CN113836529A - 进程检测方法、装置、存储介质以及计算机设备 - Google Patents

进程检测方法、装置、存储介质以及计算机设备 Download PDF

Info

Publication number
CN113836529A
CN113836529A CN202111046247.3A CN202111046247A CN113836529A CN 113836529 A CN113836529 A CN 113836529A CN 202111046247 A CN202111046247 A CN 202111046247A CN 113836529 A CN113836529 A CN 113836529A
Authority
CN
China
Prior art keywords
target process
socket
permission
authority
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111046247.3A
Other languages
English (en)
Inventor
李科
张森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Douku Software Technology Co Ltd
Original Assignee
Hangzhou Douku Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Douku Software Technology Co Ltd filed Critical Hangzhou Douku Software Technology Co Ltd
Priority to CN202111046247.3A priority Critical patent/CN113836529A/zh
Publication of CN113836529A publication Critical patent/CN113836529A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Abstract

本申请公开了一种进程检测方法、装置、存储介质和计算机设备,其中方法包括:获取目标进程的系统调用号,获取系统调用号对应的执行权限,目标进程为处于执行状态的应用程序的进程;若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息;基于原始权限信息以及设置权限信息,对目标进程进行拦截处理。采用本申请,在检测到非法提权行为时及时拦截目标进程,降低了终端设备的安全风险。

