CN115794564A - 进程监视方法和计算机可读存储介质 - Google Patents
进程监视方法和计算机可读存储介质 Download PDFInfo
- Publication number
- CN115794564A CN115794564A CN202310075785.8A CN202310075785A CN115794564A CN 115794564 A CN115794564 A CN 115794564A CN 202310075785 A CN202310075785 A CN 202310075785A CN 115794564 A CN115794564 A CN 115794564A
- Authority
- CN
- China
- Prior art keywords
- program
- notification
- instruction
- driver
- thread
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 180
- 230000008569 process Effects 0.000 title claims abstract description 138
- 238000012544 monitoring process Methods 0.000 title claims abstract description 31
- 230000000903 blocking effect Effects 0.000 claims abstract description 21
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 10
- 238000004891 communication Methods 0.000 claims description 15
- 230000007246 mechanism Effects 0.000 claims description 9
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000002955 isolation Methods 0.000 claims description 6
- 238000011112 process operation Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 5
- 241000700605 Viruses Species 0.000 description 20
- 230000006870 function Effects 0.000 description 13
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 230000006378 damage Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及计算机安全技术领域,具体涉及一种进程监视方法和计算机可读存储介质,旨在提高处理效率。本发明的进程监视方法包括:监视程序接收驱动程序发来的通知,该通知中包括新创建的进程对应的程序文件路径;根据程序文件路径判断程序文件是否为恶意程序,并根据判断结果向驱动程序发送放行指令或阻止指令。其中,驱动程序用于注册进程创建回调函数,该回调函数用于向监视程序发送通知并暂停新创建的进程。在监视程序中,先由主线程接收通知并存储到环形队列中,再由队列读取线程每次读取一个通知,并创建对应的通知线程;然后由通知线程调用杀毒引擎对程序文件进行扫描并向驱动程序发送指令。本发明解决了同时启动多个进行时启动迟缓的问题。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及一种进程监视方法和计算机可读存储介质。
背景技术
随着windows系统的更新迭代,支持越来越多的操作和扩展,病毒不再是一个常规的文件,也可能是一段代码,一个伪装的正常文件,甚至是在安装杀毒软件之前就藏在用户电脑中的计划任务,在某个特定时间自动运行对用户产生威胁。
然而,杀毒软件传统的文件扫描、文件监视无法捕捉到病毒进程启动运行后带来的威胁,这类病毒尤其是近几年出现并愈加猖獗的勒索病毒依然会对用户的系统、文件造成很严重的破坏,所以需要一种主动拦截进程,并验证进程的防护手段来保护用户电脑的安全。
现有的进程启动拦截方案,虽然都可以做到拦截病毒进程,但实现效果和方式都不尽相同,比如:有些拦截方案为应用层监视拦截进程启动,这类应用层的进程拦截方案很容易被病毒针对性地破坏拦截机制使之失效;有些厂商在应用层的通知处理方案上只能实现一个任务处理完成再处理一个任务的操作,不够高效即时,在同时启动多个进程时可能产生进程启动迟缓甚至程序无响应,甚至影响到系统运行出现系统运行缓慢、蓝屏死机等问题。
发明内容
为了解决现有技术中的上述问题,本发明提出了一种进程监视方法和计算机可读存储介质,既解决了拦截机制容易被病毒破坏的问题,又解决了同时启动多个进程时启动迟缓的问题。
名词解释:
MINIFILTER驱动框架:微软公司对windows系统提供的一种包含文件过滤和驱动与应用程序通信接口的一整套驱动框架。
进程:运行在系统中的程序。
线程:运行在进程中的一个任务。
杀毒引擎:杀毒软件的核心,用来判断文件是否是病毒的一套独立程序。
本发明的第一方面,提出一种进程监视方法,所述方法适用于应用层的监视程序,所述方法包括:
所述监视程序接收驱动程序发来的通知,所述通知中包括新创建的进程对应的程序文件路径;
根据所述程序文件路径,判断所述程序文件是否为恶意程序,并根据判断结果向所述驱动程序发送放行指令或阻止指令;
其中,
所述驱动程序用于通过系统内核API注册进程创建回调函数,所述进程创建回调函数用于向所述监视程序发送所述通知,并暂停所述新创建的进程。
优选地,在所述进程创建回调函数中,向所述监视程序发送所述通知,并暂停所述新创建的进程,包括:
通过MINIFILTER的通信接口,向所述监视程序发送所述通知,并利用所述通信接口的等待机制在内核中暂停所述新创建的进程运行;
若在预设的时间长度内收到所述监视程序发来的所述放行指令或所述阻止指令,则对所述新创建的进程执行放行或阻止操作;否则,对所述新创建的进程执行阻止操作。
优选地,所述监视程序的常驻线程包括:主线程和队列读取线程;
所述监视程序接收驱动程序发来的通知,包括:
所述主线程接收驱动程序发来的通知;
所述根据所述程序文件路径,判断所述程序文件是否为恶意程序,并根据判断结果向所述驱动程序发送放行指令或阻止指令,包括:
所述主线程将所述通知存入环形队列中;
所述队列读取线程从所述环形队列中读取所述通知,并为每一个所述通知创建一个对应的通知线程,将所述通知传入对应的所述通知线程;
所述通知线程根据所述通知中包含的所述程序文件路径,判断所述程序文件是否为恶意程序,根据判断结果向所述驱动程序发送放行指令或阻止指令。
优选地,所述通知线程根据所述通知中包含的所述程序文件路径,判断所述程序文件是否为恶意程序,根据判断结果向所述驱动程序发送放行指令或阻止指令,包括:
所述通知线程根据所述程序文件路径,调用杀毒引擎扫描所述程序文件;
根据扫描结果确定所述程序文件是否为恶意程序;
若所述程序文件为恶意程序,则向所述驱动程序发送阻止指令并向用户发出告警提示信息,或者向用户发送询问信息并获取用户输入指令发送到所述驱动程序;
若所述程序文件为正常程序,则向所述驱动程序发送所述放行指令;
其中,所述用户输入指令包括:所述放行指令或所述阻止指令。
优选地,所述监视程序的常驻线程还包括:界面显示线程;
所述若所述程序文件为恶意程序,则向所述驱动程序发送阻止指令并向用户发出告警提示信息,或者向用户发送询问信息并获取用户输入指令发送到所述驱动程序,包括:
若所述程序文件为恶意程序,则
所述通知线程向所述驱动程序发送阻止指令,并向所述界面显示线程发送告警提示信息;或者,
所述通知线程向所述界面显示线程发送询问信息;
接收所述界面显示线程返回的所述用户输入指令;
向所述驱动程序发送所述用户输入指令;
所述界面显示线程配置为:根据所述告警提示信息或所述询问信息分别弹出告警提示窗口或询问窗口,并通过所述询问窗口获取所述用户输入指令,将所述用户输入指令发送到对应的所述通知线程。
优选地,所述驱动程序若接收到所述放行指令,则允许对应的所述新创建的进程继续运行;
所述驱动程序若接收到所述阻止指令,则结束对应的所述新创建的进程运行,并将对应的所述程序文件隔离或删除;
多个所述通知线程并行执行,所述界面显示线程能够同时显示多个所述告警提示窗口或所述询问窗口。
优选地,所述方法还包括:
所述队列读取线程将已读取的所述通知从所述环形队列中删除,并读取下一个所述通知。
本发明的第二方面,提出另一种进程监视方法,所述方法适用于驱动程序,所述方法包括:
所述驱动程序通过系统内核API注册进程创建回调函数,所述进程创建回调函数用于向监视程序发送通知,并暂停新创建的进程;其中,所述通知包括所述新创建的进程所对应的程序文件路径;
接收所述监视程序发送的放行指令或阻止指令,进而允许所述新创建的进程继续运行,或者对该进程对应的所述程序文件执行隔离或删除操作;
其中,所述监视程序用于根据所述程序文件路径,判断所述程序文件是否为恶意程序,并向所述驱动程序发送所述放行指令或所述阻止指令。
优选地,在所述进程创建回调函数中,向所述监视程序发送所述通知,并暂停所述新创建的进程,包括:
通过MINIFILTER的通信接口,向所述监视程序发送所述通知,并利用所述通信接口的等待机制在内核中暂停所述新创建的进程运行;
若在预设的时间长度内收到所述监视程序发来的所述放行指令或所述阻止指令,则对所述新创建的进程执行放行或阻止操作;否则,对所述新创建的进程执行阻止操作。
本发明的第三方面,提出一种计算机可读存储介质,存储有能够被处理器加载并执行如上面所述方法的计算机程序。
与最接近的现有技术相比,本发明具有如下有益效果:
本发明通过在驱动程序中拦截进程启动,暂停进程运行,然后在应用层的监视程序中通过杀毒引擎扫描程序文件是否为恶意程序,从而决定是否阻止进程运行并隔离删除程序文件。本发明一方面不容易被病毒程序破坏拦截机制,可以有效地防护病毒程序启动后给用户带来的破坏。另一方面,通过对启动通知的并行处理,能够保证启动即拦截,快速扫描查杀,并弹窗通知用户,有效防止自启动型病毒的破坏,解决了多个进程同时启动时运行缓慢、甚至导致系统死机的问题。
附图说明
图1是本发明的进程监视方法实施例一的主要步骤示意图;
图2是本发明的进程监视方法实施例二的主要步骤示意图;
图3是本发明的进程监视方法实施例三的主要步骤示意图;
图4是本发明的进程监视方法实施例四的主要步骤示意图。
具体实施方式
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅用于解释本发明的技术原理,并非旨在限制本发明的保护范围。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本申请的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明的描述中,术语“第一”、“第二”仅仅是为了便于描述,而不是指示或暗示所述装置、元件或参数的相对重要性,因此不能理解为对本发明的限制。另外,本发明中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本发明提供了一种windows进程防护的并行高效监视通知技术,本发明的原理是利用MINIFILTER驱动通信框架与应用层通信并接收应用层的指令做相应处置。该发明的关键点是内核中对进程并行拦截和应用层多任务并行处理通知用户。
图1是本发明的进程监视方法实施例一的主要步骤示意图。如图1所示,本实施例的进程监视方法适用于应用层的监视程序,包括步骤A10-A20:
步骤A10,监视程序接收驱动程序发来的通知。
其中,驱动程序用于通过系统内核API注册进程创建回调函数。当有新创建的进程出现时,该回调函数会被运行。由进程创建回调函数向监视程序发送通知,并暂停新创建的进程运行。发送给监视程序的通知中包括新创建的进程对应的程序文件路径。
具体地,在进程创建回调函数中,向监视程序发送通知,并暂停新创建的进程,包括如下步骤(1)-(2):
(1)通过MINIFILTER的通信接口,向监视程序发送通知,并利用通信接口的等待机制在内核中暂停新创建的进程运行。
(2)若在预设的时间长度内收到监视程序发来的放行指令或阻止指令,则对新创建的进程执行放行或阻止操作;否则,对新创建的进程执行阻止操作。
驱动程序若接收到放行指令,则允许对应的新创建的进程继续运行;驱动程序若接收到阻止指令,则结束对应的新创建的进程运行,并将对应的程序文件隔离或删除。
步骤A20,根据程序文件路径,判断程序文件是否为恶意程序,并根据判断结果向驱动程序发送放行指令或阻止指令。
向驱动程序发送放行指令或阻止指令,也可以通过MINIFILTER的通信接口来发送。
图2是本发明的进程监视方法实施例二的主要步骤示意图。本实施例中监视程序的常驻线程包括:主线程和队列读取线程。如图2所示,本实施例的进程监视方法包括步骤B10-B40:
步骤B10,主线程接收驱动程序发来的通知。
步骤B20,主线程将通知存入环形队列中。
步骤B30,队列读取线程从环形队列中读取通知,并为每一个通知创建一个对应的通知线程,将通知传入对应的通知线程。
之后,队列读取线程将已读取的通知从环形队列中删除,并读取下一个通知。若环形队列中有多个通知,就会创建多个通知线程,这些通知线程可以并行运行。
步骤B40,通知线程根据通知中包含的程序文件路径,判断程序文件是否为恶意程序,根据判断结果向驱动程序发送放行指令或阻止指令。该步骤可以具体包括步骤B41-B44:
步骤B41,通知线程根据程序文件路径,调用杀毒引擎扫描程序文件。
步骤B42,根据扫描结果确定程序文件是否为恶意程序。
步骤B43,若程序文件为恶意程序,则向驱动程序发送阻止指令并向用户发出告警提示信息,或者向用户发送询问信息并获取用户输入指令发送到驱动程序。
其中,用户输入指令包括:放行指令或阻止指令。
步骤B44,若程序文件为正常程序,则向驱动程序发送放行指令,允许该程序文件对应的进程继续运行。
图3是本发明的进程监视方法实施例三的主要步骤示意图。本实施例中监视程序的常驻线程包括:主线程、队列读取线程和界面显示线程。本实施例的方法包括步骤C10-C70:
步骤C10,主线程接收驱动程序发来的通知。
步骤C20,主线程将通知存入环形队列中。
步骤C30,队列读取线程从环形队列中读取通知,并为每一个通知创建一个对应的通知线程,将通知传入对应的通知线程。
之后,队列读取线程将已读取的通知从环形队列中删除,并读取下一个通知。若环形队列中有多个通知,就会创建多个通知线程,这些通知线程可以并行运行。
步骤C40,通知线程根据程序文件路径,调用杀毒引擎扫描程序文件。
步骤C50,根据扫描结果确定程序文件是否为恶意程序。
步骤C60,若程序文件为恶意程序,则通知线程向驱动程序发送阻止指令并向界面显示线程发送告警提示信息;或者,通知线程向界面显示线程发送询问信息,接收界面显示线程返回的用户输入指令并发送给驱动程序。
其中,用户输入指令包括:放行指令或阻止指令。
界面显示线程配置为:根据告警提示信息或询问信息分别弹出告警提示窗口或询问窗口,并通过询问窗口获取用户输入指令,将用户输入指令发送到对应的所述通知线程。如果是告警提示信息的话,就不需要用户输入指令了。
界面显示线程能够同时显示多个告警提示窗口或询问窗口,即便用户没有及时处理,也不会影响后续窗口的弹出。
当界面显示线程接收到询问信息时,会弹出询问窗口通知用户并显示出当前进程及病毒程序文件路径,由用户操作放行还是阻止运行并隔离或删除,在询问窗口中可以有倒计时(等待预设的时间长度),给用户提供一定操作时间,而不会无限期让一个进程处于拦截(暂停)等待中,默认操作为阻止(结束进程运行)并隔离删除。当用户输入相应指令后就会响应到驱动程序中,驱动程序会根据用户输入指令通知驱动对暂停的进程做结束操作或放行,如果为结束操作还会将程序文件路径放到另一个队列中进行隔离删除。
步骤C70,若程序文件为正常程序,则向驱动程序发送放行指令,允许该程序文件对应的进程继续运行。
上述实施例中虽然将各个步骤按照上述先后次序的方式进行了描述,但是本领域技术人员可以理解,为了实现本实施例的效果,不同的步骤之间不必按照这样的次序执行,其可以同时(并行)执行或以颠倒的次序执行,这些简单的变化都在本发明的保护范围之内。
应用场景例子描述:
用户在系统中启动了某个下载程序,这个下载程序是由两个执行程序(.exe)组成,启动时会运行两个进程,进程1为界面显示程序,进程2为下载服务进程,两个进程几乎同时启动,这里可以认为进程1优先一些,这时进程1会被驱动程序监视拦截下来,通知给应用层的监视程序,进而由杀毒引擎进行扫描,同时进程2也启动了,驱动程序依旧会监视拦截下来,并通知给应用层由杀毒引擎进行扫描,此时进程1还处于被拦截的阻塞状态,杀毒引擎如果扫描发现进程1是病毒,就会通知给界面显示线程弹出询问窗口,并提示用户阻止程序启动,此时进程1仍处于被阻塞状态,引擎在被调用来扫描进程2时,不会等待进程1扫描结束再扫描进程2,会同时扫描进程2。如果进程2不是病毒,驱动将不再拦截,会放行进程2,让进程2正常运行,针对进程1则会根据用户输入的阻止指令结束进程,进程1的程序文件也将被清除。
如果进程1、进程2都是病毒,则进程1被通知用户,用户还没来得及操作时还将会收到进程2的病毒拦截通知,这时会有两个拦截通知窗口让用户操作,用户可以对进程1、进程2都结束并清除,驱动会根据用户的选择结束对应的进程,并同步地清除病毒文件;也可以两个都放行,这时驱动程序会根据用户选择的放行程序(即输入放行指令),放开对应下载程序的拦截,让该下载程序正常运行。
图4是本发明的进程监视方法实施例四的主要步骤示意图。本实施例的方法适用于驱动程序,如图4所示,本实施例的方法包括步骤D10-D20:
步骤D10,驱动程序通过系统内核API注册进程创建回调函数。
其中,进程创建回调函数用于向监视程序发送通知,并暂停新创建的进程;通知中包括新创建的进程所对应的程序文件路径。
在进程创建回调函数中,向监视程序发送所述通知,并暂停新创建的进程,包括如下步骤(1)-(2):
(1)通过MINIFILTER的通信接口,向监视程序发送通知,并利用通信接口的等待机制在内核中暂停新创建的进程运行。
(2)若在预设的时间长度内收到监视程序发来的放行指令或阻止指令,则对新创建的进程执行放行或阻止操作;否则,对新创建的进程执行阻止操作。
步骤D20,接收监视程序发送的放行指令或阻止指令,进而允许新创建的进程继续运行,或者对该进程对应的程序文件执行隔离或删除操作。
其中,监视程序用于根据程序文件路径,判断程序文件是否为恶意程序,并向驱动程序发送放行指令或阻止指令。
基于上述进程监视方法,本发明还提供了一种计算机可读存储介质的实施例。本实施例的存储介质中存储有能够被处理器加载并执行如上面所述方法的计算机程序。
所述计算机可读存储介质例如:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案。但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
Claims (10)
1.一种进程监视方法,其特征在于,所述方法适用于应用层的监视程序,所述方法包括:
所述监视程序接收驱动程序发来的通知,所述通知中包括新创建的进程对应的程序文件路径;
根据所述程序文件路径,判断所述程序文件是否为恶意程序,并根据判断结果向所述驱动程序发送放行指令或阻止指令;
其中,
所述驱动程序用于通过系统内核API注册进程创建回调函数,所述进程创建回调函数用于向所述监视程序发送所述通知,并暂停所述新创建的进程。
2.根据权利要求1所述的进程监视方法,其特征在于,
在所述进程创建回调函数中,向所述监视程序发送所述通知,并暂停所述新创建的进程,包括:
通过MINIFILTER的通信接口,向所述监视程序发送所述通知,并利用所述通信接口的等待机制在内核中暂停所述新创建的进程运行;
若在预设的时间长度内收到所述监视程序发来的所述放行指令或所述阻止指令,则对所述新创建的进程执行放行或阻止操作;否则,对所述新创建的进程执行阻止操作。
3.根据权利要求1所述的进程监视方法,其特征在于,
所述监视程序的常驻线程包括:主线程和队列读取线程;
所述监视程序接收驱动程序发来的通知,包括:
所述主线程接收驱动程序发来的通知;
所述根据所述程序文件路径,判断所述程序文件是否为恶意程序,并根据判断结果向所述驱动程序发送放行指令或阻止指令,包括:
所述主线程将所述通知存入环形队列中;
所述队列读取线程从所述环形队列中读取所述通知,并为每一个所述通知创建一个对应的通知线程,将所述通知传入对应的所述通知线程;
所述通知线程根据所述通知中包含的所述程序文件路径,判断所述程序文件是否为恶意程序,根据判断结果向所述驱动程序发送放行指令或阻止指令。
4.根据权利要求3所述的进程监视方法,其特征在于,
所述通知线程根据所述通知中包含的所述程序文件路径,判断所述程序文件是否为恶意程序,根据判断结果向所述驱动程序发送放行指令或阻止指令,包括:
所述通知线程根据所述程序文件路径,调用杀毒引擎扫描所述程序文件;
根据扫描结果确定所述程序文件是否为恶意程序;
若所述程序文件为恶意程序,则向所述驱动程序发送阻止指令并向用户发出告警提示信息,或者向用户发送询问信息并获取用户输入指令发送到所述驱动程序;
若所述程序文件为正常程序,则向所述驱动程序发送所述放行指令;
其中,所述用户输入指令包括:所述放行指令或所述阻止指令。
5.根据权利要求4所述的进程监视方法,其特征在于,
所述监视程序的常驻线程还包括:界面显示线程;
所述若所述程序文件为恶意程序,则向所述驱动程序发送阻止指令并向用户发出告警提示信息,或者向用户发送询问信息并获取用户输入指令发送到所述驱动程序,包括:
若所述程序文件为恶意程序,则
所述通知线程向所述驱动程序发送阻止指令,并向所述界面显示线程发送告警提示信息;或者,
所述通知线程向所述界面显示线程发送询问信息;
接收所述界面显示线程返回的所述用户输入指令;
向所述驱动程序发送所述用户输入指令;
所述界面显示线程配置为:根据所述告警提示信息或所述询问信息分别弹出告警提示窗口或询问窗口,并通过所述询问窗口获取所述用户输入指令,将所述用户输入指令发送到对应的所述通知线程。
6.根据权利要求5所述的进程监视方法,其特征在于,
所述驱动程序若接收到所述放行指令,则允许对应的所述新创建的进程继续运行;
所述驱动程序若接收到所述阻止指令,则结束对应的所述新创建的进程运行,并将对应的所述程序文件隔离或删除;
多个所述通知线程并行执行,所述界面显示线程能够同时显示多个所述告警提示窗口或所述询问窗口。
7.根据权利要求3所述的进程监视方法,其特征在于,所述方法还包括:
所述队列读取线程将已读取的所述通知从所述环形队列中删除,并读取下一个所述通知。
8.一种进程监视方法,其特征在于,所述方法适用于驱动程序,所述方法包括:
所述驱动程序通过系统内核API注册进程创建回调函数,所述进程创建回调函数用于向监视程序发送通知,并暂停新创建的进程;其中,所述通知包括所述新创建的进程所对应的程序文件路径;
接收所述监视程序发送的放行指令或阻止指令,进而允许所述新创建的进程继续运行,或者对该进程对应的所述程序文件执行隔离或删除操作;
其中,所述监视程序用于根据所述程序文件路径,判断所述程序文件是否为恶意程序,并向所述驱动程序发送所述放行指令或所述阻止指令。
9.根据权利要求8所述的进程监视方法,其特征在于,
在所述进程创建回调函数中,向所述监视程序发送所述通知,并暂停所述新创建的进程,包括:
通过MINIFILTER的通信接口,向所述监视程序发送所述通知,并利用所述通信接口的等待机制在内核中暂停所述新创建的进程运行;
若在预设的时间长度内收到所述监视程序发来的所述放行指令或所述阻止指令,则对所述新创建的进程执行放行或阻止操作;否则,对所述新创建的进程执行阻止操作。
10.一种计算机可读存储介质,其特征在于,存储有能够被处理器加载并执行如权利要求1-9中任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310075785.8A CN115794564A (zh) | 2023-02-07 | 2023-02-07 | 进程监视方法和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310075785.8A CN115794564A (zh) | 2023-02-07 | 2023-02-07 | 进程监视方法和计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115794564A true CN115794564A (zh) | 2023-03-14 |
Family
ID=85430300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310075785.8A Pending CN115794564A (zh) | 2023-02-07 | 2023-02-07 | 进程监视方法和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115794564A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102081720A (zh) * | 2010-11-18 | 2011-06-01 | 腾讯科技(深圳)有限公司 | 一种实时防护中检测进程创建的方法及系统 |
| US20120079594A1 (en) * | 2010-09-27 | 2012-03-29 | Hyun Cheol Jeong | Malware auto-analysis system and method using kernel callback mechanism |
| CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
| CN103136472A (zh) * | 2011-11-29 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 一种防应用程序窃取隐私的方法及移动设备 |
| CN106022100A (zh) * | 2016-05-17 | 2016-10-12 | 北京金山安全软件有限公司 | 一种拦截恶意程序安装的方法、装置及电子设备 |
-
2023
- 2023-02-07 CN CN202310075785.8A patent/CN115794564A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120079594A1 (en) * | 2010-09-27 | 2012-03-29 | Hyun Cheol Jeong | Malware auto-analysis system and method using kernel callback mechanism |
| CN102081720A (zh) * | 2010-11-18 | 2011-06-01 | 腾讯科技(深圳)有限公司 | 一种实时防护中检测进程创建的方法及系统 |
| CN103136472A (zh) * | 2011-11-29 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 一种防应用程序窃取隐私的方法及移动设备 |
| CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
| CN106022100A (zh) * | 2016-05-17 | 2016-10-12 | 北京金山安全软件有限公司 | 一种拦截恶意程序安装的方法、装置及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 中公教育优就业研究院: "《云开雾散解锁Linux云计算:Linux运维基础》", 陕西科学技术出版社 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8397297B2 (en) | Method and apparatus for removing harmful software | |
| US8677491B2 (en) | Malware detection | |
| US8646080B2 (en) | Method and apparatus for removing harmful software | |
| US8239947B1 (en) | Method using kernel mode assistance for the detection and removal of threats which are actively preventing detection and removal from a running system | |
| US8621628B2 (en) | Protecting user mode processes from improper tampering or termination | |
| US8650578B1 (en) | System and method for intercepting process creation events | |
| US8959639B2 (en) | Method of detecting and blocking malicious activity | |
| US6779117B1 (en) | Authentication program for a computer operating system | |
| US7571482B2 (en) | Automated rootkit detector | |
| KR102075372B1 (ko) | 안전한 도메인과 덜 안전한 도메인을 갖는 데이터 처리장치에서의 예외처리 | |
| US6591379B1 (en) | Method and system for injecting an exception to recover unsaved data | |
| US20100077473A1 (en) | Api checking device and state monitor | |
| EP3502944B1 (en) | Detecting script-based malware cross reference to related applications | |
| KR20180018531A (ko) | 인터프리터 가상 머신을 이용한 행동 멀웨어 탐지 | |
| KR20050054818A (ko) | 보안관련 프로그래밍 인터페이스 | |
| KR20110084775A (ko) | 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법 | |
| EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
| US8776070B2 (en) | Method and apparatus having resistance to forced termination attack on monitoring program for monitoring a predetermined resource | |
| US11461465B1 (en) | Protection of kernel extension in a computer | |
| JP5472604B2 (ja) | プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム | |
| CN113486413A (zh) | 一种防截屏处理方法、计算设备及可读存储介质 | |
| CN115794564A (zh) | 进程监视方法和计算机可读存储介质 | |
| KR100673200B1 (ko) | 무선 단말기에서의 모바일 바이러스 감시 방법 및 그 시스템 | |
| KR20110057297A (ko) | 악성 봇 동적 분석 시스템 및 방법 | |
| US9003415B2 (en) | Method and apparatus having resistance to forced termination attack on monitoring program for monitoring a predetermined resource |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230314 |
|
| RJ01 | Rejection of invention patent application after publication |