CN118094565A - 提权检测方法、装置、存储介质及电子设备 - Google Patents
提权检测方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN118094565A CN118094565A CN202410350862.0A CN202410350862A CN118094565A CN 118094565 A CN118094565 A CN 118094565A CN 202410350862 A CN202410350862 A CN 202410350862A CN 118094565 A CN118094565 A CN 118094565A
- Authority
- CN
- China
- Prior art keywords
- information
- raising
- raising process
- calling
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 219
- 230000008569 process Effects 0.000 claims abstract description 179
- 238000012545 processing Methods 0.000 claims abstract description 81
- 238000001514 detection method Methods 0.000 claims abstract description 35
- 230000004044 response Effects 0.000 claims abstract description 10
- 238000004590 computer program Methods 0.000 claims description 15
- 230000008859 change Effects 0.000 claims description 9
- 230000006870 function Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种提权检测方法、装置、存储介质及电子设备,涉及计算机技术领域,该方法包括:响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。本申请可以有效实现轻量化的提权检测,避免底层对代码大量修改,同时,有效降低漏检等问题,极大提高了系统的安全性。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种提权检测方法、装置、存储介质及电子设备。
背景技术
随着各种应用层程序先后加入到Android系统的用户层大生态,相应的root提权程序也都出现,同时,各级厂商也对Android SDK进行修改,也导致root提权的漏洞出现,而且相当难发现,一但出现提权root用户就可以对系统做出不安全的事情。
目前对于提权root(系统最大权限用户),一些手段中,通常只是采取防止手段防止进行提权,一旦防止失效,将无记可施;还有一些手段,通常对所有函数通过挂载探针函数等手段进行检测,对底层代码存在大量修改,提权检测工作量大,容易出现漏检等问题。
发明内容
本申请实施例提供一种提权检测方案,可以有效实现轻量化的提权检测,避免底层对代码大量修改,极大提高了系统的安全性。
本申请实施例提供以下技术方案:
根据本申请的一个实施例,一种提权检测方法,其包括:响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
在本申请的一些实施例中,在所述根据所述提权进程信息上报提权提示信息至用户态服务之后,所述方法还包括:通过所述用户态服务,根据所述提权提示信息确定所述提权进程的处理方式信息,以及,根据所述处理方式信息对所述提权进程进行处理。
在本申请的一些实施例中,所述根据所述处理方式对所述提权进程进行处理,包括以下方式中至少一种:根据所述处理方式信息重启系统;根据所述处理方式信息将所述提权提示信息发送给目标程序;根据所述处理方式信息关闭所述提权进程。
在本申请的一些实施例中,所述根据所述提权进程信息上报提权提示信息至用户态服务,包括:检测所述提权进程信息是否存在改变情况;若是,则上报所述提权提示信息至所述用户态服务。
在本申请的一些实施例中,所述根据所述提权进程信息上报提权提示信息至用户态服务,包括:根据所述提权进程信息生成所述提权提示信息;将所述提权提示信息上报至所述用户态服务。
在本申请的一些实施例中,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,包括:通过所述过滤器程序检测所述调用进出事件对应的提权进程是否属于预定类型或是否位于预定名单;若否,则检测所述提权进程的提权进程信息。
在本申请的一些实施例中,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,包括:通过所述过滤器程序确定所述调用进出事件对应的提权进程;通过所述过滤器程序获取所述提权进程对应的提权进程信息。
根据本申请的一个实施例,一种提权检测装置,所述装置包括:加载模块,用于响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;跟踪模块,用于通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;检测模块,用于若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;上报模块,用于根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
在本申请的一些实施例中,在所述根据所述提权进程信息上报提权提示信息至用户态服务之后,所述装置还包括处理模块,用于:通过所述用户态服务,根据所述提权提示信息确定所述提权进程的处理方式信息,以及,根据所述处理方式信息对所述提权进程进行处理。
在本申请的一些实施例中,所述处理模块,用于实现以下方式中至少一种:根据所述处理方式信息重启系统;根据所述处理方式信息将所述提权提示信息发送给目标程序;根据所述处理方式信息关闭所述提权进程。
在本申请的一些实施例中,所述上报模块,用于:检测所述提权进程信息是否存在改变情况;若是,则上报所述提权提示信息至所述用户态服务。
在本申请的一些实施例中,所述上报模块,用于:根据所述提权进程信息生成所述提权提示信息;将所述提权提示信息上报至所述用户态服务。
在本申请的一些实施例中,所述检测模块,用于:通过所述过滤器程序检测所述调用进出事件对应的提权进程是否属于预定类型或是否位于预定名单;若否,则检测所述提权进程的提权进程信息。
在本申请的一些实施例中,所述检测模块,用于:通过所述过滤器程序确定所述调用进出事件对应的提权进程;通过所述过滤器程序获取所述提权进程对应的提权进程信息。
根据本申请的另一实施例,一种存储介质,其上存储有计算机程序,当所述计算机程序被计算机的处理器执行时,使计算机执行本申请实施例所述的方法。
根据本申请的另一实施例,一种电子设备可以包括:存储器,存储有计算机程序;处理器,读取存储器存储的计算机程序,以执行本申请实施例所述的方法。
根据本申请的另一实施例,一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例所述的各种可选实现方式中提供的方法。
本申请实施例中,响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
以这种方式,通过加载扩展伯克利包过滤器的过滤器程序,基于内核跟踪点来跟踪内核态的系统调用信息,根据系统调用信息检测提权进程的提权进程信息,并上报提权提示信息至用户态服务进行处理,可以通过扩展伯克利包过滤器的过滤器程序实现轻量化root提权检测,并结合用户态服务可以实现多样化的提权进程处理功能,可以有效实现轻量化的提权检测,避免底层对代码大量修改,同时,有效降低漏检等问题,极大提高了系统的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本申请的一个实施例的提权检测方法的流程图。
图2示出了根据本申请的一个实施例的提权进程处理流程图。
图3示出了根据本申请的一个实施例的提权进程信息上报流程图。
图4示出了根据本申请的一个实施例的提权检测装置的框图。
图5示出了根据本申请的一个实施例的电子设备的框图。
具体实施方式
以下结合附图及实施例,对本公开进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本公开,并不用于限定本公开。另外,以下所提供的实施例是用于实施本公开的部分实施例,而非提供实施本公开的全部实施例,在不冲突的情况下,本公开实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,在本公开实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
例如,本公开实施例提供的提权检测方法包含了一系列的步骤,但是本公开实施例提供的提权检测方法不限于所记载的步骤,同样地,本公开实施例提供的提权检测装置包括了一系列单元,但是本公开实施例提供的装置不限于包括所明确记载的单元,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的单元。
除非另有定义,本文所使用的所有的技术和科学术语与属于本公开的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述具体的实施例的目的,不是旨在限制本公开。
图1示意性示出了根据本申请的一个实施例的提权检测方法的流程图。该提权检测方法的执行主体可以是任意具有处理能力的设备,例如电视、电脑、手机、智能手表以及家电设备等等。
如图1所示,该提权检测方法可以包括步骤S110至步骤S140。
步骤S110,响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;步骤S120,通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;步骤S130,若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;步骤S140,根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
