
在一些实施例中,所述基于所述恶意进程包名对所述恶意进程进行追溯之后,所述方法还包括:将所述恶意进程数据和所述恶意进程包名增添到埋点信息。
需要说明的是,埋点是一种数据采集方式。这里,在用户层将恶意进程数据和恶意进程包名存储于埋点信息中,便于研发人员可直观查看到每个恶意进程数据所对应的恶意进程包名,快速确定出哪些进程均属于同一来源,即对应于同一个包名,进而便于捕获恶意进程,同时,也提高了恶意进程排查的效率。
这里,步骤101至步骤104的执行主体可以为追溯恶意进程装置的处理器。
采用上述技术方案,获取恶意进程数据;从恶意进程数据中过滤出所述恶意进程的用户标识;基于恶意进程的用户标识和包名的对应关系,确定恶意进程的用户标识对应的恶意进程包名;基于恶意进程包名对所述恶意进程进行追溯。如此,当获取到至少一条恶意进程数据时,可根据恶意进程的用户标识和包名的对应关系,快速确定出每一条恶意进程数据对应的恶意进程包名,进而便于捕获恶意进程,同时,也提高了恶意进程排查的效率。
本申请实施例还提供了另一种追溯恶意进程的方法,图2为本申请实施例中追溯恶意进程的方法的第二流程示意图,如图2所示,该追溯恶意进程的方法具体可以包括:
步骤201:获取恶意进程数据;
步骤202:从所述恶意进程数据中过滤出所述恶意进程的用户标识;
需要说明的是,这里的恶意进程的用户标识即为UID。
实际应用中,恶意进程数据是由一组字符串组成。其中,包含了UID的字符串。所以,获取到恶意进程数据之后,需从中找到UID的字符串,进而获取UID的字符串。
这里,恶意进程数据可以是:Line7574:[7264.374836](1)[6575:su]oppo_root_check_succ,payload:10161$$old_euid@@10161$$old_fsuid@@10161$$sys_call_number@@294$$addr_limit@@7fffffffff$$curr_uid@@10161$$curr_euid@@0$$c urr_fsuid@@0$$enforce@@1。
根据上述示例的恶意进程数据,定位到UID的字符串,进而获取到UID为10161,即10161为过滤出的恶意进程的用户标识。
步骤203:基于包管理文件,确定所述恶意进程的用户标识对应的恶意进程包名;
需要说明的是,包管理文件中至少存储进程的用户标识及对应的进程包名。
实际应用中,包管理文件可以是packages.list文件,其packages.list文件为安卓(Android)系统中保存应用程序(Application,APP)信息的一个配置文件,packages.list文件中至少存储进程的用户标识及对应的进程包名。
在一些实施例中,具体包括:获取包管理文件;其中,所述包管理文件中至少包括恶意进程的用户标识和恶意进程包名的位置对应关系;基于所述恶意进程的用户标识,从所述包管理文件中查找到对应的所述恶意进程包名。
具体的,通常进程的用户标识与对应的进程包名是存储于packages.list文件中。其中,packages.list文件中包含恶意进程的用户标识及对应的包名,也包含非恶意进程的用户标识及对应的包名。要想获取恶意进程的用户标识对应的进程包名,首先需获取该packages.list文件,其次从该packages.list文件中查找恶意进程的用户标识,最终查找到对应的恶意进程包名。
在一些实施例中,所述基于所述恶意进程的用户标识,从所述包管理文件中查找到对应的所述恶意进程包名,包括:从所述包管理文件中获取所述恶意进程的用户标识及其相邻定位标识之间的数据,得到所述恶意进程包名。
这里的定位标识可以是空格、自定义符号。定位标识可以位于进程的用户标识的左侧或者右侧。
示例性的,当定位标识位于恶意进程的用户标识的左侧,则获取恶意进程的用户标识与位于恶意进程的用户标识左侧的定位标识之间的数据,即为恶意进程包名。当定位标识位于恶意进程的用户标识的右侧,则获取恶意进程的用户标识与位于恶意进程的用户标识右侧的定位标识之间的数据,即为恶意进程包名。
步骤204:基于所述恶意进程包名对所述恶意进程进行追溯。
也就是说,查找到恶意进程对应的包名,就实现了对恶意进程的追溯。
在一些实施例中,所述基于所述恶意进程包名对所述恶意进程进行追溯之后,所述方法还包括:将所述恶意进程数据和所述恶意进程包名增添到埋点信息。
需要说明的是,埋点是一种数据采集方式。这里,在用户层将恶意进程数据和恶意进程包名存储于埋点信息中,便于研发人员可直观查看到每个恶意进程数据所对应的恶意进程包名,快速确定出哪些进程均属于同一来源,即对应于同一个包名,进而便于捕获恶意进程,同时,也提高了恶意进程排查的效率。
采用上述技术方案,获取恶意进程数据;从恶意进程数据中过滤出所述恶意进程的用户标识;基于恶意进程的用户标识和包名的对应关系,确定恶意进程的用户标识对应的恶意进程包名;基于恶意进程包名对所述恶意进程进行追溯。如此,当存在至少一条恶意进程数据时,分别快速过滤出各自对应的恶意进程的用户标识,依据进程的用户标识和包名的对应关系,确定出每一条恶意进程数据对应的恶意进程包名,根据恶意进程包名可快速捕获恶意进程,从而提高了恶意进程排查的效率。
为了能更加体现本申请的目的,对上述方案进行了具体举例说明。图3为本申请实施例中追溯恶意进程的方法的第三流程示意图。
下面以在内核层检测是否属于恶意进程,在用户层查找恶意进程包名实现对恶意进程的追溯为例。具体的实现对恶意进程追溯的方法如图3所示,该步骤包括:
步骤301至步骤304是在内核层完成的,步骤305至步骤309是在用户层完成的。
步骤301:开始;
当调用当前进程进入内核层时,表示开始检测当前进程,此时需找到task_struct,获取task_struct中保存的当前进程的基本信息,并从中提取出权限参数UID、EUID、FSUID;当调用当前进程完成后,再次找到task_struct,并再次获取UID、EUID、FSUID。
步骤302:检测当前进程是否属于恶意进程;若属于恶意进程,则执行步骤303;若不属于恶意进程,则执行步骤309;
检测调用当前进程完成后的权限参数相对于开始调用时的权限参数发生变化,则认为当前进程属于恶意进程。反之,不属于恶意进程,不对其进行下面的步骤。
当系统开始调用当前进程时,获取的恶意进程数据中的权限参数UID、EUID、FSUID,其权限参数均不等于0;当调用当前进程完成后,获取的权限参数UID、EUID、FSUID中至少一个等于0,此时表示已经为ROOT权限,也就是说,当前进程属于恶意进程,此时用户拥有最大权限使用范围,可对系统中的任何文件执行增、删、改、查的操作。
步骤303:对当前进程进行查杀;
也就是说,拦截当前进程继续执行。
步骤304:将当前进程数据上报到用户层;
用户层与内核层是不允许直接互相访问的。这里,内核层是基于Netlink套接字将当前进程(恶意进程)的相关数据上报给用户层的。
步骤305:获取当前进程数据中的UID;
步骤306:打开packages.list文件;
packages.list文件是Android系统中保存APP信息的其中一个配置文件。packages.list文件中至少包含了进程的用户标识UID及对应的进程包名。
步骤307:从packages.list文件中匹配出UID对应的进程包名;
从packages.list文件中查找恶意进程数据中的UID,进而获取与相邻空格之间的内容,即为恶意进程UID对应的恶意进程包名。拿到恶意进程包名,就实现了对恶意进程的追溯。
UID为10161时,从packages.list文件中匹配出对应的恶意进程包名为:com.qualcomm.qti.seccamservice。
步骤308:将进程包名增添到埋点信息中;
在用户层将恶意进程数据和恶意进程包名存储于埋点信息中,便于研发人员可直观查看到每个恶意进程数据所对应的恶意进程包名,快速确定出哪些进程均属于同一来源,即对应于同一个包名,进而便于捕获恶意进程,同时,也提高了恶意进程排查的效率。
步骤309:结束。
采用上述技术方案,获取恶意进程数据;从恶意进程数据中过滤出所述恶意进程的用户标识;基于恶意进程的用户标识和包名的对应关系,确定恶意进程的用户标识对应的恶意进程包名;基于恶意进程包名对所述恶意进程进行追溯。如此,当存在至少一条恶意进程数据时,分别快速过滤出各自对应的恶意进程的用户标识,依据进程的用户标识和包名的对应关系,确定出每一条恶意进程数据对应的恶意进程包名,根据恶意进程包名可快速捕获恶意进程,从而提高了恶意进程排查的效率。
本申请实施例中还提供了一种追溯恶意进程的装置,如图4所示,该装置包括:
获取单元401,用于获取恶意进程数据;
过滤单元402,用于从所述恶意进程数据中过滤出所述恶意进程的用户标识;
确定单元403,用于基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;
执行单元404,用于基于所述恶意进程包名对所述恶意进程进行追溯。
在一些实施例中,所述装置包括:确定单元403,具体用于获取包管理文件;其中,所述包管理文件中至少包括恶意进程的用户标识和恶意进程包名的位置对应关系;基于所述恶意进程的用户标识,从所述包管理文件中查找到对应的所述恶意进程包名。
在一些实施例中,所述装置包括:确定单元403,具体用于从所述包管理文件中获取所述恶意进程的用户标识及其相邻定位标识之间的数据,得到所述恶意进程包名。
在一些实施例中,所述装置包括:获取单元401,具体用于获取内核层上报的所述恶意进程数据。
在一些实施例中,所述基于所述恶意进程包名对所述恶意进程进行追溯之后,将所述恶意进程数据和所述恶意进程包名增添到埋点信息。
在一些实施例中,所述获取内核层上报的所述恶意进程数据之前,所述内核层判断当前进程是否属于恶意进程;所述内核层若检测到当前进程为恶意进程时,对所述恶意进程进行查杀操作;所述内核层获取所述恶意进程数据并上报。
在一些实施例中,所述内核层判断当前进程是否属于恶意进程时,调用所述当前进程时,获取所述当前进程的第一权限参数;调用所述当前进程后,获取所述当前进程的第二权限参数;若所述第二权限参数相对于所述第一权限参数发生变化,则所述当前进程属于恶意进程。
在一些实施例中,若所述第二权限参数表示的权限范围大于所述第一权限参数表示的权限范围,则所述当前进程属于恶意进程。
采用上述技术方案,获取恶意进程数据;从恶意进程数据中过滤出所述恶意进程的用户标识;基于恶意进程的用户标识和包名的对应关系,确定恶意进程的用户标识对应的恶意进程包名;基于恶意进程包名对所述恶意进程进行追溯。如此,当存在至少一条恶意进程数据时,分别快速过滤出各自对应的恶意进程的用户标识,依据进程的用户标识和包名的对应关系,确定出每一条恶意进程数据对应的恶意进程包名,根据恶意进程包名可快速捕获恶意进程,从而提高了恶意进程排查的效率。
本申请实施例还提供了一种追溯恶意进程的设备,如图5所示,该设备包括:处理器501和配置为存储能够在处理器上运行的计算机程序的存储器502;
其中,处理器501配置为运行计算机程序时,执行前述实施例中的方法步骤。
当然,实际应用时,如图5所示,该设备中的各个组件通过总线系统503耦合在一起。可理解,总线系统503用于实现这些组件之间的连接通信。总线系统503除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图5中将各种总线都标为总线系统503。
在实际应用中,上述处理器可以为特定用途集成电路(ASIC,ApplicationSpecific Integrated Circuit)、数字信号处理装置(DSPD,Digital Signal ProcessingDevice)、可编程逻辑装置(PLD,Programmable Logic Device)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
上述存储器可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatile memory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向处理器提供指令和数据。
本申请实施例还提供了一种计算机可读存储介质,用于存储计算机程序。
可选的,该计算机可读存储介质可应用于本申请实施例中的任意一种方法,并且该计算机程序使得计算机执行本申请实施例的各个方法中由处理器实现的相应流程,为了简洁,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种追溯恶意进程的方法,其特征在于,所述方法包括:
获取恶意进程数据;
从所述恶意进程数据中过滤出所述恶意进程的用户标识;
基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;
基于所述恶意进程包名对所述恶意进程进行追溯。
2.根据权利要求1所述的方法,其特征在于,所述基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名,包括:
获取包管理文件;其中,所述包管理文件中至少包括恶意进程的用户标识和恶意进程包名的位置对应关系;
基于所述恶意进程的用户标识,从所述包管理文件中查找到对应的所述恶意进程包名。
3.根据权利要求2所述的方法,其特征在于,所述基于所述恶意进程的用户标识,从所述包管理文件中查找到对应的所述恶意进程包名,包括:
从所述包管理文件中获取所述恶意进程的用户标识及其相邻定位标识之间的数据,得到所述恶意进程包名。
4.根据权利要求1-3任一项所述的方法,其特征在于,
所述获取恶意进程数据,包括:
获取内核层上报的所述恶意进程数据。
5.根据权利要求4所述的方法,其特征在于,所述基于所述恶意进程包名对所述恶意进程进行追溯之后,所述方法还包括:
将所述恶意进程数据和所述恶意进程包名增添到埋点信息。
6.根据权利要求4所述的方法,其特征在于,所述获取内核层上报的所述恶意进程数据之前,所述方法还包括:
所述内核层判断当前进程是否属于恶意进程;
所述内核层若检测到当前进程为恶意进程时,对所述恶意进程进行查杀操作;
所述内核层获取所述恶意进程数据并上报。
7.根据权利要求6所述的方法,其特征在于,所述内核层判断当前进程是否属于恶意进程,包括:
调用所述当前进程时,获取所述当前进程的第一权限参数;
调用所述当前进程后,获取所述当前进程的第二权限参数;
若所述第二权限参数相对于所述第一权限参数发生变化,则所述当前进程属于恶意进程。
8.根据权利要求7所述的方法,其特征在于,所述若所述第二权限参数相对于所述第一权限参数发生变化,则所述当前进程属于恶意进程,包括:
若所述第二权限参数表示的权限范围大于所述第一权限参数表示的权限范围,则所述当前进程属于恶意进程。
9.一种追溯恶意进程的装置,其特征在于,所述装置包括:
获取单元,用于获取恶意进程数据;
过滤单元,用于从所述恶意进程数据中过滤出所述恶意进程的用户标识;
确定单元,用于基于进程的用户标识和包名的对应关系,确定所述恶意进程的用户标识对应的恶意进程包名;
执行单元,用于基于所述恶意进程包名对所述恶意进程进行追溯。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至8任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010512480.5A CN111783089A (zh) | 2020-06-08 | 2020-06-08 | 一种追溯恶意进程的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010512480.5A CN111783089A (zh) | 2020-06-08 | 2020-06-08 | 一种追溯恶意进程的方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111783089A true CN111783089A (zh) | 2020-10-16 |
Family
ID=72753383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010512480.5A Pending CN111783089A (zh) | 2020-06-08 | 2020-06-08 | 一种追溯恶意进程的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111783089A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114792008A (zh) * | 2022-06-24 | 2022-07-26 | 珠海市魅族科技有限公司 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017012241A1 (zh) * | 2015-07-21 | 2017-01-26 | 安一恒通(北京)科技有限公司 | 文件的检测方法、装置、设备及非易失性计算机存储介质 |
| CN106650438A (zh) * | 2015-11-04 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种恶意程序检测的方法及装置 |
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
| CN110858247A (zh) * | 2018-08-23 | 2020-03-03 | 北京京东尚科信息技术有限公司 | 安卓恶意应用检测方法、系统、设备及存储介质 |
-
2020
- 2020-06-08 CN CN202010512480.5A patent/CN111783089A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017012241A1 (zh) * | 2015-07-21 | 2017-01-26 | 安一恒通(北京)科技有限公司 | 文件的检测方法、装置、设备及非易失性计算机存储介质 |
| CN106650438A (zh) * | 2015-11-04 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种恶意程序检测的方法及装置 |
| CN110858247A (zh) * | 2018-08-23 | 2020-03-03 | 北京京东尚科信息技术有限公司 | 安卓恶意应用检测方法、系统、设备及存储介质 |
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 吕为工 等: "《嵌入式计算机系统设计》", pages: 205 - 206 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114792008A (zh) * | 2022-06-24 | 2022-07-26 | 珠海市魅族科技有限公司 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| KR101647487B1 (ko) | 패치파일 분석시스템과 분석방법 | |
| US20190147163A1 (en) | Inferential exploit attempt detection | |
| CN111835756B (zh) | App隐私合规检测方法、装置、计算机设备及存储介质 | |
| CN108763951B (zh) | 一种数据的保护方法及装置 | |
| CN105303107A (zh) | 一种异常进程检测方法及装置 | |
| CN111641601A (zh) | 防火墙管理方法、装置、设备及存储介质 | |
| CN112039900A (zh) | 网络安全风险检测方法、系统、计算机设备和存储介质 | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| CN114065196A (zh) | Java内存马检测方法、装置、电子设备与存储介质 | |
| CN112257058A (zh) | 一种操作系统可信计算校验方法及系统 | |
| EP4044057B1 (en) | Method and system for identifying security vulnerabilities | |
| CN111783089A (zh) | 一种追溯恶意进程的方法、装置及存储介质 | |
| CN104426836A (zh) | 一种入侵检测方法及装置 | |
| CN112231699A (zh) | 读取函数的拦截方法、装置、电子设备和计算机可读介质 | |
| CN106856477B (zh) | 一种基于局域网的威胁处理方法和装置 | |
| CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
| CN110908869B (zh) | 一种应用程序数据监控方法、装置、设备及储存介质 | |
| CN114610577A (zh) | 一种目标资源的锁定方法、装置、设备和介质 | |
| CN110677483B (zh) | 信息处理系统和可信安全管理系统 | |
| KR101113720B1 (ko) | 인터넷 프로토콜을 이용한 공유폴더 접근 제어 시스템 및 방법 | |
| CN111177726A (zh) | 一种系统漏洞检测方法、装置、设备及介质 | |
| KR101754964B1 (ko) | 악성 행위 탐지 방법 및 시스템 | |
| Zhao et al. | Physical Mirror Extraction on Qualcomm-based Android Mobile Devices | |
| CN114640529B (zh) | 攻击防护方法、装置、设备、存储介质和计算机程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |