CN105809033A - 恶意进程处理方法及装置 - Google Patents
恶意进程处理方法及装置 Download PDFInfo
- Publication number
- CN105809033A CN105809033A CN201410844002.9A CN201410844002A CN105809033A CN 105809033 A CN105809033 A CN 105809033A CN 201410844002 A CN201410844002 A CN 201410844002A CN 105809033 A CN105809033 A CN 105809033A
- Authority
- CN
- China
- Prior art keywords
- malicious
- relation
- monitored
- filiation
- relevant information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种恶意进程处理方法及装置,涉及计算机软件技术领域,本发明按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式,由于在进行恶意进程的判断时,判断对象是进程关系,而不是单一进程,从而能够准确地判断出恶意进程,能够有效实现对恶意进程的处理。
Description
技术领域
本发明涉及计算机软件技术领域,特别涉及一种恶意进程处理方法及装置。
背景技术
恶意进程,即为在执行过程中会执行恶意行为的进程,所述恶意行为为对用户的利益造成损害的行为,例如:用于实现病毒、蠕虫或木马等恶意程序的行为,又或是用于实现捆绑程序下载安装的行为。
为了对恶意进程进行处理,需要先确定恶意进程,但现有技术中是针对单独的进程来确定恶意进程,在某个进程所执行的某种行为匹配了预设规则,则将其确定为恶意进程,即确定恶意进程的方式是孤立的。
假如进程A创建了进程B,进程B创建了进程C,进程B下载某个程序,进程C来启动此程序,单独判断进程A、B、C所执行的都是正常的行为,但是这几个进程的行为组合起来就是一个恶意行为时,现有技术则无法拦截,故而无法有效实现恶意进程处理。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种软件净化安装装置和相应的一种软件净化安装方法。
依据本发明的一个方面,提供了一种恶意进程处理装置,所述装置包括:
关系建立单元,适于建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
进程判断单元,适于按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
进程处理单元,适于采用确定的恶意进程的处理方式对所述恶意进程进行处理。
可选地,所述相关信息为反映该进程所执行的行为的信息;或者,
所述相关信息为反映该进程及该进程生成的子孙进程所执行的行为的信息。
可选地,所述进程判断单元,还适于在所述进程关系中至少两个进程的组合能完成恶意行为时,将所述至少两个进程确定为恶意进程。
可选地,所述关系建立单元,还适于确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,根据所述父子关系建立所述待监控进程的进程关系。
可选地,所述关系建立单元,还适于在各进程上设置可继承的标记,根据所述标记确定各进程的父子关系。
可选地,所述关系建立单元,还适于通过命令行查询的方式来确定各进程的父子关系。
可选地,所述进程处理单元,还适于结束所述恶意进程;
或者,
使所述恶意进程禁止连网。
可选地,所述进程处理单元,还适于在界面中弹出提示窗口,所述提示窗口用于提示用户选择一种操作方式对所述恶意进程进行操作;
或者,
若所述恶意进程满足预设条件时,直接对该进程的行为进行拦截。
依据本发明的另一个方面,提供了一种恶意进程处理方法,所述方法包括:
建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
采用确定的恶意进程的处理方式对所述恶意进程进行处理。
可选地,所述相关信息为反映该进程所执行的行为的信息;或者,
所述相关信息为反映该进程及该进程生成的子孙进程所执行的行为的信息。
可选地,所述按照预设规则确定所述进程关系中是否具有恶意进程,进一步包括:
在所述进程关系中至少两个进程的组合能完成恶意行为时,将所述至少两个进程确定为恶意进程。
可选地,所述建立待监控进程的进程关系,包括:
确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,根据所述父子关系建立所述待监控进程的进程关系。
可选地,所述确定各进程之间的父子关系,包括:
在各进程上设置可继承的标记,根据所述标记确定各进程的父子关系。
可选地,所述确定各进程之间的父子关系,包括:
通过命令行查询的方式来确定各进程的父子关系。
可选地,所述采用确定的恶意进程的处理方式对所述恶意进程进行处理,包括:
结束所述恶意进程;
或者,
使所述恶意进程禁止连网。
可选地,所述采用确定的恶意进程的处理方式对所述恶意进程进行处理,包括:
在界面中弹出提示窗口,所述提示窗口用于提示用户选择一种操作方式对所述恶意进程进行操作;
或者,
若所述恶意进程满足预设条件时,直接对该进程的行为进行拦截。
本发明按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式,由于在进行恶意进程的判断时,判断对象是进程关系,而不是单一进程,从而能够准确地判断出恶意进程,能够有效实现对恶意进程的处理。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明一个实施例的一种恶意进程处理方法的步骤流程图;
图2是本发明一个实施例的一种恶意进程处理方法的步骤流程图;
图3是本发明一个实施例的一种恶意进程处理装置的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是本发明一个实施例的一种恶意进程处理方法的步骤流程图;参照图1,所述方法包括:
S101:建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
可理解的是,在待监控进程的运行过程中,可能会进一步生成一个或多个子进程,而生成的子进程可能还会进一步再生成一个或多个子进程,本实施例中,将这些子进程称为第一进程,根据上述说明,可确定,所述第一进程为待监控进程的子孙进程。
当然,由于进程分为***进程和应用进程两种类型,由于***进程是计算机***所生成的,通常不存在恶意进程,故而,所述待监控进程为应用进程;
另外,第一进程为所述待监控进程的子孙进程,故而,所述第一进程也均属于应用进程。
S102:按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
可理解的是,步骤S102在对恶意进程的确定时,可采用多种方式,下面以两种方式为例:
第一种方式为本地实现方式,即对恶意进程的确定在本地完成;
为实现对恶意进程的确定在本地完成,可先将所述预设规则存储于本地,在对恶意进程进行确定时,就可直接按照存储于本地的预设规则对恶意进程进行确定,由于该方式在本地完成,故而无需连接网络即可实现,在实现上较为简便;
第二种方式为云查询方式,即对恶意进程的确定通过云查询实现;
为实现对恶意进程的确定通过云查询实现,可先将所述预设规则存储于云服务器,在进行云查询时,将所述进程关系发送至云服务器,由云服务器按照存有的预设规则对恶意进程进行确定,再接收由云服务器发送的恶意进程,由于该方式中对恶意进程的确定在云端完成,故而无需在本地存储预设规则,也无需在本地确定恶意进程,不仅节约了本地的存储空间,而且降低了本地的处理压力;
当然,在实现步骤S102时还可采用其他方式,本发明实施例对此不加以限制。
本实施例中,步骤S102中在按照预设规则确定所述进程关系中的恶意进程时,可采用多种规则,本实施例中采用以下规则:
在所述进程关系中至少两个进程的组合能完成恶意行为时,将所述至少两个进程确定为恶意进程。
例如:所述进程关系中具有X、Y和Z三个进程,进程X生成进程Y,进程Y实现程序的下载,进程Z实现程序的安装,由于X、Y和Z这三个进程的组合能完成恶意行为,故而,可将X、Y和Z这三个进程确定为恶意进程。
当然,步骤S102中,还可采用其他规则确定所述进程关系中的恶意进程,本实施例对此不加以限制。
可理解的是,若所述进程关系中包括所述待监控进程及与所述待监控进程相关联的第一进程,仅可反映所述待监控进程及第一进程的关系,但这些进程会进行哪些行为是不可知的,则无法判断所述进程关系中是否具有恶意进程,故而所述进程关系中还需要包括各进程的相关信息,所述相关信息用于反映进程的行为,在实现过程中,所述相关信息可包括两种类型的信息;
第一种类型的信息为反映该进程所执行的行为的信息;
例如:进程A生成进程B、进程B生成进程C,进程B进行程序下载,进程C对该程序进行执行,此时,则与进程A对应的相关信息包括反映进程生成的行为的信息DA,与进程B对应的相关信息为反映程序下载的行为的信息DB,与进程C对应的相关信息为反映程序执行的行为的信息DC。
按照上述规则,对于第一种类型的信息,若DA、DB和DC的组合为恶意行为,则将进程A、B、C确定为恶意进程。
第二种类型的信息为反映该进程及该进程生成的子孙进程所执行的行为的信息。
例如:进程A生成进程B、进程B生成进程C,进程B进行程序下载,进程C对该程序进行执行,此时,与A对应的相关信息为DA、DB和DC,与B对应的相关信息为DB和DC,与C对应的相关信息为DC。
按照上述规则,对于第二类型的信息,若DA、DB和DC的组合为恶意行为,则可将进程A及其子孙进程B、C确定为恶意进程。
由于第二种类型的信息是采用进程回溯的方式,将子孙进程所执行的行为的信息也标记至进程上,故而在实现恶意进程判断时,可只需要对待监控进程的前M层(假设进程A生成进程B、进程B生成进程C,则进程A为第一层进程、进程B为第二层进程,进程C为第三层进程,依次类推)进程进行判断,从而减少了进程关系的数据量,所述M为不小于2的整数。
所述行为信息可以包括进程行为的类型,所述类型可以标识不同的操作,如注册表操作、网络访问操作等。
当然,可理解的是,所述相关信息还可包括:进程描述信息,所述进程描述信息为体现进程对应程序的信息,例如:程序ID、程序版本号等信息。
S103:采用确定的恶意进程的处理方式对所述恶意进程进行处理。
需要说明的是,对恶意进程的处理方式具有多种方式,下面以四种处理方式为例:
第一种处理方式为结束所述恶意进程;
采用该处理方式进行处理的恶意进程为后台静默执行的进程,由于这类进程在运行时,无需用户进行任何干预,直接在后台静默执行恶意行为,对于这类进程,可采用结束所述恶意进程的方式,将该进程直接结束;
第二种处理方式为使所述恶意进程禁止连网;
采用该处理方式进行处理的恶意进程为需要连网的进程(例如:下载安装捆绑程序的进程),由于这类进程在运行时,需要连网才能执行恶意行为,只需要使这类进程禁止连网后,即使该进程仍处于运行状态,也无法执行恶意行为;
需要说明的是,使进程禁止连网可采用多种方式,下面以两种方式为例:
第一种禁止连网的方式为防火墙方式;
假设需要使进程X禁止连网,可先对防火墙进行设置,在对防火墙进行设置后,由防火墙使进程X禁止连网;
第二种禁止连网的方式为端口关闭方式;
假设需要使进程X禁止连网,由于进程X在进行下载安装时需要通过端口来接收/发送报文,并由下载请求报文来完成捆绑软件的下载,故而,可先确定进程X连网所需要的端口,记录这些端口的端口号;
当需要使进程X禁止连网时,直接关闭所记录的端口号对应的端口,由于端口被关闭,故而进程X无法从本地发送/接收报文,进而也就使得进程X无法连网,从而使进程X禁止连网;
可理解的是,此处所提到了禁止连网,是指禁止该进程连网,并非指对所有进程均禁止连网,除了被禁止连网的进程外,其他进程均可正常使用网络;
第三种处理方式为在界面中弹出提示窗口,所述提示窗口用于提示用户选择一种操作方式对所述恶意进程进行操作;由于用户具有不同的需要,为了使用户具有选择的空间,该处理方式可由用户自行选择操作方式来对恶意进程进行操作,由于是用户自行选择操作方式,故而采用该处理方式进行处理的恶意进程可为所有的恶意进程。
可理解的是,为了便于用户选择操作方式,可在所述提示窗口中展示所述恶意进程的信息,及操作方式对应的选项按钮,当接收到用户所点击的选项按钮时,按照与该选项按钮对应的操作方式来对恶意进程进行操作。
例如:所述恶意进程是弹出捆绑软件的打钩方框的进程,所述提示窗口中展示该进程的信息,并拦截该进程的选项按钮和允许执行该进程的选项按钮,当用户点击拦截该进程的选项按钮时,则直接将该进程拦截,不允许其弹出捆绑软件的打钩方框,以避免用户的误触发,当用户点击允许执行该进程的选项按钮时,则允许该进程的执行,由该进程弹出捆绑软件的打钩方框,从而避免了捆绑安装。
需要说明的是,由于该处理方式是在界面中弹出提示窗口,若该提示窗口仅采用一般的窗口展示形式也容易被用户直接忽略掉,而起不到提示的作用,为便于提示用户,可将该提示窗口中采用红色等具有警示作用的颜色,另外,还可采用伴随提示音的方式来进一步提示用户。
第四种处理方式为在所述恶意进程满足预设条件时,直接对该进程的行为进行拦截;采用该处理方式进行处理的恶意进程为所有的恶意进程,只需要进程的行为满足预设条件,则直接对该进程的行为进行拦截。
例如:恶意进程为用于弹出捆绑软件的打钩方框的进程,由于其行为是弹出捆绑软件的打钩方框,设预设条件中包括该行为,则直接对该行为进行拦截,不允许该恶意进程进行弹出捆绑软件的打钩方框的行为。
又例如:恶意进程为用于静默下载安装软件的进程,由于其行为是对捆绑软件进行下载安装,设预设条件中包括该行为,则直接对该行为进行拦截,不允许该恶意进程进行静默下载安装软件的行为。
当然,对恶意进程的处理还可采用其他方式,本发明实施例对此不加以限制。
本实施例按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式,由于在进行恶意进程的判断时,判断对象是进程关系,而不是单一进程,从而能够准确地判断出恶意进程,能够有效实现对恶意进程的处理。
图2是本发明一个实施例的一种恶意进程处理方法的步骤流程图;参照图2,所述方法包括:
S201:确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,根据所述父子关系建立所述待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
需要说明的是,在建立所述待监控进程的进程关系时,可采用多种方式,本实施例中为提高建立所述待监控进程的进程关系的效率,先确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,再根据所述父子关系来建立所述待监控进程的进程关系;
当然,还可采用其他方式来建立所述待监控进程的进程关系,本发明实施例对此不加以限制。
故而步骤S201可理解为图1所示的方法的步骤S101的优选实施方式。
为了确定各进程的父子关系,可采用多种方式,下面以两种方式为例:
第一种方式为在各进程上设置可继承的标记,根据所述标记确定各进程的父子关系;
下面以一个具体的例子来具体说明该方式,当第一进程A生成时,在第一进程A上设置一个可继承的标记SA,若第一进程A生成了第二进程B和C,此时第一进程B和C均会继承有该标记SA,这样就可以确定第二进程B和C均为第一进程A的子进程,从而确定了进程A、B、C之间的父子关系;
当第二进程B和C被生成时,在第二进程B上设置一个可继承的标记SB,在第二进程C上设置一个可继承的标记SC,若第二进程B生成了第二进程D,第二进程C生成了第二进程E,此时,第二进程D会继承有标记SB,第二进程E会继承有标记SC,这样就可以确定第二进程D为第二进程B的子进程,第二进程E为第二进程C的子进程。
依次类推,即使第二进程D和E再继续生成进程,也同样能够确定各进程的父子关系,采用本方式可非常简单、快捷地确定各进程的父子关系。
需要说明的是,所述可继承的标记可以为一个特定的字段或字符串,当然还可为其他形式,本发明实施例对此不加以限制。
第二种方式为通过命令行查询的方式来确定各进程的父子关系;即根据查询进程本身存在的信息来确定各进程的父子关系,但与第一种方式相比,其耗时较长,确定过程也相对复杂;
S202:按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
S203:采用确定的恶意进程的处理方式对所述恶意进程进行处理。
步骤S202~S203与图1所示的实施例的步骤S102~S103相同,在此不再赘述。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
图3是本发明一个实施例的一种恶意进程处理装置的结构框图;参照图3,所述装置包括:
关系建立单元301,适于建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
进程判断单元302,适于按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
进程处理单元303,适于采用确定的恶意进程的处理方式对所述恶意进程进行处理。
在本发明的一种可选实施例中,所述进程判断单元,还适于在所述进程关系中至少两个进程的组合能完成恶意行为时,将所述至少两个进程确定为恶意进程。
在本发明的一种可选实施例中,所述关系建立单元,还适于确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,根据所述父子关系建立所述待监控进程的进程关系。
在本发明的一种可选实施例中,所述关系建立单元,还适于在各进程上设置可继承的标记,根据所述标记确定各进程的父子关系。
在本发明的一种可选实施例中,所述关系建立单元,还适于通过命令行查询的方式来确定各进程的父子关系。
在本发明的一种可选实施例中,所述进程处理单元,还适于结束所述恶意进程;
或者,
使所述恶意进程禁止连网。
在本发明的一种可选实施例中,所述进程处理单元,还适于在界面中弹出提示窗口,所述提示窗口用于提示用户选择一种操作方式对所述恶意进程进行操作;
或者,
若所述恶意进程满足预设条件时,直接对该进程的行为进行拦截。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明的实施例公开了:
A1、一种恶意进程处理装置,所述装置包括:
关系建立单元,适于建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
进程判断单元,适于按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
进程处理单元,适于采用确定的恶意进程的处理方式对所述恶意进程进行处理。
A2、如A1所述的方法,所述相关信息包括反映该进程所执行的行为的信息;或者,
所述相关信息包括反映该进程及该进程生成的子孙进程所执行的行为的信息。
A3、如A1~A2中任一项所述的装置,所述进程判断单元,还适于在所述进程关系中至少两个进程的组合能完成恶意行为时,将所述至少两个进程确定为恶意进程。
A4、如A1~A2中任一项所述的装置,所述关系建立单元,还适于确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,根据所述父子关系建立所述待监控进程的进程关系。
A5、如A3所述的装置,所述关系建立单元,还适于在各进程上设置可继承的标记,根据所述标记确定各进程的父子关系。
A6、如A3所述的装置,所述关系建立单元,还适于通过命令行查询的方式来确定各进程的父子关系。
A7、如A1~A6中任一项所述的装置,所述进程处理单元,还适于结束所述恶意进程;
或者,
使所述恶意进程禁止连网。
A8、如A1~A6中任一项所述的装置,所述进程处理单元,还适于在界面中弹出提示窗口,所述提示窗口用于提示用户选择一种操作方式对所述恶意进程进行操作;
或者,
若所述恶意进程满足预设条件时,直接对该进程的行为进行拦截。
B9、一种恶意进程处理方法,所述方法包括:
建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
采用确定的恶意进程的处理方式对所述恶意进程进行处理。
B10、如B9所述的方法,所述相关信息包括反映该进程所执行的行为的信息;或者,
所述相关信息包括反映该进程及该进程生成的子孙进程所执行的行为的信息。
B11、如B9~B10中任一项所述的方法,所述按照预设规则确定所述进程关系中是否具有恶意进程,进一步包括:
在所述进程关系中至少两个进程的组合能完成恶意行为时,将所述至少两个进程确定为恶意进程。
B12、如B9~B10中任一项所述的方法,所述建立待监控进程的进程关系,包括:
确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,根据所述父子关系建立所述待监控进程的进程关系。
B13、如B12所述的方法,所述确定各进程之间的父子关系,包括:
在各进程上设置可继承的标记,根据所述标记确定各进程的父子关系。
B14、如B12所述的方法,所述确定各进程之间的父子关系,包括:
通过命令行查询的方式来确定各进程的父子关系。
B15、如B9~B14中任一项所述的方法,所述采用确定的恶意进程的处理方式对所述恶意进程进行处理,包括:
结束所述恶意进程;
或者,
使所述恶意进程禁止连网。
B16、如B9~B14中任一项所述的方法,所述采用确定的恶意进程的处理方式对所述恶意进程进行处理,包括:
在界面中弹出提示窗口,所述提示窗口用于提示用户选择一种操作方式对所述恶意进程进行操作;
或者,
若所述恶意进程满足预设条件时,直接对该进程的行为进行拦截。
应当注意的是,在本发明的装置的各个部件中,根据其要实现的功能而对其中的部件进行了逻辑划分,但是,本发明不受限于此,可以根据需要对各个部件进行重新划分或者组合,例如,可以将一些部件组合为单个部件,或者可以将一些部件进一步分解为更多的子部件。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (10)
1.一种恶意进程处理装置,其特征在于,所述装置包括:
关系建立单元,适于建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
进程判断单元,适于按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
进程处理单元,适于采用确定的恶意进程的处理方式对所述恶意进程进行处理。
2.如权利要求1所述的方法,其特征在于,所述相关信息包括反映该进程所执行的行为的信息;或者,
所述相关信息包括反映该进程及该进程生成的子孙进程所执行的行为的信息。
3.如权利要求1~2中任一项所述的装置,其特征在于,所述进程判断单元,还适于在所述进程关系中至少两个进程的组合能完成恶意行为时,将所述至少两个进程确定为恶意进程。
4.如权利要求1~2中任一项所述的装置,其特征在于,所述关系建立单元,还适于确定与所述待监控进程相关联的第一进程,并确定各进程的父子关系,根据所述父子关系建立所述待监控进程的进程关系。
5.如权利要求3所述的装置,其特征在于,所述关系建立单元,还适于在各进程上设置可继承的标记,根据所述标记确定各进程的父子关系。
6.如权利要求3所述的装置,其特征在于,所述关系建立单元,还适于通过命令行查询的方式来确定各进程的父子关系。
7.如权利要求1~6中任一项所述的装置,其特征在于,所述进程处理单元,还适于结束所述恶意进程;
或者,
使所述恶意进程禁止连网。
8.如权利要求1~6中任一项所述的装置,其特征在于,所述进程处理单元,还适于在界面中弹出提示窗口,所述提示窗口用于提示用户选择一种操作方式对所述恶意进程进行操作;
或者,
若所述恶意进程满足预设条件时,直接对该进程的行为进行拦截。
9.一种恶意进程处理方法,其特征在于,所述方法包括:
建立待监控进程的进程关系,所述进程关系中包括所述待监控进程、与所述待监控进程相关联的第一进程以及各进程的相关信息,所述第一进程为所述待监控进程的子孙进程;
按照预设规则确定所述进程关系中是否具有恶意进程,以及在所述进程关系中有恶意进程时,确定与所述恶意进程对应的处理方式;
采用确定的恶意进程的处理方式对所述恶意进程进行处理。
10.如权利要求9所述的方法,其特征在于,所述相关信息包括反映该进程所执行的行为的信息;或者,
所述相关信息包括反映该进程及该进程生成的子孙进程所执行的行为的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410844002.9A CN105809033A (zh) | 2014-12-30 | 2014-12-30 | 恶意进程处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410844002.9A CN105809033A (zh) | 2014-12-30 | 2014-12-30 | 恶意进程处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105809033A true CN105809033A (zh) | 2016-07-27 |
Family
ID=56420096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410844002.9A Pending CN105809033A (zh) | 2014-12-30 | 2014-12-30 | 恶意进程处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105809033A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106778232A (zh) * | 2016-12-26 | 2017-05-31 | 努比亚技术有限公司 | 一种信息分析方法及电子设备 |
| CN110598410A (zh) * | 2019-09-16 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种恶意进程的确定方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及*** |
| CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和*** |
-
2014
- 2014-12-30 CN CN201410844002.9A patent/CN105809033A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及*** |
| CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和*** |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106778232A (zh) * | 2016-12-26 | 2017-05-31 | 努比亚技术有限公司 | 一种信息分析方法及电子设备 |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106650436B (zh) * | 2016-12-29 | 2019-09-27 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN110598410A (zh) * | 2019-09-16 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种恶意进程的确定方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10783241B2 (en) | System and methods for sandboxed malware analysis and automated patch development, deployment and validation | |
| US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US9021584B2 (en) | System and method for assessing danger of software using prioritized rules | |
| US8732836B2 (en) | System and method for correcting antivirus records to minimize false malware detections | |
| EP3547189A1 (en) | Method for runtime mitigation of software and firmware code weaknesses | |
| US10887340B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| JP6513716B2 (ja) | ダイバーシティベースのソフトウェアセキュリティのための動的パッチング | |
| US20170068810A1 (en) | Method and apparatus for installing an application program based on an intelligent terminal device | |
| US8799874B2 (en) | Static analysis of computer software applications | |
| CN104199703A (zh) | 静默安装的管理方法及装置 | |
| CN109194615A (zh) | 一种检测设备漏洞信息的方法、装置及计算机设备 | |
| CN104517054A (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
| CN102929768A (zh) | 提示误装软件的方法和客户端 | |
| CN105809033A (zh) | 恶意进程处理方法及装置 | |
| CN103034803A (zh) | 误装软件提示*** | |
| US11023575B2 (en) | Security sanitization of USB devices | |
| CN105528230A (zh) | 一种配置参数的设置方法和装置 | |
| Shen et al. | Insights into rooted and non-rooted android mobile devices with behavior analytics | |
| CN105808275A (zh) | 软件净化安装装置及方法 | |
| CN105099766A (zh) | 防止接口过度占用资源的方法及装置 | |
| EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| CN110222508A (zh) | 勒索病毒防御方法、电子设备、***及介质 | |
| US8347387B1 (en) | Addressing security in writes to memory | |
| CN103632086B (zh) | 修复基本输入输出***bios恶意程序的方法和装置 | |
| CN109857474A (zh) | 启动应用程序的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160727 |
|
| RJ01 | Rejection of invention patent application after publication |