CN114792008A - 提权漏洞数据上报方法、装置、设备及存储介质 - Google Patents
提权漏洞数据上报方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114792008A CN114792008A CN202210721084.2A CN202210721084A CN114792008A CN 114792008 A CN114792008 A CN 114792008A CN 202210721084 A CN202210721084 A CN 202210721084A CN 114792008 A CN114792008 A CN 114792008A
- Authority
- CN
- China
- Prior art keywords
- information
- privilege
- reporting
- identification information
- executable file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开涉及一种提权漏洞数据上报方法、装置、设备及存储介质。本公开实施例,通过获取系统内核层中的进程的标识信息,然后基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息,最后将提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息上报给服务器,可以使后台服务器基于应用程序的名称以及可执行文件的信息对提权漏洞进行快速准确定位和处理。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及一种提权漏洞数据上报方法、装置、设备及存储介质。
背景技术
权限控制是系统安全的基石,一旦这道门槛被突破,任何防御措施都是无效的。提权是指一个低权限、受限制很多的用户,通过提权操作可以提升在系统中的权限(如提升至管理员权限),提权漏洞攻击即为黑客可利用系统的提权漏洞提升自身权限,一旦黑客的权限提升至系统的最高权限(如管理员权限),则黑客可以控制系统内的任何文件,黑客可以种植木马、控制机器、对系统内的任何文件进行操作,使得系统处于非常不安全的状态,直接威胁到用户的信息安全。
目前,可以将提权行为数据上报给后台服务器,由后台服务器根据提权行为数据来定位和处理提权漏洞,但是上报的数据范围比较局限,使后台服务器无法对提权漏洞进行快速准确定位。
发明内容
为了解决上述技术问题,本公开提供了一种提权漏洞数据上报方法、装置、设备及存储介质。
本公开实施例的第一方面提供了一种提权漏洞数据上报方法,该方法包括:
获取系统内核层中的进程的标识信息;
基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息;
将应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例的第二方面提供了一种提权漏洞数据上报装置,该装置包括:
获取模块,用于获取系统内核层中的进程的标识信息;
确定模块,用于基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息;
上报模块,用于将应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例的第三方面提供了一种计算机设备,该设备包括:
存储器和处理器,其中,存储器中存储有计算机程序,当计算机程序被处理器执行时,可以实现上述第一方面的提权漏洞数据上报方法。
本公开实施例的第四方面提供了一种计算机可读存储介质,存储介质中存储有计算机程序,当计算机程序被处理器执行时,可以实现上述第一方面的提权漏洞数据上报方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例,通过获取系统内核层中的进程的标识信息,然后基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息,最后将提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息上报给服务器,可以使后台服务器基于应用程序的名称以及可执行文件的信息对提权漏洞进行快速准确定位和处理。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种提权漏洞数据上报方法的流程图;
图2是本公开实施例提供的另一种提权漏洞数据上报方法的流程图;
图3是本公开实施例提供的又一种提权漏洞数据上报方法的流程图;
图4是本公开实施例提供的一种提权漏洞数据上报装置的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
权限控制是系统安全的基石,一旦这道门槛被突破,任何防御措施都是无效的。提权是指一个低权限、受限制很多的用户,通过提权操作可以提升在系统中的权限(如提升至管理员权限),提权漏洞攻击即为黑客可利用系统的提权漏洞提升自身权限,一旦黑客的权限提升至系统的最高权限(如管理员权限),则黑客可以控制系统内的任何文件,黑客可以种植木马、控制机器、对系统内的任何文件进行操作,使得系统处于非常不安全的状态,直接威胁到用户的信息安全。
目前,可以将提权行为数据上报给后台服务器,由后台服务器根据提权行为数据来定位和处理提权漏洞,但是上报的数据范围比较局限,使后台服务器无法对提权漏洞进行快速准确定位。
针对相关技术在提权漏洞数据上报方面存在的缺陷,本公开实施例提供了一种提权漏洞数据上报方法、装置、设备及存储介质,可以将提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息上报给服务器,可以使后台服务器基于应用程序的名称以及可执行文件的信息对提权漏洞进行快速准确定位。
本公开实施例提供的提权漏洞数据上报方法,可以由一种计算机设备来执行,该设备可以被理解为任意一种具有处理能力和计算能力的设备,该设备可以包括但不限于诸如智能手机、笔记本电脑、个人数字助理(PDA)、平板电脑(PAD)、便携式多媒体播放器(PMP)、车载终端(例如车载导航终端)、可穿戴设备等的移动终端,以及诸如数字TV、台式计算机、智能家居设备等的固定电子设备。
为了更好的理解本公开实施例的发明构思,下面结合示例性的实施例对本公开实施例的技术方案进行说明。
图1是本公开实施例提供的一种提权漏洞数据上报方法的流程图,如图1所示,本实施例提供的提权漏洞数据上报方法可以包括步骤110-130:
步骤110、获取系统内核层中的进程的标识信息。
本公开实施例中的系统可以理解为操作系统,操作系统是管理计算机硬件与软件资源的计算机程序,负责处理任务的调度、资源的分配和管理,可以处理如管理与配置内存、决定系统资源供需的优先次序、控制输入设备与输出设备、操作网络与管理文件系统等基本事务,也可以提供一个让用户与系统交互操作的界面。本公开实施例对操作系统的类型不做限定,例如可以包括安卓(Android)操作系统等。
本公开实施例中,操作系统的内核一般是基于Linux内核实现的,操作系统通常会将内存空间划分成用户层即使用者空间(User space)与内核层即核心空间(Kernelspace)这两个区块。操作系统和驱动程序运行在内核层,应用程序运行在用户层。内核层可以理解为操作系统和驱动程序占据的内存区域,操作系统和驱动程序运行在内核层,操作系统的数据存放于内核层。用户层可以理解为用户进程所在的内存区域,应用程序运行在用户层,用户进程的数据存放于用户层,由此,可以将用户数据和系统数据进行隔离,保证系统的稳定性。
本公开实施例中,进程可以理解为一个具有一定独立功能的程序在一个数据集上的一次动态执行的过程,是操作系统进行资源分配和调度的一个独立单位,是应用程序运行的载体。应用程序可以理解为具有某种功能的程序,应用程序需要运行于操作系统之上才能实现特定功能。
本公开实施例中,内核层和用户层之间的进程间通信可以通过预设的数据传输通道进行,预设的数据传输通道是内核层和用户层之间的通信管道,用于在内核层和用户层之间进行数据传输和通信,是计算机设备的系统在启动后进行初始化时,在内核层的初始化阶段创建的,预设的数据传输通道可以通过套接字实现,也可以通过系统调用实现,本公开实施例不作具体限定。
在一些实施例中,内核层和用户层之间预设的数据传输通道可以是基于Netlink套接字机制实现的数据传输通道,Netlink套接字是一种特殊的应用在内核层和用户层进行进程间数据传输的通信接口,Netlink套接字可以在内核层和用户层提供一种全双工通信方式,通过异步通信机制,实现内核层和用户层的数据交换和相互通信。具体的,Netlink套接字被创建后,计算机设备可以在内核层中分配该Netlink套接字的输入缓冲区,并在用户层中分配该Netlink套接字的输出缓冲区,以对在Netlink套接字中传输的数据进行异步收发。一旦传输数据被写入到Netlink套接字的输入缓冲区,即可返回发送成功,不管传输数据有没有到达用户层,也不管传输数据何时被发送到用户层,而是由Netlink套接字中的传输协议将传输数据从输入缓冲区发送到用户层的输出缓冲区,用户层的目标接收进程即可获取传输数据。
本公开实施例中,进程的标识信息可以理解为表征该进程身份的信息,可以包括实际用户标识(real user ID,UID)、有效用户标识(effective user ID,EUID)、真实用户标识(Real User Identification,RUID)、文件系统用户标识(file set user ID,FSUID)、全局唯一标识符(Globally Unique Identifier,GUID)、设置用户标识(set user ID,SUID)、进程标识(Process Identification,PID)等中的至少一种。
本公开实施例中,计算机设备可以通过用户层基于预设的数据传输通道获取系统内核层中的进程的标识信息。在一些实施例中,计算机设备可以在用户层中建立监控应用,例如,Linux系统中的用户层轻量级ncp应用程序,基于监控应用,通过预设的数据传输通道获取系统内核层中的进程的标识信息。
在一些实施例中,当预设的数据传输通道为Netlink套接字时,计算机设备可以将进程的标识信息写入内核层中Netlink套接字的输入缓冲区实现将标识信息传入内核层与用户层之间的预设上报通道,然后由Netlink套接字中的传输协议将标识信息从输入缓冲区发送到用户层的输出缓冲区,用户层中的用户进程可以定期对用户层中Netlink套接字的输出缓冲区进行检测,当检测到输出缓冲区中存在发送给该用户进程的标识信息时,该用户进程即可获取输出缓存区中的标识信息。
步骤120、基于进程的标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息。
本公开实施例中的提权进程可以理解为进行提权操作的进程,提权操作可以理解为提升在系统中的权限(如提升至管理员权限)的操作。
在一些实施例中,提权进程可以是进行root权限的提权操作的进程,其中,root权限可以理解为系统权限的一种,也叫根权限,是系统中的超级管理员用户帐户,该帐户拥有整个系统至高无上的权力,可以操作系统的所有对象,获得root权限意味着已经获得了系统的最高权限,这时候可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查的操作。在进程有多个标识时,当至少一个标识为0时,可以确定该进程具有root权限,可以将该进程确定为提权进程。
本公开实施例中,应用程序的名称可以理解为应用程序的应用包名,计算机设备可以基于提权进程的标识信息,确定标识信息对应的应用程序的名称,具体的,可以通过用户层调用内核层的包管理相关接口查询标识信息对应的应用程序的名称,还可以通过用户层解析标识信息对应的包管理文件获得应用程序的名称,这里不作具体限定。
本公开实施例中,可执行文件可以理解为由操作系统进行加载执行的文件,可执行文件的信息可以包括计算机执行进程所需要的操作指令以及要用到的数据等。在不同的操作系统环境下,可执行文件的文件类型可能不一样,例如,在窗口(Windows)操作系统下,可执行文件可以是 .exe文件 .sys文件 .com等类型文件,在Linux操作系统下,可执行文件可以是可执行可链接格式(Executable and Linkable Format,ELF)等。
本公开实施例中,计算机设备可以基于提权进程的标识信息,在内核层中确定提权进程的标识信息对应的该提权进程运行的可执行文件的信息。
在一些实施例中,基于提权进程的标识信息,确定提权进程运行的可执行文件的信息,可以包括步骤121-123:
步骤121、基于提权进程的标识信息,在内核层中确定提权进程的进程结构体。
本公开实施例中的进程结构体(task_struct)可以理解为系统内核层中用来管理和维护进程相关信息的进程控制块,在Linux下内核层的进程控制块即为进程结构体,进程结构体是Linux内核中的一种数据结构,进程结构体中包含了一个进程所需的所有信息,在进程结构体中,可以存储以下信息:进程用户标识UID、有效用户编号EUID、真实用户标识RUID、用户文件系统权限标识FSUID、全局唯一标识符 GUID、进程标识PID、进程的状态(volatile long state)、设置用户标识SUID、进程的优先级、进程调度信息、进程通信有关信息(Inter Process Communication,IPC)、进程关系信息、时间信息、文件信息(包括进程运行的可执行文件的信息)、地址空间/虚拟内存信息、页面管理信息、对称对处理机信息、进程队列指针、上下文信息和信号量数据成员等信息。
本公开实施例中,进程的标识信息与进程的进程结构体是一一对应的,计算机设备在获得提权进程的标识信息后,可以基于提权进程的标识信息,例如进程标识PID,在内核层中查找该标识信息对应的进程结构体,确定该提权进程对应的进程结构体。
步骤122、从进程结构体中获取提权进程运行的可执行文件的信息。
本公开实施例中,计算机设备在确定提权进程对应的进程结构体之后,可以从进程结构体中的文件信息中获取该提权进程运行的可执行文件的信息。
步骤130、将应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例中的服务器可以理解为可以进行提权漏洞分析和处理的一种计算机。
本公开实施例中,计算机设备在获得提权进程对应的应用程序的名称和可执行文件的信息之后,可以与服务器建立通信连接,通过用户层将应用程序的名称和可执行文件的信息上报给服务器,服务器中对应有人工或自动的分析机制,可以对应用程序的名称和可执行文件的信息进行分析处理,从中快速定位出计算机设备中具有提权漏洞的应用程序以及提权漏洞利用的文件,分析漏洞的利用逻辑,消除漏洞对计算机设备的安全性造成的影响,进一步改进和优化应用程序,以提升计算机设备的安全性。
在一些实施例中,将应用程序的名称和可执行文件的信息上报给服务器,可以包括步骤1311-1312:
步骤1311、基于提权进程的风险等级,确定应用程序的名称和可执行文件的信息的上报顺序。
本公开实施例中,计算机设备在获得提权进程对应的应用程序的名称和可执行文件的信息之后,可以根据提权进程对系统安全造成的危害大小确定提权进程的风险等级,危害越大,风险等级越高,然后根据提权进程的风险等级由高到低的顺序,确定应用程序的名称和可执行文件的信息的上报顺序,风险等级越高,上报顺序越靠前。
步骤1312、按照上报顺序,将应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例中,计算机设备在确定应用程序的名称和可执行文件的信息的上报顺序之后,可以按照上报顺序,将应用程序的名称和可执行文件的信息上报给服务器,以使服务器优先处理风险等级较高的提权漏洞,合理分配漏洞处理资源。
在另一些实施例中,计算机设备在获得提权进程对应的应用程序的名称和可执行文件的信息之后,还可以将提权进程的风险等级、应用程序的名称和可执行文件的信息上报给服务器,以使服务器按照风险等级由高到低的顺序,基于应用程序的名称和可执行文件的信息进行提权漏洞的分析处理,优先处理风险等级较高的提权漏洞,合理分配漏洞处理资源。
本公开实施例,通过获取系统内核层中的进程的标识信息,然后基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息,最后将提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息上报给服务器,可以使后台服务器基于应用程序的名称以及可执行文件的信息对提权漏洞进行快速准确定位和处理。
在本公开的另一些实施例中,内核层中的一些安全进程进行提权操作的目的是保护系统安全或保证系统正常运行的必要操作,例如某些系统安全应用中的进程,为了避免将这些安全进程识别为恶意提权进程,计算机设备可以预先建立安全白名单,安全白名单内可以包括安全进程的标识信息,计算机设备在将应用程序的名称和可执行文件的信息上报给服务器之前,可以判断该提权进程的标识信息是否为安全白名单内的标识信息,若该提权进程的标识信息为安全白名单内的标识信息,则停止将提权进程对应的应用程序的名称和可执行文件的信息上报给服务器,若该提权进程的标识信息不是安全白名单内的标识信息,则将提权进程对应的应用程序的名称和可执行文件的信息上报给服务器。
由此,可以避免提权漏洞数据的误报,保证提权漏洞数据上报的准确性。
图2是本公开实施例提供的一种提权漏洞数据上报方法的流程图,如图2所示,本实施例提供的提权漏洞数据上报方法可以包括步骤210-250:
步骤210、获取系统内核层中的进程包含的线程的标识信息。
本公开实施例中的线程可以理解为操作系统能够进行运算调度的最小单位,线程是进程中的实际运作单位。一条线程可以是进程中一个单一顺序的控制流,一个进程中可以包括多个线程,多个线程可以并行执行不同的任务。
本公开实施例中,计算机设备可以通过用户层基于预设的数据传输通道获取系统内核层中的进程包含的线程的标识信息。
步骤220、基于线程的标识信息,确定内核层中的提权线程。
本公开实施例中,线程的标识信息可以理解为表征该线程身份的信息,可以包括实际用户标识UID、有效用户标识EUID、真实用户标识RUID、文件系统用户标识FSUID、全局唯一标识符GUID、设置用户标识SUID、线程标识(Thread Identification,TID)等中的至少一种。
本公开实施例中的提权线程可以理解为进行提权操作的线程。
本公开实施例中,计算机设备在获取线程的标识信息之后,可以基于线程的标识信息,确定内核层中的提权线程。
在一些实施例中,在线程有多个标识时,当至少一个标识为0时,可以确定该线程具有root权限,可以将该线程确定为提权线程。
步骤230、将包含提权线程的进程确定为提权进程。
本公开实施例中,计算机设备在确定内核层中的提权线程之后,可以将包含提权线程的进程确定为提权进程。
步骤240、基于提权进程的标识信息,确定提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息。
本公开实施例中的内容可以参考上述步骤120的内容,这里不再赘述。
步骤250、将应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例中的内容可以参考上述步骤130的内容,这里不再赘述。
本公开实施例,通过获取系统内核层中的进程包含的线程的标识信息,基于线程的标识信息,确定内核层中的提权线程,然后将包含提权线程的进程确定为提权进程,接着基于提权进程的标识信息,确定提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息,最后将应用程序的名称和可执行文件的信息上报给服务器,可以使后台服务器基于应用程序的名称以及可执行文件的信息对提权漏洞进行快速准确定位和处理。
图3是本公开实施例提供的一种提权漏洞数据上报方法的流程图,如图3所示,本实施例提供的提权漏洞数据上报方法可以包括步骤310-350:
步骤310、获取系统内核层中的进程的标识信息。
本公开实施例中的内容可以参考上述步骤110的内容,这里不再赘述。
步骤320、基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息。
本公开实施例中的内容可以参考上述步骤120的内容,这里不再赘述。
步骤330、展示系统中存在提权进程的提示信息,提示信息中包括提权进程的信息。
本公开实施例中,计算机设备在确定内核层中的提权进程之后,可以在显示界面中向用户展示系统中存在提权进程的提示信息。在一些实施例中,计算机设备还可以在用户层的监控应用中展示系统中存在提权进程的提示信息。
其中,提示信息中可以包括该提权进程的信息,提权进程的信息可以包括提权进程的名称、提权进程的风险等级等信息,这里不作具体限定。由此,可以提示用户系统中有提权进程发生,以便用户采取相应的安全措施。
步骤340、接收用户的选择操作,采取选择操作对应的安全措施对提权进程进行处理。
本公开实施例中,计算机设备在展示系统中存在提权进程的提示信息之后,还可以在显示界面内显示相应的安全措施选项,例如,查杀选项、查杀并强制重启选项等,计算机设备可以接收用户的选择操作,采取选择操作对应的安全措施对提权进程进行处理,若用户选择查杀选项,则计算机设备可以通过内核层对提权进程进行查杀处理,例如,可以通过内核层调用进程查杀函数发送强制自杀指令至提权进程,以结束该提权进程;若用户选择查杀并强制重启选项,则计算机设备通过内核层对提权进程进行查杀处理之后可以自动进行重启,由此,可以在保证系统安全性的同时,提高用户的使用体验。
步骤350、将应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例中的内容可以参考上述步骤130的内容,这里不再赘述。
本公开实施例,通过获取系统内核层中的进程的标识信息,基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息,展示系统中存在提权进程的提示信息,提示信息中包括提权进程的信息,接收用户的选择操作,采取选择操作对应的安全措施对提权进程进行处理,将应用程序的名称和可执行文件的信息上报给服务器,可以在保证系统安全性的同时,提高用户的使用体验,同时使后台服务器基于应用程序的名称以及可执行文件的信息对提权漏洞进行快速准确定位和处理。
在本公开的另一些实施例中,计算机设备在基于标识信息,确定内核层中的提权进程之后,还可以直接通过内核层对提权进程进行查杀处理,例如,可以通过内核层调用进程查杀函数发送强制自杀指令至提权进程,以结束该提权进程,保证系统的安全性。
图4是本公开实施例提供的一种提权漏洞数据上报装置的结构示意图,该装置可以被理解为上述计算机设备或者上述计算机设备中的部分功能模块。如图4所示,该提权漏洞数据上报装置400可以包括:
获取模块410,用于获取系统内核层中的进程的标识信息;
确定模块420,用于基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息;
上报模块430,用于将应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例,通过获取模块获取系统内核层中的进程的标识信息,然后确定模块基于标识信息,确定内核层中的提权进程、提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息,最后上报模块将提权进程对应的应用程序的名称以及提权进程运行的可执行文件的信息上报给服务器,可以使后台服务器基于应用程序的名称以及可执行文件的信息对提权漏洞进行快速准确定位和处理。
可选的,上述提权漏洞数据上报装置400还可以包括:
展示模块,用于展示系统中存在提权进程的提示信息,提示信息中包括提权进程的信息。
可选的,上述确定模块420可以包括:
第一确定子模块,用于在进程有多个标识时,将至少一个标识为0的进程确定为提权进程。
可选的,上述获取模块410可以包括:
第一获取子模块,用于获取系统内核层中的进程包含的线程的标识信息;
上述确定模块420还可以包括:
第二确定子模块,用于基于线程的标识信息,确定内核层中的提权线程;
第三确定子模块,用于将包含提权线程的进程确定为提权进程。
可选的,上述确定模块420可以包括:
第四确定子模块,用于基于提权进程的标识信息,在内核层中确定提权进程的进程结构体;
第二获取子模块,用于从进程结构体中获取提权进程运行的可执行文件的信息。
可选的,上述上报模块430可以包括:
第五确定子模块,用于基于提权进程的风险等级,确定应用程序的名称和可执行文件的信息的上报顺序;
第一上报子模块,用于按照上报顺序,将应用程序的名称和可执行文件的信息上报给服务器。
可选的,上述上报模块430还可以包括:
第二上报子模块,用于将提权进程的风险等级、应用程序的名称和可执行文件的信息上报给服务器。
本公开实施例提供的提权漏洞数据上报装置可以实现上述任一实施例的方法,其执行方式和有益效果类似,在这里不再赘述。
本公开实施例还提供一种计算机设备,该计算机设备包括处理器和存储器,其中,存储器中存储有计算机程序,当该计算机程序被该处理器执行时可以实现上述任一实施例的方法,其执行方式和有益效果类似,在这里不再赘述。
本公开实施例提供的计算机设备可以被理解为任意一种具有处理能力和计算能力的设备,该设备可以包括但不限于诸如智能手机、笔记本电脑、个人数字助理(PDA)、平板电脑(PAD)、便携式多媒体播放器(PMP)、车载终端(例如车载导航终端)、可穿戴设备等的移动终端,以及诸如数字TV、台式计算机、智能家居设备等的固定电子设备。
本公开实施例提供了一种计算机可读存储介质,该存储介质中存储有计算机程序,当该计算机程序被处理器执行时,可以实现上述任一实施例的方法,其执行方式和有益效果类似,在这里不再赘述。
上述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
上述计算机程序可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算机设备上部分在远程计算机设备上执行、或者完全在远程计算机设备或服务器上执行。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种提权漏洞数据上报方法,其特征在于,包括:
获取系统内核层中的进程的标识信息;
基于所述标识信息,确定所述内核层中的提权进程、所述提权进程对应的应用程序的名称以及所述提权进程运行的可执行文件的信息;
将所述应用程序的名称和所述可执行文件的信息上报给服务器。
2.根据权利要求1所述的方法,其特征在于,所述基于所述标识信息,确定所述内核层中的提权进程之后,所述方法还包括:
展示系统中存在提权进程的提示信息,所述提示信息中包括所述提权进程的信息。
3.根据权利要求1所述的方法,其特征在于,所述基于所述标识信息,确定所述内核层中的提权进程,包括:
在所述进程有多个标识时,将至少一个标识为0的进程确定为提权进程。
4.根据权利要求1所述的方法,其特征在于,所述获取系统内核层中的进程的标识信息,包括:
获取系统内核层中的进程包含的线程的标识信息;
所述基于所述标识信息,确定所述内核层中的提权进程,包括:
基于所述线程的标识信息,确定所述内核层中的提权线程;
将包含所述提权线程的进程确定为提权进程。
5.根据权利要求1所述的方法,其特征在于,所述基于所述标识信息,确定所述提权进程运行的可执行文件的信息,包括:
基于所述提权进程的标识信息,在所述内核层中确定所述提权进程的进程结构体;
从所述进程结构体中获取所述提权进程运行的可执行文件的信息。
6.根据权利要求1所述的方法,其特征在于,所述将所述应用程序的名称和所述可执行文件的信息上报给服务器,包括:
基于所述提权进程的风险等级,确定所述应用程序的名称和所述可执行文件的信息的上报顺序;
按照所述上报顺序,将所述应用程序的名称和所述可执行文件的信息上报给服务器。
7.根据权利要求1所述的方法,其特征在于,所述将所述应用程序的名称和所述可执行文件的信息上报给服务器,还包括:
将所述提权进程的风险等级、所述应用程序的名称和所述可执行文件的信息上报给服务器。
8.一种提权漏洞数据上报装置,其特征在于,包括:
获取模块,用于获取系统内核层中的进程的标识信息;
确定模块,用于基于所述标识信息,确定所述内核层中的提权进程、所述提权进程对应的应用程序的名称以及所述提权进程运行的可执行文件的信息;
上报模块,用于将所述应用程序的名称和所述可执行文件的信息上报给服务器。
9.一种计算机设备,其特征在于,包括:
存储器和处理器,其中,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器执行时,实现如权利要求1-7中任一项所述的提权漏洞数据上报方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1-7中任一项所述的提权漏洞数据上报方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210721084.2A CN114792008A (zh) | 2022-06-24 | 2022-06-24 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210721084.2A CN114792008A (zh) | 2022-06-24 | 2022-06-24 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114792008A true CN114792008A (zh) | 2022-07-26 |
Family
ID=82463056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210721084.2A Pending CN114792008A (zh) | 2022-06-24 | 2022-06-24 | 提权漏洞数据上报方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114792008A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105303111A (zh) * | 2015-10-16 | 2016-02-03 | 珠海市君天电子科技有限公司 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
| CN109271789A (zh) * | 2018-09-27 | 2019-01-25 | 珠海市君天电子科技有限公司 | 恶意进程检测方法、装置、电子设备及存储介质 |
| CN111783081A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种恶意进程处理方法、终端设备及存储介质 |
| CN111783089A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种追溯恶意进程的方法、装置及存储介质 |
| CN111782416A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 数据上报方法、装置、系统、终端及计算机可读存储介质 |
-
2022
- 2022-06-24 CN CN202210721084.2A patent/CN114792008A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105303111A (zh) * | 2015-10-16 | 2016-02-03 | 珠海市君天电子科技有限公司 | 一种用户终端中恶意进程的识别方法、装置及用户终端 |
| CN109271789A (zh) * | 2018-09-27 | 2019-01-25 | 珠海市君天电子科技有限公司 | 恶意进程检测方法、装置、电子设备及存储介质 |
| CN111783081A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种恶意进程处理方法、终端设备及存储介质 |
| CN111783089A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种追溯恶意进程的方法、装置及存储介质 |
| CN111782416A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 数据上报方法、装置、系统、终端及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10949247B2 (en) | Systems and methods for auditing a virtual machine | |
| US7293251B2 (en) | Initiating and debugging a process in a high assurance execution environment | |
| US9177129B2 (en) | Devices, systems, and methods for monitoring and asserting trust level using persistent trust log | |
| US20220091911A1 (en) | Method and apparatus for inter-process communication, and computer device | |
| US7797702B1 (en) | Preventing execution of remotely injected threads | |
| US20160300044A1 (en) | Anti-debugging method | |
| US11100227B2 (en) | Security indication information configuration method and device | |
| US8438640B1 (en) | Method and apparatus for reverse patching of application programming interface calls in a sandbox environment | |
| CN111416811A (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| KR20170043438A (ko) | 컨테이너 기반의 가상화 시스템용 조작 포획 방법 및 장치 | |
| CN111782416A (zh) | 数据上报方法、装置、系统、终端及计算机可读存储介质 | |
| EP3436947B1 (en) | Secure driver platform | |
| CN111078367A (zh) | 一种请求处理方法、装置、电子设备和存储介质 | |
| US20150058926A1 (en) | Shared Page Access Control Among Cloud Objects In A Distributed Cloud Environment | |
| US9535713B2 (en) | Manipulating rules for adding new devices | |
| CN112463266A (zh) | 执行策略生成方法、装置、电子设备以及存储介质 | |
| EP3136278B1 (en) | Dynamically loaded code analysis device, dynamically loaded code analysis method, and dynamically loaded code analysis program | |
| US8707449B2 (en) | Acquiring access to a token controlled system resource | |
| CN114792008A (zh) | 提权漏洞数据上报方法、装置、设备及存储介质 | |
| CN107038388B (zh) | 一种多用户操作系统运行方法、装置及计算机设备 | |
| CN112464176B (zh) | 一种权限管理方法、装置、电子设备及存储介质 | |
| CN106203087B (zh) | 注入防护方法、系统、终端以及存储介质 | |
| CN114356870A (zh) | 跨设备数据分享方法及相关设备 | |
| CN111008375B (zh) | 一种数据保护方法及装置 | |
| CN115617496B (zh) | 用户模式与内核模式通信的方法、装置、电子设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220726 |