预定加载时机可以根据时机情况设定,一种方式中,预定加载时机具体为设备的系统过程或启动后的一个指定时机。
系统中响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序。扩展伯克利包过滤器(eBPF:extended Berkeley Packet Filter)具体为伯克利包过滤器的扩展,演进成为Linux内核通用的执行引擎。伯克利包过滤器(BPF:Berkeley Packet Filter,伯克利包过滤器),发明之初是为了在用户态过滤网络封包。
加载了扩展伯克利包过滤器的过滤器程序后,过滤器程序中的内核跟踪点可以自动跟踪内核态的系统调用信息。内核跟踪点(tracepoint)为Linux内核静态跟踪点,可以在内核态跟踪系统调用的API,从而获得系统调用信息,系统调用信息具体可以是系统调用API进入及退出的信息。
若根据系统调用信息判断当前存在调用进出事件(即掉用API进入及退出),则通过过滤器程序可以进一步检测该调用进出事件对应的提权进程(提权进程cred)的提权进程信息,提权进程信息可以包括提权进程的uid、euid、fsuid等信息。
进一步的,过滤器程序可以根据提权进程信息上报提权提示信息至用户态服务,用户态服务即用户态的程序,过滤器程序为内核外的程序,实现从内核态到用户态的提权提示信息上报。
提权提示信息用于用户态服务对提权进程进行处理,提权提示信息可以是用于提示提权程序的相关信息。例如,提权提示信息可以是描述提权进程存在异常提权的信息,或者,提权提示信息可以是提权进程的uid、euid、fsuid等信息。
从内核态有效实现轻量级提权检测,从内核态到用户态的提权提示信息上报,在实现轻量级有效提权检测的基础上可以结合用户态的多样化功能进一步进行提权进程的多样化处理。
以这种方式,基于步骤S110至步骤S140,通过加载扩展伯克利包过滤器的过滤器程序,基于内核跟踪点来跟踪内核态系统的系统调用信息,根据系统调用信息检测提权进程的提权进程信息,并上报提权提示信息至用户态服务进行处理,可以通过扩展伯克利包过滤器的过滤器程序实现轻量化root提权检测,并结合用户态服务可以实现多样化的提权进程处理功能,可以有效实现轻量化的提权检测,避免底层对代码大量修改,同时,有效降低漏检等问题,极大提高了系统的安全性。
下面描述图1实施例下进行提权检测时,所进行的各步骤下进一步可选的具体实施例。
一种实施例中,一种实施例中,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,包括:通过所述过滤器程序确定所述调用进出事件对应的提权进程;通过所述过滤器程序获取所述提权进程对应的提权进程信息。
首先,通过扩展伯克利包过滤器的过滤器程序可以确定本次调用进出事件对应的提权进程,然后,可以通过过滤器程序检测该提权进程对应的提权进程信息。
也即,该实施例下,会针对所有检测到的提权进程获取对应的提权进程信息,进一步用于后续步骤的处理,可以避免对任何提权程序的漏检,有效保证系统安全。
一种实施例中,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,可以包括:通过所述过滤器程序检测所述调用进出事件对应的提权进程是否属于预定类型或是否位于预定名单;若否,则检测所述提权进程的提权进程信息。
首先,通过扩展伯克利包过滤器的过滤器程序可以确定本次调用进出事件对应的提权进程,然后,可以通过过滤器程序判断该提权进程是否属于预定类型或是否位于预定名单,最好,若该提权进程不属于预定类型或不位于预定名单,则获取提权进程的提权进程信息。其中,预定类型或预定名单可以是事先根据实际情况设定的。
也即,该实施例下,仅会针对所有检测到不属于预定类型或不位于预定名单的提权进程来获取对应的提权进程信息,进一步用于后续步骤的处理,可以进一步减少不必要的提权检测且避免提权程序漏检,进一步提升提权检测可靠性。
一种实施例中,参阅图2,所述根据所述提权进程信息上报提权提示信息至用户态服务,可以包括:步骤S210,检测所述提权进程信息是否存在改变情况;步骤S220,若是,则上报所述提权提示信息至所述用户态服务。
该实施例下,过滤器程序首先检测获取到的提权进程信息是否存在改变情况,若存在改变情况则反映该提权进程具有非法提权的嫌疑,进一步上报该提权提示信息至用户态服务可以由用户态服务进行多样化的处理。
若存在改变情况反映该提权进程具有非法提权的嫌疑的情况下,才上报该提权提示信息至用户态服务可以由用户态服务进行处理,可以进一步可靠地降低提权检测的工作量,提升提权检测可靠性。
一种实施例中,所述根据所述提权进程信息上报提权提示信息至用户态服务,包括:根据所述提权进程信息生成所述提权提示信息;将所述提权提示信息上报至所述用户态服务。
该实施例下,过滤器程序首先检测获取到提权进程信息,并生成对应的提权提示信息,然后直接上报该提权提示信息至用户态服务可以由用户态服务进行多样化的处理。也即,该实施例下,对于任意获取到的提权进程信息都会生成提权提示信息上报给用户态服务,可以避免提权进程的漏处理。
一种实施例中,参阅图3,在所述根据所述提权进程信息上报提权提示信息至用户态服务之后,所述方法还可以包括:步骤S310,通过所述用户态服务,根据所述提权提示信息确定所述提权进程的处理方式信息,以及,步骤S320,根据所述处理方式信息对所述提权进程进行处理。
通过用户态服务,根据提权提示信息确定提权进程的处理方式信息,可以理解,不同的提权提示信息对应的处理方式信息可以不同,用户态程序可以根据预设的处理方式表查询当前的提权提示信息对应的处理方式信息,并根据处理方式信息对提权进程进行相应的处理。
一种实施例中,所述根据所述处理方式对所述提权进程进行处理,具体可以包括以下方式中至少一种:根据所述处理方式信息重启系统;根据所述处理方式信息将所述提权提示信息发送给目标程序;根据所述处理方式信息关闭所述提权进程。
根据处理方式信息对所述提权进程进行处理,可以包括重启系统、将提权提示信息发送给目标程序以及关闭提权进程中的至少一种,用户态服务根据处理方式信息可以灵活地进行多样化处理。
可以理解,其它实施例中,在所述根据所述提权进程信息上报提权提示信息至用户态服务之后,所述方法还可以包括:针对提权进程执行指定的处理,指定的处理可以包括重启系统、将提权提示信息发送给目标程序以及关闭提权进程中的至少一种。也即,所有的提权提示信息下用户态服务都执行指定的处理。
为便于更好的实施本申请实施例提供的提权检测方法,本申请实施例还提供一种基于上述提权检测方法的提权检测装置。其中名词的含义与上述提权检测方法中相同,具体实现细节可以参考方法实施例中的说明。图4示出了根据本申请的一个实施例的提权检测装置的框图。
如图4所示,提权检测装置400中可以包括:加载模块410可以用于响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;跟踪模块420可以用于通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;检测模块430可以用于若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;上报模块440可以用于根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
在本申请的一些实施例中,在所述根据所述提权进程信息上报提权提示信息至用户态服务之后,所述装置还包括处理模块,用于:通过所述用户态服务,根据所述提权提示信息确定所述提权进程的处理方式信息,以及,根据所述处理方式信息对所述提权进程进行处理。
在本申请的一些实施例中,所述处理模块,用于实现以下方式中至少一种:根据所述处理方式信息重启系统;根据所述处理方式信息将所述提权提示信息发送给目标程序;根据所述处理方式信息关闭所述提权进程。
在本申请的一些实施例中,所述上报模块,用于:检测所述提权进程信息是否存在改变情况;若是,则上报所述提权提示信息至所述用户态服务。
在本申请的一些实施例中,所述上报模块,用于:根据所述提权进程信息生成所述提权提示信息;将所述提权提示信息上报至所述用户态服务。
在本申请的一些实施例中,所述检测模块,用于:通过所述过滤器程序检测所述调用进出事件对应的提权进程是否属于预定类型或是否位于预定名单;若否,则检测所述提权进程的提权进程信息。
在本申请的一些实施例中,所述检测模块,用于:通过所述过滤器程序确定所述调用进出事件对应的提权进程;通过所述过滤器程序获取所述提权进程对应的提权进程信息。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,本申请实施例还提供一种电子设备,如图5所示,图5示出了根据本申请的一个实施例的电子设备的框图,具体来讲:
该电子设备可以包括一个或者一个以上处理核心的处理器501、一个或一个以上计算机可读存储介质的存储器502、电源503和输入单元504等部件。本领域技术人员可以理解,图5中示出的电子设备结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中:
处理器501是该电子设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器502内的软件程序和/或模块,以及调用存储在存储器502内的数据,执行计算机设备的各种功能和处理数据,从而对电子设备进行整体监控。可选的,处理器501可包括一个或多个处理核心;优选的,处理器501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户页面和应用程序等,调制解调处理器主要处理无线通讯。可以理解的是,上述调制解调处理器也可以不集成到处理器501中。
存储器502可用于存储软件程序以及模块,处理器501通过运行存储在存储器502的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器502可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器502可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器502还可以包括存储器控制器,以提供处理器501对存储器502的访问。
电子设备还包括给各个部件供电的电源503,优选的,电源503可以通过电源管理系统与处理器501逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源503还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该电子设备还可包括输入单元504,该输入单元504可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,电子设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,电子设备中的处理器501会按照如下的指令,将一个或一个以上的计算机程序的进程对应的可执行文件加载到存储器502中,并由处理器501来运行存储在存储器502中的计算机程序,从而实现本申请前述实施例中各种功能,如处理器501可以执行下述步骤:
响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
在本申请的一些实施例中,在所述根据所述提权进程信息上报提权提示信息至用户态服务之后,还包括:通过所述用户态服务,根据所述提权提示信息确定所述提权进程的处理方式信息,以及,根据所述处理方式信息对所述提权进程进行处理。
在本申请的一些实施例中,所述根据所述处理方式对所述提权进程进行处理,包括以下方式中至少一种:根据所述处理方式信息重启系统;根据所述处理方式信息将所述提权提示信息发送给目标程序;根据所述处理方式信息关闭所述提权进程。
在本申请的一些实施例中,所述根据所述提权进程信息上报提权提示信息至用户态服务,包括:检测所述提权进程信息是否存在改变情况;若是,则上报所述提权提示信息至所述用户态服务。
在本申请的一些实施例中,所述根据所述提权进程信息上报提权提示信息至用户态服务,包括:根据所述提权进程信息生成所述提权提示信息;将所述提权提示信息上报至所述用户态服务。
在本申请的一些实施例中,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,包括:通过所述过滤器程序检测所述调用进出事件对应的提权进程是否属于预定类型或是否位于预定名单;若否,则检测所述提权进程的提权进程信息。
在本申请的一些实施例中,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,包括:通过所述过滤器程序确定所述调用进出事件对应的提权进程;通过所述过滤器程序获取所述提权进程对应的提权进程信息。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过计算机程序来完成,或通过计算机程序控制相关的硬件来完成,该计算机程序可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例还提供一种存储介质,其中存储有计算机程序,该计算机程序能够被处理器进行加载,以执行本申请实施例所提供的任一种方法中的步骤。
其中,该存储介质可以是计算机可读存储介质,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的计算机程序,可以执行本申请实施例所提供的任一种方法中的步骤,因此,可以实现本申请实施例所提供的方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的实施例,而可以在不脱离其范围的情况下进行各种修改和改变。
Claims (10)
1.一种提权检测方法,其特征在于,包括:
响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;
通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;
若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;
根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述提权进程信息上报提权提示信息至用户态服务之后,所述方法还包括:
通过所述用户态服务,根据所述提权提示信息确定所述提权进程的处理方式信息,以及,
根据所述处理方式信息对所述提权进程进行处理。
3.根据权利要求2所述的方法,其特征在于,所述根据所述处理方式对所述提权进程进行处理,包括以下方式中至少一种:
根据所述处理方式信息重启系统;
根据所述处理方式信息将所述提权提示信息发送给目标程序;
根据所述处理方式信息关闭所述提权进程。
4.根据权利要求1所述的方法,其特征在于,所述根据所述提权进程信息上报提权提示信息至用户态服务,包括:
检测所述提权进程信息是否存在改变情况;
若是,则上报所述提权提示信息至所述用户态服务。
5.根据权利要求1所述的方法,其特征在于,所述根据所述提权进程信息上报提权提示信息至用户态服务,包括:
根据所述提权进程信息生成所述提权提示信息;
将所述提权提示信息上报至所述用户态服务。
6.根据权利要求1所述的方法,其特征在于,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,包括:
通过所述过滤器程序检测所述调用进出事件对应的提权进程是否属于预定类型或是否位于预定名单;
若否,则检测所述提权进程的提权进程信息。
7.根据权利要求1所述的方法,其特征在于,所述通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息,包括:
通过所述过滤器程序确定所述调用进出事件对应的提权进程;
通过所述过滤器程序获取所述提权进程对应的提权进程信息。
8.一种提权检测装置,其特征在于,包括:
加载模块,用于响应于符合预定加载时机,加载扩展伯克利包过滤器的过滤器程序;
跟踪模块,用于通过所述过滤器程序中的内核跟踪点跟踪内核态的系统调用信息;
检测模块,用于若根据所述系统调用信息判断存在调用进出事件,则通过所述过滤器程序检测所述调用进出事件对应的提权进程的提权进程信息;
上报模块,用于根据所述提权进程信息上报提权提示信息至用户态服务,所述提权提示信息用于所述用户态服务对所述提权进程进行处理。
9.一种存储介质,其特征在于,其上存储有计算机程序,当所述计算机程序被计算机的处理器执行时,使计算机执行权利要求1至7任一项所述的方法。
10.一种电子设备,其特征在于,包括:存储器,存储有计算机程序;处理器,读取存储器存储的计算机程序,以执行权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410350862.0A CN118094565A (zh) | 2024-03-25 | 2024-03-25 | 提权检测方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410350862.0A CN118094565A (zh) | 2024-03-25 | 2024-03-25 | 提权检测方法、装置、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118094565A true CN118094565A (zh) | 2024-05-28 |
Family
ID=91158529
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410350862.0A Pending CN118094565A (zh) | 2024-03-25 | 2024-03-25 | 提权检测方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118094565A (zh) |
-
2024
- 2024-03-25 CN CN202410350862.0A patent/CN118094565A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109522147A (zh) | 一种记录开机异常信息的方法、装置、存储介质及终端 | |
US8949976B2 (en) | Scanning computer files for specified content | |
JP2006277062A (ja) | アプリケーション管理装置およびそのソフトウェアを格納した記憶媒体 | |
CN109918141A (zh) | 线程执行方法、装置、终端及存储介质 | |
CN106203092B (zh) | 一种拦截恶意程序关机的方法、装置及电子设备 | |
CN109409087A (zh) | 防提权检测方法及设备 | |
CN116450309A (zh) | 系统服务提供方法、装置、存储介质及电子设备 | |
CN115840938A (zh) | 一种文件监控的方法及装置 | |
US20060235655A1 (en) | Method for monitoring function execution | |
KR20140055897A (ko) | 사용자 단말기, 신뢰성 관리 서버, 부정 원격 조작 방지 방법, 및 부정 원격 조작 방지 프로그램이 기록된, 컴퓨터로 판독 가능한 기록매체 | |
CN118094565A (zh) | 提权检测方法、装置、存储介质及电子设备 | |
CN110928630A (zh) | 应用程序窗口的激活控制方法、装置、设备及存储介质 | |
CN111143134B (zh) | 故障处理方法、设备及计算机存储介质 | |
CN111079139A (zh) | 进程预警方法、装置、计算机设备和计算机可读存储介质 | |
CN111176416A (zh) | 应用控制方法、装置、终端及计算机可读存储介质 | |
CN112306822B (zh) | 一种控制方法、装置及电子设备 | |
CN114007090B (zh) | 视频直播的建立方法、装置、存储介质及电子设备 | |
CN116915717B (zh) | 吞吐量分配方法、装置、存储介质及电子设备 | |
CN117615205A (zh) | 音量调节控制方法、装置、存储介质及电子设备 | |
EP1715423A1 (en) | Method for monitoring function execution | |
CN118519740A (zh) | 程序切换方法、装置、终端设备及计算机可读存储介质 | |
CN117196745A (zh) | 信息提示方法、装置、存储介质及电子设备 | |
CN117407202A (zh) | 桌面图标布局修复方法、装置、存储介质及电子设备 | |
CN117411967A (zh) | 比吸收率调节方法、装置、存储介质及电子设备 | |
CN106682043B (zh) | 一种垃圾文件提示方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |