CN114647843A - 父进程识别方法、装置、电子设备、存储介质及程序 - Google Patents

父进程识别方法、装置、电子设备、存储介质及程序 Download PDF

Info

Publication number
CN114647843A
CN114647843A CN202011522860.3A CN202011522860A CN114647843A CN 114647843 A CN114647843 A CN 114647843A CN 202011522860 A CN202011522860 A CN 202011522860A CN 114647843 A CN114647843 A CN 114647843A
Authority
CN
China
Prior art keywords
target
thread
parent process
parent
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011522860.3A
Other languages
English (en)
Inventor
王明广
王丹阳
向鸿鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Qianxin Safety Technology Zhuhai Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Qianxin Safety Technology Zhuhai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Qianxin Safety Technology Zhuhai Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202011522860.3A priority Critical patent/CN114647843A/zh
Publication of CN114647843A publication Critical patent/CN114647843A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种父进程识别方法、装置、电子设备、存储介质及程序,方法包括:监测到目标进程被创建后,确定所述目标进程的默认父进程;当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。本发明提供的父进程识别方法、装置、电子设备、存储介质及程序,可以识别任意进程通过DCOM的方式所创建的目标进程,并得到目标进程所对应的真实父进程的信息,提高安全防御能力。

Description

父进程识别方法、装置、电子设备、存储介质及程序
技术领域
本发明涉及网络安全技术领域,尤其涉及一种父进程识别方法、装置、电子设备、存储介质及程序。
背景技术
Windows操作系统支持DCOM(Distributed Component Object Model,分布式组件对象模型)的方式创建一个进程,通过DCOM方式创建的进程,父进程默认是系统进程Svchost.exe。
在软件安全领域,通常会根据父进程的可信度来判断子进程的行为是否可信。由于系统进程Svchost.exe被默认是可信的,因此通过DCOM方式创建的进程可以绕过现有技术中基于检查父进程可信来判断是否拦截子进程的技术。
现有技术中并没有查找通过DCOM方式创建的进程的真正原始父进程的方法。
发明内容
针对现有技术中所存在的问题,本发明提供一种父进程识别方法、装置、电子设备、存储介质及程序。
本发明提供一种父进程识别方法,包括:
监测到目标进程被创建后,确定所述目标进程的默认父进程;
当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;其中,所述目标线程为创建所述目标进程的线程;
当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
根据本发明提供的一种父进程识别方法,所述当所述目标进程的目标线程为远程过程调用线程时,从目标线程的线程环境块中获取真实父进程的信息,包括:
将所述目标线程的线程环境块的ReservedForNtRpc字段的地址作为起始地址,结合第一偏移量得到RpcBinding句柄;
将所述RpcBinding句柄的地址作为起始地址,结合第二偏移量得到CLIENT_ID结构;所述CLIENT_ID结构包括真实父进程的进程标识号信息和线程标识号信息;其中,所述第一偏移量的值与第二偏移量的值是基于操作系统的类型确定的。
根据本发明提供的一种父进程识别方法,当操作系统的类型为64位的Windows7操作系统时,所述第一偏移量为0x20,所述第二偏移量为0x1F0。
根据本发明提供的一种父进程识别方法,所述判断所述目标进程的目标线程是否为远程过程调用线程,包括:
获取所述目标进程的目标线程的线程环境块的ReservedForNtRpc字段;
根据所述ReservedForNtRpc字段的值判断所述目标进程的目标线程是否为远程过程调用线程。
根据本发明提供的一种父进程识别方法,在所述监测到目标进程被创建后,确定所述目标进程的默认父进程的步骤之前,方法还包括:
在驱动程序中注册回调函数,所述回调函数用于监测目标进程的创建。
根据本发明提供的一种父进程识别方法,在所述当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息的步骤之后,方法还包括:
判断所述目标进程的真实父进程是否可信,当所述目标进程的真实父进程不可信时,拦截所述目标进程。
本发明还提供一种父进程识别装置,包括:
默认父进程确定模块,用于监测到目标进程被创建后,确定所述目标进程的默认父进程;
远程过程调用线程判断模块,用于当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;
真实父进程信息获取模块,用于当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
本发明还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述父进程识别方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上述任一种所述父进程识别方法的步骤。
本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现如上述任一种所述父进程识别方法的步骤。
本发明提供的父进程识别方法、装置、电子设备、存储介质及程序,可以识别任意进程通过DCOM的方式所创建的目标进程,并得到目标进程所对应的真实父进程的信息,提高安全防御能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的父进程识别方法的流程示意图;
图2是本发明提供的父进程识别装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图3描述本发明的父进程识别方法、装置、电子设备、存储介质及程序。
现有的主流安全软件都会维护一个进程列表,在该进程列表中标识父子进程关系。当子进程执行违法行为时,需要同时找到父进程的信息进行验证。只要父进程是可信的,则子进程的行为就认为是可信的。
但对于通过DCOM方式创建的子进程,它的父进程并非真正创建它的进程,而是被默认为系统进程Svchost.exe。由于系统进程默认都是可信的,因此对于通过DCOM方式创建的子进程,无法根据父进程是否可信来确定子进程的行为是否可信。
本发明的父进程识别方法的目的在于识别出DCOM方式所创建的子进程的真实父进程。
图1为本发明的父进程识别方法的流程图,如图1所示,本发明的父进程识别方法包括:
步骤101、监测到目标进程被创建后,检测所述目标进程的默认父进程。
在本实施例中,目标进程是指需要采用本发明的父进程识别方法进行父进程识别的进程。
默认父进程是指操作系统默认的父进程。一般来说,进程A由进程B创建,则进程A的默认父进程就是进程B。但若进程A由进程C通过DCOM的方式创建,那么进程A的默认父进程是系统进程Svchost.exe,而不是进程C。
与默认父进程相对应的概念为真实父进程。真实父进程是指通过DCOM的方式创建子进程的进程。如进程A由进程C通过DCOM的方式创建,那么进程A的默认父进程是系统进程Svchost.exe,进程A的真实父进程是进程C。
在本实施例中,通过在驱动程序中注册回调函数的方式可监测进程的创建。在目标进程被创建后且目标进程的功能代码运行前,由回调函数发出目标进程已经被创建的通知,从而开启检测目标进程的默认父进程的工作。在其他实施例中,也可采用其他类型的方法来监视目标进程的创建,如采用基于VT(Virtualization Technology)虚拟化的技术,实现对创建进程函数Hook。
子进程与父进程之间的对应关系可存储在进程列表中。因此,查询进程列表可得到目标进程的默认父进程。
步骤102、当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程。
在本实施例中,所述目标线程为创建所述目标进程的线程。
对目标进程的默认父进程的类型进行判断,当所述默认父进程为系统进程Svchost.exe时,在本实施例中,通过获取目标进程的目标线程的TEB(Thread EnvironmentBlock,线程环境块)结构的ReservedForNtRpc字段,来判断目标线程是否是一个RPC(Remote Procedure Call,远程过程调用)线程。
TEB用于保存系统中频繁使用的与线程相关的数据,TEB中拥有多个字段,本申请人通过研究后发现,其中的ReservedForNtRpc字段能够判断目标线程是否是RPC线程。具体的说,若目标线程为RPC线程,则ReservedForNtRpc字段填充有数值,若目标线程并非RPC线程,则ReservedForNtRpc字段为空。
步骤103、当目标进程的目标线程为远程过程调用线程时,从目标线程的线程环境块中获取真实父进程的信息。
由于创建进程的行为所属的线程必须是RPC线程,才可以获取到真实父进程的信息。因此,在之前的步骤中对目标进程的目标线程的类型进行判断,只有当所述目标线程为RPC线程时,才可以通过后续操作获取真实父进程的信息。
在本实施例中,如果目标线程是RPC线程,则以线程环境块的ReservedForNtRpc字段的地址为起始地址,根据第一偏移量得到RpcBinding句柄;然后以RpcBinding句柄的地址为起始地址,根据第二偏移量得到CLIENT_ID结构。
所述CLIENT_ID结构中保存有真实父进程的进程ID和线程ID信息。由此就能够得到目标进程的真实父进程的信息。
由于线程环境块(TEB)中存在层级关系,因此只能通过先查找RpcBinding句柄,再基于RpcBinding句柄查找CLIENT_ID结构的方式来得到CLIENT_ID结构,最终得到真实父进程的进程ID和线程ID信息。
所述第一偏移量与第二偏移量根据操作系统的类型而定,更具体的,针对同一类型的操作系统,当操作系统的版本不同时,第一偏移量与第二偏移量也可以设置为不同的数值。
例如,在Win7x64(64位的Windows7)版本的操作系统中,第一偏移量的大小为0x20,第二偏移量的大小为0x1F0。若操作系统的版本发生变化,则第一偏移量与第二偏移量的值也会对应发生变化。
例如,在Win10x32(32位的Windows10)版本的操作系统中,第一偏移量的大小为0x14,第二偏移量的大小为0x110;在Server2003x64版本的操作系统中,第一偏移量的大小为0x18,第二偏移量的大小为0x128;在Server2003x32版本的操作系统中,第一偏移量的大小为0x10,第二偏移量的大小为0XB4。
本发明提供的父进程识别方法可以识别任意进程通过DCOM的方式所创建的目标进程,并得到目标进程所对应的真实父进程的信息,提高安全防御能力。
基于上述任一实施例,在本发明实施例中,在所述监测到目标进程被创建后,确定所述目标进程的默认父进程的步骤之前,方法还包括:
在驱动程序中注册回调函数,所述回调函数用于监测目标进程的创建。
在本实施例中,通过在驱动程序中注册回调函数的方式可监测目标进程的创建。
在目标进程被创建后且目标进程的功能代码运行前,由回调函数发出目标进程已经被创建的通知,从而开启检测目标进程的默认父进程的工作。
在其他实施例中,也可采用其他类型的方法来监视目标进程的创建,如采用基于VT(Virtualization Technology)虚拟化的技术,实现对创建进程函数Hook。
本发明提供的父进程识别方法通过在驱动程序中注册回调函数的方式监测目标进程的创建,从而可以及时发现新创建的目标进程,进而对目标进程是否可信进行判断,有助于提高安全防御能力。
基于上述任一实施例,在本发明实施例中,在所述当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息的步骤之后,方法还包括:
判断目标进程的真实父进程是否可信,当目标进程的真实父进程不可信时,拦截所述目标进程。
根据网络安全的原理,当父进程可信,其子进程被认为是可信的,反之,当父进程不可信,那么其子进程也被认为是不可信的。
因此在本实施例中,通过判断目标进程的真实父进程是否可信,来确定是否对目标进程进行拦截。
当真实父进程可信,则目标进程可信,可予以放行;当真实父进程不可信,则目标进程不可信,需要拦截目标进程。
目标进程被拦截后,目标进程的功能代码将无法运行。
本发明提供的父进程识别方法对目标进程的真实父进程是否可信进行判断,当其不可信时,拦截目标进程,有助于提高安全防御能力。
下面对本发明提供的父进程识别装置进行描述,下文描述的父进程识别装置与上文描述的父进程识别方法可相互对应参照。
基于上述任一实施例,图2为本发明提供的父进程识别装置的示意图,如图2所示,本发明提供的父进程识别装置包括:
默认父进程确定模块201,用于监测到目标进程被创建后,确定所述目标进程的默认父进程;
远程过程调用线程判断模块202,用于当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;
真实父进程信息获取模块203,用于当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
本发明提供的父进程识别装置可以识别任意进程通过DCOM的方式所创建的目标进程,并得到目标进程所对应的真实父进程的信息,提高安全防御能力。
图3是本发明提供的电子设备的结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行父进程识别方法,该方法包括:
监测到目标进程被创建后,确定所述目标进程的默认父进程;
当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;
当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的父进程识别方法,该方法包括:
监测到目标进程被创建后,确定所述目标进程的默认父进程;
当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;
当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的父进程识别方法,该方法包括:
监测到目标进程被创建后,确定所述目标进程的默认父进程;
当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;
当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种父进程识别方法,其特征在于,包括:
监测到目标进程被创建后,确定所述目标进程的默认父进程;
当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;其中,所述目标线程为创建所述目标进程的线程;
当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
2.根据权利要求1所述的父进程识别方法,其特征在于,所述当所述目标进程的目标线程为远程过程调用线程时,从目标线程的线程环境块中获取真实父进程的信息,包括:
将所述目标线程的线程环境块的ReservedForNtRpc字段的地址作为起始地址,结合第一偏移量得到RpcBinding句柄;
将所述RpcBinding句柄的地址作为起始地址,结合第二偏移量得到CLIENT_ID结构;所述CLIENT_ID结构包括真实父进程的进程标识号信息和线程标识号信息;其中,所述第一偏移量的值与第二偏移量的值是基于操作系统的类型确定的。
3.根据权利要求2所述的父进程识别方法,其特征在于,当操作系统的类型为64位的Windows7操作系统时,所述第一偏移量为0x20,所述第二偏移量为0x1F0。
4.根据权利要求1所述的父进程识别方法,其特征在于,所述判断所述目标进程的目标线程是否为远程过程调用线程,包括:
获取所述目标进程的目标线程的线程环境块的ReservedForNtRpc字段;
根据所述ReservedForNtRpc字段的值判断所述目标进程的目标线程是否为远程过程调用线程。
5.根据权利要求1至4任一项所述的父进程识别方法,其特征在于,在所述监测到目标进程被创建后,确定所述目标进程的默认父进程的步骤之前,方法还包括:
在驱动程序中注册回调函数,所述回调函数用于监测目标进程的创建。
6.根据权利要求1至4任一项所述的父进程识别方法,其特征在于,在所述当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息的步骤之后,方法还包括:
判断所述目标进程的真实父进程是否可信,当所述目标进程的真实父进程不可信时,拦截所述目标进程。
7.一种父进程识别装置,其特征在于,包括:
默认父进程确定模块,用于监测到目标进程被创建后,确定所述目标进程的默认父进程;
远程过程调用线程判断模块,用于当所述默认父进程为系统进程时,判断所述目标进程的目标线程是否为远程过程调用线程;
真实父进程信息获取模块,用于当所述目标进程的目标线程为远程过程调用线程时,从所述目标线程的线程环境块中获取真实父进程的信息。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述父进程识别方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述父进程识别方法的步骤。
10.一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,其特征在于,所述指令在被执行时用于实现如权利要求1至6任一项所述父进程识别方法的步骤。
CN202011522860.3A 2020-12-21 2020-12-21 父进程识别方法、装置、电子设备、存储介质及程序 Pending CN114647843A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011522860.3A CN114647843A (zh) 2020-12-21 2020-12-21 父进程识别方法、装置、电子设备、存储介质及程序

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011522860.3A CN114647843A (zh) 2020-12-21 2020-12-21 父进程识别方法、装置、电子设备、存储介质及程序

Publications (1)

Publication Number Publication Date
CN114647843A true CN114647843A (zh) 2022-06-21

Family

ID=81991779

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011522860.3A Pending CN114647843A (zh) 2020-12-21 2020-12-21 父进程识别方法、装置、电子设备、存储介质及程序

Country Status (1)

Country Link
CN (1) CN114647843A (zh)

Similar Documents

Publication Publication Date Title
US10055585B2 (en) Hardware and software execution profiling
US8484739B1 (en) Techniques for securely performing reputation based analysis using virtualization
US10534915B2 (en) System for virtual patching security vulnerabilities in software containers
US10565371B2 (en) Malware detection method and malware detection apparatus
CN109558207B (zh) 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法
CN114676424B (zh) 一种容器逃逸检测与阻断方法、装置、设备及存储介质
CN108898012B (zh) 检测非法程序的方法和装置
GB2510701A (en) Detecting malware code injection by determining whether return address on stack thread points to suspicious memory area
EP3079057A1 (en) Method and device for realizing virtual machine introspection
CN111901318A (zh) 一种命令注入攻击检测的方法、系统及设备
US20230376591A1 (en) Method and apparatus for processing security events in container virtualization environment
CN112395593A (zh) 指令执行序列的监测方法及装置、存储介质、计算机设备
CN111444510A (zh) 基于虚拟机实现的cpu漏洞检测方法及系统
CN114647843A (zh) 父进程识别方法、装置、电子设备、存储介质及程序
CN111444509A (zh) 基于虚拟机实现的cpu漏洞检测方法及系统
CN112685744B (zh) 一种利用栈相关寄存器检测软件漏洞的方法及装置
US11983272B2 (en) Method and system for detecting and preventing application privilege escalation attacks
KR101053470B1 (ko) 유해 트래픽 제어 및 해킹을 차단하는 장치 및 방법
JP2020004127A (ja) コンピュータ資産管理システムおよびコンピュータ資産管理方法
CN111159714B (zh) 一种访问控制中主体运行时可信验证方法及系统
CN109800581B (zh) 软件行为的安全防护方法及装置、存储介质、计算机设备
CN107741872B (zh) 一种虚拟机识别的审计方法、装置及虚拟机识别系统
CN111221628A (zh) 虚拟化平台上对虚拟机文件的安全检测方法及装置
CN111382440A (zh) 基于虚拟机实现的cpu漏洞检测方法及系统
CN111291368A (zh) Cpu漏洞的防御方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination