CN111651764B - 进程监控方法、装置、电子设备及存储介质 - Google Patents

Abstract

本发明实施例公开了一种进程监控方法、装置、电子设备及存储介质，用于解决电子设备中音频设备被调用的问题。其中方法包括：获取电子设备中音频设备的物理地址；根据所述物理地址将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间；通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码，其中，所述预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求；若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，并暂停所述进程；显示所述音频设备的权限提示信息。采用本发明实施例，可提高电子设备的安全性。

Description

进程监控方法、装置、电子设备及存储介质

技术领域

本发明涉及***安全技术领域，尤其涉及一种进程监控方法、装置、电子设备及存储介质。

背景技术

随着互联网技术发展，病毒、木马等恶意程序技术层出不穷，个别恶意程序在后台偷偷运行，并打开电子设备上的音频设备(例如，麦克风、耳机等)。通过该音频设备获取音频数据，并远程发送，导致用户隐私被泄露。

发明内容

本发明实施例提供一种进程监控方法、装置、电子设备及存储介质，用于解决电子设备中音频设备被调用的技术问题，可提高电子设备的安全性。

第一方面，本发明提供了一种进程监控方法，包括：

获取电子设备中音频设备的物理地址；

根据所述物理地址，将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间；

通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码，其中，所述预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求；

若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，并暂停所述进程；

显示所述音频设备的权限提示信息。

结合本发明实施例第一方面，在本发明实施例第一方面的第一种可能的实现方式中，所述预设代码集包括第一预设代码和第二预设代码，所述第一预设代码用于获取所述音频设备的音频数据，所述第二预设代码用于获取所述音频设备的音频数据包。

结合本发明实施例第一方面的第一种可能的实现方式中，在本发明实施例第一方面的第二种可能的实现方式中，若所述进程执行到所述第三预设代码，则在所述显示所述音频设备的权限提示信息之前，所述方法还包括：

确定所述数据获取请求对应的音频数据的安全值，其中，所述安全值用于描述所述音频数据的隐私性，和/或，所述数据获取请求对应的目标应用的恶意性；

若所述安全值大于安全阈值，则执行所述显示所述音频设备的权限提示信息的步骤。

结合本发明实施例第一方面的第二种可能的实现方式，在本发明实施例第一方面的第三种可能的实现方式中，若所述安全值用于描述所述音频数据的隐私性，则所述确定所述数据获取请求对应的音频数据的安全值，包括：

获取所述音频数据的文本信息中的隐私数据；

根据所述隐私数据确定所述音频数据的安全值。

结合本发明实施例第一方面的第二种可能的实现方式，在本发明实施例第一方面的第三种可能的实现方式中，若所述安全值用于描述所述数据获取请求对应的目标应用的恶意性，则所述确定所述数据获取请求对应的音频数据的安全值，包括：

根据所述进程获取所述目标应用的文件信息；

根据所述文件信息确定所述目标应用的恶意值；

根据所述恶意值确定所述音频数据的安全值。

结合本发明实施例第一方面、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式或第一方面的第三种可能的实现方式，在本发明实施例第一方面的第四种可能的实现方式中，所述获取电子设备中音频设备的物理地址，包括：

获取电子设备中音频设备的设备标识；

根据所述设备标识确定所述音频设备的物理地址。

结合本发明实施例第一方面的第五种可能的实现方式，在本发明实施例第一方面的第六种可能的实现方式中，所述获取电子设备中音频设备的设备标识，包括：

获取电子设备中音频设备对应的多个设备中的目标设备；

确定所述目标设备的标识为所述音频设备的设备标识。

第二方面，本发明提供了一种进程监控装置，包括：

获取单元，用于获取电子设备中音频设备的物理地址；

绑定单元，用于根据所述物理地址，将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间；

监测单元，用于通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码，其中，所述预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求；

执行单元，用于若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，暂停所述进程；显示所述音频设备的权限提示信息。

结合本发明实施例第二方面，在本发明实施例第二方面的第一种可能的实现方式中，所述预设代码集包括第一预设代码和第二预设代码，所述第一预设代码用于获取所述音频设备的音频数据，所述第二预设代码用于获取所述音频设备的音频数据包。

结合本发明实施例第二方面的第一种可能的实现方式中，在本发明实施例第二方面的第二种可能的实现方式中，所述预设代码集还包括第三预设代码，其中，所述第三预设代码用于通过与所述音频设备连接的物理设备获取音频数据；若所述进程执行到所述第三预设代码，则所述获取单元，还用于确定所述数据获取请求对应的音频数据的安全值，其中，所述安全值用于描述所述音频数据的隐私性，和/或，所述数据获取请求对应的目标应用的恶意性；若所述安全值大于安全阈值，则调用所述执行单元执行所述显示所述音频设备的权限提示信息的步骤。

结合本发明实施例第二方面的第二种可能的实现方式中，在本发明实施例第二方面的第三种可能的实现方式中，若所述安全值用于描述所述音频数据的隐私性，则所述获取单元，具体用于获取所述音频数据的文本信息中的隐私数据；根据所述隐私数据确定所述音频数据的安全值。

结合本发明实施例第二方面的第二种可能的实现方式中，在本发明实施例第二方面的第四种可能的实现方式中，若所述安全值用于描述所述数据获取请求对应的目标应用的恶意性，则所述获取单元，具体用于根据所述进程获取所述目标应用的文件信息；根据所述文件信息确定所述目标应用的恶意值；根据所述恶意值确定所述音频数据的安全值。

结合本发明实施例第二方面、第二方面的第一种可能的实现方式、第二方面的第二种可能的实现方式、第二方面的第三种可能的实现方式或第二方面的第四种可能的实现方式，在本发明实施例第二方面的第五种可能的实现方式中，所述获取单元，具体用于获取电子设备中音频设备的设备标识；根据所述设备标识确定所述音频设备的物理地址。

结合本发明实施例第二方面的第五种可能的实现方式中，在本发明实施例第二方面的第六种可能的实现方式中，所述获取单元，具体用于获取电子设备中音频设备对应的多个设备中的目标设备；确定所述目标设备的标识为所述音频设备的设备标识。

本发明实施例第三方面提供一种电子设备，包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于执行本发明实施例第一方面提供的进程监控方法。

本发明实施例第四方面提供了一种非临时性计算机可读存储介质，其中，该存储介质用于存储计算机程序，所述计算机程序被处理器执行时实现本发明实施例第一方面提供的进程监控方法。

实施本发明实施例，先获取电子设备中音频拾取器的物理地址，根据该物理地址将过滤驱动绑定于音频拾取器的驱动和音频设备图像隔离程序之间，从而过滤驱动可监控音频拾取器的进程。若过滤驱动监控到目标应用的进程执行到预设代码集中的一个预设代码，则拦截该预设代码响应音频设备的数据获取请求，并暂停该进程。最后，显示音频拾取器的权限提示信息。如此，以提示用户通过权限提示信息选择是否允许目标应用获取音频数据，保护了用户隐私，提高了电子设备的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种***结构示意图；

图2是本发明实施例提供的一种进程监控方法的流程示意图；

图3是本发明实施例提供的一种设备管理器的示意图；

图4是本发明实施例提供的一种权限提示信息的显示示意图；

图5是本发明实施例提供的另一种进程监控方法的流程示意图；

图6是本发明实施例提供的一种进程监控装置的结构示意图；

图7是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

本发明实施例所描述的电子设备可以包括智能手机(如Android手机)、平板电脑、掌上电脑、笔记本电脑、移动互联网设备(MID，Mobile Internet Devices)或穿戴式设备等，电子设备仅是举例，而非穷举，包含但不限于电子设备。

本发明实施例提供一种进程监控方法、装置、电子设备及存储介质，用于解决电子设备中音频设备被调用的技术问题，可提高电子设备的安全性。

为了更好地理解本申请实施例的方案，下面先对本申请实施例可涉及的相关术语和概念进行介绍。

(1)音频设备

音频设备用于采集环境中的音频数据，以及播放电子设备中或电子设备接收的音频数据。音频设备包括扬声器、麦克风等电子设备上集成的设备，还可包括通用串行总线(Universal Serial Bus)音频设备、蓝牙耳机和高清多媒体接口(High DefinitionMultimedia Interface，HDMI)等外接设备，在此不做限定。

(2)输入输出请求包

输入输出请求包(Input/output Request Package，IRP)，是微软操作***(Windows)内核中的一种***组件。当上层的应用程序需要访问底层输入输出设备时，发出输入输出(Input/output，I/O)请求，***会把这些请求转化为IRP数据，不同的IRP会启动I/O设备驱动中对应的派遣函数。例如，创建文件(CreateFile)/读取文件(ReadFile)/写入文件(WriteFile)等文件相关的请求，操作***分别转为IRP_MJ_CREATE/IRP_MJ_READ/IRP_MJ_WRITE的IRP类型，再传送到驱动程序的派遣函数中。

(3)内核流式

内核流式(Kernel Streaming，Ks)以一系列文件对象(file object)向应用程序表现驱动(driver)的不同功能。应用程序传下I/O请求给file object去控制驱动的不同功能。Ks对象支持属性(Properties)、事件(Events)和方法(Methods)。应用程序通过一系列的设备控制方法(IRP_MJ_DEVICE_CONTROL)来与file object进行联系，并指定和说明进程中IRP里的驱动和file object。

音频设备是内核流设备(FILE_DEVICE_KS)，跟所有内核流的输入输出控制方法(input/output control，IOCTL)一样，读取的IRP序列大致是：

major:IRP_MJ_CREATE filename:...

...

major:IRP_MJ_DEVICE_CONTROL ioctl:IOCTL_KS_PROPERTY request:Connection KSPROPERTY_CONNECTION_STATE set type:

KSSTATE_ACQUIRE

major:IRP_MJ_DEVICE_CONTROL ioctl:IOCTL_KS_PROPERTY request:Connection KSPROPERTY_CONNECTION_STATE set type:

KSSTATE_PAUSE

major:IRP_MJ_DEVICE_CONTROL ioctl:IOCTL_KS_PROPERTY request:Connection KSPROPERTY_CONNECTION_STATE set type:

KSSTATE_RUN

major:IRP_MJ_DEVICE_CONTROL ioctl:IOCTL_KS_READ_STREAM

...

major:IRP_MJ_DEVICE_CONTROL ioctl:KSPROPSETID_RtAudio：

KSPROPERTY_RTAUDIO_GETREADPACKET：

major:IRP_MJ_DEVICE_CONTROL IOCTL_KS_PROPERTY：

KSPROPSETID_RtAudio：

KSPROPERTY_RTAUDIO_GETREADPACKET：

major:IRP_MJ_DEVICE_CONTROL ioctl:KSPROPSETID_RtAudio：

GUID_PROPSETID_Pin：

KSPROPERTY_PIN_PHYSICALCONNECTION：

major:IRP_MJ_DEVICE_CONTROL IOCTL_KS_PROPERTY：

GUID_PROPSETID_Pin：

KSPROPERTY_PIN_PHYSICALCONNECTION：

...

major:IRP_MJ_DEVICE_CONTROL ioctl:IOCTL_KS_PROPERTY request:Connection KSPROPERTY_CONNECTION_STATE set type:

KSSTATE_STOP

major:IRP_MJ_CLEANUP

major:IRP_MJ_CLOSE

其中，IRP_MJ_CREATE filename为创建文件名的方法，IRP_MJ_DEVICE_CONTROLioctl为内核流设备的输入输出控制方法，IOCTL_KS_READ_STREAM为读取内核流设备的输入输出数据的方法，IOCTL_KS_PROPERTY request为内核流设备的输入输出数据请求，Connection KSPROPERTY_CONNECTION_STATE set type为内核流设备的连接状态的设置方法，KSSTATE_ACQUIRE为获取状态，KSSTATE_PAUSE为暂停状态，KSSTATE_RUN为运行状态，KSSTATE_STOP为结束状态，IOCTL_KS_PROPERTY为内核流设备的属性设置方法，GUID_PROPSETID_Pin为获取引脚标识方法，KSPROPERTY_PIN_PHYSICALCONNECTION为获取与引脚进行物理连接的设备的属性方法，KSPROPSETID_RtAudio为获取实时音频属性方法，KSPROPERTY_RTAUDIO_GETREADPACKET为获取实时音频包方法，IRP_MJ_CLEANUP为清空数据的输入输出控制方法，IRP_MJ_CLOSE为关闭进程的输入输出控制方法，以上仅为举例。

当应用程序调用音频设备时，***上层的用户模式会调用设备控制方法(DeviceIoControl)传递读取内核流的输入输出控制方法(IOCTL_KS_READ_STREAM)来获得音频数据。因此，在监控到进程执行到IOCTL_KS_READ_STREAM时，拦截该代码的执行，可阻止应用程序获取音频数据。在监控到KSPROPERTY_RTAUDIO_GETREADPACKET时，拦截该代码的执行，可阻止应用程序获取实时音频数据包。因此，在拦截上述的两个进程之外，还可暂停该进程，并向用户发送音频设备的权限提示信息，则可根据用户针对权限提示信息选择是否开启应用程序的权限，从而控制该应用程序获取数据的操作。

(4)音频设备图像隔离程序

音频设备图像隔离程序可以是audiodg.exe。在Windows操作***中音频设备图形隔离程序，位于C:\Windows\System32\audiodg.exe，用于区分视频数据和音频数据，以使电子设备单独处理音频数据。

(5)过滤驱动

过滤驱动是在不影响上层和下层接口的情况下，在Windows操作***内核中加入新的层，从而不需要修改上层的软件或下层的真实驱动程序。将过滤驱动挂载在其他驱动上，对该驱动的IRP进行拦截过滤作用，可以对驱动进行功能扩展，或是数据加密等的驱动程序。

在目标驱动存在设备名时，可通过应用程序接口(Application Interface，API)中的绑定设备方法(IoAttachDevice)将过滤驱动与目标驱动进行绑定。在目标驱动不存在设备名时，可根据目标驱动的指针进行绑定，例如，通过IoAttachDeviceToStack，或IoAttachDeviceToDeviceStackSafe等API。

请参照图1，过滤驱动102位于音频设备的驱动103和音频设备图形隔离程序101之间。如此，当应用程序调用音频设备时，音频设备图形隔离程序101将应用程序调用音频设备的数据获取请求发送给过滤驱动102。再由过滤驱动102发送给音频设备的驱动103，从而通过过滤驱动实现音频设备的权限监控。

(6)物理地址

在计算机科学中，物理地址(physical address)，也叫实地址(real address)、二进制地址(binary address)，它是在地址总线上，以电子形式存在的，使得数据总线可以访问主存的某个特定存储单元的内存地址。在虚拟内存的计算机中，物理地址这个术语多用于区分虚拟地址。尤其是在使用内存管理单元(Memory Management Unit，MMU)转换内存地址的计算机中，虚拟和物理地址分别指在经MMU转换之前和之后的地址。在计算机网络中，物理地址有时又是媒体存取控制位址(Media Access Control Address，MAC)地址的同义词。MAC地址用于定义数据链路层中网络设备的位置，而不是如它名字所指的物理层上的。

在本申请实施例中，音频设备的物理地址为物理层上的地址。在一种可能的示例中，获取电子设备中音频设备的设备标识；根据所述设备标识确定所述音频设备的物理地址。

其中，音频设备的设备标识具有唯一性，用于区分其他设备。音频设备的设备标识可通过电子设备的存储器中预先存储的各个音频设备的驱动设备的标识进行获取。也可通过专门的声音捕获API(例如，DirectSoundCaptureEnumerate)进行获取，还可根据命名规则进行获取等，在此不做限定。

需要说明的是，在高版本的操作***中，例如Win10操作***，电子设备包括多个设备与音频设备对应。以电子设备为计算机进行举例说明，请参照图2，图2为计算机中设备管理器的示意图。如图2所述，设备管理器包括处理器、磁盘驱动器、计算机、监视器、键盘、人体学输入设备、软件设备、声音、视频和游戏控制器、图像设备、网络适配器、显示适配器、音频输入和输出设备。其中，声音、视频和游戏控制器，音频输入和输出这两个设备均与音频设备相关。音频输入和输出设备用于向声音、视频和游戏控制器转发音频数据，真正具备音频设备能力的声音设备的是声音、视频和游戏控制器。也就是说，音频设备的物理地址为声音、视频和游戏控制器对应的设备的地址。

声音、视频和游戏控制器的设备标识为GUID_DEVCLASS_MEDIA，音频输入和输出设备的设备标识为AUDIOENDPOINT_CLASS_UUID。

基于此，在一种可能的示例中，所述获取电子设备中音频设备的物理地址，包括：获取所述音频设备对应的多个设备中的目标设备；确定所述目标设备的设备标识为所述音频设备的物理地址。

以图2为例，音频设备对应声音、视频和游戏控制器，音频输入和输出这两个设备。先确定目标设备为声音、视频和游戏控制器，再根据目标设备的设备标识，即GUID_DEVCLASS_MEDIA确定音频设备的物理地址。

可以理解，若电子设备包括多个设备与音频设备对应，则先确定查找电子设备中真正具备音频设备能力的声音设备，以该设备的物理地址作为音频设备的物理地址，可提高监控的准确性。

请参考图3，图3是本发明实施例提出的一种进程监控方法的流程示意图。该方法应用于电子设备，如图3所示，本发明实施例中的方法包括：

S301，获取电子设备中音频设备的物理地址。

在本申请实施例中，电子设备可包括至少一个音频设备，为了监控各个音频设备是否被调用，需确定每一音频设备的物理地址。获取音频设备的物理地址的方法可参照前述的根据音频设备的设备标识进行获取，在此不再赘述。

S302，根据所述物理地址将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间。

如前所述，可通过音频设备的物理地址，将过滤驱动绑定于音频设备的驱动和音频设备图像隔离程序之间。如此，过滤驱动可监控音频设备的进程。

S303，通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码。

S304，若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，并暂停所述进程。

在本申请实施例中，预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求，数据获取请求可以是用户点击目标应用的某一功能所触发的，也可以是目标应用后台运行时而生成的，还可以是其它的第三应用通过目标应用所触发的等，在此不做限定。需要说明的是，若是第三应用通过目标应用触发的数据获取请求，则目标应用包括其本身和第三应用。

预设代码集可包括第一预设代码，用于获取所述音频设备的音频数据，可以是IOCTL_KS_READ_STREAM。预设代码集还包括第二预设代码，用于获取所述音频设备的音频数据包，可以是KSPROPERTY_RTAUDIO_GETREADPACKET。预设代码集还包括第三预设代码，第三预设代码用于通过与音频设备连接的物理设备获取音频数据，可以是KSPROPERTY_PIN_PHYSICALCONNECTION。

可以理解，过滤驱动可监控调用音频设备的进程，在确定目标应用的目标进程执行预设代码集中的一个预设代码时，拦截该预设代码响应音频设备的数据获取请求，并暂停进程。如此，可防止目标应用获取音频设备的音频数据。

S305，显示所述音频设备的权限提示信息。

在本申请实施例中，权限提示信息用于提示用户是否开启目标应用访问音频拾取器的权限。若用户选择是，则开启目标应用访问音频拾取器的权限，即目标应用通过音频拾取器采集音频数据。否则，关闭目标应用访问音频拾取器的权限，即不允许开启音频拾取器。

本申请对于权限提示信息的显示方法不做限定，可通过弹窗进行提示，如图4所示，以音频拾取器为用户常使用的麦克风进行举例。该权限提示信息的弹窗中包括“目标应用请求访问麦克风”的提示信息和选择提示框。该选择提示栏中包括允许、拒绝、始终允许和始终拒绝4个选项。其中，允许和拒绝针对的是本次目标应用的麦克风访问权限，始终允许和始终拒绝针对的是目标应用的麦克风访问权限。

在一种可能的示例中，若接收到针对所述权限提示信息的拒绝指令，则结束所述进程；或者，若接收到针对所述权限提示信息的允许指令，则从所述预设代码开始继续执行所述进程。

其中，拒绝指令用于拒绝响应目标应用的数据获取请求。也就是说，拒绝开启目标应用获取音频拾取器的音频数据的权限。允许指令用于响应所述目标应用的数据获取请求。也就是说，允许目标应用开启获取音频拾取器的音频数据的权限。

可以理解，在显示音频拾取器的权限提示信息之后，若接收到针对权限提示信息的拒绝指令，则结束执行目标应用的进程。若接收到针对权限提示信息的允许指令，则继续执行预设代码，即继续执行目标应用的进程。如此，根据用户的权限选择是否执行进程，可提高进程处理的准确性。

在图3所示的方法中，先获取电子设备中音频拾取器的物理地址，根据该物理地址将过滤驱动绑定于音频拾取器的驱动和音频设备图像隔离程序之间，从而过滤驱动可监控音频拾取器的进程。若过滤驱动监控到目标应用的进程执行到预设代码集中的一个预设代码，则拦截该预设代码响应音频设备的数据获取请求，并暂停该进程。最后，显示音频拾取器的权限提示信息。如此，以提示用户通过权限提示信息选择是否允许目标应用获取音频数据，保护了用户隐私，提高了电子设备的安全性。

在一种可能的示例中，在步骤S304之后，所述方法还包括：确定所述进程是否为恶意进程；若是，则执行步骤S305。

本申请对于确定进程是否为恶意进程的方法不做限定，可查找电子设备中预存的黑名单或访问***服务器的黑名单，以确定该进程是否在预存的黑名单中。若是，则直接确定该进程为恶意进程。

在第一种可能的示例中，所述方法还包括：根据所述进程获取所述目标应用的文件路径；根据所述文件路径获取所述目标应用的文件信息；根据所述文件信息确定所述进程是否为恶意进程。

其中，文件信息包括目标应用的名称、版本号、开发者签名等基本信息，也可包括目标应用的相关文件(例如，安装包文件、缓存文件、下载文件等)，还包括目标应用的功能、服务等属性信息。可以理解，基本信息可识别是否为正规公司的产品，属性信息可识别调用音频设备的用途。因此，可根据文件信息确定进程是否为恶意进程。且以进程获取的目标应用的文件路径获取文件信息，可提高确定进程类型的准确性。

本申请对于文件信息确定进程是否恶意进程的方法不做限定，在一种可能的示例中，根据预设规则对所述文件信息进行识别，得到目标应用的特征信息；根据所述特征信息确定所述进程是否恶意进程。

其中，预设规则可以是各个维度的评价标准，在此不做限定。特征信息可包括目标应用名称的命名规则、目标应用中各个文件的通信规则、目标应用的功能用途等。

可选的，根据所述特征信息确定所述文件信息对应的恶意值；在所述恶意值大于预设阈值时，确定所述进程为恶意进程。

也就是说，根据文件信息的特征信息计算进程的恶意值。若恶意值大于预设阈值，则确定进程为恶意进程。通过恶意值进行判断，可提高确定进程类型的准确性。

进一步的，若根据所述特征信息确定所述目标应用包括恶意插件，则确定所述进程为恶意进程。

本申请对于特征信息确定恶意插件的方法不做限定，可通过黑名单进行查询，或者查找在正常命名中***混淆字符串的名称等确定是否包括恶意插件。由于恶意插件将数据传输于第三方应用，因此，可根据文件的数据通信确定是否包括恶意插件。此外，恶意插件在正常功能的基础上额外增加功能，因此，可根据异常功能确定是否包括恶意插件。

在该实施例中，若根据特征信息确定目标应用中包括恶意插件，则确定该进程为恶意进程。如此，以恶意插件直接确定恶意进程，可提高确定恶意进程的准确性。

在第二种可能的示例中，所述方法还包括：确定所述目标应用拒绝开启所述音频设备的权限的次数；若所述次数大于或等于次数阈值，则确定所述进程为恶意进程。

其中，次数可以是连续拒绝开启音频设备的权限的次数，也可以是一段时间内(例如，一周、一个月等)中拒绝开启音频设备的权限的次数，还可以是历史时段内总共拒绝开启音频设备的权限的次数，在此不做限定。本申请对于次数阈值也不做限定，可以是预先设置的，也可以是动态设置的，例如，次数阈值为电子设备中所有拒绝次数的60％。

可以理解，确定目标应用拒绝开启音频设备的权限的次数。在次数大于或等于次数阈值时，确定本次目标应用对应的进程为恶意进程。通过统计拒绝次数确定恶意进程，可提高确定恶意进程的准确性。

请参考图5，图5是本发明实施例提供的另一种进程监控方法的流程示意图。该方法应用于电子设备，如图5所示，本发明实施例中的方法包括：

S501，获取电子设备中音频拾取器的物理地址。

S502，根据所述物理地址将过滤驱动绑定于所述音频拾取器的驱动和音频设备图形隔离程序之间。

S503，通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码。

其中，步骤S501-S503可参照步骤S301-S303的描述，在此不做限定。

S504，若所述进程执行到所述预设代码集中的第三预设代码，则拦截所述第三预设代码响应所述音频设备的数据获取请求，并暂停所述进程。

S505，确定所述数据获取请求对应的音频数据的安全值。

在本申实施例中，第三预设代码用于通过与音频设备连接的物理设备获取音频数据。而在音频设备连接其它的物理设备时，通过用于实现该音频设备的功能。若直接拦截，可能存在误拦的情况。因此，在拦截第三预设代码，并暂停进程之后，确定数据获取请求对应的音频数据的安全值。若安全值大于安全阈值，则显示音频设备的权限提示信息，可提高提示的准确性。

在本申请实施例中，数据获取请求对应的音频数据可根据目标应用调用进程的操作对应的路径确定，可以是输入音频数据，也可以是输出音频数据，在此不做限定。输入音频数据与用户的隐私相关，而输出音频数据可以是用户录入的音频数据，也可以是可下载的音频数据等，在此不做限定。其中，用户录入的音频数据具有隐私性，可下载的音频数据可能泄露用户习惯。

在本申请实施例中，安全值用于描述音频数据的隐私性，即通过该安全值可确定目标应用获取音频数据包含的隐私数据的比例。在一种可能的示例中，步骤S505包括：获取所述音频数据的文本信息中的隐私数据；根据所述隐私数据确定所述音频数据的安全值。

其中，文本信息可通过语音识别进行获取，文本信息体现音频数据的内容。隐私数据可包括金额、密码、账号、偏好等，在此不做限定。本申请可根据隐私数据的类型以及隐私数据的文本内容进行确定，可以理解，根据隐私数据确定音频数据的安全值，可提高确定音频数据的隐私性的准确性。

在另一种可能的示例中，所述方法还包括：若确定所述音频数据为输入类型，则确定所述音频数据的安全值小于安全阈值，结束所述进程；若确定所述音频数据为输出类型，则获取所述音频数据的文本信息中的隐私数据；根据所述隐私数据确定所述音频数据的安全值。

可以理解，在确定音频数据为输入类型时，直接确定音频数据的安全值小于安全阈值，并结束进程。在确定音频数据为输入类型时，才获取音频数据中的隐私数据，并确定该隐私数据的安全值。如此，根据音频数据的输入类型和输出类型分别进行讨论，可进一步的提高确定安全值的准确性。

在又一种可能的示例中，所述方法还包括：获取所述音频数据的文件标识；获取所述文件标识对应的第一安全值，以及获取所述隐私数据对应的第二安全值；根据所述第一安全值和所述第二安全值确定所述音频数据的安全值。

其中，文件标识可以是名称、版权等。可以理解，文件标识体现音频数据的来源，隐私数据体现音频数据的内容，综合文件标识和隐私数据确定音频数据的安全值，可进一步提高确定安全值的准确性。

在本申请实施例中，安全值还用于描述数据获取请求对应的目标应用的恶意性，即通过该安全值可确定目标应用获取音频数据的行为是否恶意。在一种可能的示例中，步骤S505包括：根据所述进程获取所述目标应用的文件信息；根据所述文件信息确定所述目标应用的恶意值；根据所述恶意值确定所述音频数据的安全值。

其中，文件信息如前所述，可包括目标应用的名称、版本号、开发者签名等基本信息，也可包括目标应用的相关文件(例如，安装包文件、缓存文件、下载文件等)，还包括目标应用的功能、服务等属性信息。

可以理解，基本信息可识别是否为正规公司的产品，属性信息可识别调用音频设备的用途，从而确定目标应用获取音频数据的行为是否异常。因此，根据文件信息确定目标应用的恶意值，再根据恶意值确定音频数据的安全值，可提高确定安全值的准确性。

需要说明的是，在监控到第一预设代码，或第二预设代码时，也可先确定对应的音频数据的安全值，以提高提示的准确性。

S506，若所述安全值大于安全阈值，则显示所述音频设备的权限提示信息。

本申请对于安全阈值不做限定，可以是预先设置的，也可以是根据目标应用的类型进行设置，例如，隐私类应用的安全阈值与非隐私类应用的安全阈值相比较大。

在图5所示的方法中，先获取电子设备中音频设备的物理地址，根据该物理地址将过滤驱动绑定于音频设备的驱动和音频设备图像隔离程序之间，从而过滤驱动可监控音频设备的进程。若过滤驱动监控到目标应用的进程执行预设代码集中的第三预设代码，则拦截该第三预设代码响应音频设备的数据获取请求，并暂停该进程。再确定数据获取请求对应的音频数据的安全值，可避免误拦。若安全值大于安全阈值，则显示音频设备的权限提示信息。如此，以提示用户通过权限提示信息选择是否允许目标应用获取音频数据，保护了用户隐私，进一步提高了电子设备的安全性。

请参阅图6，图6是本发明实施例提供的一种进程监控装置的结构图。如图6所示，该装置600可以包括：

获取单元601，用于获取电子设备中音频设备的物理地址；

绑定单元602，用于根据所述物理地址，将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间；

监测单元603，用于通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码，其中，所述预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求；

执行单元604，用于若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，暂停所述进程；显示所述音频设备的权限提示信息。

作为一种可选实施例，所述预设代码集包括第一预设代码和第二预设代码，所述第一预设代码用于获取所述音频设备的音频数据，所述第二预设代码用于获取所述音频设备的音频数据包。

作为一种可选实施例，所述预设代码集还包括第三预设代码，其中，所述第三预设代码用于通过与所述音频设备连接的物理设备获取音频数据；若所述进程执行到所述第三预设代码，则所述获取单元601，还用于确定所述数据获取请求对应的音频数据的安全值，其中，所述安全值用于描述所述音频数据的隐私性，和/或，所述数据获取请求对应的目标应用的恶意性；若所述安全值大于安全阈值，则调用所述执行单元执行所述显示所述音频设备的权限提示信息的步骤。

作为一种可选实施例，若所述安全值用于描述所述音频数据的隐私性，则所述获取单元601，具体用于获取所述音频数据的文本信息中的隐私数据；根据所述隐私数据确定所述音频数据的安全值。

作为一种可选实施例，若所述安全值用于描述所述数据获取请求对应的目标应用的恶意性，则所述获取单元601，具体用于根据所述进程获取所述目标应用的文件信息；根据所述文件信息确定所述目标应用的恶意值；根据所述恶意值确定所述音频数据的安全值。

作为一种可选实施例，所述获取单元601，具体用于获取电子设备中音频设备的设备标识；根据所述设备标识确定所述音频设备的物理地址。

作为一种可选实施例，所述获取单元601，具体用于获取电子设备中音频设备对应的多个设备中的目标设备；确定所述目标设备的标识为所述音频设备的设备标识。

在图6所描述的装置中，先获取电子设备中音频拾取器的物理地址，根据该物理地址将过滤驱动绑定于音频拾取器的驱动和音频设备图像隔离程序之间，从而过滤驱动可监控音频拾取器的进程。若过滤驱动监控到目标应用的进程执行到预设代码集中的一个预设代码，则拦截该预设代码响应音频设备的数据获取请求，并暂停该进程。最后，显示音频拾取器的权限提示信息。如此，以提示用户通过权限提示信息选择是否允许目标应用获取音频数据，保护了用户隐私，提高了电子设备的安全性。

请参阅图7，图7是本发明实施例提供的电子设备。其中，该进程监控方法适用于手机、平板电脑等电子设备。如图7所示，该电子设备可以包括壳体710、处理器720、存储器730、电路板740和电源电路750，其中，电路板740安置在壳体围成的空间内部，处理器720和存储器730设置在电路板740上；电源电路750，用于为电子设备的各个电路或器件供电；存储器730用于存储可执行程序代码；处理器720通过读取存储器730中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于执行以下步骤：

获取电子设备中音频设备的物理地址；

根据所述物理地址，将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间；

通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码，其中，所述预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求；

若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，并暂停所述进程；

显示所述音频设备的权限提示信息。

作为一种可选实施例，所述预设代码集包括第一预设代码和第二预设代码，所述第一预设代码用于获取所述音频设备的音频数据，所述第二预设代码用于获取所述音频设备的音频数据包。

作为一种可选实施例，若所述进程执行到所述第三预设代码，则在所述显示所述音频设备的权限提示信息之前，上述处理器720还用于执行以下步骤：

确定所述数据获取请求对应的音频数据的安全值，其中，所述安全值用于描述所述音频数据的隐私性，和/或，所述数据获取请求对应的目标应用的恶意性；

若所述安全值大于安全阈值，则执行所述显示所述音频设备的权限提示信息的步骤。

作为一种可选实施例，若所述安全值用于描述所述音频数据的隐私性，则在所述确定所述数据获取请求对应的音频数据的安全值方面，上述处理器720具体用于执行以下步骤：

获取所述音频数据的文本信息中的隐私数据；

根据所述隐私数据确定所述音频数据的安全值。

作为一种可选实施例，若所述安全值用于描述所述数据获取请求对应的目标应用的恶意性，则在所述确定所述数据获取请求对应的音频数据的安全值方面，上述处理器720具体用于执行以下步骤：

根据所述进程获取所述目标应用的文件信息；

根据所述文件信息确定所述目标应用的恶意值；

根据所述恶意值确定所述音频数据的安全值。

作为一种可选实施例，在所述获取电子设备中音频设备的物理地址方面，上述处理器720具体用于执行以下步骤：

获取电子设备中音频设备的设备标识；

根据所述设备标识确定所述音频设备的物理地址。

作为一种可选实施例，在所述获取电子设备中音频设备的设备标识方面，上述处理器720具体用于执行以下步骤：

获取电子设备中音频设备对应的多个设备中的目标设备；

确定所述目标设备的标识为所述音频设备的设备标识。

在图7所描述的电子设备中，先获取电子设备中音频拾取器的物理地址，根据该物理地址将过滤驱动绑定于音频拾取器的驱动和音频设备图像隔离程序之间，从而过滤驱动可监控音频拾取器的进程。若过滤驱动监控到目标应用的进程执行到预设代码集中的一个预设代码，则拦截该预设代码响应音频设备的数据获取请求，并暂停该进程。最后，显示音频拾取器的权限提示信息。如此，以提示用户通过权限提示信息选择是否允许目标应用获取音频数据，保护了用户隐私，提高了电子设备的安全性。

在一个实施例中提供了一种非临时性计算机可读存储介质，其上存储有计算机程序，其中，该计算机程序被处理器执行时实现前述的进程监控方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的***，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (16)

1.一种进程监控方法，其特征在于，包括：

获取电子设备中音频设备的物理地址，所述音频设备为具有音频设备能力的声音设备，所述声音设备包括声音、视频和游戏控制器，所述声音设备不包括音频输入和输出设备，所述音频输入和输出设备用于向所述声音、视频和游戏控制器转发音频数据；

根据所述物理地址，将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间；

通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码，其中，所述预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求；

若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，并暂停所述进程；

显示所述音频设备的权限提示信息。

2.根据权利要求1所述的方法，其特征在于，所述预设代码集包括第一预设代码和第二预设代码，其中，所述第一预设代码用于获取音频数据，所述第二预设代码用于获取音频数据包。

3.根据权利要求2所述的方法，其特征在于，所述预设代码集还包括第三预设代码，其中，所述第三预设代码用于通过与所述音频设备连接的物理设备获取音频数据；

若所述进程执行到所述第三预设代码，则在所述显示所述音频设备的权限提示信息之前，所述方法还包括：

确定所述数据获取请求对应的音频数据的安全值，其中，所述安全值用于描述所述音频数据的隐私性，和/或，所述数据获取请求对应的目标应用的恶意性；

若所述安全值大于安全阈值，则执行所述显示所述音频设备的权限提示信息的步骤。

4.根据权利要求3所述的方法，其特征在于，若所述安全值用于描述所述音频数据的隐私性，则所述确定所述数据获取请求对应的音频数据的安全值，包括：

获取所述音频数据的文本信息中的隐私数据；

根据所述隐私数据确定所述音频数据的安全值。

5.根据权利要求3所述的方法，其特征在于，若所述安全值用于描述所述数据获取请求对应的目标应用的恶意性，则所述确定所述数据获取请求对应的音频数据的安全值，包括：

根据所述进程获取所述目标应用的文件信息；

根据所述文件信息确定所述目标应用的恶意值；

根据所述恶意值确定所述音频数据的安全值。

6.根据权利要求1-5中任一项所述的方法，其特征在于，所述获取电子设备中音频设备的物理地址，包括：

获取电子设备中音频设备的设备标识；

根据所述设备标识确定所述音频设备的物理地址。

7.根据权利要求6所述的方法，其特征在于，所述获取电子设备中音频设备的设备标识，包括：

获取电子设备中音频设备对应的多个设备中的目标设备；

确定所述目标设备的标识为所述音频设备的设备标识。

8.一种进程监控装置，其特征在于，包括：

获取单元，用于获取电子设备中音频设备的物理地址，所述音频设备为具有音频设备能力的声音设备，所述声音设备包括声音、视频和游戏控制器，所述声音设备不包括音频输入和输出设备，所述音频输入和输出设备用于向所述声音、视频和游戏控制器转发音频数据；

绑定单元，用于根据所述物理地址，将过滤驱动绑定于所述音频设备的驱动和音频设备图形隔离程序之间；

监测单元，用于通过所述过滤驱动确定目标应用的进程是否执行预设代码集中的任一预设代码，其中，所述预设代码集中每一预设代码均用于响应所述音频设备的数据获取请求；

执行单元，用于若所述进程执行到所述预设代码集中的一个预设代码，则拦截所述预设代码响应所述音频设备的数据获取请求，暂停所述进程；显示所述音频设备的权限提示信息。

9.根据权利要求8所述的装置，其特征在于，所述预设代码集包括第一预设代码和第二预设代码，所述第一预设代码用于获取所述音频设备的音频数据，所述第二预设代码用于获取所述音频设备的音频数据包。

10.根据权利要求8所述的装置，其特征在于，所述预设代码集还包括第三预设代码，其中，所述第三预设代码用于通过与所述音频设备连接的物理设备获取音频数据；若所述进程执行到所述第三预设代码，则所述获取单元，还用于确定所述数据获取请求对应的音频数据的安全值，其中，所述安全值用于描述所述音频数据的隐私性，和/或，所述数据获取请求对应的目标应用的恶意性；若所述安全值大于安全阈值，则调用所述执行单元执行所述显示所述音频设备的权限提示信息的步骤。

11.根据权利要求10所述的装置，其特征在于，若所述安全值用于描述所述音频数据的隐私性，则所述获取单元，具体用于获取所述音频数据的文本信息中的隐私数据；根据所述隐私数据确定所述音频数据的安全值。

12.根据权利要求10所述的装置，其特征在于，若所述安全值用于描述所述数据获取请求对应的目标应用的恶意性，则所述获取单元，具体用于根据所述进程获取所述目标应用的文件信息；根据所述文件信息确定所述目标应用的恶意值；根据所述恶意值确定所述音频数据的安全值。

13.根据权利要求8-12中任一项所述的装置，其特征在于，所述获取单元，具体用于获取电子设备中音频设备的设备标识；根据所述设备标识确定所述音频设备的物理地址。

14.根据权利要求13所述的装置，其特征在于，所述获取单元，具体用于获取电子设备中音频设备对应的多个设备中的目标设备；确定所述目标设备的标识为所述音频设备的设备标识。

15.一种电子设备，包括：壳体、处理器、存储器、电路板和电源电路，其中，所述电路板安置在所述壳体围成的空间内部，所述处理器和所述存储器设置在所述电路板上；所述电源电路，用于为所述电子设备的各个电路或器件供电；所述存储器用于存储可执行程序代码；所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于执行如权利要求1-7任一项所述的方法。

16.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。