Description

进程检测方法、装置、存储介质以及计算机设备
技术领域
本申请涉及安全检测领域,具体而言,涉及一种进程检测方法、装置、存储介质和计算机设备。
背景技术
应用程序(Application,缩写为APP)是终端设备中的计算机程序,其执行时的基本单元为进程。现有的终端设备并不限制进程的相关权限,极易被黑客加以利用,例如,植入蠕虫病毒、木马病毒、恶意修改系统代码等,存在极高的安全风险。
发明内容
本申请提供一种进程检测方法、装置、存储介质以及计算机设备,可以解决如何提高终端设备的安全风险的技术问题。
第一方面,本申请实施例提供一种进程检测方法,该方法包括:
获取目标进程的系统调用号,获取系统调用号对应的执行权限,目标进程为处于执行状态的应用程序的进程;
若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息;
基于原始权限信息以及设置权限信息,对目标进程进行拦截处理。
第二方面,本申请实施例提供一种进程检测方法,该方法包括:
获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程;
若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字类型,获取目标进程的套接字使用权限;
基于套接字类型以及套接字使用权限,对目标进程进行拦截处理。
第三方面,本申请实施例提供一种进程检测装置,包括:
执行权限获取模块,用于获取目标进程的系统调用号,获取系统调用号对应的执行权限,目标进程为处于执行状态的应用程序的进程;
进程权限获取模块,用于若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息;
拦截模块,用于基于原始权限信息以及设置权限信息,对目标进程进行拦截处理。
第四方面,本申请实施例提供一种进程检测装置,包括:
调用号获取模块,用于获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程;
权限获取模块,用于若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字类型,获取目标进程的套接字使用权限;
拦截模块,用于基于套接字类型以及套接字使用权限,对目标进程进行拦截处理。
第五方面,本申请实施例提供一种存储介质,存储介质存储有计算机程序,计算机程序适于由处理器加载并执行上述方法的步骤。
第六方面,本申请实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现上述的方法的步骤。
在本申请实施例中,通过获取处于执行状态的进程的原始权限信息以及设置权限信息,然后基于原始权限信息以及设置权限信息对目标进程进行拦截处理,以在检测到非法提权行为时及时拦截目标进程,从而降低了终端设备的安全风险;也可以通过获取目标进程在执行过程中所需创建的套接字类型,以及目标进程的套接字使用权限,然后基于套接字类型以及套接字使用权限对目标进程进行拦截处理,以在检测到安全漏洞被利用时及时拦截目标进程,从而降低了终端设备的安全风险。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种进程检测方法的流程示意图;
图2为本申请实施例提供的一种进程检测方法的流程示意图;
图3为本申请实施例提供的一种进程检测方法的流程示意图;
图4为本申请实施例提供的一种进程检测方法的流程示意图;
图5为本申请实施例提供的一种进程检测方法的流程示意图;
图6为本申请实施例提供的一种进程检测方法的流程示意图;
图7为本申请实施例提供的一种进程检测装置的结构示意图;
图8为本申请实施例提供的一种进程检测装置的结构示意图;
图9是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
为使得本申请的特征和优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。附图中所示的流程图仅是示例性说明,不是必须按照所示步骤执行。例如,有的步骤是并列的,在逻辑上并没有严格的先后关系,因此实际执行顺序是可变的。另外,术语“第一”、“第二”、“第三”、“第四”、“第五”、“第六”、“第七”、“第八”仅是为了区分的目的,不应作为本公开内容的限制。
本申请实施例公开的进程检测方法和进程检测装置可以应用于安全检测领域,例如终端设备的系统防护、应用程序的安全扫描等。进程检测装置,可以包括但不限于智能交互平板、手机、个人电脑、笔记本电脑等智能终端。
在本申请实施例中,进程检测装置可以通过获取处于执行状态的进程的原始权限信息以及设置权限信息,然后基于原始权限信息以及设置权限信息对目标进程进行拦截处理,以在检测到非法提权行为时及时拦截目标进程;也可以通过获取目标进程在执行过程中所需创建的套接字类型,以及目标进程的套接字使用权限,然后基于套接字类型以及套接字使用权限对目标进程进行拦截处理,即识别目标进程与其他进程之间的套接字通信信息是否被篡改,若检测到该套接字通信信息被篡改,则表明套接字协议的安全漏洞被利用,以在检测到安全漏洞被利用时及时拦截目标进程。
下面将结合图1~图6,对本申请实施例提供的进程检测方法进行详细介绍。
由于应用程序可以申请一些敏感权限,如CAP_SETUID、CAP_SETGID等,这些权限具备修改进程权限的能力,且终端设备会将具备敏感权限的应用程序的执行进程作为安全进程,不会对其执行进程进行拦截。若安全风险未知的第三方应用程序申请到敏感权限,如黑客植入的恶意应用等,由于终端设备不对具备敏感权限的应用程序加以限制,则第三方应用程序的执行进程可以通过提高进程权限来达到篡改终端设备的系统设置、核心代码、安全机制等目的,使得终端设备处于极高的安全风险下。
请参见图1,为本申请实施例提供了一种进程检测方法的流程示意图。如图1所示,方法可以包括以下步骤S101~步骤S103。
S101,获取目标进程的系统调用号,获取系统调用号对应的执行权限,目标进程为处于执行状态的应用程序的进程。
具体的,终端设备响应于应用程序的执行指令,执行该应用程序,同时获取应用程序的系统输入锚点对应的锚点地址,然后在该锚点地址处设置钩子函数,以使应用程序执行到系统输入锚点时,跳转执行该钩子函数。需要说明的是,该钩子函数即为本实施例所限定的进程检测步骤。
应用程序在执行时,通过创建进程,来执行应用程序中的程序代码;系统调用号为系统调用的标识信息,系统调用是一组用于实现系统功能的子程序,应用程序的进程通过系统调用实现系统功能。示例性的,应用程序的进程通过系统调用向操作系统发送服务请求,以获取操作系统所提供的服务,进而实现应用程序的功能。需要说明的是,不同的系统调用可实现不同的系统功能,具体来说,是不同的系统调用存在不同的执行权限。
终端设备响应于应用程序的执行指令,执行该应用程序,并将该应用程序生成的进程作为目标进程,然后在目标进程的进程结构体中获取目标进程当前请求的系统调用的系统调用号,然后获取系统调用号对应的执行权限。
需要说明的是,进程的进程结构体中存储有进程当前请求的系统调用的系统调用号,进程原始的原始权限信息以及系统调用所设置的设置权限信息。
可选的,终端设备还可以先获取终端设备的安全状态,若终端设备不处于安全保护状态,则直接结束进程检测步骤;若终端设备处于安全保护状态,则执行进程检测步骤。或者说,终端设备可以先检测终端设备是否被锁定,若终端设备未锁定,则直接结束进程检测步骤;若终端设备已锁定,则执行进程检测步骤。示例性的,终端设备中存储有终端设备的开机文件,该开机文件可以是cmdline文件,然后在开机文件中获取终端设备的开机状态值,该开机状态值可以是android.verifiedbootstate值,若开机状态值为orange(设备解锁状态值),则判定终端设备不处于安全保护状态,或者是说,判定终端设备不处于锁定状态。
S102,若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息。
具体的,具备修改进程权限能力的执行权限可以是CAP_SETUID权限或CAP_SETGID权限。
终端设备在获取到系统调用号对应的执行权限之后,比对系统调用号对应的执行权限与CAP_SETUID权限,比对系统调用号对应的执行权限与CAP_SETGID权限,若系统调用号对应的执行权限与CAP_SETUID权限或CAP_SETGID权限中的任一权限相匹配,则判定系统调用号对应的执行权限具备修改进程权限的功能,然后在目标进程的进程结构体中获取目标进程的原始权限信息以及设置权限信息。
需要说明的是,目标进程的原始权限信息是目标进程的进程权限。目标进程的设置权限信息是指,目标进程当前调用的系统调用欲设置的目标进程的进程权限。
S103,基于原始权限信息以及设置权限信息,对目标进程进行拦截处理。
具体的,终端设备基于原始权限信息以及设置权限信息判断目标进程是否存在非法提权行为,若目标进程存在非法提权行为,则对目标进程进行拦截处理。
在本申请实施例中,通过获取处于执行状态的进程的原始权限信息以及设置权限信息,然后基于原始权限信息以及设置权限信息对目标进程进行拦截处理,以在检测到非法提权行为时及时拦截目标进程,从而降低了终端设备的安全风险。
请参见图2,为本申请实施例提供了一种进程检测方法的流程示意图。如图2所示,方法可以包括以下步骤S201~步骤S206。
S201,获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程。
具体的,终端设备响应于应用程序的执行指令,执行该应用程序,并将该应用程序生成的进程作为目标进程,然后在目标进程的进程结构体中获取目标进程当前请求的系统调用的系统调用号。
S202,若系统调用号与调用号集合中的任一样本调用号相匹配,则获取系统调用号对应的执行权限。
具体的,调用号集合所包括的各样本调用号包括但不限于SETUID、SETEUID、SETRESUID、SETGID、SETEGID以及SETRESGID,调用号为样本调用号的样本调用,可以向操作系统的内核请求用于修改进程权限的执行权限。具备修改进程权限能力的执行权限可以是CAP_SETUID权限或CAP_SETGID权限。系统调用号对应的执行权限,具体为系统调用号对应的目标进程中的系统调用的执行权限。需要说明的是,与样本调用号相匹配的系统调用号对应的系统调用,虽然具备修改进程的能力,但是在实际调用过程中,系统调用是否向操作系统的内核请求CAP_SETUID权限或CAP_SETGID权限,是由目标进程决定的,具体来说,系统调用号对应的系统调用可以向操作系统的内核请求修改进程权限的执行权限,但是否请求修改进程权限的执行权限,仅根据系统调用号是无法得到的。
目标进程的结构体中保存有目标进程当前调用的系统调用的系统调用号,以及系统调用的执行权限。
终端设备在获取到目标进程当前调用的系统调用号之后,比对系统调用号与调用号集合中的各样本调用号,若系统调用号与调用号集合中的任一样本调用号相匹配,则确定系统调用号对应的系统调用,然后获取该系统调用的执行权限。
在本申请实施例中,由于一个进程会存在多个系统调用,则通过判断系统调用号与调用号集合中的样本调用号是否匹配,以在众多的系统调用中筛选出可能具备修改进程权限的能力的系统调用,提高了进程检测速度。
S203,若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息。
具体的,终端设备比对系统调用的执行权限与CAP_SETUID权限,比对系统调用的执行权限与CAP_SETGID权限,若系统调用的执行权限与CAP_SETUID权限或CAP_SETGID权限中的任一权限相匹配,则判定系统调用的执行权限具备修改进程权限的功能,然后在目标进程的进程结构体中获取目标进程的原始权限信息以及设置权限信息。
需要说明的是,若系统调用的执行权限与CAP_SETUID权限、CAP_SETGID权限均不匹配,则该系统调用会直接被终端设备原生的安全保护机制所拦截。
S204,基于原始权限信息以及设置权限信息,获取目标进程的进程类型。
具体的,进程类型包括合法进程以及恶意进程,其中,恶意进程是指存在提权限行为的进程。
终端设备判断原始权限信息所指示的进程权限是否为第三方应用的进程权限。示例性的,第三方应用可以指非终端设备内部的应用程序,更具体来说,是除终端设备的厂商生成的应用程序之外的应用程序,其安全性未知。需要说明的是,终端设备内部的应用程序是安全性在初始的时候,终端设备或厂商便验证过,且判定为安全的应用程序。
若原始权限信息所指示的进程权限不是第三方应用的进程权限,则判定目标进程不存在非法提权行为,进一步判定目标进程的进程类型为合法进程;
若原始权限信息所指示的进程权限是第三方应用的进程权限,终端设备判断设置权限信息所指示的进程权限是否为系统权限,若设置权限信息所指示的进程权限不是系统权限,则判定目标进程不存在非法提权行为,进一步判定目标进程的进程类型为合法进程。
若设置权限信息所指示的进程权限是系统权限,则判定目标进程存在非法提权行为,进一步判定目标进程的进程类型为恶意进程。
S205,若进程类型指示目标进程为恶意进程,则对目标进程进行拦截处理。
具体的,终端设备在目标进程的进程类型为恶意进程时,对目标进程进行拦截处理。
在本申请实施例中,通过原始进程信息以及设置进程信息识别目标进程中是否存在非法提权行为,以确定目标进程是否为恶意进程,进而及时拦截恶意的目标进程,从而降低了终端设备的安全风险。
S206,获取目标进程的进程信息,将目标进程的进程信息记录为恶意进程信息。
具体的,终端设备获取目标进程的进程信息,包括但不限于进程标识号、用户标识号、群组标识号、原始权限信息、设置权限信息、进程类型等。终端设备将前述获取的进程信息保存为恶意进程信息,以在再次接收到应用程序的执行指令时,根据恶意进程信息识别应用程序创建的进程是否为恶意进程,若识别到应用程序创建的进程为恶意进程时,直接拦截应用程序创建进程的过程。
可选的,终端设备还可以通过套接字将进程信息发送至终端设备的内核进程,然后在内核进程处进行埋点,以在内核进程创建应用程序对应的目标进程时,直接拦截该创建行为。需要说明的是,在接收到应用程序的创建指令时,是通过内核进程创建进程来执行该应用程序。
在本申请实施例中,通过将被拦截的目标进程的进程信息为恶意进程信息,以在目标进程被再次创建执行时,直接将其识别为恶意进程,并拦截该目标进程,提高了进程检测速度。
请参见图3,为本申请实施例提供了一种进程检测方法的流程示意图。如图3所示,方法可以包括以下步骤S301~步骤S306。
S301,获取目标进程的系统调用号,获取系统调用号对应的执行权限,目标进程为处于执行状态的应用程序的进程。
具体可参见步骤S201、步骤S202,在此不在赘述。
S302,若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息。
具体的,具体可参见步骤S203,在此不再赘述。
需要说明的是,目标进程的原始权限信息是指目标进程的进程权限值,包括目标进程的原始UID(User ID,用户标识号)以及原始GID(Group ID,群组标识号)中的至少一个;目标进程的设置权限信息为,目标进程当前调用的系统调用欲设置的目标进程的进程权限值,包括目标进程的设置UID以及设置GID中的至少一个。UID与GID均记录为数值的形式。
S303,获取原始权限信息中的目标进程的原始进程权限值,获取设置权限信息中的目标进程的设置进程权限值。
具体的,获取目标进程的原始进程权限值,即获取目标进程的原始UID以及原始GID,并获取目标进程的设置进程权限值,即获取目标进程的系统调用欲设置的设置UID以及设置GID。
S304,若原始进程权限值大于或等于权限阈值,且设置进程权限值小于权限阈值,则确定目标进程的进程类型为恶意进程。
具体的,权限阈值可以是第三方应用的进程权限的最小权限值,即10000。具体来说,若进程权限值大于或等于权限阈值,则目标进程的进程权限为第三方应用的进程权限;若进程权限值小于权限阈值,则目标进程的进程权限为系统权限;需要说明的是,权限值越小,权限级别越高。需要说明的是,权限阈值也可以是其他权限值,本实施例并不限定权限阈值一定为第三方应用的进程权限的最小权限值。
终端设备比较原始权限信息中的原始UID与权限阈值,比较原始权限信息中的原始GID与权限阈值;若原始UID大于或等于权限阈值,或者是原始GID大于或等于权限阈值,则比较设置权限信息中的设置UID与权限阈值,比较设置权限信息中的设置GID与权限阈值,若设置UID大于或等于权限阈值,或者是设置GID大于或等于权限阈值,则判定目标进程存在非法提权行为,进一步判定目标进程的进程类型为恶意进程。
若原始UID与原始GID均小于权限阈值,则直接判定目标进程的进程类型为合法进程;若设置UID与设置GID均大于或等于权限阈值,则直接判定目标进程的进程类型为合法进程。
在本申请实施例中,通过比较原始进程权限值与权限阈值,比较设置进程权限值与权限阈值,再基于判断结果识别目标进程是否存在非法提权行为,以在检测到非法提权行为时及时拦截目标进程,从而降低了终端设备的安全风险。
S305,若进程类型指示目标进程为恶意进程,将目标进程的设置权限信息修改为目标进程的原始权限信息,继续执行目标进程。
具体的,终端设备在目标进程的进程类型为恶意进程时,将目标进程当前调用的系统调用的设置权限信息修改为目标进程的原始权限信息。
S306,若进程类型指示目标进程为恶意进程,停止执行目标进程。
具体的,终端设备在目标进程的进程类型为恶意进程时,直接停止执行该目标进程。示例性的,可以通过调用do_exit()来直接杀死目标进程。
在本申请实施例中,通过将目标进程当前调用的系统调用的设置权限信息修改为目标进程的原始权限信息,从而在避免非法提权行为的同时,保证应用程序的正常运行,以使应用程序实现其功能。或者是通过停止执行该目标进程,以使应用程序因为出现执行错误而停止运行,从而避免非法提权行为,提高了终端设备的安全性。
由于终端设备的操作系统中存在大量的进程,且各进程之间是通过套接字进行通信,而现有的套接字协议存在一定的安全漏洞,即通过非法篡改用以在各进程之间进行通信的套接字的相关信息,来破坏终端设备的系统内存,使得终端设备处于极高的安全风险下。
请参见图4,为本申请实施例提供了一种进程检测方法的流程示意图。如图4所示,方法可以包括以下步骤S401~步骤S403。
S401,获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程。
具体的,终端设备响应于应用程序的执行指令,执行该应用程序,同时获取应用程序的系统输出锚点对应的锚点地址,然后在该锚点地址处设置钩子函数,以使应用程序执行到系统输入锚点时,跳转执行该钩子函数。需要说明的是,该钩子函数即为本实施例所限定的进程检测步骤。
应用程序在执行时,通过创建进程,来执行应用程序中的程序代码;系统调用号为系统调用的标识信息,系统调用是一组用于实现系统功能的子程序,应用程序的进程通过系统调用实现系统功能。示例性的,应用程序的进程通过系统调用向操作系统发送服务请求,以获取操作系统所提供的服务,进而实现应用程序的功能。
终端设备响应于应用程序的执行指令,执行该应用程序,并将该应用程序生成的进程作为目标进程,然后在目标进程的进程结构体中获取目标进程当前请求的系统调用的系统调用号。
需要说明的是,进程的进程结构体中存储有进程当前请求的系统调用的系统调用号以及进程原始的原始权限信息。
可选的,终端设备还可以先获取终端设备的安全状态,若终端设备不处于安全保护状态,则直接结束进程检测步骤。若终端设备处于安全保护状态,则执行后续进程检测步骤。或者说,终端设备可以先检测终端设备是否被锁定,若终端设备未锁定,则直接结束进程检测步骤;若终端设备已锁定,则执行进程检测步骤。示例性的,终端设备中存储有终端设备的开机文件,该开机文件可以是cmdline文件,然后在开机文件中获取终端设备的开机状态值,该开机状态值可以是android.verifiedbootstate值,若开机状态值为orange(设备解锁状态值),则判定终端设备不处于安全保护状态,或者是说,判定终端设备不处于锁定状态。
S402,若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字类型,获取目标进程的套接字使用权限。
具体的,终端设备比对当前获取的系统调用号以及具备套接字调用权限的调用号,若当前获取的系统调用号与具备套接字调用权限的调用号相匹配,则获取目标进程在执行过程中所需创建的套接字类型,具体来说,是目标进程当前调用的系统调用所需创建的套接字类型,该系统调用为当前获取的系统调用号对应的系统调用。终端设备获取目标进程的套接字使用权限。
需要说明的是,进程的进程结构体中存储有进程的套接字使用权限;在存在具备套接字调用权限的调用号时,进程的进程结构体中还存储有具备套接字调用权限的系统调用所需创建套接字的套接字类型。
示例性的,具备套接字调用权限的调用号包括但不限定于_NR_socket。
S403,基于套接字类型以及套接字使用权限,对目标进程进行拦截处理。
具体的,终端设备基于套接字类型以及套接字使用权限判断目标进程与其他进程之间的套接字通信信息是否被篡改,若检测到该套接字通信信息被篡改,则判定目标进程在利用套接字协议的安全漏洞进行非法操作,存在恶意破坏系统内存的风险,然后对目标进程进行拦截处理。
在本申请实施例中,通过获取目标进程在执行过程中所需创建的套接字类型,以及目标进程的套接字使用权限,然后基于套接字类型以及套接字使用权限对目标进程进行拦截处理,即识别目标进程与其他进程之间的套接字通信信息是否被篡改,若检测到该套接字通信信息被篡改,则表明套接字协议的安全漏洞被利用,以在检测到安全漏洞被利用时及时拦截目标进程,从而降低了终端设备的安全风险。
请参见图5,为本申请实施例提供了一种进程检测方法的流程示意图。如图5所示,方法可以包括以下步骤S501~步骤S506。
S501,获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程。
具体可参见步骤S401,在此不再赘述。
S502,若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字协议簇。
具体的,进程的进程结构体中存储有进程的套接字使用权限以及目标进程执行成功时会接收到的返回值;在存在具备套接字调用权限的调用号时,进程的进程结构体中还存储有具备套接字调用权限的系统调用所需创建套接字的套接字类型以及套接字所属的套接字协议簇等套接字信息。
终端设备在获取到目标进程当前调用的系统调用号之后,比对系统调用号与具备套接字调用权限的调用号,若系统调用号与具备套接字调用权限的调用号相匹配,则在目标进程的进程结构体中获取该系统调用所需创建的套接字的所属的套接字协议簇。
S503,若套接字协议簇与目标套接字协议簇一致,则获取系统调用号对应的系统调用中的套接字类型,并获取目标进程的套接字使用权限。
具体的,目标套接字协议簇包括但不限定于AF_NETLINK协议簇。
终端设备在获取到该系统调用所需创建的套接字的所属的套接字协议簇之后,比对套接字协议簇与目标套接字协议簇,若套接字协议簇与目标套接字协议簇相匹配,则在目标进程的进程结构体中获取该系统调用号对应的系统调用所需创建的套接字的套接字类型,并在目标进程的进程结构体中目标进程的套接字使用权限。
在本申请实施例中,由于一个进程会存在多个系统调用,则通过判断系统调用号与具备套接字调用权限的调用号是否匹配,以在众多的系统调用中筛选出可能利用套接字安全漏洞的系统调用,提高了进程检测速度;由于套接字所属的协议簇不同,且非目标套接字协议簇的套接字不存在套接字安全漏洞,则通过判断套接字协议簇与目标套接字协议簇是否匹配,以进一步的在前述筛选得到的系统调用中筛选出可能利用套接字安全漏洞的系统调用,提高了进程检测速度。
S504,基于套接字类型以及套接字使用权限,获取目标进程的进程类型。
具体的,进程类型包括合法进程以及恶意进程,其中,恶意进程是指存在提权限行为的进程。
终端设备判断目标进程是否具备目标进程的系统调用所需创建的套接字类型的使用权限,若目标进程具备该套接字类型的使用权限,则判定目标进程不存在非法篡改套接字通信信息的行为,进一步判定目标进程的进程类型为合法进程;若目标进程不具备该套接字类型的使用权限,则判定目标进程存在非法篡改套接字通信信息的行为,进一步判定目标进程的进程类型为恶意进程。
在本申请实施例中,通过目标进程的系统调用所需创建的套接字类型以及目标进程的套接字使用权限识别目标进程中是否存在非法篡改套接字通信信息的行为,以确定目标进程是否为恶意进程,进而及时拦截恶意的目标进程,从而降低了终端设备的安全风险。
S505,若进程类型指示目标进程为恶意进程,则获取目标进程的返回地址,将返回地址上的返回值修改为错误值。
具体的,终端设备在目标进程的进程类型为恶意进程时,获取目标进程的返回地址,然后将返回地址上的返回值修改为错误值,以使目标进程因为返回值错误(相当于执行错误)而停止执行。示例性的,若该目标进程的合法返回值为"1",则将返回地址上的返回值修改为"0"或"err"等与"1"不一致的值或字符。
可选的,终端设备还可以直接通过调用do_exit()来直接杀死目标进程。
在本申请实施例中,通过停止执行该目标进程,以使应用程序因为出现执行错误而停止运行,从而避免非法提权行为,提高了终端设备的安全性。
S506,获取目标进程的进程信息,将目标进程的进程信息记录为恶意进程信息。
具体的,终端设备获取目标进程的进程信息,包括但不限于进程标识号、用户标识号、群组标识号、原始权限信息、设置权限信息、进程类型等。终端设备将前述获取的进程信息保存为恶意进程信息,以在再次接收到应用程序的执行指令时,根据恶意进程信息识别应用程序创建的进程是否为恶意进程,若识别到应用程序创建的进程为恶意进程时,直接拦截应用程序创建进程的过程。
可选的,终端设备还可以通过套接字将进程信息发送至终端设备的内核进程,然后在内核进程处进行埋点,以在内核进程创建应用程序对应的目标进程时,直接拦截该创建行为。需要说明的是,在接收到应用程序的创建指令时,是通过内核进程创建进程来执行该应用程序。
在本申请实施例中,通过将被拦截的目标进程的进程信息为恶意进程信息,以在目标进程被再次创建执行时,直接将其识别为恶意进程,并拦截该目标进程,提高了进程检测速度。
请参见图6,为本申请实施例提供了一种进程检测方法的流程示意图。如图6所示,方法可以包括以下步骤S601~步骤S605。
S601,获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程。
具体可参见步骤S401,在此不再赘述。
S602,若系统调用号为具备套接字调用权限的调用号,则获取目标进程的原始权限信息。
具体的,终端设备在获取到目标进程当前调用的系统调用号之后,比对系统调用号与具备套接字调用权限的调用号,若系统调用号与具备套接字调用权限的调用号相匹配,则在目标进程的进程结构体中获取目标进程的原始权限信息。
需要说明的是,目标进程的原始权限信息是指目标进程的进程权限值,包括目标进程的原始UID(User ID,用户标识号)以及原始GID(Group ID,群组标识号)中的至少一个。UID与GID均记录为数值的形式。
S603,若原始权限信息中的原始进程权限值大于或等于权限阈值,则获取系统调用号对应的系统调用中的套接字类型,并获取目标进程的套接字使用权限。
具体的,权限阈值可以是第三方应用的进程权限的最小权限值,即10000。具体来说,若进程权限值大于或等于权限阈值,则目标进程的进程权限为第三方应用的进程权限;若进程权限值小于权限阈值,则目标进程的进程权限为系统权限;需要说明的是,权限值越小,权限级别越高。需要说明的是,权限阈值也可以是其他权限值,本实施例并不限定权限阈值一定为第三方应用的进程权限的最小权限值。
终端设备判断原始权限信息所指示的进程权限是否为第三方应用的进程权限。示例性的,第三方应用可以指非终端设备内部的应用程序,更具体来说,是除终端设备的厂商生成的应用程序之外的应用程序,其安全性未知。需要说明的是,终端设备内部的应用程序是安全性在初始的时候,终端设备或厂商便验证过,且判定为安全的应用程序。
若原始权限信息所指示的进程权限不是第三方应用的进程权限,则判定目标进程不存在非法篡改套接字通信信息的行为,进一步判定目标进程的进程类型为合法进程。
若原始权限信息所指示的进程权限是第三方应用的进程权限,则在目标进程的进程结构体中获取该系统调用号对应的系统调用所需创建的套接字的套接字类型,并在目标进程的进程结构体中目标进程的套接字使用权限。
在本申请实施例中,由于被认定为安全的应用程序对应进程具有修改套接字通信信息的能力,且一个进程会存在多个系统调用,则通过判断目标进程的进程权限是否具有修改套接字通信信息的能力,以在众多的系统调用中筛选出可能利用套接字安全漏洞的系统调用,提高了进程检测速度。
S604,若套接字类型与原始套接字类型一致,且套接字使用权限与原始套接字使用权限不一致,则确定目标进程的进程类型为恶意进程。
具体的,原始套接字类型是指SOCK_RAW,原始套接字使用权限是指CAP_NET_RAW权限。进程可以通过原始套接字通信破坏系统内存,因此,终端设备会限制进程申请原始套接字的使用权限。
终端设备先比对目标进程的系统调用所需创建的套接字的套接字类型与原始套接字类型,若所需创建的套接字的套接字类型与原始套接字类型不匹配,则判定目标进程不存在利用套接字安全漏洞的系统调用,进一步判定目标进程为合法进程。
若所需创建的套接字的套接字类型与原始套接字类型相匹配,则比对目标进程的套接字使用权限与原始套接字使用权限,若目标进程的套接字使用权限与原始套接字使用权限相匹配,则判定目标进程不存在利用套接字安全漏洞的系统调用,进一步判定目标进程为合法进程。
若目标进程的套接字使用权限与原始套接字使用权限不匹配,则判定目标进程存在利用套接字安全漏洞的系统调用,进一步判定目标进程为恶意进程。
S605,若进程类型指示目标进程为恶意进程,则对目标进程进行拦截处理。
具体可参见S505,在此不再赘述。
在本申请实施例中,通过比对目标进程的系统调用所需创建的套接字的套接字类型与原始套接字类型、比对目标进程的套接字使用权限与原始套接字使用权限,再基于判断结果识别目标进程是否存在利用套接字安全漏洞的系统调用,以在检测到利用套接字安全漏洞的系统调用时及时拦截目标进程,从而降低了终端设备的安全风险。
下面将结合附图7~附图8本申请实施例提供的进程检测装置进行详细介绍。需要说明的是,附图7~附图8进程检测装置,用于执行本申请图1~图6所示实施例的方法,为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示的,请参照本申请图1~图6所示的实施例。
请参见图7,为本申请实施例提供了一种进程检测装置的结构示意图。如图7所示,本申请实施例的进程检测装置1可以包括:执行权限获取模块101、进程权限获取模块102、拦截模块103。
执行权限获取模块101,用于获取目标进程的系统调用号,获取系统调用号对应的执行权限,目标进程为处于执行状态的应用程序的进程;
进程权限获取模块102,用于若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息;
拦截模块103,用于基于原始权限信息以及设置权限信息,对目标进程进行拦截处理。
在本申请实施例中,通过获取处于执行状态的进程的原始权限信息以及设置权限信息,然后基于原始权限信息以及设置权限信息对目标进程进行拦截处理,以在检测到非法提权行为时及时拦截目标进程,从而降低了终端设备的安全风险。
可选的,执行权限获取模块101具体用于:
若系统调用号与调用号集合中的任一样本调用号相匹配,则获取系统调用号对应的执行权限。
可选的,拦截模块103具体用于:
基于原始权限信息以及设置权限信息,获取目标进程的进程类型;
若进程类型指示目标进程为恶意进程,则对目标进程进行拦截处理。
可选的,拦截模块103具体用于:
获取原始权限信息中的目标进程的原始进程权限值,获取设置权限信息中的目标进程的设置进程权限值;
若原始进程权限值大于或等于权限阈值,且设置进程权限值小于权限阈值,则确定目标进程的进程类型为恶意进程。
可选的,拦截模块103具体用于:
将目标进程的设置权限信息修改为目标进程的原始权限信息,继续执行目标进程;或,
停止执行目标进程。
可选的,请参照图7,进程检测装置1还包括:记录模块104。
记录模块104,用于获取目标进程的进程信息,将目标进程的进程信息记录为恶意进程信息。
请参见图8,为本申请实施例提供了一种进程检测装置的结构示意图。如图8所示,本申请实施例的进程检测装置2可以包括:调用号获取模块201、权限获取模块202、拦截模块203。
调用号获取模块201,用于获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程;
权限获取模块202,用于若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字类型,获取目标进程的套接字使用权限;
拦截模块203,用于基于套接字类型以及套接字使用权限,对目标进程进行拦截处理。
在本申请实施例中,通过获取目标进程在执行过程中所需创建的套接字类型,以及目标进程的套接字使用权限,然后基于套接字类型以及套接字使用权限对目标进程进行拦截处理,即识别目标进程与其他进程之间的套接字通信信息是否被篡改,若检测到该套接字通信信息被篡改,则表明套接字协议的安全漏洞被利用,以在检测到安全漏洞被利用时及时拦截目标进程,从而降低了终端设备的安全风险。
可选的,拦截模块203具体用于:
基于套接字类型以及套接字使用权限,获取目标进程的进程类型;
若进程类型指示目标进程为恶意进程,则对目标进程进行拦截处理。
可选的,拦截模块203具体用于:
若套接字类型与原始套接字类型一致,且套接字使用权限与原始套接字使用权限不一致,则确定目标进程的进程类型为恶意进程。
可选的,权限获取模块202具体用于:
若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字协议簇;
若套接字协议簇与目标套接字协议簇一致,则获取系统调用号对应的系统调用中的套接字类型,并获取目标进程的套接字使用权限。
可选的,权限获取模块202具体用于:
若系统调用号为具备套接字调用权限的调用号,则获取目标进程的原始权限信息;
若原始权限信息中的原始进程权限值大于或等于权限阈值,则获取系统调用号对应的系统调用中的套接字类型,并获取目标进程的套接字使用权限。
可选的,拦截模块203具体用于:
获取目标进程的返回地址,将返回地址上的返回值修改为错误值。
可选的,进程检测装置2还包括:记录模块204。
记录模块204,用于获取目标进程的进程信息,将目标进程的进程信息记录为恶意进程信息。
本申请实施例还提供了一种存储介质,存储介质可以存储有多条程序指令,程序指令适于由处理器加载并执行如上述图1~图6所示实施例的方法步骤,具体执行过程可以参见图1~图6所示实施例的具体说明,在此不进行赘述。
请参见图9,为本申请实施例提供了一种计算机设备的结构示意图。如图9所示,计算机设备1000可以包括:至少一个处理器1001,至少一个存储器1002,至少一个网络接口1003,至少一个输入输出接口1004,至少一个通讯总线1005和至少一个显示单元1006。其中,处理器1001可以包括一个或者多个处理核心。处理器1001利用各种接口和线路连接整个计算机设备1000内的各个部分,通过运行或执行存储在存储器1002内的指令、程序、代码集或指令集,以及调用存储在存储器1002内的数据,执行终端1000的各种功能和处理数据。存储器1002可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1002可选的还可以是至少一个位于远离前述处理器1001的存储装置。其中,网络接口1003可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。通信总线1005用于实现这些组件之间的连接通信。如图9所示,作为一种终端设备存储介质的存储器1002中可以包括操作系统、网络通信模块、输入输出接口模块以及进程检测程序。
在图9所示的计算机设备1000中,输入输出接口1004主要用于为用户以及接入设备提供输入的接口,获取用户以及接入设备输入的数据。
在一个实施例中。
处理器1001可以用于调用存储器1002中存储的进程检测程序,并具体执行以下操作:
获取目标进程的系统调用号,获取系统调用号对应的执行权限,目标进程为处于执行状态的应用程序的进程;
若执行权限指示目标进程具备修改进程权限的功能,则获取目标进程的原始权限信息以及设置权限信息;
基于原始权限信息以及设置权限信息,对目标进程进行拦截处理。
可选的,处理器1001在执行获取系统调用号对应的执行权限时,具体执行以下操作:
若系统调用号与调用号集合中的任一样本调用号相匹配,则获取系统调用号对应的执行权限。
可选的,处理器1001在执行基于原始权限信息以及设置权限信息,对目标进程进行拦截处理时,具体执行以下操作:
基于原始权限信息以及设置权限信息,获取目标进程的进程类型;
若进程类型指示目标进程为恶意进程,则对目标进程进行拦截处理。
可选的,处理器1001在执行基于原始权限信息以及设置权限信息,获取目标进程的进程类型时,具体执行以下操作:
获取原始权限信息中的目标进程的原始进程权限值,获取设置权限信息中的目标进程的设置进程权限值;
若原始进程权限值大于或等于权限阈值,且设置进程权限值小于权限阈值,则确定目标进程的进程类型为恶意进程。
可选的,处理器1001在执行对目标进程进行拦截处理时,具体执行以下操作:
将目标进程的设置权限信息修改为目标进程的原始权限信息,继续执行目标进程;或,
停止执行目标进程。
可选的,处理器1001在执行若目标进程为恶意进程,则拦截目标进程之后,还执行以下操作:
获取目标进程的进程信息,将目标进程的进程信息记录为恶意进程信息。
在本申请实施例中,通过获取处于执行状态的进程的原始权限信息以及设置权限信息,然后基于原始权限信息以及设置权限信息对目标进程进行拦截处理,以在检测到非法提权行为时及时拦截目标进程,从而降低了终端设备的安全风险。
在另一个实施例中。
处理器1001可以用于调用存储器1002中存储的进程检测程序,并具体执行以下操作:
获取目标进程的系统调用号,目标进程为处于执行状态的应用程序的进程;
若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字类型,获取目标进程的套接字使用权限;
基于套接字类型以及套接字使用权限,对目标进程进行拦截处理。
可选的,处理器1001在执行基于套接字类型以及套接字使用权限,对目标进程进行拦截处理时,具体执行以下操作:
基于套接字类型以及套接字使用权限,获取目标进程的进程类型;
若进程类型指示目标进程为恶意进程,则对目标进程进行拦截处理。
可选的,处理器1001在执行基于套接字类型以及套接字使用权限,获取目标进程的进程类型时,具体执行以下操作:
若套接字类型与原始套接字类型一致,且套接字使用权限与原始套接字使用权限不一致,则确定目标进程的进程类型为恶意进程。
可选的,处理器1001在执行若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字类型,获取目标进程的套接字使用权限时,具体执行以下操作:
若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字协议簇;
若套接字协议簇与目标套接字协议簇一致,则获取系统调用号对应的系统调用中的套接字类型,并获取目标进程的套接字使用权限。
可选的,处理器1001在执行若系统调用号为具备套接字调用权限的调用号,则获取目标进程在执行过程中所需创建的套接字类型,获取目标进程的套接字使用权限时,具体执行以下操作:
若系统调用号为具备套接字调用权限的调用号,则获取目标进程的原始权限信息;
若原始权限信息中的原始进程权限值大于或等于权限阈值,则获取系统调用号对应的系统调用中的套接字类型,并获取目标进程的套接字使用权限。
可选的,处理器1001在执行对目标进程进行拦截处理时,具体执行以下操作:
获取目标进程的返回地址,将返回地址上的返回值修改为错误值。
可选的,处理器1001在执行基于套接字类型以及套接字使用权限,对目标进程进行拦截处理之后,还执行以下操作:
获取目标进程的进程信息,将目标进程的进程信息记录为恶意进程信息。
在本申请实施例中,通过获取目标进程在执行过程中所需创建的套接字类型,以及目标进程的套接字使用权限,然后基于套接字类型以及套接字使用权限对目标进程进行拦截处理,即识别目标进程与其他进程之间的套接字通信信息是否被篡改,若检测到该套接字通信信息被篡改,则表明套接字协议的安全漏洞被利用,以在检测到安全漏洞被利用时及时拦截目标进程,从而降低了终端设备的安全风险。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本申请所提供的一种进程检测方法、进程检测装置、存储介质及设备的描述,对于本领域的技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。

Claims (17)

1.一种进程检测方法,其特征在于,所述方法包括:
获取目标进程的系统调用号,获取所述系统调用号对应的执行权限,所述目标进程为处于执行状态的应用程序的进程;
若所述执行权限指示所述目标进程具备修改进程权限的功能,则获取所述目标进程的原始权限信息以及设置权限信息;
基于所述原始权限信息以及设置权限信息,对所述目标进程进行拦截处理。
2.根据权利要求1所述的方法,其特征在于,所述获取所述系统调用号对应的执行权限,包括:
若所述系统调用号与调用号集合中的任一样本调用号相匹配,则获取所述系统调用号对应的执行权限。
3.根据权利要求1所述的方法,其特征在于,所述基于所述原始权限信息以及设置权限信息,对所述目标进程进行拦截处理,包括:
基于所述原始权限信息以及所述设置权限信息,获取所述目标进程的进程类型;
若所述进程类型指示所述目标进程为恶意进程,则对所述目标进程进行拦截处理。
4.根据权利要求3所述的方法,其特征在于,所述基于所述原始权限信息以及所述设置权限信息,获取所述目标进程的进程类型,包括:
获取所述原始权限信息中的所述目标进程的原始进程权限值,获取所述设置权限信息中的所述目标进程的设置进程权限值;
若所述原始进程权限值大于或等于权限阈值,且所述设置进程权限值小于所述权限阈值,则确定所述目标进程的进程类型为恶意进程。
5.根据权利要求1或3所述的方法,其特征在于,所述对所述目标进程进行拦截处理,包括:
将所述目标进程的设置权限信息修改为所述目标进程的原始权限信息,继续执行所述目标进程;或,
停止执行所述目标进程。
6.根据权利要求1所述的方法,其特征在于,所述若所述目标进程为恶意进程,则拦截所述目标进程之后,还包括:
获取所述目标进程的进程信息,将所述目标进程的进程信息记录为恶意进程信息。
7.一种进程检测方法,其特征在于,所述方法包括:
获取目标进程的系统调用号,所述目标进程为处于执行状态的应用程序的进程;
若所述系统调用号为具备套接字调用权限的调用号,则获取所述目标进程在执行过程中所需创建的套接字类型,获取所述目标进程的套接字使用权限;
基于所述套接字类型以及所述套接字使用权限,对所述目标进程进行拦截处理。
8.根据权利要求7所述的方法,其特征在于,所述基于所述套接字类型以及所述套接字使用权限,对所述目标进程进行拦截处理,包括:
基于所述套接字类型以及所述套接字使用权限,获取所述目标进程的进程类型;
若所述进程类型指示所述目标进程为恶意进程,则对所述目标进程进行拦截处理。
9.根据权利要求8所述的方法,其特征在于,所述基于所述套接字类型以及所述套接字使用权限,获取所述目标进程的进程类型,包括:
若所述套接字类型与原始套接字类型一致,且所述套接字使用权限与原始套接字使用权限不一致,则确定所述目标进程的进程类型为恶意进程。
10.根据权利要求7所述的方法,其特征在于,所述若所述系统调用号为具备套接字调用权限的调用号,则获取所述目标进程在执行过程中所需创建的套接字类型,获取所述目标进程的套接字使用权限,包括:
若所述系统调用号为具备套接字调用权限的调用号,则获取所述目标进程在执行过程中所需创建的套接字协议簇;
若所述套接字协议簇与目标套接字协议簇一致,则获取所述系统调用号对应的系统调用中的套接字类型,并获取所述目标进程的套接字使用权限。
11.根据权利要求7所述的方法,其特征在于,所述若所述系统调用号为具备套接字调用权限的调用号,则获取所述目标进程在执行过程中所需创建的套接字类型,获取所述目标进程的套接字使用权限,包括:
若所述系统调用号为具备套接字调用权限的调用号,则获取所述目标进程的原始权限信息;
若所述原始权限信息中的原始进程权限值大于或等于权限阈值,则获取所述系统调用号对应的系统调用中的套接字类型,并获取所述目标进程的套接字使用权限。
12.根据权利要求7所述的方法,其特征在于,所述对所述目标进程进行拦截处理,包括:
获取所述目标进程的返回地址,将所述返回地址上的返回值修改为错误值。
13.根据权利要求7所述的方法,其特征在于,所述基于所述套接字类型以及所述套接字使用权限,对所述目标进程进行拦截处理之后,还包括:
获取所述目标进程的进程信息,将所述目标进程的进程信息记录为恶意进程信息。
14.一种进程检测装置,其特征在于,包括:
执行权限获取模块,用于获取目标进程的系统调用号,获取所述系统调用号对应的执行权限,所述目标进程为处于执行状态的应用程序的进程;
进程权限获取模块,用于若所述执行权限指示所述目标进程具备修改进程权限的功能,则获取所述目标进程的原始权限信息以及设置权限信息;
拦截模块,用于基于所述原始权限信息以及设置权限信息,对所述目标进程进行拦截处理。
15.一种进程检测装置,其特征在于,包括:
调用号获取模块,用于获取目标进程的系统调用号,所述目标进程为处于执行状态的应用程序的进程;
权限获取模块,用于若所述系统调用号为具备套接字调用权限的调用号,则获取所述目标进程在执行过程中所需创建的套接字类型,获取所述目标进程的套接字使用权限;
拦截模块,用于基于所述套接字类型以及所述套接字使用权限,对所述目标进程进行拦截处理。
16.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~13中任一项所述的进程检测方法。
17.一种计算机设备,其特征在于,包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行如权利要求1~13任意一项所述的进程检测方法的步骤。
CN202111046247.3A 2021-09-06 2021-09-06 进程检测方法、装置、存储介质以及计算机设备 Pending CN113836529A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111046247.3A CN113836529A (zh) 2021-09-06 2021-09-06 进程检测方法、装置、存储介质以及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111046247.3A CN113836529A (zh) 2021-09-06 2021-09-06 进程检测方法、装置、存储介质以及计算机设备

Publications (1)

Publication Number Publication Date
CN113836529A true CN113836529A (zh) 2021-12-24

Family

ID=78958632

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111046247.3A Pending CN113836529A (zh) 2021-09-06 2021-09-06 进程检测方法、装置、存储介质以及计算机设备

Country Status (1)

Country Link
CN (1) CN113836529A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278327A (zh) * 2023-11-21 2023-12-22 北京熠智科技有限公司 一种针对网络请求的访问控制方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278327A (zh) * 2023-11-21 2023-12-22 北京熠智科技有限公司 一种针对网络请求的访问控制方法及系统
CN117278327B (zh) * 2023-11-21 2024-01-26 北京熠智科技有限公司 一种针对网络请求的访问控制方法及系统

Similar Documents

Publication Publication Date Title
US10621356B2 (en) System and method of controlling file access of applications based on vulnerabilities of applications
US9141801B2 (en) Apparatus and method for analyzing permission of application for mobile devices and detecting risk
EP3123311B1 (en) Malicious code protection for computer systems based on process modification
CN105427096B (zh) 支付安全沙箱实现方法及系统与应用程序监控方法及系统
US10788984B2 (en) Method, device, and system for displaying user interface
WO2015096695A1 (zh) 一种应用程序的安装控制方法、系统及装置
US20160078224A1 (en) Validating a type of a peripheral device
US11100227B2 (en) Security indication information configuration method and device
CN100492300C (zh) 在微处理器实现的设备上执行进程的系统和方法
EP3089068A1 (en) Application program management method, device, terminal, and computer storage medium
US10867048B2 (en) Dynamic security module server device and method of operating same
WO2016070623A1 (zh) 敏感信息安全保护方法和装置
EP2750069B1 (en) Method and system for detecting malware using isolated environment
US20180026986A1 (en) Data loss prevention system and data loss prevention method
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
US20190325134A1 (en) Neural network detection of malicious activity
CN104318156A (zh) 一种进程访问安全方法及系统
US9942268B1 (en) Systems and methods for thwarting unauthorized attempts to disable security managers within runtime environments
US20170372311A1 (en) Secure payment-protecting method and related electronic device
CN113836529A (zh) 进程检测方法、装置、存储介质以及计算机设备
CN106919812B (zh) 一种应用进程权限管理方法和装置
CN111783087A (zh) 可执行文件恶意执行的检测方法及装置、终端、存储介质
CN109784041B (zh) 事件处理方法和装置、以及存储介质和电子装置
CN106022105B (zh) 一种指令处理方法及装置
Yang et al. Research on non-authorized privilege escalation detection of android applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination