CN105138915B - 一种进程操作的处理方法及装置 - Google Patents
一种进程操作的处理方法及装置 Download PDFInfo
- Publication number
- CN105138915B CN105138915B CN201510484669.7A CN201510484669A CN105138915B CN 105138915 B CN105138915 B CN 105138915B CN 201510484669 A CN201510484669 A CN 201510484669A CN 105138915 B CN105138915 B CN 105138915B
- Authority
- CN
- China
- Prior art keywords
- target
- directory
- file
- address
- current operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种进程操作的处理方法及装置。方法包括:监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;在当前运行进程的访问端口和访问IP地址分别为固定的访问端口和固定的IP地址时,确定当前运行进程为目标病毒所使用的目标进程;禁止目标进程通过固定的访问端口访问固定的IP地址;判断是否监听到目标进程对目标目录的写文件操作;当监听到目标进程对目标目录的写文件操作时,锁定目标目录,以禁止目标进程对目标目录的写文件操作;关闭当前运行进程。通过本发明的技术方案,可以通过禁止病毒的进程在目标目录下进行写文件操作来消耗该病毒的资源来使得病毒自行崩溃,从而彻底清除该病毒。
Description
技术领域
本发明涉及病毒技术领域,特别涉及一种进程操作的处理方法及装置。
背景技术
目前,当服务器中了一种特殊的木马病毒后,关闭该木马病毒的进程后,该木马病毒的进程仍会自动重启,并且更换成新的进程名,因此,该病毒并无法彻底清除。
且在***设备目录的根目录(.dev)中发现有可能是病毒的进程写入的可疑文件是非***文件,且删除该文件后,该文件还会自动生成,此外,这些文件的文件名也是随机的。
发明内容
本发明提供一种进程操作的处理方法及装置,用通过禁止病毒的进程在目标目录下进行写操作来消耗该病毒的资源来使得病毒自行崩溃,从而彻底清除该病毒。
本发明提供一种进程操作的处理方法,包括:监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;
当所述当前运行进程的访问端口和访问IP地址分别为所述固定的访问端口和所述固定的IP地址时,确定所述当前运行进程为目标病毒所使用的目标进程;
禁止所述目标进程通过所述固定的访问端口访问所述固定的IP地址;
判断是否监听到所述目标进程对目标目录的写文件操作;
当监听到所述目标进程对所述目标目录的所述写文件操作时,锁定所述目标目录,以禁止所述目标进程对所述目标目录的所述写文件操作;
关闭所述当前运行进程。
在一个实施例中,在确定所述当前运行进程为目标病毒所使用的目标进程之前,所述方法还包括:
确定访问所述固定的访问端口和固定的IP地址的多个进程;
对所述多个进程的名称进行识别;
所述确定所述当前运行进程为目标病毒所使用的目标进程,包括:
当所述多个进程的名称存在规律时,根据所述规律对新启动的当前运行进程进行检查;
在所述新启动的当前运行进程的名称符合所述规律时,确定所述当前运行进程为目标病毒所使用的目标进程。
在一个实施例中,所述规律至少包括下列之一:
相同位置对应的部分名称相同;
相同位置对应的部分名称为数字;
相同位置对应的部分名称符合递增规律;
相同位置对应的部分名称符合递减规律;
相同位置对应的部分名称构成一个算法。
在一个实施例中,所述目标目录包括:本地操作***的根目录、配置目录、工作目录和用户目录中的至少一种目录,以及
所述方法还包括:
在锁定所述目标目录后,判断是否监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作;
当没有监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作时,不再锁定所述目标目录。
本发明还提供一种进程操作的处理装置,包括:监听模块,用于监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;
第一确定模块,用于当所述当前运行进程的访问端口和访问IP地址分别为所述固定的访问端口和所述固定的IP地址时,确定所述当前运行进程为目标病毒所使用的目标进程;
禁止模块,用于禁止所述目标进程通过所述固定的访问端口访问所述固定的IP地址;
第一判断模块,用于判断是否监听到所述目标进程对目标目录的写文件操作;
锁定模块,用于当监听到所述目标进程对所述目标目录的所述写文件操作时,锁定所述目标目录,以禁止所述目标进程对所述目标目录的所述写文件操作;
关闭模块,用于关闭所述当前运行进程。
在一个实施例中,所述装置还包括:
第二确定模块,用于在确定所述当前运行进程为目标病毒所使用的目标进程之前,确定访问所述固定的访问端口和固定的IP地址的多个进程;
识别模块,用于对所述多个进程的名称进行识别;
所述第一确定模块,包括:
检查子模块,用于当所述多个进程的名称存在规律时,根据所述规律对新启动的当前运行进程进行检查;
确定子模块,用于在所述新启动的当前运行进程的名称符合所述规律时,确定所述当前运行进程为目标病毒所使用的目标进程。
在一个实施例中,所述规律至少包括下列之一:
相同位置对应的部分名称相同;
相同位置对应的部分名称为数字;
相同位置对应的部分名称符合递增规律;
相同位置对应的部分名称符合递减规律;
相同位置对应的部分名称构成一个算法。
在一个实施例中,所述目标目录包括:本地操作***的根目录、配置目录、工作目录和用户目录中的至少一种目录,以及
所述装置还包括:
第二判断模块,用于在锁定所述目标目录后,判断是否监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作;
处理模块,用于当没有监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作时,不再锁定所述目标目录。
本公开的实施例提供的技术方案可以包括以下有益效果:
通过禁止病毒的进程通过固定的访问端口访问固定的IP地址,可以切断病毒与远端的IP地址所对应的设备的连接,防止该病毒将本地的数据传输至远端的IP地址所对应的设备,而影响本地设备的安全性,而通过禁止病毒的进程在目标目录下进行写文件操作来消耗该病毒的资源来使得病毒自行崩溃,从而彻底清除该病毒,另外,通过关闭病毒的进程可以进一步防止病毒的进程运行过程中消耗本地设备的资源,影响本地设备的使用安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据一示例性实施例示出的一种进程操作的处理方法的流程图。
图2是根据一示例性实施例示出的另一种进程操作的处理方法的流程图。
图3是根据一示例性实施例示出的一种进程操作的处理装置的框图。
图4是根据一示例性实施例示出的另一种进程操作的处理装置的框图。
图5是根据一示例性实施例示出的又一种进程操作的处理装置的框图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
相关技术中,当服务器中了一种特殊的木马病毒后,关闭该木马病毒的进程后,该木马病毒的进程仍会自动重启,并且更换成新的进程名,因此,该病毒并无法彻底清除。且在***设备目录的根目录(.dev)中发现有可能是病毒的进程写入的可疑文件是非***文件,且删除该文件后,该文件还会自动生成,此外,这些文件的文件名也是随机的。
为了解决上述技术问题,本公开实施例提供了一种进程操作的处理方法,该方法适用于病毒操作处理程序、***或装置中,其中,病毒所在的本地设备可以是服务器、也可以是终端,如图1所示,步骤S101,监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;其中,***在确定该固定的访问端口和固定的IP地址时,是在一定的周期内,将多个进程使用的访问端口进行比较,同时将访问的远端IP地址进行比较,以判断在该一定的周期内,多个进程使用的访问端口是否相同,以及多个进程访问的远端IP地址是否相同,若在该一定的周期内,多个进程使用的访问端口相同,则将该访问端口进行记录并作为一个固定的访问端口,以便于之后判断当前运行进程的访问端口是否就是该固定的访问端口,同样地,若在该一定的周期内,多个进程访问的IP地址相同,则将该IP地址进行记录并作为一个固定的IP地址,以便于之后判断当前运行进程的IP地址是否就是该固定的IP地址。
步骤S102,当当前运行进程的访问端口和访问IP地址分别为固定的访问端口和固定的IP地址时,确定当前运行进程为目标病毒所使用的目标进程;由于病毒所使用的目标进程通常都是通过固定的访问端口访问固定的IP地址的,因此,在当前运行进程的访问端口和访问IP地址分别为固定的访问端口和固定的IP地址时,即可初步确定当前运行进程就是目标病毒所使用的目标进程。
步骤S103,禁止目标进程通过固定的访问端口访问固定的IP地址;
通过使用本地的防火墙禁止病毒的进程通过固定的访问端口访问固定的IP地址,可以切断病毒与该固定的IP地址所对应的设备的连接,防止该病毒将本地的数据传输至固定的IP地址所对应的设备,而影响本地设备的安全性。
步骤S104,判断是否监听到目标进程对目标目录的写文件操作;
步骤S105,当监听到目标进程对目标目录的写文件操作时,锁定目标目录,以禁止目标进程对目标目录的写文件操作;
由于频繁的写文件操作会使得该病毒很耗资源,因此,通过禁止病毒的进程在目标目录下进行写文件操作,可以消耗该病毒的资源从而使得病毒自行崩溃,进而实现彻底清除该病毒。
步骤S106,关闭当前运行进程。
通过关闭病毒的进程可以进一步防止病毒的进程运行过程中消耗本地设备的资源,同时也可以防止该病毒影响本地设备的使用安全性。
如图2所示,在一个实施例中,在确定当前运行进程为目标病毒所使用的目标进程之前,方法还包括:
步骤S201,确定访问固定的访问端口和固定的IP地址的多个进程;
步骤S202,对多个进程的名称进行识别;
上述步骤S102包括:
步骤A1,当多个进程的名称存在规律时,根据规律对新启动的当前运行进程进行检查;
虽然病毒的进程(即目标进程)的名字是多变的,但目标进程与本地***中的正常进程是不同的,目标进程不仅每次都会通过固定的端口访问远端的固定的IP地址,且其名称也会存在一定的规律,因此,通过确定访问该固定的访问端口和该固定的IP地址的多个进程,并对每个进程进行识别,识别其名字并将识别出的名字进行比较,即可确定这些进程的名称是否存在一定规律,当确认这些进程的名称存在一定规律时,说明这些进程就是病毒的进程,则可以以该规律为比较基础,对本地***中新启动的当前运行进程逐一进行检查,以准确确定新启动的当前运行进程是否为病毒的进程,进而便于及时、快速地对病毒进行彻底清除,确保本地***的使用安全性。
步骤A2,在新启动的当前运行进程的名称符合规律时,确定当前运行进程为目标病毒所使用的目标进程。
当新启动的当前运行进程符合该规律时,就说明该当前运行进程确实为目标病毒使用的目标进程,则可以禁止该目标进程进行写操作,从而使得该目标病毒的资源在被消耗完后自行崩溃,以实现自动地彻底清除该病毒。
在一个实施例中,规律至少包括下列之一:
相同位置对应的部分名称相同,病毒使用的进程即目标进程的名称在相同位置的部分名称通常是相同的,尤其是名称的开头,例如:病毒使用的进程的开头都为a或ab;
相同位置对应的部分名称为数字,正常的进程中的名称中通常不存在数字,因此,当多个进程的相同位置对应的部分名字均为数字时,说明这些进程为目标进程,例如:多个进程的开头都是1、2、12或者多个进程的名称的第3个字符均是3;
相同位置对应的部分名称符合递增规律,正常的进程中的名称通常是随机的、不存在一定规律,因此,当多个进程在相同位置处的部分名称符合递增规律(例如:一个进程的名称的最后3个字符为123,另两个进程的名称的最后3个字符分别为456和789,或者一个进程的名称的最后2个字符为cd,另两个进程的名称的最后2个字符分别为ef和gh)时,说明这些进程为目标进程;
相同位置对应的部分名称符合递减规律;正常的进程中的名称通常是随机的、不存在一定规律,因此,当多个进程在相同位置处的部分名称符合递减规律(例如:一个进程的名称的最后2个字符为56,另两个进程的名称的最后2个字符分别为34和12,或者一个进程的名称的最后1个字符为e,另两个进程的名称的最后2个字符分别为d和c)时,说明这些进程为目标进程;
相同位置对应的部分名称构成一个算法;正常的进程中的名称通常是随机的、不存在一定规律,因此,当多个进程在相同位置处的部分名称构成一个算法(例如:一个进程的名称的最后1个字符为2,另两个进程的名称的最后1个字符分别为5和8,这些进程的名称的最后一位构成一个2+3*d的算法,其中d为整数)时,说明这些进程为目标进程。
在当前运行进程符合上述任一项规律时,本地***就会判定该当前运行进程为目标进程,当然,当该当前运行进程的名称符合上述多项规律时,可以增加本地***将该当前运行进程判定为目标进程的判断准确性,且该当前运行进程的名称符合的上述规律越多,其为目标进程的概率越大,判断准确性越高。
在一个实施例中,目标目录包括:本地操作***的根目录、配置目录、工作目录和用户目录中的至少一种目录,其中,根目录为前缀为.dev的目录,配置目录包括但不限于以下目录:/etc/rc2.d,/etc/rc3.d,/etc/rc4.d,/etc/rc5.d,/etc/cron.hourly/,
以及
方法还包括:
在锁定目标目录后,判断是否监听到目标进程对工作目录的写文件操作和/或对用户目标的写文件操作;
可以通过chattr命令对这些目标目录进行锁定,以使木马等病毒无法使用进程在这些目录下写文件,而工作目录和用户目录的安全级别相比较于根目录和文件配置目录而言,是比较低的,病毒的进程进行写文件操作会更加容易,因此,判断是否监听到该目标进程对该工作目录的写文件操作和/或对该用户目标的写文件操作,可以对是否继续锁定该目标目录进行初步确定。
当没有监听到目标进程对工作目录的写文件操作和/或对用户目标的写文件操作时,不再锁定目标目录。
当没有监听到该目标进程对安全级别较低的工作目录的写文件操作和/或对安全级别较低的用户目标的写文件操作时,说明该病毒已被彻底清除,则可以释放该目标目录,不再锁定该目标目录,以使其他正常的进程可以向该目标目录进行写操作;当然,如果仍然监听到该目标进程对安全级别较低的工作目录的写文件操作和/或对安全级别较低的用户目标的写文件操作时,说明该病毒尚未被彻底清除,则需要继续锁定该目标目录,以继续消耗该病毒的资源,从而彻底清除该病毒。
如图3所示,本公开实施例还提供了一种进程操作的处理装置,包括:
监听模块301,被配置为监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;
第一确定模块302,被配置为当所述当前运行进程的访问端口和访问IP地址分别为所述固定的访问端口和所述固定的IP地址时,确定所述当前运行进程为目标病毒所使用的目标进程;
禁止模块303,被配置为禁止所述目标进程通过所述固定的访问端口访问所述固定的IP地址;
第一判断模块304,被配置为判断是否监听到所述目标进程对目标目录的写文件操作;
锁定模块305,被配置为当监听到所述目标进程对所述目标目录的所述写文件操作时,锁定所述目标目录,以禁止所述目标进程对所述目标目录的所述写文件操作;
关闭模块306,被配置为关闭所述当前运行进程。
如图4所示,在一个实施例中,所述装置还包括:
第二确定模块401,被配置为在确定所述当前运行进程为目标病毒所使用的目标进程之前,确定访问所述固定的访问端口和固定的IP地址的多个进程;
识别模块402,被配置为对所述多个进程的名称进行识别;
所述第一确定模块302,包括:
检查子模块3021,被配置为当所述多个进程的名称存在规律时,根据所述规律对新启动的当前运行进程进行检查;
确定子模块3022,被配置为在所述新启动的当前运行进程的名称符合所述规律时,确定所述当前运行进程为目标病毒所使用的目标进程。
在一个实施例中,所述规律至少包括下列之一:
相同位置对应的部分名称相同;
相同位置对应的部分名称为数字;
相同位置对应的部分名称符合递增规律;
相同位置对应的部分名称符合递减规律;
相同位置对应的部分名称构成一个算法。
如图5所示,在一个实施例中,所述目标目录包括:本地操作***的根目录、配置目录、工作目录和用户目录中的至少一种目录,以及
所述装置还包括:
第二判断模块501,被配置为在锁定所述目标目录后,判断是否监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作;
处理模块502,被配置为当没有监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作时,不再锁定所述目标目录。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
最后,本发明中的进程操作的处理装置适用于终端设备。例如,可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1.一种进程操作的处理方法,其特征在于,包括:
监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;
当所述当前运行进程的访问端口和访问IP地址分别为所述固定的访问端口和所述固定的IP地址时,确定所述当前运行进程为目标病毒所使用的目标进程;
禁止所述目标进程通过所述固定的访问端口访问所述固定的IP地址;
判断是否监听到所述目标进程对目标目录的写文件操作;
当监听到所述目标进程对所述目标目录的所述写文件操作时,锁定所述目标目录,以禁止所述目标进程对所述目标目录的所述写文件操作;
关闭所述当前运行进程;
所述目标目录包括:本地操作***的根目录、配置目录、工作目录和用户目录中的至少一种目录,以及
所述方法还包括:
在锁定所述目标目录后,判断是否监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目录的写文件操作;
当没有监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目录的写文件操作时,不再锁定所述目标目录。
2.根据权利要求1所述的方法,其特征在于,
在确定所述当前运行进程为目标病毒所使用的目标进程之前,所述方法还包括:
确定访问所述固定的访问端口和固定的IP地址的多个进程;
对所述多个进程的名称进行识别;
所述确定所述当前运行进程为目标病毒所使用的目标进程,包括:
当所述多个进程的名称存在规律时,根据所述规律对新启动的当前运行进程进行检查;
在所述新启动的当前运行进程的名称符合所述规律时,确定所述当前运行进程为目标病毒所使用的目标进程。
3.根据权利要求2所述的方法,其特征在于,所述规律至少包括下列之一:
相同位置对应的部分名称相同;
相同位置对应的部分名称为数字;
相同位置对应的部分名称符合递增规律;
相同位置对应的部分名称符合递减规律;
相同位置对应的部分名称构成一个算法。
4.一种进程操作的处理装置,其特征在于,包括:
监听模块,用于监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;
第一确定模块,用于当所述当前运行进程的访问端口和访问IP地址分别为所述固定的访问端口和所述固定的IP地址时,确定所述当前运行进程为目标病毒所使用的目标进程;
禁止模块,用于禁止所述目标进程通过所述固定的访问端口访问所述固定的IP地址;
第一判断模块,用于判断是否监听到所述目标进程对目标目录的写文件操作;
锁定模块,用于当监听到所述目标进程对所述目标目录的所述写文件操作时,锁定所述目标目录,以禁止所述目标进程对所述目标目录的所述写文件操作;
关闭模块,用于关闭所述当前运行进程;
所述目标目录包括:本地操作***的根目录、配置目录、工作目录和用户目录中的至少一种目录,以及
所述装置还包括:
第二判断模块,用于在锁定所述目标目录后,判断是否监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目录的写文件操作;
处理模块,用于当没有监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目录的写文件操作时,不再锁定所述目标目录。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于在确定所述当前运行进程为目标病毒所使用的目标进程之前,确定访问所述固定的访问端口和固定的IP地址的多个进程;
识别模块,用于对所述多个进程的名称进行识别;
所述第一确定模块,包括:
检查子模块,用于当所述多个进程的名称存在规律时,根据所述规律对新启动的当前运行进程进行检查;
确定子模块,用于在所述新启动的当前运行进程的名称符合所述规律时,确定所述当前运行进程为目标病毒所使用的目标进程。
6.根据权利要求5所述的装置,其特征在于,所述规律至少包括下列之一:
相同位置对应的部分名称相同;
相同位置对应的部分名称为数字;
相同位置对应的部分名称符合递增规律;
相同位置对应的部分名称符合递减规律;
相同位置对应的部分名称构成一个算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510484669.7A CN105138915B (zh) | 2015-08-07 | 2015-08-07 | 一种进程操作的处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510484669.7A CN105138915B (zh) | 2015-08-07 | 2015-08-07 | 一种进程操作的处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105138915A CN105138915A (zh) | 2015-12-09 |
| CN105138915B true CN105138915B (zh) | 2018-03-06 |
Family
ID=54724260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510484669.7A Expired - Fee Related CN105138915B (zh) | 2015-08-07 | 2015-08-07 | 一种进程操作的处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105138915B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277679B (zh) * | 2022-07-29 | 2024-04-12 | 山石网科通信技术股份有限公司 | 文件同步方法和*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101176331A (zh) * | 2005-06-06 | 2008-05-07 | 国际商业机器公司 | 计算机网络入侵检测***和方法 |
| CN102222189A (zh) * | 2011-06-13 | 2011-10-19 | 上海置水软件技术有限公司 | 一种保护操作***的方法 |
| CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8776218B2 (en) * | 2009-07-21 | 2014-07-08 | Sophos Limited | Behavioral-based host intrusion prevention system |
-
2015
- 2015-08-07 CN CN201510484669.7A patent/CN105138915B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101176331A (zh) * | 2005-06-06 | 2008-05-07 | 国际商业机器公司 | 计算机网络入侵检测***和方法 |
| CN102222189A (zh) * | 2011-06-13 | 2011-10-19 | 上海置水软件技术有限公司 | 一种保护操作***的方法 |
| CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105138915A (zh) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831487B (zh) | 分片文件验证方法及终端设备 | |
| US20200201560A1 (en) | Data storage method, apparatus, and device for multi-layer blockchain-type ledger | |
| WO2020224238A1 (zh) | 区块链节点的部署方法、装置、设备及存储介质 | |
| US11308205B2 (en) | Security tool for preventing internal data breaches | |
| EP3794487A1 (en) | Obfuscation and deletion of personal data in a loosely-coupled distributed system | |
| CN107239701B (zh) | 识别恶意网站的方法及装置 | |
| US11036479B2 (en) | Devices, systems, and methods of program identification, isolation, and profile attachment | |
| CN107085613B (zh) | 入库文件的过滤方法和装置 | |
| CN113785293B (zh) | 对本地安装在用户设备上的防病毒软件的文件存储服务启动 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| CN106570091B (zh) | 一种增强分布式集群文件***的高可用性的方法 | |
| CN109145621B (zh) | 文档管理方法及装置 | |
| CN114528350A (zh) | 集群脑裂的处理方法、装置、设备及可读存储介质 | |
| CN105138915B (zh) | 一种进程操作的处理方法及装置 | |
| CN111966630B (zh) | 文件类型的检测方法、装置、设备和介质 | |
| CN106878365A (zh) | 一种数据同步方法和设备 | |
| US10754748B2 (en) | System and method for constructing extensible event log with javascript object notation (JSON) encoded payload data | |
| CN112579591B (zh) | 数据校验方法、装置、电子设备及计算机可读存储介质 | |
| US10977150B2 (en) | Data analysis | |
| CN116089985A (zh) | 一种分布式日志的加密存储方法、装置、设备及介质 | |
| CN112835762B (zh) | 数据处理方法和装置、存储介质和电子设备 | |
| CN110493326B (zh) | 基于zookeeper管理集群配置文件的***和方法 | |
| CN113297149A (zh) | 数据处理请求的监测方法及装置 | |
| US10049208B2 (en) | Intrusion assessment system | |
| CN107291943B (zh) | 一种图片查找方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A processing method and device for process operation Effective date of registration: 20210104 Granted publication date: 20180306 Pledgee: Inner Mongolia Huipu Energy Co.,Ltd. Pledgor: TVMINING (BEIJING) MEDIA TECHNOLOGY Co.,Ltd. Registration number: Y2020990001527 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180306 Termination date: 20210807 |