CN112395611B - 进程链的处理方法、装置及设备 - Google Patents
进程链的处理方法、装置及设备 Download PDFInfo
- Publication number
- CN112395611B CN112395611B CN201910755442.XA CN201910755442A CN112395611B CN 112395611 B CN112395611 B CN 112395611B CN 201910755442 A CN201910755442 A CN 201910755442A CN 112395611 B CN112395611 B CN 112395611B
- Authority
- CN
- China
- Prior art keywords
- target process
- target
- chain
- list
- parent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 699
- 238000003672 processing method Methods 0.000 title claims abstract description 13
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000012544 monitoring process Methods 0.000 claims abstract description 15
- 230000000977 initiatory effect Effects 0.000 claims description 13
- 238000004140 cleaning Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 230000001788 irregular Effects 0.000 claims description 4
- 230000000875 corresponding effect Effects 0.000 description 71
- 238000004891 communication Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种进程链的处理方法、装置及设备,涉及网络安全技术领域,可获取更加准确的进程链,进而提高配置权限集的准确性,从而准确限制软件进程无权执行的事件,提高了安全性。其中方法包括:首先通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表;然后当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程;根据所述父进程,生成与所述第一目标进程对应的进程链。本申请适用于进程链的处理。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种进程链的处理方法、装置及设备。
背景技术
互联网信息化发达的当代,网络黑客攻击事件越来越多,黑客攻击手段也在不断演化。黑客可利用漏洞使得软件进程实现一些攻击事件,因此,为了更好的约束软件进程合法事件的执行,可利用定义权限集的方式,限制软件进程所能执行的事件。
目前,可将同属同一进程链的各个进程,设置为具有相同的权限,具体可通过查询进程管理器的方式,找到这些同一进程链的各个进程,然后针对这些进程可配置相同的权限集。
然而,有些进程可能是被其他进程远程调用的,但是进程管理器中查不到这些远程调用记录,进而导致进程链确定不准确,影响后续权限集配置的准确性,从而不能准确限制软件进程无权执行的事件,存在一定的安全隐患。
发明内容
有鉴于此,本申请提供了一种进程链的处理方法、装置及设备,主要目的在于解决目前传统方式无法获取准确的进程链,影响后续权限集配置准确性的技术问题。
根据本申请的一个方面,提供了一种进程链的处理方法,该方法包括:
通过监控本地过程调用(Local Procedure Call,LPC)和WMI(WindowsManagement Instrumentation)的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表;
当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程;
根据所述父进程,生成与所述第一目标进程对应的进程链。
可选的,通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表,具体包括:
若第二目标进程请求LPC和WMI的服务进程帮助启动所述第一目标进程,则在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程;
所述当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程,具体包括:
当LPC和WMI的服务进程帮助启动所述第一目标进程时,通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程。
可选的,所述方法还包括:
在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录命令行参数;
所述通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程,具体包括:
从所述进程列表中获取所述命令行参数与当前请求所述第一目标进程时的命令行参数匹配的第二目标进程;
将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
可选的,所述方法还包括:
在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录发起请求启动时的时间戳;
所述通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程,具体包括:
从所述进程列表中获取最新记录的、且时间戳处于所述第一目标进程启动时的时间段内的第二目标进程;
将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
可选的,所述方法还包括:
依据所述时间戳,定时或不定时清理所述进程列表中过期的无效记录。
可选的,所述根据所述父进程,生成与所述第一目标进程对应的进程链,具体包括:
在所述第一目标进程启动后,通过HOOK进程启动相关的应用程序接口API函数,获取由所述第一目标进程关联启动的第一目标进程链;
根据所述父进程对获取到的所述第一目标进程链进行更新,得到与所述第一目标进程对应的进程链。
可选的,所述方法还包括:
配置更新后的第一目标进程链对应的权限集,其中,父进程创建的子进程有与自身相同的权限。
可选的,所述方法还包括:
获取所述父进程所在的第二目标进程链;
将所述第二目标进程链与更新后的第一目标进程链进行关联。
根据本申请的另一方面,提供了一种进程链的处理装置,该装置包括:
记录模块,用于通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表;
确定模块,用于当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程;
生成模块,用于根据所述父进程,生成与所述第一目标进程对应的进程链。
可选的,所述记录模块,具体用于若第二目标进程请求LPC和WMI的服务进程帮助启动所述第一目标进程,则在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程;
所述确定模块,具体用于当LPC和WMI的服务进程帮助启动所述第一目标进程时,通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程。
可选的,所述记录模块,还用于在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录命令行参数;
所述确定模块,具体还用于从所述进程列表中获取所述命令行参数与当前请求所述第一目标进程时的命令行参数匹配的第二目标进程;
将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
可选的,所述记录模块,还用于在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录发起请求启动时的时间戳;
所述确定模块,具体还用于从所述进程列表中获取最新记录的、且时间戳处于所述第一目标进程启动时的时间段内的第二目标进程;
将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
可选的,所述装置还包括:
清理模块,用于依据所述时间戳,定时或不定时清理所述进程列表中过期的无效记录。
可选的,所述生成模块,具体用于在所述第一目标进程启动后,通过HOOK进程启动相关的应用程序接口API函数,获取由所述第一目标进程关联启动的第一目标进程链;
根据所述父进程对获取到的所述第一目标进程链进行更新,得到与所述第一目标进程对应的进程链。
可选的,所述装置还包括:
配置模块,用于配置更新后的第一目标进程链对应的权限集,其中,父进程创建的子进程有与自身相同的权限。
可选的,所述装置还包括:关联模块;
所述生成模块,还用于获取所述父进程所在的第二目标进程链;
所述关联模块,用于将所述第二目标进程链与更新后的第一目标进程链进行关联。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述进程链的处理方法。
依据本申请再一个方面,提供了一种进程链处理的实体设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述进程链的处理方法。
借由上述技术方案,本申请提供的一种进程链的处理方法、装置及设备,与查询进程管理器的方式相比,本申请可通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动目标进程的进程列表,进而在目标进程启动时,通过查询该进程列表,找到该目标进程对应的父进程,即远程调用该目标进程但在进程管理器中不存在相应记录的进程,最后根据该父进程,生成目标进程对应准确真实的进程链。通过这种方式可获取更加准确的进程链,进而提高配置权限集的准确性,从而准确限制软件进程无权执行的事件,提高了安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种进程链的处理方法的流程示意图;
图2示出了本申请实施例提供的另一种进程链的处理方法的流程示意图;
图3示出了本申请实施例提供的一种进程链的处理装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对目前通过查询进程管理器获取进程链的方式,无法获取准确的进程链,影响后续权限集配置准确性的技术问题,本实施例提供了一种进程链的处理方法,如图1所示,该方法包括:
101、通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表。
其中,LPC指的是操作***的本地过程调用机制。WMI是一项核心的Windows管理技术;用户可以使用WMI管理本地和远程计算机。在本实施例中,如果某进程需要远程调用目标进程,可通过LPC和WMI的服务进程帮助启动该目标进程,因此相应的,可通过监控LPC和WMI的请求进程中对应的接口(Application Program Interface,API),记录那些发起请求启动目标进程的进程,并记录在进程列表中。
对于本实施例的执行主体可以为进程链获取的装置或设备,用于在进程管理器中未记录的更加准确的进程链。
102、当第一目标进程启动时,通过查询该第一目标进程对应记录的进程列表中请求启动第一目标进程的第二目标进程,确定第一目标进程对应的父进程。
由于进程列表中记录了请求启动目标进程的进程,所以在目标进程实际启动时,可通过查询该进程列表,找到该目标进程在进程链中对应的真实父进程,而不是将LPC和WMI的服务进程作为该目标进程的父进程。
例如,在LPC和WMI的请求进程中对应的API处监控,并记录已经发起了要请求启动目标进程的进程列表;并且在LPC和WMI的服务处理进程对应API处监控,当目标进程真正启动时,查找上一步记录的列表,确认这个目标进程最真实的父进程并记录,而不是进程管理器中记录的LPC和WMI的服务进程。
103、根据第一目标进程对应最新确定的父进程,生成与第一目标进程对应的进程链。
通过应用上述进程链的处理方法,与传统的查询进程管理器的方式相比,本实施例可通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动目标进程的进程列表,进而在目标进程启动时,通过查询该进程列表,找到该目标进程对应的父进程,即远程调用该目标进程但在进程管理器中不存在相应记录的进程,最后根据该父进程,生成目标进程对应准确真实的进程链。通过这种方式可获取更加准确的进程链,进而提高配置权限集的准确性,从而准确限制软件进程无权执行的事件,提高了安全性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的实施过程,提供了另一种进程链的处理方法,如图2所示,该方法包括:
201、若第二目标进程请求LPC和WMI的服务进程帮助启动第一目标进程,则在进程列表中记录第二目标进程请求启动第一目标进程。
202、当LPC和WMI的服务进程帮助启动第一目标进程时,通过查询进程列表,将第二目标进程确定为第一目标进程对应的父进程。
例如,进程A调用LPC和WMI的启动进程的API,请求LPC和WMI的服务进程G帮忙启动进程B,相应的,会记录进程A请求启动进程B;LPC和WMI的服务进程G接收到进程A的请求,帮忙启动进程B,由于实际操作是进程G启动的进程B,所以根据进程管理器判定进程G是进程B的父进程,但实际当中并不是如此,因此出现了进程链确认偏差。而通过应用本方案内容,调用所记录的进程列表,找出进程B的实际父进程是进程A,而不是在进程管理器中看到的进程G。通过这种方式,可准确获取进程链。
当进程列表中存在多个第二目标进程请求启动第一目标进程时,为了准确判定这些第二目标进程中真实触发创建第一目标进程的第二目标进程。进一步的,作为一种可选方式,在确定目标进程对应的真实父进程时,还会记录请求时的命令行参数,匹配时也会用命令参数来对比确认。因此本实施例方法还可包括:在进程列表中记录第二目标进程请求启动第一目标进程的同时,相应记录命令行参数;相应的,上述通过查询进程列表,将第二目标进程确定为第一目标进程所对应的父进程,具体包括:从进程列表中获取记录的命令行参数与当前请求第一目标进程时的命令行参数匹配的第二目标进程;然后将获取到的第二目标进程,确定为第一目标进程对应的父进程。
例如,在进程列表中存在多个进程都请求启动目标进程,每个进程请求启动时都记录了各自对应的命令行参数;后续可获取目标进程真实启动时所对应的目标命令行参数,然后从进程列表中获取记录的命令行参数与该目标命令行参数匹配的进程,作为真实启动目标进程的进程,即该目标进程对应的父进程。
除了上述可选方式以外,考虑到进程间创建的时效性,为了准确判定目标进程实际对应父进程,作为另一种可选方式,在进程列表中记录第二目标进程请求启动第一目标进程的同时,可相应记录发起请求启动时的时间戳;相应的,上述通过查询进程列表,将第二目标进程确定为第一目标进程所对应的父进程,具体包括:从进程列表中获取最新记录的、且时间戳处于第一目标进程启动时的时间段内的第二目标进程;然后将获取到的第二目标进程,确定为第一目标进程对应的父进程。
例如,目标进程启动时的时间段可为该进程启动前至启动时之间的A毫秒时间段,具体可根据请求启动进程的平均时长确定。在进程列表中最新记录、且时间戳在处于该时间段内的进程,才是该目标进程此次启动所对应的真实父进程。如果不在这个时间段内,且是之前很久的时间戳,说明该目标进程此次启动与表中最新记录的进程很可能是无关的,再将其作为该目标进程对应的父进程可能在准确性上会降低。
需要说明的是,上述两种可选方式也可根据实际情况进行结合综合判定,以便准确获取目标进程实际对应父进程。
可选的,为了节省进程列表所占用的空间大小,依据进程列表中请求进程各自对应的时间戳,定时或不定时清理进程列表中过期的无效记录。例如,预设设置一个时长,当请求进程对应的时间戳与当前时间之间的差值大于或等于这个时长,就将其从进程列表中清理掉。
203、在第一目标进程启动后,通过HOOK进程启动相关的API函数,获取由第一目标进程关联启动的第一目标进程链。
对于本实施例,在目标进程启动后可通过HOOK进程启动相关的API函数,在第一时间就可实现关联检查,进而得到目标进程关联启动的目标进程链。通过这种方式可提高获取进程链的效率。
204、根据确定的真实父进程对获取到的第一目标进程链进行更新,得到与第一目标进程对应的真实进程链。
例如,找到涉及第一目标进程的进程链,由于是LPC和WMI的服务进程帮助启动的第一目标进程,所以在该进程链中,第一目标进程的父进程为LPC和WMI的服务进程,但实际上是第二目标进程请求的该服务进程帮助启动的第一目标进程,所以第一目标进程的真实父进程为第二目标进程,所以将第二目标进程替换进程链中第一目标进程原来的父进程,进而得到更加准确的进程链。
进一步的,可配置更新后的第一目标进程链对应的权限集,其中,父进程创建的子进程有与自身相同的权限。在本实施例中,相当于权限继承机制,自己创建的子进程有与自己相同的权限,通过这种方式更符合应用场景需求,保证后续权限越权校验的准确性。
再进一步的,为了后续进程权限关联分析的准确性,作为一种可选方式,本实施例方法还可包括:获取真实父进程所在的第二目标进程链;然后将第二目标进程链与更新后的第一目标进程链进行关联。
在本可选方式中,真实父进程在实际当中也是通过其他进程创建得到,将该真实父进程所在的进程链,与通过上述步骤204过程更新后的目标进程所在的进程链进行关联,这样最终可得到的更加准确完整的进程链。
例如,进程A创建的进程B,进程B通过请求LPC和WMI的服务进程G帮助启动进程C,进程C启动后又创建进程D;由原来通过查看进程管理器的方式,可得到A->B和G->C->D两个进程链。通过应用本实施例方法,可将G->C->D更新为B->C->D的形式,进一步的,可将A->B和B->C->D进行关联,得到最终的进程链为A->B->C->D。
通过应用上述本实施例方案,可通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动目标进程的进程列表,进而在目标进程启动时,通过查询该进程列表,找到该目标进程对应的父进程,即远程调用该目标进程但在进程管理器中不存在相应记录的进程,最后根据该父进程,生成目标进程对应准确真实的进程链。通过这种方式可获取更加准确的进程链,进而提高配置权限集的准确性,从而准确限制软件进程无权执行的事件,提高了安全性。
进一步的,作为图1、图2所示方法的具体实现,本实施例提供了一种进程链的处理装置,如图3所示,该装置包括:记录模块31、确定模块32、生成模块33。
记录模块31,可用于通过监控本地过程调用LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表;
确定模块32,可用于当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程。
生成模块33,可用于根据所述父进程,生成与所述第一目标进程对应的进程链。
在具体的应用场景中,所述记录模块31,具体可用于若第二目标进程请求LPC和WMI的服务进程帮助启动所述第一目标进程,则在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程;
所述确定模块32,具体可用于当LPC和WMI的服务进程帮助启动所述第一目标进程时,通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程。
在具体的应用场景中,所述记录模块31,还可用于在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录命令行参数;
所述确定模块32,具体还可用于从所述进程列表中获取所述命令行参数与当前请求所述第一目标进程时的命令行参数匹配的第二目标进程;将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
在具体的应用场景中,所述记录模块31,还可用于在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录发起请求启动时的时间戳;
所述确定模块32,具体还可用于从所述进程列表中获取最新记录的、且时间戳处于所述第一目标进程启动时的时间段内的第二目标进程;将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
在具体的应用场景中,本装置还可包括:清理模块33;
清理模块33,可用于依据所述时间戳,定时或不定时清理所述进程列表中过期的无效记录。
在具体的应用场景中,所述生成模块33,具体可用于在所述第一目标进程启动后,通过HOOK进程启动相关的API函数,获取由所述第一目标进程关联启动的第一目标进程链;然后根据所述父进程对获取到的所述第一目标进程链进行更新,得到与所述第一目标进程对应的进程链。
在具体的应用场景中,本装置还可包括:配置模块34;
配置模块34,可用于配置更新后的第一目标进程链对应的权限集,其中,父进程创建的子进程有与自身相同的权限。
在具体的应用场景中,本装置还可包括:关联模块35;
所述生成模块33,还可用于获取所述父进程所在的第二目标进程链;
所述关联模块35,可用于将所述第二目标进程链与更新后的第一目标进程链进行关联。
需要说明的是,本实施例提供的一种进程链的处理装置所涉及各功能单元的其它相应描述,可以参考图1、图2中的对应描述,在此不再赘述。
基于上述如图1、图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1、图2所示的进程链的处理方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该待识别软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3所示的虚拟装置实施例,为了实现上述目的,本实施例还提供了一种进程链处理的实体设备,具体可以为个人计算机、服务器、智能手机、平板电脑、智能手表、或者其它网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1、图2所示的方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种进程链处理的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作***、网络通信模块。操作***是管理上述实体设备硬件和待识别软件资源的程序,支持信息处理程序以及其它待识别软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,可通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动目标进程的进程列表,进而在目标进程启动时,通过查询该进程列表,找到该目标进程对应的父进程,即远程调用该目标进程但在进程管理器中不存在相应记录的进程,最后根据该父进程,生成目标进程对应准确真实的进程链。通过这种方式可获取更加准确的进程链,进而提高配置权限集的准确性,从而准确限制软件进程无权执行的事件,提高了安全性。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (14)
1.一种进程链的处理方法,其特征在于,包括:
通过监控本地过程调用LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表;
当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程;
根据所述父进程,生成与所述第一目标进程对应的进程链;
其中,所述通过监控LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表,具体包括:
若第二目标进程请求LPC和WMI的服务进程帮助启动所述第一目标进程,则在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程,同时记录发起请求启动时的时间戳;
所述当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程,具体包括:
当LPC和WMI的服务进程帮助启动所述第一目标进程时,通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程;
所述通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程,具体包括:
从所述进程列表中获取最新记录的、且时间戳处于所述第一目标进程启动时的时间段内的第二目标进程;
将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录命令行参数;
所述通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程,具体包括:
从所述进程列表中获取所述命令行参数与当前请求所述第一目标进程时的命令行参数匹配的第二目标进程;
将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
依据所述时间戳,定时或不定时清理所述进程列表中过期的无效记录。
4.根据权利要求1所述的方法,其特征在于,所述根据所述父进程,生成与所述第一目标进程对应的进程链,具体包括:
在所述第一目标进程启动后,通过HOOK进程启动相关的应用程序接口API函数,获取由所述第一目标进程关联启动的第一目标进程链;
根据所述父进程对获取到的所述第一目标进程链进行更新,得到与所述第一目标进程对应的进程链。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
配置更新后的第一目标进程链对应的权限集,其中,父进程创建的子进程有与自身相同的权限。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取所述父进程所在的第二目标进程链;
将所述第二目标进程链与更新后的第一目标进程链进行关联。
7.一种进程链的处理装置,其特征在于,包括:
记录模块,用于通过监控本地过程调用LPC和WMI的请求进程中对应的接口,记录发起请求启动第一目标进程的进程列表;
确定模块,用于当所述第一目标进程启动时,通过查询所述进程列表中请求启动所述第一目标进程的第二目标进程,确定所述第一目标进程对应的父进程;
生成模块,用于根据所述父进程,生成与所述第一目标进程对应的进程链;
其中,所述记录模块,具体用于若第二目标进程请求LPC和WMI的服务进程帮助启动所述第一目标进程,则在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程,同时记录发起请求启动时的时间戳;
所述确定模块,具体用于当LPC和WMI的服务进程帮助启动所述第一目标进程时,通过查询所述进程列表,将所述第二目标进程确定为所述第一目标进程对应的父进程;
所述确定模块,具体还用于从所述进程列表中获取最新记录的、且时间戳处于所述第一目标进程启动时的时间段内的第二目标进程,将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
8.根据权利要求7所述的装置,其特征在于,
所述记录模块,还用于在所述进程列表中记录所述第二目标进程请求启动所述第一目标进程的同时,相应记录命令行参数;
所述确定模块,具体还用于从所述进程列表中获取所述命令行参数与当前请求所述第一目标进程时的命令行参数匹配的第二目标进程;
将获取到的第二目标进程,确定为所述第一目标进程对应的父进程。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
清理模块,用于依据所述时间戳,定时或不定时清理所述进程列表中过期的无效记录。
10.根据权利要求7所述的装置,其特征在于,
所述生成模块,具体用于在所述第一目标进程启动后,通过HOOK进程启动相关的应用程序接口API函数,获取由所述第一目标进程关联启动的第一目标进程链;
根据所述父进程对获取到的所述第一目标进程链进行更新,得到与所述第一目标进程对应的进程链。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
配置模块,用于配置更新后的第一目标进程链对应的权限集,其中,父进程创建的子进程有与自身相同的权限。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:关联模块;
所述生成模块,还用于获取所述父进程所在的第二目标进程链;
所述关联模块,用于将所述第二目标进程链与更新后的第一目标进程链进行关联。
13.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至6中任一项所述的进程链的处理方法。
14.一种进程链的处理设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6中任一项所述的进程链的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755442.XA CN112395611B (zh) | 2019-08-15 | 2019-08-15 | 进程链的处理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755442.XA CN112395611B (zh) | 2019-08-15 | 2019-08-15 | 进程链的处理方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112395611A CN112395611A (zh) | 2021-02-23 |
| CN112395611B true CN112395611B (zh) | 2024-01-30 |
Family
ID=74601743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910755442.XA Active CN112395611B (zh) | 2019-08-15 | 2019-08-15 | 进程链的处理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112395611B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102819478A (zh) * | 2012-07-20 | 2012-12-12 | 中国科学院西安光学精密机械研究所 | 一种无代理的数据处理***监控与管理方法 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和*** |
| KR20150107061A (ko) * | 2014-03-13 | 2015-09-23 | (주)닥터소프트 | 소프트웨어 프로세스 관리 추적 알고리즘에 기초한 소프트웨어 관리 방법 및 그 기록매체 |
| CN105608375A (zh) * | 2015-12-17 | 2016-05-25 | 北京金山安全软件有限公司 | 一种进程信息获取方法及装置 |
| CN108197041A (zh) * | 2017-12-28 | 2018-06-22 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN109684824A (zh) * | 2014-12-29 | 2019-04-26 | 北京奇虎科技有限公司 | 进程的权限配置方法及装置 |
| CN109815700A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 应用程序的处理方法及装置、存储介质、计算机设备 |
-
2019
- 2019-08-15 CN CN201910755442.XA patent/CN112395611B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102819478A (zh) * | 2012-07-20 | 2012-12-12 | 中国科学院西安光学精密机械研究所 | 一种无代理的数据处理***监控与管理方法 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和*** |
| KR20150107061A (ko) * | 2014-03-13 | 2015-09-23 | (주)닥터소프트 | 소프트웨어 프로세스 관리 추적 알고리즘에 기초한 소프트웨어 관리 방법 및 그 기록매체 |
| CN109684824A (zh) * | 2014-12-29 | 2019-04-26 | 北京奇虎科技有限公司 | 进程的权限配置方法及装置 |
| CN105608375A (zh) * | 2015-12-17 | 2016-05-25 | 北京金山安全软件有限公司 | 一种进程信息获取方法及装置 |
| CN108197041A (zh) * | 2017-12-28 | 2018-06-22 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN109815700A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 应用程序的处理方法及装置、存储介质、计算机设备 |
Non-Patent Citations (5)
| Title |
|---|
| Martin S.Matthews.Windows 2000实用指南.清华大学出版社,2001,第479页. * |
| Microsoft Corporation.构建Active Directory服务 业内专家经验笔录.清华大学出版社,2001,第387-388页. * |
| 基于WMI的计算机安全监测;于明达;田彦明;;沈阳航空航天大学学报(03);全文 * |
| 基于云规则的驱动级主动防御***;胡焕增;李志洁;郑海旭;;微计算机信息(05);全文 * |
| 基于结构关系检索的隐藏进程检测;贾乘;计算机工程;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112395611A (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6936396B2 (ja) | ブロックチェーンベースのトランザクション処理方法および装置 | |
| US11277421B2 (en) | Systems and methods for detecting and thwarting attacks on an IT environment | |
| US8560648B2 (en) | Location control service | |
| JP5925910B2 (ja) | シングルサインオンサービスを容易にする方法及び装置 | |
| US10147096B2 (en) | Device diagnostic and data retrieval | |
| CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
| US10769316B2 (en) | Protecting mobile devices from unauthorized device resets | |
| EP3386167B1 (en) | Cloud operation interface sharing method, related device and system | |
| EP3272093B1 (en) | Method and system for anti-phishing using smart images | |
| EP3937040B1 (en) | Systems and methods for securing login access | |
| JP2018026733A (ja) | 情報処理装置、情報処理システム、プログラム及び情報処理方法 | |
| CN112468409A (zh) | 访问控制方法、装置、计算机设备及存储介质 | |
| WO2016115759A1 (zh) | 一种登录网站的方法以及其服务器、客户端和外设 | |
| CN115001967B (zh) | 一种数据采集方法、装置、电子设备及存储介质 | |
| CN108259163B (zh) | 终端设备的授权方法 | |
| CN107766743B (zh) | 文件访问权限的设置方法及装置、终端设备、存储介质 | |
| CN112395611B (zh) | 进程链的处理方法、装置及设备 | |
| CN112398787B (zh) | 邮箱登录验证的方法、装置、计算机设备及存储介质 | |
| WO2022083695A1 (en) | Multi-factor authentication of internet of things devices | |
| CN103905390B (zh) | 权限获取方法、装置、电子设备及*** | |
| EP2961210A1 (en) | Authentication system, authentication method, authentication apparatus, and recording medium | |
| CN112152967A (zh) | 一种数据存储管理的方法以及相关装置 | |
| CN108256297B (zh) | 软件的试用授权验证方法 | |
| EP4160454A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| US20230094066A1 (en) | Computer-implemented systems and methods for application identification and authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |