CN116244677A - 提权检测方法、装置、电子设备及存储介质 - Google Patents

提权检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116244677A
CN116244677A CN202310147590.XA CN202310147590A CN116244677A CN 116244677 A CN116244677 A CN 116244677A CN 202310147590 A CN202310147590 A CN 202310147590A CN 116244677 A CN116244677 A CN 116244677A
Authority
CN
China
Prior art keywords
event
token
authority
target
target event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310147590.XA
Other languages
English (en)
Inventor
王明广
王丹阳
郭夏宾
罗科斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Qianxin Safety Technology Zhuhai Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Qianxin Safety Technology Zhuhai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Qianxin Safety Technology Zhuhai Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202310147590.XA priority Critical patent/CN116244677A/zh
Publication of CN116244677A publication Critical patent/CN116244677A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本申请提供一种提权检测方法、装置、电子设备及存储介质,方法包括:通过回调机制获取目标事件发生时,导致该目标事件发生的进程的特征信息;所述特征信息为与所述进程的权限相关的信息;根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。通过本申请的方案,实现了基于事件的提权的检测,所有事件监控与信息获取都是通过系统提供的回调机制来实现,不易绕开,且检测可靠性高、稳定性高。

Description

提权检测方法、装置、电子设备及存储介质
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种提权检测方法、装置、电子设备及存储介质。
背景技术
Windows漏洞往往危害巨大,攻击者可以利用Windows漏洞进行提权(即提升权限),从而窃取系统中的高价值数据,甚至可能直接远程控制系统,从而造成重大财产损失。
目前,针对利用Windows漏洞提升权限进行攻击的方式,通常都是通过检测系统中存在的Windows漏洞,进而通过对漏洞打补丁的方式进行防护的。但是,漏洞检测技术往往依赖于已有的漏洞库,对于新出现的漏洞或者还未发现的漏洞所造成的攻击无法进行有效的防护。
发明内容
本申请实施例的目的在于提供一种提权检测方法、装置、电子设备及计算机可读存储介质,用以检测出系统中存在的非法提升权限的事件,提高系统安全性。
本申请实施例提供了一种提权检测方法,包括:通过回调机制获取目标事件发生时,导致该目标事件发生的进程的特征信息;所述特征信息为与所述进程的权限相关的信息;根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。
在上述实现方式中,通过回调机制获取目标事件发生时,与导致该目标事件发生的进程的权限相关的特征信息,进而基于该特征信息可以有效实现对于目标事件中是否存在非法提升权限的情况的确定。上述实现方式中,实现了基于事件的提权(即利用系统漏洞提升权限进行攻击的方式)的检测,不易绕开,且检测可靠性高,且由于是基于系统提供的回调机制即实现的事件监听与信息获取,因此不会引入影响系统稳定性的因素,不会造成系统的不稳定。
进一步地,所述目标事件包括进程创建事件、进程打开事件、文件操作事件、注册表操作事件和远程过程调用事件中的任意一种,所述特征信息包括所述进程的令牌;
所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,包括:检测在预设的令牌列表中是否存在所述进程的目标令牌;若存在所述进程的目标令牌,且所述进程的令牌与所述令牌列表中的目标令牌地址一致,则检测所述令牌中的权限项是否被包含于所述目标令牌中的权限项内;若所述令牌中的权限项被包含于所述目标令牌中的权限项内,则确定所述目标事件中存在非法提升权限的情况。
针对进程创建事件、进程打开事件、文件操作事件、注册表操作事件、远程过程调用事件,这些事件中攻击者往往是利用Windows漏洞提升导致该事件发生的进程的权限,从而造成受害者的损失。为此,在上述实现方式中,通过获取进程的令牌(即token),通过从预设的令牌列表中查找出与该进程的令牌结构相同的目标令牌,由于进程的令牌中携带有表征进程权限的数据,因此通过比较进程的令牌的内容和目标令牌的内容是否一致,即可确定出进程的权限是否被非法提升。该检测方式简单、可靠,可以针对进程创建事件、进程打开事件、文件操作事件和注册表操作事件准确识别出导致该事件发生的进程是否被非法提升了权限,从而达到准确检测出已有的提权的效果。
进一步地,所述目标事件为进程打开事件,所述特征信息还包括所述进程的强制策略;所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,还包括:根据所述令牌从预设的初始强制策略集合中查找出与所述令牌对应的初始强制策略;若所述进程的强制策略与所述初始强制策略不一致,确定所述目标事件中存在非法提升权限的情况。
经发明人研究发现,对于进程打开事件,进程除了可能直接被修改权限外,也可能是通过修改强制策略的方式达到非法提权的效果,为此,在上述实现方式中,通对比对获取到的该进程实际的强制策略和该进程初始的强制策略(即初始强制),从而确定出该进程的强制策略是否被篡改,若该进程的强制策略被篡改,则可以确定出该进程被非法提权,从而对于进程打开事件,达到准确检测出已有的提权的效果。
进一步地,所述目标事件为进程打开事件,所述特征信息还包括所述进程的句柄地址和先前模式;所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,还包括:若所述进程的句柄地址为用户态地址,且所述进程的先前模式为内核模式,确定所述目标事件中存在非法提升权限的情况。
经发明人研究发现,对于进程打开事件,进程除了可能直接被修改权限外,也可能是通过修改进程的先前模式(先前模式是指进程的来源,先前模式为用户模式即表明进程是在用户态中创建的,先前模式为内核模式即表明进程是在内核态中创建的)的方式达到非法提权的效果,为此,在上述实现方式中,通过检测进程的句柄地址和先前模式,若进程的句柄地址为用户态地址,但进程的先前模式为内核模式,则表明该进程的先前模式的值被修改了,从而存在非法提升权限的情况,达到准确检测出已有的提权的效果。
进一步地,所述目标事件为进程打开事件,所述特征信息包括所述进程的句柄地址和完整性级别;在所根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况之前,所述方法还包括:拦截所述进程打开事件;确定所述句柄地址不为内核态地址,且所述进程的完整性级别低于预设级别阈值。
进一步地,所述方法还包括:若所述句柄地址为所述内核态地址,或者所述进程的完整性级别高于或等于所述预设级别阈值,则允许所述进程打开事件执行。
可以理解,若句柄地址为内核态地址,即表明该进程是在内核态运行的进程,本身就具有系统的最高权限,因此不可能再进行权限提升了,因此无需进行权限提升检测;类似的,对于完整性级别高于或等于预设级别阈值的进程,可以认为其并不存在权限提升的可能,故可以不再进行权限提升检测,而是直接允许该进程打开事件执行,这样就可以实现对于需进行提权检测的进程打开事件的过滤,从而节省计算开销。
进一步地,所述目标事件为创建硬链接文件事件,所述特征信息包括所述硬链接所链接的文件的安全描述符;所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,包括:根据所述安全描述符判断所述进程是否具有所述文件的写权限;若所述进程具有所述文件的写权限,确定所述目标事件中不存在非法提升权限的情况;若所述进程不具有所述文件的写权限,确定所述目标事件中存在非法提升权限的情况。
在上述实现方式中,基于硬链接所链接的文件的安全描述符可以快速确定出当前进程是否具有该文件的写权限。而通常情况下,进行硬链接的文件应当给予进程写权限,以便进程对当前所操作的文件进行修改后,可以同步修改该文件中的硬链接所连接的文件。因此,通过判断该进程是否具有硬链接所链接的文件的写权限,就可以很容易且快速地确定出硬链接所链接的文件是否被非法提升了权限,实现对于硬链接的提权检测。
进一步地,所述目标事件为创建软链接文件事件,所述特征信息包括所述软链接的挂载点名称;所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,包括:根据所述挂载点名称判断所述软链接所链接到的目录是否为预设的特定目录;若所述软链接所链接到的目录为预设的特定目录,确定所述目标事件中存在非法提升权限的情况。
可以理解,对于一些特定的目录,出于安全性考虑,不应允许进行软链接。例如在Windows中,不应允许低权限目录挂载链接到对象目录\RPC CONTROL,不应允许低权限目录挂载链接到高权限文件目录。而在上述实现方式中,通过预先设定这些特定目录,进而通过软链接的挂载点名称即可快速确定软链接所链接到的目录是否为这些特定目录,若是则可以快速确定出该软链接被非法提权,实现对于软链接的提权检测。
进一步地,所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,还包括:若所述软链接所链接到的目录不为所述特定目录,则获取所述软链接所链接到的目录的安全描述符;根据所述软链接所链接到的目录的安全描述符判断所述进程是否具有所述目录的写权限;若所述进程具有所述目录的写权限,确定所述目标事件中不存在非法提升权限的情况;若所述进程不具有所述目录的写权限,确定所述目标事件中存在非法提升权限的情况。
通常情况下,进行软链接的目录应当给予进程写权限,在上述实现方式中,若软链接所链接到的目录不为特定目录,但是进程不具有软链接所链接到的目录的写权限,则可以快速确定出该软链接被非法提权,实现对于软链接的提权检测。
进一步地,所述提权检测方法通过Windows内核的驱动模块执行。
在上述实现方式中,通过Windows内核的驱动模块执行本申请实施例所提供的提权检测方法,这样可以实现Windows内核层面的提权检测,整个检测是轻量级(使用的是系统的回调机制,检测点少)的,且不易绕过,可靠性高。
本申请实施例还提供了一种提权检测装置,包括:获取单元,用于通过回调机制获取目标事件发生时,导致该目标事件发生的进程的特征信息;所述特征信息为与所述进程的权限相关的信息;检测单元,用于根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。
本申请实施例还提供了一种电子设备,包括处理器、存储器;所述处理器用于执行存储器中存储的一个或者多个程序,以实现上述任一种的提权检测方法。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一种的提权检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定。
图1为本申请实施例提供的一种提权检测方法的流程示意图;
图2为本申请实施例提供的一种具体的针对进程创建事件的提权检测流程示意图;
图3为本申请实施例提供的一种具体的针对进程打开事件的提权检测流程示意图;
图4为本申请实施例提供的一种具体的针对文件操作事件的提权检测流程示意图;
图5为本申请实施例提供的一种具体的针对注册表操作事件的提权检测流程示意图;
图6为本申请实施例提供的一种具体的针对创建硬链接文件事件的提权检测流程示意图;
图7为本申请实施例提供的一种具体的针对创建软链接文件事件的提权检测流程示意图;
图8为本申请实施例提供的一种提权检测装置的结构示意图;
图9为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
为了提高系统安全性,本申请实施例中提供了一种提权检测方法。可以参见图1所示,图1为本申请实施例中提供的提权检测方法的基本流程示意图,包括:
S101:通过回调机制获取目标事件发生时,导致该目标事件发生的进程的特征信息。
在本申请实施例中,目标事件可以包括进程创建事件、进程打开事件、文件操作事件、注册表操作事件、创建硬链接文件事件、创建软链接文件事件、远程过程调用事件中的任意一种,但不作为限制。目标事件是指当前被监听到并触发本申请实施例所提供的提权检测方法的事件。
其中,进程创建事件是指当前运行的进程创建一个子进程的事件,例如进程A创建进程B即为一个进程创建事件。进程打开事件是指打开一个进程的事件,例如用户或内核打开进程A即为一个进程打开事件。文件操作事件是指进程对文件进行操作的事件,例如进程A对文件C进行修改即为一个文件操作事件。注册表操作事件是指进程对注册表进行操作的事件,例如进程A对注册表D进行删除即为一个注册表操作事件。远程过程调用事件是指采用远程过程调用功能的事件。创建硬链接文件事件是指进程通过创建硬链接链接对象(如文件)的事件。创建软链接文件事件是指进程通过创建软链接链接对象(如目录)的事件。
可以理解,本申请实施例所提供的提权检测方法可以但不限于应用于Windows系统中。在Windows系统中,通常会提供不同的回调机制来实现对不同的事件的监听与信息获取。例如,Windows系统中提供有PsSetCreateProcessNotifyRoutine函数(为Windows系统提供的一种进程创建的回调函数),通过PsSetCreateProcessNotifyRoutine函数可以进行进程创建事件的监听与特征信息的获取。又例如,Windows系统中还提供有Minifilter(为Windows系统提供的一种文件系统的过滤驱动,可以用于进行文件操作的监听),通过Minifilter可以实现文件操作事件、创建硬链接文件事件、创建软链接文件事件的监听与特征信息的获取。又例如,Windows系统中还提供有ObRegisterCallbacks函数(为Windows系统提供的一种可以实现进程监控与保护的函数),通过ObRegisterCallbacks函数可以实现进程打开事件的监听与特征信息的获取。又例如,Windows系统中还提供有CmRegisterCallback函数(为Windows系统提供的一种可以实现注册表监控的回调函数),通过CmRegisterCallback函数可以实现注册表操作事件的监听与特征信息的获取。
可以理解,通常情况下,一个事件中仅存在一个进程,因此该进程即为导致该目标事件发生的进程。但是对于进程创建事件而言,存在父进程和被父进程创建出的子进程,即存在多个进程,此时导致该目标事件发生的进程是指父进程,这是因为是父进程创建子进程才导致出现了进程创建事件,因此父进程为导致进程创建事件发生的进程。
在本申请实施例中,进程的特征信息为与该进程的权限相关的信息。示例性的,对于进程创建事件、进程打开事件、文件操作事件、注册表操作事件、远程过程调用事件,特征信息可以包括进程的令牌。而对于创建硬链接文件事件,特征信息可以包括硬链接所链接的文件的安全描述符。而对于创建软链接文件事件,特征信息可以包括软链接的挂载点名称。
S102:根据该特征信息确定该目标事件中是否存在非法提升权限的情况。
在本申请实施例中,若目标事件包括进程创建事件、进程打开事件、文件操作事件、注册表操作事件和远程过程调用事件中的任意一种,则特征信息可以包括该进程的令牌。此时,步骤S102可以包括:
检测在预设的令牌列表中是否存在进程的目标令牌。若存在该进程的目标令牌,且该进程的令牌与令牌列表中的目标令牌地址一致(可以在检测到在预设的令牌列表中存在进程的目标令牌后,比较该进程的令牌与令牌列表中该目标令牌的地址是否一致),则检测该进程的令牌中的权限项是否被包含于该目标令牌中的权限项内(即检测该进程的令牌中的权限项是否与该目标令牌中的权限项一致,或者该进程的令牌中的权限项是否为该目标令牌中的权限项的子集)。若该进程的令牌中的权限项被包含于该目标令牌中的权限项内,则可以确定该目标事件中存在非法提升权限的情况。
可以理解,令牌列表中可以预先关联保存有进程的唯一标识(例如PID(ProcessIdentification,进程识别号)等)和进程的令牌(即本申请实施例所述的目标令牌),然后检测在预设的令牌列表中是否存在进程的目标令牌时,可以基于进程的唯一标识实现检测。
还可以理解,令牌是一种结构体,具有地址。不同令牌的地址不同。因此,在检测到预设的令牌列表中存在该进程的目标令牌后,可以比较该进程的令牌与令牌列表中该目标令牌的地址是否一致,以实现对于令牌安全性的校验。
还可以理解,在本申请实施例中可以在每一个进程被创建后就自动获取并保存该进程的令牌到预设的令牌列表中,从而保证令牌列表中的令牌的全面性。
还可以理解,进程的令牌中携带有表征进程权限的数据(即权限项),而进程执行过程中只可能降低权限,不可能提高权限,因此基于进程的令牌中的权限项被包含于该目标令牌中的权限项内,可以确定出目标事件中是否存在非法提升权限的情况。
在本申请实施例中,若令牌列表中未查找到目标令牌,则可以认为该进程创建事件并非是由父进程创建子进程的事件,而是由用户或内核创建进程的事件,此时不存在父进程,即不存在导致进程创建事件发生的进程,可以认为该事件不存在非法提升权限的情况。
在本申请实施例中,若目标事件为进程创建事件、文件操作事件和注册表操作事件中的任意一种,则在该进程的令牌中的权限项被包含于该目标令牌中的权限项内时,可以确定目标事件中不存在非法提升权限的情况。
若目标事件为进程打开事件,在一种可选的实施方式中,在该进程的令牌中的权限项被包含于该目标令牌中的权限项内时,也可以直接确定目标事件中不存在非法提升权限的情况。
但是,经发明人研究发现,对于进程打开事件,进程除了可能直接被修改权限外,也可能是通过修改强制策略的方式达到非法提权的效果。此外,对于进程打开事件,进程除了可能直接被修改权限外,也可能是通过修改进程的先前模式(先前模式是指进程的来源,先前模式为用户模式即表明进程是在用户态中创建的,先前模式为内核模式即表明进程是在内核态中创建的)的方式达到非法提权的效果。因此,在本申请实施例的另一些可选的实施方式中,还可以进行以下操作:
操作一:可以通过回调机制获取该进程的强制策略(基于现行规范,强制策略为令牌内的TOKEN_MANDATORY_POLICY结构体内定义的内容),根据该进程的令牌从预设的初始强制策略集合中查找出与该令牌对应的初始强制策略;若该进程的强制策略与该令牌对应的初始强制策略不一致,则确定该目标事件中存在非法提升权限的情况。
操作二:判断该进程的句柄地址是否为用户态地址,且判断该进程的先前模式是否为内核模式,若进程的句柄地址为用户态地址,且进程的先前模式为内核模式,则可以确定目标事件中存在非法提升权限的情况。
可以理解,操作一和操作二可以仅采用其中之一,但也可以同时采用。在仅采用其中之一时,例如仅采用操作一时,则只有当该进程的令牌中的权限项被包含于该目标令牌中的权限项内,且该进程的强制策略与该令牌对应的初始强制策略也一致时,才确定目标事件中不存在非法提升权限的情况。例如仅采用操作二时,则只有当该进程的令牌中的权限项被包含于该目标令牌中的权限项内,且该进程的句柄地址为内核态地址,或该进程的句柄地址为用户态地址且进程的先前模式为用户模式时,才确定目标事件中不存在非法提升权限的情况。
可以理解,当同时采用操作一和操作二时,则只有当该进程的令牌中的权限项被包含于该目标令牌中的权限项内,且该进程的强制策略与该令牌对应的初始强制策略也一致,且该进程的句柄地址为内核态地址,或该进程的句柄地址为用户态地址且进程的先前模式为用户模式时,才确定目标事件中不存在非法提升权限的情况。此时可以更为全面和准确的检测出进程打开事件中是否存在非法提升权限的情况。
可以理解,在本申请实施例中,进程的强制策略、句柄地址、先前模式等信息可以通过回调机制获得。其中,先前模式通常记录在进程的PreviousMode这一参数中。
在本申请实施例的另一些可选的实施方式中,在目标事件为进程打开事件时,可以通过回调机制可以获取到进程的句柄地址和完整性级别,进而在所根据特征信息确定目标事件中是否存在非法提升权限的情况之前,先拦截该进程打开事件,并检测进程的句柄地址是否为内核态地址,以及检测该进程的完整性级别是否低于预设级别阈值。
若该进程的句柄地址不为内核态地址,且该进程的完整性级别低于预设级别阈值,则根据进程的特征信息确定目标事件中是否存在非法提升权限的情况。
若该进程的句柄地址为内核态地址,或者该进程的完整性级别高于或等于该预设级别阈值,则不再执行步骤S102,而是直接允许该进程打开事件执行。
可以理解,若句柄地址为内核态地址,即表明该进程是在内核态运行的进程,本身就具有系统的最高权限,因此不可能再进行权限提升了,因此无需进行权限提升检测;类似的,对于完整性级别高于或等于预设级别阈值的进程,可以认为其并不存在权限提升的可能,故可以不再进行权限提升检测,而是直接允许该进程打开事件执行,这样就可以实现对于需进行提权检测的进程打开事件的过滤,从而节省计算开销。
在上述可选实施方式中,预设级别阈值设置的越高,系统的安全性就越好。示例性的,该预设级别阈值可以设置为最高的完整性级别。
在本申请实施例中,若目标事件为创建硬链接文件事件,则在步骤S101中,可以通过回调机制获取到该硬链接所链接的文件的安全描述符,进而根据该安全描述符判断进程是否具有该文件的写权限;若进程具有该文件的写权限,确定该目标事件中不存在非法提升权限的情况;若进程不具有该文件的写权限,则确定目标事件中存在非法提升权限的情况。
可以理解,安全描述符是对象(例如目录、文件等)的访问控制信息,安全描述符中包含有安全访问控制列表,该安全访问控制列表用于控制如何审计用户对当前对象的访问。因此,基于安全描述符的安全访问控制列表可以确定出进程是否具有对当前对象的写权限。
还可以理解,通常情况下,进行硬链接的文件应当给予进程写权限,以便进程对当前所操作的文件进行修改后,可以同步修改该文件中的硬链接所连接的文件。因此,通过判断该进程是否具有硬链接所链接的文件的写权限,就可以很容易且快速地确定出硬链接所链接的文件是否被非法提升了权限,实现对于硬链接的提权检测。
在本申请实施例中,若目标事件为创建软链接文件事件,则在步骤S101中,可以通过回调机制获取到该软链接的挂载点名称,进而根据该挂载点名称判断该软链接所链接到的目录是否为预设的特定目录。若该软链接所链接到的目录为预设的特定目录,则可以确定该目标事件中存在非法提升权限的情况。
若该软链接所链接到的目录不为特定目录,则还可通过回调机制获取该软链接所链接到的目录的安全描述符。然后根据该软链接所链接到的目录的安全描述符判断进程是否具有该目录的写权限。若进程具有该目录的写权限,则确定该目标事件中不存在非法提升权限的情况;若进程不具有该目录的写权限,则确定该目标事件中存在非法提升权限的情况。
可以理解,对于一些特定的目录,出于安全性考虑,不应允许进行软链接。例如在Windows中,不应允许低权限目录挂载链接到对象目录\RPC CONTROL,不应允许低权限目录挂载链接到高权限文件目录。本申请实施例通过预先设定这些特定目录,进而通过软链接的挂载点名称即可快速确定软链接所链接到的目录是否为这些特定目录,若是则可以快速确定出该软链接被非法提权,实现了对于软链接的提权检测。
此外,通常情况下,进行软链接的目录应当给予进程写权限,在本申请实施例中,若软链接所链接到的目录不为特定目录,但是进程不具有软链接所链接到的目录的写权限,则可以快速确定出该软链接被非法提权,实现对于软链接的提权检测。
还可以理解,在本申请实施例中,预设的特定目录可以是由工程师设定的,其内具有各不允许链接的特定目录的名称。
还可以理解,如前文所述,系统中往往提供有不同的回调函数以实现不同事件的监听。因此,在本申请实施例中,部分事件可以直接基于返回信息的回调函数确定(例如进程创建事件、进程打开事件、注册表操作事件可以直接基于返回信息的回调函数确定,当回调函数为PsSetCreateProcessNotifyRoutine函数时,确定目标事件为进程创建事件,当回调函数为ObRegisterCallbacks函数时,确定目标事件为进程打开事件,当回调函数为CmRegisterCallback函数时,确定目标事件为注册表操作事件),而部分事件则需要进一步进行区分(例如文件操作事件、创建硬链接文件事件、创建软链接文件事件)。
针对文件操作事件、创建硬链接文件事件、创建软链接文件事件,其都可以基于Minifilter实现监听,为此,在一种可选的实施方式中,可以通过回调机制返回的信息中是否包含filelinkinformation(硬链接所具有的参数)或者IO_REPARSE_TAG_MOUNT_POINT(软链接所具有的参数)来实现文件操作事件、创建硬链接文件事件、创建软链接文件事件之间的区分。
在本申请实施例中,前述提权检测方法的各个步骤均可通过Windows内核的驱动模块执行。这样可以实现Windows内核层面的提权检测,整个检测是轻量级的,且不易绕过,可靠性高。
可以理解,在本申请实施例中,无论是检测出目标事件中存在非法提升权限的情况,还是不存在非法提升权限的情况,均可以对目标事件进行标记。例如对存在非法提升权限的情况的目标事件打上第一标记,对不存在非法提升权限的情况的目标事件打上第二标记,且第一标记和第二标记不同,然后Windows内核的驱动模块将目标事件上抛给应用层,由应用层根据目标事件的标记进行拦截或放行处理。
可以理解,在对存在非法提升权限的情况的目标事件进行拦截时,可以根据目标事件生成报警信息进行报警。
还可以理解,在本申请实施例中,还可以设置功能启用开关,在开关开启后才执行本申请实施例所提供的提权检测方法。这样,可以自由选择是否需要进行提权检测。
为便于理解本申请实施例的方案,下面分别针对进程创建事件、进程打开事件、文件操作事件、注册表操作事件、创建硬链接文件事件、创建软链接文件事件的一种具体的检测过程进行示例说明:
Windows内核的驱动模块随操作系统启动,通过调用PsSetCreateProcessNotifyRoutine、Minifilter、ObRegisterCallbacks、CmRegisterCallback等回调机制实现对于进程创建事件、进程打开事件、文件操作事件、注册表操作事件、创建硬链接文件事件、创建软链接文件事件的监控。
针对进程创建事件:
如图2所示,包括:
S201:Windows内核的驱动模块通过PsSetCreateProcessNotifyRoutine函数监控系统内是否出现了进程创建通知(即监测是否出现了进程创建事件)。
S202:当监测到进程创建通知时,判断提权检测功能是否开启。若未开启,则转至结束步骤。若已开启,则转至步骤S203。
S203:驱动模块获取该进程创建事件中父进程的令牌,查询预设的令牌列表中是否存在地址一致的父进程的目标令牌(令牌列表中父进程的PID所关联的令牌地址与父进程的令牌地址是否一致)。若不存在,则转至步骤S206。若存在,则转至步骤S204。
S204:驱动模块检测父进程的令牌中的权限项是否被包含于该目标令牌中的权限项内。若是,则转至步骤S207。若否,则转至步骤S205。
S205:驱动模块对该进程创建事件打表征存在非法提升权限的情况的第一标签,并转至步骤S208。
S206:驱动模块获取子进程的令牌并保存。
其中,子进程是指该进程创建事件中被创建出的进程。
S207:驱动模块对该进程创建事件打表征不存在非法提升权限的情况的第二标签,并转至步骤S208。
S208:驱动模块将打好标签的该进程创建事件上抛给应用层。
S209:应用层根据该进程创建事件的标签进行拦截或放行操作。
具体而言,在本申请实施例中,应用层将拦截打有第一标签的进程创建事件,并可以进行告警,以便工程师进行处理。应用层将放行打有第二标签的进程创建事件。
针对进程打开事件:
如图3所示,包括:
S301:Windows内核的驱动模块通过ObRegisterCallbacks函数监控系统内的进程打开事件。
S302:当监测到进程打开事件时,判断提权检测功能是否开启。若未开启,则转至结束步骤。若已开启,则转至步骤S303。
S303:驱动模块拦截该进程打开事件,并获取该进程打开事件中被打开的进程的句柄地址和完整性级别。
S304:驱动模块检测该句柄地址和完整性级别,若该句柄地址为用户态地址,或该完整新级别为最高级别,则转至步骤S310;否则转至S305。
S305:驱动模块获取该进程的先前模式,并检测该句柄地址是否为用户态地址,以及该进程的先前模式是否为内核模式。若该句柄地址为用户态地址,且该进程的先前模式为内核模式,转至步骤S306;否则转至步骤S310。
S306:驱动模块获取该进程的令牌,查询预设的令牌列表中是否存在地址一致的该进程的目标令牌(令牌列表中该进程的PID所关联的令牌地址与该进程的令牌地址是否一致)。若不存在,则结束。若存在,则转至步骤S307。
S307:驱动模块检测该进程的令牌中的权限项是否被包含于该目标令牌中的权限项内。若是,则转至步骤S310。若否,则转至步骤S308。
S308:驱动模块获取该进程的强制策略,并根据令牌从预设的初始强制策略集合中查找出与该令牌对应的初始强制策略,将该进程的强制策略与该令牌对应的初始强制策略进行比对。若不一致,则转至步骤S309,否则转至步骤S310。
可以理解,步骤S305、S306和S308之间没有严格的时序要求。也即可以如图3所示,先进行先前模式是否被篡改的检测(即S305),再进行进程初始权限是否被篡改的检测(即S306和S307),再进行强制策略是否被篡改的检测(即S308),但是也可以是先进行初始权限是否被篡改的检测,再进行先前模式是否被篡改的检测,再进行强制策略是否被篡改的检测;或者也可以是先进行初始权限是否被篡改的检测,再进行强制策略是否被篡改的检测,再进行先前模式是否被篡改的检测;或者也可以是先进行强制策略是否被篡改的检测,再进行初始权限是否被篡改的检测,再进行先前模式是否被篡改的检测;或者也可以是先进行强制策略是否被篡改的检测,再进行先前模式是否被篡改的检测,再进行初始权限是否被篡改的检测;或者也可以是先进行先前模式是否被篡改的检测,再进行强制策略是否被篡改的检测,再进行初始权限是否被篡改的检测;或者还可以是同时进行两种或三种检测,对此本申请实施例不做限制。
S309:驱动模块对该进程打开事件打表征存在非法提升权限的情况的第一标签,并转至步骤S311。
S310:驱动模块对该进程打开事件打表征不存在非法提升权限的情况的第二标签,并转至步骤S311。
S311:驱动模块将打好标签的该进程打开事件上抛给应用层。
S312:应用层根据该进程打开事件的标签进行拦截或放行操作。
针对文件操作事件:
如图4所示,包括:
S401:Windows内核的驱动模块通过Minifilter监控第一功能号(第一功能号为文件操作事件发生时所必然会使用的功能号,例如IRP_MJ_CREATE)。
S402:当监测到第一功能号时,判断提权检测功能是否开启。若未开启,则转至结束步骤。若已开启,则转至步骤S403。
S403:驱动模块获取该第一功能号对应的文件操作事件中的进程的令牌,查询预设的令牌列表中是否存在地址一致的该进程的目标令牌(令牌列表中该进程的PID所关联的令牌地址与该进程的令牌地址是否一致)。若不存在,则结束。若存在,则转至步骤S404。
S404:驱动模块检测该进程的令牌中的权限项是否被包含于该目标令牌中的权限项内。若是,则转至步骤S406。若否,则转至步骤S405。
S405:驱动模块对该文件操作事件打表征存在非法提升权限的情况的第一标签,并转至步骤S407。
S406:驱动模块对该文件操作事件打表征不存在非法提升权限的情况的第二标签,并转至步骤S407。
S407:驱动模块将打好标签的该文件操作事件上抛给应用层。
S408:应用层根据该文件操作事件的标签进行拦截或放行操作。
针对注册表操作事件:
如图5所示,包括:
S501:Windows内核的驱动模块通过CmRegisterCallback函数监控第二功能号(第二功能号为注册表操作事件发生时所必然会使用的功能号)。
S502:当监测到第二功能号时,判断提权检测功能是否开启。若未开启,则转至结束步骤。若已开启,则转至步骤S503。
S503:驱动模块获取该第二功能号对应的注册表操作事件中的进程的令牌,查询预设的令牌列表中是否存在地址一致的该进程的目标令牌(令牌列表中该进程的PID所关联的令牌地址与该进程的令牌地址是否一致)。若不存在,则结束。若存在,则转至步骤S504。
S504:驱动模块检测该进程的令牌中的权限项是否被包含于该目标令牌中的权限项内。若是,则转至步骤S506。若否,则转至步骤S505。
S505:驱动模块对该注册表操作事件打表征存在非法提升权限的情况的第一标签,并转至步骤S507。
S506:驱动模块对该注册表操作事件打表征不存在非法提升权限的情况的第二标签,并转至步骤S507。
S507:驱动模块将打好标签的该注册表操作事件上抛给应用层。
S508:应用层根据该注册表操作事件的标签进行拦截或放行操作。
针对创建硬链接文件事件:
如图6所示,包括:
S601:Windows内核的驱动模块通过Minifilter回调IRP_MJ_SET_INFORMATION(Windows系统中基于硬链接进行文件操作时会用到的请求)。
S602:当回调到IRP_MJ_SET_INFORMATION时,判断提权检测功能是否开启。若未开启,则转至结束步骤。若已开启,则转至步骤S603。
S603:驱动模块获取Minifilter回调IRP_MJ_SET_INFORMATION时所携带的参数filelinkinformation(该参数的值可以表征当前操作行为是否为硬链接的操作行为)。若filelinkinformation的值为表征远程过程调用的对象为硬链接所链接的对象的目标值,则转至步骤S604。否则结束。
S604:驱动模块获取该硬链接的所链接的文件的安全描述符。
S605:驱动模块根据该安全描述符判断该进程是否具有该文件的写权限。若不具有,则转至步骤S606。若具有,则转至步骤S607。
S606:驱动模块对该创建硬链接文件事件打表征存在非法提升权限的情况的第一标签,并转至步骤S608。
S607:驱动模块对该创建硬链接文件事件打表征不存在非法提升权限的情况的第二标签,并转至步骤S608。
S608:驱动模块将打好标签的该创建硬链接文件事件上抛给应用层。
S609:应用层根据该创建硬链接文件事件的标签进行拦截或放行操作。
针对创建软链接文件事件:
如图7所示,包括:
S701:Windows内核的驱动模块通过Minifilter回调IRP_MJ_FILE_SYSTEM_CONTROL(Windows系统中基于软链接进行操作时会用到的请求)。
S702:当回调到IRP_MJ_FILE_SYSTEM_CONTROL时,判断提权检测功能是否开启。若未开启,则转至结束步骤。若已开启,则转至步骤S703。
S703:驱动模块获取Minifilter回调IRP_MJ_FILE_SYSTEM_CONTROL时携带的参数IO_REPARSE_TAG_MOUNT_POINT(该参数的值可以表征当前操作行为是否为软链接的操作行为)。若IO_REPARSE_TAG_MOUNT_POINT的值为表征远程过程调用的对象为软链接所链接的对象的目标值,则转至步骤S704。否则结束。
S704:驱动模块获取该软链接的挂载点名称。
S705:根据该挂载点名称判断软链接所链接到的目录是否为预设的特定目录。若是,则转至步骤S708;否则,转至步骤S706。
S706:驱动模块获取该软链接的所链接到的目录的安全描述符。
S707:驱动模块根据该安全描述符判断进程是否具有该软链接的所链接到的目录的写权限。若不具有,转至步骤S708;否则,转至步骤S709。
S708:驱动模块对该创建软链接文件事件打表征存在非法提升权限的情况的第一标签,并转至步骤S710。
S709:驱动模块对该创建软链接文件事件打表征不存在非法提升权限的情况的第二标签,并转至步骤S710。
S710:驱动模块将打好标签的该创建软链接文件事件上抛给应用层。
S711:应用层根据该创建软链接文件事件的标签进行拦截或放行操作。
通过本申请实施例的方案,可以在Windows底层内核实现轻量级的监控,且不易被绕过。且提权检测效果好,几乎没有误报。此外,所有监控均使用Windows系统推荐的机制,稳定可靠。
基于同一发明构思,本申请实施例中还提供了一种提权检测装置800。请参阅图8所示,图8示出了采用图1所示的方法的提权检测装置。应理解,装置800具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置800包括至少一个能以软件或固件的形式存储于存储器中或固化在装置800的操作系统中的软件功能单元。具体地:
参见图8所示,装置800包括:
获取单元801,用于通过回调机制获取目标事件发生时,导致该目标事件发生的进程的特征信息;所述特征信息为与所述进程的权限相关的信息;
检测单元802,用于根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。
在本申请实施例中,所述目标事件包括进程创建事件、进程打开事件、文件操作事件、注册表操作事件和远程过程调用事件中的任意一种,所述特征信息包括所述进程的令牌;所述检测单元802具体用于:检测在预设的令牌列表中是否存在所述进程的目标令牌;若存在所述进程的目标令牌,且所述进程的令牌与所述令牌列表中的目标令牌地址一致,则检测所述令牌中的权限项是否被包含于所述目标令牌中的权限项内;若所述令牌中的权限项被包含于所述目标令牌中的权限项内,则确定所述目标事件中存在非法提升权限的情况。
在本申请实施例的一种可行实施方式中,所述目标事件为进程打开事件,所述特征信息还包括所述进程的强制策略;所述检测单元802具体还用于:根据所述令牌从预设的初始强制策略集合中查找出与所述令牌对应的初始强制策略;若所述进程的强制策略与所述初始强制策略不一致,确定所述目标事件中存在非法提升权限的情况。
在本申请实施例的另一种可行实施方式中,所述目标事件为进程打开事件,所述特征信息还包括所述进程的句柄地址和先前模式;所述检测单元802具体还用于:若所述进程的句柄地址为用户态地址,且所述进程的先前模式为内核模式,确定所述目标事件中存在非法提升权限的情况。
在本申请实施例的一种可选实施方式中,所述目标事件为进程打开事件,所述特征信息包括所述进程的句柄地址和完整性级别;所述检测单元802还用于:在所根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况之前,拦截所述进程打开事件;确定所述句柄地址不为内核态地址,且所述进程的和完整性级别低于预设级别阈值。
在上述可选实施方式中,所述检测单元802还用于:若所述句柄地址为所述内核态地址,或者所述进程的和完整性级别高于或等于所述预设级别阈值,则允许所述进程打开事件执行。
在本申请实施例中,所述目标事件为创建硬链接文件事件,所述特征信息包括所述硬链接所链接的文件的安全描述符;所述检测单元802具体用于:根据所述安全描述符判断所述进程是否具有所述文件的写权限;若所述进程具有所述文件的写权限,确定所述目标事件中不存在非法提升权限的情况;若所述进程不具有所述文件的写权限,确定所述目标事件中存在非法提升权限的情况。
在本申请实施例中,所述目标事件为创建软链接文件事件,所述特征信息包括所述软链接的挂载点名称;所述检测单元802具体用于:根据所述挂载点名称判断所述软链接所链接到的目录是否为预设的特定目录;若所述软链接所链接到的目录为预设的特定目录,确定所述目标事件中存在非法提升权限的情况。
在上述实施例中,所述检测单元802具体还用于:若所述软链接所链接到的目录不为所述特定目录,则获取所述软链接所链接到的目录的安全描述符;根据所述软链接所链接到的目录的安全描述符判断所述进程是否具有所述目录的写权限;若所述进程具有所述目录的写权限,确定所述目标事件中不存在非法提升权限的情况;若所述进程不具有所述目录的写权限,确定所述目标事件中存在非法提升权限的情况。
在本申请实施例的一种可选实施方式中,所述提权检测装置800的各软件功能单元为Windows内核的驱动模块的各个软件功能单元。
需要理解的是,出于描述简洁的考量,部分前文方法实施例中描述过的内容在装置部分中不再赘述。
基于同一发明构思,本实施例还提供了一种电子设备,参见图9所示,其包括处理器901和存储器902。其中:
处理器901用于执行存储器902中存储的一个或多个程序,以实现上述实施例中提供的提权检测方法。
可以理解,而处理器901可以是DSP(Digital Signal Processing,数字信号处理)微处理器、MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)等,但不作为限制。而存储器902可以是RAM(Random Access Memory,随机存取存储器)、ROM(Read-Only Memory,只读存储器)、闪存等,也不作为限制。
还可以理解,图9所示的结构仅为示意,电子设备还可包括比图9中所示更多或者更少的组件,或者具有与图9所示不同的配置。例如,还可以具有内部通信总线,用于实现处理器901和存储器902之间的通信;又例如,电子设备还可以具有外部通信接口,例如USB(Universal Serial Bus,通用串行总线)接口、CAN(Controller Area Network,控制器局域网络)总线接口等;又例如,电子设备还可以具有显示屏等信息显示部件,但不作为限制。
基于同一发明构思,本实施例还提供了一种计算机可读存储介质,如软盘、光盘、硬盘、闪存、U盘、SD(Secure Digital Memory Card,安全数码卡)卡、MMC(MultimediaCard,多媒体卡)卡等,在该计算机可读存储介质中存储有实现上述各个步骤的一个或者多个程序,这一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例中的提权检测方法。在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在本文中,多个是指两个或两个以上。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (13)

1.一种提权检测方法,其特征在于,所述方法包括:
通过回调机制获取目标事件发生时,导致该目标事件发生的进程的特征信息;所述特征信息为与所述进程的权限相关的信息;
根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。
2.如权利要求1所述的提权检测方法,其特征在于,所述目标事件包括进程创建事件、进程打开事件、文件操作事件、注册表操作事件和远程过程调用事件中的任意一种,所述特征信息包括所述进程的令牌;
所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,包括:
检测在预设的令牌列表中是否存在所述进程的目标令牌;
若存在所述进程的目标令牌,且所述进程的令牌与所述令牌列表中的目标令牌地址一致,则检测所述令牌中的权限项是否被包含于所述目标令牌中的权限项内;
若所述令牌中的权限项被包含于所述目标令牌中的权限项内,则确定所述目标事件中存在非法提升权限的情况。
3.如权利要求2所述的提权检测方法,其特征在于,所述目标事件为进程打开事件,所述特征信息还包括所述进程的强制策略;
所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,还包括:
根据所述令牌从预设的初始强制策略集合中查找出与所述令牌对应的初始强制策略;
若所述进程的强制策略与所述初始强制策略不一致,确定所述目标事件中存在非法提升权限的情况。
4.如权利要求2所述的提权检测方法,其特征在于,所述目标事件为进程打开事件,所述特征信息还包括所述进程的句柄地址和先前模式;
所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,还包括:
若所述进程的句柄地址为用户态地址,且所述进程的先前模式为内核模式,确定所述目标事件中存在非法提升权限的情况。
5.如权利要求1所述的提权检测方法,其特征在于,所述目标事件为进程打开事件,所述特征信息包括所述进程的句柄地址和完整性级别;
在所根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况之前,所述方法还包括:
拦截所述进程打开事件;
确定所述句柄地址不为内核态地址,且所述进程的完整性级别低于预设级别阈值。
6.如权利要求5所述的提权检测方法,其特征在于,所述方法还包括:
若所述句柄地址为所述内核态地址,或者所述进程的完整性级别高于或等于所述预设级别阈值,则允许所述进程打开事件执行。
7.如权利要求1所述的提权检测方法,其特征在于,所述目标事件为创建硬链接文件事件,所述特征信息包括所述硬链接所链接的文件的安全描述符;
所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,包括:
根据所述安全描述符判断所述进程是否具有所述文件的写权限;
若所述进程具有所述文件的写权限,确定所述目标事件中不存在非法提升权限的情况;
若所述进程不具有所述文件的写权限,确定所述目标事件中存在非法提升权限的情况。
8.如权利要求1所述的提权检测方法,其特征在于,所述目标事件为创建软链接文件事件,所述特征信息包括所述软链接的挂载点名称;
所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,包括:
根据所述挂载点名称判断所述软链接所链接到的目录是否为预设的特定目录;
若所述软链接所链接到的目录为预设的特定目录,确定所述目标事件中存在非法提升权限的情况。
9.如权利要求8所述的提权检测方法,其特征在于,所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况,还包括:
若所述软链接所链接到的目录不为所述特定目录,则获取所述软链接所链接到的目录的安全描述符;
根据所述软链接所链接到的目录的安全描述符判断所述进程是否具有所述目录的写权限;
若所述进程具有所述目录的写权限,确定所述目标事件中不存在非法提升权限的情况;
若所述进程不具有所述目录的写权限,确定所述目标事件中存在非法提升权限的情况。
10.如权利要求1-9任一项所述的提权检测方法,其特征在于,所述提权检测方法通过Windows内核的驱动模块执行。
11.一种提权检测装置,其特征在于,包括:
获取单元,用于通过回调机制获取目标事件发生时,导致该目标事件发生的进程的特征信息;所述特征信息为与所述进程的权限相关的信息;
检测单元,用于根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。
12.一种电子设备,其特征在于,包括处理器、存储器;所述处理器用于执行所述存储器中存储的一个或者多个程序,以实现如权利要求1-10任一项所述的方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1-10任一项所述的方法。
CN202310147590.XA 2023-02-20 2023-02-20 提权检测方法、装置、电子设备及存储介质 Pending CN116244677A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310147590.XA CN116244677A (zh) 2023-02-20 2023-02-20 提权检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310147590.XA CN116244677A (zh) 2023-02-20 2023-02-20 提权检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116244677A true CN116244677A (zh) 2023-06-09

Family

ID=86627388

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310147590.XA Pending CN116244677A (zh) 2023-02-20 2023-02-20 提权检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116244677A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117271269A (zh) * 2023-11-20 2023-12-22 北京微步在线科技有限公司 一种进程权限检测方法、装置、电子设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117271269A (zh) * 2023-11-20 2023-12-22 北京微步在线科技有限公司 一种进程权限检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US7665123B1 (en) Method and apparatus for detecting hidden rootkits
EP2701092A1 (en) Method for identifying malicious executables
JP6468732B2 (ja) ウィンドウのない状態での画面キャプチャを防止するための方法及びシステム
US20190171826A1 (en) Apparatus and method for blocking ransome ware using access control to the contents file
CN105122260A (zh) 到安全操作系统环境的基于上下文的切换
JP2012507778A (ja) ブラウザベースの不正行為防止方法およびシステム
US9542557B2 (en) Snoop-based kernel integrity monitoring apparatus and method thereof
WO2018212474A1 (ko) 독립된 복원영역을 갖는 보조기억장치 및 이를 적용한 기기
CN111782416A (zh) 数据上报方法、装置、系统、终端及计算机可读存储介质
CN110688657A (zh) 一种u盘病毒隔离器及其工作方法
EP3079057B1 (en) Method and device for realizing virtual machine introspection
WO2014206183A1 (zh) 宏病毒查杀方法及系统
KR101223594B1 (ko) Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체
CN116244677A (zh) 提权检测方法、装置、电子设备及存储介质
KR101769714B1 (ko) Bad usb 활성화 방지 시스템 및 방법
US20060015939A1 (en) Method and system to protect a file system from viral infections
JP2010146325A (ja) コンテンツ保護装置及びコンテンツ保護プログラム
CN103430153B (zh) 用于计算机安全的接种器和抗体
WO2014168406A1 (ko) 메모리 보호기능 우회 공격 진단 장치 및 방법
CN105791221B (zh) 规则下发方法及装置
JP4643201B2 (ja) バッファオーバーフロー脆弱性分析方法、データ処理装置、分析情報提供装置、分析情報抽出処理用プログラムおよび分析情報提供処理用プログラム
CN115396140A (zh) 应用访问控制方法、装置、存储介质及计算机设备
KR20090003050A (ko) 액티브엑스 컨트롤 실행 관리 장치 및 방법
KR20140120175A (ko) 소프트웨어 관리 방법 및 이를 구현한 시스템
CN107070913B (zh) 一种基于webshell攻击的检测和防护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination