CN102855274A

CN102855274A - 一种可疑进程检测的方法和装置

Info

Publication number: CN102855274A
Application number: CN2012102484185A
Authority: CN
Inventors: 张聪; 宋申雷; 肖鹏; 刘起
Original assignee: Beijing Qihoo Technology Co Ltd
Current assignee: Beijing Qihoo Technology Co Ltd
Priority date: 2012-07-17
Filing date: 2012-07-17
Publication date: 2013-01-02
Anticipated expiration: 2032-07-17
Also published as: CN102855274B

Abstract

本申请提供了一种可疑进程检测的方法和装置，其中，所述的方法包括：获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名；若某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。本申请可以对可疑进程进行全面、有效、准确的识别，提高用户上网的安全性。

Description

一种可疑进程检测的方法和装置

技术领域

本申请涉及信息安全的技术领域，特别是涉及一种可疑进程检测的方法和一种可疑进程检测的装置。

背景技术

计算机病毒是指编制者在计算机程序中***的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机一旦染上病毒，通常表现为其文件被增加、删除、改变名称或属性、移动到其它目录下，病毒对计算机文件的这些操作，可能会导致正常的程序无法运行、计算机操作***崩溃、计算机被远程控制、用户信息被盗用等一系列的问题。

目前，上网用户比较容易感染的计算机病毒就是“木马”。木马是指利用计算机程序漏洞侵入后窃取文件的程序。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序。历史上对计算机木马的定义是，试图以有用程序的假面具欺骗用户允许其运行的一类渗透。请注意，过去的木马确实是这样，但现在它们已无需伪装自己。它们唯一的目的就是尽可能轻松地渗透并完成其恶意目标。“木马”已成为一个通用词，用来形容不属于任何特定类别的所有渗透。

木马技术发展至今，最为常见的就是网页木马，网页木马是网页恶意软件威胁的罪魁祸首，它表面上伪装成普通的网页文件或是将恶意的代码直接***到正常的网页文件中，当有人访问时，网页木马就会利用对方***或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。网页木马的实质是利用漏洞向用户传播木马下载器，准确地说，网页木马并不是木马程序，而应该称为网页木马“种植器”，也即一种通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。

网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马，也就是说，这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行(安装)过程就自动开始。

为了保证计算机的安全运行，现有技术中，各种安全软件提出了针对木马的检测及拦截技术，现有的安全软件进行检测和拦截的原理是，通过提取病毒特征码建立病毒库，当用户触发检测时，将用户计算机中的指定文件与病毒库中的特征码相比较，以判断是否为病毒，若是病毒，则进行隔离或删除。然而，由于病毒库并非实时更新，用户触发病毒检测也是滞后的，采用这种现有技术极易出现病毒误报和漏报和问题。例如，用户通过浏览器访问一个被挂了木马的网站(挂马网站)，浏览器进程会下载木马程序并且在用户不知情的情况下执行，由于现有的安全软件无法实时侦测到这种情况，此时将不可避免地导致木马程序在用户设备中运行，盗用其账号密码等资料，从而导致用户产生损失。尤其是对于新型病毒而言，即使用户在访问挂马网站过后触发了木马检测过程，但由于其未收录在病毒库中，木马仍无法检测出来。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：提出一种全新的可疑进程检测的机制，用以对可疑进程进行全面、有效、准确的识别，提高用户上网的安全性。

发明内容

本申请所要解决的技术问题是提供一种可疑进程检测的方法和装置，用以对可疑进程进行全面、有效、准确的识别，提高用户上网的安全性。

为了解决上述问题，本申请公开了一种可疑进程检测的方法，包括：

获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名；

若某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。

优选地，所述浏览器中各运行进程包括浏览器正在启动的进程以及浏览器中已启动的进程。

优选地，所述获取浏览器中各运行进程的第一特征数据的步骤包括：

获取浏览器中各运行进程的可执行文件的路径；

从所述路径提取相应的可执行文件；

读取所述可执行文件的内容计算哈希值；

以及，

提取所述可执行文件的数字签名。

优选地，所述数字签名采用如下方式生成：

1)对要签名的可执行文件创建hash值；

2)使用发布者的私钥来加密上述hash值；

3)将被加密的hash值和发布者的数字证书***到要签名的可执行文件；

以及，所述数字签名采用如下方式提取：

1)对要验证的可执行文件创建hash值；

2)使用发布者的公钥来解密被加密的hash值；

3)比较解密的hash值和新创建的hash值，如果匹配说明签名是正确的，提取发布者的数字证书信息。

优选地，所述第一特征数据包括进程的可执行文件的路径，所述第一白名单数据库中还包括可信路径。

优选地，所述的方法，还包括：

若某个进程的第一特征数据在所述预置的第一白名单数据库中，则进一步提取该进程的第二特征数据，所述第二特征数据包括进程的可执行文件所执行参数中的文件路径；

在所述文件路径下提取相应文件的信息；

采用所述提取的文件信息在预置的第二白名单数据库中进行匹配，所述第二白名单数据库中包括可信的文件信息；

若所述提取的文件信息不在所述预置的第二白名单数据库中，则判定该进程为可疑进程。

优选地，所述的方法，还包括：

针对可疑进程发出可疑进程提示信息并结束该进程；

或者，

针对可疑进程发出可疑进程提示信息并阻止该进程运行。

本申请实施例还公开了一种可疑进程检测的装置，包括：

进程信息获取模块，用于获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

白名单检测模块，用于采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名；

第一判定模块，用于在某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。

优选地，所述进程信息获取模块包括：

可执行文件路径获取子模块，用于获取浏览器中各运行进程的可执行文件的路径；

可执行文件提取子模块，用于从所述路径提取相应的可执行文件；

内容读取子模块，用于读取所述可执行文件的内容计算哈希值；

以及，

数字签名提取子模块，用于提取所述可执行文件的数字签名。

优选地，所述第一特征数据还包括进程的可执行文件的路径，所述第一白名单数据库中还包括可信路径。

优选地，所述的装置，还包括：

特征提取模块，用于在某个进程的第一特征数据在所述预置的第一白名单数据库中时，进一步提取该进程的第二特征数据，所述第二特征数据包括进程的可执行文件所执行参数中的文件路径；

文件提取模块，用于在所述文件路径下提取相应文件的信息；

匹配模块，用于采用所述提取的文件信息在预置的第二白名单数据库中进行匹配，所述第二白名单数据库中包括可信的文件信息；

第二判定模块，用于在所述提取的文件信息不在所述预置的第二白名单数据库中时，判定该进程为可疑进程。

优选地，所述的装置，还包括：

第一提示模块，用于针对可疑进程发出可疑进程提示信息并结束该进程；

或者，

第二提示模块，与白名单检测模块相连，用于针对可疑进程，发出可疑进程提示信息并阻止该进程运行。

与现有技术相比，本申请包括以下优点：

本申请提出了一种针对浏览器中运行的进程进行白名单检测的机制，利用白名单“非白即黑”的特性，可以保护浏览器中运行的进程不被漏洞攻击，也能保护用户在不知情的情况下通过程序下载运行病毒木马，对可疑进程能进行全面、有效、准确的识别，从而提高用户上网的安全性。

本申请实施例采用两级的白名单检测机制筛选浏览器当前运行进程中的可疑进程，在第一级白名单检测处理中，获取浏览器中各运行进程的第一特征数据，判断这些数据是否在第一白名单数据库，若否则判定相应的进程是可疑进程；同时还可以进一步发起对除所述可疑进程之外的其它进程的第二级白名单检测处理，即通过获取这些进程的第二特征数据，判断这些数据是否在第二白名单数据库，若否则判定相应的进程是可疑进程。本申请可以对浏览器当前运行进程进行实时侦测，从而有效提高用户上网的安全性，避免用户受到如木马程序等病毒的攻击。

附图说明

图1是本申请的一种可疑进程检测的方法实施例1的步骤流程图；

图2是本申请的一种可疑进程检测的方法实施例2的步骤流程图；

图3是本申请的一种可疑进程检测的方法实施例3的步骤流程图；

图4是本申请的一种可疑进程检测的装置实施例1的结构框图；

图5是本申请的一种可疑进程检测的装置实施例2的结构框图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

本申请实施例的核心构思之一在于，提出一种针对浏览器中运行的进程进行白名单检测的机制，利用白名单“非白即黑”的特性，有效防范浏览器中运行的可疑进程，提高提高用户上网的安全性。

参考图1，示出了本申请的一种可疑进程检测的方法实施例1的步骤流程图，具体可以包括如下步骤：

步骤101，获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

步骤102，采用所述第一特征数据在预置的第一白名单数据库中进行匹配；

在本实施例中，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名，步骤102即，将当前浏览器中各运行进程的可执行文件哈希值，与第一白名单数据库中的可信的文件哈希值进行匹配；当前浏览器中各运行进程的可执行文件的数字签名，与第一白名单数据库中的可信的文件数字签名进行匹配。

在本申请实施例中，所述浏览器中各运行进程包括浏览器正在启动的进程以及浏览器中已启动的进程，即浏览器中当前开启及运行的所有进程。应用本申请实施例，当浏览器(浏览器程序)访问网址时，则会获取当前浏览器正在启动以及浏览器中已经启动的进程的第一特征数据，通过将第一特征数据与预置的第一白名单数据库进行匹配，从而判定当前浏览器正在启动及已启动的进程中是否存在可疑进程。

需要说明的是，进程是一个正在执行的程序，即计算机中正在运行的程序实例；其可以分配给处理器并作为一个实体由处理器执行。本申请实施例中所指“浏览器中各运行进程”，并不包括浏览器进程本身，通常包括两种类型，一种非浏览器缓存目录下的文件下载进程，由于正常的网页浏览不会下载木马等病毒文件，浏览器进程会将网页中的图片、样式表和脚本等网页资源文件下载到本地的缓存目录，如C:\Documents andSettings\％username％\Local Settings\Temporary Internet Files，因此，当前这种情况即指非浏览器缓存目录下的文件下载进程，例如，访问一个可执行文件的下载地址的进程，即通过浏览器直接运行的可执行文件。通过对非浏览器缓存目录下的文件下载进程进行识别，可以有效阻断有可能是木马等病毒的可疑进程的运行。

另一种为通过***漏洞触发的网页木马下载进程。网页木马的特性是表面上伪装成普通的网页文件或是将恶意的代码直接***到正常的网页文件中，当有人访问时，网页木马就会利用对方***或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行，故应用本申请实施例可以对浏览器中运行的网页木马进程实时侦测，采用白名单机制又可防止由于病毒库滞后，不包含新型网页木马而导致网页木马无法识别出的问题。

在本申请的一种优选实施例中，所述步骤102可以包括如下子步骤：

子步骤S11，获取浏览器中各运行进程的可执行文件的路径；

子步骤S12，从所述路径提取相应的可执行文件；

子步骤S13，读取所述可执行文件的内容计算哈希值；

以及，

子步骤S14，判断所述可执行文件是否具有数字签名，若是，则提取该数字签名；若否，则针对所述可执行文件生成对应的数字签名。

在具体实现中，可以通过MD5算法(Message Digest Algorithm MD5，消息摘要算法第五版)计算出可执行文件的唯一HASH(哈希)值。MD5算法的典型应用是对一段信息(Message)产生信息摘要(Message-Digest)，以防止被篡改。MD5算法将整个文件当作一个大文本信息，通过其不可逆的字符串变换算法，产生了这个唯一的MD5信息摘要。

例如，通过MD5算法，计算可执行文件WINWORD.EXE的唯一的32位HASH值为54525786F76E6CD2BA29E2B7B1B28939。

当然，本领域技术人员根据实际情况采用其它算法计算可执行文件的哈希值均是可行的，例如采用sha-1、RIPEMD以及Haval等算法，本申请对此无需加以限制。

数字签名(Digital Signature)是使用数字证书来识别软件的发布商和使用hash算法来确保软件的完整性一种技术。在Windows操作***中，微软认证码技术使用Windows受信任的根证书颁发机构颁发的代码签名证书，对软件代码进行数字签名，从而保证了软件代码来自真实的发行者和保证软件代码没有被非法篡改。软件代码数字签名仍然采用PKI(Public Key Infrastructure，公钥基础设施)双钥技术，整个数字签名过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。

举例而言，生成数字签名的过程为：

1)对要签名的可执行文件创建hash值；

2)使用发布者的私钥来加密上述hash值；

3)将被加密的hash值和发布者的数字证书***到要签名的可执行文件。

相应地，数字签名的验证过程为：

1)对要验证的可执行文件创建hash值；

2)使用发布者的公钥来解密被加密的hash值；

例如，校验可执行文件的WINWORD.EXE的数字签名，提取发布者的数字证书信息为：Microsoft Code Signing PCA。

步骤103，若某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。

在具体实现中，本申请实施例可以适用于任一次浏览器的网址访问操作，即在浏览器访问网址时，触发可疑进程检测模式，在可疑进程模式下执行步骤101-103；作为另一种示例，本申请实施例也可以特别适用于对安全等级要求较高的网站服务中，即在浏览器当前访问的网址在预置的网址列表中时，触发可疑进程检测模式，比如用户在访问某购物网站时，判定该网址在预置的安全等级较高的网址列表中，于是触发可疑进程检测模式，在可疑进程模式下执行步骤101-103。

参考图2，示出了本申请的一种可疑进程检测的方法实施例2的步骤流程图，具体可以包括如下步骤：

步骤201，获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的路径，哈希值和数字签名；

在具体实现中，所述第一特征数据还可以包括进程的名称。

步骤202，采用所述第一特征数据在预置的第一白名单数据库中进行匹配，判断当前进程是否为可疑进程，所述第一白名单数据库中包括可信路径，可信的文件哈希值和可信的文件数字签名；

步骤203，若某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程；

步骤204，针对所述可疑进程发出可疑进程提示信息并结束该进程；或者，发出可疑进程提示信息并阻止该进程运行。

在具体实现中，可以在RING3(环3)层和/或RING0(环0)层对浏览器中所运行的进程进行监控，具体可以通过HOOK(钩挂)API(应用程序接口)函数来实现。其中RING3(环3)层，RING0(环0)层是相对于CPU的特权指令级别而言的，CPU将特权级别分为4个级别：RING0，RING1，RING2，RING3。Windows只使用其中的两个级别RING0和RING3，RING0只给操作***用，RING3谁都能用。

举例而言，在RING3层中，可以通过HOOK调用的执行命令类API函数，获取函数参数，获得启动进程的名称和启动进程的可执行文件路径。在RING0层，通过HOOK hook DeviceIoControl api函数，用户态的程序通过DeviceIoControl函数发送I/O请求包到内核态驱动，内核态驱动接收到此请求包后，填写数据到用户态的程序所提供的缓冲区里，通过检查数据获得启动进程的名称和启动进程的可执行文件路径。

例如，在RING3层中，可以HOOK WinExec函数：

UINT WinExec(LPCSTR lpCmdLine，UINT uCmdShow)；

其中，lpCmdLine是执行的应用程序的命令行，uCmdShow：定义Windows应用程序的窗口如何显示，并为CreateProcess函数提供STARTUPINFO参数的wShowWindow成员的值。

如果当前浏览器调用WinExec函数执行C盘下的muma.exe文件，

WinExec(″C:\\muma.exe″，SW_NORMAL)；

则通过RING3和RING0的HOOK，可以获取lpCmdLine参数，获取进程的名称和可执行文件的路径。

作为本申请实施例具体应用的另一种示例，还可以通过如下方式获取浏览器中各运行进程的名称和可执行文件路径：

调用windows***的API函数NtQuerySystemInformation枚举当前***的进程：

1.从Ntdll.dll模块中找到ZwQuerySystemInformation的函数入口；

2.获得进程信息数组链；

3.循环遍历出所有的进程信息；

4.获取进程信息中的ProcessName进程名；

5.从进程名中获取进程的路径和文件名。

在具体实现中，所述第一白名单数据库中可信路径可以包括固定的软件安装目录，固定的文件路径等。

为使本领域技术人员更好地理解本申请实施例，以下通过一个具体示例进行说明。

S1，获取进程信息，遍历出其中一条进程信息：

C:\Program Files\Microsoft Office\Office 12\WINWORD.EXE；

S2，获取其可执行文件的路径为C:\Program Files\MicrosoftOffice\Office 12\；

S3，通过匹配第一白名单数据库中的可信文件路径，判定路径C:\Program Files\，属于装置正常的软件安装路径；

S4，通过MD5HASH算法，计算WINWORD.EXE的文件唯一的32位MD5HASH值为54525786F76E6CD2BA29E2B7B1B28939；通过查询匹配第一白名单数据库中的文件哈希值，发现存在此文件MD5hash值；

S5，校验WINWORD.EXE的数字签名，数字签名方为：Microsoft CodeSigning PCA，属于第一白名单数据库中的可信数字证书；

S6，判定该进程为白名单中的可信进程。

在实际中，当浏览器中的某个运行进程的第一特征数据未出现第一白名单数据库中时，则判定为可疑进程时，针对可疑进程，可以提示并结束进程，也可以提示并阻止进程运行，还可以采用其它方式对该进程进行拦截，本申请对此无需加以限制。

参考图3，示出了本申请的一种可疑进程检测的方法实施例3的步骤流程图，具体可以包括如下步骤：

步骤301，获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的路径，哈希值和数字签名；

在具体实现中，所述第一特征数据还可以包括进程的名称。

步骤302，采用所述第一特征数据在预置的第一白名单数据库中进行匹配，判断当前进程是否为可疑进程，所述第一白名单数据库中包括可信路径，可信的文件哈希值和可信的文件数字签名；

步骤303，若某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程；

步骤304，若某个进程的第一特征数据在所述预置的第一白名单数据库中，则进一步提取该进程的第二特征数据，所述第二特征数据包括进程的可执行文件所执行参数中的文件路径；

步骤305，在所述文件路径下提取相应文件的信息；

步骤306，采用所述提取的文件信息在预置的第二白名单数据库中进行匹配，所述第二白名单数据库中包括可信的文件信息；

步骤307，若所述提取的文件信息不在所述预置的第二白名单数据库中，则判定该进程为可疑进程；

步骤308，针对所述可疑进程发出可疑进程提示信息并结束该进程；或者，发出可疑进程提示信息并阻止该进程运行。

本申请实施例采用两级的白名单检测机制筛选浏览器当前运行进程中的可疑进程，在第一级白名单检测处理中，获取浏览器中各运行进程的第一特征数据，判断这些数据是否在第一白名单数据库，若否则判定相应的进程是可疑进程；同时还可以进一步发起对除所述可疑进程之外的其它进程的第二级白名单检测处理，即通过获取这些进程的第二特征数据，判断这些数据是否在第二白名单数据库，若否则判定相应的进程是可疑进程。本实施例可以防止利用白名单进程二次执行恶意木马病毒程序的情况。

例如：假设经过与第一白名单数据库匹配后确定进程cmd.exe为非可疑进程，在这种情况下，进一步提取该进程cmd.exe的可执行文件所执行参数中的文件路径如下：

″C:\Documents and Settings\Administrator\Local Settings\TemporaryInternet Files\Content.IE5\server[1].exe”

表示进程cmd.exe去会去接受参数路径执行文件″C:\Documents andSettings\Administrator\Local Settings\Temporary InternetFiles\Content.IE5\server[1].exe”，即意味着这个非可疑进程可能再运行了一个可疑文件。

在这种情况下，可以应用本实施例获取进程cmd.exe所执行参数中的文件路径：

C:\Documents and Settings\Administrator\Local Settings\TemporaryInternet Files\Content.IE5\server[1].exe

然后在该路径下提取到文件server[1].exe，再将文件server[1].exe放入第二白名单数据库，判断是不是一个可信的文件信息，若不是，则将当前进程判定为可疑进程。

或如：假设经过与第一白名单数据库匹配后确定进程WScript.exe为非可疑进程，在这种情况下，进一步提取该进程WScript.exe的可执行文件所执行参数中的文件路径如下：

″C:\DOCUME～1\o1\LOCALS～1\Temp\MtwRtxMTrFeeGOaDW.vbs″

表示进程WScript.exe会去接受参数路径执行文件″C:\DOCUME～1\o1\LOCALS～1\Temp\MtwRtxMTrFeeGOaDW.vbs″，即意味着这个非可疑进程可能再运行了一个可疑文件。

C:\DOCUME～1\o1\LOCALS～1\Temp\MtwRtxMTrFeeGOaDW.vbs

然后在该路径下提取到文件MtwRtxMTrFeeGOaDW.vbs，再将文件MtwRtxMTrFeeGOaDW.vbs放入第二白名单数据库，判断是不是一个可信的文件信息，若不是，则将当前进程判定为可疑进程。

当然，上述第二特征数据及第二白名单数据库的设置仅仅用作示例，本领域技术人员根据实际情况设置均是可行的，例如，设置第二特征数据为进程的可执行文件所执行参数中的文件路径，第二白名单数据库相应设置可信的文件名等，本申请对此无需加以限制。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

参考图4，示出了本申请的一种可疑进程检测的装置实施例1的结构框图，具体可以包括如下模块：

进程信息获取模块401，用于获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

白名单检测模块402，用于采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名。

第一判定模块403，用于在某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。

在具体实现中，所述浏览器中各运行进程可以包括正在启动的进程以及已启动的进程。

在本申请的一种优选实施例中，所述进程信息获取模块301可以包括如下子模块：

以及，

作为本申请实施例具体应用的一种示例，所述第一特征数据还可以包括进程的可执行文件的路径，相应地，所述第一白名单数据库中还可以包括可信路径。

在具体实现中，本申请实施例还可以包括：

或者，

第二提示模块，用于针对可疑进程发出可疑进程提示信息并阻止该进程运行。

参考图5，示出了本申请的一种可疑进程检测的装置实施例2的结构框图，具体可以包括如下模块：

进程信息获取模块501，用于获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

白名单检测模块502，用于采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名。

第一判定模块503，用于在某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程；

特征提取模块504，用于在某个进程的第一特征数据在所述预置的第一白名单数据库中时，进一步提取该进程的第二特征数据，所述第二特征数据包括进程的可执行文件所执行参数中的文件路径；

文件提取模块505，用于在所述文件路径下提取相应文件的信息；

匹配模块506，用于采用所述提取的文件信息在预置的第二白名单数据库中进行匹配，所述第二白名单数据库中包括可信的文件信息；

第二判定模块507，用于在所述提取的文件信息不在所述预置的第二白名单数据库中时，判定该进程为可疑进程。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请的实施例可提供为方法、装置、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的一种可疑进程检测的方法和一种可疑进程检测的装置进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

1.一种可疑进程检测的方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述浏览器中各运行进程包括浏览器正在启动的进程以及浏览器中已启动的进程。

3.根据权利要求2所述的方法，其特征在于，所述获取浏览器中各运行进程的第一特征数据的步骤包括：

获取浏览器中各运行进程的可执行文件的路径；

从所述路径提取相应的可执行文件；

读取所述可执行文件的内容计算哈希值；

以及，

提取所述可执行文件的数字签名。

4.根据权利要求3所述的方法，其特征在于，所述数字签名采用如下方式生成：

1)对要签名的可执行文件创建hash值；

2)使用发布者的私钥来加密上述hash值；

以及，所述数字签名采用如下方式提取：

1)对要验证的可执行文件创建hash值；

2)使用发布者的公钥来解密被加密的hash值；

5.根据权利要求1或2或3或4所述的方法，其特征在于，所述第一特征数据还包括进程的可执行文件的路径，所述第一白名单数据库中还包括可信路径。

6.根据权利要求5所述的方法，其特征在于，还包括：

在所述文件路径下提取相应文件的信息；

7.根据权利要求6所述的方法，其特征在于，还包括：

针对可疑进程发出可疑进程提示信息并结束该进程；

或者，

针对可疑进程发出可疑进程提示信息并阻止该进程运行。

8.一种可疑进程检测的装置，其特征在于，包括：

9.根据权利要求8所述的装置，其特征在于，所述浏览器中各运行进程包括浏览器正在启动的进程以及浏览器中已启动的进程。

10.根据权利要求9所述的装置，其特征在于，所述进程信息获取模块包括：

以及，

11.根据权利要求8或9或10所述的装置，其特征在于，所述第一特征数据还包括进程的可执行文件的路径，所述第一白名单数据库中还包括可信路径。

12.根据权利要求11所述的装置，其特征在于，还包括：

13.根据权利要求12所述的装置，其特征在于，还包括：

或者，